IE6 und OE6 durchbrechen Personal Firewal?
Gerhard Austaller
Bitte keine Diskussion über Sinn und Unsinn von Personal Firewalls, aber
ich habe eine Beobachtung bei meinem Norton Internet Security 2.5
gemacht, die ich euch nicht vorenthalten möchte, und zwar ob das jemand
bestätigen kann oder ob meine NIS Installation einfach nur kaputt ist
(was das erste Mal wäre).
Die NIS läßt Prgramme outbound also vom Computer nur raus, wenn man für
die Anwenung eine Regel erstellt, oder man der Anwendung jedesmal die
Erlaubnis gibt sich hinauszuverbinden - dazu macht NIS normalerweise
eine Dialogbox auf, wo man das bestätigen muß.
Jetzt hab ich aber IE6 und OE6 deutsch installiert und nun hätte NIS
auch für diese Anwenungen fragen müssen, da ja neue exe-Files
installiert wurden. Hat er nicht getan und mir ist es auch erst
aufgefallen als ich wiedermal rutinemäßig die NIS Logs angeschaut habe
und dort bin ich auf komische Einträge gestoßen: Bei jedem IE6 Start
gibt es zwei Einträge: 1.) Das die Verbindung outbound für IE6 blockiert
wurde und zweitens daß der Benutzer aber diesesmal über die Dialogbox
dem IE6 erlaubt hätte ins Netz zu gehen (was ich aber definitiv nicht
getan habe!). Ich kann's mir nicht vorstellen, es müßte aber machbar
sein, daß MS eine Logik implemetiert hat, die dem IE erlaubt solche
Dialogboxen semiautomatisch zu seinen Gunsten wegzuklicken...
Wenn ich eine explizite Regel angebe, ihn nicht ins Netz zu lassen, kann
er nicht raus - also IE6 scheint sich wirklich irgendwie um die
Dialogboxen rumdrücken zu können. Hat jemand sowas ähnliches auch schon
beobachtet? Oder achtet bitte daruf, wenn ihr in einem masochistischen
Anfall mal den IE6 installieren solltet, ob ihr auch Nebeneffekte
beobachtet, auch andere PFs wären interessant.
OK, das war das wichtige, trotzdem noch ein paar Anmerkungen: Ich nehm'
NIS eigentlich als Art Paketfilter inbound, ich würde niemals erwarten,
daß er einen Troianer hindern könnte sich ins Netz zu verbinden.
Bedenklich aber ist, daß sogar 0815 Software outbound an ihm vorbei
kommt!?
MfG
Gerhard
Felix von Leitner
> Bitte keine Diskussion über Sinn und Unsinn von Personal Firewalls,
Da gibt es auch nichts zu diskutieren.
http://www.fefe.de/pffaq/
Gerhard Austaller
Vergeßt es einfach, das Verhalten kann ich mit jedem Programm
nachvollziehen, das ins Netz will. Da ist wohl göber was kapput.
MfG
Gerhard
Gerhard Austaller
"Jan Peters" <jnpe...@vandusen.franken.de>...
> Gerhard Austaller wrote:
>
> > Ich kann's mir nicht vorstellen, es müßte aber machbar
> > sein, daß MS eine Logik implemetiert hat, die dem IE erlaubt
> > solche Dialogboxen semiautomatisch zu seinen Gunsten
> > wegzuklicken...
>
> Warum kannst du dir das nicht vorstellen? Du siehst doch, dass
> dies der Fall ist. Was mal wieder ein exzellentes Beispiel ist,
> dass PFs nichts taugen und nur eine Scheinsicherheit vorgaukeln.
Das Verhalten kann ich jetzt mit jedem Programm, das ins Netz will
nachvollziehen, da ist wohl was gröber kapput.
Danke trotzdem für Deinen konstruktiven Beitrag ;-)
MfG
Gerhard
Gerhard Austaller
"Felix von Leitner" <usenet-...@fefe.de> schrieb...
Danke für Deinen konstruktiven Beitrag ;-)
MfG
Gerhard
Bernd Giegerich
> Vergeßt es einfach, das Verhalten kann ich mit jedem Programm
> nachvollziehen, das ins Netz will. Da ist wohl göber was kapput.
siehste, und genau das ist der Grund, warum "Personal Firewalls" als
Sicherheits-Instrument nix taugen. Wahrscheinlich hat sich irgendetwas
bei Dir eingenistet, das dem Ding alle Anfragen abgewoehnt hat.
Prinzipbedingt ist das keine grosse Sache, und kann jederzeit wieder
passieren.
Wenn's ein wenig sauberer gemacht worden waere und nur Anfragen fuer
ein bestimmtes Programm unterdrueckt worden waeren, wuerdest Du immer
noch an die Sicherheit Deiner Maschine glauben. Und die betreffende
Applikation koennte lustige Dinge treiben...
Gruss,
Bernd
--
Never argue with an idiot. He will lower you to his level and then
beat you with experience.
Martin Koester
Wuerde mich interessieren, was die Ursache ist.
1. chkdsk bzw. scandisk
2. Ruleset ueberpruefen, testen
3. Wurden bei der Installation irgendwelche Norton-DLLs ueberschrieben?
IE/OE tauschen das halbe System aus (Die beruehmte Windows-DLL-Hoelle).
Loesung: Firewallsoftware nochmal installieren.
Welches Windows verwendest du?
Gruss
Martin
--
Martin L. Koester IT-Consulting
D-89613 Oberstadion
http://www.mkcsoftware.de
Felix von Leitner
> >> Bitte keine Diskussion über Sinn und Unsinn von Personal Firewalls,
> > Da gibt es auch nichts zu diskutieren.
> > http://www.fefe.de/pffaq/
> Personal Firewall gut, z.B. um einem Email-Programm HTTP-Verbindungen zu
> verbieten, damit es in SPAM-Mails zur Adressverifikation eingebettete
> Dateien nicht runterläd.
Nein. Siehe http://www.fefe.de/pffaq/halbesicherheit.txt
Felix
Ralf Gross
> Gerhard Austaller wrote:
>
>> Hallo
>>
>> Vergeßt es einfach, das Verhalten kann ich mit jedem Programm
>> nachvollziehen, das ins Netz will. Da ist wohl göber was kapput.
>>
>>
> Wuerde mich interessieren, was die Ursache ist. 1. chkdsk bzw.
> scandisk
> 2. Ruleset ueberpruefen, testen
> 3. Wurden bei der Installation irgendwelche Norton-DLLs
> ueberschrieben? IE/OE tauschen das halbe System aus (Die beruehmte
> Windows-DLL-Hoelle). Loesung: Firewallsoftware nochmal
> installieren. Welches Windows verwendest du?
D.h, jedesmal wenn ein neues Programm installiert wurde, muß die
tolle PF neu installiert werden?! Also jedes Programm, daß man inst.
kann DLLs ersetzen, das macht die PF dann aber wirklich komplett
überflüßig - was wir aber ja alle schon länger wissen.
Ralf
Gerhard Austaller
"Ralf Gross" <tat...@gmx.de> schrieb...
> Es schrieb "Martin Koester" <off...@mkcsoftware.de>:
>
> D.h, jedesmal wenn ein neues Programm installiert wurde, muß die
> tolle PF neu installiert werden?! Also jedes Programm, daß man inst.
> kann DLLs ersetzen, das macht die PF dann aber wirklich komplett
> überflüßig - was wir aber ja alle schon länger wissen.
1.) Ich hab' eh geschrieben, daß ich von meiner PF normalerweiße nicht
erwarte outbound traffic begrenzen zu können, .... naja aber irgendwie
ist es vielleicht doch ein heilsamer Schock? Bei einer expliziten Regel
kommt auch weiterhin nichts raus.
2.) Meine PF nehm' ich in erster Linie als als Packetfilter. Ich muß nun
mal Dienste laufen lassen, die ich einigen zur Verfügnung stellen
möchte - ich möchte aber nicht, daß die ganze Welt überhaupt weiß, daß
ich dieses Dienste zur Verfügnung stelle. Und nein, z.Z. hab' ich nicht
die Wahl auf ein transparenteres System umzusteigen.
MfG
Gerhard
Urs [Ayahuasca] Traenkner
> Felix von Leitner <usenet-...@fefe.de> wrote:
> > http://www.fefe.de/pffaq/
> Das ist ja doch ein wenig krass. Für manche Aufgaben eignet sich eine
> Personal Firewall gut, z.B. um einem Email-Programm HTTP-Verbindungen zu
> verbieten, damit es in SPAM-Mails zur Adressverifikation eingebettete
> Dateien nicht runterläd.
AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
Ich dachte, Javaskript abschalten wuerde reichen.
In HTML die Browserinterna auslesen? Wie geht denn das?
Unwissend, Urs...
--
Widerlich, adj. - Eigenart fremder Meinungen
Ambrose Bierce, Des Teufels Woerterbuch
Ulrich Eckhardt
> 2.) Meine PF nehm' ich in erster Linie als als Packetfilter. Ich muß nun
> mal Dienste laufen lassen, die ich einigen zur Verfügnung stellen
> möchte - ich möchte aber nicht, daß die ganze Welt überhaupt weiß, daß
> ich dieses Dienste zur Verfügnung stelle. Und nein, z.Z. hab' ich nicht
> die Wahl auf ein transparenteres System umzusteigen.
Hi,
ich weiss zwar nicht, wie du ans Internet angebunden bist,
aber viele (zum Teil auch billige) Router verfügen über
Packetfiltermöglichkeiten. So was hat dann zumindest nicht
die konzeptionellen Schwächen/Probleme einer PF.
Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany
Carsten Gerhardt
> Andreas Schwarz wrote:
>
> > Felix von Leitner <usenet-...@fefe.de> wrote:
> > > http://www.fefe.de/pffaq/
>
> > Das ist ja doch ein wenig krass. Für manche Aufgaben eignet sich
eine
> > Personal Firewall gut, z.B. um einem Email-Programm
HTTP-Verbindungen zu
> > verbieten, damit es in SPAM-Mails zur Adressverifikation
eingebettete
> > Dateien nicht runterläd.
>
> AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
> in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
> Ich dachte, Javaskript abschalten wuerde reichen.
>
> In HTML die Browserinterna auslesen? Wie geht denn das?
Hallo Urs,
ich glaube Andreas meint webbugs. Also HTML-mails in denen irgend ein
externer Link auf ein cgi-skript ist. Wenn dieses skript nun mit
den Parametern, die in Deiner mail sind (eindeutig für jede mail)
aufgerufen wird, kann das skript vermerken :
e-mail Adresse x@Y ist aktiv und kann html-mails anzeigen.
Mehr findest Du u.a. bei Bugtrag (ca. 19.8.-21.8) aber das Problem ist
schon deutlich älter.
> Unwissend, Urs...
Sind wir das nicht alle ;-)
Carsten
Harald Laabs
>"Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> schrieb
>> Andreas Schwarz wrote:
>>
>> > Felix von Leitner <usenet-...@fefe.de> wrote:
>> > > http://www.fefe.de/pffaq/
>>
>> > Das ist ja doch ein wenig krass. Für manche Aufgaben eignet sich
>eine
>> > Personal Firewall gut, z.B. um einem Email-Programm
>HTTP-Verbindungen zu
>> > verbieten, damit es in SPAM-Mails zur Adressverifikation
>eingebettete
>> > Dateien nicht runterläd.
