You do not have permission to view link please Anmelden or Registrieren
das war ein eigen erstelltes, habs auch mit den 2 Beispielen auf chromium getestet.
Virenscanner, das Geschäft mit Angst und fragwürdiger Moral
- Ersteller alter_Bekannter
- Erstellt am
das war ein eigen erstelltes, habs auch mit den 2 Beispielen auf chromium getestet.
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
Teste es nun ja schon ein Weilchen und muss sagen im Vergleich zu NoScript empfinde ich´s eher unkomfortabler. Bei NoScript habe ich einmal eine URL freigegeben und gut war. Bei uMatrix muss ich das immer und immer wieder für die gleichen URLs machen. Gilt immer nur für die jeweilige Website. Richtig nervig wird´s wenn dynamische URLs verwendet werden. Bei YouTube muss ich beispielsweise regelmäßig googlevideo freigeben.
You do not have permission to view link please Anmelden or Registrieren
sia
gesperrt
You do not have permission to view link please Anmelden or Registrieren
RTFM, globale Regeln kannst du durch einen Klick auf die Domain ganz oben links einstellen:
You do not have permission to view link please Anmelden or Registrieren
EDIT: wenn du schon NoScript benutzt hast, warum importierst du nicht einfach dessen Regeln?
EDIT2: Was hat das mit Virenscannern zu tun?
EDIT3:
You do not have permission to view link please Anmelden or Registrieren
Zuletzt bearbeitet:
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
You do not have permission to view link please Anmelden or Registrieren
Du hast mich falsch verstanden. Es hat nichts damit zu tun, dass ich die Anleitung nicht gelesen habe, sondern dass ich die Umsetzung im Vergleich zu NoScript unkomfortabler finde. Das was bei NoScript direkt geht, muss ich hier über Umwege machen. Ergo ist es für mich ein Komfortverlust. Was es mit Virenscannern zu tun hat? Wir haben uns an dieser Stelle über das Thema unterhalten und ich habe diesen Punkt daher einfach noch einmal aufgegriffen. Ist schließlich der selbe Thread. Außerdem gehört es für mich durchaus Diskussionsinhalt. Denn wenn Virenscanner unnütz sind, was muss ich dann tun, um Virenscanner überflüssig zu machen? uMatrix / NoScript sind m.M.n. ein Teil der Prävention.
Mr. White
The One Who Knocks
- Registriert
- 16 Juli 2013
- Beiträge
- 244
Also landen freigegebene Seiten bei NoScript automatisch auf der globalen Whitelist?
Da finde ich den Ansatz von uMatrix deutlich besser. Nur weil ich auf Chocolatey.org Disqus freigebe, um die Kommentare zu einem Paket lesen zu können, bedeutet das nicht, dass ich auf jeder anderen Webseite die Kommentare lesen möchte.
Falls du Seiten tatsächlich immer global freigeben willst, kannst du doch einfach auf die *-Matrix umschalten (bleibt sofern man es nicht wieder umstellt so) und dort die Freigaben setzen.
Da finde ich den Ansatz von uMatrix deutlich besser. Nur weil ich auf Chocolatey.org Disqus freigebe, um die Kommentare zu einem Paket lesen zu können, bedeutet das nicht, dass ich auf jeder anderen Webseite die Kommentare lesen möchte.
Falls du Seiten tatsächlich immer global freigeben willst, kannst du doch einfach auf die *-Matrix umschalten (bleibt sofern man es nicht wieder umstellt so) und dort die Freigaben setzen.
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
Mir ging es ja nicht darum, dass ich´s anders haben will. Wir sprachen darüber und ich sagte irgendwann mal, ich teste es mal. Das ist nun mein Feedback dazu. Nutzungsansprüche sind halt verschieden. Dem einen gefällt X besser, dem anderen Y. Daran sehe ich nichts verwerfliches. Ich finde aktuell halt NoScript für meine Ansprüche geeigneter.
HoneyBadger
Aktiver NGBler
- Registriert
- 7 Sep. 2015
- Beiträge
- 1.913
Das Argument kann ich natürlich akzeptieren.
