ARCHIV 1999-2006

ARCHIV :: # 2058

Internet Explorer spioniert alles aus!

Unglaublich! Gottseidank sind wir diesen Mistbrowser bald los..

Autor: kai - Datum: 07.06.2003

Wie die Webseite TecChannel berichtet, übermittelt der Internet Explorer 6 (Windows) Daten an Alexa und MSN.com. Diese Tatsache ist obwohl nicht gerade neu immer noch viel zu wenig bekannt. Neu ist hingegen die Tatsache, dass dies auch in SSL-verschlüsselten Verbindungen wie z.B. Onlinebanking passiert! Ja, ihr habt richtig gelesen! M$ kriegt eure PINs, eure Passwörter und alles andere auch, liebe Windows-Benutzer. Soviel zum Thema "Trustworthy Computing"! TecChannel nennt es einen "Bug", aber wer das jetzt noch glaubt, dem ist wirklich nicht mehr zu helfen.. Eine etwas deutlicher formulierte Meinung dazu findet ihr hier.

Kommentare

kann man alles relativieren... *hüstel*

Von: mattin | Datum: 07.06.2003 | #1
[18:03 Uhr] der_mattin|6S: tja, dann wohl kein online banking mit IE 6 woll jungs?
[18:04 Uhr] seb|6S|away: was da steht stimmt nicht
[18:04 Uhr] seb|6S|away: "Eigentlich durch SSL verschlüsselte Inhalte werden im Klartext an Dritte übermittelt, einschließlich eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Pfadangaben, etc."
[18:04 Uhr] seb|6S|away: das ding uebermittelt nur urls
[18:05 Uhr] seb|6S|away: und in urls duerfen bei sicheren seiten eigentlich keine session ids, passworte etc enthalten sein
[18:05 Uhr] seb|6S|away: und abgesehen davon gibts bei der installation extra eine abfrage, ob man das tool wirklich haben will
[18:05 Uhr] seb|6S|away: samt sicherheitsinfo
[18:05 Uhr] seb|6S|away: und dass es sich erst bei einem neustart des explorers endgueltig deaktiviert, ist wohl nicht so wirklich schlimm
[18:06 Uhr] seb|6S|away: also mal wieder alles panikmache

Wie man vertrauenswürdig wird,...

Von: cab | Datum: 07.06.2003 | #2
...man nehme die schlimmsten Alpträume der Kunden, potenziere um Faktor Unendlich und nimmt das Ergebnis als Basis-Feature für die nächste Version.

Vielleicht denkt Bill aber auch noch immer, alle würden Microsoft vertrauen (lach!) und würden gerne ihre Daten einem "Profi" überlassen, der dann das Beste für einen entscheidet *fröstel* "ganz zum Wohle des Kunden!".

Ach was soll ich mich noch aufregen, es kommt ja doch noch schlimmer!

hehe

Von: Thyrfing | Datum: 07.06.2003 | #3
und es gibt immer noch Leute, die behaupten der IE sei ein guter, kompatibler Browser mit vielen guten Features.

Ok, ihr habt mich überzeugt, aber diese Feature brauche ich nicht.....;-)

Thyr

Passwörter via URL übergeben...

Von: Stefan | Datum: 07.06.2003 | #4
Naja OK, es stimmt, dass man bei SSL verschlüsselten Anwendungen auch via URL Passwörter übergeben könnte, da ja die Verbindung komplett verschlüsselt ist aber so implementieren das eigentlich nur totale Trottel.
Ich gehe mal davon aus, dass es bei Sachen, die mit SSL verschlüsselt werden durchaus um kritische Informationen geht und da sollte dann z.B. das Passwort nicht unbedingt in der URL Zeile stehen und damit in der History verewigt werden....

Verquere Welt!

Von: Thyrfing | Datum: 07.06.2003 | #5
Die Software, die mir den Umgang mit dem PC ermöglichen, erleichtern und vorstellbar machen soll, die fängt an einem das Leben mit dem PC so schwer wie möglich zu machen.
Ich haben nie kapiert, warum ich auf mein System eine Firewall setzen muss, damit das SYSTEM keine Infos von mir freigibt.
Ich habe nie kapiert wie die Leute so nebensächlich mit diesem Problem umgeben können, auch hinsichtlich TCPA und Longhorn, können die denn alle nur von 12 bis Mittags denken?
Sind die Menschen so ignorant, dass sie frei nach dem Motto leben können:" Wird schon nichts passieren!" ???

Es passiert ständig und jeden Tag ein wenig mehr, immer ein bißchen, die Aufregung um kleine Angelegenheiten legt sich schon bald, wenn die Gehirne mit vielen anderen Sachen befriedigt werden.
Wenn es zu spät ist, dann ist das Gejammere groß und schuld sind wieder die Anderen....

Manchmal habe ich das Gefühl ich übertreibe in dieser Beziehung, aber die Nachrichten über M$ bestätigen doch immer wieder wo es lang gehen soll.
Das soetwas die Wenigsten verstehen ist mir persönlich zu hoch.

Thyr

ich denke da genauso wie du, Thyrfing, ...

Von: mattin | Datum: 07.06.2003 | #6
das problem ist: das alles passiert schleichend, so wie beim irak krieg, da wird heute über dinge geheult, die schon vorher jedem mit gesundem menschenverstand klar sein musste.

p.s. mikel habt ihr ja auch schonmal kennen gelernt:

[18:53 Uhr] mikel^pe: och leute
[18:53 Uhr] mikel^pe: es wird doch nix so heiß gegessen wie es gekockt wird
[18:53 Uhr] mikel^pe: tcpa ist ne mogelpackung am ende harmlos

vielleicht hat er recht, aber wenn, dann nicht wegen leuten mit der schaunwamal mentalität

Und wenn ich mir dann vorstelle....

