Link zur News:
https://www.3dcenter.org/news/23-von-40-antiviren-programmen-hoehlen-https-verbindungen-aus-und-verschlechtern-damit-die-pc-s

Ob der Rat zur Deinstallation allerdings etwas ist, was man Otto Normalsurfer wirklich beigeben kann, darf diskutiert werden – ein fähiger System-Admin mag eventuell ohne Antiviren-Scanner auskommen, aber für Otto Normalsurfer ist es mangels Selbstbeherrschung und "Brain.exe" oftmals der allereinzigste Schutz.

Einzig ist das Wort, eine Steigerung gibt es nicht (Begründung analog zu tot, toter, am totesten). Auch das "aller" ist imo fehl am Platz, da einzige ja bereits diese Bedeutung hat.

Ich würde behaupten das der völlige Verzicht auch kein Schutz ist. nutze mein AV als onDemand. Also per rechtsklick.

Denn woher weiß ich sonst ob die runtergeladene Datei virusfrei ist?!?!! auch seriöse Seiten wurden schon einmal befallen/gehackt.

Es gibt noch einen rechtlichen Aspekt. Wie soll man einen Richter begreiflich machen, dass man ohne Virenscanner sicher online unterwegs ist als mit. Virenscanner gelten als Stand der Technik, wenn es um sicheres Surfen im I-net geht.

Ich wünsche jeden viel Spaß dabei.

Dann mach den MS Defender an, der macht wenigstens nicht mehr Schaden als Nutzen.

Einzig ist das Wort, eine Steigerung gibt es nicht (Begründung analog zu tot, toter, am totesten).
Zuerst einmal ist das Wort kursiv geschrieben und gerne kann man auch einmal die Leistung des Autors anerkennen, in der Lage zu sein den Superlativ gleich zweimal zu steigern. ;)

Dann mach den MS Defender an, der macht wenigstens nicht mehr Schaden als Nutzen.

Der Gedanke schiesst mir zuletzt öfters in den Kopf...

Denn woher weiß ich sonst ob die runtergeladene Datei virusfrei ist?!?!! auch seriöse Seiten wurden schon einmal befallen/gehackt.

Du vergleichst einfach die separat bereitgestellten Prüfsummen oder Signatur mit der heruntergeladenen Datei. Wie man das eben schon immer gemacht hat. Eventuell macht das dein Betriebssystem sowieso schon für dich.

Windows 10 geht aber z.B. den umgekehrten Weg: Unbekannten Binärdateien wird grundsätzlich erst einmal misstraut. Zusammen mit dem Windows Defender ist das vermutlich für die meisten Anwender auch eine ziemlich praxisnahe Lösung.

Wie soll man einen Richter begreiflich machen, dass man ohne Virenscanner sicher online unterwegs ist als mit. Virenscanner gelten als Stand der Technik, wenn es um sicheres Surfen im I-net geht.

Ich wünsche jeden viel Spaß dabei.

Was hat ein Antivirenscanner mit sicherem Surfen zu tun? Da wäre eher interessant, ob du einen aktuellen Browser mit einer integrierten Sandbox und aktivem ASLR benutzt.

Gegen einen feinen, kleinen, ressourcensparenden Virenscanner, der sich nur meldet, wenn es wirklich Bedarf zum Nutzereingriff gibt, ist auf einem Normabürger-PC schwerlich etwas einzuwenden.

Ich denke auch, dass der Weg weg von Virenscannern hin zu Advanced Endpoint Protection gehen muss. FireEye und Bromium haben interessante Ansätze. Am besten gefällt mir aktuell das Produkt "Traps" von Palo Alto Networks. Vor allem in der neuen Version 3.4 kann es ohne Probleme als vollumfänglicher Ersatz für Virenscanner eingesetzt werden. Leider aktuell nur für Firmenkunden erhältlich aber es könnte bald eine Variante für Privatanwender folgen...

Ja, geben wir der ganzen Sache einfach einen neuen Namen. Die Next-Next-Next-Gen-Protection wird es richten.

Du vergleichst einfach die separat bereitgestellten Prüfsummen oder Signatur mit der heruntergeladenen Datei. Wie man das eben schon immer gemacht hat. Eventuell macht das dein Betriebssystem sowieso schon für dich.

Ich hab kein prüfsummenchecker. Die Angaben stehen nur auf den wenigsten webseiten. vorallem bei Linux ist das der fall.. bei Spielemods kannste das schon vergessen!!
für mich ist das unter windows daher keine alternative.
der normaluser weiß nicht was ne signatur ist.

Gegen einen feinen, kleinen, ressourcensparenden Virenscanner, der sich nur meldet, wenn es wirklich Bedarf zum Nutzereingriff gibt, ist auf einem Normabürger-PC schwerlich etwas einzuwenden
Normalbürger? ;)
Ab davon schließe ich mich Steffko da oben an..

gefixt @ greeny


"allereinzigste" .... sprachliche Freiheit (aber natürlich gern Ansichtssache)

"allereinzigste" .... sprachliche Freiheit (aber natürlich gern Ansichtssache)
nö - ein absolutadjektiv erlaubt keine steigerungsform. sprachliche freiheit ist quatsch, weil es dieses wort im deutschen sprachgebrauch nicht gibt, gibt es auch keine freihheitsgrade es anderweitig zu verwenden. einzigste ist die von mehreren möglichkeiten alleinige, eine steigerung dieses zustands oder deren erkenntnis ist ausgeschlossen. wobei man sich streiten kann, dass "alleinige möglichkeit" vollkommen ausreichen würde. im journalismus gibt es keine freiheitsgrade die den sprachgebrauch umgehen. aber mach dir nichts draus, ich habe schon von professoren totalen bullshit gegen gelesen, wo sie meinen das sei o.k..

