Schwere Sicherheitslücken in Java

Seite 3 von 3 Zurück  1, 2, 3

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Di 04 Sep 2012, 13:54

NeXxGeN schrieb:
HTML ist eine statische Sprache die nicht geeignet ist um dynamisch zu arbeiten und hat auch bisher nicht die Fähigkeit an den Server dynamisch etwas zu senden, das läuft halt, wie bei Formularen alles völlig statisch ab. Formulare machen dann wieder natürlich nur mit PHP oder Javascript Sinn, weil auch damit kann HTML nichts anfangen. Und genau dort liegt der Pfeffer begraben. Wenn du das mit HTML machen würden wolltest müsstest du die gesamte Struktur neu erfinden und damit wären wir dann bei HTMJSL ;)
Naja, zumindest Pseudo-Dynamik (aus Nutzersicht) gab es schon mir Frames bzw. iFrames. Nicht das ich mir DIE zurückwünsche aber...
Bezüglich Formulare: Html kann zumindest die Formularinhalte übertragen. Das reicht. Eine Validierung kann html natürlich nicht übernehmen. Aber wirklich sicher kann man das mit client-side-scripting (lese Javascript im Seitenquelltext) das auch nicht. Wenn es sicher sein soll (aus Anbietersicht) muss man eh server-side-scripting verwendet werden.

Allerdings würdest du damit die Probleme nicht los, wie kommst du denn darauf das wenn man die Fähigkeiten die JS hat nun HTML beizubringen, das dies keine Sicherheitslücken öffnen würde?
Das ist genau der Punkt. Ich will nicht html die Fähigkeiten von Javascript beibringen. Das wäre tatsächlich mindestens genauso unsicher. Ich will, dass html (oder html + xyz) genug Funktionsumfang hat um die wichtigsten Designfälle abzudecken, aber keinesfalls genug Funktionsumfang hat um Turing-vollständig zu sein.
Oder allgemeiner formuliert: Die Komplexität der Daten, die ein Browser interpretiert sollte nicht unbegrenzt sein.

Denn umso weniger komplex die Eingabe, desto weniger komplex muss das verarbeitende Programm sein. Umso weniger komplex das verarbeitende Programm ist, desto weniger Fehler werden bei dessen Entwicklung gemacht.


Und nochmal um dir das besser zu erklären. Ja du kannst mit CSS eine Animation machen, aber diese Animation wird eben nicht von CSS ausgeführt, sondern von der Browserinternen Javascript Bibliothek. CSS ist lediglich eine Style Angabe die vom Browser ausgeführt wird, CSS ist nicht fähig auch nur irgendwas zu tun. Für diese CSS Transitions bestehen im Browser dann schon vordefinierte Javascript Funktionen die eben auf eine bestimmte CSS Style Angabe und der Interaktion des Benutzers reagiert.
Wie der Browser intern agiert ist mir weniger wichtig. Die Addons, und im Firefox iirc sogar die Oberfläche, sind ja auch in Javascript. Es geht mir darum, dass der Browser keinen Code Dritter ausführt, nur weil ich deren Seite oder eine Seite auf denen sie werben, besuche.


Natürlich könnte man jetzt irgendeine andere Sprache dafür erfinden, aber das würde das Problem nicht lösen.
s.o.

Mal etwas OT (aber vielleicht macht es meine Meinung verständlicher):
- Hältst du es für eine gute Idee, dass pdfs im Adobe Reader auch Javascript ausführen können?
- Hältst du es für eine gute Idee, dass Chrome C-Code ausführen können soll (oder schon kann)?
- Hältst du es für eine gute Idee, dass mittels WebGL Code mit Root-Rechten ausgeführt wird?

