Comodo Internet Security 6.xx Thread Einstellungen

[Gast_claudia_*]

alles eine Glaubensfrage - ist bei AV-C und AV Test letztendlich auch nicht viel anders
(wenn ich mir die Kommentare der Firmen lese, die gerade nicht so gut in der einen oder anderen Kategorie abgeschnitten haben)

[SLE]

alles eine Glaubensfrage - ist bei AV-C und AV Test letztendlich auch nicht viel anders
(wenn ich mir die Kommentare der Firmen lese, die gerade nicht so gut in der einen oder anderen Kategorie abgeschnitten haben)

Ich denke die können schon zählen und sie stellen eine gewisse Luaffähigkeit, Vielfalt, Verbreitung und Relevanz der Samples sicher.

Im Grunde genommen ist es eine Frechheit deren Arbeit mit so einem Müll zu vergleichen. Da ist selbst 90% des Restes auf Youtube besser als dieser Wer das auf Glauben reduziert hat keine Ahnung, sorry.

Der Beitrag wurde von SLE bearbeitet: 18.04.2013, 23:24

[Gast_claudia_*]

Glauben ist nicht Wissen, kann aber Berge versetzen

[M.Richter]

Avast hat auch eine Autosandbox und nicht solche Abweichungen
Bleibt die Frage "Warum?": Kam diese weniger zum tragen, weil vorher mehr eindeutig erkannt wurde, oder war es anders?


Ja, ich denke genau daran liegts, ich schätze zumindest die Avast Signaturen als stärker ein, somit wurde vorab mehr erkannt. Aber da wir nun keine genauen Daten haben, wissen wir es eben nicht genau. Und das ist für mich der Punkt. Warum werden uns als Nutzer nicht die vollen Ergebnisse von AV-Test zugespielt? Dadurch entstehen doch die missverständnisse.

Was ist denn so einzigartig, dass ein Vergleich nicht möglich ist? Auch andere Produkte haben Autosandboxen, erfordern hin und wieder eine Nutzerinteraktion etc. Auch die sind vom "partiell blockiert" betroffen.

Genau, warum wird partiell blockiert nicht gezählt, wenn es doch keine Infektion gab? Das sieht vllt jeder anders, aber für mich sind "leftovers" oder evtl. Änderungen die keine Auswirkungen haben nichtssagend solange auch keine Infektion stattgefunden hat. - Und somit müsste es zählen, da nicht Infiziert. Aber bei AV-Test wird es ja anscheinend einfach ausgeklammert und höchstens die Hersteller kriegen die Infos. Also wieder irreführend. Zumindest für mich. Wenn das für andere uninteressant ist, dann bitte schön, aber für mich nicht. Ok, einziges Argument wäre, dass wir nicht wissen ob bei partiell blockiert eine Infektion stattgefunden hat oder nicht, das weiß nur AV-Test



Leider sind die AV-Test Berichte und Methodology Beschreibungen recht dürftig, aber nach allem was ich weiß und lese stimmt die Aussage von Comodo NICHT, dass es ein "partiell blockiert" gibt sobald etwas in der (bei CIS ja nicht wirklichen) Sandbox läuft. Sondern es ist ähnlich wie auch bei AV-C:

Für mich gibt es nur infiziert oder nicht infiziert. Egal mit welchen Methoden. Deswegen sehe ich es NICHT als falsch was Comodo sagt, denn letztendlich wissen wir es ja nicht genau was nun wirklich ist, da AV-Test uns ja da doch ein wenig im dunkeln stehen lässt.


Partiell blockiert gibt es:
- wenn Nachfragen kommen (weil da die Entscheidung an den Nutzer ausgelagert wird und deshalb nicht völlig dem Produkt zuzuschreiben ist) - was völlig ok ist.
ODER:
- wenn die Malware Veränderungen am Dateisystem/Registrysystem vornehmen kann, also Spuren hinterlässt auch wenn sie selber nicht aktiv wird. Hierzu werden Difftools benutzt um das festzustellen. Auch in diesem Fall ist die Bewertung partiell völlig ok.

