Vindoriel schrieb:
Da vertraue ich dem Virenscanner doch mehr als irgendwelche Heinis, die mir sagen, über Werbung kann nichts an Malware kommen.
Das ist gut für die Hersteller der Virenscanner, die ihr weitgehend nutzloses Schlangenöl nur an den Mann bringen, weil ahnungslose Nutzer ihrer Angstmacherei zum Opfer fallen. Sicher ist an den Virenscannern nur, dass False-Positives zum Geschäftsmodell gehören. Zuverlässigen Schutz bieten sie trotzdem nicht. Aber in guter Stockholm-Syndrom-Manier werden dann andere Leute, die auf die eklantante Verarsche hinweisen, von den Opfern dieses Betrugs als "Heinis" bezeichnet.
Natürlich ist jeder Webseitenbesuch potenziell gefährlich, weil du dabei im weitesten Sinne Programmcode und Daten herunterlädst und ausführst bzw interpretierst. Die Interpretation bspw. von HTML, CSS oder auch Bildformaten oder Videos sollte aber durch die sorgfältige Definition dieser Formate keine Möglichkeit bereithalten, Programmcode auf deinem Rechner auszuführen, denn dazu sind die Formate nicht gemacht worden. Wenn das doch möglich ist, dann nur über Sicherheitslücken, die entweder in der Definition der Formate versteckt sind (unwahrscheinlich), oder aber durch fehlerhafte Interpreter verursacht werden (leider nicht ganz so unwahrscheinlich). Beispielsweise sieht XML und damit auch HTML keine Tiefenbeschränkung für den DOM tree vor. Das bedeutet, dass der Interpreter aufpassen muss, nicht irgendwann einen overflow zu erzeugen. Solche Fehler sind fast immer sicherheitsrelevant, weil sie nicht selten mit ein paar Tricks ausgenutzt werden können, um Schadcode auszuführen. Deshalb wäre es wiederum unwahrscheinlich, eine derart offensichtliche Sicherheitslücke in einer der bekannteren HTML-Engines zu finden.
Auf der anderen Seite gibt es da noch Javascript. Das ist prinzipbedingt extrem sensibel, weil es Programmcode ist, der dir aus bekannter Quelle geschickt und dann auf deiner Maschine interpretiert und ausgeführt wird. Die Entwickler von Javascript-Engines sind aber nicht blöd und sich dieser Gefahr bewusst. Dafür gibt es diverse Techniken, z.B. sandboxing, um den Code in seine eigene Umgebung abzuschotten. Und natürlich gibt es keinen direkten Zugriff auf Syscalls usw. Klar, man kann per JS auch Mining-Scripte ausliefern und vom User ausführen lassen. Das ist auch Schadcode. Aber ohne Ausnutzung von Sicherheitslücken kann man keine Programme unentdeckt auf dem Rechner des Users installieren. Das ist schlicht nicht vorgesehen und wird aktiv vom Browser verhindert. Wenn es doch möglich ist, dann nur wegen einer Sicherheitslücke.
Ist eine solche Lücke wahrscheinlich? Vor gut 10 Jahren waren noch zahlreiche Plugins für Flash und Java-Applets verbreitet, die dafür bekannt waren, ein enormes Sicherheitsrisiko darzustellen. Das Prinzip ist dort ähnlich: Man lädt Programmcode auf den Rechner des Nutzers und führt ihn dort in einer sandbox aus. Diese sandbox war aber bei den Plugins offen wie ein Scheunentor. Das hat meines Wissens vor allem konzeptionelle Gründe; bei Java-Applets wird Bytecode ausgeliefert, der grundsätzlich sogar Hardware-Zugriff (etwa über OpenGL) ermöglichen sollte. Diese Komplexität dann aber sicher zu sandboxen ist einfach ultimativ schwierig bis unmöglich. Deshalb halte ich es für kaum vergleichbar mit Javascript, wo mir Fälle von breit ausgenutzten Sicherheitslücken nicht bekannt sind. Hundertprozentig sicher ist es natürlich nicht, doch bei bekanntwerden würde so schnell wie möglich gepatcht werden, möglichst bevor Exploits weiter verbreitet wären. Unwahrscheinlich, dass bei dir mal eine solche Lücke ausgenutzt wurde, wenn dein Browser nicht völlig veraltet war.
NoScript und co. können sinnvolle Ergänzungen sein, aus verschiedenen Gründen. Die bringen auch für die Sicherheit garantiert mehr als irgendwelche Virenscanner, die bei einer clever ausgenutzten Sicherheitslücke ziemlich sicher nichts mitbekommen. Und selbst wenn, dann wurde der Nutzer vorher durch zahlreiche false-positives darauf trainiert, die Warnung nicht ernstzunehmen.
Klar, Virenscanner können Mining-Scripte erkennen, weil die CPU-Last unnatürlich hoch geht. Bei herkömmlichen Werbescripten tut sie das aber eben auch manchmal. Das ist aber beides kein Sicherheitsproblem, bei dem Schadcode auf deine Festplatte gelangen kann und deinen PC verseucht. Wenn ein Werbescript DAS schafft, dann würde ich keinem Virenscanner zutrauen, diesen Schadcode ernsthaft und zuverlässig aufhalten zu können. Mehr als gefühlte Sicherheit können dir diese Programme prinzipbedingt kaum bieten. Und dass sie Mining-Scripte wegblocken ist ja ganz nett, aber das machen sie wohl nur, weil sie deine Kiste schon selbst mit entsprechender Software verseucht haben (vgl. Norton Crypto).
