Jump to content

Browser Suche und Java Zugriff auf ff.kis.V2.scr. Wozu?


Go to solution Solved by Schulte,

Recommended Posts

Wallaby53
Posted

Beim der Suchen in Firefox (egal ob Startpage oder Google) taucht eine Verbindung auf die manchmal ewig und manchmal 404 Error erzeugt bzw. hängt... Manchmal komme ich über diesen loop hinweg wenn ich im Suchfeld den String nochmal mit CR absende. Plopp ist das Resultat da. Einerseits funktioniert die Suche (meistens) ohne Verzögerung Andererseits interessiert es mich was für Abfragen da vorgenommen werden.  Es kann auch harmlos sein da KIS einen Gefahrendatenbank abfragt aber dann frage ich mich was da manchmal hängt.

Natürlich, es  kann an Firefox, einem Add-On (z.B. uBlock) aber auch an Kaspersky Web-Secure Browser, Anti-Banner usw. liegen. Es gab da diesem Link schon einen Eintrag im Forum. Der aber als gelöst geflagged wurde und sich anscheinend auf das add-on für KIDS bezog. Dies ist bei mir nicht installiert unddamit in aktiv.

Also meine Frage: Was bedeuten die Java script Zugriffe auf ff.kis.V2.scr?? Wieso hängt die Suche manchmal?

Auszug aus der Firefox HAR logfile. Ok, OK, der Search string ist blöd aber what shells...🥳

HARextract.thumb.jpg.1ddcd5af525dd72f700ac7df558d0c49.jpg

Posted

Hallo @Wallaby53,

der Link "[Browser].kis.v2.scr.kaspersky-labs.com" wird nur auf dem jeweiligen Rechner vom Browser angefordert.
Deine Standard untersucht den Datenstrom vom/zum Browser und reagiert auf diesen Link. Er wird noch auf dem Rechner "umgebogen", gelangt also nie ins Netzwerk.

Kurze Erklärung zum Link:
früher war es für die Browserhersteller nie ein Problem, wenn ein AddOn mit einem anderen Programm auf dem Rechner Daten ausgetauscht hat. Aus Sicherheitsgründen ist das schon seit längerer Zeit nicht mehr möglich, dazu kamen weitere Schutzfunktionen im Browser (z. B. Sandbox).
Damit das AV weiterhin mit seinem Browser-AddOn "reden" kann, wurde dieser virtuelle Link eingeführt. Er ist in einem kleinen Script enthalten, das das AV direkt in den Datenstrom der Webseite injiziert. In letzter Zeit häufen sich aber leider Unverträglichkeiten, da sich manche Webseiten die Injektion nicht mehr einfach "gefallen lassen".

Du kannst die Injektion des Scripts deaktivieren, verlierst damit aber auch ein wenig an Komfort. Auf die Schutzwirkung selbst hat es keinen Einfluss, die bleibt im vollen Umfang erhalten.

"Einstellungen->Sicherheitseinstellungen->Erweiterte Einstellungen->Netzwerkeinstellungen->Skript zur Interaktion [...] einbinden", Option deaktivieren:

Spoiler

grafik.thumb.png.7350505ddce87bf40822ff52d1b320ff.png


 

Wallaby53
Posted (edited)

@Schulte. Ist plausibel. Werde ich versuchen.

Habe auch noch herumprobiert...Bei mir war "Verschlüselte Verbindung auf Anfrage untersuchen" aktiviert.. Nachdem ich dies abgestellt habe und auf "Verschlüsselte Verbindung nicht untersuchen" gestellt hab, schien es schneler zu sein. Ist diese Annahme richtig oder nicht wirklich anwendbar? Birgt dies "nicht untersuchen" irgendwelche Risiken?

Was ist sicherer? Was ist schneller bzw. birgt weniger Risiken? "Verschlüsselte Verbindung nicht untersuchen" oder "Skript zur Interaktion [...] einbinden" deaktivieren?

In deinem screen-shot ist DoH (DNS-Support über HTTPS) auch deaktiviert. Kann es sein dass ich dies (hinter einer FritzBox Firewall mit DNS im Intranet auch ausschalten kann? Was bringt DoH beim Thema Sicherheit im Internet?

Wie interagieren die 3 Einstellungen?

 

Fragen über Fragen...😕

Bearbeitet: Beim Script wir auf die Notwendigkeit des JS für den Sicheren Zahlungsverkehr usw. verwiesen. Ist es ein Problem den JS zu deaktivieren?

 

Lsungsoption.thumb.JPG.857b6f87120c74eb44f72b1976fa5302.JPG

Edited by Wallaby53
  • Solution
Posted

Hi @Wallaby53,

wenn verschlüsselte Verbindungen nicht untersucht werden, wird in diese Seiten natürlich auch das Script nicht injiziert.
Die Untersuchung selbst ist bei manchen umstritten, da dabei die Zertifikatskette aufgebrochen werden muss. Vielleicht überdenken die Kritiker noch ihre Meinung, da inzwischen auch über HTTPS Malware (z. B. in Form von Werbebannern) ausgeliefert wird.
Also nochmal kurz: durch das "nicht untersuchen" geht Dir eine Schutzkomponente (Web-AV) verloren. Das reine Deaktivieren der Scriptinjektion hat keine Auswirkung auf den Schutz. Wie Du schon geschrieben hast, könnte dann aber das Umschalten auf den "sicheren Browser" (Online-Banking) be- oder verhindert werden. Manuell starten lässt er sich trotzdem.

DoH wird von immer mehr Browsern unterstützt. Wie bei verschlüseltem HTTPS werden Anfragen zur Namensauflösung ebenfalls verschlüsselt.
Das hat den Vorteil, dass z. B. Dein Provider nicht mitlesen kann, welche Seiten Du aufrufst. Der Nachteil ist, dass Du einen festgelegten DNS Resolver benutzen musst. Dann kann der Deine Verbindungen auswerten.

Bei mir ist DoH deaktiviert, da mein Datenverkehr grundsätzlich über VPN läuft. Da ich dem Anbieter vertraue, nutze ich dessen DNS Resolver, die Anfragen sind so ebenfalls verschlüsselt. DoH plus VPN  funktioniert oft nicht.

EDIT: Teilantworten hast Du schon gefunden...

  • Like 2
Wallaby53
Posted (edited)

Life is a bitch... Man(n) lernt nie aus...

Ich bin auch nur noch via VPN unterwegs...wenn auch nicht über KIS... Man(n) kann nicht alles haben...🙃

Thanks 👍

Edited by Wallaby53
  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...