Original von Pixelspalter
An sich hört sich so eine Methodik natürlich gut an......aber ich weiß nicht ob ich mich mit einem Service für alle Seiten so wohl fühlen würde.
Irgendwie bleibt das doch der Single Point of Failure. Und sollte sich da mal eine Lücke oder ein ähnliches Problem rausstellen, dann kommt jemand gleich überall rein, wo ich eine OpenID Kennung verwende

"Too many eggs in one basket" - altes angelsächsiches Militärsprichwort...

Mir ist es da lieber für jede Seite ein eigenes kryptisches Passwort zu verwenden bei dem mich der Verlust nicht stark schmerzen würde

Es gibt vor allem auch diverse Websites, bei denen ich nicht möchte, daß sich irgendwer - wer es auch immer sei - zwischen mich und diese Website hängt.

Gehirn 2.0 plus vernünftige Sicherheitstechnik und Datensparsamkeit - immer noch der beste Schutz.

Original von Pixelspalter
Hilft ja eh nix....weil solange OpenID nicht auf einem Großteil aller Seiten verfügbar ist, die wir täglich so verwenden bleibt uns nichts anderes übrig, als auf der jeweiligen Seite ein Passwort einzugeben

Und ich glaube nicht, daß sich so ein zentraler Service jemals durchsetzen wird. Daran ist sogar schon Microsoft mit seinem "Microsoft Passport" gescheitert

Und ganz davon abgesehen gibt es auch gute Gründe, daß Zugänge zu verschiedenen Websites, Maildiensten etc.pp. nicht zusammengeführt werden - es soll ja vorkommen, daß jemand einer anderen Person den Zugang zu einem bestimmten Mail-Account geben möchte, aber durchaus nicht will, daß diese Person mit demselben Zugang auch Einblick in den Partnertauschportalaccount nehmen kann...

Original von TomRohwer
Es gibt vor allem auch diverse Websites, bei denen ich nicht möchte, daß sich irgendwer - wer es auch immer sei - zwischen mich und diese Website hängt.

Auch nicht, wenn du es selbst bist (oder ein von dir kontrollierter Rechner)? Dem Rechner, an dem du sitzt, musst du doch eigentlich immer vertrauen.

Ich glaube, du redest von einem Spezialfall: Du bist bei einem streng geheimen Dienst, dessen SSL-Fingerprint du bei jedem Verbindungsaufbau selber prüfst. Von fremden Rechnern würdest du dich nie einloggen. Das ist völlig in Ordnung und wird auch von mir auf manchen Systemen zum Beispiel bei Patientendaten so gehandhabt. Aber wie gesagt ein Spezialfall. Denn die meisten Menschen verwenden für Bank, eBay und alle Communitys das gleiche Passwort und ändern es nie. Hier bieten sich die beschriebenen Lösungen an. Selbst wenn du bei nur zehn Diensten bist und bei jedem ein anderes Passwort verwendest, ist es sehr schwer bei jedem die Merkmale (z.B. SSL-Fingerprint) zu prüfen.

Original von TomRohwer
es soll ja vorkommen, daß jemand einer anderen Person den Zugang zu einem bestimmten Mail-Account geben möchte

Ganz einfach: Du stellst bei dem Mail-Account nicht deine persönliche OpenID ein, sondern eine von dir erstellte Gruppe. In diese Gruppe nimmst du den anderen und dich auf. Häufig gebe ich Kollegen oder Kunden Zugang zu bestimmten Diensten. Ich kann für sie einen Benutzer erstellen, mir ein Passwort ausdenken und dieses Passwort zum anderen mailen. Nach dem fünften Passwort ist das Chaos vorprogrammiert. Ich kann aber auch einfach den anderen in die Liste der erlaubten Benutzer aufnehmen.

Mal ganz ehrlich, wie viele Leute kennt ihr, die den Virenscanner vorallem deshalb deinstallieren, weil es das Startprozedere verlangsamt und manche Sachen einfach blockiert. Ich kenne da ein paar Experten, bei denn ich echt nur mit dem Kopf schütteln kann.

Original von cash - baut seine Sedcard um
Mal ganz ehrlich, wie viele Leute kennt ihr, die den Virenscanner vorallem deshalb deinstallieren, weil es das Startprozedere verlangsamt und manche Sachen einfach blockiert. Ich kenne da ein paar Experten, bei denn ich echt nur mit dem Kopf schütteln kann.

