Ich habe jetzt herausgefunden, dass Norton der Ansicht ist, auf https://forum.archaeologie.online würde Phishing betrieben, also versucht, an persönliche Daten der Nutzer zu gelangen, oder diese zur Ausführung schädlicher Aktionen zu verleiten.
Dass dem so sei, kann ich schon mal mit Sicherheit ausschließen. Hier werden keine persönlichen Daten abgegriffen. Das einzige, was man zur aktiven Teilnahme braucht, ist eine Mailadresse und ein (möglichst sicheres, am besten ausschließlich für diese Seite verwendetes) Passwort.
Ich habe daher bei Norton Widerspruch gegen diese Einstufung eingelegt. Mal sehen, ob das was nützt.
@kurti : Du kannst das Forum in Deiner Norton-Browser-Erweiterung auch manuell in die Ausnahmeliste eintragen, wenn Dich die Warnmeldung stört. Dann meckert die Erweiterung beim nächsten Mal nicht mehr.
vielen lieben Dank für deine umfangreichen Gedanken und deine Zeit, die deine Bemühung beansprucht hat.
All diese Recherchen hatte ich selber schon gemacht. Begonnen, als ich mich wegen der Adobe-Politik und mangelnder finanzieller Ressourcen gezwungen sah, auf einem alten OS X zu verharren.
Ich habe noch einen zweiten großen Desktop-Mac, den ich schon für den Zugang zu Elster mit einer höheren Version von OS X aufgerüstet habe. Aber der steht woanders und für eine parallele Verwendung stellt sich ein Platzproblem.
Ich schrieb schon, dass ich für meine Arbeit plane, auf Open-Source-Programme umzusteigen. Wenn ich mir da einen akzeptablen Workflow erarbeitet habe, ist mein Browser-Problem für die nächste Zukunft ohne zusätzliche Kosten aus der Welt. Bis ich dazu komme dauert es aber noch ein Weilchen.
Ganz herzliche Grüße und nochmals vielen Dank!
Barbara
Ich habe das auch erst heute bemerkt. Ich nehme an, das liegt an der eingeschalteten “Norton - Erweiterung”.
Bei näherer Untersuchung habe ich ebenfalls festgestellt, dass die Warnung nur das Forum betrifft.
Ich werde ebenfalls Widerspruch einlegen. Ich muß nur noch bei den “vorgegebenen” Kategorien zwischen “Alkohol” und “Dessous” die passende Bezeichnung finden.
Ansonsten stört mich die Warnung nicht. Mein Bankkonto kann eh jeder einsehen und das Manko begleichen, wenn er mag !
Von den 61 dort aufgeführten Lücken werden immerhin 47 mit einem hohen Risiko (CVSS Score) bewertet und eine als besonders kritisch eingestuft (CVSS 9,8 von 10). Mehrere dieser Lücken können ausgenutzt werden, um Programmcode auf Deinem Rechner auszuführen, wenn Du eine entsprechend präparierte Webseite besuchst.
Mir persönlich wäre dieses Risiko zu hoch.
Zwar kannst Du das Risiko einschränken, indem Du nur bekannte/vertrauenswürdige Webseiten ansteuerst. Ich weiß aber nicht, wie das realistisch gesehen durchzuhalten ist. Man sucht irgendwas bei Google und klickt ein Suchergebnis an - das ist dann häufig eben doch eine Seite, die man nicht wirklich kennt. Und selbst bekannte Webseiten können ein Risiko darstellen, wenn die Webmaster ihre Server-Software nicht aktuell halten, wie Du selbst als ehemaliger Betreiber eines attackierten Forums ja auch schon leidvoll erfahren hast.
Wenn für Dich kein Safari-Update möglich ist, würde ich Dir dringend raten, einen anderen aktuellen Browser zu verwenden. Auf Deinem System müsste die aktuellste Firefox Version 111.0 noch laufen, Firefox setzt derzeit als Mindestanforderung macOS 10.12 voraus.
Das Übertragen der Passwörter von Safari zu Firefox sollte ein lösbares Problem sein, z.B. habe ich hier eine Anleitung (englisch) gefunden.
