Bug im SmartScreen-Filter des IE 8?

Hallo Günni,

klar habe ich deinen Thread verfolgt aber mangels sicherer Erkenntnisse bisher nichts dazu gesagt, mache ich auch nie.

Es stimmt wohl was du festgestellt hast, der IE8 macht nicht das was man erwartet hätte - Win7 Ultim64.
Demnach erhöhe ich meine paranoia um Stufe 1 - traue dem IE oder dem Entwickler nicht.

Ist aber schon ein Hammer aus meiner Sicht für den gemeinen Anwender - was darf der noch glauben?

---

mfg Michael www.mbormann.de

> Zwischenzeitlich wurde von Thomas D. der von mir beobachtete Effekt bestätigt: Der
IE 8 SmartScreen-Filter scheint beim Filtern von Phishingseiten Zufallsergebnisse zu
produzieren. Jedenfalls lässt sich der beschriebene Effekt bisher nicht erklären.

Natürlich läßt er sich anders erklären. Woher kommt die Idee, daß diese Seite
vom Phishing-Filter bemeckert werden müsste? Diese URL ist keine Phishing-Seite
und mir ist auch nicht bekannt, daß diese Seite als allgemeine Test-Seite
. Mir ist auch nicht bekannt, daß diese Seite bei Microsoft
in der Datenbank als Test-Seite enthalten wäre, wie da behauptet wird. Gibt es dazu
eine Microsoft-Quelle?
Ich benutze bei mir den Smartscreen-Filter grundsätzlich nicht. Einfacher Test, gehe
auf die Seite, benutze "Check this Website". Auf allen meinen IE8-Installationen
wird die Seite als "no threat" ausgewiesen, wie erwartet. q.e.d.
Du solltest dir eher überlegen, warum die Seite bei dir bei einigen Installationen
doch als "threat" erkannt wird. Ich würde vermuten, daß da die Abfrage schlicht
blockiert wird. Aus Sicherheitsgründen würde ich als Programmierer dann immer einen
"threat" anzeigen.

--
Kai

---

IEFAQ: http://iefaq.info Newsgroup: microsoft.public.de.internetexplorer

Hallo Kai,

danke für den Hinweis,  Anmerkungen nachfolgend ...

>Natürlich läßt er sich anders erklären. <

Wäre schön ...

>Woher kommt die Idee, daß diese Seite
vom Phishing-Filter bemeckert werden müsste? <

Schlicht und ergreifend aus den empirischen Erfahrungen, die ich seit Frühjahr dieses Jahres mit dem IE 8 beim Aufruf der Site mache.

>Diese URL ist keine Phishing-Seite
und mir ist auch nicht bekannt, daß diese Seite als allgemeine Test-Seite
. Mir ist auch nicht bekannt, daß diese Seite bei Microsoft
in der Datenbank als Test-Seite enthalten wäre, wie da behauptet wird. Gibt es dazu
eine Microsoft-Quelle?<

Hat auch niemand behauptet. Aber wenn der SmartScreen-Filter beim Aufruf der Site einmal anschlägt, erwartet ich, dass dieses Verhalten reproduzierbar ist - und ich nicht irgendwann feststelle, dass die Funktion bei einem Benutzerprofil plötzlich nicht mehr geht.

>Ich benutze bei mir den Smartscreen-Filter grundsätzlich nicht. <

Ist deine Entscheidung - mir geht es nicht darum ob und wer den Filter benutzt oder nicht benutzt - mich interessiert, warum das Verhalten auftritt und ob es nachvollziehbar erklärbar ist und was ich normalen Anwendern bzgl. IE und SmartScreen-Filter empfehlen soll.

>Einfacher Test, gehe
auf die Seite, benutze "Check this Website". Auf allen meinen IE8-Installationen
wird die Seite als "no threat" ausgewiesen, wie erwartet. q.e.d.<

Naja, das quod erat demonstrandum der Lateiner hilft hier offensichtlich nicht weiter. Wie willst Du den Beweis antreten, der sich ausschließlich auf deine Testsysteme bezieht?

Hier liefert mir der IE 8 (frisch aufgesetztes Win 32, siehe Anmerkungen weiter unten) beim Aufruf der Site "Gemeldete unsichere Website - Naviation wurde geblockt". Und frage ich die Site über Sicherheit/SmartScreen-Filter/Diese Website überprüfen ab, meldet der Browser, dass die Site als unsichere Webseite gemeldet wurde. Genau, wie ich es erwartet habe (das q.e.d. verkneife ich mir hier ;-).

>Du solltest dir eher überlegen, warum die Seite bei dir bei einigen Installationen
doch als "threat" erkannt wird. Ich würde vermuten, daß da die Abfrage schlicht
blockiert wird. Aus Sicherheitsgründen würde ich als Programmierer dann immer einen
"threat" anzeigen.<

Das "eher überlegen" hilft mir nicht weiter, wenn die Ursache nicht offensichtlich ist. Was ich überprüfen konnte, habe ich getan (und der normale Anwender kommt erst gar nicht bis zu dem Punkt). Da ich mit "Überlegung" nicht weiter komme, habe ich die Anfrage ja hier gestellt. Und um dem Verdacht vorzubeugen, dass da irgendwelche obskure Software und Add-Ons werkeln -> die neueste Erfahrung, quasi frisch aus der "Druckerpresse".