Denn woher weiß ich sonst ob die runtergeladene Datei virusfrei ist?!?!! auch seriöse Seiten wurden schon einmal befallen/gehackt.

Gar nicht. Das ist ja das gefährliche am Virenscanner, es lässt die Menschen glauben eine Datei sicher ist nur weil der Scanner nicht anschlagt.

In der Realität erkennt der Scanner aber nur ca. die hälfte aller Bedrohungen, und die Heuristiken welche unbekannte Viren am verhalten erkennen sollen behaupten oft eine harmlose Datei ist gefährlich.

Die genauen Zahlen variieren je nach Scanner/Testmaterial, aber insgesamt ist die Erkennungsrate viel zu niedrig und die false positives viel zu hoch um irgendwie zuverlässig zu sein.

Würden heutige Virenscanner nicht Computerviren erkennen sondern in der Medizin eingesetzt werden bekämen die niemals eine Zulassung

Das einzige Problem, das ich sehe, ist dass die meisten Anti Viren Software komplett 8ntransparent arbeitet und man überhaupt keine Ahnung hat, dass der Virenscanner im Hintergrund auch als Firewall fungiert (selbst wenn das entsprechende Modul deaktiviert wurde), was nicht so sehr zu einer Beeinträchtigung der Sicherheit als der allgemeinen Funktionsweise führt. Abgesehend davon werden die Fasle Positives und die allgemeine Systembeeinträchtigung durch regelmäßige Updates der Definitionen zu einem echten Problem.

Was das Aufbrechen der TLS Verbindungen selbst angeht, so ist das absolut kein Problem, wenn es bewusst auf Risiko des Anwenders geschieht. In den meisten Fällen ist das sogar zwingend notwendig, da sonst Verschlüsselung zu einer Umgehung der firmeninternen Sicherheitsrichtlinien führt. Aktuell ist die mit Abstand größte Gefahrenquelle die Kryptotrojaner. Das Gefährdungsszenario sieht meistens so aus:
Kryptotrojaner kommt gezippt als VB Skript oder ähnlichen Skriptsprachen per Email
Exchange/Outlook kan keine Zip Dateien scannen. Ich kann nur zip komplett sperren oder gar nicht
Wird das zip Archiv geöffnet, so geschieht dies schon lokal und es gibt keine Unterscheidung mehr ob per Email gekommen oder nicht
VB Skript etc. kann man eventuell deaktivieren, ist aber wahrscheinlich mühsam auf jedem PC mit unterschiedlichen Betriebssystemen bzw. ist nicht klar ob dies zu Nebenwirkungen mit gewisser Software führt.
Virenscanner haben sehr niedrige Erkennungsraten, da die Skripts dynamisch aufgebaut werden mit zufällig generierten Variablennamen. Definitionen gibt es dafür nicht und die Heuristik scheitert oft daran, dass die Dinger erst verzögert bzw. in der Sandbox gar nicht aktiv werden.

Wenn man nicht Drittanbietersoftware am Exchange installieren will (in vielen Fällen ist man heilfroh, dass das Mistteil auch so läuft), gibt es nur die Möglichkeit TLS unterwegs aufzubrechen. Ich sehe da auch absolut keine Gefährdung, da die Transportverschlüsselung für Emails meistens sowieso unnötig ist bzw. sich sehr einfach aushebeln lässt, da Zertifikate grundsätzlich nicht überprüft werden.

Mich verunsichert das ganze etwas, gut, gesetzt dem Falle, dass keine Lücke im System ist kann man davon ausgehen, dass das System ohne Benutzeraktion sauber bleibt.

Irgendwie möchte ich da aber trotzdem noch ein paar Informationen bevor ich mein Avast runterwerfe

Irgendwie möchte ich da aber trotzdem noch ein paar Informationen bevor ich mein Avast runterwerfe

Dass niemand abseits der Antivirenindustrie selbst ihren Lösungen traut, sollte eigentlich auch schon Information genug sein.

Dieses Paper sollte man in dem Zusammenhang definitiv gelesen haben: https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ion.pdf

Aktuell ist die mit Abstand größte Gefahrenquelle die Kryptotrojaner. Das Gefährdungsszenario sieht meistens so aus:
Kryptotrojaner kommt gezippt als VB Skript oder ähnlichen Skriptsprachen per Email.
Applocker auf den Clients ist dagegen eine gute Hilfe.

Seit dem kostenlosen Upgrade auf Win10 habe ich keinen extra Virenscanner mehr bei mir laufen und nutze nur noch den Windows Defender. Der nervt nicht mit Werbung o.Ä. und bei Mails und Downloads sollte man ohnehin immer sein Hirn benutzen.
Andere Wege gibt es ja kaum, die einem im Alltag wirklich gefährlich werden können.

angesichts heutiger gesetzlicher Anforderungen, welche ohne (aktuelle) Updates, Virenscanner und Firewall schnell mal den Anwender als "mitverantwortlich" ansehen.falsch, man selber ist grundsätzlich immer für sich und somit auch seinen Rechner verantwortlich. Wer damit was anrichtet (z.B. wen anders infiziert), der ist haftbar. Wenn das Gericht dann feststellt, daß man sich durch Unterlassen zumutbarer Schutzmaßnahmen grob fahrlässig verhalten hat, dann hat man den Salat. Aber ob diese grobe Fahrlässigkeit unbedingt durch ein Antivirenprogramm vermieden werden muß, ist nicht so klar. Wer z.B. aus Sicherheitsgründen Linux benutzt, hat auch schon ein gutes Argument, oder wer zeigen kann, daß er regelmäßig Passwörter wechselt, eMails nur im Textmodus öffnet usw., also allgemein ein sicherheitsbewußtes Verhalten an den Tag legt, müßte den Richter auch überzeugen können, daß er nicht grob fahrlässig gehandelt hat. Kommt letztlich auf den Einzelfall an.

