Am 26.03.2016 um 01:11 schrieb Alexander Ausserstorfer:
Am 25.03.2016 um 21:44 schrieb Raik Fischer:
Sicherheit ist immer relativ. Das eigene Verhalten hilft. Aber, "unser
Betriebsystem" ist es nicht wirklich. Zur Zeit nur, weil es keiner
kennt. Genauer betrachtet sind alle Tore offen. Ein "frustrierter
Programmierer" könnte maximalen Schaden anrichten.
Ganz so einfach sehe ich es nicht.
Was hier meiner Meinung nach extrem hilfreich sein kann ist doch
ausgerechnet die Transparenz, Einfachheit und Offenheit von RISC OS.
Solange es nicht möglich ist, Programme von außen ins System
einzuschleusen und dort _automatisch_ zu starten, kann erstmal rein gar
nichts passieren. Wenn natürlich der Anwender so dumm ist, ein
Schadprogramm per Doppelklick zu starten, schaut es schon wieder anders
aus.
Ein anderes Thema ist aber Java-Script. Da werden über Webseiten von
außen Programme ins System eingeschläust, die dann schon allein durch
Aufruf dieser Webseiten auf diesem System ausgeführt werden. Dieses
Konzept halte ich für bedenklich, weshalb ich auch schon immer gegen
Javascript war. Für mich gehört es eigentlich verboten. Programme
sollten möglichst immer serverseitig laufen und niemals auf der Seite
des Klienten. Allerdings weiß ich jetzt nicht genau, was mit Javascript
alles möglich ist und vor allem mit in Webseiten eingebettetem
Javascript. Dennoch:
Wir hatten neulich in der Arbeit plötzlich ein Schadprogramm am laufen,
das uns Exel-Tabellen verschlüsselte (locky:
https://de.wikipedia.org/wiki/Locky). Erst dadurch hatte ich bemerkt,
dass ich diese Schadsoftware auch schon nach Hause geliefert bekam. Ich
habe es durchgesehen. Es handelt sich anscheinend um eine einfache
Javascript-Datei. Mal abgesehen davon, dass diese unter RISC OS nicht
ausführbar ist, also nicht funktioniert, gehe ich davon aus, dass diese
Javascript-Datei selbst auf Rechnern mit MS-Windows erst einmal per
Doppelklick gestartet werden muss: Vom Anwender. Weil sie im Anhang von
E-Mails verschickt wird.
Bei MS ist ausgerechnet das Problem, dass man versucht, möglichst alles
vor dem Anwender zu verstecken. Die Leute bei uns in der Arbeit wussten
z. B. nicht einmal, dass es den Internet-Header gibt. Ist aber auch kein
Wunder, so kompliziert und umständlich wie der mit Outlock sichtbar zu
machen ist. Bei Messenger drücke ich nur auf einen Button - und schon
sehe ich alles. So kann ich die E-Mails besser prüfen. Und die Finger
von irgendwelchen Anhängen lassen. Den Anhang indessen kann man per Drag
und Drop 'mal ganz schnell einfach in einen Editor wie StrongEd oder Zap
ziehen und sich den Inhalt so genauer ansehen. Unter Windows geht das
alles nicht so einfach. Da sind standardgemäß selbst die Dateikennungen
ausgeblendet, so dass man gar nicht sehen kann, um was für einen
Dateityp es sich wirklich handelt.