Installationsort Browser/Autoupdates und Sicherheit

Smalltalk
willy4711

Installationsort Browser/Autoupdates und Sicherheit

Beitrag von willy4711 » 17.07.2020 18:52:28

Verstehe ich nicht.
Ob nun Firefox aus dem /home oder aus /opt mit identischen Rechten gestartet wird ist aus meiner Sicht gehupft wie gesprungen.
Bitte um Aufklärung wo der Sicherheitstechnische Unterschied ist.
Zuletzt geändert von TRex am 18.07.2020 17:46:37, insgesamt 1-mal geändert.
Grund: abgetrennt von https://debianforum.de/forum/viewtopic.php?f=29&t=178058

TomL

Re: Firefox 78.0.2 Autoupdate

Beitrag von TomL » 17.07.2020 20:17:46

willy4711 hat geschrieben: ↑ zum Beitrag ↑
17.07.2020 18:52:28
Ob nun Firefox aus dem /home oder aus /opt mit identischen Rechten gestartet wird ist aus meiner Sicht gehupft wie gesprungen. Bitte um Aufklärung wo der Sicherheitstechnische Unterschied ist.
Du hast Recht, es gibt keinen sicherheitstechnischen Unterschied... bei beiden Varianten ist die Sicherheit imho faktisch aufgehoben, wenn in /opt das
willy4711 hat geschrieben: ↑ zum Beitrag ↑
17.07.2020 18:39:04

Code: Alles auswählen

chown -R Nutzer:Gruppe /opt/firefox
getan wurde.

In beiden Fällen hat der User (und infolgedessen auch irgendwelche im User-Space laufenden Programme) das Recht, das FF-Binary unerlaubt zu verändern oder zu patchen.
In beiden Fällen wird einer fremden 'Institution' das Recht eingeräumt, Veränderungen an der bestehenden Software-Basis durchzuführen.

Ich denke, bei diesem Hintergrund wird Sicherheit ein Stück weit auch zur Nebensache. Bei mir hat generell auf alles, was in /opt installiert ist, root:root die Eigentumsrechte. Aber damit funktioniert leider der Autoupdate für ein Programm aus einer Fremdquelle nicht.... man kann halt nicht alles haben.... Komfort reduziert die Sicherheit... mehr Komfort reduziert mehr Sicherheit... bis zu dem Punkt, wo Sicherheit zum zufälligen Aspekt geworden ist .... ist aber in Wirklichkeit alles gar nicht so schlimm... *fg*

Wie für thoerb ist heute auch für mich der Umgang mit Installierter Software ein Grund dafür, Windows nicht mehr zu verwenden.

jm2c

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Firefox 78.0.2 Autoupdate

Beitrag von thoerb » 17.07.2020 20:47:38

TomL hat geschrieben: ↑ zum Beitrag ↑
17.07.2020 20:17:46
Wie für thoerb ist heute auch für mich der Umgang mit Installierter Software ein Grund dafür, Windows nicht mehr zu verwenden.
Das ist ja bei Windows auch schon lange nicht mehr so.

willy4711

Re: Firefox 78.0.2 Autoupdate

Beitrag von willy4711 » 17.07.2020 23:52:25

Ich finde diese Diskussion ziemlich an den Haaren herbeigezogen.

Das Programm läuft immer unter dem angemeldeten Benutzer und (hoffentlich) nicht mit Root- Rechten.

Das Programm kann also maximal in den Verzeichnissen des Users wüten, der es auch gestartet hat.

Ein Schutz meines /home ist also nie gegeben, oder höchsten zufällig vorhanden, weil man halt gerade mal
kein Opfer eines Angreifers ist.

Das System ist davon nie betroffen.

Nun könnte man ja Szenarien kreieren, wo dann durch irgendwelche Hintertüren trotzdem Root Rechte erlangt werden.
Sicherlich möglich, aber der Himmel könnte mir auch auf den Kopf fallen.

Bei Mozilla bin ich mir sicher, das Sicherheitspatches mich eher als die von Debian erreichen.
Außerdem empfiehlt Debian ja selbst das von mir angewandte Vorgehen.https://wiki.debian.org/Firefox

Wenn ich mir die unten aufgeführten Schwachstellen ansehen, agieren wir also immer mit Programmen,
die die eine oder andere schwerwiegende Lücke haben, bis die mal irgendwann oder nie entdeckt und gefixt wird.

So gesehen finde ich die Einschätzung meinen Vorredner falsch und ja sogar ein bisschen arrogant
im Bezug auf den Vergleich mit Windows Nutzern :wink:

Code: Alles auswählen

17.07.20 	3 	 CB-K20/0650 Update 8 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

16.07.20 	3 	CB-K20/0650 Update 7 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

15.07.20 	3 	CB-K20/0650 Update 6 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

14.07.20 	3 	CB-K20/0650 Update 5 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

09.07.20 	3 	CB-K20/0650 Update 4 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

08.07.20 	3 	CB-K20/0675 Mozilla Firefox für Android: Schwachstelle ermöglicht Offenlegung von Informationen

07.07.20 	3 	CB-K20/0650 Update 3 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

07.07.20 	3 	CB-K20/0525 Update 9 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Codeausführung

07.07.20 	3 	CB-K19/1038 Update 19 Mozilla Firefox: Mehrere Schwachstellen

07.07.20 	3 	CB-K19/0584 Update 16 Mozilla Firefox/Firefox ESR: Mehrere Schwachstellen

06.07.20 	3 	CB-K20/0650 Update 2 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

06.07.20 	3 	CB-K20/0525 Update 8 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Codeausführung

03.07.20 	3 	CB-K20/0650 Update 1 Mozilla Firefox/Thunderbird: Mehrere Schwachstellen

