PC-Expertenforum Der Browser Chrome und die zusätzliche Webseiten-Isolierung
Im Folgenden stelle ich einen Link zu einem guten Tool von Ashampoo vor. Nach
einem erfolgten Check werden die Bedrohungen differenziert zwischen Spectre
und Meltdown dargestellt. Weitere Informationen gibt es auf dieser Download-Seite
auch noch dazu.
https://www.ashampoo.com/de/eur/pin/1304/sicherheitssoftware/Ashampoo-Spectre-Meltdown-CPU-Checker
Ein Ergebnis könnte so aussehen:
Ergebnis differenziert:
Gerade dieser Status erinnert uns wieder an diesen Check zur Feststellung
der Spectre-Lücke in manchen Browsern.
http://xlab.tencent.com/special/spectre/spectre_check.html
Unabhängig von diesem Ergebnis bietet uns Google eine sogenannte
Webseiten-Isolierung an (experimentell) Diese Webseiten-Isolierung
bietet zusätzlichen Schutz gegen einen verbotenen Zugriff aus
gefährlichen Webseiten heraus.
Hier eine kurze Info dazu:
https://support.google.com/chrome/answer/7623121?hl=de
Dieses Projekt ist nicht nur für den Browser Chrome, sondern auch für
andere Browser auf Chromium Basis. Dazu gehören beispielweise
Opera, SWIron u.a. Ob Vivaldi noch zu dieser Familie gehört ist mir nicht
bekannt.
Ich habe die Webseiten-Isolierung auf Chrome und Opera aktiviert
Einfach nur diesen Aufruf in die Adressleiste kopieren, klicken und
aktivieren. Dann Neustart des Browsers!
chrome://flags/#enable-site-per-process
danach:
Jetzt für Opera:
Dieser Zusatzschutz ist nicht für Firefox, Edge, IE 11 anwendbar!
Peter
tl;dr.
Und? Hast du es schon probiert? Bist du nun geschützt vor dem Zugriff einer Malware auf die Daten einer Anwendung im Hardwarecache, der gemeinsam von den 2-4 CPUs auf einem Chip genutzt wird? Hast du überhaupt verstanden, um was es bei diesen Angriffen geht und wie sie ausgeführt werden? Wenn das so einfach wäre, dann hätten es die Hersteller der Firmware, Betriebsysteme und Browser schon längst getan. Aber so hat sogar der große Intel seinen ersten Versuch zur Abstellung der Probs mittels korrigierter Firmware wieder rückgängig gemacht. Intel scheint doof zu sein und nur Ashampoo und Google beherrschen das Problem.
Hast du überhaupt verstanden, das es schon eine Ewigkeit bekannt ist, das Hacker eine Webseite so verändern können, das der besitzende Admin dies selbst nicht feststellen kann. Ich erinnere mich daran, das der damalige Bundesinnenminister mal plötzlich als Affe an seinem Schreibtisch saß und das ein unhackbar geltendes Nazi-Flirtforum plötzlich kurz vor Sylvester von jedem in seinem Grundgerüst zu erkennen war und alle darin vorhandenen Daten inkl. Passworte in einer externen Datenbank abrufbar waren.
Wusstest du schon, das man einzelne Pixel auf einer Webseite mit einer "Mouse Over"-Funktion implementieren und diese mit einem Link oder/und einer Downloadfunktion verknüpfen kann. Das kann der Besitzer der Webseite nur erkennen, wenn er den Quelltext der Webseite vergleicht. Das funktioniert sogar auf der Index des ST. Ohwehh und keiner kann es sehen!
Ashampoo stellt seit vielen Jahren den Tweaker "WinOptimizer" her. Als dieses Teil vor etwa 15 Jahren erstmals auf dem Markt erschien, bat der Hersteller über seine Webseite seine Kunden ein Urteil abzugeben. Ich urteilte über jede Funktion und stellte fest, das Ähnliches von http://www.winfaq.de/ in gleicher und besserer Qualität vorgeschlagen wird. Es wurden und werden noch heute lediglich Veränderungen in der Registry gemacht, die neue Gefahren in sich bergen und fand heraus, das Ashampoo schon damals vorgab, klüger als der Hersteller des Winseln zu sein. Daraufhin wurde mein Zugang zum dafür eigens vorgesehenen und eingerichteten Forum gesperrt.
Und? Hast du es schon probiert? Bist du nun geschützt vor dem Zugriff einer Malware auf
die Daten einer Anwendung im Hardwarecache, der gemeinsam von den 2-4 CPUs auf
einem Chip genutzt wird?
Ja, wurde ausprobiert! Aufgrund meiner Programmierfähigkeiten kann ich selbst solche
gefährliche Testobjekte erstellen! Das sind dann meine Test-Angriffswerkzeuge, keine
Sorge, die bleiben isoliert in meinem Testlabor.
Du kannst also weiter deine geistigen Ergüsse in Foren unbesorgt zum Besten geben.
Die wirkliche Gefahr ist eigentlich subtiler!
Viele externe Leser, welche mit unseren Gegebenheiten im Seniorentreff nicht vertraut
sind, könnten aufgrund deiner Beiträge von der Einheit auf die Mehrheit schließen!
Das wäre der wirkliche Supergau in der IT!