Nimmt man das hin, dann ist es einfach falsch und mindestens mal irreführend diese partiellen Geschichten aufzurechnen und einem vollständigen, vollautomatischen Blockieren gleichzusetzen, so wie es Edgeman tat. Irgendwo ist dann auch der Unterschied Detection-Protection aufgebraucht.

siehe oben ... da es für mich nur infiziert oder nicht infiziert gibt, gibt es für mich da keine Unterschiede ob blockiert oder partiell blockiert. Solange das System sauber bleibt, muss es ein Punkt geben. Sonst müsste es ja andersrum genauso sein. - Also ich meine, CIS müsste ja dann 2 Punkte kriegen wenn Sie eine Malware partiell blockieren, obwohl eine andere Software die gleiche Malware gar nicht schafft zu blockieren.

Am Ende zählt ob das System infiziert ist oder nicht.

Beispiel: CIS blockiert partiell 10 Malware, alle in der Sandbox, aber das System ist Sauber - keine Infektion! Super, aber laut AV-Test 0 von 10 Punkte? O_o Wie bitte?

Andere Software blockiert vollständig 9 von 10 Malware. Aber eine Malware ist durchgekommen. System ist also infiziert! Sehr schlecht! Aber laut AV-Test 9 von 10 Punkten!

Also 0 : 9 für die andere Software, Die andere Software ist laut AV-Test erstmal augenscheinlich viel besser als CIS, obwohl bei CIS das System nicht infiziert ist, aber bei der anderen Software infiziert ist? O_o Wie kann das richtig sein? Wenn das richtig ist, dann ist der ganze Test schwachsinn und absolut realitätsfremd!

Da uns aber leider ja nicht alles gezeigt wird, wissen wir ja auch nicht wirklich ob alles partiell blockierte auch wirklich nicht zu einer Infektion des Systems geführt hat. - Somit können wir auch nicht sagen ob die Aussagen von Egemen falsch sind. Sie können also genauso gut auch vollkommen richtig sein.




Es ist erstmal kein Problem, weil es ja in der Diskussion mit Claudia NUR um die Signaturenqualität ging. Danke für deine Zustimmung, dass zumindest dieser Test (im Vgl. Comodo zu anderen Produkten) dagegen spricht. (Das Privattests hier nicht zählen können wurde ja oben dargelegt)


Ja, habe ich auch kein Einwand dagegen. Wenn man alles auf die Signaturen runter rechnet, dann hat dieser Test und auch damals bei AV-Comparatives gezeigt das andere eine höhere Qualität haben.

Würde es aber auch sehr schlimm finden wenn Comodo jetzt alles in die Qualität der Signaturen stecken würde und andere Sachen jetzt vernachlässigt werden, nur um wieder die User glücklich zu machen, die sich einzig und allein auf die Tests von AV-Test und AV-C. verlassen.



Zum anderen: Es sollte bekannt sein, dass ich auch gar nicht auf signaturbasierte Produkte setze und das die nur hinterherhinken können.
Nur ist es doch a.) verrückt, dass diese Produkte dennoch noch immer recht effektiv sind, und b.) noch verrückter das sie mit ihren völlig veralteten Techniken hier besser abschneiden als das revolutionäre Comodo. Es nur ein Test - aber interessant ist es schon.


ja, weiß ich ...
zu a) ja, ist unglaublich was die immer noch zustande bringen. zu b) was man so nicht sagen kann, da ja partiell blockiert nicht gezählt wird - wie oben schon beschrieben ^^ Ergebnis ist verfälscht, so oder so.


(Wenn ich fies wäre würde ich sagen: Ein paar neue Ransoms eines bestimmten Typs mehr ins 0day Testpaket, die gehen in den Standardeinstellungen der CIS garantiert durch)

hehe, bestimmt, außer Sie konnten die Lücken mit der Version 6.1 nun schließen... aber wer weiß...

Ich kenne diese Statements, die übrigens in letzter Zeit immer weniger wurden. Wo die Signaturen noch deutlich schlechter waren sie öfter (Rechtfertigungszwang?). Egal sind Comodo die Signaturen aber keineswegs, ebensowenig wie sie nur Alibi für die Nutzer sind. Sonst hätte und würde Comodo nie so massiv in diese investieren und in entsprechende Techniken, auch v.a. automatische Analysesysteme. (Die btw. einige der besten sind, auf die man auf privater Zugriff hat.)