01.07.20 	3 	CB-K20/0650 Mozilla Firefox: Mehrere Schwachstellen

Code: Alles auswählen

24.04.20 	4 	CB-K20/0282 Update 5 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

14.04.20 	4 	CB-K20/0282 Update 4 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

09.04.20 	4 	CB-K20/0282 Update 3 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

08.04.20 	4 	CB-K20/0282 Update 2 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

07.04.20 	4 	CB-K20/0282 Update 1 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

06.04.20 	4 	CB-K20/0282 Mozilla Firefox: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Benutzerrechten

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Firefox 78.0.2 Autoupdate

Beitrag von thoerb » 18.07.2020 00:38:56

willy4711 hat geschrieben: ↑ zum Beitrag ↑
17.07.2020 23:52:25
So gesehen finde ich die Einschätzung meinen Vorredner falsch und ja sogar ein bisschen arrogant
im Bezug auf den Vergleich mit Windows Nutzern :wink:
Falls du mich meinst, ich sprach nicht von Windows-Nutzern, denn ich bin selber einer. Windows macht schon lange alles richtig, was du in Debian falsch machst. Firefox kann ich in Windows nur mit Admin-Rechten installieren.
Das Programm kann also maximal in den Verzeichnissen des Users wüten, der es auch gestartet hat.
Es geht nicht darum dass Firefox in deinen Verzeichnissen wütet, sondern genau umgekehrt, dass jede Schadsoftware die du per E-Mail bekommst oder die in deinem Download-Ordner landet oder sonst wie mit deinen Benutzerrechten ausgeführt wird, deinen Firefox manipulieren kann. Das möchte man halt nicht, wenn man damit Online-Banking und sonstiges macht.

irgendwas
Beiträge: 278
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Firefox 78.0.2 Autoupdate

Beitrag von irgendwas » 18.07.2020 08:20:35

thoerb hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 00:38:56
Es geht nicht darum dass Firefox in deinen Verzeichnissen wütet, sondern genau umgekehrt, dass jede Schadsoftware die du per E-Mail bekommst oder die in deinem Download-Ordner landet oder sonst wie mit deinen Benutzerrechten ausgeführt wird, deinen Firefox manipulieren kann. Das möchte man halt nicht, wenn man damit Online-Banking und sonstiges macht.
Mit welchen Rechten sollte man die Software denn sonst starten?! 8O

willy4711

Re: Firefox 78.0.2 Autoupdate

Beitrag von willy4711 » 18.07.2020 08:35:04

thoerb hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 00:38:56
Es geht nicht darum dass Firefox in deinen Verzeichnissen wütet, sondern genau umgekehrt, dass jede Schadsoftware die du per E-Mail bekommst oder die in deinem Download-Ordner landet oder sonst wie mit deinen Benutzerrechten ausgeführt wird, deinen Firefox manipulieren kann. Das möchte man halt nicht, wenn man damit Online-Banking und sonstiges macht.
Der Browser ist eh ein Sicherheitsrisiko.
Deshalb weiß mein Standard- Browser (FF Beta), mit dem ich hier unterwegs bin noch nicht einmal dass es Banken gibt. :mrgreen:
Die Letzte Überweisung via Browser hab ich so ungefähr vor 20 Jahre ausgeführt.
Wenn ich wirklich mal via Browser an mein Konto muss (tonnenweise Post abholen :evil: ),
mach ich das mit Chromium über diesen Weg:

Code: Alles auswählen

firejail --private=~/.privat-browser/Chromium   /usr/bin/chromium %U
Chromium wird auch ausschließlich dafür genutzt.
Alles andere geht über eine ziemlich kastrierte Win10 - VM via HBCI / Foto TAN mit einem Banking - Programm.

Allzu große Sorgen brauch ich mir - glaube ich jedenfalls - nicht machen.

Das einzige Mal, dass ich da Probleme hatte, war als mir ein paar Schecks geklaut wurden (1997).

TomL

Re: Firefox 78.0.2 Autoupdate

Beitrag von TomL » 18.07.2020 10:36:55

irgendwas hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 08:20:35
Mit welchen Rechten sollte man die Software denn sonst starten?!
Es geht bei speziell diesem Aspekt nicht darum, dass der FF nicht unter Deinen Rechten laufen darf oder soll. Es geht dabei auch nicht darum, Deine Daten vor dem FF zu schützen, sondern darum, den FF vor Deinen "Daten" (metaphorisch) zu schützen. Es ist nämlich egal, wo der FF liegt, egal ob im Homedir oder in /opt. Wenn Du selber Schreibzugriff auf das Binary hast, damit er sich mit Deinen Rechten selber automatisch updaten kann, so hat diesen Schreibzugriff auch jedes andere Programm auf Deinem Rechner, was unter Deiner UID läuft, einschließlich der aktiven AddOns im FF, die sich sowieso wieder allesamt selber updaten. Das bedeutet, so ein sich selbst quasi willkürlich updatendes kompromittiertes AddOn kann problemlos Deinen FF unbemerkt patchen.... was ich als großes Risiko einschätze. Wie thoerb sagt, mit einem möglicherweise illegal gepatchten Browser möchte ich auch kein Onine-Banking machen.

@willy
Ich weiss auch nicht, wen Du als Vorredner mit Arrogant bezeichnest.... ich habe mich auch nicht auf Windows-User bezogen, sondern auf die mir zu meiner Win-Zeit bekannte obligatorische Praxis, Anwendungen aus dem WWW zu laden und zu installieren, die sich dann im laufenden Betrieb automatisch geupdatet haben. Ich erinnere mich, dass ich damals z.B. den foobar2000 installiert hatte, notepad++, foxit-reader, natürlich FF und etliche weitere Programme aus irgendwelchen Quellen. Da gabs für alle Autoupdates. Ich meine mich zu erinnern, dass es mit Win7 dann die UAC gab, die mich auf eine beabsichtigte Änderung am System hingewiesen hat, aber das hat man ja genau so obligatorisch genehmigt, weil man ja das Update vermeintlich aus der gleichen Quelle bezogen hat. Der Umstand Quelle = Anonym, Fremd war mir damals als Problem so wie heute jedenfalls nicht bewusst... ebensowenig habe ich mir Gedanken über die Sicherheit der Infrastruktur dieser Quelle gemacht.... ich hatte ja schließlich 'ne Firewall .... und die Zeit war auch ne andere.