Aber nach wie vor ist die eMail mit Abstand das größte Einfallstor für Schund aller Art, und der Großteil aller Mails sind sinnloser Mist. Warum die Welt darauf nicht mal verzichten kann, oder das nicht wenigstens mal grundlegend renoviert wird...

Interessant, dass du regelmäßiges Wechseln von Passwörtern als sicherheitsbewusst ansiehst. Das NIST rät mittlerweile explizit davon ab. Klar, andere Ländere, andere Sitten, aber Forward Secrecy durch regelmäßiges Wechseln von Passwörtern ist ja auch eher nicht wirklich praktikabel. Du müsstest immerhin deine Intervalle zum Wechseln der Passwörter der Rechenleistung aktueller GPUs anpassen und man müsste wissen, ob und welcher Password Hash benutzt wird. Insofern eher eine fragwürdige Empfehlung.

Das ist eben alles ein heikles Thema. Wer garantiert mir, dass die Sicherheitslücke nicht gerade im Antivirenscanner war, wodurch ein Rechner infiziert wurde? Oder im TCP-Handler der Firewall? Und was macht GNU/Linux aus der Box heraus sicherer als Windows? Ist ein GNU/Linux mit glibc überhaupt als sicher anzusehen oder muss ich musl benutzen, damit mein System als „sicher“ durchgeht? Muss ich für jede Anwendung SELinux-Regeln definieren, damit ich sagen kann, dass mein System „sicher“ ist?

Ich würde zwar auch eher dazu tendieren, dass jeder für sein System selbst verantwortlich ist, aber in den allermeisten Fällen ist nicht so klar, wo man die Grenze zieht. Bei Geräten und Software, die nicht mehr vom Hersteller unterstützt werden, kann man sich natürlich einfacher ein Urteil darüber bilden, aber bei einem aktuellen System finde ich das schon schwieriger.

Nachdem mich Avast, das ich lange genutzt habe, nur noch nervte, bin ich auch weg. Der Artikel und die Info (die letzte Woche auch erwähnt wurden im Internet) haben mir den Schritt erleichtert (y)

23 von 40 Antiviren-Programmen höhlen https-Verbindungen aus und ...
Seit wann ist eine https Verbindung sicher? Erzähle du noch allen sie sollen ihre Antivirensoftware abschalten, weil https ja so sicher ist. Und morgen startet von denen nicht ein Rechner mehr. Die Studie ist völliger Bullshit, 17 Programme in dieser Liste überwachen den https Datenverkehr nicht und so können Rechner verseucht, oder gezielt manipuliert werden. https schützt vor nichts! Ihr schenkt MS eure Daten hegt aber gegen Antvirensoftwareentwickler Abneigung? Eine echt komische Auffassung. Das Gejammer stammt von den Google- und Chrome ähnlichen Firmen...fragt euch mal wer das ist.

TLS ist überhaupt nicht sicher, nur soviel dazu. Wer so einen Scheiss glaubt weiss nicht worüber er redet. Gegen selbst geöffnete Emailanhänge gibt es keinen adäquaten Schutz, ausser man löscht den Krempel ohne ihn zu öffnen. Ob dieser jetzt verschlüsselt übertragen wird oder nicht, interessiert den Inhalt nicht und genau deshalb wird er geprüft. Die per TLS versendeten Session-Cookies wurden schon in 2011 geknackt und erlauben so den Datenstrom abzufangen um sich so als Inhaber bestimmter Quellen auszugeben oder als Accountinhaber selbst.

Applocker auf den Clients ist dagegen eine gute Hilfe.

Das Problem ist, dass gewisse Anwendungen ausgeführt werden sollen, wenn sie aus einer seriösen Quelle stammen und darunter fällt z.B. auch die Installation von Treibern, die auf der Herstellerseite zum Download angeboten werden ohne dass man diese jetzt explizit definieren muss.

Das Kernproblem ist einfach, dass Emails keine sichere Quelle sind und man von diesen keine aktiven Inhalte zulassen möchte selbst als Umweg über zip Dateien und selbst wenn die Übertragung verschlüsselt ist.

Abgesehen davon ist es immer besser schadhaften Code gleich abzuweisen statt nur die Ausführung zu verhindern und ewig im Postfach zu lagern.

Nachdem mich Avast, das ich lange genutzt habe, nur noch nervte, bin ich auch weg. Der Artikel und die Info (die letzte Woche auch erwähnt wurden im Internet) haben mir den Schritt erleichtert (y)
Avast ist das sicherste kostenlose Programm das man überhaupt bekommen und installieren kann, es ist klar eine Empfehlung unter den kostenlosen Virenschutzprogrammen - empfehlen kann man auch den Bitdefender Free [https://www.bitdefender.com/solutions/free.html]. Der Microsoft Defender hat nicht mal die halbe Schutzwirkung solcher Programme und belastet dazu auch noch die Schnelligkeit unter Windows 10.

Die meisten kostenlose Programme überwachen den TLS Datenstrom überhaupt nicht, Avast schon. Du kannst gerne lesen wie das passiert:
Avast is tightly integrated with the operating system. It can see when the browser is about to make a connection to a HTTPS server. When this happens, Avast Web Shield takes over the handshake and connects itself to the server. When the server sends its certificates, Web Shield verifies them against the Windows System Certificate Store – the same list of trusted certificates that Internet Explorer, Chrome, Opera and other programs use. Web Shield scans the flow of the data connection, and after verifying that the communication is secure, hands over the connection to the browser.

https://www.avast.com/de-de/faq.php?article=AVKB190

@Gast: Du hast das Problem offenbar nicht verstanden.

Wieder ein Grund mehr dass ich mit meiner Einstellung zu Antivirussoftware nicht so falsch liegen kann. Seit Jahren verwende ich diesen Müll nicht mehr. Boardmittel und etwas Hirn reichen völlig aus.

