Online Armor 5 RC ist erschienen! Einstellungen

[SLE]

Noch eine Frage an die Online Armor Kenner hier: Könnte sich der OA Web-Shield mit Avast's Webschutz in die Quere kommen? diese beiden sich also gegenseitig stören?

HIER habe ich es für AVIRA beschrieben, analoges für Avast. (Davon abgesehen, dass ich den Unsinn eines Stream-Scanners trotzdem deaktivieren würde...)

Der Beitrag wurde von SebastianLE bearbeitet: 07.04.2011, 09:15

[Gast_uweli1967_*]

Danke Sebastian, das hatte ich auch gelesen, wusste aber nicht genau ob das auf Avast übertragbar wäre. Warum hälst du nichts von Stream Scannern? zumal der von Avast im Gegensatz zu dem von Avira wohl nicht verzögert oder bremst.

[SLE]

Warum hälst du nichts von Stream Scannern? zumal der von Avast im Gegensatz zu dem von Avira wohl nicht verzögert oder bremst.

OT: Weil die ganzen Sachen nicht doppelt und dreifach gescannt werden müssen...und ich keinen wirklichen Sicherheitsgewinn sehe, sofern auch ein Filescanner läuft. F-Secure waren die ersten die den Mut hatten das Ding wieder zu entfernen... andere hatten es nie. Steht hier auch im Forum alles mindestens schon 2mal.
Und JEDER Stream Scanner bremst (der eine mehr der andere weniger) - geht auch nicht anders. Du brauchst nur mal mit oder ohne das AVAST Webshield eine größere Datei irgenwo hochladen und die Zeiten vergleichen.

[Gast_uweli1967_*]

Und JEDER Stream Scanner bremst (der eine mehr der andere weniger) - geht auch nicht anders. Du brauchst nur mal mit oder ohne das AVAST Webshield eine größere Datei irgenwo hochladen und die Zeiten vergleichen.

Ebenfalls OT: Das bestreite ich ja nicht Sebastian aber eben der von dir wohl nicht geschätzte Webschutz hat bei mir schon infizierte Seiten geblockt die wahrscheinlich der Dateischutz nicht geblockt hätte und ich bin ehrlich gesagt nicht scharf darauf, mir etwas einzufangen was erst später beim Ausführen erkannt wird oder wenn ich einen OnDemand Scan mache.

[Alexausmdorf]

Was Sebastian meint:
Du besuchst eine gefährliche Website. In 99% der Fälle wird die sowieso vom Browser als gefährlich erkannt.
Dann scannt dein AV Webschutz.
Lädt sich eine Datei automatisch, scannt dann auch noch der automatische Scanner des AV beim Erstellen der Datei auf deinem PC; sprich beim Speichern.
Öffnet sich deine Datei auch noch automatisch, wird sie nochmals vom AV gescannt.

Und sollte dein AV bei allen 3 Scans nix finden, wird dein HIPS dich fragen, was es denn machen soll.
Also ist der Webschutz hinfällig, denn dieselbe AV Engine scannt ihn 3x. Entweder sie erkennt die Datei oder nicht. Wenn der 1. Scan nix bringt, wird der 2. und 3. auch nix bringen.

Selbst wenn sich deine Datei unerkannt vom AV ausführt, wird immer noch das HIPS fragen, was passieren soll.
Und erst wenn du dort auch noch alles auf Erlauben klickst, hast du dir wirklich was eingefangen.

Da die AVs die Dateien also sowieso scannen, bevor sie ein definitives Speichern der Datei auf deinem Rechner zulassen, ist der Webschutz obsolet.

[maxos]

Das bestreite ich ja nicht Sebastian aber eben der von dir wohl nicht geschätzte Webschutz hat bei mir schon infizierte Seiten geblockt die wahrscheinlich der Dateischutz nicht geblockt hätte.. .

Und wie sollte das gehen ?

Der Scann des http Datenstromes verfügt nunmal nur über die gleichen Signaturen wie der Dateischutz, er kann also gar nicht mehr erkennen.........

Und der Aspekt will sowas nicht auf der Platte haben.
Beim öffnen wird es erkannt u. fertig.

Norton z.b. prüft auch nicht generell "beim Schreiben" sondern nur beim lesen.

