Iron, FF oder Opera, welcher ist am sichersten Einstellungen

[Habakuck]

Halli hallo ihr Lieben.

Ich weiss, dass alleine der Titel provokativ ist aber ich möchte einfach ein bischen Input zu dem Thema bekommen.

Ich lese mich die letzten Tage Stunden lang durchs Netz und versuche rauszufinden welchen Browser ich am sichersten finde.

Zur Auswahl stehen:

- Firefox 3.5 (Java deaktiviert, Java-Skript aktiviert) mit den Addons NoSkript und FlashBlock

- Opera 10 (Java deaktivert, Java-Skript aktiviert) [da gibt es kein "NoSkript" für oder?]

- Iron


Ich sehe die größte Gefahr in folgenden Sektoren: FlashPlayer, AdobeReader und JavaSkripts/Iframes. (Bitte berichtigen oder hinzufügen.)

Zu den JavaSKripts/Iframes gleich die erste Frage: Wenn auf einer eigentlich vertrauenswürdigen Seite ein schädlicher Iframe eingebaut wird taucht dieser im NoSkript Menü dann auch extra auf? Also zum Beispiel ist auf disney.com ein schädlicher Skript eingefügt worden. Nun möchte ich mir aber die Seite angucken was leider häufig nur mit aktivierten Skripten möglich ist. Also öffne ich das NoSktipt Menü und sehe:

disney.com
google-analytics
...

steht dann dort der schädliche Skript xyz oder ist der so implementiert, dass er mit unter disney.com fällt? Denn dann ist der Schutzfaktor quasi 0.

Wie sieht das bei Opera und Iron mit Cross Side Skripting aus? Das ist ja ein weitere großer Punkt der für NoSkript also FF spricht oder?


Wie seht ihr unter diesem Hintergrund die Sicherheit der einzelnen Browser?

Iron bietet ja zum Beispiel eine sandbox Technologie...

Dieser Thread soll übrigens nicht zur Diskussion um Sandboxie, GesWall oder weiteren führen. Es geht hier nur um die Browser.

Der Beitrag wurde von Habakuck bearbeitet: 11.09.2009, 13:41

[markusg]

hohl dir doch noch noscript, da kannst du alles mögliche verbieten. iframes sämtliche player auf websites, weiterleitung webbugs etc. bei adblock plus noch filterlisten einsetzen. kookies nur von vertrauenswürdigen seiten zulassen, wo du sie benötigst, also hier zb.

[Habakuck]

=) Guck mal oben. Ich nutze NoSkript.

Schützt mich FF+NoSkript und FlashBlock besser als Opera oder Iron?

Der Beitrag wurde von Habakuck bearbeitet: 11.09.2009, 14:37

[markusg]

hi, man sollte noscript noch ein wenig konfigurieren. Opera war im letzten Jahr der Browser mit den wenigsten Sicherheitslücken, ff der mit den meisten, diese wurden aber auch am schnellsten geschlossen. Mir persönlich gefällt der FF besser und wenn man ihn gut konfiguriert spricht, so denke ich, nichts gegen die Nutzung.

[Habakuck]

Welche Konfigurationen sind nötig? Ich habe schon ein bischen umkonfiguriert aber nur frei Schnautze nach meinem Verständnis.

Wo hast du die Infos mit den Sicherheitslücken her?

[markusg]

weis ich jetzt net so genau, da gabs anfang des jahres mal eine Studie.
also bei noscript habe ich folgendes:
auf allgemein alles belassen wie es ist.
Bei Positiv-liste habe ich erst mal alle Einträge gelöscht, die es gab, außer about config kann man ja net löschen.
bei Plugins alle verboten. iframes und frames ebenso bestätigungsmeldung für ein objekt was ich erlauben möchte.
ob du die einstellung für vertrauenswürdige seiten auch möchtest, musst du wissen :-) jedes objekt von nicht vertrauenswürdigen seiten blockieren.
bei erweitert nicht vertrauenswürdig alles aktiev außer noscript elemente ausblenden, ist geschmackssache.
bei vertrauenswürdig habe ich aktiviert: noscript element anzeigen das...
cross site Scripting alles aktiviert.
Auf der Registerkarte jar entfernte jardateien abhalten geladen zu werden aktiviert.
Bei https habe ich sicheres kookiemanagement aktiev.
bei Abe bin ich mir net sicher, was man da machen soll ich hab abe verwenden aktiev und sites das verwenden eigener regelsätze erlauben nicht.
kookies sind bei mir geblockt, außer von Seiten, wo ich es freigegeben hab.

