2 + 1 Aktionen für mehr Sicherheit

rdombach schrieb:
Diesem Umstand wird teilweise im Impressum Rechnung getragen, indem man sich von den verlinkten Inhalten distanziert.

Diese Distanzierung ist wirkungslos, der Wikipedia-Artikel zum Thema "Disclaimer" erläutert das ganz anschaulich, mit Sicherheit hat das nichts zu tun.

rdombach schrieb:
Eine andere Möglichkeit, für Schutz zu sorgen stellt das Tool „Safe Links“ (SL) von F-Secure dar, welches aktuell gerade in der Beta-Phase betrieben wird.

Damit kann F-Secure aber auch Daten in nicht unerheblichem Maße sammeln. Wenn man das JavaScript von deren Seite einbindet, ist das nichts anderes als wenn man Google Analytics verwendet.
Natürlich hat ein Unternehmen aus dem Bereich der IT-Sicherheit mit weniger Vorurteilen zu kämpfen und eine bessere Reputation - die Daten bekommen sie aber dennoch.

Ich verstehe auch gar nicht, wozu es da ein umfangreiches und doch stark unleserlich gemachtes JavaScript braucht... Wenn die Seiten bei F-Secure getestet werden, hätte es auch eine simple Grafik getan, oder wenigstens wesentlich weniger Code zur Darstellung der Beurteilung.

Matthes schrieb:

Diese Distanzierung ist wirkungslos, der Wikipedia-Artikel zum Thema "Disclaimer" erläutert das ganz anschaulich, mit Sicherheit hat das nichts

Hallo Matthes,

danke für den Hinweis - das wusste ich wieder nicht. Typisch, man sucht in allem möglichen Quellen, aber an so was naheliegendes wie Wikipedia denkt man zuletzt.

Damit ist die "Gefährlichkeit" einer (ungeprüften) Verlinkung natürlich nochmals erhöht.

Zweifelslos bekommt F-Secure damit eine Menge Daten - ob sie diese nutzen und wie entzieht sich aber meinem Wissensstand. Allerdings vermute ich das sie primär dazu genutzt werden, um unbekannte Webseiten zu finden, die durch Web-User genutzt werden. Mit diesem Wissen vergrößert F-Secure dann die eigene Web-Datenbank und bekomme Vorteile gegenüber den Mitbewerbern im Security-Markt.

Was die Komplexität des Javascripts angeht, man bindet es ja nur einmal ein pro Webseite und es referenziert auf einen langen ID-String auf Deine Anmeldedaten. Vielleicht geht es nicht einfacher ... vielleicht ändert sich ja auch diesbezüglich noch was nach der Betaphase. Ich muss mal schauen, ob im Forum von Safe Links diesbezüglich was zu finden ist.

Beste Grüße
Ralph

Hallo Ralph

Es widerspricht meinem Sicherheitsgefühl über ein fremdes Javascript was abgeändert werden kann ohne mein Wissen eine Api auszulesen.

An eine Api stelle ich schon die folgenden Bedingungen das ich über eigene Skripte die Werte überprüfen kann. Und mit PHP kann ich dann auch ohne öffentlich zugänglichen Kode arbeiten.

Ehrlich gesagt so eine Aktion wie von F-Secure sorgt doch dafür das sich Anwender sicherer fühlen. Nur was machen die dann, wenn sie auf eine Webseite gelangen, die bewusst zwar die schönen Bilderchen ausgibt aber halt eben Malware Seiten verlinkt?

Gruß
Jörg

joerg schrieb:

Ehrlich gesagt so eine Aktion wie von F-Secure sorgt doch dafür das sich Anwender sicherer fühlen. Nur was machen die dann, wenn sie auf eine Webseite gelangen, die bewusst zwar die schönen Bilderchen ausgibt aber halt eben Malware Seiten verlinkt?

"Böser" Jörg

Du sprichst zwei Sachen an. Mit dem JS-Code gebe ich Dir recht, da ist einiges an Möglichkeiten geboten. Allerdings hoffe ich, das ein Security-Unternehmen wie F-Secure, die täglich mit Hackeren, bösen Buben (und Mädels), aber auch Cybercriminellen zu tun haben, auch in dieser Hinsicht mitdenken und Barrieren einbauen. Allerdings werden Sie da uns nicht verraten, denn hier gilt das Motto "Security by Obscurity". Ich finde das Motto zwar nicht optimal, aber manchmal heiligt der Zweck die Mittel.
Safe Links ist noch in der Beta, vielleicht kommt noch was nach - keine Ahnung. Aber ich vertraue da auf die Integrität und Intelligenz von F-Secure ... allerdings bei RSA, die auch Security verkaufen, gab es ja auch Probleme...