Dein Quoting saugt.
>> AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
>> in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
>> Ich dachte, Javaskript abschalten wuerde reichen.
>>
>> In HTML die Browserinterna auslesen? Wie geht denn das?
>
>ich glaube Andreas meint webbugs. Also HTML-mails in denen irgend ein
>externer Link auf ein cgi-skript ist. Wenn dieses skript nun mit
>den Parametern, die in Deiner mail sind (eindeutig für jede mail)
>aufgerufen wird, kann das skript vermerken :
> e-mail Adresse x@Y ist aktiv und kann html-mails anzeigen.
>Mehr findest Du u.a. bei Bugtrag (ca. 19.8.-21.8) aber das Problem ist
>schon deutlich älter.
Und vor allem ist es ein Problem das man einfach mit vernuenftigen
Mailclients loesen kann. Wenn denn HTML schon unterstuetzt wird
sollten doch zumindest nicht ungefragt Dateien nachgeladen werden.
Solche Software gehoert geloescht und die Programmierer geLARTet.
Harald
--
(Es ging um Webdesigner)
Wenn man sich so die 'professionellen' Hochglanz Websites ansieht,
scheinen das alles fortschrittliche Menschen zu sein[1].
[1] Sie setzen immer den neuesten Schwachsinn ein - (Gerhard Schromm in dasr)
Jochen Arndt
> Andreas Schwarz wrote:
>
> > Felix von Leitner <usenet-...@fefe.de> wrote:
> > > http://www.fefe.de/pffaq/
>
> > Das ist ja doch ein wenig krass. Für manche Aufgaben eignet sich eine
> > Personal Firewall gut, z.B. um einem Email-Programm HTTP-Verbindungen zu
> > verbieten, damit es in SPAM-Mails zur Adressverifikation eingebettete
> > Dateien nicht runterläd.
>
> AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
> in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
> Ich dachte, Javaskript abschalten wuerde reichen.
Die Uebermittlung einer Email Adresse benoetigt afaik schon Skript. Aber
deine Adresse haben sie doch schon. Wie sollte dich eine solche SPAM
Mail sonst erreichen? Die Verifizierung geschieht dann ueber die HTML
Mail mit Grafik oder Stylesheet Referenz. Die referenzierte Datei ist
speziell fuer dich angelegt und ein Zugriff zeigt, dass die Mail gelesen
wurde.
> In HTML die Browserinterna auslesen? Wie geht denn das?
>
> Unwissend, Urs...
Nein. Nur den falschen Weg genommen (runterladen != uebermitteln).
Joe
Urs [Ayahuasca] Traenkner
[und manch andere, dafuer auch danke]
> "Urs [Ayahuasca] Traenkner" schrieb:
> > Andreas Schwarz wrote:
[Webbugs]
> > AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
> > in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
> > Ich dachte, Javaskript abschalten wuerde reichen.
> Die Uebermittlung einer Email Adresse benoetigt afaik schon Skript. Aber
> deine Adresse haben sie doch schon. Wie sollte dich eine solche SPAM
> Mail sonst erreichen? Die Verifizierung geschieht dann ueber die HTML
> Mail mit Grafik oder Stylesheet Referenz. Die referenzierte Datei ist
> speziell fuer dich angelegt und ein Zugriff zeigt, dass die Mail gelesen
> wurde.
Ah, so war das. Danke...
Netscape hat kein Mittel dagegen. Jedenfalls habe ich keinen Weg
gefunden, html in Mails abzuschalten. Das wird wohl nicht als
Problem angesehen. Meine Browserversion ist allerdings auch nicht
die neuste.
Ist das bei Version 6.x inzwischen geaendert?
> > In HTML die Browserinterna auslesen? Wie geht denn das?
> > Unwissend, Urs...
> Nein. Nur den falschen Weg genommen (runterladen != uebermitteln).
Mein Fehler.
Gruss Urs...
Johannes Prantl
> D.h, jedesmal wenn ein neues Programm installiert wurde, muß die
> tolle PF neu installiert werden?! Also jedes Programm, daß man inst.
> kann DLLs ersetzen, das macht die PF dann aber wirklich komplett
Kein fremdes Programm kann unter Win 2000 Systemdateien (incl. DLLs)
ersetzen. Dafür gibt es den Dateischutz, der genau das verhindert.
ciao
- JP -
Johannes Prantl
Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS (mit
Version) zu bestimmen. Es kommt noch schlimmer: Wenn dein HTML-fähiges
Mailprogramm ein remotegelagertes Bild abruft, wird der User-Agent des
Mailprogramms übermittelt, d.h. ein potentieller Angreifer kennt jetzt
dein Mailprogramm und kann die nächste Mail mit entsprechenden
Exploits versehen.
ciao
- JP -
Bjoern Wunschik
>Felix von Leitner <usenet-...@fefe.de> wrote:
>> Nein. Siehe http://www.fefe.de/pffaq/halbesicherheit.txt
>
>Aha. Und was hat das damit zu tun, dass ich PFs zum Blockieren von Webbugs
>für sinnvoll halte?
Da steht ein "security" im Gruppennamen! Das was Du vorschlägst, könnte
unter Umständen ein fetziges Feature sein - wenn es denn zuverlässig
funktionieren würde. Macht's aber nicht. Das hat das damit zu tun.
Hint: Dieser Thread behandelt gerade das Problem, daß IE6 und OE6 (wird
angeblich von manchen als Brrowser bzw. eMail-Client eingesetzt) die PF
einfach links liegen lassen und an ihr vorbei nach außen fassen. Wie
willst Du jetzt was blocken?
mfg
Björn Wunschik
Philipp Schulte
> Netscape hat kein Mittel dagegen. Jedenfalls habe ich keinen Weg
> gefunden, html in Mails abzuschalten. Das wird wohl nicht als
> Problem angesehen. Meine Browserversion ist allerdings auch nicht
> die neuste.
>
> Ist das bei Version 6.x inzwischen geaendert?
Wer sollte denn ernsthaft Netscape einsetzen wollen? Gar als MUA?
man Mozilla (aber bitte auch nicht als MUA)
Phil
Urs [Ayahuasca] Traenkner
> Urs [Ayahuasca] Traenkner wrote:
> > Netscape hat kein Mittel dagegen. Jedenfalls habe ich keinen Weg
> > gefunden, html in Mails abzuschalten. Das wird wohl nicht als
> > Problem angesehen. Meine Browserversion ist allerdings auch nicht
> > die neuste.
> > Ist das bei Version 6.x inzwischen geaendert?
> Wer sollte denn ernsthaft Netscape einsetzen wollen? Gar als MUA?
Naja, fuer meine Zwecke ausreichend bisher. "ernsthaft" ist
bestimmt was anderes.
> man Mozilla (aber bitte auch nicht als MUA)
Erst mal wird die Plattform geaendert. Bevor das nicht so laeuft,
wie ich mir das vorstelle, suche ich mir auch keinen neuen MUA.
Verlorene Liebesmueh fuer die paar Wochen.
Bin halt faul. Gruss Urs...
Martin Koester
> D.h, jedesmal wenn ein neues Programm installiert wurde, muß die
> tolle PF neu installiert werden?! Also jedes Programm, daß man inst.
> kann DLLs ersetzen, das macht die PF dann aber wirklich komplett
> überflüßig - was wir aber ja alle schon länger wissen.
Das kommt darauf an,
1. wie deine Desktop-Firewall gebaut ist. Nimm eine, die keine DLLs ins
Windows-Verzeichnis schmeisst.
2. was du installierst. MS-Office, IE etc. tauschen eben das halbe System
aus. Normale Software meist nicht, aber es ist _immer_ besser, ein Auge
drauf zu haben, weil auch andere Sachen in die Hose gehen koennen, wenn
irgendwelche System-DLLs ausgetauscht werden. Beliebter Fehler ist: Programm
XY wird installiert und tauscht eine System-DLL gegen eine Uralt-Version
aus, die einige Funktionen nicht bietet... Das ist vor allem ein
Konzeptionsfehler von Windows: auf die Betriebssystemverzeichnisse duerfte
kein Anwendungsprogramm Schreibrechte haben. Mit ME/2000 hat man versucht,
mit dem "Systemdateischutz" solchen Fehlern einen Riegel vorzuschieben, aber
scheint nicht so gut zu Funktionieren. Du wirst jetzt ganz im Gegenteil aus
diesem Grund einige Vireninfizierte Dateien (z.B. Hybris-befallener winsock)
um so schwerer wieder los.
Jochen Arndt
"Urs [Ayahuasca] Traenkner" schrieb:
> [Webbugs]
> > Die Uebermittlung einer Email Adresse benoetigt afaik schon Skript. Aber
> > deine Adresse haben sie doch schon. Wie sollte dich eine solche SPAM
> > Mail sonst erreichen? Die Verifizierung geschieht dann ueber die HTML
> > Mail mit Grafik oder Stylesheet Referenz. Die referenzierte Datei ist
> > speziell fuer dich angelegt und ein Zugriff zeigt, dass die Mail gelesen
> > wurde.
>
> Ah, so war das. Danke...
>
> Netscape hat kein Mittel dagegen. Jedenfalls habe ich keinen Weg
> gefunden, html in Mails abzuschalten. Das wird wohl nicht als
> Problem angesehen. Meine Browserversion ist allerdings auch nicht
> die neuste.
>
> Ist das bei Version 6.x inzwischen geaendert?
Don' know.
Aber: 'Ansicht - Inline Anlagen anzeigen' deaktivieren hilft (auch im
Usenet als DUA Filter). Dann musst du schon extra die HTML Anlage
öffnen. Liegt auch eine Textversion vor, wird nur die Textversion
geöffnet.
Joe
Martin Koester
> Kein fremdes Programm kann unter Win 2000 Systemdateien (incl. DLLs)
> ersetzen. Dafür gibt es den Dateischutz, der genau das verhindert.
MS kann das schon. Der Email-Wurm Hybris auch, nur wird seine Entfernung
erschwert. Der Systemdateischutz ist eher ein gescheiterter Ingenieurstraum.
Ralf Gross
Definiere "fremdes Programm" - nicht von MS?. IE/OE kann dies ja, wie ist es
denn mit PF-Software?
Ralf
Juergen P. Meier
"fremdes Programm" ::= Programm, das sich an die Spielregeln und Verhaltens
vorschriften von MS fuer nicht-MS programme haelt.
Demnach nicht eingeschlossen: MS Programme, Wuermer, Trojanische Pferde,
Viren ...
NT halt (Nice Try)
Juergen
--
J...@lrz.fh-muenchen.de - "This World is about to be Destroyed!"
Johannes Prantl
> Definiere "fremdes Programm" - nicht von MS?.
> IE/OE kann dies ja, wie ist es
> denn mit PF-Software?
