Microsofts Edge-Browser will Sicherheit "fundamental" verbessern

Microsofts neuer Browser Edge, der bekanntlich exklusiv mit Windows 10 kommen wird, bietet eine Vielzahl neuer Funktionen sowie eine stark überarbeitete Optik. Doch auch unter der Haube soll der ehemals als "Project Spartan" bekannte Browser ... mehr... Microsoft, Browser, Internet Explorer, Edge, Spartan, Spartan Browser, Ie, project spartan Bildquelle: Microsoft Microsoft, Browser, Internet Explorer, Edge, Spartan, Spartan Browser, Ie, project spartan Microsoft, Browser, Internet Explorer, Edge, Spartan, Spartan Browser, Ie, project spartan Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und was ist mit Silverlight? Zählt das als ActiveX? Chrome hat es breits (indirekt) rausgeworfen....
 
@StarCraft: Silverlight wird das gleiche Schicksal ergehen wie ActiveX
 
@dicks: Was ja eigentlich sehr schade ist
 
@-adrian-: Wieso? Fürs Web wirds doch schon ewig nicht mehr weiterentwickelt zudem ist es proprietär und hat so auch keine Überlebenschance. Vielleicht bei Sky Go. :D
 
@blume666: Amazon hat es auch im Einsatz, da es aktuell leider nicht alternativlos ist - abgesehen von Flash, was definitiv ein Abstieg darstellt. Aber HTML5 Video ist einfach noch nicht soweit.
 
@TurboV6: Wieso? Youtube und Netflix machen es doch vor. Wie viele andere auch.
 
@blume666: Naja mit etwas "Trickserei" bekommt man schon was ordentliches hin. Trotzdem ist HTML5 Video noch nicht soweit. http://en.wikipedia.org/wiki/Comparison_of_HTML5_and_Flash
 
@blume666: das wichtigste, das Video- und Audioformat, ist bis heute nicht einheitlich.
 
@StarCraft: Drei mal darfst du raten, über welche Schnittstelle Silverlight im IE angedockt hat.
 
@StarCraft: Bloß gut' dass das Zeugs rausgeworfen wird. Extrawürste im Netz brauch nun wahrlich nicht.
 
@wingrill9: Doch, Amazon Instant Video, Saturn und noch ein paar weitere Unternehmen ;)
 
@Knerd: Netflix. Bissl schräg, Amazon liefert HD nur noch mit Mozilla und IE.
 
@LivingLegend: Macht Netflix nicht HTML5?
 
@Knerd: nein.
 
@TurboV6: Ein Kumbel von mir hat weder Flash noch Silverlight auf seinem Macbook installiert und kann damit Netflix schauen ;)
 
@Knerd: das ist dann nur die Fallback-Variante, wie es auch die anderen machen - aber aktuell nicht empfehlen.
 
@Knerd: Amazon kann auch Flash. xD Die sind da Netflix alle ein wenig hinterher.
 
@blume666: Amazon kann Flash? :D Das ja geil :D Bei mir nutzt er immer Silverlight.
 
@Knerd: Jup, kannst du umstellen in den Optionen.
 
@Knerd: In den Einstellungen ist es bei vielen Nutzern auswählbar. Über diese Quelle funktioniert das Kodi-Plugin. Amazon verändert da in letzter Zeit immer mal etwas um die Nutzung zu behindern, es könnte also auch demnächst wieder eingestellt werden.
 
@Knerd: kann, wird aber nicht empfohlen. Silverlight ist da einfach die bessere Technologie.
 
Ob das Java Plugin dann noch funktionieren wird? Ich bezweifle es. Würde es auch net schade finden, aber gibt doch noch den ein oder anderen Anbieter (Hardware Distributor), der das hat.
 
@shadowsong: Dafür wird man dann ja sonst (vorerst, wer weiß wie lange) noch den ebenfalls mitgelieferten Internet Explorer nehmen können.
 
@DON666: der IE wird wahrscheinlich ähnlich lang wie XP noch überdauern... MS wird 2020 ankündigen dass 2030 endgültig Schluß ist, dann noch 10 Jahre verlängerten Support geben und 2050 werden dann Behörden so langsam mal anfangen ihre IE basierten Applikationen zu ersetzen :-)
 
@scar1: Vermutlich wirst du am Ende auch noch recht behalten.
 