Novgorod
ngb-Nutte
- Registriert
- 14 Juli 2013
- Beiträge
- 3.055
jep. eine zusätzliche möglichkeit der filterung je nach hauptdomain macht natürlich mehr sinn, allerdings hab ich diese funktion bisher nicht wirklich vermisst.. wenn man tatsächlich eingebundene disqus- oder facebook-kommentare lesen will, reicht mir das temporäre freischalten, das beim neustarten des browsers zurückgesetzt wird..
nik
肉まん
Und wieder:
You do not have permission to view link please Anmelden or Registrieren
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
Ich fliege gerne mal über solche Artikel drüber, ist oft sehr spannend. Was mir z.B. nicht so bewusst war, dass Lücken auch gerne mal diverse Virenscanner betreffen, weil sie die selbe Engine benutzen oder Referenzimplementierung o.ä. und dort der Fehler ursächlich auftritt. Hier jetzt ja auch wieder.
Jedenfalls immer wieder ganz coole Insights in das Thema.
Jedenfalls immer wieder ganz coole Insights in das Thema.
nik
肉まん
Stimmt, und was für ein dreckiges Geschäft das eigentlich auch ist.
Bei der Lücke mit den Archiven z. B.. Da haben sie dann klamm heimlich selbst die rar-Version aktualisiert, aber den Bug nicht gemeldet, so dass sie selbst einen Vorteil den Mitbewerbern gegenüber haben.
Bei der Lücke mit den Archiven z. B.. Da haben sie dann klamm heimlich selbst die rar-Version aktualisiert, aber den Bug nicht gemeldet, so dass sie selbst einen Vorteil den Mitbewerbern gegenüber haben.
Ja, die Rar Geschichte war nicht nett.
Wenn ich mir aber anschaue, dass Bitdefender geschlagene 2 Wochen brauchte um den Bug zu fixen wird mir übel.
Gemeldet wurde es am 6.6., am 16.6 wurde die neue Unrar-Src released, da war es kein Geheimnis mehr, dass alle vorherigen UnRar-Versionen diese Lücke haben.
Am 20.6. , also nochmal 4! Tage später wurde die Lücke dann als geschlossen gemeldet.
Aber immerhin bleibt es spannend. Unternehmen die sich voll und ganz auf Antivir-Lösungen verlassen haben und das Updaten ihrer Rechner lieber ausliessen, sitzen zum Teil immer noch in der Kacke.
Und irgendwie tun sich immer grössere Abgründe auf.
Ich verfolge Interesse halber den ProjectZero-Tracker. Zwischenzeitlich wurde der 1324. Bugreport veröffentlicht, 1287 bis 1323 sind noch in der Schublade.
Besonders bin ich auf den Auslöser dieses Tweets gespannt:
Wenn ich mir aber anschaue, dass Bitdefender geschlagene 2 Wochen brauchte um den Bug zu fixen wird mir übel.
Gemeldet wurde es am 6.6., am 16.6 wurde die neue Unrar-Src released, da war es kein Geheimnis mehr, dass alle vorherigen UnRar-Versionen diese Lücke haben.
Am 20.6. , also nochmal 4! Tage später wurde die Lücke dann als geschlossen gemeldet.
Aber immerhin bleibt es spannend. Unternehmen die sich voll und ganz auf Antivir-Lösungen verlassen haben und das Updaten ihrer Rechner lieber ausliessen, sitzen zum Teil immer noch in der Kacke.
Ich verfolge Interesse halber den ProjectZero-Tracker. Zwischenzeitlich wurde der 1324. Bugreport veröffentlicht, 1287 bis 1323 sind noch in der Schublade.
Besonders bin ich auf den Auslöser dieses Tweets gespannt:
Es gibt ne ziemlich miese Lücke im Device-Guard
die Aber auch nicht so einfach zu lösen ist - passt nun aber nicht direkt zu Virenscannern.
Es wird immer einen Weg geben ein Programm anders zu nutzen als es gedacht ist bzw. als es berücksichtigt wurde...
Daher *Sicher* gibt es nicht - nur die Reaktion darauf ist interessant - egal ob von Hersteller oder Verbraucher / Kunde.