Alle Systemdateien sind digital signiert und auch im Ordner
%windir%\system32\dllcache redundant vorhanden. Die Signaturen sind in
Sicherheitskatalogen aufgezeichnet. Wenn bei einer Installation eine
Systemdatei überschrieben wird, stellt WFP diese umgehend wieder her,
oder fordert die CD an. Als ich mein Norton Systemworks installiert
hatte, trat dieser Effekt ein. Eine Systemdatei wurde mit einer
älteren Version überschrieben, und WFP hat die neuere Version sofort
wieder hergestellt. Keine nichtsignierte Datei kann eine Systemdatei
überschreiben, egal von welchem Programm.
ciao
- JP -
frank paulsen
> Alle Systemdateien sind digital signiert und auch im Ordner
> %windir%\system32\dllcache redundant vorhanden. Die Signaturen sind in
> Sicherheitskatalogen aufgezeichnet. Wenn bei einer Installation eine
> Systemdatei überschrieben wird, stellt WFP diese umgehend wieder her,
> oder fordert die CD an.
das ist ein wichtige "Feature" und verhindert bei meinem notebook
z.B. ganz hervoragend, dass der richtige treiber fuer meinen PCMCIA-
NIC installiert wird, weil ein signierter, aber leider dysfunktionaler
im lieferumfang war.
nicht, dass das z.B. einen subtil veralteten IE daran hindern wuerde,
den TCP/IP-stack durch eine signierte .dll so bizarr zu verbiegen,
dass nach dem reboot die SFP in einer endlosschleife haengen bleibt.
muss wohl ein "Issue" sein, und laesst sich durch neuinstallation
simpelst beheben.
--
frobnicate foo
Felix von Leitner
> Aha. Und was hat das damit zu tun, dass ich PFs zum Blockieren von Webbugs
> für sinnvoll halte?
Ich kann dir nur die Argumente nennen.
Denken mußt du schon selber.
Felix von Leitner
> > Definiere "fremdes Programm" - nicht von MS?.
> > IE/OE kann dies ja, wie ist es
> > denn mit PF-Software?
> Alle Systemdateien sind digital signiert und auch im Ordner
> %windir%\system32\dllcache redundant vorhanden.
Wie oft mußt du eigentlich so im Normalfall widerlegt werden, bis du den
Rücktritt antrittst?
Johannes Prantl
> * Andreas Schwarz <andreas...@gmx.de> schrieb:
> > z.B. um einem Email-Programm HTTP-Verbindungen zu verbieten, damit
> > es in SPAM-Mails zur Adressverifikation eingebettete Dateien nicht
> > runterläd.
> Mailclients, statt an Symptomen herumzudoktern.
Geschwätz. Das Mailprogramm ist erst defekt, wenn es nicht
funktioniert. Das Anzeigen von HTML und Grafiken läßt nicht auf einen
Defekt schließen. Es mag sein, daß dein Mailprogramm so simpel ist,
daß es nur Text anzeigen kann; dies muß für andere Nutzer nicht
zwangsläufig auch zutreffen.
ciao
- JP -
Johannes Prantl
> Wie oft mußt du eigentlich so im Normalfall widerlegt werden, bis du
> den Rücktritt antrittst?
Du willst mich zum Rücktritt bewegen? *LOL*
- JP -
Johannes Prantl
> das ist ein wichtige "Feature" und verhindert bei meinem notebook
> z.B. ganz hervoragend, dass der richtige treiber fuer meinen PCMCIA-
> NIC installiert wird, weil ein signierter, aber leider
> dysfunktionaler im lieferumfang war.
Ich weiß nicht, was du für Probleme hast, aber du solltest, wenn du
sogar mit einer Treiberinstallation überfordert bist, die Hilfe von
jemandem in Anspruch nehmen, der etwas davon versteht.
ciao
- JP -
Felix von Leitner
> > den Rücktritt antrittst?
> Du willst mich zum Rücktritt bewegen? *LOL*
Bist du ernsthaft sogar dafür zu dämlich, diese einfache Frage zu
beantworten?
Rainer Weikusat
> Geschwätz. Das Mailprogramm ist erst defekt, wenn es nicht
> funktioniert. Das Anzeigen von HTML und Grafiken läßt nicht auf einen
> Defekt schließen.
Falls 'das Mailprogramm' ohne explizite Aufforderung von mir mit
Webservern im Internet redet oder Programme ausführt dann ist es
defekt.
> Es mag sein, daß dein Mailprogramm so simpel ist,
> daß es nur Text anzeigen kann;
Es mag sein, daß Dein Mailprogramm so simpel ist, daß es sich mit
Deinem Brauser ein Widget teilt. Das führt dann zu gewissen Problemen,
s.o.
--
stone me
Johannes Prantl
> Bist du ernsthaft sogar dafür zu dämlich, diese einfache Frage zu
> beantworten?
Herr von Leitner, Sie bewegen sich auf sehr dünnem Eis.
- JP -
frank paulsen
> Ich weiß nicht, was du für Probleme hast, aber du solltest, wenn du
> sogar mit einer Treiberinstallation überfordert bist, die Hilfe von
> jemandem in Anspruch nehmen, der etwas davon versteht.
mit verlaub: du solltest ganz einfach die schnauze halten, wenn du
keine ahnung hast, wie Microsoft herstellertreiber "zertifiziert".
das geschieht naemlich durchaus mit derselben qualitaet, mit der
sogenannte "Experten" zertifiziert werden, die dann an solch einer
eigentlich trivialen aufgabe scheitern.
--
frobnicate foo
Felix von Leitner
> > beantworten?
> Herr von Leitner, Sie bewegen sich auf sehr dünnem Eis.
Immer noch keine Antwort?
Sag mir bitte, wie man das anders erklären soll?
Johannes Prantl
> mit verlaub: du solltest ganz einfach die schnauze halten, wenn du
> keine ahnung hast, wie Microsoft herstellertreiber "zertifiziert".
Das hört sich so an, als ob ich am Nichtfunktionieren deiner NIC
schuld habe. Es ist vielleicht ein Hardwaredefekt, du solltest es mal
mit einer anderen Netzwerkkarte versuchen.
ciao
- JP -
frank paulsen
es ist ein kaputter, aber zertifizierte treiber im lieferumfang (ich
schrieb das bereits). der NIC funktioniert im selben geraet mit
anderen BS problemlos, und nach anwendung von ein wenig "Magie" laesst
sich auch der herstellertreiber durch die SFP lotsen. nur fuehren
solche tricksereien natuerlich das konzept einer SFP ad absurdum, und
nichts anderes wollte ich hier klarstellen.
--
frobnicate foo
Johannes Prantl
> Sag mir bitte, wie man das anders erklären soll?
Du fragtest, wie oft ich im Normalfall widerlegt werden muß, um den
Rückzug anzutreten. Was willst du überhaupt von mir? Welchen Rückzug
soll ich antreten? Aus dem Usenet? Ich kenne das Usenet noch nicht
vollständig, also werde ich mich vorerst nicht daraus zurückziehen,
falls du das meintest. Und was soll widerlegt werden? Ich oder meine
Argumente? Ich habe nicht immer recht, daß weiß ich; aber _du_
solltest mal _dein_ Verhalten überprüfen. Selbst wenn du im
Securitybereich eine Koryphäe darstellst, gibt dir das nicht das
Recht, mit deinen Mitmenschen auf so arrogante Weise umzugehen und sie
fast grundlos zu beleidigen. Im Netz gibt es Menschen, und das ist
etwas anderes als ein Computer, falls du das vergessen haben solltest.
Du mußt mal dein Sozialverhalten überprüfen. Es sei denn, du bist im
RL entweder Chef oder "Einzelkämpfer", dann könnte man dein Verhalten
halbwegs nachvollziehen.
ciao
- JP -
Johannes Prantl
> es ist ein kaputter, aber zertifizierte treiber im lieferumfang (ich
> schrieb das bereits). der NIC funktioniert im selben geraet mit
> anderen BS problemlos, und nach anwendung von ein wenig "Magie"
> laesst sich auch der herstellertreiber durch die SFP
> lotsen. nur fuehren solche tricksereien natuerlich das konzept
> einer SFP ad absurdum, und nichts anderes wollte ich hier
> klarstellen.
Normalerweise läßt sich auch ein nichtzertifizierter Treiber
installieren, Windoof macht dich dann darauf aufmerksam. Geht es bei
dir so, oder verwendest du andere Tricks?
Es mag auch sein, daß es in Einzelfällen Probleme geben kann, trotzdem
halte ich die WFP für eine sinnvolle Erfindung.
- JP -
Felix von Leitner
> > Sag mir bitte, wie man das anders erklären soll?
Und immer noch keine Antwort. Sollen wir jetzt Dummheit oder
willentliche Zersetzung annehmen?
Wolfgang Schelongowski
>Thus spake Andreas Schwarz (andreas...@gmx.de):
>> > Nein. Siehe http://www.fefe.de/pffaq/halbesicherheit.txt
>> Aha. Und was hat das damit zu tun, dass ich PFs zum Blockieren von Webbugs
>> für sinnvoll halte?
>Ich kann dir nur die Argumente nennen.
Die aber nichts mit seiner Frage zu tun haben.
[Felix's ObFlame entsorgt]
--
"Some people are heroes. And some people jot down notes."
-- Terry Pratchett, The Truth
Johannes Prantl
> willentliche Zersetzung annehmen?
Nimm doch an, was du willst.
- JP -
Alexander Stielau
> Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS (mit
> Version) zu bestimmen. Es kommt noch schlimmer: Wenn dein HTML-fähiges
Nur, wenn man 3.Weltsoftware einsetzt.
Ansonsten kommt das dabei rüber, was ich eintrage.
Z.B. meint Hafas dazu:
Browser-Erkennung mißlungen
Ihr WWW-Browser meldet sich mit dem Namen
Rowenta SteamIron 2.25 (de_DE; 2-bit)
aber die HTML-Fähigkeiten dieses Browsers sind hier nicht
bekannt. Bitte wählen Sie eine der folgenden Möglichkeiten:
Nur-Text-Browser (keine Tabellen, keine Bilder, kein Java usw.;
z.B. lynx, www oder Mail-Gateways)
Netscape Navigator 3.0 aufwärts oder kompatible (Tabellen, Bilder,
Frames, Java und JavaScript)
Damit kann ich hervorragend leben.
Aleks
--
Vorsorge ist besser als Nachtschicht.
Johannes Prantl
> "Johannes Prantl" <espoi...@mailexpire.com> writes:
> > Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS
> Nur, wenn man 3.Weltsoftware einsetzt.
> Ansonsten kommt das dabei rüber, was ich eintrage.
> Z.B. meint Hafas dazu:
3.Weltsoftware? Wo willst du was eintragen? Und was ist Hafas? Klär
mich mal auf.
ciao
- JP -
Hendrik Brummermann
>Andreas Schwarz wrote:
>AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
>in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
>Ich dachte, Javaskript abschalten wuerde reichen.
To: "Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de>
Content-Type: text/html
[...]
<body>
<img src=http://server/programm?urs.tr...@rz.tu-ilmenau.de>
Das "@" müsste man wahrscheinlich codieren, aber ich habe gerade keine
Tabelle zur Hand.
Urs [Ayahuasca] Traenkner
> "Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> wrote:
> >AFAIK funktioniert das mit dem Emailadressen uebermitteln doch nur
> >in Verbindung mit Javaskript, oder bin ich jetzt auf dem Holzweg?
> >Ich dachte, Javaskript abschalten wuerde reichen.
> To: "Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de>
> Content-Type: text/html
> [...]
> <body>
> <img src=http://server/programm?urs.tr...@rz.tu-ilmenau.de>
Alles klaerchen, Prinzip ist inzwischen erkannt. Und man kriegt es
sogar beim Netscape abgestellt (View - View attachment inline), ich
musste mir das zwar erklaeren lassen, weil ich irgendwie nur die
preferences durchgeackert hab' ("View" waere wohl zu einfach
gewesen), manchmal ist der Rueckfall ins DAU-Stadium eben doch
unvermeidlich.