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Di 04 Sep 2012, 14:11

tno schrieb:- Hältst du es für eine gute Idee, dass pdfs im Adobe Reader auch Javascript ausführen können?
Finde ich nicht weiter schlimm, ob es nun ein Browser ist oder ein PDF Reader der Javascript ausführen kann, ist dabei doch eher irrelevant. Die Frage ist aber auch etwas komisch gestellt, wenn solltest du Fragen wie ich es finde das Javascript allgemein ausgeführt werden kann. Denn in Gnome 3 ist auch Javascript drin und Benutzer können selbst Code einfügen oder Plugins aus dem Internet herunterladen. Und dort ist es direkt im System drin. Wie findest du das?

tno schrieb:- Hältst du es für eine gute Idee, dass Chrome C-Code ausführen können soll (oder schon kann)?
Davon weiß ich nichts, bin nicht so involviert in die Fähigkeiten von Chrome. So weiß ich halt nicht ob der C Code in Websites eingebunden wird und dann vom Chrome ausgeführt wird, wo Chrome den Code dann natürlich erst mal kompilieren müsste. Ich weiß auch nicht in wie weit der Code da überprüft wird etc.

tno schrieb:- Hältst du es für eine gute Idee, dass mittels WebGL Code mit Root-Rechten ausgeführt wird?
Kannst du das mal präzisieren, weiß nicht wo genau das denn als root ausgeführt werden soll.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Di 04 Sep 2012, 15:19

NeXxGeN schrieb:
Finde ich nicht weiter schlimm, ob es nun ein Browser ist oder ein PDF Reader der Javascript ausführen kann, ist dabei doch eher irrelevant. Die Frage ist aber auch etwas komisch gestellt, wenn solltest du Fragen wie ich es finde das Javascript allgemein ausgeführt werden kann. Denn in Gnome 3 ist auch Javascript drin und Benutzer können selbst Code einfügen oder Plugins aus dem Internet herunterladen. Und dort ist es direkt im System drin. Wie findest du das?
Naja, also ich behaupte mal, dass die meisten Menschen bei einer PDF-Datei Daten und nicht Programmcode erwarten. Das gleiche Problem existiert ja z.B. auch mit Office-Dateien die Macros mitbringen.
Wenn ich mir ein Firefox- oder Gnome-Addon runterlade, lade ich mir ein Programm runter, dass ich tatsächlich vor dem ausführen lesen kann und dass sich einmal auf meinem Rechner nicht mehr verändert. Im Gegensatz zum Javascript-Code, der sich quasi sekündlich ändern kann und auf den ich keinen Einfluss habe.
Und die Addons befinden sich auf Servern von hoffentlich vertrauenswürdigen Menschen, die das Addon entfernen, wenn sich User melden.
Du würdest doch sicher kein Gnome-Addon von einer dir völlig unbekannten Seite herunterladen, oder?
Im Browser wird im Default-Zustand (ohne NoScript) Code von dir völlig unbekannten Dritten heruntergeladen und ausgeführt.

Eigentlich ging es mir bei der Frage eher um den Gedankengang: Ist dieses Feature wirklich das Risiko wert?
Ich finde bei pdfs ist das Verhältnis zwischen Risiko und Nutzen deutlich ungünstiger als bei Webseiten. Siehst du das anders?

Davon weiß ich nichts, bin nicht so involviert in die Fähigkeiten von Chrome. So weiß ich halt nicht ob der C Code in Websites eingebunden wird und dann vom Chrome ausgeführt wird, wo Chrome den Code dann natürlich erst mal kompilieren müsste. Ich weiß auch nicht in wie weit der Code da überprüft wird etc.
Chrome-Typisch in einer Sandbox:
http://www.heise.de/newsticker/meldung/Chrome-14-fuehrt-C-Code-im-Browser-aus-1345167.html
Hier wie oben: Wie hoch ist der Nutzen im Verhältnis zum Risiko eines neuen Angriffsvektors?