ProjectZero ist ansich ne Cool Sache die viel hilft - nur auch hier gibt es wie fast bei jedem dieser "Projekte" eine doppelmoral - denn auch Google Fixt einige gefundenen dinge (wenn sie andere finden) nicht - oder nur sehr langsam je nach Fall - macht aber selber sehr gerne Druck.
und 4 Tage sind nicht so langsam - man darf ja auch nicht vergessen was passiert wenn die neue Anwendung auf einmal einen Fehler macht. Jede Firma würde grob fahrlässig handeln die neuen rar-sourcen einfach zu übernehmen und das Update ein paar Stunden später raus zu schicken. Dann geht meistens schon ein update in den pre-Release ring von Firmenkunden - dann haben diese auch die Möglichkeit wenn sie wollen davon zu profitieren - "geschlossen" wird sie vermutlich erst gemeldet wenn das Rls. in der breiten Masse verfügbar ist und es keine negativen Infos gab. - Oder sogar immer einen Tag später um Rückmeldungen abzuwarten... würde auf solche Infos nicht ganz so viel geben - außer du bist in dem Fall Bitdefender-Kunde und hast wirklich erst da ein Update bekommen das das behebt.
You do not have permission to view link please Anmelden or Registrieren
die Aber auch nicht so einfach zu lösen ist - passt nun aber nicht direkt zu Virenscannern.
Es wird immer einen Weg geben ein Programm anders zu nutzen als es gedacht ist bzw. als es berücksichtigt wurde...
Daher *Sicher* gibt es nicht - nur die Reaktion darauf ist interessant - egal ob von Hersteller oder Verbraucher / Kunde.
ProjectZero ist ansich ne Cool Sache die viel hilft - nur auch hier gibt es wie fast bei jedem dieser "Projekte" eine doppelmoral - denn auch Google Fixt einige gefundenen dinge (wenn sie andere finden) nicht - oder nur sehr langsam je nach Fall - macht aber selber sehr gerne Druck.
und 4 Tage sind nicht so langsam - man darf ja auch nicht vergessen was passiert wenn die neue Anwendung auf einmal einen Fehler macht. Jede Firma würde grob fahrlässig handeln die neuen rar-sourcen einfach zu übernehmen und das Update ein paar Stunden später raus zu schicken. Dann geht meistens schon ein update in den pre-Release ring von Firmenkunden - dann haben diese auch die Möglichkeit wenn sie wollen davon zu profitieren - "geschlossen" wird sie vermutlich erst gemeldet wenn das Rls. in der breiten Masse verfügbar ist und es keine negativen Infos gab. - Oder sogar immer einen Tag später um Rückmeldungen abzuwarten... würde auf solche Infos nicht ganz so viel geben - außer du bist in dem Fall Bitdefender-Kunde und hast wirklich erst da ein Update bekommen das das behebt.
Black-Listing scheint bei MS ziemlich beliebt zu sein.
Google fixt auch Dinge nicht, die vom ProjectZero gefunden werden (epische ID 1000). Der Druck wird ja eigentlich "nur" durch das näher rückende Disclosure-Datum aufgebaut.
Wäre es ein nur lokal auszunutzender Bug gewesen wären 4 Tage für mich durchaus OK. Aber das war ein Remote-Exploit.
Als Angreifer hatte ich dann 4 Tage Zeit, einen Exploit zu bauen und wild per Mail zu verschicken. Sobald der Mailclient eines Empfängers das Ding runtergeladen hat, springt der AV an und erleidet Bruchlandung und gewährt mir Zugriff mit System-Rechten. Kann man unrar und alles andere, was unbekannte Daten anrührt oder gar analysiert, nicht sandboxen?
Google fixt auch Dinge nicht, die vom ProjectZero gefunden werden (epische ID 1000). Der Druck wird ja eigentlich "nur" durch das näher rückende Disclosure-Datum aufgebaut.
Wäre es ein nur lokal auszunutzender Bug gewesen wären 4 Tage für mich durchaus OK. Aber das war ein Remote-Exploit.