Personal Firewalls sind toll.
*duck*
> Das "@" müsste man wahrscheinlich codieren, aber ich habe gerade keine
> Tabelle zur Hand.
%40 (fummelt groups.google in die URL ganz hintendran, der einzige
Weg, die MID rauszufinden, wenn sie es inzwischen nicht noch
irgendwohin malen - was sie wg. Hits schaetzungsweise nicht tun).
Gruss Urs...
--
Widerlich, adj. - Eigenart fremder Meinungen
Ambrose Bierce, Des Teufels Woerterbuch
Alexander Stielau
Du benutzt 3.Weltsoftware, wenn sie nicht in der Lage ist, den
HTTP_User_Agent anzugeben, den Du vorgibst.
Hafas ist ein Programm, mit dem Du Fahrpläne einsehen kannst und wird
z.B. von der deutschen Bahn verwendet, http://www.bahn.de.
Ansonsten sagt Dir Google, welche Webseiten als Service das Auslesen
von Browserinformationen bieten.
Marc
Ganz schoen arrogant geschrieben.
Marc
>> es in SPAM-Mails zur Adressverifikation eingebettete Dateien nicht
>> runterläd.
>
>Falscher Ansatz. Man sollte Ursachen bekämpfen, z.B. defekte
>Mailclients, statt an Symptomen herumzudoktern.
Ach, und wie passt das bitte schoen zum Ansatz "erstmal alles verbieten
und dann selektiv erlauben"? Also heute doch lieber erstmal alles
offen lassen und dann unkooperative Clients als "defekt" aussortieren?
Gerhard Schromm
> "Alexander Stielau" <al...@sailtraining.de> schrieb
>> "Johannes Prantl" <espoi...@mailexpire.com> writes:
>> > Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS
>> > (mit Version) zu bestimmen. Es kommt noch schlimmer: [...]
>> Nur, wenn man 3.Weltsoftware einsetzt.
>> Ansonsten kommt das dabei rüber, was ich eintrage.
>> Z.B. meint Hafas dazu:
>> Rowenta SteamIron 2.25 (de_DE; 2-bit)
>
> 3.Weltsoftware?
zB dein Newsreader (und andere Machwerke desselben Herstellers).
> Wo willst du was eintragen?
Das kommt darauf an. Wenn man vernünftige Software verwendet kann man
sowas eintragen.
> Und was ist Hafas?
<URL:http://www.google.com/> sollte wie meistens weiterhelfen.
> Klär mich mal auf.
Das sollten deine Eltern erledigt haben, bzw werden sie es noch tun.
Followup-To: de.test
bye Gerhard
Rainer Weikusat
> >> z.B. um einem Email-Programm HTTP-Verbindungen zu verbieten, damit
> >> es in SPAM-Mails zur Adressverifikation eingebettete Dateien nicht
> >> runterläd.
> >
> >Falscher Ansatz. Man sollte Ursachen bekämpfen, z.B. defekte
> >Mailclients, statt an Symptomen herumzudoktern.
>
> Ach, und wie passt das bitte schoen zum Ansatz "erstmal alles verbieten
> und dann selektiv erlauben"?
Überhaupt nicht. Der gehört in einen anderen Kontext.
--
stone me
Urs [Ayahuasca] Traenkner
> >http://www.fefe.de/pffaq/
> Ganz schoen arrogant geschrieben.
Lies noch http://www.fefe.de/pffaq/halbesicherheit.txt dazu, dann
wird's klarer. Felix ist nun mal sehr deutlich.
Hauke Heidtmann
> Hendrik Brummermann wrote:
>
>> Das "@" müsste man wahrscheinlich codieren, aber ich habe gerade keine
>> Tabelle zur Hand.
>
> %40 (fummelt groups.google in die URL ganz hintendran, der einzige
> Weg, die MID rauszufinden, wenn sie es inzwischen nicht noch
> irgendwohin malen - was sie wg. Hits schaetzungsweise nicht tun).
http://pamer.net/tools/url2mid.html könnte helfen :-)
Hauke
--
Nostalgie ist auch nicht mehr das, was es früher mal war.
Und die Zukunft war frueher auch besser.
[Manfred Russ und Ilja Schmelzer in dtj]
Patrick Kursawe
> %40 (fummelt groups.google in die URL ganz hintendran, der einzige
> Weg, die MID rauszufinden, wenn sie es inzwischen nicht noch
> irgendwohin malen - was sie wg. Hits schaetzungsweise nicht tun).
"view this article only"->"original format"
HTH,
Patrick
Robin S. Socha
> "Felix von Leitner" <usenet-...@fefe.de> schrieb
>> Immer noch keine Antwort? Sag mir bitte, wie man das anders erklären
>> soll?
> Du fragtest, wie oft ich im Normalfall widerlegt werden muß, um den
> Rückzug anzutreten. Was willst du überhaupt von mir?
Daß Du in einer technischen Newsgroup ein angemessenes Verhalten an den
Tag legst, sprich: aufhörst Falschinformationen zu verbreiten.
> Und was soll widerlegt werden? Ich oder meine Argumente?
Du interessierst nicht und Deine Argumente sind widerlegt.
> Selbst wenn du im Securitybereich eine Koryphäe darstellst, gibt dir
> das nicht das Recht, mit deinen Mitmenschen auf so arrogante Weise
> umzugehen und sie fast grundlos zu beleidigen.
Hier ist eine technische Newsgroup. Du redest Scheiße. Höflichkeit ist
damit nicht nur optional sondern obsolet.
Urs [Ayahuasca] Traenkner
So richtig veraltet?
Johannes Prantl
> Hier ist eine technische Newsgroup. Du redest Scheiße. Höflichkeit
> ist damit nicht nur optional sondern obsolet.
Seltsam. Du scheinst, außer per Internet, auch keine weiteren
Kontakte zu pflegen. Oder wie ist es zu erklären, daß du
Höflichkeit als obsolet empfindest? Und warum sollte Höflichkeit
von dem Thema einer Newsgroups abhängen?
- JP -
X-Post, f'up2dsnu
Johannes Prantl
> Du benutzt 3.Weltsoftware, wenn sie nicht in der Lage ist, den
> HTTP_User_Agent anzugeben, den Du vorgibst.
Welchen Sinn sollte es machen, einen selbstdefinierten User-Agenten
anzugeben, außer, um den Webserver zu verwirren?
ciao
- JP -
Johannes Prantl
> * Johannes Prantl <espoi...@mailexpire.com> schrieb:
> > Welchen Sinn sollte es machen, einen selbstdefinierten
> > User-Agenten anzugeben, außer, um den Webserver
> > zu verwirren?
Als ich mal den Datenschutz erwähnte, stieß es bei euch auf
Unverständnis. Und das Ändern des User-Agenten erreiche ich auch mit
meiner NIS oder mit A4Proxy (kann alles modifizieren). Da ich beides
immer am Laufen habe, brauche ich keinen alternativen Browser, der
zudem noch langsamer/inkompatibler ist.
ciao
- JP -
Felix von Leitner
> > ist damit nicht nur optional sondern obsolet.
> Seltsam. Du scheinst, außer per Internet, auch keine weiteren
> Kontakte zu pflegen. Oder wie ist es zu erklären, daß du
> Höflichkeit als obsolet empfindest? Und warum sollte Höflichkeit
> von dem Thema einer Newsgroups abhängen?
Johannes, die paar "Aussagen", die du getroffen hast, sind alle
widerlegt, und du hast hier noch nicht einen einzigen Beitrag geleistet.
Stattdessen nervst du hier herum und belästigst Regulars und Newbies und
verschwendest damit unsere Zeit, unsere Nerven und unser Geld und
verhinderst effektiv, daß hier Leuten geholfen wird. Und du so
demonstrierst uns am Laufenden Band deine Geringschätzung.
Daraus folgt: die unhöflichste Person, die diese Newsgroup seit ihrer
Einrichtung gesehen hat, bist du.
Aus deiner bisherigen Lernresistenz folgt, daß du das auch dieses Mal
nicht verstehen wirst. Würdest du weggehen, wenn wir dir eine eigene
Newsgroup einrichten? Wo du dich so richtig austrollen kannst?
Felix
Ulrich Eckhardt
> Unverständnis. Und das Ändern des User-Agenten erreiche ich auch mit
> meiner NIS oder mit A4Proxy (kann alles modifizieren). Da ich beides
Ist schon klar. Du hast immer alles am Laufen und kannst alles
Modifizieren. Anstatt nur dumm rum zu reden wäre es mal nützlich
wenn du was FUNKTIONIERENDES vorschlagen würdest. Oder
hast du zufällig einen Softwarevertrieb ?
> immer am Laufen habe, brauche ich keinen alternativen Browser, der
> zudem noch langsamer/inkompatibler ist.
Langsamer/Inkompatibler zu was ? Outlook ist da
ungeschlagen an der Spitze. Da gibts nichts
inkompatibleres.
Dürfte ich dich eventuell höflichst ersuchen
einfach irgendwo sterben zu gehen ? Danke.
Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany
Urs [Ayahuasca] Traenkner
> Thus spake Johannes Prantl (espoi...@mailexpire.com):
[Robin mosert]
> > Seltsam. Du scheinst, außer per Internet, auch keine weiteren
> > Kontakte zu pflegen. Oder wie ist es zu erklären, daß du
> > Höflichkeit als obsolet empfindest? Und warum sollte Höflichkeit
> > von dem Thema einer Newsgroups abhängen?
> Johannes, die paar "Aussagen", die du getroffen hast, sind alle
> widerlegt, und du hast hier noch nicht einen einzigen Beitrag geleistet.
Moechte ich nicht so stehenlassen.
Er sagt: ich nutze (Gruende seien dahingestellt) Windows 2000, und
bekomme nicht alle Ports geschlossen. Die Dienste dahinter
_scheinen_ zwar nichts zu machen, aber ich betrachte sie als
potentielles Sicherheitsrisiko. Demzufolge habe ich mir NIS
installiert, und zwar derart, dass NIS unter Administratorrechten
laeuft und ich unter einem normalen Useraccount unterwegs bin (ja,
sowas gibt es, ich war selber richtig erstaunt). Jetzt sind alle
Ports nach aussen geschlossen. Was ist daran auszusetzen?
Das, was ich bisher an "Argumenten" gehoert habe, hat mich nicht
vom Hocker gerissen.
- "Beschwer' Dich beim Hersteller." - sollte man vermutlich tun,
auch wenn es voraussichtlich nicht viel bringt, schliesst aber die
Ports nicht.
- "Wechsel das Betriebssystem!" - ja worauf denn? Win9x/ME?
Rueckschritt. WinNT? Kann manches nicht (USB z.B.).
Linux/Unix/BSD/VMS/etc.? Kann nicht ernstgemeint sein, weil jeder
weiss, dass sich Aepfel mit Birnen nicht vergleichen lassen und
bestimmte Anforderungsprofile eben Windows erfordern. Ja, das liegt
an der Softwarelandschaft und ist nicht Verdienst von Windows oder
gar dessen Qualitaet, ich weiss das schon. Und?
- "closed source ist Scheisse, damit ist auch NIS Scheisse" -
richtig, loest aber sein Problem nicht.