Theorie hin oder her, in der Praxis kann man Vollidioten nur sehr eingeschränkt vor sich selber Schützen. "Wollen sie dieser Webseite erlauben, ihre Daten an Betrüger zu schicken? JA!!!" "Diese Datei ist vermutlich ein böser Virus. Wollen Sie sie wirklich ausführen? JA!!!"
 
Meine Gedanken zum Artikel.

Auf der Pro Seite steht:
+ Kein ActiveX
+ Läuft als App
+ 64 bit (endlich -_-)
+ vermutlich kein Java

Auf der Contro Seite steht:
- Kein ActiveX
- Evtl. kein Silverlight(?)

ActiveX ist für Privatmenschen, dass letzte was man vermutlich braucht, für Unternehmen (leider Gottes) heute noch unverzichtbar...

Warum "Kein Silverlight" auf der Contra Seite steht ist schnell erklärt, von Unternehmen wird Silverlight noch ganz gut genutzt, ein Beispiel wäre Saturn. Auch für Privatleute wäre es ein kleiner Verlust, da Amazon Instant Video darauf basiert.

Java hingegen wird kaum noch benutzt und wenn, auf Seiten, wo man sich eigentlich nie länger als 10 Minuten aufhält, bspw. Treibersuche.

Bei Flash bin ich mir nicht sicher, ob es als ActiveX zählt oder, wie bei Chrome, von jetzt an direkt eingebaut wird.

Ob Edge sich in Unternehmen durchsetzten wird, glaube ich daher für die nächsten 5-10 Jahre eher nicht...

Kurzum, es bleibt spannend :)
 
@Knerd: Java dockt über ActiveX an. Flash soll Edge nativ parsen anstatt als Plugin, wie in Chrome.
 
Adblocker, meinetwegen in Zusammenarbeit mit der Werbeindustrie, als Whitelist. 50% aller Viren kommen dir mittlerweile durch Werbung ins Haus!
 
@LivingLegend: Das Witzige ist, IE hatte einen Werbeblocker eingebaut. Ich hoffe, Edge kommt ihn dann auch noch. Ich benutz zurzeit einen, der systemweit blockt. Keine Werbung in Skype, keine Werbung in allen Browsern, das ist am einfachsten.
 
@Kirill: Hast du einen Link dazu? :)
 
@Knerd: hostblock.codeplex.com
 
@Kirill: hostblock ist genauso tot wie die gesame Codeplex-Umgebung.
 
@TurboV6: Solange es funktioniert ;)
 
@TurboV6: Es funktioniert auf Windows 10 ohne Abstürze oder abstruse Fehlermeldungen. Wie genau ist es also tot?
 
@Knerd: schau Dir mal den Quellcode an (sofern Du C# verstehst) - dann wirste sehen wie relativ anfällig die Anwendung ist.
host-Dateien werden eben gerne auch zur Entwicklung von Software genutzt und da würde hier einiges etwas negativ aufstoßen.
Und da es eben eine host-Datei ist sollte man das immer mit Vorsicht genießen :)
 
@TurboV6: Das ist doch gerade das nette an dem Tool, es ist OSS, also kann ich mir den Code anschauen und wenn es etwas älter ist ein paar Bugs rausbügeln etc. Daher sehe ich da jetzt kein Problem. Und das die hosts Datei auf Entwicklersystemen einen anderen Stellenwert hat als auf normalen System ist klar. Genau aus diesem Grund arbeite ich auch in einer VM und nicht auf dem Hostsystem.
 
@Kirill: ah, scheint von Dir zu sein - dem Name und Deinem Profil-Link zu folge. Prinzipiell eine gute Idee; aber tot im Sinne, dass der Code wirklich keine Meisterleistung und eher geschustert ist - offensichtlich auch keine Weiterentwicklung stattfindet ;-) Aber Hauptsache Paypal ist drin.
 
@Knerd: du hast soweit mit OSS; dabei sei gesagt, dass man Glück hat, dass Kirill eben MsPl gewählt hat und nicht BSD.
 
@TurboV6: Welche Weiterentwicklung? Was an Features fehlt? Werd mal konkreter, Weiterentwicklung ist keine Tugend für sich.
 
@TurboV6: Was macht jetzt die Ms-PL besser als BSD oder z.B. MIT?
 
@Kirill: ich kenn das Ding schon länger. Hast es selbst mal in einer IPv6 Umgebung verwendet, was zB bei einigen Kabel-Kunden einfach der Fall ist...? Da kommt kein positiver Trommelwirbel ;-)
Aber nun, bei 127.* hart im Code ist das jetzt nicht soooo überraschend ;-)
 
@Knerd: MIT und MsPL sind weitaus freier als BSD. Stichpunkt Weiterlizenzierung durch Weiterentwicklung und der "advertisement clause".
 