Generell gilt aber, das man mit IT Sicherheit nie fertig wird. Hast Du was "sicheres", kommt einer der überwindet Deinen Schutz und dann geht die Runde von neuem los ... daher willkommen im Hamsterrad Jörg! Kannst geren bei mir mitlaufen...

Das zweite sind Nachahmungstäter, die einen identisch aussehenden Schutz einbauen. Tja, leider gibt es da wohl keinen brauchbaren Schutz dafür. Geld kann nachgemacht werden, Modelabels und sonst fast auch alles. Ich könne mir aber denken, das man über das "Siegel", welches man addditiv einbinden kann, in der Zukunft auch eine Art Validierung durchführen kann, ob das Siegel/die Seite echt ist. Das könnte wieder für eine gewisse Zeitspanne für mehr Sicherheit sorgen.

Ich kann Deine Bedenken gut nachvollziehen, aber anderseits dieses Tool bietet mehr Sicherheit einfach kostenlos. 100% Sicherheit werden wir nie erreichen, aber jedes Prozent auf dem Weg dorthin zählt!
Die einzige Alternative, die ich wüsste ist die Nutzung von sicheren Kurz-URLs (steht auch im Artikel), aber wer macht sich schon die Mühe und wandelt alle Links um?

Für alle, die eine gewisse Link-Menge haben, ist dieses Tool einfach zu bedienen und bringt Sicherheit. Sicherlich wäre all dies nicht notwendig, würde JEDER Anwender selbst mehr tun, aber das ist halt nicht der Fall. Hier bietet sich aber die Chance, das die Web-Admins was tun

Beste Grüße
Ralph

PS: Ach ja, nicht vergessen - es geht auch darum, das der Webseitenbetreiber im Zwiefelsfall nachweisen kann, das ER etwas getan hat bzgl. Sicherheit auf SEIENR Webseite!

Hallo Ralph

Okay dann bin ich eben böse.

Wo ich dir rechtgebe ist das Aufklärung not tut.

Jetzt sind wir dann aber an einem Punkt wo setzt man an.

MySQL Injection beispielsweise klar Standardantwort kommt dann escapen.

Das es aber sinnvoller ist viel früher schon anzusetzen, einfach indem man die Browsereingabe mittels PHP oder auch htaccess überprüft und dann auch die Variablen nochmal überprüft bevor es überhaupt zur Datenbankabfrage kommt, steht an keiner Stelle wirklich kompakt genug.

Kurz Url Dienste gibt es viele. Einige versuchen was in Hinsicht Sicherheit zu tun.
Trotzdem habe ich mir lieber einen rein privaten Kurz Url Dienst aufgebaut anstatt die schon zu nutzen die existieren.

An der Stelle fängt es dann aber auch schon an. Ja mein Dienst ist unbekannt. Aber der ist abgesperrt für fremde Domains. Ist für mich ein klares Plus an Sicherheit. Grössere Dienste werden wohl im Laufe der Zeit dann eher Angriffsziele für Hacker werden.

Ich würde aber jeden Link hier im Forum zu einer meiner Domains trotzdem ausschreiben und den Dienst nur bei Twitter oder in der Signatur nur einsetzen. Also da wo es Sinn macht.

Wenn es dann wirklich zu einem erfolgreichen Angriff kommen sollte was ich leicht bezweifle bei dem was ich da eingesetzt habe, kann ich aber leichter als in öffentlichen Kurz Url Diensten es in Ordnung bringen.

Einfach um wo es möglich ist die letztendliche Adresse jedem anzeigen zu lassen, damit er alle möglichen Quellen zur Ãœberprüfung nutzen kann.

Es ist einfach unser Verhalten was wir jeden Tag an den Tag legen was zu mehr Sicherheit führt. Es sind Kleinigkeiten die man vorleben kann.

Wer ein CMS einsetzt muss sich auch beispielsweise regelmässig darüber informieren.

Ich möchte nicht den Prozentsatz wissen an eingesetzten CMS wo seit Jahren kein Update gefahren worden ist.

Und der wichtigste Punkt ist es einfach verstehen zu lernen wovon man spricht.
Einfach Skripte kopieren einsetzen und den Aha Effekt dann schon zu haben, das es so wie es funktionieren sollte auch wirklich funktioniert, kann nicht der Weisheit letzter Schluß sein.

