Safari für Windows: Apple entschärft 'Teppichbombe'

@swissboy:hehe XD Bist wohl heut gut drauf, wie? Der erste Post zum Windows Update Prob. war auch son feiner Spruch. Aber wen wunderts? Heut mal wieder WOCHENENDE!

@superkroll: ... wenig geschlafen und Restalkohol!  :-)

@swissboy: Restalkohol?? Zu viel den Sieg der deutschen Mannschaft gefeiert?! :-)

@psykochris: Nein, ich bin Fussballmuffel.

@swissboy: also hast aus Frust gesoffen weil nix anderes kam?! :D

@swissboy: [Off-Toppic] Nee, im Ausgang aus Spass. [/Off-Toppic]

@Astorek: Ja, das Ding fühlt sich irgendwie "fremd" an... Gut finde ich lediglich, dass man den ohne Installation mal eben schnell ausprobieren kann, ohne sich sein schönes Windows mit dem Zeugs dichtzuballern.

@DON666: Naja, wird ja automatisch beim Update von iTunes mitinstalliert. Von daher würde ich das schon dichtballern nennen.

@vbtricks: Du bist doch wohl hoffentlich nicht dem Irrglaube verfallen, ich käme auf die wahnwitzige Idee, mir iTunes zu installieren, oder? Solche Äußerungen nehme ich persönlich...

@Astorek: Na wenigstens wissen die Windows-User jetzt, wie die Mac-User sich jahrzehntelang mit MS Office auf dem Mac fühlen musste. :-)

@t1m1: Hört, hört! :)

@t1m1: Tja wenn man zu blöd ist alternativen zu nutzen .

@ DON666: Na ja wenn du unter einfach verstehts das Apple auch noch 2 weitere Programme aufs System hämmert....

- gelöscht -

@angel29.01: ich

@F98: Genau das Gefühl hatte ich beim Lesen des Artikels auch. Ich kenne zwar Autobomben, Cluster Bombs, Luftminen etc., aber eine "Teppichbombe"?!? Ich weiß nicht... EDIT: Naja, "Bombenteppich" gibt's natürlich auch, die Teppichbombe findet Google aber im gesamten Web nur in Verbindung mit Safari, das scheint also eine neue Wortschöpfung speziell für Apple zu sein. Sollten die sich schnellstens patentieren lassen.

@F98: Das habe ich mir auch gerade gedacht. Die Herkunft des Begriffs "bombadieren" wird ja erklärt, aber wohre das "Teppich"? Steht irgendwo was von Carpetbomb oder rugbomb?!

@F98: Apropos Bombe: Kennst Du da Berufsmotto der Minensucher? - Wer sucht der findet, wer drauftritt verschwindet!  PS: Sorry, für Off-Toppic.

@DON666: iTeppichbombe - wenn schon, denn schon! xD

@Bösa Bär: "iBomb" ist marketingmässing griffiger, multilingual und besser zu merken!

@Bösa Bär: Wo du Recht hast... +

@swissboy: auf jeden! Nix geht über "Griffigkeit"! :-P

@C!own: Ich kann auf alle drei verzichten!  :-)

@swissboy:Konqueror? :-P

@swissboy: selber schuld :-P

@C!own: Opera?? Der zeigt Seiten, die Javascript verwenden, irgendwie eigenartig an.. Transparenzunterstützung funzt auch net so wirklich :S
Dann lieber den Feuerfuchs 3, der mittlerweile sehr ansehnlich geworden ist =)
@swissboy: Für dass du immer so "ernst" bist, machst du momentan einen sehr lockeren Eindruck ^^ Naja die EM verändert halt jedermann im Moment :-)
Und du bist also IE Nutzer? 6 oder 7 xD

@DeemienX: ... siehe [o1] [re:2]. Mit der EM hat es allerdings nichts zu tun, ich bin Fussballmuffel.

@ swissboy: jetzt mal im ernst, was kann einen an dem ie so faszinieren ? er ist langsam, kann ohne der mithilfe von webdesignern keine seiten ordentlich anzeigen und gilt als gefährlichster browser, von den restlichen mucken will ich erst gar anfangen. es ist wirklich jedem überlassen was er verwendet aber dennoch würde mich das interessieren. persönlich würde ich da eher noch den safari vorziehen.