Nee, anders rum, Comdo hat hauptsächlich so massiv investiert, da die Nutzer es so wollten. Wenn nicht alle nach mehr Benutzerfreundlichkeit schreien würden, hätte Comodo schon an viel wichtigeren Stellen Verbesserungen vornehmen können als in die Signaturen zu investieren. Aber gut, es ist wie es ist...

Naja, im Endeffekt kommt es ja allem zu Gute. Mich stört es nur, wenn dadurch der Schutz verloren geht.

Grund ist, dass man in der Nische nicht überleben kann. Comodo braucht großes Nutzerzahlen fürs große Business. Die verdienen ihr Geld ja etwas anders...

Ja, aber in Comodos Fall hat es doch von Anfang an bis zur Version 4 funktioniert! Sie haben doch genug Geld mit Ihren Zertifikaten gemacht. Damit machen Sie doch großes Business, nicht mit Ihrer CIS Software. Deswegen verstehe ich es nicht.

Klar, ich bin auch immer für Verbesserungen und wenn Sie es schaffen ist ja auch alles gut! Ich habe nichts dagegen wenn Sie raus aus der Nische wollen. Aber dann bitte bei gleicher Qualität und nicht zum Preis dass jetzt die Schutzleistung plötzlich immer schlechter wird.

Nun sei nicht so bescheiden! Willst du das echt der Software zuschreiben, oder ist es einfach eine Normalität die aus Verhalten resultiert?


Hast ja recht... wäre mit jeder anderen Software genauso gewesen ... auser vllt die FP´s ... weiß nicht, da denke ich manchmal das andere doch mehr haben beim täglichen gebrauch und bei dem was man hier im Forum liest.



Ich habe es nicht ausgezählt ;-) aber auf das Problem der Aufsummierung von "partiell geblockt" habe ich oben hingewiesen.
(a) ist die mehr als kritisch
(b) müsste man die dann auch für die anderen Produkte machen (wo man die Daten nicht hat)

Ergo ist ein Vergleich nach Aufsummierung, die nur bei einem Produkt (Comodo) erfolgt nicht zulässig.

Wie oben schon beschrieben, Ergo ist für mich der AV-Test Test somit nicht zulässig für eine ernsthafte Entscheidung welche Produkte nun gut sind oder nicht.




btw.: Ich will den Test nicht super bewerten oder als sonstwie gut herausstellen. Mir ging es ursprünglich nur um ein Argument gegen die behauptete Gleichwertigkeit der Signaturen, was tragfähiger ist als privates on-demand Geblödel. Und es ging nicht um das was AV-Test generell veranstaltet.

Ok, das habe ich jetzt letztendlich auch verstanden, Danke

OT
Sorry dass ich jetzt alles so in rot gestalten musste, aber die ganzen Zitatblöcke waren nicht zulässig zum senden.

[M.Richter]

Den OT mal etwas ausgeklammert


Schlechten Tag erwischt?
Bleiben wir doch mal beim Produkt und auf sachlicher Ebene. Zu welchem Argument fehlt dir denn eine sachliche Begründung...?

Ja, ich hatte wirklich einen langen, harten und sehr schlechten Tag Danke der Nachfrage. Deswegen ist es auch etwas mit mir durchgegangen in meinem ersten Post. Ich habs jetzt auch kapiert worauf du hinaus wolltest. Ergo habe ich dir jetzt aber auch in meinem 2. Post meine Meinung dazu gesagt und denke dass ich mit meinen Überlegungen auch nicht ganz falsch liege.

Wo habe ich den Hass auf Comodo?
Ich nehme nur gern ein paar Aussagen auseinander, die in meinen Augen irreführend und nicht belegbar sind. (Das nicht nur bei Comodo, aber hier findet man es recht oft..und die reagieren immer am angep...en andere geben es eben einfach zu) Daneben schaue ich gern auf ein paar Schwächen in den Produkten und weise darauf hin. Wo habe ich denn gesagt, dass es ein schlechtes Produkt ist - ich habe nur auf die Grenzen und Irreführungen hingewiesen.

Und i.d.R. ist es doch so, dass du meinen Argumenten folgen konntest und die aufgezeigten Schwachstellen sogar im Comodo Forum vortrugst - und dort auch oft genug beschwichtigt und vertröstest wurdest - oder nicht?