Von: DC | Datum: 07.06.2003 | #7
... das das der Standard von AOL sein wird, dann ich George Orwell nicht mehr weit.

Ein Laie versucht ...

Von: johngo | Datum: 08.06.2003 | #8
.. das zu verstehen!

Erklärt mir bitte einmal, wie sicherheits-
relevante Daten - wie eben die Pass-
wörter, Pins etc. - übermittelt werden
und dies mit dem Explorer (ich schätze
einmal jede Stunde millionenfach)
geschieht ohne das es ein "Feedback"
gibt. Denn wenn nun ein Missbrauch
möglich wäre, dann würde er doch
auch stattfinden.

Das ist so, wie bei den Unfallstatistiken.
Jede Strecke gilt als sicher bis etwas
pasiert. Nun ist ja noch nichts passiert -
oder ist Millionen von Anwendern ent-
ganagen, das ihre Konten gelehrt
wurden?

Der Unwissende

Gruss

johngo

Erweiterung ...

Von: johngo | Datum: 08.06.2003 | #9
Ich wollte schreiben:

Denn wenn nun ein Missbrauch
möglich "UND GEWOLLT" wäre, dann
würde er doch auch stattfinden.

johngo

Von: mattin | Datum: 08.06.2003 | #10
du meinst, um es mal platt zu formulieren, M$ müsste erst mit diesen daten geld abheben, um den "bug" als kritisch einstufen zu können?

konjunktivisten aller länder vereinigt euch

Von: vewirrter gonz | Datum: 08.06.2003 | #11
das ist ungefähr so:

bei mir wird morgen eingebrochen. dummerweise hatte ich meine tür nicht verschlossen. ich reg mich fürchterlich bei der polizei auf. die beamten lachen mich aus. ich sag: "ja, aber bei meiner nachbarin ist ja auch immer offen. die ist noch nie bestohlen worden." die immer noch lachenden polizisten fragen mich daraufhin ob ich wisse dass es schlösser und schlüssel gibt. ich überlege und antworte: "ja, eigentlich schon aber es haben doch alle die türen unversperrt gelassen und jeder hat es gewusst. jahrelang ist nichts passiert."

denkt mal darüber nach...


alleine die möglichkeit ist schon brisant genug. im falle von ms ist die sache noch schwieriger. jeder weiss dass ms die derzeit herrschende quasi monopol stellung ausnutzt so gut es geht. doch keiner (siehe aktuell eu parlament) weiss wie man gegen ms vorgehen kann.

k 2

Von: vewirrter gonz | Datum: 08.06.2003 | #12
btw, es geht nicht darum dass ms jetzt grossartig geld abheben würde. schon mal was von transaktionsüberwachung gehört. vernetzung von personen- und kapitalströmen einzelner personen. die amerikaner investieren derzeit einiges an kohle um sämtliche daten (staatlicher, kommerzieller und privater natur) zu vernetzen und nach mustern zu suchen. natürlich alles um böse terroristen zu finden.

ein paar beispiele gefällig:
überlegt mal was mit den passagierdaten europäischer fluglinien erst vor kurzer zeit passiert ist. die werden jetzt brav an das pentagon geschickt. toll. und überlegt weiters. seit bush in usa an der macht ist gingen gerichtsprozesse gegen ms immer mehr zu gunsten von ms aus. hoffentlich besteht da kein zusammenhang nach dem motto: "ich helfe dir und du hilfst mir." es gibt hier keinen sofortigen direkten schaden. nur bitte nicht wundern wenn ihr in 10 jahren bei eurem usa trip an der einreise gehindert werdet und es stellt sich später raus, dass das nur deshalb passiert ist weil ihr vor 12 jahren ein paar bücher über den islam gekauft habt und vor 11 jahren in ägypten auf urlaub gewesen seid.

aber vielleicht ist alles ja ganz einfach und nocht so schrecklich kompliziert. ich versteh sie ja die leute die alles für harmlos halten. das leben ist halt viel einfacher und auch schöner wenn man nicht hinter jeder ecke einen schreckgespenst sieht.


guats nächtle die damen und herren


p.s.: ja da gibts auch noch so was wie echelon. und und und...

p.p.s.: ich bin halt ein von natur aus skeptischer mensch.

k3

Von: vewirrter gonz | Datum: 08.06.2003 | #13
und absolut zu müde um grammatikalisch richtige sätze zu schreiben. sorry.

..."wo is mei duden".... ;-)

GET-Requests sind von sich aus unsicher

Von: "seb" | Datum: 08.06.2003 | #14
> Im übrigen ist mir nicht bekannt, dass man bei SSL-Verbindungen keine Passwörter etc. in die URL übernehmen darf, wofür wäre SSL denn bitte gut, wenn man das trotzdem belauschen könnte?

Dass man Passwoerter, PINs, TANs etc. nicht in URLs uebernehmen sollte, sollte hinlaenglich bekannt sein. Ansonsten einfach mal diverse RFCs zum Thema konsultieren, da steht das naemlich auch drin. Sensible Daten - egal welcher Art - gehoeren (wenn ueberhaupt) in POST-Requests, nicht in GET-Requests. Schon alleine deswegen, weil sie sonst in der History des Browsers aufzufinden sind.