Ich werde nicht behaupten das ich die Weisheit in diesem Punkt schon habe.
Ich bin mir darüber klar das viele mehr wissen als ich. Aber der Prozentsatz den ich schon überholt habe wird wahrscheinlich viel grösser sein.

Aber ich werde nie das anwenden, was ich nicht nachvollziehen kann.

Auch aus diesem Grunde scheue ich mich Javascript von anderen einzusetzen.

Ich werde es einsetzen, wenn ich es wirklich brauche. Werde dann aber auch eher zu einer Kombination von Ajax mit PHP anstatt purem Javascript neigen.

Ein weiteres Problem ist doch das viele die mit PHP entwickeln noch nicht mal das Error Reporting aktiv lassen. Das gibt dann in vielen Fällen die Sicherheitslücken auf die du abzielst.

Wenn wir was in dem Punkt Sicherheit wirklich machen wollen müsste man ein Stichwort Regelwerk entwickeln was beste Programmiertechnik oder halt eben Verhalten beim Aufbau einer Webpräsenz auch für den Einsteiger übersichtlich erklären kann.

Okay nehmen wir einfach noch ein Beispiel. HTML5 bringt einfach viel Sicherheit mit durch die neuen Input Felder schon Eingaben zu filtern. Ich prophezeie aber jetzt schon das in einigen Jahren Neueinsteiger übergehen dazu zu denken das sollte ausreichen.

Ein alter Browser sollte dann dazu ausreichen.

Ist aber ein ähnliches Spiel wie mit Javascript übergebende Daten an PHP zu prüfen und die in PHP dann einfach nicht mehr zu prüfen.

Und jetzt müsste man eben wirklich einen Punkt finden wo man ansetzt um mehr Sicherheit für alle zu erreichen.

Gruß
Jörg

rdombach schrieb:
Letztes Jahr habe ich angefangen, SecuTipp zu entwickeln und vor einiger Zeit die neue Version 2.1 fertig gestellt. SecuTipp ist ein JavaScript, welches variable Sicherheitshinweise für den User einblendet und ihn so über Security-Themen informiert.

Was genau macht dieses Tool denn? Ich sehe immer nur ein leeres grünes Kästchen.

Sicherheit ist wichtig und gut aber externe Daten und Skripte von eher unbekannten Firmen einzubinden halte ich doch eher für unsicher. Da ich nicht weiß was die mit den Daten machen. Und sollte etwas passieren wer entschädigt mich dann? Es muss kein Fehler im Programm sein, jeder Mensch hat seinen Preis und sollte es raus kommen heist es wieder die Hacker waren es. (Stichwort: Sony, Facebook, Telekom)
Mit solchen Daten kann man viel Geld machen.

Von kurz Url Diensten halte ich überhaupt nichts. Man sieht nicht auf welche Domain man geleitet wird und Suchmaschinen bestrafen einen auch dafür. (Brückenseiten)
Zudem sind es auch noch Tracker. Und aussagekräftig sind sie überhaupt nicht.

ZB.: rechts Neueste Twitter-News von Seitenreport

Link: bit.ly/l796e9 -> Link Titel: bit.ly/l796e9

www.seitenreport.de/forum/beitraege/internes/aktualisierung_der_seitenreport_agb.html

Hallo zusammen,

gutes Thema und gut argumentiert.

Für mich stellt sich die Sache ganz einfach dar. Wer sich ein Javascript von einem anderen Host auf die Webseite packt, macht seine Seite angreifbar. Egal ob es GA FB oder andere Scripte sind. Fakt ist, das die Webseite remote controlled ist.

Wie hier richtig angeführt wurde, darf man davon ausgehen, das grosse Webseiten, die diese scripts ausliefern, IMMER ein lohnendes Ziel für hägga sind. Ein erfolgreicher Angriff und man hat gleich mehere 1000 Webseiten unter Kontrolle(zumindest die Surfer und deren Eingaben).

Ich kann nicht nachvollziehen, warum man "sicheres surfen dienste" braucht.
Wo surft ihr rum, dass so enorm angriffspotenzial auf der Webseite herrscht.

Ein Virenwächter
eine Firewall -> die Aber eingestellt, ganz wichtig die 127.0.0.1 auch kontrollieren und filtern.

