Sie kommt!!!



Am 20.05.2005 wird die dt. Nightmare on Elm Street - Collection erscheinen. Sie beinhaltet Teil 1-7 und wird von Warner vermarktet. Der Preis liegt bei ca. 60 €

Traue nie den Frauen


Keine Macht den Drogen

Drei Fehler in Firefox und Mozilla

Die freien Web-Browser Firefox 1.0 und Mozilla 1.7.5 enthalten unter Windows drei Schwachstellen, mit denen Angreifer Benutzer überlisten können, ausführbare Dateien auf ihr System zu laden, die Konfiguration des Browsers ungewollt zu verändern und untergejubelte Befehle auf dem PC auszuführen. Der Sicherheitsspezialist Michael Krax hat zu jedem der Fehler eine Demo-Seite veröffentlicht, die das Problem veranschaulicht. Bei allen ist zwar eine erhebliche Interaktion des Nutzers notwendig, allerdings dürfte nicht allen Anwendern die Manipulation unbedingt auffallen.  

Die erste Demo Firedragging zeigt das Fehlverhalten von Firefox und Mozilla beim Drag & Drop von Objekten aus einer Web-Seite heraus auf den Desktop. Normalerweise erlaubt der Browser dies nur für Bilder. Bei anderen Objekten wie ausführbaren Dateien legt er nur einen Link dorthin an. Allerdings reagiert er großzügiger bei so genannten Hybrid-Dateien, die beides sind, nämlich sowohl Bild als auch Batch-Datei. Bei der Darstellung des Objektes in einer Web-Seite zeigt er zwar das Bild an, beim Ziehen auf den Desktop wird daraus plötzlich eine Batch-Datei. Der unbedarfte Anwender dürfte sich wundern, was aus seinem Bild geworden ist und unter Umständen auf die Batch-Datei doppelklicken -- die bekannte Endung .bat wird ja standardmäßig unter Windows ausgeblendet. Einen ähnlichen Bildtrick hat schon der Sicherheitsexperte http-equiv bei einer Lücke im Internet Explorer eingesetzt. Allerdings war dort HTML-Code in einem GIF eingebettet, statt der Batch-Befehle in der vorliegenden Demo.

Der zweite Fehler betrifft den Javascript Security Manager und das Tabbed Browsing. Der Manager verhindert, dass Javascript-Links Inhalte in bereits geöffneten Fenstern aufrufen können. Zieht man aber einen derartigen Link auf einen Tab, so greift der Security Manager nicht ein. Zwar ist das Ziehen von Links auf vorhandene Tabs zum Öffnen einer neuen Seite keine häufig angewendete Methode, allerdings sind die Auswirkungen umso bedenklicher. So kann der Angreifer bei Web-Seiten mit Authentifizierung den Cookie auslesen. Bei Web-Seiten, die Software installieren dürfen -- etwa update.mozilla.org --, bekommt man plötzlich die Installation von Software angeboten. Ist in einem Tab die Konfigurationsseite about:config geöffnet, so führt das Ziehen des Links dorthin zum Ausführen von beliebigen Befehlen des Angreifers. In der Demo Firetabbing findet man beispielsweise unter c:\ die Datei booom.txt wieder.

Mit der letzten Demo Fireflashing zeigt Krax, wie man das Flash-Plugin und den Opacity-Filter (Durchsichtigkeit) von Firefox missbrauchen kann, um about:config in einem unsichtbaren Frame darzustellen. Ein Doppelklick auf eine bestimmte Stelle in diesem Frame schaltet dann den Parameter um, auf den der Cursor zeigt. Der Anwender bleibt allerdings in dem Glauben, auf ein leeres Feld geklickt zu haben.

Die Entwickler sind über die Fehler informiert und haben sie bereits in den Nightly Builds von Firefox beseitigt. Da diese aber nicht ausreichend getestet werden, sollten Anwender lieber bis zum Erscheinen der Version 1.0.1 warten. Wann dies soweit ist, ist aber noch unklar
Quelle: heise

WoW ist kein Wunder, das die so aufdringlich sind bei den mega Preisen!

