Also sprach Andreas Pakulat <[EMAIL PROTECTED]> (Tue, 28 Mar 2006 15:08:57 +0200): > On 28.03.06 14:50:48, Richard Mittendorfer wrote: > > Also sprach Andreas Pakulat <[EMAIL PROTECTED]> (Mon, 27 Mar 2006 21:25:25 > > +0200): > > > Nee, mit Sicherheit meint er paranoia. Es geht ja um die installierbaren > > > Extensions. Das sind Programme und die duerfen demzufolge alles was sie > > > wollen, inkl. die Tastendruecke die du innerhalb von FF machst > > > "aufschreiben" und irgendwohin schicken. Eventuell haben die sogar > > > Zugriff auf X11, dann koennen sie _alle_ Tastatureingaben mitloggen. > > > > Fragt sich nur, ob das im Onlinebanking mit den fuer eine Sitzung > > geltenden Codes ein hohes Risiko darstellt. > > Du gibst im Normalfall dein Passwort ein! Wenn das jemand mitliest kommt > er zumindestens schon an allerlei Informationen.
Klar, aber er kann IMHO keine Ueberweisungen damit machen. Die TAN (oder wie immer das heisst) ist IMHO nur fuer eine Transaktion oder Sitzung gueltig? Gerade mal ein man in the mittle wuerde davon profitieren und die in einer FF extension unterzubringen.., naja vielleicht. Phishing scheint da die erfolgversprechendere Methode. Kann gut sein, dass nichts hiervon wahr ist, wie gesagt, kenn ich mich damit nicht aus. Das ein Keylogger oder sonstige malware generell nix Gutes kann und ein Sicherheitsproblem darstellt steht wohl nicht zur Diskussion. > > Allerdings tu' ich weder onlinebanking, noch kenn ich mich in diesen > > Bereichen des Webprogrammierens gut genug aus. > > Webprogrammierung hat damit eigentlich wenig zu tun. Wenn eine > FF-Extension alle Key-Eingaben mitloggt dann ist das schon ausreichend. Irgendwie muss doch die Kommunkation laufen. Daher der Term "Webprogrammierung", mir faellt nunmal kein besserer Begriff ein: Mir ist klar, dass mit einem entsprechender Extension jede Eingabe (zumindest mal die im FF) geloggt und damit dann weitere Aktionen gesetzt werden koennten. Da fuehrt natuerlich auch keine (Transport) Verschluesselung herum. Aber da ist eine generelles "Problem" mit dem Protokoll im Web(browser). Ein fuer Onlinebanking eigenes Tool halte ich da fuer sinnvoller, da es weniger Angriffspunkte bietet. Natuerlich ist hier der Anbieter (die Bank) gefragt, und fuer diese wieder ist eine nicht-mainstream Plattform wie Linux (in _diesem_ Bereich) scheinbar wenig interessant. Zumindest hier in AT bieten Banken sowas fuer das Evil OS[tm] an, ob es auch fuer Linux sowas gibt weiss ich als Barzahler nicht. [OT] Ob nun meine sonstigen Eingaben im Netz von google, microsoft oder dem Betreiber der Webseite geloggt und/oder verkauft wird ist mir grossteils, wenn auch nicht vollkommen, egal. Persoenliche und wichtige Informationen haben in einem Browser mit Verbindung ins Internet nichts verloren. Ein keylogger spielt zweifellos in einer Dimension darueber. Egal, ob er nun als Extension des FF agiert, als Kernelmodul eingebunden wurde oder sonstwie im System klebt. Wirklichen Schaden kann er erst anrichten, wenn seine Ergebnisse einsehbar sind. Lokal oder uebers Netz. Um auf die Frage nach Sicherheit und Kernelmodulen zurueckzukommen: In binary-only Treibern aber besonders in der kommenden Implementation von DRM sehe ich schon eine gewisse Gefahr. Wenn ich letztere richtig verstanden habe, koennte so ein Container/Schluessel der Funktion eines heutigen Modules nahe kommen? > Wie das nun mit z.B. Tan-Nummern ist (fuer die Leute die keinen > Kartenleser haben), ob man bei einer genuegenden Anzahl mitgelesener > Nummern die naechsten berechnen kann, weiss ich nicht. Ich erinnere mich, von solchen Schwachstellen gehoert zu haben. > Andreas sl ritch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