__-"Opera?? Der zeigt Seiten, die Javascript verwenden, irgendwie eigenartig an.. Transparenzunterstützung funzt auch net so wirklich"__-
Kann ich nicht bestätigen. Transparenzen funktionieren einwandfrei. Sowohl Alpha-Transparenzen als auch png's mit Alphatransparenz. Und zum Thema JS: Was können die Browser dafür wenn Webseitenersteller zu dämlich sind dies gescheit zu programmieren?

@swissboy: Solange du nur einen dummen Satz in den Raum wirfst, kann man diesen Kommetar nur als dummen Trollversuch werten.

@tuon: Nein! Um nicht zu trollen habe ja ganz bewusst meinen Lieblingsbrowser nicht genannt!

@OSlin: Ganz ehrlich? Ok. Der IE ist gegenüber allen anderen Browser auf der Windows Plattform in einem Punkt überlegen, allerdings nur unter Vista. Er läuft als unpriveligierter Prozess in einer speziellen Umgebung. Dies erhöht die Sicherheit ungemein und bedeutet ein Sicherheitslevel das andere Browser nicht bieten können. Hinzu kommt noch die Unterstützung der neuen Vista Sicherheitsarchitektur und der neuen Sicherheitslevels. Weitere Infos dazu -> http://tinyurl.com/6h4nrv (heise.de)

@ DennisMoore: das der ie unter vista in einer art sandbox läuft ist mir bekannt und finde es auch gut.

@C!own: wer surft denn heutzutage mit einen Browser man seit ihr normal .

@ DeemienX: Was erzählst du denn da für einen Blödsinn. Meine JS und auch die transparenz Attribute funktionieren tadellos. Hingegen hat der Firefox3 sogar einen Rückschritt bei overflow:auto in Verbindung mit Listen gemacht. Damit der Firefox3 es dann kapiert muss man die CSS3 Befehle overflow-y:auto: overflow-x:hidden verwenden, genauso wie beim IE7, währrend die 2er Version einfach mit overflow:auto klargekommen ist, genauso wie Opera und Safari.

@cmaus@mac.com: aber den Inhalt der News haste schon gelesen oder?...

@cmaus@mac.com: Dir ist aber schon klar, dass man exakt das gleiche auch mit dem Feuerfuchs machen kann, ne? (Wenn auch nicht unbedingt zu empfehlen)

Lasst doch die Maus, sie ist halt in ihrer Mac Welt gefangen und kann sich nicht vorstellen, das man auf anderen Systemen seine Programme so einstellen kann wie man es gerne möchte.

@OttoNormalUser: Äh, man kann unter Mac OS seine Programme auch so einstellen wie man möchte? Ich frag mich manhmal wo so manche Leute ihr ganzes Halbwissen her haben...

@el3ktro: Es geht doch um Safari oder? Dann stell doch bitte in deinem Mac Safari mal ein, das du bei JEDEM Download erst bestätigen musst !! Ist vll. nur ein Missverständniss, ich habe ja auch keinen Mac und will auch keinen haben.

@OttoNormalUser: Ja, könnte ich so einstellen wenn ich wollte, ich finde es aber super praktisch das es nicht so eingestellt ist. In den ganzen News hierzu steht ja auch ausdrücklich das die VOReinstellung von Safari unter Windows einfach unglücklich gewählt ist. Das kann man und konnta man auch schon immer ändern, das Update hat nur die Voreinstellung geändert.

@el3ktro: Das geht aus allen bisher erschienenen News aber nicht hervor. Ich verstehe das so, das man zwar einen anderen Downloadort bestimmen konnte, aber Safari trotzdem immer ohne Nachfrage speichert und man das auch nicht ändern konnte. Wenn man das schon immer ändern konnte, macht Imho die ganze News und die Aufregung darum keinen Sinn.

@Bösa Bär: Deine Aussage verstehe ich, solange der Browser das macht, was verlangt wird, ist er gut, aber deine Bezeichnung für den Feuerfuchs... wtf?! :-)

@Bösa Bär: "eierlegende Wollmilchsau" ist wie die Bezeichnung "schweizer Taschenmesser" - kann alles - macht alles. Und swissboy hat mich mal darauf hingewiesen, das Firefox ein kleiner Bär ist (Wikipedia). Frage beantwortet?

@Bösa Bär: Achso... naja wieder was dazugelernt =)

@el3ktro: Was ist praktisch daran, wenn UNGEFRAGT Dateien aus dem Netz geladen werden?