Das Problem auf die Frage Mozilla=Vertrauenswürdig? zu beschränken ist imho zu kurz gedacht. Das eigentliche Misstrauen ist dem User an der Tastatur auszusprechen, der Flatpacks von irgendwo installiert, Fremdquellen in der Sourceslist einträgt, irgendwelche wüste Addon-Kombinationen im Browser in Betrieb nimmt, irgendwelche fremden deb-packages via dpkg nach /opt installiert oder Binaries direkt nach /opt kopiert und von dort ausführt. Das ausführbare und auf der Platte gespeicherte Programm des FF muss meiner Meinung nach vor dem User beschützt werden. Und das wird außer Kraft gesetzt, wenn der User das Recht hat, dieses Binary zu verändern.

Meine heute favorisierte Lösung, nachdem ich mich aus ähnlichen Beweggründen von Palemoon getrennt habe, ist der FF ESR aus dem Debian-Repo. Damit ist dann auch die Update-Frage geklärt.

Nachtrag... ein Hinweis auf ein interessantes Posting... gerade zufällig gefunden.... ist zwar buntu und wohl auch nur 'ne Meinung, aber trotzdem interessant. Es betrifft das Thema Fremdquellen, deren Paket-Inhalt und Absichten... und es bestärkt mich zusätzlich in meiner Haltung:
https://forum.ubuntuusers.de/post/9173323/

miwie
Beiträge: 116
Registriert: 10.07.2002 08:59:23
Kontaktdaten:

Re: Firefox 78.0.2 Autoupdate

Beitrag von miwie » 18.07.2020 12:25:05

Könnt ihr bitte die weitere Diskussion in einem separaten Thread fortführen.
Hat mit meinem ursprünglichen Anliegen nichts mehr zu tun.

Danke.
Zuletzt geändert von TRex am 18.07.2020 17:47:22, insgesamt 1-mal geändert.
Grund: erledigt

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Firefox 78.0.2 Autoupdate

Beitrag von thoerb » 18.07.2020 13:14:09

irgendwas hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 08:20:35
thoerb hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 00:38:56
Es geht nicht darum dass Firefox in deinen Verzeichnissen wütet, sondern genau umgekehrt, dass jede Schadsoftware die du per E-Mail bekommst oder die in deinem Download-Ordner landet oder sonst wie mit deinen Benutzerrechten ausgeführt wird, deinen Firefox manipulieren kann. Das möchte man halt nicht, wenn man damit Online-Banking und sonstiges macht.
Mit welchen Rechten sollte man die Software denn sonst starten?! 8O
Es geht nicht um die Rechte mit denen man eine Software starten kann, sondern darum wer eine Software verändern kann. Schau dir mal die Dateien in /usr/bin an, die haben alle folgende Rechte:

Code: Alles auswählen

-rwxr-xr-x  1 root   root  ----
Nur Root darf in diesem Verzeichnis schreiben, und das hat durchaus seinen Sinn. Wenn das nicht so wäre, könnte jedes Programm, dass du mit irgend einem User startest ein anderes Programm verändern, oder löschen. Und das ist nicht nur in Linux so, sondern auch bei Windows. Wenn in Windows 10 irgend eine Software ein Update machen will, musst du dein Admin-Passwort eingeben. Aber bei Debian ist das ja alles gar kein Problem, weil Linux ja soo sicher ist und die User so vlel mehr Ahnung haben als die dummen Windows-User, sodass da gar nix passieren kann. Linux greift eh keiner an und wir haben ja sowieso alle nichts zu verbergen. Deswegen lasst euch von mir nicht weiter stören, macht euer Ding und alles ist gut.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von TRex » 18.07.2020 17:48:06

willy4711 hat geschrieben: ↑ zum Beitrag ↑
17.07.2020 18:52:28
Bitte um Aufklärung wo der Sicherheitstechnische Unterschied ist.
Nächstes Mal bitte gleich in nem separaten Thread.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

willy4711

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von willy4711 » 18.07.2020 19:11:39

@TRex ---> war gut, das zu verschieben :THX:
Noch mal zum Verständnis:
Alle wesentlichen Dateien z.B. prefs,js (about:conifg) liegen im /home des Benutzers und sind problemlos mit Nutzerrechten zu ändern.
Wenn ich nicht ganz verkehrt liege, steuern diese Dateien im wesentlichen das Verhalten von Firefox.
Aus meiner Sicht ist der erste Angriffspunkt - wenn es einen gibt - das Profilverzeichnis.

Bitte nennt mir doch Dateien die im Programmverzeichnis liegen, die nicht kompiliert sind, die keine Prüfsumme haben, und die man
so einfach verändern / austauschen kann. Ich will überhaupt nicht abstreiten, dass das möglich ist. Aber ein abstraktes immer wieder heraufbeschworenes Szenario, was man nicht fassen kann hilft auch nicht weiter. Selbst wenn der Angreifer im Programmverzeichnis
was ändern kann, ist das System davon - bis auf den Browser - nicht betroffen.
Root Rechte kann er aus meinem heraus Verständnis nicht erlangen.