Wie was das mit dem BB der nur ein Hashchecker ist?
Wie war das mit der Sandbox die per default keine ist, sondern nur eine einfache Rechtebeschränkung?
Wie war das mit dem verbuggten Kerneltreiber?
...

Alles Sachen die du dort aufgegriffen hast und die man dann doch irgendwann zugegeben hat. Änderungen - mir bisher nicht bekannt.
__

Ja, alles richtig. Nur das mit der Irreführung seitens Comodo sehe ich ein wenig anders (nicht überall, oftmals reden Sie sich raus), denn für mich fängt die Irreführung schon bei AV-Test an.



Naja, schwer zu sagen aber interessanter Punkt.

Das eine ist sicher die Art der Stellungnahme, das andere ist das begründete Testkritik (wie durch M$ an AV-Test geschehen) etwas anderes ist als versuchtes schönrechnen oder einfach zu behaupten "wir funktionieren ganz anders" und wurden "als einzige anders bewertet". (stimmt doch für die Deafult-settings der CIS schon lange nicht mehr...)

Daneben hat M$ so eine Marktstellung, dass man denen auch abkauft wenn sie mit gewissen Telemetriedaten argumentieren. Problem: Infizierte MSE Nutzer gibt es eben auch.

M$ lässt aber auch irgendwo den Raum für die ganzen Drittanbieter die sich dann battlen können. Dabei liefern im Grunde gerade die neuesten beiden Windows Versionen so viele Feaktures mit, dass man Windows so sicher bekommt ohne dafür signatur- oder popuplastige Drittanbietersoftware zu benötigen. Nur: Die Nutzer verstehen es nicht und setzen sich nicht damit auseinander. Da werden lieber ein paar Einstellungen für Drittanbietersoftware übernommen die man auch nicht versteht. Verrückt.


Ja, natürlich ist es verrückt, und auch wirklich schwer zu vergleichen, ist mir jetzt auch zu spät dafür, bin müde!
Aber du benutzt doch auch AppGuard meine ich, und da musstest doch auch einiges erst einstellen, oder nicht du Verrückter?

[M.Richter]

Die neue Version blockt bei mir das kompletten Internet.
Krieg hier noch die Krise, weil ich den Fehler nicht finde.

laut Forum wurde es gefixt, lag an dem Firewalltreiber. Kannst normal übers Programm updaten.

[Gast_claudia_*]

dafür müßte ich ja eine Verbindung zum Netz haben, um das Update runterladen zu können.
Werde warten bis ein neuer Installer bereit gestellt wird, weil ich persönlich auch eine saubere Installation einem Upgrade vorziehe.

[/color]

Avast hat auch eine Autosandbox und nicht solche Abweichungen
Bleibt die Frage "Warum?": Kam diese weniger zum tragen, weil vorher mehr eindeutig erkannt wurde, oder war es anders?

[color=#FF0000]Ja, ich denke genau daran liegts, ich schätze zumindest die Avast Signaturen als stärker ein, somit wurde vorab mehr erkannt. Aber da wir nun keine genauen Daten haben, wissen wir es eben nicht genau. Und das ist für mich der Punkt. Warum werden uns als Nutzer nicht die vollen Ergebnisse von AV-Test zugespielt? Dadurch entstehen doch die missverständnisse.

Ich tippe mal, das Avast Autosandbox mehr eindeutige Ergebnisse dank Evo-gen liefert als Comodo mit CIMA.
Signaturerkennung dürfte ungefähr gleich sein (obwohl Avast "nur" die Hälfte an Anzahl hat und somit die "besser" 0-Zero Erkennung haben dürfte)

Der Beitrag wurde von claudia bearbeitet: 19.04.2013, 09:12

[SLE]

Ich tippe mal, das Avast Autosandbox mehr eindeutige Ergebnisse dank Evo-gen liefert als Comodo mit CIMA.

Und hier sprichst du einen wichtigen Punkt an und da bleibe ich im Gegensatz zu MRichter auch bei den Testern und ihrer "partiell geblockt" Logik.