Avast prüft auch nur ausgewählte Endungen beim Schreiben.

Im Regelfall reicht scannen nur beim lesen od. ausführen bei einem real time scanner.

Siehe dazu z.b. auch aktuelle chip u. deren Testübersicht pro scanner in der Praxis u. die Erkennung im Vergleich.

Der Beitrag wurde von maxos bearbeitet: 07.04.2011, 11:48

[Gast_uweli1967_*]

maxos, du weißt genauso gut wie ich dass es infizierte Skripte usw auf Webseiten geben kann die von HTTP Scannern erkannt werden können, der dann den Zugriff verweigert oder zumindest davor warnt und das bei einem solchen Fall mancher normaler On Access Wächter nicht(gleich)reagieren würde.

[Alexausmdorf]

Um Emsi zu zitieren:

Content filtering in Web Shield removed
The content filtering aspects of the Web Shield were removed. They were introduced at a time when essentially all browsers lacked control over active content or your private information. Times have changed though and most modern browsers actually do a far superior job now than the Web Shield ever did. Therefore we decided to remove the content filtering from the Web Shield which will result in better compatibility and network performance.

Chrome, FF und Safari erkennen gefährliche Websites auch so. Hab ich mehrmals erlebt. Es wird so sein, dass alle AV Hersteller nach und nach vom Webschutz abkommen werden. Bei F-Secure werden soviel ich weiß nicht mal gepackte Dateien gescannt. Wozu auch, solange eine Datei nicht ausführbar ist.

maxos, du weißt genauso gut wie ich dass es infizierte Skripte usw auf Webseiten geben kann die von HTTP Scannern erkannt werden können, der dann den Zugriff verweigert oder zumindest davor warnt und das bei einem solchen Fall mancher normaler On Access Wächter nicht(gleich)reagieren würde.

Ich kenne Avast zu wenig, aber theoretisch ist das möglich, wenn man den Webaccess Scanner bei NOD schärfer einstellt, als den On Access Scanner. Aber 1. muss man das erstmal so einstellen, und 2. scannt auch da nur die Heuristik von Eset bei allen Scanvarianten.

Vielleicht hat Avast ja eine Art IDS oder sowas, wo sich der Anschein erweckt, dass Sachen vor dem Download geblockt werden, aber ich kann mir nicht vorstellen, dass ein AV einen besseren Webscanner als On Access Scanner hat.

Der Beitrag wurde von Alexausmdorf bearbeitet: 07.04.2011, 12:01

[Gast_uweli1967_*]

Bei F-Secure werden soviel ich weiß nicht mal gepackte Dateien gescannt. Wozu auch, solange eine Datei nicht ausführbar ist.

Alex es geht nicht nur um Dateien egal ob die ausführbar sind oder auch nicht. Auf Webseiten bzw deren Servern können auch infizierte/manipulierte Exploits usw. sein und da schlägt oftmals ein HTTP Scanner an und bewahrt einen User davor eine infizierte Seite aufrufen zu können.

[SLE]

...Auf Webseiten bzw deren Servern können auch infizierte/manipulierte Exploits usw. sein und da schlägt oftmals ein HTTP Scanner an und bewahrt einen User davor eine infizierte Seite aufrufen zu können.

Mir ist das Argument nicht klar, wie ein Signaturenscan des Datenstroms hier effektiv einen Exploit stoppen soll.
Aber egal - hab jetzt keine Lust auf die Diskussion. Du kannst den Webschutz von OA und den von AVAST gleichzeitig nutzen.

[Gast_uweli1967_*]

Aber egal - hab jetzt keine Lust auf die Diskussion. Du kannst den Webschutz von OA und den von AVAST gleichzeitig nutzen.

Sebastian, die Diskussion gehört auch nicht hier her, wer einen HTTP Scanner nutzen will soll das machen und wer ihn nicht nutzen will verzichtet eben drauf. Und danke bezüglich der Aussage zu OA und Avast

[Xlice]

Alex es geht nicht nur um Dateien egal ob die ausführbar sind oder auch nicht. Auf Webseiten bzw deren Servern können auch infizierte/manipulierte Exploits usw. sein und da schlägt oftmals ein HTTP Scanner an und bewahrt einen User davor eine infizierte Seite aufrufen zu können.