Das "Panikmache" gilt der Tatsache, dass in der Sicherheitsabfrage tatsaechlich bemerkt ist, dass die URLs an Alexa und MSN weitergeleitet werden. Was an der Meldung nun neu oder spektakulaer sein soll, verstehe ich nicht - wer Alexa trotzdem nicht deaktiviert, ist IMHO so ungefaehr selbst schuld...

ach, hallo Seb!

Von: kai | Datum: 08.06.2003 | #15
Dannn zeig mir doch mal eben bitte das RFC, in dem steht, dass man das auch innerhalb einer SSL-Verbindung nicht tun darf! ;-)

Wie kommt denn TecChannel bloss auf die Idee dass das ein Problem ist, und der Typ auf firewallifo.de genauso? sind die alle dumm? Hat der Herr seb die Weisheit gepachtet?

Was steht denn jetzt nun genau in der Info bei der IE6-Installation? Dass bei Installation alle URLs (auch in gesicherten Verbindungen) an M$, Alexa und M$ beliebige Dritte geschickt werden?
Das glaub ich nämlich in 100 Jahren nicht, dazu kenne ich M$ etwas zu gut! ;-)

Was daran neu ist steht ja übrigens schon im Artikel: Dass das auch innerhalb von SSL-Verbindungen passiert und dass es auch noch aktiv ist, wenn man's eigentlich ausgeschaltet hat!

Aber ja, hast recht, ist jeder "selber schuld", v.a. wenn er IE einsetzt. Gottseidank sind ja alle Computeruser so mündig und haben soviel tehnisches Wissen, dass sie automatisch das richtige tun!
Deswegen hat sich der IE ja auch erst etabliert trotz all den Sicherheitslücken... Weil die User ja so mündig sind!

Beantworte mir doch mal eben bitte meine Frage von unten, wie lange du das mit der "Panikmache"-Beschwichtigung noch weiter machen willst!.. Wo ist deine Grenze? Ab wannn sagst du "Scheiss drauf, jetzt nehm ich was anderes"? DAS würde mich brennend interessieren!.. Muss dir M$ erst dein Erstgeborenes klauen? ;-)

Wer versteht überhaupt worum es geht?

Von: cws | Datum: 08.06.2003 | #16
Ich denke auch, es geht beim Datensammeln nicht um Geld.
Es geht um Kontrolle und Macht.
Geld ist für die Machtbesessenen, wo auch immer, nur ein Nebeneffekt.

Das man alles irgendwie abschalten kann ist ja schön und gut, doch der Standarduser ist ein DAU. Er ist froh, wenn die Kiste läuft und klickt im Zweifel, und unsicher ist er immer, die default-Einstellung. Und deaktivieren ist immer schlecht, wer weis was nachher nicht mehr geht.
Auch "mal eben" einen anderen Browser installieren ist nicht drin. Ich kenne reichlich User, die auf die Frage "Was ist ein Programm" antworten: "Keine Ahnung, ich benutze doch nur Word und das Internet".
Das ist wie beim Auto: Einsteigen und Losfahren. Warum es fährt ist egal, solange es fährt.

onkel heise

Von: mattin | Datum: 08.06.2003 | #17
http://www.heise.de/newsticker/data/ju-08.06.03-000/

@ mattin

Von: johngo | Datum: 08.06.2003 | #18
Ich sehe natürlich die "reine Möglichkeit"
für Missbrauch. Aber in dem Moment,
in dem ich mich in einer Online-Transaktion
auf dünnes Eis begebe, in dem Moment bin
doch ich Verantwortlich, inwieweit ich
überhaupt das Vertrauen habe. Und das
habe ich ebensowenig in einen apple-
oder linuxbasierten Browser.

Wo ist der Ansatz, in dem ein Laie die
Brisanz eines Browser bewerten kann?
Microsoft spricht von Bugs und schliesst
Lücken. Andere betonen, das sie solche
Lücken nicht haben oder nie haben
werden. Sie betonen, das sie Ihre Kunden
nie ausspionieren werden.

Sie könnten es doch aber!? Und ich habe
keinerlei Kontrolle, wer hier vertrauenswürdiger
ist!

Gruss

johngo

seb:

Von: kai | Datum: 08.06.2003 | #19
In RFC 1738 steht nur was von http. Kein Wort von https! ;-) q.e.d.
Eine Versicherung hat schliesslich auch unterschiedliche Schadensersatzbedingungen bei öffentlich zugänglichen Gebäuden im Vergleich zu nicht-zugänglichen Privathäusern!
Wenn ich z.B. daheim meine Wertgegenstände offen rumliegen lasse zahlt die Versicherung trotzdem wenn's geklaut wird, solang mein Haus verschlossen war. Wenn dasselbe in einem öffentlich zugänglichen Gebäude (Kaufhaus etc) passiert, wird die Versicherung wohl kaum zahlen! Was glaubt ihr, warum das wirklich wertvolle Zeug dort immer in Vitrinen o.ä. ist? ;-)

Deswegen ist ja auch die Tatsache, dass der "Service" auch innerhalb von SSL-Verbindungen aktiv ist von solchem Interesse! Wenn der User der Meinung ist, dass er und seine Daten jetzt "sicher" sind ist alles nur gelogen!

Dass M$ "wortwörtlich" was von Sicherheitsproblemen sagt, die bei der Installation des Dienstes entstehen fällt mir ehrlich gesagt schwer zu glauben...
Ist das "Feature" eigentlich per Default an oder muss man selbst den Haken setzen?

Dass die "Tatsache schlichtweg falsch" ist, dass der IE auch PINs und Passwörter (TANs machen nicht gerade viel Sinn! ;-) weitergeben könnte, dafür bist du trotzdem noch jeden Beweis schuldig.
Zu sagen, dass es nicht passieren kann, weil die RFC ja vorschlägt, sowas bei ungeschützten Verbindungen nicht in die URL zu schreiben ist etwas dürftig! Abgesehen davon: Die RFC schreibt noch ne Menge mehr vor, an das sich keine Sau oder nur ein Teil der Hersteller halten! ;-)

Aber es freut mich, dass du trotzdem bald den Browser (oder den Computer? ;-) wechseln wirst! Wenn jetzt nur alle sich mit dem Thema beschäftigen und ihre Konsequenzen ziehen würden.. Aber es liegt wohl an uns, den besser informierten Computerusern, die Normalanwender darüber zu informieren und auf ihren Rechnern die entsprechenden Programme (Eudora, Firebird, Opera etc) zu installieren!

johngo:

Von: kai | Datum: 08.06.2003 | #20
Microsoft spricht von Bugs und schliesst
Lücken.


Leider in beiden Punkten falsch! ;-)
Microsoft spricht nie von "bugs", sonder nur von "issues"! Es ist ihnen von der Firmenleitung sogar untersagt (zumindest den "unteren Klassen"!), genauso wie die namentliche Erwähnung von Konkurrenzprodukten!

Und ja, Apple spricht ziemlich häufig von "bugs"! ;-)

Und zum Thema "schliesst Lücken" bitte hier hin gucken. Diese Liste mit momentan ungefixten IE-Löchern ist permanent gut gefüllt, einige sind schon viele viele Monate alt.
Ausserdem ist die Geschichte voll mit Firmen, die Informationen über M$-Sicherheitslöcher veröffentlicht haben und auf Nachfrage gesagt haben, dass sie die Löcher schon vor vielen Monaten an M$ gemeldet haben und nix passiert ist!

Andere betonen, das sie solche
Lücken nicht haben oder nie haben
werden.


Bitte wer tut das wo?? Geht's bitte noch vager?

Sie betonen, das sie Ihre Kunden
nie ausspionieren werden.


Auch wenn viele Firmen die Privatsphäre hochhaltenn: Wer hat wo "nie" gesagt, nein sogar "betont"!? Und worauf willst du überhaupt hinaus?

johngo

Von: mattin | Datum: 08.06.2003 | #21
ich kann mich da kai nur anschliessen. was soll das für eine argumentation sein? du bist bei mac-tv bekannt dafür, dass du alles relativierst, aber du relativierst oft alles zu tode :)

nocheinmal: was soll das für ein argument sein?

es gibt nachweissbare sicherheitsprobleme aber du sagst, andere habens sicher auch, zwar ist nichts bewiesen, aber sie müssen ja auch was haben, weil M$ welche hat, d.h. man solls ignonieren, ist doch eh alles egal!?

da passt dieser kommentar sehr gut:

http://www.macguardians.de/index.php?p=2027&c=1#8523 (des pudels kern)

bla

Von: seb | Datum: 08.06.2003 | #22
> In RFC 1738 steht nur was von http. Kein Wort von https! ;-) q.e.d.

*hust* :-P

> Deswegen ist ja auch die Tatsache, dass der "Service" auch innerhalb von SSL-Verbindungen aktiv ist von solchem Interesse! Wenn der User der Meinung ist, dass er und seine Daten jetzt "sicher" sind ist alles nur gelogen!

Sorry, aber den Dienst musst du mir erstmal zeigen, in dem PINs, TANs etc. in URLs geschrieben werden... Wozu sollte man sowas ueberhaupt machen, ausser aus totaler Bloedheit?

> Ist das "Feature" eigentlich per Default an oder muss man selbst den Haken setzen?

Das weiss ich ehrlichgesagt nicht mehr, aber ich schaetze mal, es war per Default an.

> Zu sagen, dass es nicht passieren kann, weil die RFC ja vorschlägt

Seit wann uebersetzt man "not allowed" mit "vorschlagen"?

> ..., sowas bei ungeschützten Verbindungen nicht in die URL zu schreiben

Die Spezifikation gilt genauso fuer geschuetzte Verbindungen. HTTPS ist eine Erweiterung von HTTP, bei der der nach 1738 ablaufende HTTP-Traffic auf einer niedrigeren Protokollschicht getunnelt wird, d.h. hier gilt die RFC 1738 genauso wie fuer ungeschuetzte Verbindungen (Moegliche Gruende: History des Browsers, Klartextpasswort am Bildschirm sichtbar, ...).

Fuer weitere Informationen konsultiere man die RFC 2818, die besagt, dass der einzige Unterschied der Spezifikationen fuer Unique Resource Identifiers im Praefix "http" und "https" liegt (Abschnitt 2.4).

> ...ist etwas dürftig!

Wie du siehst, nicht.

> Abgesehen davon: Die RFC schreibt noch ne Menge mehr vor, an das sich keine Sau oder nur ein Teil der Hersteller halten! ;-)

Wer sich nicht an vorhandene Standards haelt, ist selbst schuld, wenn daraus auch noch Sicherheitsmaengel entstehen. Die kann man dann auch nicht mehr auf wen anders schieben. Um deinen Versicherungsvergleich weiterzubenutzen: Im Falle eines Einbruchs waere der, der den Code seines Zahlenschlosses auf einem Zettel an die (gesicherte) Tuer haengt, auch selbst schuld, und keine Versicherung wuerde fuer den Schaden haften.

Nochmal: Ich habe in keinster Weise vor, Alexas Sicherheitsluecke/Bug im IE zu rechtfertigen, aber ein Hersteller, eine Bank oder eine Firma, die im Klartext Passwoerter etc. in URLs uebermittelt, muss schon selten bloed sein. Nicht nur, weil es in der RFC steht. Ein Standard aendert sich nicht einfach dadurch, dass sich jemand nicht dran haelt (zum Glueck...).

äh

Von: mattin | Datum: 08.06.2003 | #23
"aber ein Hersteller, eine Bank oder eine Firma, die im Klartext Passwoerter etc. in URLs uebermittelt, muss schon selten bloed sein."

schon richtig, aber ein problem ist es doch nur, weil mal wieder nur der IE das nach redmond schickt, auch wenn man es nicht will. ist also kein argument, sondern nur eine vertuschung ;)

Bodenlos

Von: Thyrfing | Datum: 08.06.2003 | #24
jetzt mal ehrlich, ihr könnt hier noch so viele Fachbegriffe reinschmeissen und noch so viele RFC's anziehen, Fakt ist und bleibt, das Dingen sendet Daten irgendwohin, ungefragt und undurchsichtig für den (mittlerweile) Standarduser. Ich habe diverse Freunde von mir darauf aufmerksam gemacht, Reaktion: Staunen, Ungläubigkeit, Egal habe doch 'ne Firewall.

Mit eurer scheiss Haarspalterei nach irgendwelchen Standards die dies das und jenes Regeln, echt, da kriege ich Drüsen.

So Banane kann man doch gar nicht sein.

Wenn Daten gesendet werden, dann hätte ich gerne gewusst, warum, wohin und was, vor allem will ich vorher gefragt werden.

Desweiteren nagt eine solche Art der Infobeschaffung immer am Vertrauen, egal ob es nun mit oder ohne Hinweis ist, alle die sich auf diese Art und Weise Infos beschaffen sind in meinen Augen nicht vertrauenswürdig.

Lasst eure RFC's stecken, es werden Daten gesendet, alleine das ist wichtig!
Das muss verhindert werden, nicht wieder irgendeine Regelung zitieren:" So darf das aber nicht sein!" Echt, noch blinder geht es nicht.

Der IE sendet Daten aus einer SSl-Sitzung?
Na klasse, jeden anderen würde man wegen Spionage hinter Gitter bringen.
Was soll der Scheiss? Weg mit Alexa, weg mit Krakow (M$).

Thyr, nein, ich bin nicht aggressiv, noch nicht....;-)

Habt ihr alle den Verstand verloren?

Von: Gogonal | Datum: 08.06.2003 | #25
Ein Service, der "ähnliche Seiten" anzeigt,
braucht nun mal die URL der Seite, die der
Benutzer grade aufgerufen hat. Wenn man
nicht will, klickt man eben nicht.

Bevor man lauthals schreit, sollte
man etwas nachdenken (auch wenn's
nicht in die Ideologie eines MS-Hassers/Apple-Fetischisten passt)


a) http://pages.alexa.com/exec/faqsidos/help/index.html

b) und wenn man als Mac-prediger unbedingt will, die liebe applefreundliche Amazon Company anmotzen, der Alexa gehört. Woraus eine Beteiligung von Microsoft an Alexa festzustellen ist, bleibt wohl ein Rätsel.

Entspannt euch doch mal, ihr Applefetischisten.


Gogonal (unterwegs mit Firebird unter RH9)

ein tro/ll/ttel zu sein ist nicht schwer...

Von: mattin | Datum: 08.06.2003 | #26
man liest einfach nicht genau:)

"Der Haken dabei ist, dass der Internet Explorer dazu die besuchten URLs an Dritte -- konkret: den Dienst-Provider Alexa beziehunsgweise MSN -- verschickt, die damit komplette Surf-Profile erstellen können. Außerdem enthalten URLs gelegentlich auch geheime Daten wie Benutzernamen, Passwörter oder Session-IDs, die damit ebenfalls bei Alexa und MSN landen."

wie immer: erst lesen, dann schreiben, is doch nicht so schwer oder?

@ kai + mattin

Von: johngo | Datum: 08.06.2003 | #27

Ich kann bei dem Thema nicht technisch
argumentieren, da ich davon nicht genug
verstehe.

Deshalb "muss" und "kann" ich nur mit
gesundem Menschenverstand relativieren.

Und so viel ich weis, geht das manchmal
auch gestandenen Programmierern so.
Denn wenn ich den Quellcode eines bestimmten
Systems oder einer Applikation nicht kenne, dann
weis ich nicht, was sie kann oder was sie
gerade tut (ich - in Person - eh nicht ;) )

Und warum stürze ich mich nicht auf die
hier eingebrachte Erkenntnisse, das ein
nachweisbares Sicherheitsproblem typisch
Microsoft ist? Weil ich mich auf eine
theoretisch sichere Insel begeben würde,
aber praktisch total daneben liegen kann.

Woran kann "ich" mich jetzt sicher orientieren?
An den wirklich bekannt gewordenen Missbräuchen
oder an den theoretisch möglichen?

Ich sehe keine Veranlassung einem anderen
Browser "mehr zu vertrauen".

Sehe ich das falsch? Wer "garantiert" mir eine
höhere Sicherheit?

Gruss

johngo

@johngo

Von: Thyrfing | Datum: 08.06.2003 | #28
Die technischen Möglichkeiten der anderen Browser, die restlichen User, andere Studien.....

Warum behauptet alle Welt M$ sei unsicher? Weil sie es gerne so möchten?

Bist du nur naiv, oder welchen Zweck verfolgst du?

Da du (genau wie ich) anscheinend keine Ahnung vom Programmieren hast, muss man halt lesen.....

Thyr, nicht naiv genug für diese Welt

hmm

Von: mattin | Datum: 08.06.2003 | #29
"Deshalb "muss" und "kann" ich nur mit gesundem Menschenverstand relativieren."

der gesunde menschenverstand sagt mir, dass ich tunlichst die finger vom IE lassen sollte. da ich surfen will, werde ich einen anderen browser benutzen. alles andere tut überhaupt nichts zur sache, es verwässert nur die problematik, bis sich wieder die mehrheit fragt: "war was?"


"Und warum stürze ich mich nicht auf die
hier eingebrachte Erkenntnisse, das ein
nachweisbares Sicherheitsproblem typisch
Microsoft ist? Weil ich mich auf eine
theoretisch sichere Insel begeben würde,
aber praktisch total daneben liegen kann."

so ein quatsch, praktisch liegst du genau richtig, oder meinst du die IE "bugs" sind alle erfunden?!? ich erahne was du meinst, aber irgendwann wirds realitätsfremd, man kann sich in irgendwelche konstellationen flüchten, bis nichts mehr übrig bleibt ;)


"Wer "garantiert" mir eine höhere Sicherheit?"

im vergleich zu IE? objektiv(!): jeder andere browser!




Objektiv!?

Von: johngo | Datum: 08.06.2003 | #30
Also geschieht mit dem IE prozentual
mehr Missbrauch!?
Gibt es dafür Belege oder Statistiken? *

Kein Trollversuch, sondern eine ernste Frage!


@ thyrfing

Ich verfolge keinen Zweck und ich bin
auch nicht naiv! Deshalb bekommt "kein"
Browser meine PIN oder PASSWÖRTER.

Nur meine Bank stellt ihre proprietäre
Online-Applikation ein (oder hat dies
sogar schon getan). Würden die auf
browserbasierte Lösungen zurückgreifen,
wenn sie unsicherer wären?



Gruss

johngo

@ mattin

Von: johngo | Datum: 09.06.2003 | #31
Ich weis nicht, ob Du erahnst, was
ich meine, ich möchte Dich darüber
nicht im Unklaren lassen: ;)
Ich bin der Meinung, die Meldung
bzw. das Statement oben
müsste folgendermassen lauten:

" ...Microsoft hat uns wieder einmal vor
Augen geführt, das browserbasiertes
Online-Banking in gewollter oder
ungewollter Form einfachst zu Missbrauch
(zum Beispiel ausspionieren der PIN)
führen kann - deshalb lautet mein Rat:
Finger weg von browserbasiertem Online-
Banking - vom Microsoft Internet Explorer - aber auch von den Alternativen, da
auch dort vergleichbarer Missbrauch nicht ausgeschlossen werden kann.
Proprietäre Lösungen, die auf einer
verbindlichen Rechtsbasis mit Ihrer Bank
fussen, sind vorzuziehen! ..."

Gruss

johngo

komisch?

Von: derschmiegel | Datum: 09.06.2003 | #32
Hallo johngo.

In anderen Diskusionen hast Du doch immer so viel Wert auf genaue Daten gelegt. Wenn es darum ging zu beweisen, dass der MAC ein soooo langsamer Rechner ist (oder geworden ist), hast du Sekunde für Sekunde aufgelistet die der MAC länger braucht. Dieses hast Du sogar durch eigene Tests "manifestiert".

Wozu der Aufwand? Man hätte doch auch sagen können: Rendern dauert lange. Ob auf einem MAC oder PC es dauert einfach lange. Wer keine Zeit hat sollte mit so etwas garnicht erst anfangen.

Jetzt wo ein weiteres Sicherheitsloch im Explorer gefunden wurde und ein ähnliches bei anderen Browsern nicht zu finden ist, bist Du auf einmal sehr großzügig. Woher kommt der Sinneswandel?

Sorry johngo, aber hinter Deinen Beiträgen steckt System. Zwar kein exteme-brutalo-Trolling, aber trotzdem ein generell gegen den MAC oder die Firma Apple gerichtetes System.

Johngo Troll

Von: MacZeit | Datum: 09.06.2003 | #33
Ja, Johngo ist der Troll schlechthin. Alles eine Beiträge sind so. :-)

nee johngo, so nicht...

Von: mattin | Datum: 09.06.2003 | #34
du verdrehst das problem und mahnst zur generellen vorsicht, was ja nicht verkehrt ist, aber das hat hier mit der hier gezeigten problematik NICHTS zu tun.

ich schliesse mich derschmiegels meinung an, das ist 1a "trolling", schön gemacht, aber durchschaubar :)

@ derschmiegel

Von: johngo | Datum: 09.06.2003 | #35
Auch wenn Du es nicht glaubst, ich habe
da kein System.

Deinem Einwand kann ich nur entgegnen,
das ich von einem langsamen Prozessor
auf meinem Mac direkt betroffen bin und
dies auch (auf dem Mac) nicht umgehen
kann.