Umlaute in Domain-Namen ermöglichen neuen Phishing-Trick

Mit einem neuen Trick können Phisher den Anwendern URLs in Webbrowsern (momentan den Standardinstallationen von Opera 7.54, Konqueror 3.2.x. und Mozilla-basierenden Webbrowsern wie Firefox 1.0) vorgaukeln. Der Trick funktioniert so gut, dass man ihn sogar auf vermeintlich SSL-gesicherte Seiten anwenden kann. In dem auf der Mailing-Liste Full Disclosure erschienenen Advisory ist eine Demo verlinkt, die den Anwender vortäuscht, auf paypal.com zu führen. Auch bei Ansicht der Seiteninformationen in Firefox scheint die Seite wirklich von PayPal zu stammen -- allein der Inhalt der Seite passt nicht so recht dazu. Bei der https-Demo erscheint die Adressleiste im Firefox gelb hinterlegt. Auch warnt der Browser nicht vor einem ungültigen Zertifikat.  

Angreifer und Phisher können diese Schwachstelle ausnutzen, um täuschend echt gemachte Seiten im Netz zu hinterlegen und Passwörter und Kreditkartennummern zu sammeln. Der Anwender hat kaum ein Chance festzustellen, dass die Seite gefälscht ist. Insbesondere der bei vielen Dienstleistern zu findende Hinweis, das Server-Zertifikat auf seine Gültigkeit zu prüfen, ist hier fast nutzlos. Erst die Anzeige des vollständigen Zertifikats offenbart, dass das Zertifikat zwar gültig ist, aber gar nicht für paypal.com ausgestellt wurde.

Ursache des Problems ist die Unterstützung von Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Sonderzeichen ermöglicht. Deutsche Domains können durch die Kodierung mit Punycode seit dem 1. März 2004 Umlaute wie ä, ü und ö enthalten. Domain-Namen können so aber auch etwa kyrillische Zeichen umfassen. Unglücklicherweise sieht ein kyrillisches kleines a aber genauso so aus wie ein lateinisches kleines a. Allein der Unicode unterscheidet sich.

Im vorliegenden Beispiel ist das erste a in paypal.com in Wirklichkeit ein kyrillsches a (http://www.pаypal.com/). Dezimal 1072 steht in Unicode für das kyrillische a. Der Link führt zu der in Punycode geschriebenen Adresse "http://www.xn--pypal-4ve.com", also nicht zum Internetbezahldienst PayPal. Das SSL-Zertifikat ist ebenfalls für www.xn--pypal-4ve.com ausgestellt und von Usertrust unterschrieben.

Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im RFC 3492 Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin und demonstrierten es anhand von Microsoft-Domains.

Da Microsofts Internet Explorer momentan standardmäßig keine derartigen internationalisierten Domain-Namen unterstützt, funktioniert der Angriff hier nicht. Grundsätzlich aber beruht das Problem nicht auf Fehlern in Browsern oder in der Namensauflösung durch Name-Server. Wie man dieses Problem angehen will, ist deshalb derzeit noch unklar. Anwender von Firefox und Mozilla können als Workaround die Unterstützung von IDN deaktivieren, sodass der Phishing-Trick nicht mehr funktioniert. In der Adressleiste gibt man dazu about:config ein und setzt anschließend network.enableIDN auf false.

Quelle: heise

Ich hab mich erstmal für Suse Pro 9.2 entschieden.
Ist da für den Anfang in dieser 5-CD-Variante alles enthalten, was man so für die elementarsten Tätigkeiten wie Surfen und E-Mail sowie CD Brennen braucht?

--> Ja fürs erste solltest du dort alles an Software finden was du brauchst

Kann ich damit rechnen, dass der Großteil meiner Hardware richtig erkannt wird und gleich fehlerlos funktioniert? Oder sollte ich mich eher auf eine ellenlange Treibersucherei einstellen? Weiß ja nicht, wie das da aktuell so aussieht mit der Hardwareunterstützung.

--> Soweit dürfte es eigentlich keine Probleme geben, aber du auch keine Hardware angaben machst möchte ich auch für nichts garantieren! Je nachdem was du für exoten hast solltest du mal nach nem treiber ausschau halten!