...dann ist der Drobs gelutscht

Hallo alle miteinander,

na jetzt haben wir ja schon eine nette Diskussion beisammen

@Jörg
Hallo (lieber) Jörg,
Ich gebe Dir in vielen Punkten bzw. Vorsorge und Aufklärung Recht, aber ich denke, Du bist nicht der typische Web-Admin.
Ich möchte Dich einfach mal mit einem Bank-Kassierer vergleichen (sofern es diesen Job heute noch gibt), der schaut Geldnoten ganz anders an als Otto Normalbürger. Der Kassierer sieht/fühlt wo es sich um eine Blüte handeln würde, wo der Normalbürger nichts sieht.

Heute kümmern sich die wenigsten um ihre Skripte und ihre Ressourcen. Es wird einfach kopiert und genutzt – das fängt beim Browser –Plug-In an und hört beim CMS (vielleicht) auf. Sicherlich nicht die ideale Methodik, aber eine die der Markt diktiert. Es gibt zwei Regeln bei Security.

1. Du erreichst nie 100% Sicherheit
2. Business VOR Security

Du kannst es Dir leisten, mehr auf Sicherheit zu achten und Deine Links
handverlesen zu nutzen. Andere können das nicht, die müssen produzieren und sich auf das Funktionieren von (eingekauften) Tools verlassen.
Bzgl. sicherer Programmierung – da gibt es heute schon Tools, die einiges unterstützen, aber meist in einer Preisklasse, bei der ein Hobby-Anwender oder Klein-Unternehmer dankend abwinkt. Mitunter sparen die Leute ja schon bei einer Lizenz für eine Antivirusprodukt, weil man eben für Security so wenig Geld als möglich ausgibt.

Meine Empfehlung für F-Secure erfolgte u.a. aus dem Grund, da es gratis ist und einen guten Basisschutz bietet.


@Ultima
Hallo Thomas,
SecuTipp blendet Security-Empfehlungen ein (siehe auch rechte Spalte bei Seitenreport unter „unser Service für mehr Sicherheit). Falls Du aber Javascript deaktiviert hast, wird es aber nicht funktionieren.

Du bist der Web-Admin und DU entscheidest, wem Du vertraust und wem nicht! Wenn Du Dich gegen Safe Links und SecuTipp entscheidest, ist das OK. Wobei ich persönlich wohl eher F-Secure vertrauen würde, als dem +1 Button von Google. Aber das ist eine individuelle Sache.

Nebenbei bemerkt, auch die Angabe einer ausgeschriebenen URL auf einer Webseite sagt nichts über das reale Ziel aus. Stichwort: URL-Obfuscation

Im Grunde sind, wieder nach meiner persönlichen Meinung, Kurz URLs sicherer als reale URLs, wenn Sie z.B. über einen Antivirus-Dienst wie von McAfee oder Bitdefender laufen. Das gleiche bietet auch Safe Links, aber eben einfacher zu implementieren.

Dein Hinweis mit den Security-Optionen von Google, FF ist ein Schritt in die richtige Richtung. Aber auch so was ist nicht einfach so einzusetzen. Du und ich wir können das jederzeit. Große Firmen nicht! Die haben Software von MS und dabei bleiben sie auch – ein Software-Wechsel … undenkbar. Erste wenn der IE auch solche Features bietet, dann sind wir wieder in einem Boot.


@Roman
Hallo Roman,
ganz klar, wenn Du andere Sachen einbindest machst Du Dich angreifbar. Aber keiner kann jede Software die er benötigt selbst schreiben. Auch wenn Du heute ein Unix-Derivat einsetzt, dieses selbst kompilierst … bist Du dann wesentlich sicherer, als mit einem Betriebssystem von der Stange? Wer schaut schon alle Codezeilen an, auf der Suche nach versteckten Funktionen und eingebauten Hintertüren.

Ich denke 95% aller Web-Nutzer bleiben auf ordentlichen Seiten. Seiten, wie sie hier und da auch im Forum von den Teilnehmern vorgestellt werden. Aber wer hindert den bösen Buben daran, eine Seite zu präparieren und dann im Forum zu sagen … schaut doch mal auf meine Seite, was ich da verbessern kann! Schon habe ich 20 hilfswillige Opfer, die wiederum meinen Schadcode verbreiten.