Wieder ein Grund mehr dass ich mit meiner Einstellung zu Antivirussoftware nicht so falsch liegen kann. Seit Jahren verwende ich diesen Müll nicht mehr. Boardmittel und etwas Hirn reichen völlig aus.
Das kannst du von dem Grossteil aber nicht verlangen, das ist volles Risiko was ihr hier empfehlt. Ihr tut ja gerade so als müsste man jeden Tag zig oberwichtige Dateien übertragen die der NSA gehören. Die lesen das sowieso mit, ob ihr wolt oder nicht.

Der Grossteil weiss nicht mal was sie in der Adresszeile des Browsers eingeben müssen um eine verschlüsselte Verbindung aufzubauen und solche Empfehlungen wie MS-Defender sind völliger Schrott. Der erkennt nicht mal die Häfte der derzeit im Umlauf befindlichen Viren, Malwareschutz bietet der gleich NULL. Ich habe die letzten paar Wochen zig solcher Rechner säubern dürfen, weil Golem schon im Dezember berichtete Virensoftware ist einfach Müll, braucht man nicht. Es dauert keine 10 Minuten eingelockt und die haben solchen Mist auf dem Rechner, hunderte Popupfenster die sich öffnen, Datenströme die umgeleitet werden und und und.

Sowas zu empfehlen ist Harakiri für die meisten...immerhin ist eure Seite öffentlich präsent. Dann solltet ihr sowas klar kennzeichen mit: "auf eigenes Risiko"!

Ich meine ihr braucht das hier immer so sicher, aber wenn ich die Browser-Konsole öffne und in Netz klicke, werde ich mit gemischten Inhalten über zig Adressen vermittelt.

GET - http://rcm-de.amazon.de/e/cm
GET - http://fls-eu.amazon-adsystem.com/1/associates-ads/1/OP/

Der Bereich wird klar als unsicher eingestuft. Wasser predigen und Wein saufen...

Das kannst du von dem Grossteil aber nicht verlangen, das ist volles Risiko was ihr hier empfehlt. Ihr tut ja gerade so als müsste man jeden Tag zig oberwichtige Dateien übertragen die der NSA gehören. Die lesen das sowieso mit, ob ihr wolt oder nicht.

Wie gesagt, du verstehst das Problem offenbar nicht. Du gehst ja nicht einmal auf die Artikel von Leonidas und Co. ein.

Ist übrigens bezeichnend, dass du denkst, dass das irgendetwas mit der NSA zu tun hat. Nein, hier geht es um ganz alltägliche Dinge.

Ich meine ihr braucht das hier immer so sicher, aber wenn ich die Browser-Konsole öffne und in Netz klicke, werde ich mit gemischten Inhalten über zig Adressen vermittelt.

GET - http://rcm-de.amazon.de/e/cm
GET - http://fls-eu.amazon-adsystem.com/1/associates-ads/1/OP/

Der Bereich wird klar als unsicher eingestuft. Wasser predigen und Wein saufen...

Was hat das eine mit dem anderen zu tun? Weil nicht alle Webseiten TLS benutzen, ist es ok, dass Antivirenscanner den gesamten TLS-Stack brechen?

Der Grossteil weiss nicht mal was sie in der Adresszeile des Browsers eingeben müssen um eine verschlüsselte Verbindung aufzubauen und solche Empfehlungen wie MS-Defender sind völliger Schrott..

Dieser Satz liest sich vollkommen verwirrt. Weißt du, wie TLS in Browsern funktioniert? Ist dir HSTS ein Begriff? Praktisch jeder Webserver leitet dich übrigens automatisch auf HTTPS um.

Ehrlich gesagt habe ich das Gefühl, dass manche sich in der Rolle des Nerd-aus-der-Nachbarschaft zu wohl fühlen und nicht damit klarkommen, dass ein Windows aus der Box heraus sicherer ist als es ihr Virenscanner jemals machen könnte. Dieses aggressive Verteidigen von schlechten Entscheidungen bei der Rechnersicherheit gegen jede Vernunft sollte bei jedem Alarm schlagen lassen. Hier geht es vielleicht einigen gar nicht um Rechnersicherheit, sondern nur darum ihren Status als Nerd und Orakel bei PC-Fragen zu wahren.

und solche Empfehlungen wie MS-Defender sind völliger Schrott. Der erkennt nicht mal die Häfte der derzeit im Umlauf befindlichen Viren, Malwareschutz bietet der gleich NULL.

So wie auch jeder andere Virenscanner.
All diese Scanner erkennen grob nur die Hälfte der Viren, die Gefahr ist nicht den MS Defender zu empfehlen, sondern einen anderen Scanner zu empfehlen und glaubhaft zu machen dass dieser zusätzlichen Schutz bietet.

Im besten Fall verringert er immerhin nicht die Sicherheit.
Systemsicherheit kann auch immer nur die Aufgabe des jeweiligen Betriebssystems sein, Drittsoftware hat hier nichts verloren.

Was hat das eine mit dem anderen zu tun? Weil nicht alle Webseiten TLS benutzen, ist es ok, dass Antivirenscanner den gesamten TLS-Stack brechen?

Dieser Satz liest sich vollkommen verwirrt. Weißt du, wie TLS in Browsern funktioniert? Ist dir HSTS ein Begriff? Praktisch jeder Webserver leitet dich übrigens automatisch auf HTTPS um.
Du willst mir erzählen das du Phishingattaken mitbekommst, ehrlich erzähl das dem Weihnachtsmann. Du kennst nicht mal die IP Adressen die in dieser Liste stehen, vor allem kannst du sie dir nie merken das sind tausende. Eine Verschlüssung kann nur sicher sein, wenn es sich auch um verschlüsselten Inhalt handelt und zwar insgesamt, nicht die Hälfte. Wenn ich diese Seite aufrufe werden gleich mehrere Cookies abgelehnt und als unsicher eingestuft.

