Achtung: 4 Bugs in Firefox entdeckt

    Hi Firefox-User,


    Hier der erste, den ich für gravierend halte, da man das Verhalten zwar abschalten kann, aber trotz Abschaltung nach einem Browserneustart wieder funktioniert:


    http://www.heise.de/security/news/meldung/56110


    und hier die drei anderen:


    http://www.heise.de/security/news/meldung/56140


    Die Version 1.01 soll geplant sein für die letzten drei Bugs. Ich hoffe, der Phishing Bug ist dann auch gelöst.

    Hi,


    bei SSL-Seiten habe ich mir angewöhnt, unten auf das Schloß zu klicken und mir das Zertifikat auch wirklich anzeigen zu lassen.


    Aber schön, dass Du uns darüber informiert hast.
    Es gibt eben kein sicheres Internet!!


    Happy day vom
    Tom

    Das verstehe ich jetzt nicht.


    Funktioniert der Link zur Demo nicht oder was passiert, wenn Du da auf PayPal geklickt hast?


    Wird dann "Meeow" angezeigt oder nicht ?


    Wenn "Meeow" zu sehen ist, dann hat die Demo bestens geklappt!


    Du siehst oben Paypal (mit kyrillischen "a"), stehst aber auf einer ganz anderen Seite einer Umlautdomain.


    Du kannszt zwar in "about:config" im Browser abschalten, daß er nicht auf IDN-Domains geht, aber leider zur Zeit nur während der Laufzeit des Browsers.


    Dazu gibt es inzwischen - bis zum Fix - zwei Möglichkeiten der Erkenneung:


    1. Eine modifizierte Spoofstick - Extension, die auch den richtigen Namen der Umlaut-Domain anzeigt oder
    2. eine andere kleine Erweiterung, die mit einem kleinen Popup die richtige Adresse anzeigt und mit OK zu bestätigen ist.


    Das von mir nach Anleitung modifizierte Spoofstick kann ich Dir gerne per Mail zusenden - zusätzlich sind da auch die Schriftgrößen von mir auf erträglichere Werte gesetzt worden.

    Hi,


    >>eine andere kleine Erweiterung, die mit einem kleinen Popup die richtige Adresse anzeigt und mit OK zu bestätigen ist.<<


    Welche ist das?


    Die Spoofstick 1.05 funktioniert leider nicht korrekt, wenn man Links in neuen Fenstern öffnet.
    Obwohl ich auf heise.de war, stand oben immer noch "You're on Videofreunde.de".
    Erst nach einem Reload der Seite war dort heise.de zu lesen.


    Happy day vom
    Tom

    Hi Tom,


    ich benutze die Spoofstick 1.04 (jetzt mit den genannten Erweiterungen) und das klappt bei mir sowohl mit Tabs als auch mit neien Fenstern - aber vielleicht liegt das auch am ISDN :D


    Die ShowACE - Extension ist meines Wissens nicht offiziel downloadbar, aber hier wäre ein Link zu ShowAce (Firefox-Forum)


    http://www.firefox-browser.de/…ewtopic.php?p=96459#96459

    Ach so - anbei mal ein Liste der bei mir mitlaufenden Erweiterungen:
    In HTML geht ja die Ausgabe vom ListZilla hier leider nicht, da wären dann auch die ganzen Infos dabei.


    Enabled Extensions: (25)


    Adblock 0.5.2
    Allow Right-Click 0.1.1
    BBCode 0.3.7
    Bookmark Backup 0.3.1
    ColorZilla 0.6.5
    DictionarySearch 0.8
    Disable Targets For Downloads 0.8
    Download Manager Tweak 0.6.3
    EditCSS 0.2.3
    Html Validator (based on Tidy) 0.3.1
    ieview 0.83
    Image Zoom 0.1.7
    Layerblock 0.0.5
    ListZilla 0.5.1
    Live HTTP Headers 0.10
    Minimize to Tray 0.0.1.20041203+
    QuickNote 0.6
    QuickTabPrefToggle 0.0.4
    Show Old Extensions 0.1.7
    ShowACE 0.1
    SpoofStick 1.04
    Tweak Network 1.0
    User Agent Switcher 0.6.3
    View Cookies 1.2
    Web Developer 0.9.1
    ListZilla image

    Hi,


    auf der von Dir verlinkten Downloadmöglichkeit ist oben auf der Seite ein Screenshot.


    Sieht es so aus, wenn man Spoofstick modifiziert?
    Oder ist das ShowACE?


    Du bist ja ein richtiger Exhibitionist, äh, Extensionfetischist :feixen:


    Happy day vom
    Tom

    Hi,


    zumindest, was verschlüsselte Seiten betrifft, ist man aber auch mit einer Desktop-Firewall ganz gut unterwegs.
    Man muss nur den TCP-Zugriff auf den Remote-Port 443 verbieten.
    Ich habe das gerade mit Kerio 2.1.5 getestet.


    Kerio meldete dann einen Outgoing Connection Alert auf "sip2.vilos.com" statt auf paypal!
    Das funktioniert übrigens auch mit Opera 7.54, für den es im Augenblick kein Workaround zu diesem Problem gibt.


    Happy day vom
    Tom

    Hi Tom,


    nee, das ist die Anzeige vom Firefox, wenn IDN auf False gesetzt ist - was leider immer nur in der aktuellen Session funktioniert und nach jedem Browserstart neu eingestellt werden muss - obwohl die EInstellung an sich gespeichert ist.


    Und ohne HTTPS (443) komme ich nicht mehr ins Büro, kein HBCI+, kein Ebay und sonstwas nicht mehr.


    Der Spoofstick 1.05 funktioniert bei mir aber auch korrekt.

    Hi,


    >>Und ohne HTTPS (443) komme ich nicht mehr ins Büro, kein HBCI+, kein Ebay und sonstwas nicht mehr.<<


    Das ist richtig, aber der Alert zeigt Dir, wohin die Reise gehen soll.
    Dann entweder Permit oder Deny.


    Das ist als Workaround für Opera gut.


    Happy day vom
    Tom

    Yo ! Jetzt seh' ich auch Meeow.


    Vielleicht war die Seite überlastet. Vorher tat sich bei mir überhaupt nix.


    Ich warte auf den FF-Update ....


    E.Z.