[Habakuck]

Mit den Einstellungen läuft mein NoSkript auch.

Das war allerdings alles nicht die Ausgangsfrage.
Wenn ich auf einer eigentlich vertrauenswürdigen Seite die Skripte erlaube (geht nunmal leider häufig nicht anders) und diese Seite aber kompromitiert ist dann schützt mich das alles nicht die Bohne oder?

Daher frage ich ob so ein schädlicher Skript explizit im NoSkript Menü auftauchen würde oder einfach in der Haup Adresse verschwindet.

[markusg]

du kannst dir scripte anzeigen lassen. und du kannst auch mit rechtsklick auf der seite und noscript sehen, was blockiert wurde, noscript kann dir aber nicht sagen, ob das script schlecht ist.

[Habakuck]

Das weiss ich doch alles.

Es geht auch weniger um die Bedienung. Ich nutze das Prog schon ewig. Mich interessiert das was ich oben bereits gepostet habe:

Zu den JavaSKripts/Iframes gleich die erste Frage: Wenn auf einer eigentlich vertrauenswürdigen Seite ein schädlicher Iframe eingebaut wird taucht dieser im NoSkript Menü dann auch extra auf? Also zum Beispiel ist auf disney.com ein schädlicher Skript eingefügt worden. Nun möchte ich mir aber die Seite angucken was leider häufig nur mit aktivierten Skripten möglich ist. Also öffne ich das NoSktipt Menü und sehe:
ZITAT
disney.com
google-analytics
...
steht dann dort der schädliche Skript xyz oder ist der so implementiert, dass er mit unter disney.com fällt? Denn dann ist der Schutzfaktor quasi 0.

Wie sieht das bei Opera und Iron mit Cross Side Skripting aus? Das ist ja ein weitere großer Punkt der für NoSkript also FF spricht oder?

Außerdem würde ich gerne wissen ob jemand Iron's sandbox mal gegen Exploit getestet hat oder einen Link bereit hat der das dokumentiert.

Desweiteren interessiert mich Opera's Sicherheit.

[markusg]

also bei mir wird das Iframe als link auf der homepage direkt angezeigt. wenns ein schädliches iframe ist, denke ich mal, dass es wo anders hinleiten wird, da sollte man dann evtl. stutzig werden.

[fenriz]

Muss ich gleich mal fragen wo stelle ich den nun den AdBlocker ein in IRON?
Ich finde SRWare übrigens eine erwähnenswerte Site.

[fenriz]

..Achso adblock.ini
Freitag halt. Harte Woche gehabt.

[markusg]

meinst du filterlisten?
http://adblockplus.org/de/subscriptions
und ich hab folgende:
malware domains
easy list
adblockrooles.org
Cédrics liste
filter von DR. Evil
easy privacy
und fanboys list, die allgemeine.

[fenriz]

Ja genau. Danke. Wobei ich finde das du da echt bissl viel am Start hast. Ist aber subjektiv und Ermessenssache.

[markusg]

naja ein mal malware list.
einmal tracking server
3 mal für de und 2 mal international. die listen bremsen nicht aus. also ist es noch OK :-)

[Habakuck]

Wie "tracking server"?

[EDIT] O.k. habs gefunden.

Wie beurteilt ihr denn nun Opera oder Iron wenn es um Exploits geht? Das schweift hier grade zu einem FireFox Thread ab... ^^ war ja zu erwarten.

Der Beitrag wurde von Habakuck bearbeitet: 11.09.2009, 21:38

[markusg]

naja ich sag ja, opera war im letzten jahr der sicherste von allen. ich denke mal das wird auch dieses jahr so sein, man liest nicht über so viele lücken im opera, anders ist das mit dem ff... aber ich hab auch viele Jahre mit dem ie gut gelebt und ich könnte es auch jetzt, ohne das etwas passiert ist.

[Habakuck]

Hast du noch irgendeinen Link zu den Tests?

Mich würde interessieren ob da Iron mit dabei war oder nicht...

[markusg]

www.zdnet.de/.../wirtschaft_sicherheit_security_bit9_firefox_ist_die_unsicherste_windows_anwe
ndung_story-39001024... -
gleich der zweite treffer bei Google :-)

[Habakuck]

Danke.

Die Statistik habe ich auch schon gefunden. Symantec und Secunia veröffentlich auch jedes Jahr sowas. Finde ich aber nicht sehr aussagekräftig, da FF Open Source ist und damit jeder nach Fehler sucht.

Iron's Sandbox scheint echt der Hammer zu sein. Nur leider bleiben die Sicherheitslücken in den "Addons" insb. Flash...