Ist es problemlos möglich, Dateien aus den Windows-Partitionen, wie z.B. MP3 oder Textdokumente, schnell und einfach ins Linux rüberzuziehen?
Kann ich z.B. auch meine Opera Lesezeichen (Opera gibts ja auch für Linux, richtig?) sowie meine E-Mails einfach importieren?

unter Linux dateien von der Windows Partition auf die Linux zu kopieren bzw zu nutzen ist ohne größere Probleme möglich und erfordert nur eine Mounten der windows partition! andersrum ist es jedoch nicht möglich da windows mit linux partitionen nichts anfagen kann!

Mit welchen Hürden und Problemen sollte ich am Anfang generell rechnen?

Gebe besonders acht beim anlegen der Partitionen unter dem Manager von suse sonst könnte es sein das du deine windows partition mal eben plättest! Ist mir damals als newbe im ersten versuch auch passiert

Was könnt ihr mir an zusätzlichen, praktischen Tools empfehlen? Mediaplayer, Brennprogramm, IRC Client und sowas?

erstmal kein Kommentar da ich linux nur als server und nicht als workstation einsetze!

Ach ja, und noch was. Wenn ich eine externe Festplatte verwende (Anschaffung in den nächsten Wochen geplant), kann ich problemlos mit Linux UND Windows darauf zugreifen? Muss ich sie dazu in einem speziellen Dateisystem formatieren? Hab gehört, auf NTFS könnte man mit Linux nicht schreiben, nur auf FAT. Stimmt das? Oder ist es besser, auch das Ding gleich in zwei Partitionen aufzuteilen, eine für jedes OS?

kannst ruhig eine partition im ntfs anlegen! dürfte eigentlich kein problem für linux dartstellen! falls es nicht funktionieren sollte( wieso auch immer) kannste es ja noch immer mal ändern!

Fragen über Fragen, und mehr kommen noch mit Sicherheit dazu!

Dann mal her damit! Hoffe dir geholfen zu haben!

Gruß
Sascha

Tja auch wenn es etwas länger gedauert hat, aber dieser ominöse Einstein hat absolute keine Chance gegen den „wahnsinnigen Professor ZWEISTEIN“ !

OH OH !
Na wie konnt ich das denn nur übersehen  :oops:

Laso bitte hinzufügen

Sascha  --> 26.04.1979

!! Herzlichen Glückwunsch !!

Zitat von: "PsychoStudio"

Von Symantec/Norton Produkten würde ich generell die Finger lassen!

Wieso das denn ?
Weil es jeder hat oder hast du da andere schlechte Erfahrungen mit ?

Im Vergleichstest mit anderen Produkten haben die Symantec Produkte bei mir immer schlechter abgeschnitten als in den ganzen Zeitschriften angepriesen wird, desweiteren wenn mann sich die vergleichs test in den Zeitschriften etc anschaut wird man, sofern man sich etwas auskennt, feststellen das die wirklich guten produkte der Konkurenz in den Tests selten bis nie auftauchen und Testurteile sind käuflich!!!

Mit eines der besten Antiviren Programme ist "AntiVirenKit 2005 professional" von GData ist aber kein Freeware und liegt bei EUR 39,95!

Von Symantec/Norton Produkten würde ich generell die Finger lassen!

ansonsten wenn es Freeware sein soll würde ich zu Antivir tendieren, die Software kannst du dir hier downloaden.

Naja, nach den Prüfungen mach ich mal Format C:

Als anständiger Windows-Benutzer sollte man das System sowieso alle 1-2 Monate neu aufsetzen.  


@Jason
und was läuft da sonst noch so neben bei (eMaule, Kazza, sonstige Downloads etc, mehere User nutzen die Verbindung) sollte dieses der Fall sein, sind die Verbindungsabbrüche kein Wunder.

Interessant ist der letzte Satz, "Sorry but you need Java 1.1x enabled browser....."

Der Satz hat nichts mit dir zu tun sondern ist ein standart eintrag in der seite, der dann ausgegeben wird wenn Java 1.1 nicht vorhanden ist. Das ist bei dir nicht der Fall!