Zum Beispiel wird diese IP geblockt http://52.28.163.57/, du kannst sie ja gerne in deine Adresszeile eingeben, viel Spaß damit. Sie gehört zu amazon und wird als mit Malware infizierte Webressource diagnostiziert.

Zertifikate werden für alles und jeden ausgestellt, besonders bei StartCom, grundsätzlich kann jede Zertifizierungsstelle Zertifikate für jeden beliebigen Hostnamen ausstellen. Wahrscheinlich haben sie das Schlüsselpaar gleich mit erstellt. Es gab auch schon Fälle wo OCSP 3dcenter gesperrt hatte und der Zugriff verweigert wurde. Wenn die Zertifizierungstselle für den Browser während der Validierung nicht erreichbar ist oder die Stelle bereits kompromittiert ist, akzeptiert der Browser das Zertifikat sogar ungeprüft. Was soll daran besonders sicher sein? Zudem nutzt TSL ein Integritätsprotokoll indem es erst den MAC bildet und dann verschlüsselt, wobei man festgestellt hat, dass erst verschlüsseln und MAC bilden deutlich sicherer ist. Das ist der Arbeitsgruppe auch bekannt, nur machen tun sie dagegen überhaupt nichts.

@gast
Wenn kostenlose Antiviren Freeware die Hälfte der Viren erkennt, dann erkennt MS Defender davon nochmal "nicht mal die Hälfte". Genauso war das gemeint! Der Defender ist genau was du beschreibst, er täuscht Sicherheit vor.

Und seit wann ist Windows sicher?, da habe ich gerade in einem Lachanfall meinen Kaffee gegen die Bildschirm gehustet...lustig.

TLS bringt bezüglich Sicherheit direkt überhaupt nichts. Das dient lediglich dazu, damit der Datenstrom nicht abgehört werden kann. Es können sich indirekt weitere Sicherheitsgefahren ergeben z.B. wenn man sich in zweifelhaften WLANs herum treibt aber in der typischen vertrauenswürdigen Kette aus eigenem Firmennetzwerk, Provider und Zielserver gibt es hier wenig Gefährdung, wenn keine manipulierten DNS Einträge eingeschleust werden etc.

Was die Sicherheit jedoch direkt beeinträchtigt ist, wenn man eine Firewall hat, sich auf diese in seinem Sicherheitskonzept verlässt und dann merkt, dass diese großteils wirkunglos ist.

Wo ich voll und ganz zustimme ist, dass diese Funktionen in einem Virenscanner nichts verloren haben. Ein Virenscanner soll lokale Dateien überwachen aber Verbindungen generell nicht es sei denn es dient nur dazu eine Verhaltensanalyse zu erstellen um eine .exe Datei als gefährlich einzustufen (z.B. stellt beim Start eine Verbindung zu bekannten C&C Servern her).

die tls proxys lassen sich doch allesamt abstellen, ich weiss nicht wo das problem ist? das ist mal wieder klickbaiting vom feinsten.

avast=Einstellungen > Aktiver Schutz > Webschutz > Anpassen > HTTPS-Scanning aktivieren - Haken entfernen.

wahrscheinlich war da jemand zu faul sich mit der antivirensoftware mal tiefergreifender zu beschäftigen. tls ist nur so sicher wie die vertrauenswürdige gegenstelle.

wenn ich die ganzen emfehlungen bestimmter seiten umsetzen soll, die mir virenfreiheit garantieren, dann komme ich zu einem nicht mehr zum surfen und zum anderen werde ich von jeder zweiten seite abgelehnt oder inhalte lassen sich nicht öffnen, die seite funktioniert nicht. was soll das ?

das kann sich ja gerne jemand zu gemüte führen: https://www.bleib-virenfrei.de/

da kommt niemand mehr zum surfen und muss auch noch ein studium in was weiss abgeschlossen haben. das geht klar zu weit. da installiere ich für die wesentliche überwachung lieber eine software. die ist ganz sicher nicht vollkommen sicher, kann aber mithelfen.

Du willst mir erzählen das du Phishingattaken mitbekommst, ehrlich erzähl das dem Weihnachtsmann. Du kennst nicht mal die IP Adressen die in dieser Liste stehen, vor allem kannst du sie dir nie merken das sind tausende.

TLS liefert dir Vertraulichkeit, Integrität und Authentizität. Siehe auch den entsprechenden RFC unter Appendix F (https://tools.ietf.org/html/rfc5246#appendix-F). Es ist keine allumfassende Lösung gegen jede Art von Angreifer. Es ist eben eine Transportverschlüsselung. Du erzeugst einen Strohmann (TLS garantiert irgendetwas nicht, was du für wichtig hälst), um dann damit zu argumentieren, dass es dadurch insgesamt nicht wichtig und ein Antivirenscanner wichtiger sei.

Vielleicht, aber auch nur vielleicht, sind Transportverschlüsselung und Antivirenscanner zwei Konzepte, die parallel zueinander verlaufen? Du machst daraus scheinbar ein entweder-oder, aber du kannst (und solltest) natürlich problemlos auch beides haben können.

Warum sollte ich überhaupt von jemandem Ratschläge entgegennehmen, der das so durcheinanderwirft? Sei das jetzt der PC-Nerd-aus-der-Nachbarschaft oder ein Antivirenhersteller.

Gegen Phishing setze ich übrigens auf U2F, wo es möglich ist. Warum sollte ich gegen Phishing resistente Technologien durch einen löchrigen Antivirenscanner substituieren? Ich will keine Feel-Good-Lösung, die mir auf die Schulter klopft und sagt, dass alles gut wird. Ich will harte Garantien gegen klare Angriffsszenarien.