Als Angreifer würde ich mich auf die Profildateien konzentrieren. Da ist wesentlich mehr Unheil für den User anzurichten.
thoerb hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 13:14:09
Aber bei Debian ist das ja alles gar kein Problem, weil Linux ja soo sicher ist und die User so viel mehr Ahnung haben als die dummen Windows-User, sodass da gar nix passieren kann. Linux greift eh keiner an und wir haben ja sowieso alle nichts zu verbergen. Deswegen lasst euch von mir nicht weiter stören, macht euer Ding und alles ist gut.
Dass Linux sicherer ist als Windows ist sicherlich so pauschal nicht richtig. Was ich zu verbergen habe, ist aus meiner Sicht ganz gut geschützt.
Aber das sind recht wenige private Daten und Dateien. Multimedia Zeugs jeglicher Art, auch 8/10 meiner Dokumente brauch ich nicht schützen oder gar verschlüsseln. Dass ich eine linke Gesinnung habe weiß der Verfassungsschutz seit 45 Jahren.
Kann also ruhig schnüffeln, wird nix Neues erfahren.
Aus meinen Browser Daten wird er es schwerlich können, wenn er nicht "live" mit lauscht. Die werden alle Stunde oder öfter gelöscht.

Es wäre schön und sicherlich auch für mich lehrreich, wenn also mal was Konkretes kommen würde.
Es auch ein Riesen Unterschied,ob man einen einzelnen Rechner betrachtet, oder ein Firmennetzwerk.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von thoerb » 18.07.2020 21:28:35

Stell dir vor du lädst dir im Internet ein Python-Script herunter, das irgendwas für dich machen soll. Du schaust dir den Code an, der dir aber auf den ersten Blick viel zu komplex erscheint und denkst dir: "Wird
schon ok sein!". Du führst das Script aus und es macht was es soll. Und halt noch ein bisschen mehr. Es lädt eine manipulierte Version des Firefox herunter, die deinen Firefox im /home/ oder /opt/ ersetzt. Wenn du jetzt den ersetzten Firefox öffnest, ist dein Rechner Teil eines Bot-Netzwerkes und der Hacker hat die Möglichkeiten nach weiteren Schwachstellen auf deinem System zu suchen und immer weiter in dein System vorzudringen. Um noch mehr Unfug damit anstellen zu können. Und du selbst bekommst davon gar nichts mit.

Mit einem Firefox der aus den Debian-Quellen installiert ist oder den man als root nach /opt/ installiert hat, passiert das erst gar nicht, denn den könnte das Script, das mit deinen Benutzerrechten ausgeführt wird
nicht austauschen.

Das mit dem Script war jetzt nur ein Beispiel, es gibt da sicherlich noch mehr Möglichkeiten, denn Hacker haben da mehr Fantasie und Wissen als du und ich, wie sie andere reinlegen können.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von wanne » 18.07.2020 21:49:33

willy4711 hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 19:11:39
Ich will überhaupt nicht abstreiten, dass das möglich ist. Aber ein abstraktes immer wieder heraufbeschworenes Szenario, was man nicht fassen kann hilft auch nicht weiter.
Nein Das ist wie jeder Virus und jeder Trojaner funktioniert. In den 90ern und 00ern war das so wie 99% der Malwre ausgesehen hat. Das hat sich geändert seit auch Windows ein immer strikteres Rechtemanagement eingeführt hat. Aber ich würde gefühlt sagen die Mehrheit der Malware mit wirklich großer Verbreitung funktioniert noch immer so.
willy4711 hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 19:11:39
Bitte nennt mir doch Dateien die im Programmverzeichnis liegen, die nicht kompiliert sind, die keine Prüfsumme haben, und die man so einfach verändern / austauschen kann.
Binary Patching macht seit je her jedes Windows Programm beim Update um Bandbreite zu sparen. Gibt tausende Tools, die dir sowas machen. Ich habe hier im Forum sogar auch schon gepostet, wie man sich seinen CUPS patched. (Such mal nach png-Dateidruck) Glaubst du ernsthaft ein Malwareentwickler bekommt das nicht auch hin? Brauchst du aber gar nicht du tauschst einfach aus. Und weißt du was: Deine Prüfsummencheck ist direkt im Programm, dass du da gerade austauschst. Du kannst jetzt wahlweise deine eigene Prüfsumme einbauen oder schlicht den Check weglassen. Das bekommt jeder hin der sich irgend wie 15min einließt. Ich finde das immer wieder beeindruckend für wie absolut bescheuert die Leute hier immer denken, dass Malwareentwickler sind. Jedes noch so bescheuerte Programm bekommt einen Updatemeschanismus für seine Binaries hin. Aber der für otto-Normal Malwareentwickler soll das ein unüberwindbares Problem sein?! WTF?
Selbst wenn der Angreifer im Programmverzeichnis was ändern kann, ist das System davon - bis auf den Browser - nicht betroffen.
Nein Nachdem der Browser verändert wrude ist er eben kein Browser mehr sondern ein Rundumschnüffelprogramm, dass üblicherweise z.B. alle Tastatureingaben und die Zwischenablage kopiert.
Als Angreifer würde ich mich auf die Profildateien konzentrieren. […] Aus meinen Browser Daten wird er es schwerlich können, wenn er nicht "live" mit lauscht. Die werden alle Stunde oder öfter gelöscht.
Genau deswegen funktioniert primitivere Malware eben genau nicht so. Du hängst dich an die Firefox Binary dran und du kannst problemlos live ausleiten was immer du haben willst. – Insbesondere bekommst du direkt alle Form Daten usw. auf dem Silbertablet geschenkt.
Ja prinzipiell kannst du dich auch im Profil z.B. als Addon oder sonst irgend wie im Profiel einnisten. Seher beliebt für z.B. Outlook. Und seit man nicht mehr so einfach an binaries dran kommt immer häufiger eine Option. Aber es ist eben wirklich eine viel größere Herausforderung: Ein Add-On wird erst mal angezeigt. Anderes Zeug müsste erst mal getriggert werden, du musst mit jeder Version kompatibel bleiben... Kann man schon machen. Aber Standardmalware an eine beliebige Binarie dran zu hängen ist halt ein seit 30 Jahren gut Etablietes verfahren. Du holst dir von irgend wo den Payload deiner Wahl runter (der völlig unabhängig vom angegriffenen Programm sein kann) dann brauchst du irgend was, wie du einmalig ausgeführt wirst. (Der Komplizierte Teil) und dann hängst du dir damit halt den Payload an die bin. Fertig!
Es wäre schön und sicherlich auch für mich lehrreich, wenn also mal was Konkretes kommen würde.
Du verzapfst hier schon länger die krude Ansicht, dass Malwareentwickler (Also nicht die, die die nacher verwenden) nicht in der Lage wären ansatzweise größere Software zu programmieren (bzw. Problemlösungen die irgend wo Nr. 1 auf Stackoverflow sind, wenn man das Problem googled umzusetzen.) Diese Ansicht ist absolut bescheuert und hat nichts mit der Realität zu tun. Sie ist etwa so realistisch, wie wenn man annimmt, dass Otto-Normaluser kein Youtube-Video abspilen kann, weil ja otto normal nicht versteht, was ne Eliptische Kurve ist und man das für die passende Crypto braucht.
Es auch ein Riesen Unterschied,ob man einen einzelnen Rechner betrachtet, oder ein Firmennetzwerk.
Nein.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von wanne » 19.07.2020 12:28:46