@el3ktro: Verknüpfungen sind doch Verweise ZU einer Datei: ist also das gleiche, als ob ich die IEXPLORE.EXE im Verzeichnis selber ausführe. Wieso sollten also dll's, die ich auf dem Desktop ablege, geladen werden?? 0.o

@DeemienX: Ja das ist eine gute FRage. Teste es selbst: http://liudieyu.com/iesafari200806.2885391780966027/ Dort gibt es eine kleine DLL-Datei (schannel.dll) die vom Internet Explorer gebraucht wird. Lade sie dir auf den Desktop runter und starte den IE (über die Desktopverknüpfung). Der IE lädt dann nicht seine schannel.dll, sondern die schannel.dll vom Desktop und führt den darin befindlichen Code aus. Im Beispiel wird einfach Notepad gestartet. Das funktioniert nicht nur mit dem IE, sondern mit JEDEM Windows-Programm - man muss nur eine entsprechende DLL haben. Die uxtheme.dll z.B. wird von fast jedem Windows-Programm geladen. So, jetzt pack mal auf deinen Desktop eine uxtheme.dll mit dem Befehl z.B. die "Eigenen Dateien" zu löschen. Sobald der User irgendein Programm vom Desktopicon (oder auch im Startmenü) startet, wird Eigene Dateien gelöscht. Das ist eine FUMDANEMTALE, KATASTROPHALE Sicherheitslücke. Stell dir vor was passiert wenn man sich eine setup.exe runterlädt, die dann mit Admin-Rechten ausführt und die eine solche gefälschte DLL nachlädt - du hast dann VOLLZUGRIFF auf den Rechner. Oh man, und alle labern nur über den Safari. Klar, Dateien ungefragt runerladen ist doof, aber DAS ist einfach eine nur total krasse Sicherheislücke in Windows!

@OttoNormalUser: Dieses Verhalten ist ohne Zweifel fragwürdig. Safar unter Mac OS macht es aber genau so, dort werden Dateien automatisch in den Download-Stack heruntergeladen. Ich finds super praktisch, und unter Mac OS scheint das alles auch kein Problem zu sein.

@el3ktro: ich habe eben das beispiel von dir durchprobiert mit dem ergebnis dass der ie so startete wie er sollte und nicht notepad.
habe es mit einer desktop-verknüpfung und aus dem startmenü getestet, konnte aber nie den von dir beschriebenen effekt feststellen.

@eerie: Hast du die schannel.dll auf dem Desktop abgelegt und auch eine Verknüpfung zum IE auf dem Desktop? Ich habe es eben mit drei Kollegen probiert, bei allen dreien hat es funktioniert.

@el3ktro: ja, hab die schannel.dll auf den desktop gespeichert und danach eine verknüpfung zur iexplore.exe auf dem desktop gemacht - und nix ist passiert.
aso, als betriebsystem diente vista

@eerie: Obs unter Vista funktioniert weiß ich nicht, auf XP funktioniert es jedenfalls. Man muss dem User nur irgendwie eine manipulierte DLL auf den Desktop bringen und schon lässt sich jeder beliebige Code ausführen, u.U. sogar mit Admin-Rechten. Ich frage mich was sich MS dabei denkt das Programme ihren eigenen Code vom DESKTOP des Benutzers nachladen!?!? Was soll das?

@eerie: Ok hab mich grade nochmal schlau gemacht. Das Problem betrifft IE 6,7, und 8, unter XP und Vista. Der Beispiel-Exploit den ich gepostet habe funktioniert unter Vista aber nicht, das liegt anscheinend an der Art und Weise wie die DLL kompiliert ist. Frag mich ejtzt bitte nicht nach Details. Grundsätzlich besteht das Problem unter Vista auch, nur dieser Beispielcode ist eben auf XP beschränkt.

@eerie: Hab eben was gelesen das man unter Vista angeblich erst mit dem IE anfangen muss zu arbeiten damit er den Notepad nachlädt. Unter XP reicht es einfach den IE zu starten und Notepad kommt sofort. Probier das mal aus.

@el3ktro: nein, unter vista rührt sich gar nix.
habs nun auch mal unter xp getestet und zumindest bei einem nicht admin konto ist auch alles wie es sein sollte.
die lösung ist also ganz einfach ... aktuelles betriebssystem verwenden oder wenn man sich dem verweigert zumindest soweit mitdenken und nicht als admin unter xp arbeitet/inet surfen.

@eerie: Hmm naja ich weiß nicht. Es gibt auf heise.de und golem.de und auch in vielen englischen Foren jede Menge Leute bei denen das läuft. Entweder du machst irgendwas falsch oder du hast einfach nur Glück :-) Hier unter XP SP3 und IE 7 als Standardnutzer funktioniert es jedenfalls, und es gibt genug Leute bei denen es funktioniert.

