15. April 2012 00:09

Re: Und was machst Du bei Ogg Videos auf Wikipedia? (Editiert vom Verfasser am 15.04.12 um 00:27)

spiro schrieb am 14. April 2012 22:36

> > Warum sollte er nicht? FF ist ein guter Browser, der sich durchaus
> > noch durch andere Eigenschafte auszeichnet als den nativen
> > Ogg-Support. Es ist dich gut die Wahl zu haben.

> Erstens finde ich Chrome sicherheitstechnisch besser (wir reden ja
> über Sicherheit, zweitens ist der Safari über Apple Updates aktuell
> und wir reden ja auch über Dau-User. Drittens ist FF nicht so gut im
> Apple-Look-And-Feel.

Soll das jetzt ne Diskussion werden, welcher Browser besser ist?
Die urspüngliche Frage war: Wie schaut man auf nem Mac Ogg-Videos
ohne Java an.
Antwort: Mit Firefox oder halt gar nicht (was auch kein Drama ist).

> 4. Welcher Dau-User macht sich die Mühe, FF zu installieren. Er weiß
> doch gar nicht, wie das geht.

Ja, weil alle Mac-Besitzer doof sind?!? O.o (
Und nein, um DAU-User ging es nicht. Wie kommst du darauf?
Im Übrigen habe ich schon sehr oft auf Macs den FF gesehen (habe
selbst keinen Mac).

> Wir reden ja hier gerade nicht über erfahrene User, die sich ohnehin
> keinen Trojaner einfangen können (Konten mit eingeschränkten
> Rechten).
Ja stimmt, das ist auf Konten mit eingeschränkten Rechten ja
undenkbar. Absolut keine Chance. Privilege Escalations existieren nur
in der Theorie und darum gibt es auch keine Jailbreaks iOS.

Übrigens: Die meisten Trojaner nutzen eh die Sicherheitslücke Mensch
durch Social Engineering.

Aber das hat alles mit dem urspünglichen Thema gar nichts mehr zu
tun.

> Ich meint nicht nur Dein Argumument, dass tatsächlich ein 2. Browser
> einen Angriff auf den 1. Browser ermöglichen kann, was schon mal
> passiert war (Windows). AFAIK muß man hierzu keineswegs BEIDE Browser
> geöffnte haben muß!
> Es reicht schon die vohandene Browser-Bibliothek.

Du hast mich falsch verstanden. Es geht nicht darum, das ein Browser
den anderen kompromittiert. Es geht darum, die Leute idR nur einen
Browser benutzen, auch wenn die 10 installiert haben. Die 10
installierten Browser lassen sich aber nicht als Angriffsvektor
nutzen, wenn sie nicht (oder eben nur sehr selten) benutzt werden.
Das bloße Vorhandensein eines Programms setzt nicht automatisch die
Sicherheit eines Systems herab.

> Ich meinte Klassik Applets als HTML5 Fallback - und NUR als Fallback.
> (Wikipedia)

Dito. Lies nochmal zurück. Ich hatte bereits im ersten Posting
ausdrücklich vom Java-Browserplugin geschrieben.

> Besser als Flash - als Fallback, weil Open Source und bessere
> Sandbox.
Die Sprache ist Open Sourcen. Die VM und das Browser-Plugin von
Oracle nicht! Daher macht das keinen Unterschied. Und nein, der
Sandbox von Java vertraue ich keinesfalls mehr, da sie löchrig wie
ein schweizer Käse ist (lies nur mal die gestopften
Sicherheitslücken, des letzten Jahres!).

Und im Gegensatz zu Flash hat ein Java-Applet schon ohne das es aus
der Sandbox ausbrechen musste, sehr sehr viel mehr Zugriffs- und
Manipulationsmöglichkeiten als eine Flash-Anwendung. Ein Reguläres
Java-Applet kann z.B. ganz ohne irgend welche Sicherheitslücken zu
nutzen auf das lokale Dateisystem Zugreifen und beliebige Daten
auslesen. Das geht mit Flash nicht.

> Würdest Du Wikipedia mit Flash bevorzugen?

Ganz ehrlich: Ja würde ich!

Genau genommen betrifft es mich nicht, da ich eh mit den FF unterwegs
bin. Aber bevor ich Java im Browser aktiviere, würde ich lieber auf
die paar Videos verzichten.

> JavaScript. 
> AktiveX (damit auch Flash).
> Webstart
> JavaFX 
> Java-Klassik-Applets (Falss man kein Fallback braucht. Falls doch,
> für betreffende Webseite einschalten).

Ich glaube du überschätzt das Bedrohungspotential von JS sehr stark
und unterschätzt das von Java.

Bei mir sieht die Reihenfolge genau andersherum aus.

Die unteren drei Punkte bei dir fasse ich unter Java zusammen und
dekativiere damit die größte Gefahr. Gleichzeitig schränke ich mich
damit am wenigsten ein. Genau genommen erfahre ich im Alltag absolut
keine Einschränkung, wenn Java im Browser aus ist.
Webstart ist meiner Meinung nach sowieso komplett Blödsinn, Applets
sind eine unkontrollierte Gefahr und werden ohnehin so gut wie gar
nicht mehr eingesetzt.

Und was du mit JavaFX willst, weiß ich auch nicht. Das kannst du aus
Browsersicht alles gar nicht separat aktivieren oder abschalten.
Entweder, das Java-Plugin ist an oder aus. Dann geht entweder alles
(je nachdem, welche Java-Version installiert ist) oder gar nichts
mehr (immer Bezogen auf den Browser).

Und ActiveX betrifft nur den IE. Wer den nutzt, ist selbst schuld.

> > Analog zu deiner Feststellung oben: Weniger Software erhöht die
> > Sicherheit (vor allem wenn sie für ihre Anfälligkeit bekannt ist)

> Das gilt auch für einen 2. Browser (:

Nicht, wenn der zweite Browser nicht (fast nie) benutzt wird. Ich
hätte oben allerdings statt Software lieber Bibliotheken schreiben
sollen. Diese stellen schon durch ihr bloßes Vorhandensein ein Risiko
dar, weil du nicht (oder kaum) kontrollieren kannst, wenn eine andere
Software sie benutzt.

> Polemisierende Überschriften: 
> "Java-Applet Schrott abschaffen"
> dürften Dau-User in die Irre führen?

Inwiefern? Ich finde es triff punktgenau. Applets sind in der Praxis
doch sowieso schon fast Bedeutungslos geworden. Dort, wo sie noch
regelmäßig eingesetzt werden oder Leute drauf angewiesen sind (z.B.
Intranets) werden die Systeme hoffentlich professionell gepflegt oder
auf Ausnahmeregelungen zurückgegriffen.

Auf den diversen Windows PCs hier im Haushalt ist, bis auf einen,
schon seit langem gar keine Java Runtime mehr installiert. Bis jetzt
hat es noch keiner vermisst.

Anzeige