- "Geh weg." - Loest sein Problem nicht.
- "Geh sterben!" - Loest sein Problem nicht. Naja ;)
Den einzigen, den ich hier habe aeusserst tief in die Materie habe
eintauchen sehen, war Jonas Luster, der leider im entscheidenen
Moment keine Lust mehr hatte, weiter auf das Problem einzugehen.
Als Erkenntnis der Diskussion mit ihm ist mir verblieben: das
Schichtenmodell (L0..L3 laut MSDN, NDIS, TDI usw.) stinkt. "der
richtige ARP-storm" koenne in Verbindung mit "smart bits" solange
gegen die Firewall haemmern, bis diese ausser Funktion gesetzt ist.
Windows faehrt dummerweise bei Ueberlastung der HAL zuerst den
Output der Firewall runter und dann den Input. Ich glaube Jonas das
sogar, allerdings nuetzt mir diese Aussage genau eins: nichts. Mit
meinem aeusserst beschraenkten Wissen sage ich mir, als dial-in
user muss ich mich wohl kaum um einen ARP-storm kuemmern, da mich
mein Provider kaum mit ARP requests vollmuellen wird.
Moeglicherweise habe ich Jonas auch nicht richtig verstanden,
anyway, wenn ich die Information kriege, ist sie fuer mich nicht
verfuegbar und damit nicht existent.
Das einzige, was man noch als Argument ins Feld fuehren koennte,
waere die Frage, ob ihm seine Systemressourcen den Gewinn wert
sind, ob er der Firma Norton vertraut und von der Funktionalitaet
seiner NIS ueberzeugt ist. Hab' das Ding zwar noch nie aus der
Naehe gesehen, aber koennte wetten, es ist fuer so einen Fall rein
prinzipiell ueberdimensioniert.
Er sagt: sie sind es mir wert. Damit haette sich die Diskussion
ebenfalls erledigt.
Ach ja, bevor ich es vergesse, dass ein zweiter kleiner Rechner mit
irgendeinem unioxoiden Dings im Flur "die saubere Loesung" waere,
ist schon klar. Aber auch das ist nicht jedermanns Sache. Soll ja
wirklich Leute geben, die nur einen Rechner besitzen.
Ueber die restlichen Wortgefechte moechte ich keine Worte
verlieren. In meinen Augen machen diejenigen, die Hr. Prantl hier
runterputzen, ausnahmsweise mal eine schlechte Figur.
[schnips]
Auch der restlichen Argumentation kann ich mich in diesem Fall
nicht anschliessen.
Wolfgang Krietsch
<usenet-...@fefe.de> wrote:
>
>Ich kann dir nur die Argumente nennen.
Sofern man arrogantes Propagandageschafel als "Argumente" bezeichnen mag.
>Denken mußt du schon selber.
q.e.d.
Bye
woffi
--
'Bother!' said Pooh. 'It all comes of trying
to be kind to Heffalumps.'
Wolfgang Krietsch
Wolfgang Krietsch
<usenet-...@fefe.de> wrote:
>
>Ich kann dir nur die Argumente nennen.
Sofern man arrogantes Propagandageschwafel als "Argumente" bezeichnen mag.
Alexander Stielau
Bist Du wirklich so dämlich, oder kommst Du einfach nur aus dem Fido?
Du schreibst in <3b8f5...@news.arcor-ip.de>
,----
| Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS (mit
| Version) zu bestimmen. Es kommt noch schlimmer: Wenn dein HTML-fähiges
| Mailprogramm ein remotegelagertes Bild abruft, wird der User-Agent des
| Mailprogramms übermittelt, d.h. ein potentieller Angreifer kennt jetzt
| dein Mailprogramm und kann die nächste Mail mit entsprechenden
| Exploits versehen.
`----
Dann trägt man eben was anderes ein.
Johannes Prantl
> "Johannes Prantl" <espoi...@mailexpire.com> writes:
> > "Alexander Stielau" <al...@sailtraining.de> schrieb
> > > Du benutzt 3.Weltsoftware, wenn sie nicht in der Lage ist, den
> > > HTTP_User_Agent anzugeben, den Du vorgibst.
> > Welchen Sinn sollte es machen, einen selbstdefinierten
> > User-Agenten anzugeben, außer, um den Webserver zu verwirren?
> Bist Du wirklich so dämlich, oder kommst Du einfach nur aus dem
> Fido?
> Du schreibst in <3b8f5...@news.arcor-ip.de>
> > (mit Version) zu bestimmen. Es kommt noch schlimmer: Wenn dein
> > HTML-fähiges Mailprogramm ein remotegelagertes Bild abruft, wird
> > der User-Agent des Mailprogramms übermittelt, d.h. ein
> > potentieller Angreifer kennt jetzt dein Mailprogramm und kann die
> > nächste Mail mit entsprechenden Exploits versehen.
Mir ist schon klar, warum es Sinn macht, den User-Agenten des
Browsers zu verändern. Darum ging es aber nicht, sondern um
HTML-fähige Mailprogramme. Außerdem bringt es relativ wenig, den
User-Agenten des Browsers zu ändern, da es auch noch andere
$Möglichkeiten gibt, den Browser und das OS zu ermitteln. Eben jene
$Möglichkeiten treffen aber nicht auf HTML-fähige Mailprogramme, wie
Outlook zu, um die es mir eigentlich ging (s.o.). Und bei welchem
HTML-Mailprogramm kann man wohl den HTTP_User-Agent ändern?
ciao
- JP -
Urs [Ayahuasca] Traenkner
> "Johannes Prantl" <espoi...@mailexpire.com> writes:
> > Welchen Sinn sollte es machen, einen selbstdefinierten User-Agenten
> > anzugeben, außer, um den Webserver zu verwirren?
> Du schreibst in <3b8f5...@news.arcor-ip.de>
> ,----
> | Über den HTTP_User-Agent. So ist es problemlos möglich, dein OS (mit
> | Version) zu bestimmen. Es kommt noch schlimmer: Wenn dein HTML-fähiges
> | Mailprogramm ein remotegelagertes Bild abruft, wird der User-Agent des
> | Mailprogramms übermittelt, d.h. ein potentieller Angreifer kennt jetzt
> | dein Mailprogramm und kann die nächste Mail mit entsprechenden
> | Exploits versehen.
> `----
> Dann trägt man eben was anderes ein.
Ich persoenlich wuerde ja vorschlagen, einen "non exploitable" MUA
zu verwenden.
"Was anderes eintragen" riecht doch verdaechtig nach "security by
obscurity".
Meinjanur, Gruss Urs...
Johannes Prantl
> Stattdessen nervst du hier herum und belästigst
> Regulars und Newbies und verschwendest damit unsere Zeit,
> unsere Nerven und unser Geld und verhinderst effektiv, daß
> hier Leuten geholfen wird. Und du so demonstrierst uns
> am Laufenden Band deine Geringschätzung.
Felix, ich will nicht erneut diesen Streit anheizen. Aber eines möchte
ich noch dazu sagen: wenn du meinst, daß ich deine Zeit und deine
Nerven verschwende, mußt du mich nicht lesen und du mußt auch nicht
antworten. Dein Geld verschwende ich wohl kaum, oder rechnet clara.net
volumenabhängig ab? Weiterhin wird mit Beschimpfungen keinem geholfen.
Und ja, ich denke geringschätzig über Leute, die hier ihre
Kaninchenzüchtermentalität zur Schau stellen.
> Daraus folgt: die unhöflichste Person, die diese Newsgroup seit
> ihrer Einrichtung gesehen hat, bist du.
Wenn du meinst. Aber da kennst du mich schlecht. ICH bin nicht
'per default' unhöflich; das ist nur eine Reaktion.
> Würdest du weggehen, wenn wir dir eine eigene
> Newsgroup einrichten? Wo du dich so richtig austrollen kannst?
Du kannst es nicht lassen, deine Postings mit einer Beschimpfung enden
zu lassen.
Damit möchte ich diesen Streit beenden, f'up2poster.
ciao
- JP -
Alexander Stielau
> Ich persoenlich wuerde ja vorschlagen, einen "non exploitable" MUA
> zu verwenden.
Latürnich.
> "Was anderes eintragen" riecht doch verdaechtig nach "security by
> obscurity".
Latürnich - auf einem 3.Weltsystem.
Auf einem sicheren System aber vor allem nach Spaß - auch für den, der
die Logfiles liest.
Ich brauche keine für 'meinen' Browser optimierten Webseiten. Das ist
eine totale Perversion des eigentlichen Gedankens.
Felix von Leitner
> Er sagt: ich nutze (Gruende seien dahingestellt) Windows 2000, und
> bekomme nicht alle Ports geschlossen.
Schlußfolgerung eines Menschen mit Gehirn: Windows -> Tonne.
Schlußfolgerung von JP: "ich installiere mal noch ein bißchen
undurchsichtige Schrottware dazu und boote ein paar Mal neu und dann
wird das schon funzen".
> Die Dienste dahinter _scheinen_ zwar nichts zu machen, aber ich
> betrachte sie als potentielles Sicherheitsrisiko. Demzufolge habe ich
> mir NIS installiert, und zwar derart, dass NIS unter
> Administratorrechten laeuft und ich unter einem normalen Useraccount
> unterwegs bin (ja, sowas gibt es, ich war selber richtig erstaunt).
> Jetzt sind alle Ports nach aussen geschlossen. Was ist daran
> auszusetzen?
Wer sagt dir denn, daß NIS keine Buffer Overflows hat?
Wer sagt dir denn, daß NIS nicht Pakete entgegen der Regeln behandelt,
wenn die Sekunden seit dem Reboot durch 23 teilbar sind?
Wer sagt dir denn, daß NIS nicht Dateien von deiner Festplatte zu
Symantec schickt?
"Der Hersteller". Na prima. Wie vertrauenswürdig.
> - "Wechsel das Betriebssystem!" - ja worauf denn? Win9x/ME?
> Rueckschritt. WinNT? Kann manches nicht (USB z.B.).
> Linux/Unix/BSD/VMS/etc.? Kann nicht ernstgemeint sein, weil jeder
> weiss, dass sich Aepfel mit Birnen nicht vergleichen lassen und
> bestimmte Anforderungsprofile eben Windows erfordern. Ja, das liegt
> an der Softwarelandschaft und ist nicht Verdienst von Windows oder
> gar dessen Qualitaet, ich weiss das schon. Und?
Wenn er seine Arbeit mangels vertrauenswürdiger Software nicht
durchführen kann, dann soll er sie halt nicht durchführen. Wieso sollte
ich ihm da eine Alternative nennen?
Ich kann dir nur sagen, daß die Erde rund ist. Wenn du dann keine
Weltscheiben mehr verkaufen kannst, weil dir das Wissen fehlt, um
einen kugelförmigen Globus zu kaufen, dann ist das nicht meine Schuld!
Fakten werden nicht weniger zutreffend, wenn sie JP am Arbeiten hindern!
> - "Geh weg." - Loest sein Problem nicht.
> - "Geh sterben!" - Loest sein Problem nicht. Naja ;)
Das löst aber unser Problem hier mit ihm.
> Den einzigen, den ich hier habe aeusserst tief in die Materie habe
> eintauchen sehen, war Jonas Luster, der leider im entscheidenen
> Moment keine Lust mehr hatte, weiter auf das Problem einzugehen.