Falls du mich meinst, ich sprach nicht von Windows-Nutzern, denn ich bin selber einer. Windows macht schon lange alles richtig, was du in Debian falsch machst. Firefox kann ich in Windows nur mit Admin-Rechten installieren.
Das Problem ist da eher anders herum:
Das System lebt davon, dass der, der das Programm nutzt und der der das Programm ändern kann unterschiedliche Nutzer sind. Wenn jedes Programm als Administrator läuft hilft es reichlich wenig, dass nur Administrator das ändern kann. Und das gilt noch immer. Jedes noch so dämliche Spiel will erst mal Aministrator-Rechte. Der Firefox startet erst mal mit dem Boot als Administrator. (Droppt dann aber die Rechte.) und so ist das überall: Tausende Prozesse die als Admin laufen. Auf der anderen Seite bekommen wir das unter Linux auch immer mehr. Und wir sehen wie die Angriffe auf Linux im Moment gerade durch die Decke gehen.
rot: Moderator wanne spricht, default: User wanne spricht.

fossonly
Beiträge: 23
Registriert: 10.06.2020 10:40:38

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von fossonly » 19.07.2020 14:28:18

wanne hat geschrieben: ↑ zum Beitrag ↑
19.07.2020 12:28:46
Tausende Prozesse die als Admin laufen. Auf der anderen Seite bekommen wir das unter Linux auch immer mehr. Und wir sehen wie die Angriffe auf Linux im Moment gerade durch die Decke gehen.
Ich sehe seit vielen Jahren den genau gegenteiligen Trend, nämlich das die Verwendung von Rootrechten konsequent eliminiert wird, und Alternativen wie, dauerhaft partiell vergebene wirklich notwendige Capabilities für Binaries, Polkit um partielle zeitlich beschränkte Privilegien an modulare Programme zu delegieren, oder indem in erhöhtem Maße ab Werk Seccomp und Namespaces zum Einsatz kommen. Selbst im Zusammenspiel mit systemd wächst die Anzahl der Programme, die über die eigenen Units ab Werk auf das einfach nutzbare Sandboxing zurückgreifen. Wo läuft also immer mehr mit Rootrechten? Auch im Bezug auf ganze DEs wie bspw. Gnome, wurde die Nutzung von Rootrechten drastisch reduziert, was unter anderem durch systemd für Xorg möglich wurde, und unter Wayland für grafische Programme direkt verboten wird. Viele Gnome eigene Programme sind heute auch längst modular designt, womit die GUI stets unter Nutzerrechten läuft, während mittels Polkit für administrative Aufgaben partielle Privilegien gewährt werden. Ich finde es auch nicht sonderlich erheblich das Angriffe auf Linux ansteigen, zumal sie mehrheitlich nicht erfolgreich sind, und die erfolgreichen sich meist ohnehin auf schändliche proprietäre Geräte beschränken, die sowohl jedes solide GNU/Linux beleidigen als auch jedes Mindestmaß an IT-Sicherheit ignorieren.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von wanne » 20.07.2020 11:43:22

fossonly hat geschrieben: ↑ zum Beitrag ↑
19.07.2020 14:28:18
Wo läuft also immer mehr mit Rootrechten? Auch im Bezug auf ganze DEs wie bspw. Gnome, wurde die Nutzung von Rootrechten drastisch reduziert, was unter anderem durch systemd für Xorg möglich wurde
Nr 1. Der von dir genannte Systemd. Der hat alleine mehr Code als alles was früher abseits von Kernel als root gelaufen ist.
Viele Gnome eigene Programme sind heute auch längst modular designt, womit die GUI stets unter Nutzerrechten läuft, während mittels Polkit für administrative Aufgaben partielle Privilegien gewährt werden.
Nr 2. ist alles was so mit Gnome und die Freedesktop-Projekte der gleichen Entwickler kam. X11 Programme mit erhöhten Rechten waren schon immer ein nogo. Abseits von Gnome hat das nie jemand gemacht und Gnome war eine Nische. Aber ein Frontend mit einem Backend mit Root rechten hat eben defakto root rechte.
Aber mit NetworkManager, gvfsd... zieht das immer mehr auch auf professionellen Systemen ein, dass Otto-Normaluser mit defakto root rechten rum läuft. Hier an der UNI haben sie aufgegeben und an den Poolrechnern SSH dicht gemacht, weil ein reibungsfreier Multiuserbetrieb auf nem modernen Linux nicht mehr zu gewährleisten war. SUSE ermöglich so schnell immer mehr Sachen als User dass die nicht mehr hinter her kamen das alles abzudichten. Es reicht völlig das Frontend zu manipulieren um im Backend Aktionen als root hervorzurufen. Genau das ist der Windows-Way der da immer wieder angegriffen wird.
Vor 10 Jahren gab es 200-System Calls die du überwachen musstest und über die sich Angreifer erhöhte Rechte holen konnten. Jetzt hast du ein viele Tausend verschiedene dbus-Message Typen die von Programmen mit root-Rechten interpretiert werden. Das ist einfach eine so viel größere Angriffsfläche.
rot: Moderator wanne spricht, default: User wanne spricht.