@TurboV6: Ok, in anderen Worten, es fehlt der IPv6-Localhost. Was passiert denn in einer IPv6-Umgebung? Wird einfach am 4er-Eintrag vorbei im Internet aufgelöst?
 
@TurboV6: Die MS-Pl habe ich wegen der Einfachheit gewählt. Ich will den Quellcode freigeben und kein Jura studieren. Allein die Präambel der GPL ist so lang, wie andere Lizenzen. Die BSD-Lizenz ist das intellegenter, aber immer noch länger, als nötig.
 
@Kirill: korrekt Du müsstest den aktuellen NetworkAdapter auslesen, die AddressFamily ermitteln und könntest danach selektieren ( aus .NET sicht).
 
@Kirill: ich bemängle nicht die Lizenz. MsPL bzw MIT ist super für solche Sachen!
 
@TurboV6: Und wenn der Adapter mit 4 und 6 im Internet hängt?
 
@TurboV6: Habe ich dir auch nicht unterstellt. Sondern wollte lediglich ein bizzel aus dem Nähkästchen plaudern.
 
@Kirill: darauf hab ich nun pauschal keine Antwort. Kann eine Netzwerkkarte überhaupt zwei aktive AddressFamiliys verwenden? Bei zwei Netzwerkkarten könnte es anders aussehen. Da weiß ich nicht, wie Windows hier priorisieren würde.
 
@TurboV6: Klar, ich habe hier ein Fenster mit einer Webseite über IPv4 und ein Fenster mit einer Webseite über IPv6 offen. Windows kann priorisieren, aber wenn der DNS-Eintrag auf IPv6 verweit, dann wird der Browser die Seite über IPv6 aufrufen. Aber ich guck mal, was sich machen lässt.
 
Ein schlanker schneller Browser ist nicht nur begrüßenswert sondern lange überfällig, aber ...?
"Wer Freiheit für Sicherheit aufgibt, wird beides verlieren?"

HTML5 ist nur Vordergründig (Werbetechnisch) Sicherer, man bezahlt diese Scheinsicherheit mit dem Gläsernen User und einer Vielzahl neuer Einfallstore und Alter die aus HTML4. ungelöst übernommen wurden.
Evercookie/ Tracking wird zum Standard, die Schutzmöglichkeiten werden ausgehöhlt/aufgehoben.
Eine kaum noch überschaubare Anzahl von Tags, erweitern die Angriffsfläche aus Anwendungen heraus, auch aus (scheinbar) völlig "sichern".
Mit HTML5 stehen APIs für den Zugriff auf Ortsdaten und Hardware wie Mikrofon oder die Kamera zur Verfügung (Medien Capture-API).
Mit der File API hat man Zugriff auf das gesamte Dateisystem.
Mit der Web Storage API können große Mengen an Daten ungefragt auf das System abgelegt und wahrscheinlich auch gestartet werden (Aus Wp-Anwendungen heraus).
Contacts Manager API hat zugriff auf gespeicherte Kontakte.
Browser der aus der Sandbox ausbricht, ist ein weiteres Szenario, das uns HTML5 bescheren kann.

Es wird gern und viel über die (auch für mich) vielfältigen und innovativen Verbesserungen von HTML5 gejubelt, aber wenn es um Sicherheit geht gibt es nur inhaltsleere Worthülsen und gebrochene Versprechen!
 
@Kribs: Das stimmt so nicht. Sicherheit geht immer auf Kosten vom Komfort, es geht gar nicht, beides zu haben. Was du meinst ist "Wer alle Freiheit für Sicherheit aufgibt". Sprich: es gibt immer einen Kompromiss, während beide Extreme scheiße sind.
 
@Kirill: Was stimmt nicht?
HTML5 ist sicherlich gut für vieles sogar genial außer für die Sicherheit, aber HTML5 ist eine Zwangsjake, eine Einschienenbahn, ein Gefängnis, also alles andere als die bisherige "Freiheit" im Netz!

Wer sich also in das HTML5 Gefängnis begibt, gibt die Freiheit auf und auch die Sicherheit!
Der/die/es verliert beides!
 
@Kribs: Wo ist HTML5 ein Gefängnis? Dass es im Gegensatz zu ActiveX/NPAPI/PPAPI platformunabhängig ist, oder was genau ist das Gefängnis?
 
