Nicht so schön: Gute 10 Tage nach der Veröffentlichung von Firefox 1.5.0.2 wurde heute eine Sicherheitslücke bei Firefox gemeldet. Laut www.golem.de tritt das Sicherheitsleck
im Zusammenspiel mit dem JavaScript-Befehl iframe.contentWindow.focus() auf. Angreifer können darüber einen Buffer Overflow verursachen, der den Browser zum Absturz bringen kann, aber auch das Einschleusen von Programmcode ermöglicht. Ein Angreifer könnte damit eine umfassende Kontrolle über ein fremdes System erlangen.
Weitere Informationen (und für Mutige eine Demo) gibt es unter www.securident.com (englisch).
Bei www.heise.de gibt es dazu den folgenden Tipp:
Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalt-Einstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.
Dies ist übrigens in der deutschen Version wie folgt möglich:
Extras / Einstellungen / Register „Inhalt“ / Häkchen bei „JavaScript“ entfernen
Eine bessere Lösung als der Tipp von heise ist aber meines Erachtens die NoScript-Erweiterung, bei der der Benutzer für jede Website angeben kann, ob JavaScript grundsätzlich, temporär oder gar nicht erlaubt sein soll. Standard-Einstellung ist angenehmerweise das Verbot 😉
Ãœber ein Feld in der Symbolleiste könnt ihr dann bequem mit zwei Klicks JavaScript für die gerade besuchte Website aktivieren – so ihr der Seite vertraut…
Die Erweiterung sollte meiner Meinung nach bei keinem Firefox fehlen und kann unter addons.mozilla.org installiert werden.
Richtig,
No Script ist immer noch die Erweiterung der Wahl – denkt man weiter bzw. z.B. daran, wie verbreitet die schnellen Zugangsmöglichkeiten sind und wieviele User mit ISDN / Modem unterwegs sind, ist die Erweiterung zudem sehr nützlich zum schnelleren Surfen, weil nur die für die Funktionalität einer Site (Navigation) erforderlichen Scripte zugelassen werden. Die ganzen Werbesachen etc. bleiben schön draußen …
Eine andere zudem deutschsprachige Site zu den Addons wäre http://www.erweiterungen.de , das ist alles schön aufgeführt und erklärt für FF, Thunderbird …
Schlußendlich – der User mit all seinen Gewohnheiten entscheidet, ob das Surfen gefährlich ausartet oder halbwegs sicher verläuft. Und dafür tut Aufklärung not, keine Diskussion wie bei Golem derzeit zu beobachten, welcher Browser besser ist oder nicht. In der genannten Disskussion wird völlig außer acht gelassen, daß Menschen unterschiedlich an die Software herangehen, Gewohnheiten ausgeprägt haben etc. etc.
Gruß
J.B.
@ J.Backa: Danke für die Ergänzung des Werbeaspekts (auch wenn das bei mir in weiten Teilen schon Adblock erledigt, wenn man von der Google-Adsense-Werbung absieht).
Man sollte vielleicht noch ergänzen, dass es leider auch – im Gegensatz zu deiner Ergänzung – Seiten gibt, die auf JavaScript für ihre Navigation setzen. Die haben dann in jedem Fall Pech, wobei sich da mein Mitleid in Grenzen hält…
Erweiterungen.de ist mir natürlich auch bekannt und hat zudem den Vorteil, dass alle dort verfügbaren Erweiterungen deutschsprachig sind; allerdings habe ich gelegentlich gewisse Verzögerungen (z.T. Tage) beobachtet, wenn es um Updates geht. Das ist zwar nachvollziehbar, da es manchmal etwas dauern kann, bis die Ãœbersetzung erfolgt ist. Ich ziehe aber eben im Zweifelsfall den „schnelleren“ Weg direkt zur Original-Quelle vor.
Zur Browser-Frage kenne ich aus Köln den treffenden Ausspruch „Jeder Jeck ist anders“. Ich ziehe halt den Firefox vor, da er mir bessere Möglichkeiten bietet – und habe mich auch an ihn gewöhnt. Und wer lieber den Internet Explorer benutzt: Auch gut.
Pingback: hirnrinde.de - was in unseren Köpfen herumspukt...
trotz so mancher sicherheitslücken bin ich ein überzeugter firefoxuser. der grunde
1. firefox ist sicher (er) als IE
2. bugs werden behoben (anders als bei microdoof)
3. fixes kommen schnell!!!
ich dneke jedes bekannte programm ist für die „hacker“ eben sehr interessant und wenn man darinn einen bug findet, soll das ein gewisses können beweisen anscheinend. trotzdem Firefox ist top und wie man sieht mittlerweile in v2