Kannst du das mal präzisieren, weiß nicht wo genau das denn als root ausgeführt werden soll.
Ok, nicht explizit als "root", aber GPU-Code wird ja von der Grafikkarte ausgeführt. In diesem Kontext gibt es keine Benutzer, keinen Speicherschutz,...
Genau genommen ist das Kernel Mode, also noch über root-Rechten.
Theoretisch alles kein Problem, solange keine Fehler im Grafikkartentreiber und in der WebGL-Implementierung drin sind...
Auch mal ein Link zu dem Thema:
http://www.contextis.co.uk/resources/blog/webgl/

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Di 04 Sep 2012, 15:30

tno schrieb:Eigentlich ging es mir bei der Frage eher um den Gedankengang: Ist dieses Feature wirklich das Risiko wert?
Ich finde bei pdfs ist das Verhältnis zwischen Risiko und Nutzen deutlich ungünstiger als bei Webseiten. Siehst du das anders?
Ich halte PDF allgemein für ein schlechtes Format und versuche so gut es geht darauf zu verzichten. Wenn ich ein PDF öffne habe ich stets ein schlechtes Gefühl. Ob nun mit oder ohne JS.

tno schrieb:Hier wie oben: Wie hoch ist der Nutzen im Verhältnis zum Risiko eines neuen Angriffsvektors?
Man kann mit c (+ ++) deutlich effektivere Angriffe starten als es mit JS jemals möglich wäre, von daher ist da sicher ein großes Potential für Angriffe, gar keine Frage. Die eigentliche Frage die sich mir stellt ist, braucht man das?

tno schrieb:Ok, nicht explizit als "root", aber GPU-Code wird ja von der Grafikkarte ausgeführt. In diesem Kontext gibt es keine Benutzer, keinen Speicherschutz,...
Genau genommen ist das Kernel Mode, also noch über root-Rechten.
Theoretisch alles kein Problem, solange keine Fehler im Grafikkartentreiber und in der WebGL-Implementierung drin sind...
Auch mal ein Link zu dem Thema:
Ich glaube du verrennst dich hier in eine Art Sicherheitspanik. Damit aus WebGL eine Unsicherheit entsteht benötigt es eine Lücke im Treiber und Sicherheitslücken sind immer eine Gefahr ganz gleich wo sie stecken. Wenn ich mir hier so die gesamt zahl der Aufzählungen dessen ansehe die für dich als Gefahr und unnütz da stehen, wäre mein Rat eher Internet aus, problem solved ;)

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Di 04 Sep 2012, 17:16

NeXxGeN schrieb:
Man kann mit c (+ ++) deutlich effektivere Angriffe starten als es mit JS jemals möglich wäre, von daher ist da sicher ein großes Potential für Angriffe, gar keine Frage. Die eigentliche Frage die sich mir stellt ist, braucht man das?

Wir haben also eigentlich genau die gleiche Meinung, nur mit dem Unterschied, dass ich Sicherheit etwas wichtiger bewerte als du.
Bei der Abwägung zwischen Sicherheit und Features sage ich etwas früher stopp.


Ich glaube du verrennst dich hier in eine Art Sicherheitspanik. Damit aus WebGL eine Unsicherheit entsteht benötigt es eine Lücke im Treiber und Sicherheitslücken sind immer eine Gefahr ganz gleich wo sie stecken. Wenn ich mir hier so die gesamt zahl der Aufzählungen dessen ansehe die für dich als Gefahr und unnütz da stehen, wäre mein Rat eher Internet aus, problem solved ;)
Die Lücke im Treiber braucht man für den von mir beschriebenen worst case (Code-Ausführung im Kernel-Mode), für andere Schweinereien brauch es die nicht.

Du kannst natürlich sagen ich übertreibe, aber imho extrapoliere ich nur aus den Daten der Vergangenheit.
In allen Fällen die mir einfallen führte das Hinzufügen einer Programmiersprache zu einem "Datenformat" (Das Wort trifft es nicht ganz - hoffentlich wird trotzdem klar was ich meine) zu einer neuen Welle von Schadsoftware.