Wie Du Lesezeichen und andere Einstellungen übertragen kannst, steht in folgender Anleitung:
Etwas Off-Topic, aber da ich vor einiger Zeit vor dem gleichen Problem stand:
Die Politik von Adobe, alle Benutzer ihrer Programme in ein Abo zu zwingen, wollte (und will) ich nicht unterstützen. Damit würde es nach Kündigung des Abos unmöglich die eigenen, selbst erstellten Dateien weiter zu nutzen. Deshalb habe ich vor 5 Jahren von Adobe zu den Programmen der Affinity-Suite von Serif gewechselt.
Die Affinity-Programme (gibt es auch für Mac) sind zwar keine Open Source Software, aber mit einem Preis von 200 Euro für alle drei Programme (einmalig) auf lange Sicht deutlich günstiger und nachhaltiger als ein Abo der entsprechenden Adobe Programme. Vor allem, wenn der Hersteller Serif seine bisherige Update-Politik beibehält (Updates innerhalb derselben Major-Version kostenlos). Ich habe erst vor kurzem für das Update von Version 1.x auf 2.0 bezahlt. Die in den letzten 5 Jahren erschienenen Updates waren kostenlos. Das nenne ich fair.
Den Wechsel habe ich bisher nicht bereut, ganz im Gegenteil finde ich die Alternativen zu Photoshop, Illustrator und InDesign sehr angenehm zu nutzen. Auch wenn die nicht zu 100% kompatibel sind, reichen sie für meinen Bedarf mehr als aus. PSD-Dateien lassen sich mit Affinity Photo öffnen und bearbeiten, auch viele Photoshop-Plugins lassen sich damit nutzen.
Affinity war mir (warum auch immer) in der Tat noch nicht bekannt. Bietet sogar Illustrator-Ersatz! Und soweit ich kurz recherchiert habe, scheint es sich wirklich zu lohnen, dafür 200 Euros abzuzwacken. Adobe kann mich damit weiterhin und wohl endgültig kreuzweise…
Ich bin mir jedoch nicht sicher wieviele Einträge Safari 14.1.2 betreffen oder alle Safaris die danach kamen. Und nirgends steht, ob das alte Lücken waren oder sie in neuen Funktionen sind, die überhaupt erst seit Safari 15 existieren. Daher ist die Anzahl 47 bzw. 61 schwer zu beurteilen. Wenn ich exakt nachSafari 14.1.2 suche kommen 3 Einträge, aber für Lücken die mit dieser Version geschlossen wurden.
Aber wie geschrieben geht das völlig am Problem vorbei. Mein Safari 14.1.2 wird ausgeschlossen, weil der Server (bzw. Discourse) ihn nicht mehr bedienen mag und das Thema “Sicherheit” nur vorgeschoben ist. Niemand sonst hat ein Problem damit. Weder Google, Amazon noch Banken.
Mit der Sicherheit des Server-Rechners hat der Browser gar nichts zu tun (ausser wenn der Server extra veraltetes SSL/TLS unterstützen müsste). Der Server-Rechner wird nicht sicherer, wenn ich einen anderen Browser nehme. Denn wenn der Server eine Sicheheitslücke hat, hat er sie nach meinem Wechsel immer noch. Und man kann solche Bugs in Webservern sogar ganz ohne Browser ausnutzen versuchen (z.B. wget, curl, libhttp, …).
Leider kann ich nicht wie Ihr bei Norton einfach einen Protest einlegen (und sie die Seite dann nach einer oberflächlichen Prüfung freigeben). Das würde ich gerne auch bei Discourse machen, damit sie meinen Browser doch akzeptieren…
Übrtragung auf FireFox hat ein große Funktionslücke: es gibt keinen Sync mit anderen Rechnern über iCloud (sondern über Mozilla und denen soll ich einfach so alle meine Passwörter anvertrauen?). Und die Anleitung fürs manuelle Übertragen (bei mir kam sie in Deutsch) funktioniert leider erst ab Safari 15.
mein Hinweis auf die Vulnerability Database war nicht dazu gedacht, den Ausschluss Deines Browsers durch Discourse zu rechtfertigen, sondern eher zum Nachdenken anregen, ob Du wirklich das Risiko eingehen willst, damit im Internet unterwegs zu sein.