@Kirill: Ich werde mich nicht auf Wortakrobatik einlassen, ansonsten rate ich dir dich zu informieren die nötigen Stichworte findest du in meinen Post (o6).
 
@Kribs: Nur ist das meiste davon Panikgemache. Evercookie hat mit HTML5 nichts zu tun und die Ortungs-API wird nur auf Nachfrage erlaubt. Ich sehe Möglichkeiten. Daher werd mal konkreter. Stell doch mal ein GANZ KONKRETES Szenario vor.
 
@Kribs: Hui viel Halbwissen....

Was haben bitte die HTML Tags mit Sicherheit zu tun? Auch ohne HTML5 kannst du BELIEBIGE Tags in HTML einfügen, dein Browser ignoriert sie nur. (Mit Frameworks wie AngularJS lässt sich daraus dann sogar was machen)
Alle neuen Tags sind von der W3C definiert und dein Browser weiß was er damit zu tun hat. Im Endeffekt ist aber jedes Tag nichts weiter als ein DIV mit voreingestellten Parametern (grade Dinge wie <main> <section> <footer>, alles das gleiche...) oder im Falle vom <video> Tag mit erweiterten Funktionen. Aber nichts was deine Sicherheit gefährdet.

Die APIs zum Zugriff auf Ortsdaten, Microfon etc gehen auch wieder NUR durch den Browser und die werden dich mit Sicherheit danach fragen. (Es sei denn du nutzt einen infizierten Browser aus einer dubiosen Quelle).
Wenn jemand auf die APIs ohne Frage zugreifen würde, würde wie bei Android auch, die Anfrage einfach nicht bearbeitet werden. KEIN Sicherheitsrisiko.

Die FileAPI hat mit NICHTEN Zugriff auf das ganze Filesystem, weil sie im Prinzip nur aus zwei Quellen die Daten bekommt. Das eine ist das <input> Tag welches IMMER den File-Dialog aus dem Betriebssystem öffnet und DANACH die File der File API zur Verfügung stellt. Die zweite Möglichkeit ist Drag & Drop auf den Browser...
Beides sind Nutzeraktionen die AUSSERHALB des Browsers ausgelöst werden und von daher auch kein Sicherheitsrisiko darstellen.

Web Storage API....die SessionStorage und die LocalStorage ist nichts weiter als ein Key-Value Speicher der NUR UND AUSSCHLIESSLICH Strings abspeichert. Da wird nichts ausgeführt und auch sonst nichts wildes gemacht. Im Prinzip ist das der Ort der Wahl für Cookies und Benutzereinstellungen (die sich super als JSON speichern lassen).

Von der Contact Manager API habe ich heute das erste mal gelesen, aber auch hier ist davon auszugehen, das nichts davon ohne Zustimmung des Benutzers durch den Browser von statten geht.

Und was hat die Browser-Sandbox jetzt bitte mit HTML5 zu tun?
 
@Draco2007: Sicherlich wirst du für die Beschwichtigung positive Votes bekommen, deshalb ist nachfolgendes für die, die sich ernsthaft und offen damit auseinandersetzen wollen.
Nun ich leg mich mal zurück und lass die ran die eindeutig Ahnung von der Materie haben (jedenfalls mehr als ich):

https://www.informatik.tu-darmstadt.de/fileadmin/user_upload/Group_SIT/Publications/Markus_Heinrich_-_Sicherheitsanalyse_von_HTML5.pdf

Das reicht bestimmt nicht zum Überzeugen, deshalb noch mehr Lektüre:

https://www.securenet.de/fileadmin/papers/HTML5-Security.pdf

Und weil aller Guten Dinge Drei sind, noch eine,

http://sfunke.pf-control.de/wp-content/uploads/2013/01/HTML5_Eine_Sicherheitsanalyse.pdf

Ich stelle mir gern die Frage, >>> "Wie wahrscheinlich ist es, das eine bekante Möglichkeit auch ausgenutzt wird?"<<<, ja Möglichkeit, nichts anderes hab ich behauptet!

Ach, noch eine Aufrichtige Entschuldigung an die die sich in Panik versetzt gefühlt haben, Schlaft weiter und Träumt recht schön.
 
Zumindest in der Usability ist er jetzt genau so schlecht wie Chrome. Kein Dropdown Menü der letzten eingetippten Webseiten, Favoriten ungeordnet und müssen erst wieder sortiert werden usw. usf.

Wenn der so bleibt dann tschö
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles