Am Samstag fiel mir auf, dass das eingebundene Script von Trigami leider eine Malwarewarnung verursachte. Dies passiert wenn Google der Meinung ist, dass eine Seite Schadcode enthalten könnte. Geprüft wird also jede aufgerufene Seite, welche man den lieben langen Tag so ansurft. Ist eine Domain dann auf der schwarzen Liste bei Google wird nicht nur im Google Chrome eine Warnmeldung angezeigt, sondern auch im Firefox und anderen Browsern, die diese Engine von Google benutzen. Der InternetExplorer ist nicht betroffen, denn Microsoft wird es weitestgehend vermeiden offiziell irgendwelche Services von Google zu benutzen

Auf jeden Fall äusserte sich heute das Trigami Team zu dem Vorfall und ich hoffe, dass Google schnell einen erneuten Test der Server durchführt, um die schwarze Liste positiv zu aktualisieren. Hier die Stellungnahme:

Montag, 2. August 2010 / 20.00 Uhr

Liebe Blogger

Am letzten Samstag wurde unseren AdServer zum Opfer eines Hackerangriffs. Dabei wurde schadhafter Code integriert, welcher mit unseren Werbebannern im Internet verteilt wurde. Als Folge davon, haben bei Google die „Alarmglocken“ geläutet undhttp://www.trigami.com wurde auf die Schwarze Liste gesetzt, was wiederum zur Folge hatte, dass alle Surfer, die mit FireFox und anderen Browsern auf unsere Seite kamen, mit einer Sicherheitswarnung konfrontiert wurden (ausgenommen Benutzer des Internet Explorers).

Leider haben wir erst heute Montag früh davon Kenntnis erlangt, obwohl die Blogosphäre schon das ganze Wochenende darüber berichtet hat. Durch diverse Ferienabwesenheiten und dem Schweizer Nationalfeiertag, welcher just auch an diesem Wochenende stattfand, konnten wir nicht früher reagieren. Wir bitte Euch darum an dieser Stelle ausdrücklich um Entschuldigung.

Da die Sicherheitslücke in unserem AdServer nicht zu 100% geschlossen werden konnte, haben wir uns entschieden, den Server vom Netz zu nehmen. D.H. es werden im Moment keine Banner mehr ausgeliefert. Vereinzelt kann dies bedeuten, dass auf den entsprechenden Seiten – anstatt der Banner – eine Fehlermeldung „Objekt nicht gefunden“ angezeigt wird. Aktuell sind wir daran, die betroffenen Seitenbetreiber persönlich zu kontaktieren.

Bei Google haben wir die nötigen Schritte bereits heute Vormittag um 10 Uhr eingeleitet, damit wir wieder freigeschalten werden. Leider ist dies bis zum jetzigen Zeitpunkt noch nicht erfolgt, wir rechnen aber jeden Moment damit.

Was bedeutet dies nun für Dich als Blogger:
Auch einige Blogs wurden übers Wochenende auf die Schwarze Liste gesetzt, da diese Banner oder Beiträge von uns Publiziert haben und durch die Verlinkung auf unsere Seiten, quasi den schlechten „Ruf“ der Schwarzen Liste mit geerbt haben. Nach unserem Kenntnisstand, sind aber mittlerweile alle Blogs wieder „Normal“ erreichbar. Zur Sicherheit überprüft bitte unbedingt Euren Blog mit dem FireFox. Solltet Ihr trotzdem Bedenken haben und lieber abwarten wollen, bis alles wieder „normal“ läuft, ist es Euch freigestellt, die Trigami Blogbeiträge zwischenzeitlich auf Entwurf oder Privat zu setzten. Selbstverständlich ohne Folgen für Euch.

Zwischenzeitlich haben uns viele Beiträge und E-Mails erreicht, bitte habt Verständnis dafür, dass wir nicht sofort alle beantworten können.

Euer Trigami-Team

PS: Den aktuellen Stand könnt Ihr jeweils über unseren Tweet oder Blog erfahren (Zugang mit IEX geht).

Ich finde es auf jeden Fall gut, dass Trigami dies nicht nur auf der eigenen Seite publiziert, sondern entsprechende Blogs, die davon berichtet haben, persönlich kontaktiert. Hier funktioniert der Service auf jeden Fall ganz ungefragt.