Den Aufruf blockt imho der Netzwerk-Scanner(URL-Blacklist). Der HTTP-Scanner erkennt wirklich nur einzelne Files und blockt keine ganze Seite.

[Habakuck]

Hi Habakuck,
Danke für den Versuch zu helfen

Ich habe mal geschaut aber den Dienst den Du beschreibst habe ich nicht,nutzt du auch Office 2010?
Ein Dienst bei mir heisst OFFICEVIRT.EXE der ist erlaubt falls es der sein sollte.
Unter Programme steht das Winword.exe erlaubt ist und unter Ereignisse steht verboten siehe Screen

Gruß
Knuffi

Jo, auch 2010.

Hast du geguckt ob der Dienst bei dir im Taskmanager läuft oder hast du in der Systemsteuerung nach Diensten gesucht? Das Ding heißt ausgeschrieben: "Office Software Protection Platform".

Du hast keine solche Datei auf dem Rechner? "OSPPSVC.EXE"

Das ja komisch...

Office braucht halt jede Menge Hintergrund-Dienste und -Programme um richtig zu funktionieren und wenn da einer still und leise geblockt wird läuft das nimmer...

Gibt es bei OA gute Protokolle wo sowas evtl. drinn steht?

[Knuffi]

@Habakuck
Nein die Datei habe ich nicht.Welche Office Version hast Du denn?Ich habe die Home und Business 2010
OA Protokolle schätze mal das ist das was unter Ereignisse steht und da sind wie auf dem Screen zu sehen die Dienste verboten warum auch immer.
Ich bekam nur einmal eine Abfrage wegen der Winword.exe und die habe ich erlaubt alles andere wurde nicht abgefragt.

Gruß
Knuffi

[Gast_uweli1967_*]

Ich hätte mal 2 Fragen zur Online Armor FW 5 Free, die ich mir vorhin neben Avast Free installiert habe. 1. Was hat es mit dem Debugmodus auf sich? für was ist der da und sollte der aktiviert werden? 2. In dem Reiter Firewall Einstellungen gibt es die Option Aktiven Subnet Scan aktivieren? was ist damit gemeint und sollte man das auch aktivieren?

Der Beitrag wurde von uweli1967 bearbeitet: 29.04.2011, 15:16

[SLE]

Debugmodus:
Aktiviert die Erstellung detaillierter Logs, die den Entwicklern helfen Bugs nachzuvollziehen. Also nur bei Problemen die man für die Entwickler protokollieren will aktivieren.

Subnet Scan:
Hier sendet OA in gewissen Zeitabständen Pakete an die anderen Rechner/Geräte im Netzwerk um zu ermitteln ob diese aus oder an sind. Wenn du diese Funktion benötigst - schalte sie ein, sonst nicht.

Die offizielle OA-Hilfe liegt derzeit nur in englisch vor, du kannst aber auch die alte deutsche von subset nutzen um ein grundlegendes Verständnis von OA zu gewinnen.

Der Beitrag wurde von SebastianLE bearbeitet: 29.04.2011, 15:40

[Gast_uweli1967_*]

Danke für die Erklärungen Sebastian ich bin jetzt nach deinen Antworten der Meinung, die 2 Optionen nicht zu benötigen und will jetzt mal für mich beobachten wie sich OA Free neben Avast und auf meinem System macht bzw verträgt.

[Gast_Kurt W_*]

Hallo Uwe,

den Debugmodus aktiviert man dann, wenn man mit OA Probleme hat. Dann wird ein Log erstellt, das man an dann an den Hersteller schicken kann damit dieser den Fehler lokalisieren kann.

Das mit dem Subnet Scan kannst du getrost vergessen. Ist nur im LAN interessant. Was ich da so raus gelesen habe versendet OA wenn das aktiviert ist in regelmäßigen Abständen ARP Pakete(Address Resolution Protocol) an Computer die im LAN angeschlossen sind um zu sehen ob diese On sind. Was das genau bringen soll erschließt sich mir nicht wirklich.

Gruß Kurt

[Gast_uweli1967_*]

Kurt, auch Dir Danke für die Antworten

[Kenshiro]

Online Armor FW 5 Free

Na Uwe, wie zufrieden bist Du mit OA?