Ich würde nicht auf einen Virenscanner vertrauen. Dann besser vorsichtig sein und nicht jeden Mist starten, NoScript o.ä. gezielt einsetzen und Rechte korrekt einstellen. Ist viel wirksamer als dieses Snakeoil.

k|d

Original von kleine|details
Ich würde nicht auf einen Virenscanner vertrauen. Dann besser vorsichtig sein und nicht jeden Mist starten, NoScript o.ä. gezielt einsetzen und Rechte korrekt einstellen. Ist viel wirksamer als dieses Snakeoil.
k|d

Und auch das ist die falsche Lösung. Man vertraut nicht NUR auf einen Virenscanner, eine Firewall oder auf No-Script und Ähnliches.....sondern man kombiniert alles um eine möglichst hohe Sicherheit zu erreichen

Original von Pixelspalter
[quote]Original von kleine|details
Ich würde nicht auf einen Virenscanner vertrauen. Dann besser vorsichtig sein und nicht jeden Mist starten, NoScript o.ä. gezielt einsetzen und Rechte korrekt einstellen. Ist viel wirksamer als dieses Snakeoil.
k|d

Und auch das ist die falsche Lösung. Man vertraut nicht NUR auf einen Virenscanner, eine Firewall oder auf No-Script und Ähnliches.....sondern man kombiniert alles um eine möglichst hohe Sicherheit zu erreichen[/quote]

Was soll denn der Virenscanner in dem Mix bringen? Oder ne PF?

k|d

Habe ich auch noch nicht verstanden. Was nützt ein Virenscanner gegen gezielte Angriffe?

Original von netAction
Habe ich auch noch nicht verstanden. Was nützt ein Virenscanner gegen gezielte Angriffe?

Wie wäre es z.B. mit der Tatsache daß oft für eine Lücke im System noch kein Fix bereit steht, aber zumindest die Malware schon erkannt werden kann?
Oder daß durch verhaltensbasierte Beobachtung Malware erkannt wird, für die es noch keine Signatur gibt?
Oder dafür daß manche Patches auch schon alte Lücken wieder aufgerissen haben?

Die Frage ist eher, wie unsinnig es ist, auf ein zusätzliches Sicherheitswerkzeug zu verzichten bloß weil man meint, es bringt sowieso nichts.
Ein komplett gepatchter Rechner mit Virenscanner und Firewall wird immer sicherer sein als ein komplett gepatchter Rechner ohne Sicherheitssoftware.

Die Disukssion kommt mir so ähnlich vor als würde man sagen, daß ja ein Airbag im Auto völlig unsinnig ist wenn man immer so fährt, daß man keinen Unfall baut.

Original von Pixelspalter
[quote]Original von netAction
Habe ich auch noch nicht verstanden. Was nützt ein Virenscanner gegen gezielte Angriffe?

Wie wäre es z.B. mit der Tatsache daß oft für eine Lücke im System noch kein Fix bereit steht, aber zumindest die Malware schon erkannt werden kann?
Oder daß durch verhaltensbasierte Beobachtung Malware erkannt wird, für die es noch keine Signatur gibt?
Oder dafür daß manche Patches auch schon alte Lücken wieder aufgerissen haben?

Die Frage ist eher, wie unsinnig es ist, auf ein zusätzliches Sicherheitswerkzeug zu verzichten bloß weil man meint, es bringt sowieso nichts.
Ein komplett gepatchter Rechner mit Virenscanner und Firewall wird immer sicherer sein als ein komplett gepatchter Rechner ohne Sicherheitssoftware.

Die Disukssion kommt mir so ähnlich vor als würde man sagen, daß ja ein Airbag im Auto völlig unsinnig ist wenn man immer so fährt, daß man keinen Unfall baut.[/quote]

Verstehe ich auch nicht so recht, was denn so teuflisch an dem Einsatz eines Virenscanners ist...
Gegen einen gezielten Angriff kann der natürlich nur bedingt etwas ausrichten, aber in vielen anderen Situationen zahlt der sich durchaus aus.

Und was machst Du bei Zero-Day-Exploits? Da bringen Patches nix, denn die können in der Regel erst erscheinen, nachdem die Angriffe dann gelaufen sind. Ein Virenscanner mit kluger Heuristik und Verhaltenserkennung kann da aber mitunter schon vorher was ausrichten...

Virenscanner haben eindeutig auch ihre Nachteile. Sie verlangsamen das System und können in seltenen Fällen sogar durch Fehlalarme Programme am Ausführen hindern oder gar das System zerschießen.