Nochmal - partiell geblockt:
- es fanden entweder (wenn auch unwesentliche) Änderungen statt, oder
- es kamen Nutzernachfragen

Und auch wenn im schlimmsten Fall solche Verzerrungen entstehen können wie MRichter schrieb, volles Aufrechnen und gleichsetzten geht nicht.
Denn es werden doch noch immer Produkte getestet und nicht die Nutzer. Woher soll der Tester wissen ob die blockiert hätten??

Als Anbieter könnte man ja auch ein Tool basteln was bei jeder getriggerten Aktion ein Popup rausballert - Process Monitpor mit Nachfragen, lol. Ist da dann ein gutes Produkt?

Was aber wirklich sinnvoll wäre wenn AV-Test wenigstens das partiell blockierte öffentlich ausweisen würde - so wie es auch AV-C beim WPDT macht.

[Gast_claudia_*]

das schöne ist das ihr beide recht habt, weil eine eindeutige Erkennung zwar gut und wünschenswert ist, aber was ist wenn
Malware nicht erkannt wird und dann Änderungen am System durchführen kann.
Default Deny bringt zwar keine Punkte beim Testen, hält aber den Rechner trotzdem im Normalfall sauber.

Beispiel Sandboxie
würde jeden Test bei AV-C und AV-Test verlieren obwohl nach einem Reboot der Rechner wieder sauber ist.

Der Beitrag wurde von claudia bearbeitet: 19.04.2013, 10:30

[SLE]

Default Deny bringt zwar keine Punkte beim Testen, hält aber den Rechner trotzdem im Normalfall sauber.

Default Deny ist aber nicht mehr wirklich bei Comodo - in den default Setinngs. In bestimmten Verzeichnissen ist alles erlaubt (ohne Nahcfrage), vieler Malware reicht das.

Beispiel Sandboxie
würde jeden Test bei AV-C und AV-Test verlieren obwohl nach einem Reboot der Rechner wieder sauber ist.

Gerade nicht. Sandboxie stellt keine Nachfrage und die Tester sind durchaus in der Lage zu zeigen ob Veränderungen am echten Dateisystem stattfanden.
Und warum Reboot??

Man darf nur nicht das was Comodo (und auch Avast) als AutoSandbox bezeichnen mit Sandboxie vergleichen. Die Comodo Sandbox ist zum Großteil eine reine Rechtebeschränkung: bestimmte Sachen laufen nur mit einbgeschränkten Rechten, bestimmte Aktionen sind verboten - andere nicht. Und genau so kommt es eben zu Änderungen am "echten" Dateisystem und Malwareresten...

[M.Richter]

Denn es werden doch noch immer Produkte getestet und nicht die Nutzer. Woher soll der Tester wissen ob die blockiert hätten??

Das ist leider der Entscheidende Punkt. Hast du wohl recht. Ich setze immer vorraus dass der Nutzer weiß was er mit seiner Software veranstaltet. Aber dies ist leider nicht der Fall.

Alleine aus meinem Bekanntenkreis weiß ich dass die meißten vieles Erlauben um in Ruhe gelassen zu werden oder der andere Fall solange alles blockieren bis nichts mehr geht. Aber die beste ist meine Arbeitskollegin - Die hat Angst überhaupt irgendetwas zu machen (falsch zu machen) und so lässt Sie einfach die Popups stehen und drückt gar nichts bis es von alleine verschwindet oder sie den PC runterfährt (Es wird schon verschwinden irgendwann).

Was aber wirklich sinnvoll wäre wenn AV-Test wenigstens das partiell blockierte öffentlich ausweisen würde - so wie es auch AV-C beim WPDT macht.

Das wäre wünschenswert, dann hätte der ganzen Test wenigstens nicht so einen faden Beigeschmack.

[M.Richter]

Man darf nur nicht das was Comodo (und auch Avast) als AutoSandbox bezeichnen mit Sandboxie vergleichen. Die Comodo Sandbox ist zum Großteil eine reine Rechtebeschränkung: bestimmte Sachen laufen nur mit einbgeschränkten Rechten, bestimmte Aktionen sind verboten - andere nicht. Und genau so kommt es eben zu Änderungen am "echten" Dateisystem und Malwareresten...

Nicht nur zum Großteil, in den Default Einstellungen ist Sie ausschließlich eine Rechtebeschränkung, nicht mehr und nicht weniger.

