TotalCommander-MD5-Prüfsumme bitte immer angeben

Sir_SiLvA · Post by *Sir_SiLvA » 2005-06-05, 18:46 UTC

Seltsam ist das, wenn das so ein Kinderkram ist warum innerhalb von
12 (!!!) niemand jemals in der Lage war einen KeyFile-Genrator zu schreiben...
(davon abgesehen das jmd der behauptet die Routinen ausm TC
rauszunehmen einfach wäre zeigt wie wenig Ahnung er von der Materie hat...)

"Ich erkenne nur das, was mir beigebracht wurde, ansonsten hilft nur beten"
so funkt jedes AV-PRG...

mich wundert warum ICFU hier überhaupt noch postet,
da er 1. den meisten hier Dummheit unterstellt und
2. am TC eh nur rummeckert...
(oder sind alle Kölner so von sich selbst überzeugt ?

)

icfu · Post by *icfu » 2005-06-05, 19:01 UTC

Seltsam ist das, wenn das so ein Kinderkram ist warum innerhalb von
12 (!!!) niemand jemals in der Lage war einen KeyFile-Genrator zu schreiben...

Jahren? Habe ich davon gesprochen, daß ein K e y g e n für den TC Kinderkram ist? Nein, was soll also diese Plattheit?
Ich sprach von Cracks, aber dieser Unterschied ist Dir wohl nicht geläufig.

(davon abgesehen das jmd der behauptet die Routinen ausm TC
rauszunehmen einfach wäre zeigt wie wenig Ahnung er von der Materie hat...)

Du bist ein naives Dummerchen.

"Ich erkenne nur das, was mir beigebracht wurde, ansonsten hilft nur beten"
so funkt jedes AV-PRG...

Ah, ein Lichtblick, Du bist lernfähig.

mich wundert warum ICFU hier überhaupt noch postet

Z.B. um auf Deine Fragen zu antworten, die nicht weniger werden.

da er 1. den meisten hier Dummheit unterstellt und

Das unterstelle ich den allerwenigsten. Du liest sehr selektiv.

2. am TC eh nur rummeckert...

Nur ist schon mal grundsätzlich falsch und dazu noch völlig Offtopic in diesem Thread.

(oder sind alle Kölner so von sich selbst überzeugt ? )

Ich bin kein Kölner. Wenn Du wissen willst, wo das Rheinland liegt, schreib 'ne Mail an Konrad Beikircher, der wird Dich aufklären.

Icfu

Stance · Post by *Stance » 2005-06-05, 19:14 UTC

Hallo,
ich finde die Forderung richtig, die MD5-Prüfsumme der jeweils aktuellen TC-Installationsdatei in Zukunft immer zu veröffentlichen.
Ich hoffe, dass von Entwicklerseite intensiv über "Schädlichen Code" in Verbindung mit dem Total Commander nachgedacht wird.
Das es für H*cker (nicht du, Roman) nur eine neue Herausforderung ist, kann sein.
Aber jeder kann den TC Benutzen, wenn man den Nag-screen beim Aufstarten wegklickt!
Da braucht keiner einen Crack!
Im übrigen finde ich es nicht richtig, hier auch noch Links/Anleitungen zu zweifelhaften Seiten/Tools zu posten.
Da könnte icfu mehr Disziplin zeigen, bevor hier moderiert werden muss.
Wenn ich mir vorstelle, jemand könnte "Zombie Computer" mit einem bereits konfiguriertem TC unter seine Kontrolle bringen, läuft mir der kalte Schweiss aus.

Gruss
Stance

Sir_SiLvA · Post by *Sir_SiLvA » 2005-06-05, 19:19 UTC

Dazu brauch keiner den TC/Das TC-SetUp zu verwursteln
Da ist das versenden von Mails mit Topic "<denkt euch was aus>" und einer ausführbaren Exe
als Anhang viel Efiktiver wie die Vergangenheit gezeigt hat...

@icfu: ich lese (leider) jeden thread da Mensch im Feed Deine leider nicht ausblenden kann...

icfu · Post by *icfu » 2005-06-05, 19:35 UTC

@icfu: ich lese (leider) jeden thread da Mensch im Feed Deine leider nicht ausblenden kann...