Eine Verschlüssung kann nur sicher sein, wenn es sich auch um verschlüsselten Inhalt handelt und zwar insgesamt, nicht die Hälfte. Wenn ich diese Seite aufrufe werden gleich mehrere Cookies abgelehnt und als unsicher eingestuft.

… und genau das zeigt dir dein Browser auch richtigerweise an. Vielleicht überrascht dich das, aber das Web als offene Plattform kann nicht mal eben von heute auf morgen komplett auf HTTPS migrieren. In der realen Welt muss man auch irgendwie damit klarkommen, dass es eine Migrationsphase gibt.

Zertifikate werden für alles und jeden ausgestellt, besonders bei StartCom, grundsätzlich kann jede Zertifizierungsstelle Zertifikate für jeden beliebigen Hostnamen ausstellen. Wahrscheinlich haben sie das Schlüsselpaar gleich mit erstellt. Es gab auch schon Fälle wo OCSP 3dcenter gesperrt hatte und der Zugriff verweigert wurde. Wenn die Zertifizierungstselle für den Browser während der Validierung nicht erreichbar ist oder die Stelle bereits kompromittiert ist, akzeptiert der Browser das Zertifikat sogar ungeprüft. Was soll daran besonders sicher sein?

Certificate Transparency ist dir ein Begriff?

Zudem nutzt TSL ein Integritätsprotokoll indem es erst den MAC bildet und dann verschlüsselt, wobei man festgestellt hat, dass erst verschlüsseln und MAC bilden deutlich sicherer ist. Das ist der Arbeitsgruppe auch bekannt, nur machen tun sie dagegen überhaupt nichts.

Du solltest dein Wissen vielleicht einmal etwas auffrischen. TLS 1.3 lässt nur AEAD-Ciphers-Suites zu, die das Problem nicht haben. Schon mit TLS 1.2 und einem halbwegs aktuellen Browser wäre es sehr seltsam, wenn du nicht sowieso auf den meisten Webseiten schon heute AES-GCM oder gar ChaCha20-Poly1305 benutzen würdest. Das sind beides AEAD-Ciphers-Suites.

Was du beschreibst, ist ein Problem, das z.B. auf AES-CBC zutreffen würde.

Wenn kostenlose Antiviren Freeware die Hälfte der Viren erkennt, dann erkennt MS Defender davon nochmal "nicht mal die Hälfte". Genauso war das gemeint! Der Defender ist genau was du beschreibst, er täuscht Sicherheit vor.

https://www.av-test.org/de/antivirus/privat-windows/windows-8/dezember-2016/avast-free-antivirus-2016-164813/
https://www.av-test.org/de/antivirus/privat-windows/windows-8/dezember-2016/microsoft-windows-defender-4.8-164847/

Wir reden hier nicht von der Hälfte oder einem Viertel. Wir reden von 98,6% vs. 99,7% in ausgesuchten Samples.

Und seit wann ist Windows sicher?, da habe ich gerade in einem Lachanfall meinen Kaffee gegen die Bildschirm gehustet...lustig.

Hi, Nerd!

wahrscheinlich war da jemand zu faul sich mit der antivirensoftware mal tiefergreifender zu beschäftigen. tls ist nur so sicher wie die vertrauenswürdige gegenstelle.

Und genau das ist das Problem: Wenn die Antivirenhersteller schon ihren TLS-Stack nicht unter Kontrolle haben, warum sollte ich ihnen dann mit dem Rest trauen? Avast bastelt immerhin sogar im Kernel rum.

@lumines
Lange rede kurzer Sinn - die TLS Proxy lassen sich in Anwendersoftware allesamt abwählen (das ist was heise/golem ausgelassen haben und nur das Ergebnis einer Studie nachplappern, die darauf nicht eingeht und sie mit journalistischer Dramatik ausschmücken um so viel wie mögliche Clicks zu bekommen) und auch alle anderen Argumentationen die man im www zu dem Thema findet, gehen darauf nicht ein.

Es liegt damit also (genauso wie du darstellst) nur am Anwender selbst, was er will und was nicht (und das sollte man ihm gefälligst überlassen; 100 Leute = 100 unterschiedliche Meinungen).

TLS ist nichts...und auch nicht sicher, wie jede Lösung hat sie Störpotentiale (darüber hat auch schon das BSI sinniert). Punkt. Ein Zertifikat kann nur so sicher sein wie seine Authenzität. Und da gibt es prägnante Fehlerquellen. Die Diskussion ist mir zu ermüdent wie immer, wenn du dich erst festgebissen hast und deinen Standpunkt als allgemeine Meinung interpretierst. Dein Strohmannargument läuf ins Leere. Hier kannst du gerne lesen, wie was geht: https://www.creating-web.de/wie-viel-sicherheit-bieten-ssl-zertifikate/ Windows ist nicht sicher, das bildest du dir ein und einen geschützten Stream im Firmenetzwerken zu überwachen ist Gang und gebe.

Und seit wann wird eine site mit mixed content vollverschlüsselt richtig angezeigt? Darauf gehst du zuerst überhaupt nicht ein und dann kommst du mit einer Migrationsphase! Den gesamten mixed content einer site über https auszuliefern bedeutet ihn nachträglich händisch zu bearbeiten oder zu korrigieren. Du kannst hier gerne mal in Unterforen klicken, ein Beispiel hatte ich schon aufgezeigt.

Du musst von mir weder was entgegennehmen noch etwas davon umsetzen. Der Rest steht schon weiter oben, schönen Tag noch...

@lumines
Lange rede kurzer Sinn - die TLS Proxy lassen sich in Anwendersoftware allesamt abwählen (das ist was heise/golem ausgelassen haben und nur das Ergebnis einer Studie nachplappern, die darauf nicht eingeht und sie mit journalistischer Dramatik ausschmücken um so viel wie mögliche Clicks zu bekommen) und auch alle anderen Argumentationen die man im www zu dem Thema findet, gehen darauf nicht ein.