fossonly
Beiträge: 23
Registriert: 10.06.2020 10:40:38

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von fossonly » 20.07.2020 16:56:04

wanne hat geschrieben: ↑ zum Beitrag ↑
20.07.2020 11:43:22
Nr 1. Der von dir genannte Systemd. Der hat alleine mehr Code als alles was früher abseits von Kernel als root gelaufen ist.
Wieder diese absurden Vorurteile. Erstens ist systemd absolut modular, wo lediglich wenig Code tatsächlich unter Rootrechten agiert, und zweitens werden auch die ganzen ausgegliederten Module mit eingeschränkten Privilegien betrieben. Unter Debian kommt zudem nur ein kleiner Bruchteil der verfügbaren Module seitens systemd zum Einsatz. Selbst neu hinzugekommene Funktionen von systemd, wie kürzlich erst homed, repart und mehr, werden übergangsweise erst mal deaktiviert bis zur Serienreife. Zudem bildet systemd eine Basis um gerade erheblich zu reduzieren, dass Programme mit unnötig hohen Privilegien gestartet werden müssen, verglichen zu den unkontrollierten Gegebenheiten früherer Zeit, samt qualitativ sehr variabler Shellscripte.
Abseits von Gnome hat das nie jemand gemacht und Gnome war eine Nische.
Das ist bewiesenermaßen Unsinn. Genau genommen war Gnome das erste DE, dass möglicht gemacht hat Xorg ohne Rootrechte einzusetzen. Es hat eine halbe Ewigkeit gedauert bis andere DE hier mal nachgezogen sind, wobei manche heute noch nicht soweit sind.
Aber ein Frontend mit einem Backend mit Root rechten hat eben defakto root rechte.
Das widerspricht vollkommen der zugrundeliegenden Architektur des heutigen Gnome. Ich kann zwar nicht hundertprozentig sicher sagen, wie das noch vor Jahren ausgesehen hat, zumal ich damals noch nicht mit dem Design vertraut war, aber heute ist Gnome eines der sicherheitstechnisch fortschrittlichsten DE.
Aber mit NetworkManager, gvfsd... zieht das immer mehr auch auf professionellen Systemen ein, dass Otto-Normaluser mit defakto root rechten rum läuft.
Prinzipiell muss niemand den NetworkManager verwenden, auch wenn das angebliche Risiko dadurch fragwürdig erscheint. Und gvfsd dient der Verwaltung von Ressourcen, auf Basis eingeschränkt gewährter Privilegien. Ein Praxisbeispiel diesbezüglich wäre die partielle Ausweitung von Privilegien, mittels "admin:///Pfad_zur_Datei" unter Nautilus, um einzelne Dateien sicher ändern zu können die nur Root bearbeiten kann. Hierfür wird die Anfrage an Polkit delegiert, um ausschliesslich partielle Privilegien zum bearbeiten dieser einen Datei zu gewähren. So gesehen die Alternative unter Wayland, anstatt wie früher unter Xorg den ganzen Dateimanager dauerhaft mit Rootrechten zu starten.
Hier an der UNI haben sie aufgegeben und an den Poolrechnern SSH dicht gemacht, weil ein reibungsfreier Multiuserbetrieb auf nem modernen Linux nicht mehr zu gewährleisten war.
Das klingt schon sehr nach Unfähigkeit, wobei ich von einer Uni kaum groß etwas erwarte, und es bereits an ein Wunder grenzt das man über Windows hinausgekommen ist.
SUSE ermöglich so schnell immer mehr Sachen als User dass die nicht mehr hinter her kamen das alles abzudichten.
Ohne weitergehende Informationen ziemlich nichtssagend. Auch wenn das höchst sonderbar klingt.
Es reicht völlig das Frontend zu manipulieren um im Backend Aktionen als root hervorzurufen. Genau das ist der Windows-Way der da immer wieder angegriffen wird.
In welchem Zusammenhang? SUSE?
Vor 10 Jahren gab es 200-System Calls die du überwachen musstest und über die sich Angreifer erhöhte Rechte holen konnten. Jetzt hast du ein viele Tausend verschiedene dbus-Message Typen die von Programmen mit root-Rechten interpretiert werden. Das ist einfach eine so viel größere Angriffsfläche.
Natürlich wächst die Komplexität mit den gestiegenen Anforderungen. Und dennoch war dbus notwendig um einen sichereren IPC-Mechanismus zu etablieren. Und es ist ja nicht so als könne dbus nicht präventiv gehärtet werden, was bspw. ohne großen Aufwand mittels firejail oder AppArmor möglich ist. Selbst über flatpak wird das regulär abgesichert. Eigentlich sollten weitaus mehr Nutzer auf Sandboxing zurückgreifen, um viele potenzielle Angriffsvektoren erst gar nicht zu ermöglichen. Die Anzahl der Syscalls hat sich bis heute auch auf über 300 erweitert, und mit Stand Linux 5.9 kamen auch wieder neue Capabilities hinzu, womit es mittlerweile schon 40 sind.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von wanne » 20.07.2020 19:02:32