Bankgeschäfte aber kann ich in den
unterschiedlichsten Varianten abspulen.
Deshalb war ich beim Thema Speed "genauer"
und bin es hier "offener".

Gruss

johngo

@ maczeit + @ mattin

Von: johngo | Datum: 09.06.2003 | #36
Softtrolling! :) Tut mir leid!

War und ist nicht meine Absicht! Ich
habe dutzende von Anwendern zum Mac
gebracht und möchte nicht durch
unterschiedliche Themenansichten
in eine andere Ecke gestellt werden.

Ich bestätige, das ich nicht den IE
als Banking-Lösung benutze und
niemandem empfehlen würde.

O.K.?

Gruss

johngo

Browserwechsel

Von: conjoint | Datum: 09.06.2003 | #37
Ein Wechsel des Browsers umgeht prinzipielle das "Alexa-Problem" nicht. Wie bereits oben angedeutet braucht man einen Dienst, der einem ähnliche Seiten anzeigt, wenn man solch eine Funktion nutzen möchte.

Auch "Mozilla 1.31" verwendet Alexa. Nur wird dies dem User in der Regel nicht mitgeteilt. Lediglich ein Firewallprogramm, in meinem Falle "Outpost", fragt einen bei der ersten Verwendung ob eine Connection auf Alexa gegeben werden kann. Dies erfolgt aber auch nur bei einem guten Firewallprogramm.

So viel dazu. Es ist aber eine andere Sache, den User auszuspionieren. Und MS könnte man das sehr gut zutrauen.

Für den Normaluser ist der Computer und die verwendeten Programme nicht einsichtig. Das gilt aber leider auch für die Comments hier. Ein wenig mehr transparenz würde an einigen Stellen nicht schaden.
Aber ich lese das Ganze hier trotzdem immer sehr gerne.

conjoint

Von: mattin | Datum: 09.06.2003 | #38
wie oft muss man das eigentlich noch wiederholen: es geht doch gar nicht um alexa ansich, sondern darum, dass der IE sogar gegen den ausdrückliche wunsch des users, es nicht zu tun, die sachen an M$ schickt!

zurück zu realen Masstäben?!

Von: cws | Datum: 09.06.2003 | #39
Lasst uns die ganze Diskussion doch mal aus dem Systemstreit auf ein anderes Gebiet übertragen, um wieder einen klaren Blick für das Problem zu bekommen.
Was würdet ihr davon halten, wenn der Bundestag ein Gesetz verabschieden würde, indem das Folgende angeordnet wird:
All die Daten, die hier zur Diskussion stehen, werden an das Bundesamt für Verfassungsschutz übermittelt, allen Ermittlungs- und Finanzbehörden stehen die Daten nach Gutdünken des Verfassungsschutzamtes zur Vefügung. Eine Verwendungsbeschränkung für die Daten besteht nicht. Eine Überwachung durch Datenschutzbeauftragte oder einen Ausschuss des Bundestages findet nicht statt. Es gibt keinen Anspruch der Bürger zu erfahren, ob und welche Daten über ihn gesammelt werden.

Ob mein Vertrauen in MS wirklich viel grösser ist als in den Verfassungsschutz? Eigentlich nicht.

Christian

5 7r5

Von: kai | Datum: 09.06.2003 | #40
Johngo: Also geschieht mit dem IE prozentual
mehr Missbrauch!?
Gibt es dafür Belege oder Statistiken? *


Soweit ich weiss nicht, aber wie wär's mit ca. 7 Trilliarden lustiger IE-, ActiveX etc-Expolits, die auch richtig satt von Diallern, Würmern, Viren oder böswilligen Seiten ständig "genutzt" werden? ;-)

Zu fragen, ob mit dem IE mehr Missbrauch als bei anderen Browsern betrieben wird ist wie zu fragen, ob unter Saddam Hussein mehr Menschenrechtsverletzungen stattgefunden haben als unter Nelson Mandela! ;-)

Deine Argumentation von wegen "Beim IE ist es bekannnt, aber es könnte bei anderen Browsern ja auch so sein, also sind alle Browser per definitionem unsicher" ist ziemlicher Quatsch, sorry! ;-) Wenn ich keinen Grund habe anderen Firmen, die nachgewiesenermassen ein zigmal besseres "Security record" haben wie M$ und die kein Datamining betreiben zu misstrauen, warum sollte ich es dann tun? Nur weil der IE ein unsicheres Stück Softwaredreck ist? Die Unsicherheit des IE lässt also an der ganzen Softwarekategorie "Browser" zweifeln?
Klar, Johngo, und wenn du dir nen Fiat kaufst und der dir unterm Hintern auseinanderfällt dann sind ja alle Autos klappriger Mist und du fährst nur noch Fahrrad! ;-)

Conjoint: Mozilla verwendet Alexa? Das würd mich dann doch SEHR verwundern, hast du irgendeinen Belegt dafür? Ich kann jedenfalls im Netz nach ner kurzen Suche nix finden!

Und selbst wenn Alexa die URLs unbedingt zum funktionieren braucht bleiben noch genügend fragen offen:
1) Wozu braucht msn.com dann noch die URLs wenn nicht zur "Eigennutzung" für Userprofile?
2) Wieso ist der "Dienst" per default scheinbar aktiviert/installiert?
3) Wieso muss ich nur an bCentral, Hotmail, Passport, den Mediaplayer und die default msn-Suchseite denken, mit denen M$ auch schon nachgewiesenermassen illegales (weil einer realen Person zuzuordnendes -> GUID!) Datamining betreibt?
4) Wieso verschickt Alexa aus SSL-Verbindungenn heraus URLs? Selbst wenn ich mich bewusst für den Dienst entscheide (es gibt geistig verwirrte Menschen! ;-) will ich das ganz sicher nicht!