Aber die Vorteile eines Virenscanners wiegen die Nachteile deutlich auf. Deshalb wäre es dämlich auf diesen zusätzlichen Schutz zu verzichten. Und sei es nur um evt darauf aufmerksam zu werden, daß etwas nicht stimmt.
Virenscanner-Signaturen werden auch viel häufiger und zeitnaher aktualisiert als Betriebsystem- und Programmpatches

Es gibt eigentlich keinen vernünftigen Grund, der gegen den Einsatz von Virenscannern spricht. Aber ziemlich viele die dafür sprechen.

Original von Pixelspalter
Virenscanner haben eindeutig auch ihre Nachteile. Sie verlangsamen das System und können in seltenen Fällen sogar durch Fehlalarme Programme am Ausführen hindern oder gar das System zerschießen.

Aber die Vorteile eines Virenscanners wiegen die Nachteile deutlich auf. Deshalb wäre es dämlich auf diesen zusätzlichen Schutz zu verzichten. Und sei es nur um evt darauf aufmerksam zu werden, daß etwas nicht stimmt.
Virenscanner-Signaturen werden auch viel häufiger und zeitnaher aktualisiert als Betriebsystem- und Programmpatches

Es gibt eigentlich keinen vernünftigen Grund, der gegen den Einsatz von Virenscannern spricht. Aber ziemlich viele die dafür sprechen.

Das Problem mit Virenscannern und (personal) Firewalls ist, dass sie dem KISS-Prinzip widersprechen und dafür die sicherheitstechnische Todsünde "default permit" repräsentieren.

Mehr Software = Mehr Sicherheit ist eben ein Irrtum. Denn eigenlich ist mehr und komplexere Software ein Garant für noch mehr potentiell ausnutzbare Fehler.

Default Permit (auch als enumeration badness bekannt) ist der Ansatz, jede einzelne potentiell zahllose Sicherheitslücke einzeln zu schießen (auch Heuristiken wirken nur sehr begrenzt), statt nur das zu erlauben, was man wirklich will (default deny).

Starte ich also nur Services und möglichst als nicht privilegierter User, die wirklich benötigt werden, starte ich clients, die unsicher sind nicht als administrativer user sondern möglichst noch über einen noch weniger priveligierten Account, benutze ich SELinux oder ähnliche Ansätze, bin ich erheblich sicherer als darauf zu vertrauen, dass von den 1e+64 Schadprogrammen 1e32 von einem Virenscanner "erkannt" werden.

Klar, dass sich mit dem Vertrieb von Snakeoil damals wie heute prima Geld verdienen lässt :-)

k|d

Und aus diesem Grund ist es natürlich auch total sinnlos, eine gerade aus dem Internet runtergeladene oder per Mail empfangene Datei zu scannen, bevor(!) man sie ausführt.
Weil ja schließlich der eigene Sachverstand sagt, daß das System genug gepatched ist, aktuell keine unbekannte Sicherheitslücke zum Hochstufen der Privilegien existiert und alle Programme machen, was sie sollen statt Lücken aufzuweisen.....mit dem Wissen kann man natürlich jede Datei bedenkenlos öffnen, oder? ;)

Ich habe nicht geschrieben, daß man sich auf seinen Virenscanner hundertprozentig verlassen sollte. Ich habe geschrieben, daß es ein zusätzliches Werkzeug ist, um seine Systemlandschaft abzusichern.
Das gefährlichste was Du machen kannst, ist Dir einzureden, daß Du über die Absicherung Deines Systemes mehr wüßtest als die ganzen bösen Buben da draußen.

Eine Frage hätte ich da noch an Dich und netAction:
Wie sieht es bei euch in der Arbeit aus? Wird dort tatsächlich kein Virenscanner eingesetzt?

Original von Pixelspalter
Und aus diesem Grund ist es natürlich auch total sinnlos, eine gerade aus dem Internet runtergeladene oder per Mail empfangene Datei zu scannen, bevor(!) man sie ausführt.
Weil ja schließlich der eigene Sachverstand sagt, daß das System genug gepatched ist, aktuell keine unbekannte Sicherheitslücke zum Hochstufen der Privilegien existiert und alle Programme machen, was sie sollen statt Lücken aufzuweisen.....mit dem Wissen kann man natürlich jede Datei bedenkenlos öffnen, oder? ;)

Kannst du sie nach 50 Virenscannern bedenkenlos öffnen? Werden es signifikant weniger Bedenken? Für mich lautet die Antwort: NEIN.