Java, Flash, ActiveX, Javascript im Browser -> Drive-By-Downloads
ActiveX, Javascript im Email-Client -> Email-Würmer
Javascript und Flash in pdfs -> PDF-Viren
Autorun.inf auf Datenträger -> Viren auf USB-Sticks
Macros in Office-Dateien -> Macro-Viren

Natürlich ist der einzige sichere Rechner ein ausgeschalteter Rechner. Aber ich finde wir könnten mal aus der Vergangenheit lernen und aufhören Dinge unnötig komplex und damit unnötig unsicher zu machen.
Das Rad zurückdrehen halte ich auch für unwahrscheinlich. Aber wünschenswert.
Und selbst wenn es aufbauend auf HTML aus technischen (glaube ich eher nicht) oder politischen Gründen (glaube ich viel eher) nicht geht, vielleicht gibt es ja irgendwann eine andere Sprache.
Das www mit HTML und HTTP ist ja nicht die einzige Möglichkeit und früher gab es ja auch Alternativen.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Di 04 Sep 2012, 19:48

So lange die Webstandards maßgeblich vom W3C kommen wird sich so schnell nichts ändern, zumal das W3C Ewigkeiten braucht um einen Standard zu definieren. Anstatt das ganze womöglich in kleineren Schritten anzugehen, was zu schnelleren Entwicklungen führen würde. Zudem könnte man dann auch schneller auf Fehler in der Technik reagieren.

Und ich sehe Sicherheit vermutlich nicht weniger wichtig als du. Ich bevorzuge aber eher die aufgeschlossenere Art beim betrachten der Dinge. Natürlich wäre es schön wenn das ganze deutlich einfacher gestaltet wäre, allgemein wäre das für Programmiersprachen und Techniken eine feine Sache. Da sie, wie du schon schreibst, für weniger Fehler sorgen würde und mehr Menschen könnten sie besser verstehen. Aber das wird so schnell nicht passieren, falls es überhaupt passiert. Deswegen sehe ich das ganze eher gelassen, da diese Techniken nun mal im Browser und co enthalten sind und das wird sich nicht ändern nur weil wir darüber diskutieren.

Ich muss aber auch dazu sagen das ich, trotz der ganzen Technik im Browser und der damit vorkommenden Sicherheitslücken, bisher noch nicht von irgendwelcher Schadsoftware befallen wurde bzw mein Computer. Das letzte mal das ich Schadcode auf meinem PC hatte war vor weit über 10 Jahren mit XP. Danach hat sich meine Art wie ich mich im Internet und Software gegenüber verhalte dramatisch geändert.

Mir ist bewusst das dies nicht für alle Menschen gilt, aber das ist auch ein Problem in unserer Gesellschaft. Da werden neue Geräte wie Smartphones entwickelt die jeder "Depp" bedienen kann, ohne das in irgendeiner Weise bestimmte Verhaltensregeln geübt oder gar an trainiert werden. Es gibt auch bei Linux genug Benutzer die sich ihr System zerfetzen weil sie die falschen Verhaltensregeln an den Tag legen. Es ist also nicht immer nur die Software schuld!

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Mi 05 Sep 2012, 14:18

NeXxGeN schrieb:So lange die Webstandards maßgeblich vom W3C kommen wird sich so schnell nichts ändern, zumal das W3C Ewigkeiten braucht um einen Standard zu definieren. Anstatt das ganze womöglich in kleineren Schritten anzugehen, was zu schnelleren Entwicklungen führen würde. Zudem könnte man dann auch schneller auf Fehler in der Technik reagieren.
Solange das W3C darauf besteht, dass es zwei Implementationen dafür gibt, bevor sie etwas standardisieren, werden die auch nicht schneller werden.

Und ich sehe Sicherheit vermutlich nicht weniger wichtig als du. Ich bevorzuge aber eher die aufgeschlossenere Art beim betrachten der Dinge. Natürlich wäre es schön wenn das ganze deutlich einfacher gestaltet wäre, allgemein wäre das für Programmiersprachen und Techniken eine feine Sache. Da sie, wie du schon schreibst, für weniger Fehler sorgen würde und mehr Menschen könnten sie besser verstehen. Aber das wird so schnell nicht passieren, falls es überhaupt passiert. Deswegen sehe ich das ganze eher gelassen, da diese Techniken nun mal im Browser und co enthalten sind und das wird sich nicht ändern nur weil wir darüber diskutieren.
Ok, dann schätzen wir Sicherheit gleich wichtig ein und ich sehe Aktive/Dynamische Inhalte als weniger wichtig an. Ich würde auch ein Javascript-loses, rein statisches Web in Kauf nehmen, um damit die Drive-By-Downloads loszuwerden.