Google will Microsofts veralteten Browser Internet Explorer 6 nicht länger unterstützen und sich durch dessen beschränkten Funktionsumfang nicht länger ausbremsen lassen. Auch andere Browser will Google nur noch in halbwegs aktuellen Versionen unterstützen.

Seit geraumer Zeit drückt Google bei der Entwicklung neuer Funktionen für das Web aufs Tempo. Doch veraltete Browser bremsen diese Entwicklung aus, schließlich werden die neuen Techniken nur in modernen Browsern unterstützt. Davon abgesehen führt die oft unzureichende Unterstützung von Webstandards in alten Browsern zu einem erheblich höheren Aufwand bei der Entwicklung von Webapplikationen.

Größtes Ärgernis für viele Webentwickler ist der Internet Explorer 6 (IE6), denn obwohl Microsoft mit dem IE7 und IE8 bereits zwei neuere Versionen veröffentlicht hat, kommt die veraltete Version noch bei vielen Nutzern und vor allem in Unternehmen zum Einsatz.

Daraus zieht Google nun Konsequenzen und will künftig keine Rücksicht mehr auf den IE6 und andere veraltete Browser nehmen. Ab 1. März 2010 werden zunächst Google Docs und Google Sites zu alte Browser nicht mehr unterstützten. Das bedeutet, dass einige wesentliche Funktionen in diesen Browsern nicht länger funktionieren werden.

Künftig setzt Google bei seinen Webapplikationen den Internet Explorer mindestens in der Version 7.0, Firefox ab Version 3.0 sowie Chrome ab Version 4.0 und Safari ab Version 3 voraus. Dabei fällt auf, dass vor allem bei Googles eigenen Browser Chrome ausschließlich die derzeit aktuelle Version unterstützt wird, während Google bei anderen Browser auch ältere Versionen akzeptiert. Chrome 4.0 für Windows wurde erst Ende Januar 2010 veröffentlicht.

Opera fehlt in Google Aufstellung komplett.

Quelle: golem.de

Die Videoportale Youtube und Vimeo bieten interessierten Nutzern nun an, Inhalte ihrer Seiten im HTML5 darzustellen. Dabei wird auf den üblichen Flash-Player verzichtet und die Videos direkt über die neuen Tags eingebunden. Als Format benutzen beide Portale H.264.

HTML5 mit H.264 wird bisher nur vom Google Chrome, Apple Safari und Microsoft Internet Explorer mit installiertem Chrome Frame unterstützt. Derzeit liefert nur Google direkte H.264-Unterstützung in seinem Browser; Safari greift zur Wiedergabe von H.264-Videos auf QuickTime zurück. Firefox und experimentelle Opera-Fassungen unterstützen lediglich die freien Ogg-Codecs. Das französische Videoportal Dailymotion betreibt unter openvideo.dailymotion.com seit geraumer Zeit einen Ableger, der mit HTML 5 und Theora/Vorbis arbeitet.

Die Entwickler von Firebug haben für den Firefox ein Update Ihres Add-Ons herausgebracht. Das für Webentwickler wichtige Tool enthält im Vergleich zu früheren Fassungen einiges an Verbesserungen. So ermöglicht der Menüeintrag “Extras -> Firebug” jetzt die Option, Tastaturkürzel zu modifizieren, und in den Einstellungen auf derselben Menüebene kann man die “Zugänglichkeitsverbesserungen aktivieren”. Han Hillen, der diesen Teil entwickelt hat, bietet zu diesem Punkt eine ausführliche Erklärung.

Zu den weiteren Neuerungen gehört, dass Entwickler Firebug jetzt “minimieren”, das heißt verstecken können, und dennoch bleiben die Funktionen Firebugs verwendbar. Etwa 150 Fehler haben die Entwickler beseitigt. Wer kein automatisches Update will oder eine ältere Version benötigt, findet sie auf der Firebug-Site.