Warum auch. JP versteht davon kein Wort.
Und wenn du ohne Jonas' Ausführungen das Modell von Windows nicht
nachvollziehen kannst, dann ist das EIN WEITERES BELEG dafür, daß man
Windows und dem Netzwerk-Code von Microsoft nicht trauen kann.
> Moeglicherweise habe ich Jonas auch nicht richtig verstanden,
> anyway, wenn ich die Information kriege, ist sie fuer mich nicht
> verfuegbar und damit nicht existent.
Tolle Reaktion, wenn du im Tunnel stehst und plötzlich Lichter auf dich
zu kommen.
Kannst du nicht nachvollziehen, also leugnest du ihre Existenz.
> Ach ja, bevor ich es vergesse, dass ein zweiter kleiner Rechner mit
> irgendeinem unioxoiden Dings im Flur "die saubere Loesung" waere,
> ist schon klar.
Nein. Die saubere Lösung wäre, wenn er überhaupt keine unsichere
Software einsetzt und daher keine Sicherheitsvorkehrungen braucht.
Felix von Leitner
Doch, natürlich.
Du bist mehrfach widerlegt worden, man hat dir die Lektüre diverser
Dokumente und die Benutzung von Suchmaschinen angetragen, und man hat
dich mehrfach freundlich und unfreundlich aufgefordert, deine Sabotage
hier einzustellen und das Weite zu suchen.
Und jetzt postest du schon wieder! NATÜRLICH willst du den Streit
anheizen! Nichts anderes hast du bisher getan, und vermutlich wirst du
auch in Zukunft nichts anderes tun.
> Aber eines möchte ich noch dazu sagen: wenn du meinst, daß ich deine
> Zeit und deine Nerven verschwende, mußt du mich nicht lesen und du
> mußt auch nicht antworten. Dein Geld verschwende ich wohl kaum, oder
> rechnet clara.net volumenabhängig ab?
Who cares? In der Zeit hätte ich auch Software schreiben und verkaufen
können. Ich habe mich aber entschieden, hier Leuten zu helfen zu
versuchen. Das kostet mich Geld. Ob ich das freiwillig mache oder
nicht spielt keine Rolle.
> Weiterhin wird mit Beschimpfungen keinem geholfen.
Doch. Mindestens dreien habe ich mit Beschimpfungen geholfen.
Im Übrigen beschimpfe ich nur unhöfliche Leute, die also keinerlei
Legitimation haben, sich darüber zu beschweren.
> Und ja, ich denke geringschätzig über Leute, die hier ihre
> Kaninchenzüchtermentalität zur Schau stellen.
Ah, Leute wie du, ja? Nichts zu sagen haben, aber ständig anderen
Leuten auf der Tasche liegen, ja? Wenn MacDonald's Cola kostenlos
auffüllen würde, würdest du dich dann auch da hinstellen und extra
langsam eingießen, damit die anderen möglichst lange warten müssen?
Ich kenne mehrere Kleinkinder, die sich sozialer verhalten als du.
Ich kenne auch "Problemkinder" als Kinderheimen, die sich sozialer
verhalten als du.
> > Daraus folgt: die unhöflichste Person, die diese Newsgroup seit
> > ihrer Einrichtung gesehen hat, bist du.
> Wenn du meinst. Aber da kennst du mich schlecht. ICH bin nicht
> 'per default' unhöflich; das ist nur eine Reaktion.
Oh, klar. Natürlich.
Sicher hälst du dich für unschuldig. Fast niemand begeht Verbrechen in
der Absicht, jetzt mal so richtig das Gesetz zu brechen. Alle halten
sich für heimliche Wohltäter oder argumentieren, daß das ja eh alle so
machen.
Fakt ist nur, daß du außer deiner Inanspruchnahme der Geduld, Zeit und
Hilfe anderer hier genau NICHTS beiträgst.
Urs [Ayahuasca] Traenkner
[Browserkennung umaendern]
> "Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> writes:
> > "Was anderes eintragen" riecht doch verdaechtig nach "security by
> > obscurity".
> Latürnich - auf einem 3.Weltsystem.
> Auf einem sicheren System aber vor allem nach Spaß - auch für den, der
> die Logfiles liest.
Naja, lustiges feature vielleicht, aber _brauchen_ tut man das
nicht.
> Ich brauche keine für 'meinen' Browser optimierten Webseiten. Das ist
> eine totale Perversion des eigentlichen Gedankens.
Ich werd' auch immer ganz erschrocken angeguckt, wenn ich so
Weisheiten a la "Seiten mit Flash schaue ich mir nicht an, da ist
mir der Informationsgehalt einfach zu niedrig" von mir gebe :) Und
wenn ich dann meine Lieblingswebseiten praesentiere, halten mich
alle fuer einen Alien...
Urs [Ayahuasca] Traenkner
> Thus spake Urs [Ayahuasca] Traenkner (urs.tr...@rz.tu-ilmenau.de):
> > Er sagt: ich nutze (Gruende seien dahingestellt) Windows 2000, und
> > bekomme nicht alle Ports geschlossen.
> Schlußfolgerung eines Menschen mit Gehirn: Windows -> Tonne.
s.u.
> Schlußfolgerung von JP: "ich installiere mal noch ein bißchen
> undurchsichtige Schrottware dazu und boote ein paar Mal neu und dann
> wird das schon funzen".
Hm, ja, einen vernuenftigen Paketfilter auf Windows-Basis habe ich
tatsaechlich noch nicht gesehen. Schade eigentlich.
> > [...] dass NIS unter
> > Administratorrechten laeuft und ich unter einem normalen Useraccount
> > unterwegs bin (ja, sowas gibt es, ich war selber richtig erstaunt).
> > Jetzt sind alle Ports nach aussen geschlossen. Was ist daran
> > auszusetzen?
> Wer sagt dir denn, daß NIS keine Buffer Overflows hat?
> Wer sagt dir denn, daß NIS nicht Pakete entgegen der Regeln behandelt,
> wenn die Sekunden seit dem Reboot durch 23 teilbar sind?
> Wer sagt dir denn, daß NIS nicht Dateien von deiner Festplatte zu
> Symantec schickt?
Beweisen kann's keiner, jedenfalls nicht unter vertretbarem
Aufwand.
> "Der Hersteller". Na prima. Wie vertrauenswürdig.
Nicht vertrauenswuerdig, ja. Naja, ich kann mich zumindest noch an
Zeiten erinnern, da waren die Norton Utilities richtig schicke
Software. Hat sich aber seit Windows.
Anyway, wenn derjenige das noetige Vertrauen in die Aussage des
entspr. Herstellers setzt, soll er das doch gerne tun.
Ich will jetzt keine erneute Diskussion open vs. closed source
fuehren.
> > - "Wechsel das Betriebssystem!" - ja worauf denn? [...]
> Wenn er seine Arbeit mangels vertrauenswürdiger Software nicht
> durchführen kann, dann soll er sie halt nicht durchführen. Wieso sollte
> ich ihm da eine Alternative nennen?
So eine Ansicht ist, mit Verlaub, weltfremd. Die Welt ist von
Macintosh auch nicht untergegangen, im Gegenteil, sie ist von
Werbung ueberflutet (dieser Querbezug stammt aus der Ansicht, dass
in der Welt der Werbung hauptsaechlich mit Mac gearbeitet wird),
und das, obwohl Mac AFAIK auch keinen Source fuer ihr OS
ausliefert. Und Adobe keinen Source fuer Photoshop und Illustrator.
Und QuarkXPress kommt auch nicht mit Source daher.
Es gibt hinreichend viel Software, die
a) fuer manche Berufe noetig ist
b) deren Source nicht verfuegbar ist und
c) die nur auf Windows (& Mac wegen mir) portiert vorliegt
"dann soll er seine Arbeit halt nicht durchfuehren", das ist doch
Schmarrn. Irgendwie muss jeder seine Broetchen verdienen.
> Ich kann dir nur sagen, daß die Erde rund ist. Wenn du dann keine
> Weltscheiben mehr verkaufen kannst, weil dir das Wissen fehlt, um
> einen kugelförmigen Globus zu kaufen, dann ist das nicht meine Schuld!
Hinkender Vergleich.
Linux (enter_your_favourite_OS_here) ist nicht das bessere Windows.
Dieser schoene Spruch stammt, wie Du weisst, von einer der besten
Referenzen, auf die man sich beziehen kann.
> > Den einzigen, den ich hier habe aeusserst tief in die Materie habe
> > eintauchen sehen, war Jonas Luster, der leider im entscheidenen
> > Moment keine Lust mehr hatte, weiter auf das Problem einzugehen.
> Warum auch. JP versteht davon kein Wort.
> Und wenn du ohne Jonas' Ausführungen das Modell von Windows nicht
> nachvollziehen kannst, dann ist das EIN WEITERES BELEG dafür, daß man
> Windows und dem Netzwerk-Code von Microsoft nicht trauen kann.
Zuviel der Ehre, vielleicht ist das auch ein Beleg, dass ich
einfach ein bisschen zu doof bin ;)
> > Moeglicherweise habe ich Jonas auch nicht richtig verstanden,
> > anyway, wenn ich die Information kriege, ist sie fuer mich nicht
> > verfuegbar und damit nicht existent.
> Tolle Reaktion, wenn du im Tunnel stehst und plötzlich Lichter auf dich
> zu kommen.
> Kannst du nicht nachvollziehen, also leugnest du ihre Existenz.
Du verstehst mich falsch, was das angeht, es war sicherlich auch
nicht die gluecklichste Formulierung.
Es mag zwar sein, dass es einen Weg gibt, dank eines "design flaw"
in der Betriebssystemstruktur von Windows _jeden_ hostbasierten
Filter auszuhebeln, aber wenn mir den keiner verraet, dann muss ich
wohl davon ausgehen, dass es nicht geht. Und die bisher
angefuehrten Behauptungen sind zu vage.
Um nochmal auf das Grundkonstrukt von Sicherheit zurueckzukommen:
das Bekanntwerden einer theoretischen Sicherheitsluecke ist rein
konzeptionell mit dem vorhandenen exploit gleichzusetzen (deswegen
sind auch die "aber y3k arbeitet nicht zuverlaessig, man merkt,
wenn er $PF abschiesst"-Argumente so scheissendoof) , das Konzept
muss ueberdacht werden, um diese Luecke zu schliessen. Diesem
Gedankengang kann ich mich ohne Einschraenkung anschliessen und
werde auch weiterhin vehement vertreten, dass ein hostbasierter
Filter (PF halt), der unter denselben Rechten wie der Useraccount
laeuft, rein konzeptionell keinen Sinn machen kann und man das
deswegen anders loesen muss.
Wenn nun einer daher kommt, der offensichtliche Maengel seines OS
(das er, aus welchen Gruenden auch immer, nicht wechseln will - und
das ist einzig und allein seine Entscheidung!) mit einem
prinzipiell vernuenftigen Konzept auszugleichen versucht, dann
werde ich mir nicht anmassen, denjenigen per se fuer daemlich zu
erklaeren. Und "meine PF laeuft unter root, ich arbeite als User"
hat _fuer mich_ auf den ersten Blick keine konzeptionelle
Schwaeche, wenn man eine Vertrauenswuerdigkeit der PF voraussetzt.
Die Frage danach muss ohnehin jeder fuer sich selbst entscheiden.