Peinlich!

Von: cws | Datum: 09.06.2003 | #41
...wie zu fragen, ob unter Saddam Hussein mehr Menschenrechtsverletzungen stattgefunden haben als unter Nelson Mandela! ...

Der Vergleich ist ist nicht nur dumm, er ist einfach peinlich.

So?

Von: kai | Datum: 09.06.2003 | #42
Warum denn?

mandela

Von: mattin | Datum: 09.06.2003 | #43
naja der ANC hat auch gut gemordet, und mandela war dort eine führende persönlichkeit, was will uns kai also damit sagen?:)

Im Namen der Allianz

Von: Thyrfing | Datum: 09.06.2003 | #44

»The deal is as fundamentally anti-customer as you could possibly imagine, because Microsoft and the entertainment cartel (AOL is a member in good standing of the cartel) are working to create read-only content. They are in league to block fair use, to create a pay-per-view world for all kinds of digital material, and that includes software as well as entertainment.«
Mehr gibt's hier:http://www.heise.de/newsticker/data/anw-30.05.03-002/

Wem das nicht reicht, diesen Kram von der Platte zu bannen, dem ist nicht mehr zu helfen.

Jetzt könnt ihr euch auch weiter um Vergleiche streiten, weil das ja auch so wichtig ist und alle Fragen damit geklärt werden.
Kai, dein Vergleich ist scheiße, also ist deine Argumentation auch falsch!

Ab in die Ecke und schämen.

Thyr

@ kai

Von: johngo | Datum: 09.06.2003 | #45
Frage:

Wie stehen eigentlich die dazu, die
es - neben den Anwendern - betrifft?
Zum Beispiel die Banken bei der
PIN.

Gibt es da irgendwelche Aussagen
bzw. Links?

Gruss

johngo

Mandela:

Von: kai | Datum: 09.06.2003 | #46
Mein Gott, was habt ihr denn alle gegen Nelson?
Ist jetzt auf einmal ein Friedennsnobelpreisträger der grosse Menschenrechtsverletzer oder hab ich da was verpasst?
Nehmt halt Ghandi wenn euch das besser taugt, warum das meinen Vergleich (und damit die ganze Argumentation? Häh?) falsch machen sollte oder warum der "scheisse" oder "dumm" ist bleibt mir glaube ich schleierhaft!...

@ kai - Mandela

Von: cws | Datum: 10.06.2003 | #47
Do not panic!
Wir lieben dich trotzdem ;-)

Aber ein Vergleich zwischen einem staatlich organisiert mordendem Diktator und einem Mann, der den grössten Teil seines Lebens im Gefändnis verbracht hat um sich für elementare Menschenrechte einzusetzen ist schlicht geschmacklos. Nochdazu wenn man den Vergleich zu so profanen Zwecken gebraucht.
Aber so schlimm ist es nun auch wieder nicht, wir haben alle schon einmal eine unglaubliche Sch... zusammengeschrieben.
Habe ich eventuell ja auch den Witz nicht verstanden?

Deine Argumentation ist deshalb nicht falsch, das hat damit sachlich doch keinen Zusammenhang.

Christian

Herzliche Gratulation!

Von: kai | Datum: 10.06.2003 | #48
zum Verstehen meiner Aussage!

..wo war nochmal dein Problem?

Ah Mist...

Von: kai | Datum: 10.06.2003 | #49
..ih hab's gerade im Kalender gesehen: Heute ist "political correctness"-Tag! ;-)

D.h. man muss tunlichst vermeiden, Bilder für seine Analogien zu bemühenn, bei denen sich alle einig sind und die jeder kennt! Was dann zwar die Analogie effektiv wertlos macht aber egal! ;-)

Guten Morgen

Von: cws | Datum: 10.06.2003 | #50
"Guten Morgen" sagte der Radiomoderator. "Es ist 6:30 Uhr, gefühlte Zeit 3:30 Uhr"
;-))

kai

Von: mattin | Datum: 10.06.2003 | #51
niemand hat was gegen mandela, ich nehme an du wolltest ein gut/böse vergleich, das doofe ist nur: so einfach funktioniert die welt nicht, ein beispiel, das jeder kennt: saddam. btw: ein nicht kleiner teil der friedensnobelpreisträger hat vorher oder nachher massenhaft menschen ermorden/foltern lassen. wobei ich das jetzt nicht mandela vorwerfe, aber ahnungslos war der auch nicht :)

beim browervergleich ist das schon eindeutiger, der IE suckt und dem kann kein mensch widersprechen/legen :)

und diese "beispiel ist scheisse, argumentation ist scheisse" aussage halte ich für einen joke, man muss immer gucken wer das schreibt :)

Danke Mattin

Von: Thyrfing | Datum: 10.06.2003 | #52
Ironischer Zynismus, oder so... :-))

Das war nicht gegen Kai, in keinster Weise, finde nur die Haarspaltereien manchmal erbärmlich, es muss doch jedem klar gewesen sein, was Kai mit dem Vergleich sagen wollte, aber wenn die Argumente ausgehen zieht man sich halt an allem hoch.

Sorry Kai, wenn das in den falschen Hals gekommen ist.

Thyr