Original von Pixelspalter
Ich habe nicht geschrieben, daß man sich auf seinen Virenscanner hundertprozentig verlassen sollte. Ich habe geschrieben, daß es ein zusätzliches Werkzeug ist, um seine Systemlandschaft abzusichern.

Ist es eben nicht - das ist ein Irrtum. Die Absicherung muss man grundsätzlich anders machen, dann braucht man den Scanner nicht mehr.

Original von Pixelspalter
Das gefährlichste was Du machen kannst, ist Dir einzureden, daß Du über die Absicherung Deines Systemes mehr wüßtest als die ganzen bösen Buben da draußen.

Das versuchen dir dann ersatzweise die Hersteller von Virenscannern einzureden. Also da vertraue ich lieber mir selbst :-)

Original von Pixelspalter
Eine Frage hätte ich da noch an Dich und netAction:
Wie sieht es bei euch in der Arbeit aus? Wird dort tatsächlich kein Virenscanner eingesetzt?

Auf den Servern nicht - wir sind doch nicht plemplem. Und Client-IT in Großunternehmen ist nochmal ne ganz andere Geschichte. Manche setzen ja sogar Outlook ein ;-)

k|d

Edith: Tippfehler

Jetzt mal angenommen ich bekomme ein PDF mit Schadcode und habe den Acrobat Reader am Laufen. Dass es für den schneller Schwachstellen als Patches gibt stimmt, da sind wir uns einig. Bei mir läuft der PDF-Betrachter auch noch unnötigerweise mit Benutzerrechten. Über dieses Szenario bin ich angreifbar, da stimme ich dir voll zu! Die richtige Abhilfe wäre eine konsequente Sandbox für PDF-Betrachter, Messenger und so weiter.

Um deine Frage zu beantworten: Auf allen Arbeitsplätzen in meiner Reichweite läuft Linux. Beruflich habe ich es ausschließlich mit Linuxservern diverser Firmen zu tun. Dafür gibt es keinen Virenscanner, daher erübrigt sich die Frage. Allerdings installiere ich konsequent Virtualisierungen und Rechteverwaltungen, damit unabhängige Prozesse unabhängig bleiben.

Falls die Frage kommt: Natürlich gibt es Virenscanner für Linux, aber das sind Serverlösungen für Anwender mit Windows auf dem Rechner. In Mailservern ist so etwas oft integriert. Sie enthalten keine Signaturen für Linuxviren.

Original von kleine|details
Kannst du sie nach 50 Virenscannern bedenkenlos öffnen? Werden es signifikant weniger Bedenken? Für mich lautet die Antwort: NEIN.

Nun wenn wir das Spielchen so weiterspielen, könnten wir ja rätseln, wer die wenigsten Bedenken beim Öffnen einer Datei haben könnte:

1. Einer mit voll gepatchtem und abgesichertem System
2. Einer mit "nur" einem Virenscanner
3. Einer mit voll gepatchtem und abgesichertem System und(!) einem Virenscanner

Denn ein Restrisko bleibt bei allen drei Varianten. Die Frage ist nur, wo es am Kleinsten ist

Ich denke wir sind uns einig, daß auf Client-PCs ein Virenscanner durchaus Sinn macht, weil sich diese nie so absichern lassen wie eine Serverlandschaft.
Und wir sprechen hier hauptsächlich von Endbenutzer-Systemen.

Original von Pixelspalter
[quote]Original von kleine|details
Kannst du sie nach 50 Virenscannern bedenkenlos öffnen? Werden es signifikant weniger Bedenken? Für mich lautet die Antwort: NEIN.

Nun wenn wir das Spielchen so weiterspielen, könnten wir ja rätseln, wer die wenigsten Bedenken beim Öffnen einer Datei haben könnte:

1. Einer mit voll gepatchtem und abgesichertem System
2. Einer mit "nur" einem Virenscanner
3. Einer mit voll gepatchtem und abgesichertem System und(!) einem Virenscanner

Denn ein Restrisko bleibt bei allen drei Varianten. Die Frage ist nur, wo es am Kleinsten ist

Ich denke wir sind uns einig, daß auf Client-PCs ein Virenscanner durchaus Sinn macht, weil sich diese nie so absichern lassen wie eine Serverlandschaft.
Und wir sprechen hier hauptsächlich von Endbenutzer-Systemen.[/quote]

Was du noch nicht so richtig zu verstehen scheinst: 1) und 3) sind identisch - mit ner leichten Tendenz zu 1) weil bei 3) noch eine potentiell fehlerträchtige Komponente im Spiel ist.