Fuer den von uns besprochenen Problemfall muss man rein prinzipiell
abwaegen zwischen (mal nur die Nachteile):
1. mit PF bei entspr. Rechteverwaltung: Erhoehung der TCB und damit
gesenkte Sicherheit. Nichtvertrauenswuerdiger Hersteller der PF,
damit potentieller Unsicherheitsfaktor ins System eingefuegt.
2. ohne PF: irgendwelche nichtdeaktivierbaren Dienste sind am
Laufen, die als potentielles Angriffsziel zu werten sind.
Da ich mir nicht anmassen moechte, 1. und 2. in Sachen
Gefaehrlichkeit zu quantifizieren, sei diese Entscheidung jedem
selbst ueberlassen. Wenn es denn schon Windows sein muss (und ich
glaube sogar, dass es das manchmal muss), dann darf es von mir aus
auch 1. sein.
> > Ach ja, bevor ich es vergesse, dass ein zweiter kleiner Rechner mit
> > irgendeinem unioxoiden Dings im Flur "die saubere Loesung" waere,
> > ist schon klar.
> Nein. Die saubere Lösung wäre, wenn er überhaupt keine unsichere
> Software einsetzt und daher keine Sicherheitsvorkehrungen braucht.
Wie ich sagte, das ist weltfremd.
Dass nicht jeder der 85 Prozent PC-Nutzer sein Windows wirklich
braucht, ist eine Sache. Dass es fuer manche Anforderungsprofile
eben doch noetig ist, eine andere. Abgesehen davon moechte ich
nicht wissen, wie die Sicherheitslandschaft aussehen wuerde, wenn
85 Prozent der PCs weltweit unter Linux laufen wuerden. Die meisten
grossen Sicherheitsprobleme in unserer jetzigen Welt resultieren
aus Konfigurationsmaengeln, nix anderes. Code Red ist bspw. nur
deswegen so erfolgreich, weil sich degenerierte Schulkiddies "31337
Windozs 2K S3rV3R" installieren, ohne Plan von der Materie zu
haben.
Und dass Windows in der "richtigen" Serverlandschaft nix zu suchen
hat, daran muss man [TM] nicht zweifeln.
Urs [Ayahuasca] Traenkner
Hallo Urs,
> Es mag zwar sein, dass es einen Weg gibt, dank eines "design flaw"
> in der Betriebssystemstruktur von Windows _jeden_ hostbasierten
> Filter auszuhebeln, aber wenn mir den keiner verraet, dann muss ich
> wohl davon ausgehen, dass es nicht geht. Und die bisher
> angefuehrten Behauptungen sind zu vage.
Der Vollstaendigkeit halber: Jonas' Aussage sprach von einem
"richtigen ARP storm", den ich als dial in user nicht fuerchten
muss, wie mich deucht. Denn ohne Ethernet auch kein ARP storm,
oder?
Ulrich Eckhardt
>
> Es mag zwar sein, dass es einen Weg gibt, dank eines "design flaw"
> in der Betriebssystemstruktur von Windows _jeden_ hostbasierten
> Filter auszuhebeln, aber wenn mir den keiner verraet, dann muss ich
> wohl davon ausgehen, dass es nicht geht. Und die bisher
> angefuehrten Behauptungen sind zu vage.
Hi,
es gibt eine goldene Regel, dass auf einem Packetfilter eigentlich
nichts weiter als die Packetfilter existieren sollten und nur
der Administrator auf dem Rechner was zu suchen hat.
Grund ist, das es durch Sicherheitslücken in anderer Software
eben für einen normalen User möglich sein kann (Beispiele gibts
eigentlich für jedes Betriebssystem genug) root privilegien
zu erlangen.
[..]
> Fuer den von uns besprochenen Problemfall muss man rein prinzipiell
> abwaegen zwischen (mal nur die Nachteile):
>
> 1. mit PF bei entspr. Rechteverwaltung: Erhoehung der TCB und damit
> gesenkte Sicherheit. Nichtvertrauenswuerdiger Hersteller der PF,
> damit potentieller Unsicherheitsfaktor ins System eingefuegt.
>
> 2. ohne PF: irgendwelche nichtdeaktivierbaren Dienste sind am
> Laufen, die als potentielles Angriffsziel zu werten sind.
>
> Da ich mir nicht anmassen moechte, 1. und 2. in Sachen
> Gefaehrlichkeit zu quantifizieren, sei diese Entscheidung jedem
> selbst ueberlassen. Wenn es denn schon Windows sein muss (und ich
> glaube sogar, dass es das manchmal muss), dann darf es von mir aus
> auch 1. sein.
Für jemanden, der wirklich auf seinen Rechner angewiesen ist,
(was ich voraussetze wenn sich jemand irgendwelche
Services installiert) gibts noch eine dritte Möglichkeit.
Einen günstigen Rechner/Router mit Packetfilter. Jemand der
sich einen Rechner mit W2K zulegt und den produktiv
nutzen will/muss sollte wirklich nicht am falschen Ende
sparen. Mit dem Router kann man dann halbwegs zuverlässig
alles problematische Sperren ohne das hirnrissige Konzept
einer PF in Kauf nehmen zu müssen, oder befürchten zu
müssen, dass die PF sang und klanglos ihren Dienst nach
irgendeiner Installationsorgie einstellt.
Felix von Leitner
> > undurchsichtige Schrottware dazu und boote ein paar Mal neu und dann
> > wird das schon funzen".
> Hm, ja, einen vernuenftigen Paketfilter auf Windows-Basis habe ich
> tatsaechlich noch nicht gesehen. Schade eigentlich.
Urs, lies dir bitte folgenden Satz in aller Ruhe durch:
Auch unter Linux ist ein Paketfilter auf der Workstation sinnfrei.
Paketfilter kommen auf eigene Hardware. Sonst setzt am Ende noch jemand
exim als MTA ein und über einen Format String Bug holt sich jemand
Zugang, über einen anderen sudo-Bug holt er sich root, und deaktiviert
deine Regeln.
Bei Windows kommt halt verschärfend hinzu, daß
a. das Betriebssystem ausgesprochen vertrauensunwürdig ist.
b. der Hersteller sich Kunden gegenüber aktiv feinselig verhält.
c. der Hersteller bewiesen hat, daß er von Sicherheit und Software-
Entwicklung keine Ahnung hat.
d. bei Windoze 9x/ME der User mit Administrator-Privilegien arbeitet.
e. bei Windoze NT/2k der User auch häufig mit Admin-Privilegien
arbeitet, weil er sonst Office/whatever nicht einsetzen kann.
f. der Quellcode für den Paketfilter nicht vorliegt.
g. der Quellcode für das Betriebssystem nicht vorliegt.
> > > - "Wechsel das Betriebssystem!" - ja worauf denn? [...]
> > Wenn er seine Arbeit mangels vertrauenswürdiger Software nicht
> > durchführen kann, dann soll er sie halt nicht durchführen. Wieso sollte
> > ich ihm da eine Alternative nennen?
> So eine Ansicht ist, mit Verlaub, weltfremd.
Entschuldige mal bitte?!
Die im Moment schönste Analogie ist Lipobay.
Bayer verkauft ein Medikament, das in vielen Fällen geholfen hat, aber
in manchen Fällen großen Schaden verursacht hat.
Symantec verkauft eine PF, die in vielen Fällen geholfen hat, aber in
manchen Fällen großen Schaden verursacht hat.
Als Bayer damit konfrontiert wird, stellt Bayer die Produktion ein,
zieht das Produkt aus dem Welthandel zurück, fährt einen
Milliardenverlust ein und wird noch von zig Behörden verfolgt und von
Opfern verklagt.
Und bei PFs? "Nein, das darf nicht veröffentlicht werden, weil so viele
Leute ja dann gar nicht arbeiten können, wenn ihnen klar wird, daß sie
echt große Sicherheitsprobleme haben."?!
Das ist ja wohl grotesk! Man muß die Leute aufklären, was sie da für
einen Klump angedreht bekommen!
> > Warum auch. JP versteht davon kein Wort.
> > Und wenn du ohne Jonas' Ausführungen das Modell von Windows nicht
> > nachvollziehen kannst, dann ist das EIN WEITERES BELEG dafür, daß man
> > Windows und dem Netzwerk-Code von Microsoft nicht trauen kann.
> Zuviel der Ehre, vielleicht ist das auch ein Beleg, dass ich
> einfach ein bisschen zu doof bin ;)
Ja und? Du kannst die Funktionsweise deines Betriebssystems nicht
nachvollziehen. Also benutzt du es nicht. Ist ja wohl vollkommen
glasklar! Es gibt Fachleute, die davon leben, Leuten zu helfen, die
ihren Rechner nicht verstehen.
> > Nein. Die saubere Lösung wäre, wenn er überhaupt keine unsichere
> > Software einsetzt und daher keine Sicherheitsvorkehrungen braucht.
> Wie ich sagte, das ist weltfremd.
Unfug. Es ist erreichbar. Es gibt Leute, die es bereits erreicht
haben.
> Dass nicht jeder der 85 Prozent PC-Nutzer sein Windows wirklich
> braucht, ist eine Sache. Dass es fuer manche Anforderungsprofile
> eben doch noetig ist, eine andere. Abgesehen davon moechte ich
> nicht wissen, wie die Sicherheitslandschaft aussehen wuerde, wenn
> 85 Prozent der PCs weltweit unter Linux laufen wuerden. Die meisten
> grossen Sicherheitsprobleme in unserer jetzigen Welt resultieren
> aus Konfigurationsmaengeln, nix anderes. Code Red ist bspw. nur
> deswegen so erfolgreich, weil sich degenerierte Schulkiddies "31337
> Windozs 2K S3rV3R" installieren, ohne Plan von der Materie zu
> haben.
Tolle Argumentation! Microsoft liefert einen Webserver mit ihrem
Betriebssystem aus, und wer ihn installiert, ist halt selber schuld?!
Nein, Urs, so läuft das nicht. Wer Windows installiert und sich damit
Sicherheitslücken einfährt, ist _nicht_ selber schuld, sondern es gibt
ein Gesetz, das regelt, daß Microsoft schuld ist.
Wer sich dann allerdings zu fein ist, bei Microsoft Streß zu machen,
_der_ ist selber schuld.
Felix Engel
>> eben doch noetig ist, eine andere. Abgesehen davon moechte ich
>> nicht wissen, wie die Sicherheitslandschaft aussehen wuerde, wenn
>> 85 Prozent der PCs weltweit unter Linux laufen wuerden. Die meisten
>> grossen Sicherheitsprobleme in unserer jetzigen Welt resultieren
>> aus Konfigurationsmaengeln, nix anderes. Code Red ist bspw. nur
>> deswegen so erfolgreich, weil sich degenerierte Schulkiddies "31337
>> Windozs 2K S3rV3R" installieren, ohne Plan von der Materie zu
>> haben.
> Tolle Argumentation! Microsoft liefert einen Webserver mit ihrem
> Betriebssystem aus, und wer ihn installiert, ist halt selber schuld?!
> Nein, Urs, so läuft das nicht. Wer Windows installiert und sich damit
> Sicherheitslücken einfährt, ist _nicht_ selber schuld, sondern es gibt
> ein Gesetz, das regelt, daß Microsoft schuld ist.