Wieder diese absurden Vorurteile. Erstens ist systemd absolut modular, wo lediglich wenig Code tatsächlich unter Rootrechten agiert
Bulshit. /lib/systemd/systemd läuft als root und interpretiert damit so ein mal fast alles was unter /lib/systemd/ liegt als root. Und das ist (stand Debian 10) etwa 10 mal mehr Code als alle bash scripte unter Debian 8 unter /etc/init.d zusammen. – Und der Code ist um Größenordnungen schlechter gewartet als die Scripte zuvor. Systemd hat so viele Issues offen wie die Shellscripte aus früheren Zeiten insgesamt Zeilen.
Und ja: Das sind zum größten teil keine "Bugs" sondern halt meist stinken doofes Verhalten alla "0day" oder dass Hibernatete alternativlinuxe per default zerschossen werden. – Aber es gibt jetzt eine Option (die das alternativ System setzen muss) um das zu verhindern...
Die Shellscripte hatten vernünftiges Error-Handling. Das fehlt Systemd wegen falsch verstandener "Abwärtskompatibilität" vollständig. Die ini-Files sind sicherheitstechnisch ein Graus.
Ein Praxisbeispiel diesbezüglich wäre die partielle Ausweitung von Privilegien, mittels "admin:///Pfad_zur_Datei" unter Nautilus, um einzelne Dateien sicher ändern zu können die nur Root bearbeiten kann. Hierfür wird die Anfrage an Polkit delegiert, um ausschliesslich partielle Privilegien zum bearbeiten dieser einen Datei zu gewähren.
Natilus kann jetzt also prinzipiell /sbin/init bearbeiten und hat damit volle root-rechte. Wer eine Lücke im Nautilus (der mit libs ein paar zig MiB Code hat) findet und ihn dazu bringt (statt der gewnüschten) kann beliebigen Code als root ausführen. Dann kommuniziert das Ding über dbus: Wer da Nachrichten manipulieren kann, bekommt root rechte und dazu kommt nochmal Polkit – Das dort Fehler instant zu root-Rechten führen dürfte allgemein klar sein.
Zum Vergleich früher: Ich hatte als ein 64kiB getty als von User angreifbaren Code mit root-Rechten laufen und fertig.
Partielle Ausweitung von Rechten ist der Tod von Security. Jedes Tool, dass rechte lediglich partiell ausweiten können soll wird instantan zu sicherheitsrelevantem Code. Meist ohne dass es je für so etwas gedacht war.
Und es ist ja nicht so als könne dbus nicht präventiv gehärtet werden, was bspw. ohne großen Aufwand mittels firejail oder AppArmor möglich ist. Selbst über flatpak wird das regulär abgesichert. Eigentlich sollten weitaus mehr Nutzer auf Sandboxing zurückgreifen, um viele potenzielle Angriffsvektoren erst gar nicht zu ermöglichen.
Whooohoo wir haben noch nicht genug sicherheitsrelevanten der Lücken hat eingebaut lass nochmal tonnenweise drauf werfen.
wie früher unter Xorg den ganzen Dateimanager dauerhaft mit Rootrechten zu starten.
Das hat man nie ernsthaft gemacht.
und es bereits an ein Wunder grenzt das man über Windows hinausgekommen ist.
Offensichtlich hast du noch nie eine von innen gesehen. Sonst würdest du verstehen, warum der Satz so falsch ist.
aber heute ist Gnome eines der sicherheitstechnisch fortschrittlichsten DE.
Es ist vor allem am fortschrittlichsten dabei die Angriffsfläche immer noch größer zu machen. Das ist wirklich fortschrittlich weil alle anderen nachziehen. Aber eben sicher nicht der Sicherheit zuträglich.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Firefox 78.0.2 Autoupdate

Beitrag von hikaru » 21.07.2020 09:41:39

willy4711 hat geschrieben: ↑ zum Beitrag ↑
18.07.2020 08:35:04
Deshalb weiß mein Standard- Browser (FF Beta), mit dem ich hier unterwegs bin noch nicht einmal dass es Banken gibt. :mrgreen:
Die Letzte Überweisung via Browser hab ich so ungefähr vor 20 Jahre ausgeführt.
Wenn ich wirklich mal via Browser an mein Konto muss (tonnenweise Post abholen :evil: ),
mach ich das mit Chromium über diesen Weg:

Code: Alles auswählen

firejail --private=~/.privat-browser/Chromium   /usr/bin/chromium %U
Chromium wird auch ausschließlich dafür genutzt.
Alles andere geht über eine ziemlich kastrierte Win10 - VM via HBCI / Foto TAN mit einem Banking - Programm.
Halte ich beides für kreuzgefährlich.

Einen Browser für speziell diesen Zweck in eine Sandbox zu stecken, schön und gut. Aber ausgerechnet Chromium? Ich bin der Meinung, dass dessen Codebasis nicht unabhängig verständlich ist und die Debian-Maintainer des Pakets inkompetent sind. Davon, dass das "Open Source" ist hat man also nichts. Wenn Google da Schweinereien im Code versteckt hat, wird die wohl kaum einer entdecken. Mit Chromium würde ich maximal passiv auf Wikipedia surfen, dem Browser aber sicher keine persönlichen Daten anvertrauen, schon gar keine Banking-Logins.