@el3ktro: Ok, das bringt mich jetzt ins Grübeln: Ich bin gerade an der Arbeit und habe lediglich ein Windows XP mit eingeschränktem Benutzerkonto, habe die schannel.dll auf dem Desktop geladen und eine Verknüfung zum IE gemacht (Desktop). Direkt nach dem Ausführen der Verknüpfung öffnet sich Notepad :S
Ne echt kritische Sicherheitslücke, KEINE FRAGE. Jemand sollte M$ darüber mal informieren, weil das kann und darf einfach nicht wahr sein!

@DeemienX: Genau, das schlimme ist, das funktioniert nicht nur mit dem IE, sondern mit allen möglichen Programmen. Du musst nur wissen welche DLLs es nachlädt und musst dann eine entsprechend manipulierte DLL auf dem Desktop ablegen. In dieser DLL kann ja beliebiger Code drinstehen, und wenn der User dann auch noch z.b. eine setup.exe aufruft und mi Admin-Rechten startet schauts düster aus. Ich installiere gerade Vista in VirtualBox und werde das dort auch mal testen, das will ich jetzt schon genau wissen :-)

@alexkeller: Und? Was hat das mit Safari zu tun? Les mal meinen Beitrag weiter oben, DAS ist mal ne Lücke. Diese Lücke in Windows besteht schon Ewigkeiten und wurde erst durch den Safari jetzt richtig öffentlich.

@tuon: Warum?

@tuon: ja find ich auch.
man sollte den ordner schon frei wählen dürfen

@tuon: kann man doch eh? zwar nicht so einfach wie mit dem IE, Fx oder Opera, aber es ist möglich.

@solareffe: da lob ich mir doch glatt das runterladen ohne diesen viesen viecher und dem browser ist es auch egal ob er gleich speichern darf oder erst fragen soll. :-)

@solareffe: Verstanden habt ihr beide nix, iss aber auch egal für nicht Windowsuser.

@ OttoNormalUser: ich haben sehr wohl verstanden, nur dieses direkte speichern eines dowloads oder was auch immer tut meinem betriebssystem nicht weh. pech für windows und deren user wenn es so anfällig ist.

@gimpfenlord: Natürlich kann man den ändern - wo steht das man das angeblich nicht kann?

@el3kto: Außerdem landen Dateien aus dem Internet nun nicht mehr auf dem Desktop, sondern unter Windows Vista im Downloads-Ordner und unter Windows XP im Dokumente-Ordner. ____________ Da stehts

@gimpfenlord: ehmm....ich würde mal sagen, teste es selbst bevor du urteile fällst die du nicht zu 100% untermauern kannst. ich bin zwar auch kein freund von safari, aber dafür ein feind von vorurteilen (zumindest meistens)____den das was du da gerade zitiert hast, ist nur die STANDART einstellung, jedoch kann man die problemlos ändern__-habs mir nämlich extra installiert, nur um mir selbst ein "bild" davon zu machen

@el3ktro: Den Speicherort kann man ändern, aber ob eine Abfrage erfolgt oder nicht nicht. Siehe hier: http://www.winfuture.de/news,39478.html

@tk69: du widersprichst dir jedoch mit den zwei verschiedenen bildern, vorher behauptest du mit deinem ersten bild "http://www.dntl.de/acid3.jpg" dass der Safari unter MacOS X 100/100 schafft und jetzt schreibst du dass unter MacOS X und WinXP der Safari "nur" 75/100 schaffen. entweder hab ichs nicht verstanden und/oder du dich unglücklich ausgedrückt.

@tk69: Also nochmal. Die inoffiziellen Versionen von Safari heißen Webkit, die auf der webkit.org-Seite zu finden sind. Safari auf OSX schafft 75% wie auch unter Win XP. Neben Safari habe ich den aktuellen Webkit-Safari unter OSX installiert. Dieser schafft die besagten 100%. Webkit-Safaris gibts auch für Linux und Windows unter angegebener Seite. Habs jedoch nicht ausprobiert, weil für mich umständlich zu handhaben.

@tk69: asoooo. ok. danke dass du das nochmal für die dummen genauer erklärt hast. jetzt komm sogar ich mit.

@krauthead: macht nichts... :-)

@Kirill: Unter OSX kann mans einstellen. Wieso sollte es nicht unter Win gehen?