Roman – das Böse ist immer und überall (Liedzeile EAV)

OK, mal wieder weg mit den bösen Spekulationen. Du bist heute einfach gefährdet, auch wenn Du ganz brav immer nur Deine lokale Tageszeitung im Web liest. Denn diese nutzt neue Features und Werbepartner und und und

@All
Ich finde es sehr interessant eure Argumente zu hören und werde diese auch in den nächsten Tagen mal nach Finnland melden, sofern sie Safe Links / F-Secure betreffen. Generell möchte ich aber nochmals klarstellen, es ist keiner genötigt, irgendwas einzusetzen oder zu tun. Jeder ist sein eigener Web-Admin, der zu entscheiden hat, was er macht. Jeder muss entscheiden, wem er vertraut und wem nicht bzw. wessen Codeschnipsel er nutzt.
Aus meiner persönlichen Sicht heraus, halte ich einfach so was wie Safe Links für nützlich. Denn ein jeder kann es einbinden, ohne weitere Programmier-Kenntnisse. Und nachdem wir ja nun erfahren haben (der Beitrag von Matthes) , welchen Wert ein Impressums-Disclaimer hat bzgl. Verlinkung, ist es in meinem Augen eben bei einem Rechtsstreit nützlicher auf so was wie einen Security-Service von anderen zu verweisen, als nichts zu haben. Aber wie gesagt, meine ganz persönliche Meinung!

Beste Grüße
Ralph

Nachtrag...

Wer mag, bitte hier noch eine Zusatzinformation zum aktuellen Virus-Warnsystem von Google lesen:

www.e-recht24.de/news/it-sicherheit/6770-google-vorsicht-trotz-googles-schadsoftware-warnsystem.html

rdombach schrieb:

Heute kümmern sich die wenigsten um ihre Skripte und ihre Ressourcen. Es wird einfach kopiert und genutzt – das fängt beim Browser –Plug-In an und hört beim CMS (vielleicht) auf. Sicherlich nicht die ideale Methodik, aber eine die der Markt diktiert. Es gibt zwei Regeln bei Security.

1. Du erreichst nie 100% Sicherheit
2. Business VOR Security

Hallo Ralph

Mir ist klar was dieser Markt diktiert.

Nur argumentieren wir an der Stelle doch mal den Fall, wenn die Security durchbrochen worden ist.

So das Business verliert an Reputation. Das Produkt kann nicht mehr in dem Maße vermarktet werden.

Mitunter verliert man in diesem Fall durch Ausfall. Kampagnen zur Rückgewinnung der Reputation und der potentiellen Kundschaft, mehr als die paar Stunden der Kontrolle der Skripte gekostet hätte.

Ist genau so ein Spiel wie mit validem Html Kode und Trafficminimierung. Man spart vielleicht an 2 Prozent der Entwicklungszeit ein und beraubt sich an der Stelle an Potential zur sicheren Browserdarstellung und Ressourcen des Servers.

Also die zweite Regel ist der Schwachsinn schlechthin. Die erste Regel sollte man sich immer ins Gedächtnis rufen und schauen, wo noch Potential ist um die Sicherheit zu erhöhen.

So und dann liegt es meiner Ansicht nach an uns solche Umstände immer wieder ins Gedächtnis zu rufen.

Aber nehmen wir doch mal ein anderes Beispiel aus der realen Welt.
Toyota hat zur Stärkung des Business ein Fehlermanagement vor allen anderen eingeführt um die Qualität und die Langlebigkeit seines Produktes besser zu vermarkten.

Dieses Vorgehen hat mehr Umsatz eingebracht als wenn sie anders vorgegangen wären.

Und sowas sollte man halt eben auch auf Webseiten anwenden um langfristig damit Erfolge zu erzielen.

Du ich könnte nie jemandem der eine Webseite von mir haben möchte zu einem CMS raten, wenn es sowieso absehbar ist das nicht mehr als 10 Seiten überhaupt benötigt werden.

Da reicht die Anwendung von HTML und CSS vollkommen aus.

So es gibt dann aber genügend Leute die damit ihren Lebensunterhalt verdienen, die an diesem Punkt zu einem ressourcelastigen CMS raten. Wahrscheinlich auch aus dem Grunde weil sie nichts anderes beherrschen. Wo wir wieder an dem Punkt sind das durch das CMS Sicherheitslücken entstehen können und weniger flexibel gestaltet werden können um für solche kleinen Projekte das ultimative herraus zu holen.

Ich kaufe mir halt eben ein Glas Milch und keine Kuh wenn ich Durst habe.
Oder wenn es ein bisschen gemütlicher zugeht, gönne ich mir ein Glas Wein und investiere nicht gleich in ein Weingut.

Gruß
Jörg