Dann drück den Ignorebutton und spare Dir in Zukunft, mich mit direkten Anfragen zu belästigen. Dieser Thread hier wurde nicht von mir erstellt und wenn Dein RSS Reader nicht die Information anzeigt, wer das Posting geschrieben hat, brauchst Du wohl auch darin Nachhilfe.
Mannomann, warum habe ich Dich bloß von der Ignorelist genommen, ich dachte wirklich, es hätte sich was verändert bei Dir.

Icfu

icfu · Post by *icfu » 2005-06-05, 19:38 UTC

@Stance:
Das Problem ist, daß Du die unbequemen Seiten der Realität wegdrückst. Es ist FAKT, daß überall im Netz darüber diskutiert wird, wie man naive PC Anwender übertölpelt und es ist besser, daß Ihr Euch selbstständig informiert und Euch über die Gefahren bewußt werdet.

Dazu braucht es offensichtlich Schläge mit dem Zaunpfahl in Form von direkten Links zum Anfassen, durch Weglassen dieser Information ist nur den Angreifern geholfen, nicht den Opfern.

Icfu

Sven · Post by *Sven » 2005-06-05, 21:03 UTC

Neben den Prüfsummen gibt es auch noch die Möglichkeit, die Downloadarchive digital zu signieren. So könnte jeder Anwender ganz einfach in den Dateieigenschaften prüfen, ob das heruntergeladene Archiv wirklich von Christian kommt oder ob es nachträglich verändert wurde.

Post by *ghisler(Author) » 2005-06-06, 09:30 UTC

Interessante Idee - womit denn, mit PGP? Leider setzen das nur wenige Leute ein. Deshalb ist die MD5-Prüfsumme eine gute Idee, weil so zumindest bestehende TC-User vor dem Update die Prüfsumme checken können.

Sven · Post by *Sven » 2005-06-06, 09:43 UTC

Nein, mit einem Code Signing Certificate. Das erwirbst Du bei einer Zertifizierungsstelle (z.B. Verisign) und signierst damit die Archive. Die Signatur wird dann in den Dateieigenschaften auf jedem Windows-System angezeigt, zusätzliche Software ist nicht nötig. So mache ich es seit einem knappen Jahr.

Post by *ghisler(Author) » 2005-06-06, 10:13 UTC

Hmm, meines Wissens wird das nur von Windows XP unterstützt, korrekt? Lohnt sich denn die (doch recht teure) Ausgabe? Meines Wissens zeigt XP trotz Signatur immernoch eine Downloadwarnung an, oder?

icfu · Post by *icfu » 2005-06-06, 10:34 UTC

Auf jedem PC finden sich etliche dieser Zertifikate, in .cab-Dateien z.b. und mindestens die Hälfte davon ist abgelaufen. Der gleiche Müll begegnet einem im Netz, denn selbst selbst seriöse Seiten übertragen oft Zertifikate deren Datum längst abgelaufen ist, sei es, weil sie die Rechnung nicht rechtzeitig bezahlt haben oder weil der Zertifikatsaussteller gepennt hat.

Daß VeriSign Jamba gekauft hat und alleine deshalb nicht unterstützt werden sollte, versteht sich eigentlich auch von selbst. Ich erinnere auch noch an VeriSigns Mißbrauch der nicht zugewiesenen Domains vor zwei Jahren, als sie diese umgelenkt haben auf den hauseigenen Suchdienst, so daß man bei jedem Vertipper eine dumme Suchmaske erblickt hat.

Wenn, dann einen anderen Zertifikatsanbieter wählen, aber generell halte ich diese Zertifikate für Spielerei, u.a. deshalb, weil kaum ein Anwender weiß, was er mit diesen Zertifikaten machen soll und woran er erkennt, daß sie wirklich authentisch sind.

Icfu

Sven · Post by *Sven » 2005-06-06, 10:45 UTC

Die Anzeige von signierte Dateien wurde imho schon mit dem IE3 eingeführt. Probleme sollte es höchstens mit Windows 3.1 geben.