Und selbst in der fully virtualized sandbox von Comodo gab es noch Lücken wo es möglich war dass am echten Dateisystem Änderungen vorgenommen wurden. Da kamen doch auch die Fragen auf ob es wirklich voll virtualisiert ist oder nur so vermarktet wird. Weiß nicht ob dies jetzt mittlerweile gefixt wurde?

[Gast_claudia_*]

Gerade nicht. Sandboxie stellt keine Nachfrage und die Tester sind durchaus in der Lage zu zeigen ob Veränderungen am echten Dateisystem stattfanden.

bist du dir da sicher? Ich mir jedenfalls nicht, wenn ich mir manche Testergebnisse so anschaue

Und warum Reboot??

nicht nötig aber sinnvoll, wenn automatisches löschen eingestellt ist.

Der Beitrag wurde von claudia bearbeitet: 19.04.2013, 11:00

[simracer]

laut Forum wurde es gefixt, lag an dem Firewalltreiber. Kannst normal übers Programm updaten.

M. Richter, kannst du mir sagen ob ich damit: schon die gefixte Version erhalten habe? Ich hatte heute früh manuell geupdatet und danach wollte Comodo einen Reboot.

[Gast_claudia_*]

an dem Bild kann man es nicht erkennen, weil die Versionsnummer gleich geblieben ist.
Du mußt dir inspect.sys anschauen. Da aber Comodo ein Reboot wollte ist davon auszugehen.

[SLE]

Nicht nur zum Großteil, in den Default Einstellungen ist Sie ausschließlich eine Rechtebeschränkung, nicht mehr und nicht weniger.

Windows (ab Vista) virtualisiert aber bei gewissen Rechteeinschränkung, von daher kommt hier ein kleiner Punkt hinzu, den man beachten könnte.

bist du dir da sicher? Ich mir jedenfalls nicht, wenn ich mir manche Testergebnisse so anschaue

Welche? Sandboxie wird nicht getestet und die anderen virtualisieren kaum. Man muss sowas ja nicht ausgeben, sieht aber in jedem Vergleichstool den Pfad. Bei so banalen Dingen habe ich keinerlei Zweifel an den Testorganisationen.

nicht nötig aber sinnvoll, wenn automatisches löschen eingestellt ist.

Sandbox schließen, fertig. PC - Reboot unnötig.

[Gast_claudia_*]

hast mal wieder recht - bin gedanklich bei Comodo gewesen.

[cedric]

Es sind hier einige Dinge die ich ohne SLE nicht gewusst und deshalb anders beurteilt hätte geschrieben worden.

Vielen Dank dafür!

Der Beitrag wurde von cedric bearbeitet: 20.04.2013, 00:03

[Gast_GerhardKO_*]

ich möcht ja nicht meckern, aber merkt Ihr eigentlich nicht, dass Ihr nie zu einem Punkt kommt ? da wird alles extrem auseinander diskutiert bis keiner mehr durch blickt und versteht und ein User der ein wenig unerfahren ist, blickt da schon gar nicht mehr durch. Es ist einfacher endlich mal zu sagen ob es was taugt oder nicht. Dass fällt mir nicht nur hier auf, sondern auch in anderen Treads. Den der Überblick ist schon lange nicht mehr verfügbar.

[M.Richter]

ich möcht ja nicht meckern, aber merkt Ihr eigentlich nicht, dass Ihr nie zu einem Punkt kommt ? da wird alles extrem auseinander diskutiert bis keiner mehr durch blickt und versteht und ein User der ein wenig unerfahren ist, blickt da schon gar nicht mehr durch. Es ist einfacher endlich mal zu sagen ob es was taugt oder nicht. Dass fällt mir nicht nur hier auf, sondern auch in anderen Treads. Den der Überblick ist schon lange nicht mehr verfügbar.

Wieso? Zur Software an sich wurde doch alles schon mehrmals gut und ausführlich erklärt.
CIS ist nunmal keine "einmal -installiert-und-vergessen-Lösung" ala Norton. Diskutiert wird doch teilweise über andere Sachen oder Verfehlungen. Was willst du denn genau wissen?

Ob es was taugt? Was soll das heißen? - Da kann ich dir nur sagen, wahscheinlich nicht mehr und nicht weniger als andere Software auch. Denn es liegt ganz an dir ob CIS was "taugt".