Als Angreifer hatte ich dann 4 Tage Zeit, einen Exploit zu bauen und wild per Mail zu verschicken. Sobald der Mailclient eines Empfängers das Ding runtergeladen hat, springt der AV an und erleidet Bruchlandung und gewährt mir Zugriff mit System-Rechten. Kann man unrar und alles andere, was unbekannte Daten anrührt oder gar analysiert, nicht sandboxen?
nik
肉まん
You do not have permission to view link please Anmelden or Registrieren
klar. bringt dir nur beim Virenscanner nix, weil der seine eigene unrar.exe mitbringt. Und den in die Sandbox zu packen ist ja irgendwie sinnlos.
war bezogen auf was?
Wie gesagt die 4 Tage bis etwas geschlossen veröffentlicht wird haben haben vielleicht nicht immer etwas direkt mit einer Verwundbaren Zeit zu tun.
Auch kann ich zur Not ja immer Archive für die 4 Tage schlicht blockieren.
Klar ist es defintiv ein scheiß Zustand - aber wenn deren binary-loader irgendwie inkompatibel mit dem neuen sourcecode von rar währe und dann in Fall xx eine noch größere Lücke aufreißt oder bei allen Archiven größer 20mb von Format rar Version 2 auf die Schnauze fliegt ist das Geschrei auch wieder groß das 100000de Rechner Probleme haben Weltweit und das es keine vernünftige QS gibt etc.
Klar kann es auch sein das Sie einfach geschlafen haben oder das es ihnen nicht Wichtig war - aber so *einfach* ist es mit den Patchen egal welche Lücken es gibt nicht immer und Sicherheit ist enorm wichtig aber verschlimmbessern darf man es auch nicht sonst ist die Firma ebenfalls ihre Kunden los.
@nik:
Der JS, Java, PDF oder was auch immer Parser ist ja auch integriert und wird meist in einer SB gestartet, wieso nicht unrar? Alles was potentiell gefährlichen Code anpackt gehört da rein.
Was an diesem Konzept ist sinnlos?
@drfuture:
Hab früher noch viel im beruflichen Umfeld mit VBS und VBA "rumgespielt" und da hatte MS doch gerne potentiell unsichere dlls plötzlich in der Blacklist, die Tags zuvor noch lief. Und wenn ich bei mögliche Mitigation beim DG was von Blacklist lese, läuft es mir erstmal kalt den Rücken runter, auch wenn die in der Conclusion verlinkten CI blacklist rules nicht von MS kommen. Also eher eine emotionale, denn eine rationale Dreiecksbeziehung zwischen dem Terminus Blacklist, MS und mir.
Der JS, Java, PDF oder was auch immer Parser ist ja auch integriert und wird meist in einer SB gestartet, wieso nicht unrar? Alles was potentiell gefährlichen Code anpackt gehört da rein.
Was an diesem Konzept ist sinnlos?
@drfuture:
Hab früher noch viel im beruflichen Umfeld mit VBS und VBA "rumgespielt" und da hatte MS doch gerne potentiell unsichere dlls plötzlich in der Blacklist, die Tags zuvor noch lief. Und wenn ich bei mögliche Mitigation beim DG was von Blacklist lese, läuft es mir erstmal kalt den Rücken runter, auch wenn die in der Conclusion verlinkten CI blacklist rules nicht von MS kommen. Also eher eine emotionale, denn eine rationale Dreiecksbeziehung zwischen dem Terminus Blacklist, MS und mir.
nik
肉まん
You do not have permission to view link please Anmelden or Registrieren
ach so, hatte dich falsch verstanden. Bin davon ausgegangen, dass du das als Nutzer in ne Sandbox packen wollen würdest und nicht die Entwickler der Malwarescanner.
You do not have permission to view link please Anmelden or Registrieren
Ah - ja die Mitigation ist auch irgendwie nicht sinnig - da sie ja wie dort geschrieben das ganze System lahmlegt - und ja Sonst machen die das recht gerne - da DG aber es ausnahmsweise ja andersrum macht und "eigentlich" recht schönes Whitelisting macht - umso blöder das man es dann doch umgehen kann und irgendwie das Problem sogar nachvollziehbar ist - macht es dann umso schlimmer...Hatte mich dann nur gewundert das du bei einer Whitelist-Lösung von Blacklist sprichst.