Ich gehe doch darauf ein. Wenn die Antivirenhersteller schon ihren TLS-Stack nicht unter Kontrolle haben und bei den trivialsten Audits auf spektakulärste Art und Weise versagen, dann will ich diesen Code nicht auf meinem Rechner haben. Nur weil dir das Argument nicht passt, heißt das nicht, dass es nicht auf das Thema eingeht – nämlich die Inkompetenz der Antivirenhersteller oder deren Management.

TLS ist nichts...und auch nicht sicher, wie jede Lösung hat sie Störpotentiale (darüber hat auch schon das BSI sinniert). Punkt. Ein Zertifikat kann nur so sicher sein wie seine Authenzität. Und da gibt es prägnante Fehlerquellen. Die Diskussion ist mir zu ermüdent wie immer, wenn du dich erst festgebissen hast und deinen Standpunkt als allgemeine Meinung interpretierst. Dein Strohmannargument läuf ins Leere. Hier kannst du gerne lesen, wie was geht: https://www.creating-web.de/wie-viel-sicherheit-bieten-ssl-zertifikate/

Für dich ist es vielleicht ermüdend, weil deine Informationen über TLS scheinbar >10 Jahre alt sind und du erst einmal alles gegenchecken müsstest, um überhaupt über den aktuellen Stand sinnvoll diskutieren zu können.

Was soll mir dein Link überhaupt genau sagen? Dass der Autor genau wie du keine Ahnung von aktuellen Technologien wie HSTS oder HPKP hat, die genau gegen die dort angesprochenen Probleme helfen? Public Key Pinning scheint dem Autor vollkommen fremd zu sein, was nicht gerade für ihn spricht.

Musste übrigens kurz schnaufen, als ich SSL gelesen habe. Aus welchem Jahrzehnt stammt der Artikel?

EDIT: Der Artikel über IPv6 dort (https://www.creating-web.de/web-ueberwachung-durch-ipv6/) bereitet einem ja schon fast physische Schmerzen. Hat der Autor noch nie von den Privacy Extensions bei IPv6 gelesen? Schon 2011 waren die Privacy Extensions seit mindestens 10 Jahren in Windows aktiv. Von anderen Betriebssystemen ganz zu schweigen. Kein normaler Host mit IPv6 verbindet sich mit der per EUI-64 generierten Adresse ins Internet.

Windows ist nicht sicher, das bildest du dir ein […]

Na wenn du das sagst. Keine Ahnung von TLS, aber Hauptsache schön mit Behauptungen um sich werfen. Wir haben hier sicher gerade einen Experten erwischt.

[…] und einen geschützten Stream im Firmenetzwerken zu überwachen ist Gang und gebe.

Wenn ich oder das Unternehmen eigene Root-Zertifikate installiere, ja.

Wie gesagt, Strohmann. Du versuchst TLS irgendeine Eigenschaft zuzuschreiben, die es gar nicht garantieren soll, um dann damit zu argumentieren, dass es dadurch insgesamt unsicher sei.

Und seit wann wird eine site mit mixed content vollverschlüsselt richtig angezeigt? Darauf gehst du zuerst überhaupt nicht ein und dann kommst du mit einer Migrationsphase! Den gesamten mixed content einer site über https auszuliefern bedeutet ihn nachträglich händisch zu bearbeiten oder zu korrigieren.

Mixed-Content wird richtigerweise als unsicher angezeigt. Keine Ahnung, was du genau sagen willst.

Na wenn du das sagst. Keine Ahnung von TLS, aber Hauptsache schön mit Behauptungen um sich werfen.
...und du hast dann keine Ahnung von Antivirensoftware.

Strohmann gegen Strohmann!

Du solltest dich mal damit beschäftigen wer auf welchen TLS Versionen unterwegs ist. Vielleicht - aber auch nur vielleicht - ist dir aufgefallen das es in 2015 einen Angriff gab, Freak Angriff genannt, der Schlüssellängen korrumpierte. Auch 2014 gab es bereits erfolgreiche Angriffe auf das Protokoll, die auf Sicherheitsschwächen beruhen. Mit einer neuen Version ist erst ab Mitte 2017 zu rechnen. Die alten stammen von 1999 und 2008 ab und beruhen auf SSL.

Was er mit mixed content sagen will? Eine Seite ist dann nur teilweise verschlüsselt und wovor ist man dann geschützt? Unverschlüsselter Inhalt ist dann für Sniffer zugänglich und kann durch Man-in-the-Middle-Angriffe verändert werden. Man müsste alle http Inhalte entfernen um als voll verschlüsselt zu gelten und das zeigt dir jeder Browser auch an. Dein Diskussionstil entbehrte vorab eigentlich jede weitere Antwort.

Die Nachricht/der Artikel als solches ist inhaltlich unvollständig und von 3dcenter kann man erwarten das dieses tiefgründiger recherchiert. Wenn sich die TLS Überwachung in Software abstellen lässt, liegt es letztlich am Anwender und seinen Wünschen. Nur wenn dies nicht möglich wäre, müsste man dies ausdrücklich kritsieren. Es ist aber nicht so. Hier werden Programe die den entsprechenden Funktionsumfang anbieten/enthalten aber schlecht geredet (unter dem Decknamen irgendeines User Nicknamen auf 3dcenter und einem imaginär rechtlichen Freiraum, weil angeblich ein Server in der Karibik steht!). Pressefreiheit genießt und bedeutet, sich in rechtlichen Schranken zu bewegen, was nichts anderes heisst als auch "wahrheitsgemäß" zu berichten und der Sache grundlegend auf den Grund zu gehen. Nur dann bliebe jegliche Zensur und Kritik ausgeschlossen. Soviel dazu...

...und du hast dann keine Ahnung von Antivirensoftware.