Ich muss aber auch dazu sagen das ich, trotz der ganzen Technik im Browser und der damit vorkommenden Sicherheitslücken, bisher noch nicht von irgendwelcher Schadsoftware befallen wurde bzw mein Computer. Das letzte mal das ich Schadcode auf meinem PC hatte war vor weit über 10 Jahren mit XP. Danach hat sich meine Art wie ich mich im Internet und Software gegenüber verhalte dramatisch geändert.
Ich glaube Linux-User sind nicht unbedingt gut geeignet Einschätzungen über die Gefährdungslage zu geben. Wir sind da nun mal in einer beneidenswerten Situation.

Meine Wahrnehmung von Sicherheit hat sich durch Stuxnet massiv geändert.
Man "erkennt" einen Befall nicht mehr automatisch (von BKA-Trojaner und ähnlicher Scareware mal abgesehen), bzw. nicht mal mit einem Virenscanner.
Wenn ich mir anschaue wie lange Stuxnet unentdeckt blieb (obwohl die Virenscannerhersteller Samples dafür hatten), dann bezweifle ich, über meinen eigenen Rechner eine halbwegs gesicherte Aussage machen zu können, ob dieser sauber ist.


Mir ist bewusst das dies nicht für alle Menschen gilt, aber das ist auch ein Problem in unserer Gesellschaft. Da werden neue Geräte wie Smartphones entwickelt die jeder "Depp" bedienen kann, ohne das in irgendeiner Weise bestimmte Verhaltensregeln geübt oder gar an trainiert werden. Es gibt auch bei Linux genug Benutzer die sich ihr System zerfetzen weil sie die falschen Verhaltensregeln an den Tag legen. Es ist also nicht immer nur die Software schuld!
Es gibt sicher eine Menge von Verhaltensfehlern bei denen man kein Mitleid haben brauch.
Wenn jemand sich den Virus herunterlädt und ausführt - was soll man da machen?
Aber der ganze Kram, der ohne Einwirkung des Users funktioniert, ist da schon eine andere Baustelle.
Oder willst du allen Usern die Benutzung von Noscript & Co beibringen (lassen)? Nicht, dass ich was dagegen hätte, im Gegenteil, aber es kommt mir noch weniger realistisch als die Entfernung von Javascript aus dem Web vor.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Coyote am Mi 26 Sep 2012, 23:33


Coyote
Roadrunner-Jäger
Roadrunner-Jäger

Anmeldedatum : 01.08.11

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Mi 26 Sep 2012, 23:48

Heute hatte ich ein Live-System (SolusOS) laufen mit Firefox 15. Plötzlich kam die Meldung:
Java-Plugin hat Sicherheitslücken, ich solle es deaktivieren.
Draufgeklickt ist erst mal alles eingefroren.
Nach Neustart funktionierte aber wieder alles und Java-Plugin im Firefox war deaktiviert. Immerhin!
Das war natürlich ein nativer FF, ohne adds wie noscript,adblock etc. mit Standard-Einstellungen (auto-update).
Wie es bei den Festinstallierten wäre mit allerhand Restriktionen, weiß ich nicht, weil ich die seit einiger Zeit nicht mehr benutze. Habe ja noch Opera. Der hat hoffentlich kein Java.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Coyote am Do 27 Sep 2012, 21:24

lupu schrieb:... Opera. Der hat hoffentlich kein Java.
Da würde ich mal in die Plugins sehen...

Coyote
Roadrunner-Jäger
Roadrunner-Jäger

Anmeldedatum : 01.08.11

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Fr 28 Sep 2012, 00:07

Hab nachgeschaut. Menu > Seite > Entwicklerwerkzeuge > Plugins Da ist alles übersichtlich und ausführlich gelistet und einzustellen. Nix von Java zu entdecken.
Hab allerdings nur die portable Opera-Version und aus den festinstallierten OS das Java rausgeschmissen.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Gesponserte Inhalte


Gesponserte Inhalte


Nach oben Nach unten

Seite 3 von 3 Zurück  1, 2, 3

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach oben


 
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten