ich weiß, dass Du das bestreitest. Aber (sicherheitsrelevante) Updates sind im Gegensatz zu Sicherheitssoftware einer der, wenn nicht der wichtigste Baustein eines Sicherheitskonzepts. Never change a running system? Bullshit! Der Autor ist übrigens u.a. MVP.
Auszug:[box]
"Warum aber erscheinen Patches und Service Packs? Nur deshalb, weil im Herstellersupport festgestellt wurde, dass der ursprüngliche Code fehlerhaft ist. Das System ist also bereits kaputt – und daher muss es repariert werden!"[/box]
Das ist grundsätzlich richtig – nur sollte man genau hinschauen, was 'kaputt' ist. Sehr oft betrifft es Fehler, die erst mit neuen Versionen/Funktionen eingeschleppt wurden. Ohne Kenntnis der Gegebenheiten sehe ich keinen Grund, ältere Versionen pauschal zu 'verteufeln'.
Wie ich oben schon schrieb, werden Sicherheitslücken bei aktueller Software, die noch gepflegt wird, laufend geschlossen.
NACK – z. B. wurde mit dem Wegfall von 'Enigmail' seit Version 78.* die Sicherheit privater PGP-Schlüssel durch eine individuelle Passphrase massiv geschwächt, indem sie aktuell nur noch durch ein optionales(!) Masterpasswort (ohne Timeout) geschützt sind. Das wurde bis heute nicht gefixt!
Außerdem werden die Betreffzeilen verschlüsselter Mails nach einmaligem Öffnen permanent unverschlüsselt angezeigt. Das läßt sich zwar durch das 'Reparieren' des entsprechenden Ordners rückgängig machen, kann aber keine Lösung sein.
Eine andere, sehr ernste Sicherheitslücke, besteht weiterhin: Die unverschlüsselte Weiterleitung von verschlüsselten Mails per Filter[1].
Der zugehörige Bugreport ist immer noch nicht frei zugänglich:[box]
Access Denied
You are not authorized to access bug 1790736. To see this bug, you must first log in to an account with the appropriate permissions.[/box]
Wie meine Versuche zeigen, besteht das Problem mind. schon seit Version 68.12.1. Statt eine verschlüsselte Nachricht unverändert weiterzuleiten, versucht TB nämlich grundsätzlich immer, die Nachricht zu entschlüsseln.
Hat man in GnuPG in Verbindung mit Enigmail ein Timeout für die Passphrases gesetzt, sind die Auswirkungen jedoch längst nicht so fatal wie in den darauf folgenden Versionen mit OpenPGP. Ohne Eingabe der Passphrase (bis Version 68 + Enigmail) passiert bei einer Weiterleitung per Filter einfach nichts.
Mit der Verwaltung privater Schlüssel durch OpenPGP dagegen heißt es: Einmal offen, immer offen – ohne Timeout bis zum Ende der Sitzung!
Meine Konfiguration: Nur Reintext-Nachrichten, Verwaltung der privaten Schlüssel nach wie vor mit 'gpg-agent' (GnuPG), kein Chat, kein HTML, kein Javascript, keine Cookies, keine Anzeige eingebundener Anhänge, kein automatisches Öffnen von Anhängen, 185 Anpassungen der Einstellungen in der 'user.js'.
Wie sieht es nun mit aktuellen Security fixes aus? Bin ich überhaupt davon betroffen? Dazu ein klein wenig Statistik:[box]
Security Updates 78.* (2020-07-16 - 2021-09-07) Insgesamt: 22
Davon scripting betreffend: 13
Davon OpenPGP, OTR betreffend: 3
Davon nur Windows betreffend: 1
Verbleiben: 5
###
Security Updates 91.* (2021-08-11 - 2022-09-13) Insgesamt: 20
Davon scripting betreffend: 14
Davon HTML, HTTP/3, Chat betreffend: 2
Davon OpenPGP/Matrix Chat betreffend: 1
Verbleiben: 3
###
Security Updates 102.* (2022-06-28 - 2022-12-13) Insgesamt: 10
Davon scripting betreffend: 7
Davon HTML, Chat betreffend: 3
Verbleiben: 0[/box]
Leider sind einige der zugehörigen Bugreports (noch) nicht öffentlich zugänglich, sodaß eine Einschätzung, ob die verbleibenden Sicherheitslücken auch schon in älteren Versionen bestehen, nicht möglich ist. Unter Abwägung der Prioritäten (meine liegt ganz klar auf der Sicherheit verschlüsselter Nachrichten) sehe ich für mich bisher keinen Grund, auf Versionen >= 102.* umzusteigen.
Das sieht für Anwender mit einem GMail-Konto (OAuth2), für das Javascript und Cookies obligatorisch sind, natürlich ganz anders aus …
Das größte Sicherheitsproblem sitzt immer noch vor dem Bildschirm, nicht im Rechner.
Richtig. Und zur Risikominimierung gehört die zeitnahe Installation von (sicherheitsrelevanten) Updates.
Die Auswirkungen werden vielleicht minimiert – auf das unvorsichtige/fahrlässige Verhalten von Anwendern im Umgang mit Anhängen, Links in HTML-Mails usw. haben Updates wohl kaum einen Einfluß. Im Gegenteil - m. E. bestärkt das nur die Einstellung: "Die werden das schon richten – ich verstehe sowieso nichts davon."
Und sie machen weiter wie bisher …