Ab XP SP2 wird beim Ausführen von heruntergeladenen Dateien eine Warnung angezeigt. Signierte Dateien bieten hier schon eine gewisse Vertrauensbasis, weil der Signaturersteller in diesem Dialog angezeigt wird und die Signatur auch überprüft werden kann. So kann der Anwender wirklich sicher sein, dass er eine unbeschädigte und virenfreie Datei heruntergeladen hat. Es gibt für Code Signing Certicates übrigens unterschiedliche Preise, Verisign würde ich auch nicht unbedingt empfehlen.

Zum Testen kannst Du Dir ja mal den UnSqueez herunterladen, der ist auch signiert.

Lupus · Post by *Lupus » 2005-06-06, 14:24 UTC

Die Nutzung von Zertifikaten wäre zwar auch ein gangbarer Weg.
Spätestens seit dieser Meldung im Heise-Newsticker: Vorsicht bei kostenlosen SSL-Zertifikaten,
bin ich von der Vertrauenswürdigkeit von Zertifikaten im Allgemeinen aber nicht mehr sonderlich überzeugt, egal ob kostenpflichtig oder kostenlos.

Ein Cracker könnte sich ein kostenloses Zertifikat besorgen und Vertraulichkeit vorgaukeln. Wenn der Anwender genau hinschaut, könnte ihm zwar auffallen, dass die Datei nicht von Ch. Ghisler signiert ist, die meisten überfliegen solche Meldungen aber eher, klicken OK und wiegen sich in trügerischer Sicherheit.

Ich bin daher weiterhin für die Veröffentlichung der MD5-Prüfsumme auf der Downloadseite, das ist für Christian die einfachste und billigste Lösung und relativ sicher.
Er muss es allerdings auch tun! ... die MD5-Prüfsumme veröffentlichen meine ich.

Lupus · Post by *Lupus » 2005-06-06, 19:38 UTC

Klarstellung:
Ich hatte in einem vorigen Beitrag den Begriff Cracker benutzt; dieser wurde offensichtlich falsch verstanden im Sinne von "Kopierschutzknacker".
Gemeint war von mir, Cracker im Sinne von "destruktiver Hacker". Ich benutze deshalb den Begriff Cracker, weil Hacker an sich nicht destruktiv sein müssen -- auch wenn das von vielen so geglaubt wird.
Siehe dazu auch: http://de.wikipedia.org/wiki/Cracker

Warum ist Sicherheit gerade beim TotalCommander wichtig?

Dateimanager wie der TC sind mächtige Werkzeuge, und viele User werden beim Neuaufsetzen eines Systems den TC als eines der ersten Programme installieren. Zusätzlich enthält der TC einen FTP-Client, Internetzugriff ist also auch ein Feature.

Ein manipulierter TC ist deshalb ein attraktives Wirtsprogramm, weil der Schadcode mit ihm sehr frühzeitig in das System kommt, quasi als "Fundament", und ein eher unbedarfter Anwender sich auch nicht wundert, wenn der TC ins Internet will -- sondern bei Anfrage der Personal Firewall auf "durchlassen" klickt.
Und schon haben wir einen Zombie-PC mehr im Netz.

Wer an solche Angriffsszenarien nicht glauben will oder kann, weil sein Horizont zu sehr eingeschränkt ist, muss sich in diesem Thread nicht beteiligen.

norfie · Post by *norfie » 2005-06-06, 20:29 UTC

Gemeint war von mir, Cracker im Sinne von "destruktiver Hacker".

Ach, so. Habe mich schon gewundert, was das Thema mit den leckeren Keksen zu tun hat.

Das Problem Sicherheit hat meist nur ein kleinen technischen Aspekt (MD5 sich zu wuenschen ist ok). Es hat vielmehr mit den Subjekten zu tun: diejenigen, welche Ihre PCs zu Zombies transformieren lassen, haben von MD5 keinen blassen Schimmer - diejenigen, die wissen wozu MD5 dienen kann, schaffen es auch ohne MD5 ihren PC sauber zu halten.