Virenscanner einsetzen ist halt so ein bischen wie Systemlotto spielen - höhere Kosten für eine trügerische Erhöhung der Wahrscheinlichkeit.

k|d

Original von kleine|details
Was du noch nicht so richtig zu verstehen scheinst: 1) und 3) sind identisch - mit ner leichten Tendenz zu 1) weil bei 3) noch eine potentiell fehlerträchtige Komponente im Spiel ist.
Virenscanner einsetzen ist halt so ein bischen wie Systemlotto spielen - höhere Kosten für eine trügerische Erhöhung der Wahrscheinlichkeit.
k|d

Und das halte ich einfach mal für eine unbewiesene Behauptung Deinerseits. Das mag Deine persönliche Meinung sein, hat aber mit der Realität leider nicht viel zu tun

Original von Pixelspalter
[quote]Original von kleine|details
Was du noch nicht so richtig zu verstehen scheinst: 1) und 3) sind identisch - mit ner leichten Tendenz zu 1) weil bei 3) noch eine potentiell fehlerträchtige Komponente im Spiel ist.
Virenscanner einsetzen ist halt so ein bischen wie Systemlotto spielen - höhere Kosten für eine trügerische Erhöhung der Wahrscheinlichkeit.
k|d

Und das halte ich einfach mal für eine unbewiesene Behauptung Deinerseits. Das mag Deine persönliche Meinung sein, hat aber mit der Realität leider nicht viel zu tun[/quote]

Da schliesse ich mich mal voll und ganz Pixelspalters Meinung an.
Was Ihr da behauptet ist doch wirklich grober Unfug.

Für einen Linux-Server mag das gelten. Aber doch auch nur, weil dort die Anforderungen und die Bedrohungslage eine ganz andere ist als bei Endbenutzer-Systemen, die ja im Zweifelsfall Windows-Maschinen sind (und um auch da schon mal das Argument vorweg zu nehmen: mangels Programmauswahl bei anderen Systemen geht das in der Regel nicht anders. Die Hälfte der Programme, die ich beruflich benötige, laufen nur unter Windows.).

Für Client-PCs gilt das einfach nicht. Mit denen ohne Virenscanner unterwegs zu sein, ist grob fahrlässig. Selbst wenn man darauf achtet, immer alle aktuellen Patches ein zu spielen.
Bis ein Patch verfügbar ist, vergehen oft einige Tage (meist: einige Wochen, wenn überhaupt). PDF war ja schon angesprochen worden. Bis Adobe sich mal bereiterklärt, ihre Programme zu patchen, muß schon einiges passieren...
Und selbst wenn. Einen Patch zu erstellen ist einfach aufwendiger, weil der Quelltext untersucht und modifiziert werden muß.
Die Hersteller von Virenscannern haben es da einfacher, denn sie müssen nur eine Signatur generieren (soweit das im Einzelfall möglich ist). Die ist dann innerhalb von Stunden verfügbar. Und damit ist die Bedrohung schneller reduziert (wenn auch nicht völlig aus der Welt) als durch einen Patch.

Sicherlich ist ein Patch sicherer, weil er das Problem an der Wurzel packt, im Gegensatz zum Virenscanner, der nur Symptombeseitigung betreibt und das eigentliche Problem (den Fehler im System) nicht beheben kann. Aber letztendlich ist das in der Praxis absolut schnuppe.
Was nutzt mir ein System, das aktuelle gepatcht ist, wenn mir gerade ein Virus, der eine noch ungepachte Sicherheitslücke ausnutzt, meine Festplatte zerhackt? Gar nichts.

Original von plain
...
Sicherlich ist ein Patch sicherer, weil er das Problem an der Wurzel packt, im Gegensatz zum Virenscanner, der nur Symptombeseitigung betreibt und das eigentliche Problem (den Fehler im System) nicht beheben kann. Aber letztendlich ist das in der Praxis absolut schnuppe.
Was nutzt mir ein System, das aktuelle gepatcht ist, wenn mir gerade ein Virus, der eine noch ungepachte Sicherheitslücke ausnutzt, meine Festplatte zerhackt? Gar nichts.

Naja, du hast ein paar Millisekunden länger Freude an deinem System, bis deine 5 Virenscanner fertig sind und der Virus endlich loslaufen kann. Da er ja 0-Day ist, gibt es auch noch keine Signaturen und der Generator für die Virenherstellung kennt auch alle Signaturen der gängigen Programme incl. der Heuristiken.

Bei Sicherheitsfragen soll man sich davor hüten, seinen Gefühlen zu vertrauen.

k|d