Sind dann auch Suse, Mandrake, Redhat, die Debians, Caldera u.s.w
schuld, die still und heimlich bei 'ner Standard-Installation einen
Haufen unnötiger Dienste hochfahren. Wer braucht sendmail, portmapper,
apache, ident, finger u.v.m auf seiner workstation ?
Gruß, Felix
Rainer Weikusat
> Sind dann auch Suse, Mandrake, Redhat, die Debians, Caldera u.s.w
> schuld, die still und heimlich bei 'ner Standard-Installation einen
> Haufen unnötiger Dienste hochfahren. Wer braucht sendmail, portmapper,
> apache, ident, finger u.v.m auf seiner workstation?
Wenn man mal davon absieht, daß Deine Informationen nicht ganz
up-to-date sind: Natürlich.
Deswegen gibt es vendor updates. Sogar von M$. Da dauert es nur was
und man kann nie so genau wissen, was man letztlich in die Hand
gedrückt bekommt.
--
stone me
Johannes Prantl
> Software einsetzt und daher keine Sicherheitsvorkehrungen braucht.
> haben.
Da mußt du das OS und alle Anwendungen selbst entwickelt haben, damit
absolute Transparenz gewährleistet ist. Hast du auch noch was anderes
zu tun, außer den ganzen Tag vor der Kiste zu hocken?
- JP -
Felix Engel
> Wenn man mal davon absieht, daß Deine Informationen nicht ganz
> up-to-date sind: Natürlich.
Die Liste war sicher etwas zu lang, aber übertreiben macht nunmal
anschaulich :-)
Und auch eine Stock-Debian (das was vor einem Monat als Stable lief)
oder eine Mandrake 8.0 oder die Redhat 7.1 haben alle mindestens noch
einen Port 25 listener, den Web Server, Telnet und den Portmapper offen.
> Deswegen gibt es vendor updates. Sogar von M$. Da dauert es nur was
Es geht mir nicht primär um die Bugs. Bedenklicher ist, daß die ganzen
Server per default installiert _und_ gestartet werden.
Zumal diese Dienste dann in aller Regel auch nicht konfiguriert sind.
Ich glaube jedenfalls, daß die Sicherheitsprobleme wesentlich grösser wären,
wenn diese Linux-Distributionen so verbreitet wären, wie Windows 95/98/ME.
Gruß, Felix
Felix von Leitner
Nein. Schon wieder lügst du.
Kannst du nicht zur Abwechslung mal an einer einzigen Stelle einen
einzigen sinnvollen Kommentar, vielleicht noch eine wahre Aussage
posten?
> damit absolute Transparenz gewährleistet ist. Hast du auch noch was
> anderes zu tun, außer den ganzen Tag vor der Kiste zu hocken?
Ja. Ich berate Kunden.
Und ab und zu helfe ich noch Leuten im Usenet, wenn mir nicht mal
wieder ein Troll wie du die Zeit klaut.
Philipp Schulte
> Und auch eine Stock-Debian (das was vor einem Monat als Stable lief)
> oder eine Mandrake 8.0 oder die Redhat 7.1 haben alle mindestens noch
> einen Port 25 listener, den Web Server, Telnet und den Portmapper offen.
Zumindest im Fall von Debian 2.2 stimmt deine Aussage nicht. Nach der
Basis-Installation sind genau keine Dienste aktiviert. Ich habe mich
über die vermeintlich standardmäßig installierten Dienste auch oft
geärgert, mußte aber umdenken.
Der Trick besteht darin, dselect nicht aufzurufen (was per default
auch nicht geschieht).
Phil
Andreas Schwarz
> Dürfte ich dich eventuell höflichst ersuchen
> einfach irgendwo sterben zu gehen ? Danke.
Meinst du wirklich, dass solche Sprüche das (miserable) Klima in dieser NG
verbessern können?
Jeder Thread mit $MS_PRODUKT oder $PF im Subject endet mit Beschimpfungen,
Beschuldigungen, Beleidigungen...
MfG
Andreas
--
www.mikrocontroller.net
AVR-Tutorial, Forum und Linkliste
Suchmaschine für 4800 Mikrocontrollerseiten
Rainer Weikusat
> Und auch eine Stock-Debian hat alle mindestens noch
> einen Port 25 listener, den Web Server, Telnet und den Portmapper
> offen.
Bis auf den Portmapper ist das falsch.
> Ich glaube jedenfalls, daß die Sicherheitsprobleme wesentlich grösser wären,
> wenn diese Linux-Distributionen so verbreitet wären, wie Windows
> 95/98/ME.
... und Glaube kann bekanntlich Berge versetzen.
--
stone me
Marc Haber
Potato-Netbase umfasst IIRC den portmapper.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Johannes Prantl
> > außer den ganzen Tag vor der Kiste zu hocken?
> Ja. Ich berate Kunden.
Selten so gelacht! Wenn du mit deinen "Kunden" so umspringst wie mit
uns hier, und deine Kunden dürften noch viel weniger wissen als wir
hier, denn sonst müßtest du sie nicht beraten, ist es erstaunlich, daß
du noch nicht bankrott bist. Oder vielleicht stehst du kurz davor, und
mußt dich im Usenet erstmal abreagieren. Ja, so könnte es sein!
- JP -
Florian Weimer
> >Zumindest im Fall von Debian 2.2 stimmt deine Aussage nicht. Nach der
> >Basis-Installation sind genau keine Dienste aktiviert. Ich habe mich
> >über die vermeintlich standardmäßig installierten Dienste auch oft
> >geärgert, mußte aber umdenken.
> >Der Trick besteht darin, dselect nicht aufzurufen (was per default
> >auch nicht geschieht).
>
> Potato-Netbase umfasst IIRC den portmapper.
Dieser wird mittlerweile wohl für NFS-Mounts gebraucht. :-(
Felix von Leitner
> > > Hast du auch noch was anderes zu tun,
> > > außer den ganzen Tag vor der Kiste zu hocken?
> > Ja. Ich berate Kunden.
> Selten so gelacht! Wenn du mit deinen "Kunden" so umspringst wie mit
> uns hier,
Kannst du nicht NUR EIN EINZIGES MAL die Klappe halten anstatt Unsinn
über Sachen zu erzählen, die du nicht beurteilen kannst?
Schmerzt dich deine Armut an Wissen und Verständnis so sehr, daß du
jetzt hier wie ein kleiner dummer besoffener Hooligan alles
breittrampeln mußt, um überhaupt noch ein kleines bißchen Befriedigung
zu erfahren?
Johannes, wasch dich doch einfach mal. Laß dir dabei Zeit, damit die
Krusten der letzten Jahre abgehen. Dann putz dir die Zähne, oder was
davon übrig ist. Dann laß dir die Haare schneiden und kämme dich, und
bis du deine Artikulationsprobleme behoben hast, sagst du einfach
nichts. Dann suchst du dir eine Frau, die leidensfähig und verzweifelt
genug ist, jemanden wie dich zu ertragen, und dann wirst du dich viel
besser fühlen.
Und dann mußt du dich auch hier nicht mehr zum Volldeppen machen.
Und am Ende ist allen geholfen (gut, außer besagter Frau natürlich).
Martin Schmitz
> Jeder Thread mit $MS_PRODUKT oder $PF im Subject endet mit Beschimpfungen,
> Beschuldigungen, Beleidigungen...
Hat ja auch beides nix zu suchen in einer NG, die sich mit der
Sicherheit von Computersystemen/-netzwerken befaßt.
--
"Computers are useless. They can only give you answers." -- Pablo Picasso
Wolfgang Krietsch
>Kannst du nicht zur Abwechslung mal an einer einzigen Stelle einen
>einzigen sinnvollen Kommentar, vielleicht noch eine wahre Aussage
>posten?
Wenigstens sieht er nicht seinen Lebensinhalt im beleidigen anderer Leute.
>Und ab und zu helfe ich noch Leuten im Usenet, wenn mir nicht mal
>wieder ein Troll wie du die Zeit klaut.
Hör doch auf zu labern - Du *brauchst* das doch, daß Du hier irgendwelche
MS-Anwender mit dümmlicher Polemik anmachen kannst. Würden die Dir wirklich
die "Zeit stehlen", würdest Du sie einfach ins Killfile packen - jeder ist
schließlich selbst dafür verantwortlich, welche Postings er liest.
Antwortpostings wie die von Dir in diesem (und manchem anderen) Thread
verfassten nützen nun wirklich niemandem was - uzm Anheizen der Stimmung
taugen sie allerdings prima. Aber wenn man schon sonst ein armes Licht ist
kann man ja wenigstens im Usenet mal richtig die Sau rauslassen, nicht
wahr? Was kompensierst Du eigentlich damit? Bekommst Du eigentlich im
persönlichen Umgang mit Leuten häufig Schläge angedroht? Oder spricht
niemand mehr mit Dir? Oder bist Du da still, weil Dir Deine schäbigen
Umgangsformen peinlich sind?
Andreas Ferber
>>
>> Potato-Netbase umfasst IIRC den portmapper.
Ack. Ist aber IIRC in woody inzwischen in ein separates Paket gewandert.
> Dieser wird mittlerweile wohl für NFS-Mounts gebraucht. :-(
Der rpc.lockd hätte den wohl ganz gerne. Wenn du ohne den auskommst,
sollte es auch ohne portmapper gehen, zumindest tat es das hier noch vor
ca. 2 Wochen.
Andreas
--
Andreas Ferber - dev/consulting GmbH - Bielefeld, FRG
---------------------------------------------------------
+49 521 1365800 - a...@devcon.net - www.devcon.net
Marc Haber
>* Florian Weimer <Florian...@RUS.Uni-Stuttgart.DE> schrieb:
>>> Potato-Netbase umfasst IIRC den portmapper.
>
>Ack. Ist aber IIRC in woody inzwischen in ein separates Paket gewandert.
Deswegen schrieb ich von potato. Und IIRC deswegen, weil wir auch
unter potato seit Monaten mit einem gepatchten Netbase arbeiten, siehe
Bug #88948.
Florian Weimer
>> Dieser wird mittlerweile wohl für NFS-Mounts gebraucht. :-(
>
> Der rpc.lockd hätte den wohl ganz gerne. Wenn du ohne den auskommst,
> sollte es auch ohne portmapper gehen, zumindest tat es das hier noch vor
> ca. 2 Wochen.
Vor ein paar Monaten hing der Kernel immer beim Remounten des
root-Dateisystems über NFS, wenn der Portmapper nicht verfügbar war,
gerade weil der Kernel irgendwas mit seinem lockd machen wollte. Kann
man den den lockd so einfach in der Kernel-Konfiguration abschalten?
Ich dachte, es hätte einen Grund, daß das nur per Texteditor geht.
(Naja, das hat eher mit Security-Sünden zu tun, das alles läuft aber
wirklich nur in einem sehr lokalen LAN. F'Up.)
Martin Koester
> andreas...@gmx.de (Andreas Schwarz) writes:
>
>> Jeder Thread mit $MS_PRODUKT oder $PF im Subject endet mit
>> Beschimpfungen, Beschuldigungen, Beleidigungen...
>
> Hat ja auch beides nix zu suchen in einer NG, die sich mit der
> Sicherheit von Computersystemen/-netzwerken befaßt.
Deine Antwort ist in beiden Punkten grottenfalsch.
Gruss
Martin
--
Martin L. Koester IT-Consulting
D-89613 Oberstadion
http://www.mkcsoftware.de