Du hast recht, es könnte durchaus sein, dass einige der Sicherheitslücken mit zusätzlichen Funktionen neuerer Browserversionen eingeführt wurden. Ich habe da allerdings so meine Zweifel. Zumindest hatte ich in der Datenbank gezielt nach der Safari-Version 14.12 gesucht (über die erweiterte Suche) und dabei die genannten 61 Ergebnisse erhalten. Wenn es bei Deiner suche nur 3 sind, haben wir offensichtlich andere Suchparameter verwendet.
Wie dem auch sei - die Risikoabwägung liegt natürlich voll und ganz bei Dir.
Bezüglich der Passwort-Synchronisierung sehe ich ehrlich gesagt keinen Unterschied, ob Du diese über iCloud oder Mozilla vornimmst - es ist immer eine Frage des Vertrauens.
Bei Mozilla Firefox hättest Du - da Open Source - zumindest theoretisch die Möglichkeit, den Programm-Code zu überprüfen und festzustellen, ob (und wie stark) die Passwörter im Programm verschlüsselt werden, bevor sie synchronisiert werden. Bei Apple/iCloud ist das nicht möglich.
Ich persönlich vertraue da weder dem einen noch dem anderen. Passwörter werden bei mir aus Prinzip generell nicht über irgendwelche Clouds synchronisiert. Ich nutze wie schon erwähnt KeePass mit lokaler Passwort-Datenbank (die ich dann bei Bedarf per lokalem Netz auf andere Geräte transferiere.)
Um nun wieder zum eigentlichen Thema zurückzukehren:
Du hast völlig recht, dass die Sicherheit des Servers nichts damit zu tun hat, welchen Browser Du verwendest. Es ist nur - wie schon zu Beginn des Threads ausgeführt - so, dass ich zur Absicherung des Servers die Serversoftware zeitnah aktualisieren muss, wenn ich Hinweise erhalte, dass mit den neuen Versionen Sicherheitslücken geschlossen werden, von denen die aktuell verwendete Version betroffen ist.
Wenn mit neueren Versionen dann ältere Browser nicht mehr unterstützt werden, ist das eine Entscheidung der Entwickler, die ich gut oder schlecht finden kann - aber eben auch hinnehmen muss. Insbesondere dann, wenn ich letztlich die Software kostenlos nutze und keine große Möglichkeit habe, auf den Entwicklungsprozess Einfluss zu nehmen. Klar kann ich meinen Unmut darüber äußern, wie dies zahlreiche Discourse-Anwender im Forum der Entwickler ja auch getan haben. Oder wenn ich ganz viel Zeit hätte und mich wahnsinnig gut mit Ruby on Rails, Ember.js etc. auskennen würde, könnte ich einen Fork aufmachen und einen eigenen Entwicklungsstrang von Discourse weiterführen.
Allerdings sind meine Kenntnisse in diesen Sprachen nicht so tiefgreifend, dass ich mir das zutrauen würde. Dazu kommt, dass ich in diesem Fall auch alle künftig bekannt werdenden Sicherheitslücken selber stopfen müsste. Der Aufwand ist schlichtweg nicht zu leisten.
Kurz und gut: Ich würde Deinen Protest bei den Discourse-Programmierern ja durchaus unterstützen und Dir wünschen, sie würden ihre Entscheidung bezüglich der Unterstützung älterer Browser nochmal überdenken. Nur sehe ich dafür leider keine großen Erfolgsaussichten.
Der „OpenCore Legacy Patcher“ erlaubt für eine Reihe alter Apple Geräte ein Update auf „Monterey“ oder gar auf das aktuelle „Ventura“ – und schließt damit anscheinend auch Sicherheitslücken dieser alten Macs.
Ich habe leider noch keine Zeit gefunden, mich damit intensiv auseinanderzusetzen. Aber das klingt alles sehr vielversprechend.