In ängstlicher Erwartung!
Peter
Schulligung,
wenn ich mich aus diesem Thema raushalte. Ich hab auch keine Lust mehr zu dem ganzen Gekrusche. Zudem sind die Zeiten vorbei, als ich noch aktiv was hätte ändern können; jetzt gebe ich den schaumgebremsten Rentner. Das gefällt mir ganz gut.
Ich bin nur gespannt wie das gelöst werden soll, wenn das quasi eine HardwareAngelegenheit (CPUs) sein dürfte.
Zu bezweifeln wäre auch, dass sich irgend ein Nutzer des ST (aka OttilieNormala) dafür interessiert - und nicht gar abgeschreckt wird.
Wusstest du schon, das man einzelne Pixel auf einer Webseite mit einer "Mouse Over"-Funktion implementieren und diese mit einem Link oder/und einer Downloadfunktion verknüpfen kann. Das kann der Besitzer der Webseite nur erkennen, wenn er den Quelltext der Webseite vergleicht. Das funktioniert sogar auf der Index des ST. Ohwehh und keiner kann es sehen!Meinst du, den Quelltext des ST lesen oder die Mouse-Over-Funktion einbauen?
Ersteres geht auf jeder im Internet bekannten Webseite, das zweite funktioniert nur Lokal bei dir im Browser.
Da darfst du gerne soviel Schadsoftware wie du willst einbauen - und dann selbst runterladen :D
Zu bezweifeln wäre auch, dass sich irgend ein Nutzer des ST (aka OttilieNormala) dafür interessiert
- und nicht gar abgeschreckt wird.
Nach meiner Erinnerung hast du Sinngemäßes im Laufe der Jahre schon mehrmals
befürchtet. Fakt ist aber, wir leben noch. Stichwort „ein Nutzer des ST (aka OttilieNormala)“!
Aber dir ist schon aufgefallen dass wir hier im PC-Expertenforum sind? Was erwartest du?
Was heißt denn „irgendein Nutzer“? Du hast ja auch Interesse, sonst hättest du ja nicht
geantwortet. Ich glaube schon, dass es genug Leser hier und woanders gibt und die sogar
Verlinkungen kopieren können. Da bin ich optimistisch!
Peter
Im Internet gibt es genügend Informationsquellen zum Thema, auf Chip sogar
ein Video.
Hier einfacher:
http://stadt-bremerhaven.de/google-chrome-vor-meltdown-und-spectre-absichern/
Hier die offizielle Seite (in englischer Sprache)
https://www.chromium.org/Home/chromium-security/site-isolation
Trotzdem bleibt es für manchen PC-Nutzer sehr abstrakt, ich möchte das jetzt
mal verständlich sichtbar machen. Ich habe das Verhalten des Chrome-Browsers
mit und ohne aktivierte Seitenisolation betrachtet.
Für den Versuch habe ich im Chrome-Browser zwei Tabs mit der gleichen Webseite
(Telekom News) geöffnet. Hierbei war die sie "Strikte Seitenisolation" nicht aktiviert.
Als Referenz dazu das Gleiche mit dem Firefox. Bekanntlich gibt es im Firefox (noch)
nicht dieses Tool. Das Ergebnis sah sehr ähnlich aus. Im Task-Manager liefen für
Chrome (zwei Tabs) zehn Prozesse und für den Firefox (zwei Tabs).
Vergleich Firefox
Bekannt ist dass der Browser im Prinzip bei mehreren geöffneten Tabs
dann seitenübergreifend auch bestimmte Elemente gemeinsam nutzen!
Das hört sich rational an, man darf es aber auch ruhig auch Schwachstelle
nennen!
Hier setzt die Seitentrennung an:
Für mich ist das eindeutig eine Art Sandbox-Prinzip.
Hier setzte die Seitentrennung an:
Nach der Aktivierung der „Seitenisolation in Chrome“ unter gleichen
Bedingungen erhöhte sich die Anzahl der Prozesse im Task-Manager.
Das war eindeutig, die Tabs sind jetzt strikt getrennt.
Jetzt muss ich spekulieren, genau jetzt konnte ich ein Ereignis auf der besagten
Telekom-Seite feststellen. Zwei Werbe-Verlinkungen waren inaktiv. Konnte ich mit
einem Mouseover sogar sichtbar machen.
Ich rechne das mal ein wenig spekulativ dem Chrome Browser-Tool zu.
Peter
Hier findet tatsächlich kompetente Diskussion statt. Warum soll ich lange drum herum reden. Es ist nur nebensächlich von Browsern die Rede.
Das wichtigste ist wohl wieder einmal die Benutzung von NoScript, auch wenn unser Admin sofort wieder seine Einwände hat. Aber noch einmal: Das eigene Hemd ist mir näher als der Rock des Herrn.
Das Ashampoo Tool hat bei mir nicht funktioniert ,Da kommt immer Fehler ,Auch wenn ich es als Administrator ausführe keine Chance.
Nur die online prüfung von,
http://xlab.tencent.com/special/spectre/spectre_check.html
ging,Mein Browser ist sicher und ich benutze auch einen auf Chromium Basis.
Woher weißt du das dein Browser sicher ist? Aus der Werbung?