Strohmann gegen Strohmann!

Vielleicht noch einmal nachlesen, was damit gemeint ist: https://de.wikipedia.org/wiki/Typen_von_Argumenten#Strohmann-Argument

Vielleicht - aber auch nur vielleicht - ist dir aufgefallen das es in 2015 einen Angriff gab, Freak Angriff genannt, der Schlüssellängen korrumpierte. Auch 2014 gab es bereits erfolgreiche Angriffe auf das Protokoll, die auf Sicherheitsschwächen beruhen.

Ist mir aufgefallen, aber Export-Ciphers hatte ich nie aktiv. Vielleicht hat das euer SSL betroffen, aber halbwegs modern eingerichtete Server hatten damit kein Problem.

Falls du auf Heartbleed anspielst: Das war ein Implementierungsfehler in OpenSSL, keine Schwäche des Protokolls. Das macht die Sache nicht besser, aber von einer Schwäche im Protokoll zu sprechen, zeugt jetzt nicht gerade davon, dass du dich damit näher befasst hast.

Mit einer neuen Version ist erst ab Mitte 2017 zu rechnen.

Kein Problem, mit TLS 1.2 komme ich und der Rest der Welt bis dahin noch sehr gut aus. Ich beschränke mich sowieso auf AEAD-Cipher-Suites bei TLS 1.2, von daher halten sich die Neuerungen für mich mit TLS 1.3 in Grenzen. Mich interessiert eher die bessere Performance.

Falls ihr in eurer Agentur übrigens wirklich noch auf AES-CBC angewiesen seid: Kein Grund zur Panik. Mit TLS 1.2 kann man sogar das noch sicher benutzen, solange man den Fallback auf ältere TLS- oder gar SSL-Versionen (die mittlerweile ja sowieso deaktiviert gehören) unterbindet.

Die alten stammen von 1999 und 2008 ab und beruhen auf SSL.

Womit du unterschwellig implizieren willst, dass TLS 1.2 ja gar nicht so weit von SSL entfernt ist und wenn man es nur genau so nennt, wird es automatisch genau so unsicher.

Du hast eine sehr seltsame Art zu argumentieren.

Was er mit mixed content sagen will? Eine Seite ist dann nur teilweise verschlüsselt und wovor ist man dann geschützt? Unverschlüsselter Inhalt ist dann für Sniffer zugänglich und kann durch Man-in-the-Middle-Angriffe verändert werden. Man müsste alle http Inhalte entfernen um als voll verschlüsselt zu gelten und das zeigt dir jeder Browser auch an.

Genau deshalb strafen praktisch alle aktuellen Browser Mixed-Content korrekterweise als unsicher ab. Was ist der Punkt, auf den du hinaus willst?

Dein Diskussionstil entbehrte vorab eigentlich jede weitere Antwort.

Du brauchst auch nicht zu antworten. Diese ganze Diskussion wirft sowieso kein besonders gutes Licht auf eure Agentur. Wahrscheinlich gehöre ich auch nicht zu eurer Zielgruppe, aber die Informationen auf eurer Webseite sind zu großen Teilen entweder veraltet oder schlicht falsch, genau wie deine Posts hier zu dem Thema.

Die Nachricht/der Artikel als solches ist inhaltlich unvollständig und von 3dcenter kann man erwarten das dieses tiefgründiger recherchiert. Wenn sich die TLS Überwachung in Software abstellen lässt, liegt es letztlich am Anwender und seinen Wünschen. Nur wenn dies nicht möglich wäre, müsste man dies ausdrücklich kritsieren. Es ist aber nicht so.

Kritikwürdig ist natürlich nur das, was dem Gast gerade in den Kram passt. Der Klassiker.

Hier werden Programe die den entsprechenden Funktionsumfang anbieten/enthalten aber schlecht geredet (unter dem Decknamen irgendeines User Nicknamen auf 3dcenter und einem imaginär rechtlichen Freiraum, weil angeblich ein Server in der Karibik steht!). Pressefreiheit genießt und bedeutet, sich in rechtlichen Schranken zu bewegen, was nichts anderes heisst als auch "wahrheitsgemäß" zu berichten und der Sache grundlegend auf den Grund zu gehen. Nur dann bliebe jegliche Zensur und Kritik ausgeschlossen. Soviel dazu...

Dein bevorzugter Antivirenscanner hat kein Anrecht auf eine unkritische Betrachtung, nur weil dir die Art der Beurteilung gegen den Strich geht.

Interessant, dass du regelmäßiges Wechseln von Passwörtern als sicherheitsbewusst ansiehst. Das NIST rät mittlerweile explizit davon ab. Klar, andere Ländere, andere Sitten, aber Forward Secrecy durch regelmäßiges Wechseln von Passwörtern ist ja auch eher nicht wirklich praktikabel. Du müsstest immerhin deine Intervalle zum Wechseln der Passwörter der Rechenleistung aktueller GPUs anpassen und man müsste wissen, ob und welcher Password Hash benutzt wird. Insofern eher eine fragwürdige Empfehlung.


Ein wesentlicher Grund dafür ist aber, dass verordnete Passwortwechsel deswegen kontraproduktiv sind, weil man so schwache Passwörter (weil leichter zu merken) und sicherheitstechnisch unerwünschtes Verhalten wie z.B. Merkzettel fördert.

Solange das Passwort einigermaßen gut gewählt ist, geht aber die Hauptgefahr üblicherweise von Hacks in Verbindung mit Sicherheitslücken aus, da hilft dann auch ein gutes Passwort oft nicht mehr viel.
Entscheidend ist dann eher, dass der Angriff veröffentlicht wird, damit der Nutzer weiß, dass er doch mal sein Passwort ändern sollte und der Betreiber hoffentlich die Schwachstelle entfernt. *hust*Yahoo*hust*