Release Notes for Firebug 1.4

Firebug 1.4 is Firebug 1.3 with additions by John J. Barton, Jan Odvarko, Hans Hillen, Kevin Decker, Mike Radcliffe, Hernan Rodrguez Colmeiro, Curtis Bartley, Mike Collins, and Templarian
Firebug 1.3 is Firebug 1.2 with additions by John J. Barton, Jan Odvarko.
Firebug 1.2 is Firebug 1.1 with additions by John J. Barton and Jan Odvarko.
Firebug 1.1 is Firebug 1.05 by Joe Hewitt with additions by John J. Barton and Max Stepanov

Not Panel Specific

* Curtis Bartley’s Tabs-on-top UI reordering
* Improved and simplified “natural” Activation UI, minimize to context menu, all on/off, Firebug stays put.
* Firebug remembers which pages you had opened Firebug on.
* Supports Firefox 3.5
* auto-suspend
* Adds tab switching shortcut. Currently hardcoded to ctrl + shift + pgup/pgdown
* search across all files (contribution by kpdecker)
* Accessiblity by Hans Hillen, incl. tabbing and focus identification, panels Script, DOM , CSS, Breakpoints, DOM
* (some) Testing before shipping!
* jsd.initAtStartup set false not true
* resetAllOptions on Firebug status bar context menu

Javascript Debugging

* Implement breakOnNext UI for STEP_SUSPEND
* Leave the debugger controls visible if the js is stopped
* Implement stepStayOnDebuggr to keep chrome out of firebug and vice versa
* Implement dynamicURLhasBP to avoid MD5 on eval unless breakpoints are set on evals
* skipScrolling if the lines are still in view.
* search in source boxes now ignores case unless the user puts an upper case character in the search request box
* group eval and events together under path to parent file
* implement traceCalls/untraceCalls
* implement decompileEvals

Net Panel

* support for STATUS_RESOLVING
* Support for custom tabs for net requests (like Headers, Params, etc.) within net panel.
* Json tab is available even for XHR entries in Console panel.
* Limit for cached responses in tabCache.
* Maximum size limit for cached responses can be specified in preferences.
* Console panel ShowXHRDisabled for FF3.5 until bugzilla 483672 is fixed.
* Search response bodies

For Extensions

* All modules support Firebug.Listener
* add option extensions.firebug-tracing-service.toOSConsole for debugging tracing or early FF
* TabWatch dispatch separate from modules dispatch
* acceptContext/declineContext replaced by shouldCreateContext/shouldNotCreateContext
* function() objects default rep is next to last so function types can be trapped by supportsObject()
* DBG_ACTIVATION to focus tracing on activation issues
* DBG_SHORTCUTS to focus tracing on key binding issues
* DBG_LOCALE tracing for missing localization

Locales

* No more entites, all properties
* de-DE locale update (contribution by Team erweiterungen.de, ReinekeFux, Monoman)
* it-IT locale update (contribution by l0stintranslation, gonzalopirobutirro)
* New Locale ro-RO, Romanian (contribution by alexxed)
* Locale update fr-FR (contribution by martin and fmarcia)
* Locale update hu-HU (contribution by gLes)
* Update locale pl-PL (contribution by teo)
* ca-AD locale updated (contribution by xavivars, toniher)
* sv-SE locale update (contribution by peter3)
* da-DK locale update (contribution by AlleyKat)
* nl-NL locale update (contribution by markh)
* Update tr-TR locale (contribution by gezmen)
* New Locale es-AR (contribution by eternoendless)
* Update locale ro-RO (contribution by alexxed)
* Update zh-CN locale (contribution by lovelywcm)
* Update cs-CZ locale (contribution by lordfrikk and mik)

Bug Fixes

* Issue 64: Displaying TextNodes with their content directly causes debugging headache; contribution by Hernan Colmeiro
* Issue 176: net flash tab not recognising flv files
* Issue 241: Does not reload javascript content when dynamically removed and added from page.
* Issue 260: Firebug disables Mac Standard Cmd-Tilde switching
* Issue 369: Inspect JSON data in HTTP responses (contribution by Ashish Datta)
* Issue 199: CSS priority with ‘!important’
* Issue 699: Inspector – Highlight Image Map Areas
* Issue 700: HTML preview for net responses
* Issue 749: Hungarian Locale
* Issue 716: Add “Inspect element” context menu element in Fx3 for button and select elements
* Issue 834: Not displayed POST variables in NET tab
* Issue 872: JS Errors in IFrame with 1.2.0b3.
* Issue 895: Firebug toolbar button should behave the same way as clicking on status bar icon.
* Issue 902: Allow adding new CSS rule
* Issue 1021: Editing of DOM properties fail
* Issue 1044: In a page with a HTML doc in an iframe, the CSS of the pagein the iframe cannot be displayed
* Issue 1113: Unresponsive when using large Data URI image replacement, contribution by 2005jimmont
* Issue 1122: can’t copy or open image background from css viewer
* Issue 1143: Inspected element variables ( $1, $2 ) command-line regression (contribution by urkle0)
* Issue 1176: Firebug should preserve Suspend state across sessions (after restart)
* Issue 1184: Search across all Javascript sources, not just one. contribution by kpdecker.
* Issue 1210: 1.3b1 post message display is screwed up
* Issue 1222: incorrect localization Resume_Firebug=Suspend Firebug
* Issue 1226: FB 1.4 tabCache optimalization prevents webpages from being viewied in FF3.1 nighlies
* Issue 1263: Script error downloading files
* Issue 1229: console tab does not display XHR with xhr.onprogress.
* Issue 1231: console object has wrong version number
* Issue 1248: Console does not filter errors from other browser tabs.
* Issue 1255: Reloading page resets current Javascript file to default HTML file in Firebug’s “Script” tab
* Issue 1258: Enhancement patch: filefield is editable in add external editor dialog
* Issue 1267: console.time(‘toString’) returns `NaN`;
* Issue 1274: Firebug affects 304 responses, causing a new full request on reload
* Issue 1276: Break on error without message in status bar
* Issue 1278: console create unclickable, 4px-high log entries
* Issue 1281: Watch tab: New Watch expression fails if Firebug is not stopped on a breakpoint
* Issue 1284: Unable to add new editor to external editors
* Issue 1285: Enhancement patch: filefield is editable in add external editor dialog; contribution by antonin.hildebrand
* Issue 1290: Using backspace when searching in open files menu deletes two characters instead of one, contribution by splintor
* Issue 1303: console.log with wrong output — scope of commandline
* Issue 1305: lib.ERROR with 1.3X.0b5 while debugging Google language API
* Issue 1306: console create unclickable, 4px-high log entries (revisited)
* Issue 1308: Missing URL-Encoding of reserved characters when using ‘Copy Location with Parameters’ from Net Panel
* Issue 1310: Net Panel – Wrong domain display
* Issue 1316: window.console is undefined, then console create empty log entries after clicking on the command line
* Issue 1317: Scrollbar in “Edit” view rendered half-invisible
* Issue 1319: Selecting multiple JavascriptLines to add watch also adds line numbers
* Issue 1323: img preview in CSS tab not working.
* Issue 1339: Command line becomes unusable after reload
* Issue 1347: Firebug 1.3 re-introduce “this.notifyFirebug is not a function” issue
* Issue 1352: All xmlhttprequest’s appear to come from firebug-http-observer.js when looking at console view
* Issue 1367: Save as TXT/HTML or view in another tab ajax response
* Issue 1369: URL params parsing: omniture gifs no longer show params properly
* Issue 1381: Autocompletion only shows the first match
* Issue 1382: Add event dispatch when console is injected so extensions can know when console is available (contribution by collins.mike)
* Issue 1383: 1.3: if the last line is a comment throws Syntax Error: missing }
* Issue 1387: switching between Firebug’s tabs (as opposed to the window’s) reverts contents of larger command line
* Issue 1395: Script debug loads only the first 20 lines of some scripts.
* Issue 1408: Google Docs (spreadsheets) – truncated view / not editable on inner worksheets (TracingListener implemented as XPCOM)
* Issue 1409: Selected source file does not persist on reload
* Issue 1468: File Locking on File upload when firebug is installed
* Issue 1479: Horizontal scroll bar appears and disappears when scrolling vertically in script tab (contribution by kpdecker)
* Issue 1483: Scripts fail to load when page reloaded during paused execution
* Issue 1495: No more ajax response for a while
* Issue 1496: Hash Character Links ( the # or fragement identifier for a URL) Creates Seperate Script View
* issue 1508: Problems with some downloads.
* Issue 1547: &editors.Description;
* Issue 1575: New watch expression can’t be created when breakpoint is active
* Issue 1586: XHR complete fails to trigger onComplete callback (workaround removed)
* Issue 1592: Added display: autocompletions to CSS editor
* Issue 1591: Firebug cannot find _firebugConsole element
* Issue 1640: Fixed install.rdf typo
* Issue 1649: disabling script panel doesn’t disable script view in 1.4
* Issue 1650: 1.4a18 not picking up other JS files
* Issue 1651: 1.4a18 panel not updating when changing tabs in firefox
* Issue 1655: CSS view is not correct
* Issue 1663: CSS Property Name Editor Does not always work (contribution by kpdecker)
* Issue 1679: Break On Next Statement (“pause” button): poor selection style (partial)
* Issue 1680: Firebug suspends on page reload.
* Issue 1688: Collection of issues relating to element Inspector
* Issue 1691: CSS style editor autocomplete problems
* Issue 1693: Viewing requests with large message bodies in Console tab temporarily freezes browser
* Issue 1694 in fbug: Net Panel Cutsomization: file.responseText doesn’t include original line breaks
* Issue 1695: Clicking on sessionStorage (empty array) in DOM panel causes error
* Issue 1700: ‘Inspect in DOM panel’ for variables during script suspension broken
* Issue 1701: Stack panel not updated immediately during script suspension
* Issue 1706: “POST” disappears
* Issue 1707: I can’t edit DOM values using Firebug
* Issue 1709: OS X – Pressing Cmd+, fails to open preferences window
* Issue 1712: Firebug 1.4′s channel listener changes observable behaviour
* Issue 1715: Always Open in New Window prevents
* Issue 1727: Inspector offset when the screen is scrolled
* Issue 1733: Custom Net Panel: file.isXHR is not set in console log
* Issue 1738: All properties getters and not editable in DOM panels
* Issue 1740: Inspect context menu item should not be disabled
* Issue 1741: CSS Sheets listed multiple times in DOM included multiple times in CSS panel
* Issue 1742: CSS Source Links do not work
* Issue 1744: Defect commandLine openInNewWindow
* Issue 1747: Script Option Grayed-Out when Enabled by Console enable
* Issue 1750: “Inspect Element” causes firebug to hide
* Issue 1753: command line for open in new window does not immediately respond to Small <-> Large button
* Issue 1755: Script tab does not keep line highlighted after clicking on console trace
* Issue 1756: Firebug status bar error counter doesn’t update on tab closure.
* Issue 1760: Popup window obscured in Net tab
* Issue 1762: Firebug body is replacing document.body
* Issue 1764: Net panel misses page load.
* Issue 1766: html, body { width: 100%, height: 100% } -> Inspect-Tool does not work properly
* Issue 1771: Firebug.resetAllOptions: Should this clear debug/developer options?
* Issue 1775: Command Line command could toggle like inspect does
* Issue 1789: Firebug console opens on some sites after console.log called (1.4.0a28)
* Issue 1793: Frames (still) cause problems — detailed example
* Issue 1795: Fails to format string in locale bundle: en-US
* Issue 1800: Inspect shows no highlight borders when HTML and BODY are set to overflow:hidden
* Issue 1801: refreshing in detached window refreshes wrong tab
* Issue 1812: console.log(arguments)
* Issue 1814: Frames still cause problems in a30, though fewer. (ref Issue 1793)
* Issue 1815: “New Watch” context menu item copies entire script from selection onwards
* Issue 1850: Empty stack panel