Ähnlich sieht's mit Windows als Banking-VM aus. Eine dedizierte Banking-VM zu haben ist sinnvoll, aber darin dann ein Closed-Source-Betriebssystem zu betreiben, bei dem keiner auch nur prinzipiell prüfen könnte, dass es vertrauenswürdig arbeitet, führt das Ganze ad absurdum.

willy4711

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von willy4711 » 21.07.2020 11:12:50

hikaru hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 09:41:39
Einen Browser für speziell diesen Zweck in eine Sandbox zu stecken, schön und gut. Aber ausgerechnet Chromium? Ich bin der Meinung, dass dessen Codebasis nicht unabhängig verständlich ist und die Debian-Maintainer des Pakets inkompetent sind.
Gegenvorschlag ?
Es gibt doch eh nur noch Browser, die entweder mit der Chromium Engine oder der FF Engine laufen.
Schützt mich z.B. Tor-Browser besser ? Läuft ja auch auf Basis von Firefox.
Den nochmal in Firejail eingesperrt, komme ich praktisch in keinen Ordner (selbst im /home oder andere gemountete Laufwerke )
Aber das ist in dieser Konfiguration (firejail --private=~/.privat-browser/........) bei allen Browsern gleich.

Wäre also die Frage, was überhaupt mit Sicherheit gemeint ist.
hikaru hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 09:41:39
Ähnlich sieht's mit Windows als Banking-VM aus. Eine dedizierte Banking-VM zu haben ist sinnvoll, aber darin dann ein Closed-Source-Betriebssystem zu betreiben, bei dem keiner auch nur prinzipiell prüfen könnte, dass es vertrauenswürdig arbeitet, führt das Ganze ad absurdum.
Das muss aber mal genauer definiert werden.
Meinst du, dass das Betriebssystem / Banking- Software meine Bankdaten abzieht/abziehen könnte ?
Ich meine, wäre das der Fall, wäre es schon längst bekannt geworden. Mir ist ein solcher Fall nicht bekannt.
Ich mache seit nunmehr 25 Jahren meine Bankgeschäfte über das Internet (anfangs noch mit BTX - Übertragung), und hatte
noch nie irgend ein Problem.

Für mich ist dabei wichtig, dass die Verbindung zu meiner Bank sicher ist, wenn ich Überweisungen mache. Nur in diesem Fall brauche ich
eine möglichst sichere, nicht abhörbare oder zu manipulierende Verbindung. HBCI mit PhotoTan ist nun mal nur über Banking Software zu realisieren.
Ich habe unter Linux noch nichts gefunden, was vernünftig mit diesem Verfahren funktioniert.

So jetzt zurück zum Installationsort Browser/Autoupdates und Sicherheit:

Grad meldet mit FF, das ein Update zu Verfügung stünde.
Hab mal wieder wegen der Prügel auf root:root gestellt. Und bin jetzt hilflos:
Wenn ich die neue Version mit Root-Rechten nach /opt/firefox kopiere, wird FF im Anschluss wahrscheinlich ein neues Profil anlegen wollen
werde es aber trotzdem erstmal testen.
Klappt das nicht, werde ich für das Update wieder in den "Usermodus" gehen und anschließend wieder auf Root.
Dann hoffe ich mal, dass während des FF-Updates nicht FF oder gar mein System kompromittiert ist.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von thoerb » 21.07.2020 11:20:25

willy4711 hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 11:12:50
Wenn ich die neue Version mit Root-Rechten nach /opt/firefox kopiere, wird FF im Anschluss wahrscheinlich ein neues Profil anlegen wollen
Nein, denn das ist im Homeverzeichnis schon vorhanden.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von hikaru » 21.07.2020 11:27:29

willy4711 hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 11:12:50
Gegenvorschlag ?
Firefox statt Chromium.
willy4711 hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 11:12:50
Meinst du, dass das Betriebssystem / Banking- Software meine Bankdaten abzieht/abziehen könnte ?
Denkbar.
Das Problem ist, dass du bei Closed Source nie sicher sein kannst, was sie macht, egal wie lange du schon (vermeintlich oder tatsächlich) problemlos damit arbeitest. Vielleicht ist der problematische Code hinter einer if-Abfrage versteckt, die nur an einem Freitag den 13. in einem Schaltjahr bei Vollmond wahr wird.

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von thoerb » 21.07.2020 11:42:39

Das Problem ist, dass du bei Closed Source nie sicher sein kannst, was sie macht, egal wie lange du schon (vermeintlich oder tatsächlich) problemlos damit arbeitest. Vielleicht ist der problematische Code hinter einer if-Abfrage versteckt, die nur an einem Freitag den 13. in einem Schaltjahr bei Vollmond wahr wird.
Wenn du so misstrauisch bist, dann darfst du dich aber auch in kein neues Auto, Flugzeug etc. mehr setzen.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Installationsort Browser/Autoupdates und Sicherheit

Beitrag von hikaru » 21.07.2020 11:59:04

thoerb hat geschrieben: ↑ zum Beitrag ↑
21.07.2020 11:42:39
Wenn du so misstrauisch bist, dann darfst du dich aber auch in kein neues Auto, Flugzeug etc. mehr setzen.
Auto- und Flugzeughersteller haben für gewöhnlich ein Interesse daran, dass ich heil mein Ziel erreiche. Falls unterwegs mein Leben "abhanden" kommt habe ich nämlich zum letzten mal eines ihrer Produkte benutzt.
Einem Softwarehersteller kann es hingegen egal sein, ob unterwegs meine vertraulichen Daten "abhanden" kommen, denn es liegt in der Natur der Sache der IT, dass diese Daten mir nicht wirklich weggenommen, sondern kopiert werden. Ich merke also im Idealfall gar nichts davon.
Letztendlich ist es eine Spielart von "Gelegenheit macht Diebe" und der einzige Schutz dagegen ist, dem potenziellen Dieb auf die Finger zu schauen - was bei CS prinzipbedingt nur sehr schlecht geht, denn man müsste ihn auf frischer Tat ertappen. Bei FLOSS kann man ihn schon bei der Planung erwischen.

Antworten