Quelle: heise.de

Nach Beobachtungen von Sicherheitsfirmen breitet sich der Zero-Day-Exploit für den Internet Explorer rapide im Netz aus. Er richtet sich gegen eine besonders gefährliche Lücke in allen Versionen des des Microsoft-Browsers, für die es bislang keinen Patch gibt: Allein durch Öffnen einer Internetseite kann der Windows-PC mit Schadsoftware infiziert werden. Anders als bei den meisten anderen Angriffen ist also kein weiterer unvorsichtiger Klick des Surfers erforderlich.

Immer mehr harmlose Server werden derzeit durch SQL-Injection so manipuliert, dass sie den Zero-Day-Exploit an anfragende Rechner ausliefern. Daher kann man sich unter Umständen auch auf Webseiten vertrauenswürdiger Anbieter infizieren.

Antiviren-Software schützt nur begrenzt vor Web-Seiten, die einen solchen Exploit nutzen, um Rechner mit Schadsoftware zu infizieren. Zum Einen überwachen längst nicht alle Virenwächter den Internet-Verkehr; viele beschränken sich darauf, Dateien zu durchsuchen. Aber wenn eine Web-Seite im Browser-Cache landet, ist es meist schon zu spät und der böse Code läuft bereits. Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.

Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.

Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.

Quelle: heise.de