Gerade von 30 Minuten ein Windows 7 32 Bit Home Premium aus einer OEM-DVD frisch zum Testen aufgesetzt (habe diese verwendet, um ein Problem mit meinen Technet RTMs auszuschließen).

- Nach der Installation im Administratorkonto Microsoft Security Essentials installiert und ein zweites Standardbenutzerkonto angelegt.

- Am Administratorenkonto schlug der PhishingFilter des IE8 wie erwartet an
- Am Standardbenutzerkonto hing der IE8 beim ersten Aufruf (nach Abschluss des Einrichtungsassistenten beim Laden der ersten MSN-Seite) und wurde von mir abgebrochen. Test des SmartScreen-Filters schlug danach bei der Site fehl.

Bin dann zum Administratorenkonto gewechselt, habe das Standardkonto auf Administratorkonto hochgestuft. PhishingFilter funktionierte immer noch nicht. Hab dann den IE 8 über die Registerkarte "Erweitert" der Internetoptionen zurückgesetzt - und plötzlich wurde die Mozilla-Site im SmartScreen-Filter wieder als "unsicher" erkannt.

Das ist dann der Punkt, wo deine Überlegung mit einer "blockierten Abfrage" wohl zutreffen könnte - was für mich aber ohne detaillierte Analyse der IE8-Interna nicht auflösbar (und vor allem nicht logisch erklärbar) ist.

(Ich hab hier noch ein zweites Testsystem mit einem Benutzerprofil, wo der SmartScreen-FIlter nicht anschlägt. Da werde ich aber die obigen Schritte erst ausführen, wenn ich die Zeit habe die Windows 7-Installation in eine virtuelle Maschine zu clonen - um ggf. zu testen, ob das Zurücksetzen des IE8 mit Standard-Berechtigungen oder unter einem Administratorkonto ggf. einen Einfluss hat - ich denke da vor allem an Schreibrechte auf die Registrierung in HKLM und in die Policies-Zweige. In der VM kann ich ggf. zum vorherigen Sicherungspunkt zurückkehren, um mehrere Ansätze zu testen).

Um zum Abschluss zu kommen: Der Thread hier ist eher eine Anfrage aus akademischen Interesse. Natürlich kann ich den Leuten empfehlen, nimm den Firefox und gut ist. Löst aber nicht die Ausgangsfrage - und solange gut 10 - 20 % der Leute mit dem IE8 surfen, wäre es gut, wenn hier irgendwann eine schlüssige Antwort gegeben werden könnte, warum das so ist.  

Just my 2 cents - und danke für die Anregungen :-)

---

Gruß, G. Born - Blogs: http://blog.borncity.com

> >Woher kommt die Idee, daß diese Seite
> vom Phishing-Filter bemeckert werden müsste? <
>
> Schlicht und ergreifend aus den empirischen Erfahrungen, die ich Seit Frühjahr
dieses Jahres mit dem IE 8 beim Aufruf der Site mache.

Naja, das ist nur bedingt aussagekräftig. Wenn man davon ausgeht, daß diese Seite vom
IE nicht als Testseite anerkannt ist, sind deine "positiven" Ergebnisse nur Ausreißer
und kein empirischer Nachweis.


ei mir den Smartscreen-Filter grundsätzlich nicht. <
>
> Ist deine Entscheidung

Dies war eine Hintergrundinformation, warum ich "check this website" benutze!
Ich kann die Seite also normal besuchen und benutze dann "check this website".
Sollte im Prinzip egal sein, aber ist als Hinweis auf die Testmethode notwendig.

> >Einfacher Test, gehe
> auf die Seite, benutze "Check this Website". Auf allen meinen IE8-Installationen
> wird die Seite als "no threat" ausgewiesen, wie erwartet. q.e.d.<
>
> Naja, das quod erat demonstrandum der Lateiner hilft hier offensichtlich nicht
weiter. Wie willst Du den Beweis antreten, der sich ausschließlich auf deine
Testsysteme bezieht?

Unter der Annahme, daß diese Seite nichts besonderes ist und alle Testsysteme sie
konsequent als solche ausweisen, ist das eigentlich ziemlich eindeutig.
Unter der Annahme, daß diese Seite vom IE8 besonders behandelt werden sollte (also
als Testseite anerkannt wird), ist das Verhalten in der Tat merkwürdig.
esagt und immer noch von Fall 1 aus.

Mittlerweile bekomme ich bei genau einem System inzwischen auch den Hinweis, daß
es sich bei obiger Seite um einen "threat" handelt. Eine Änderung, die sich ganz
plötzlich ergeben hat und nur auf diesem einen System passiert.

Zu beachten ist dabei noch, daß der Status wohl eine Weile gecacht wird, da weitere
Prüfungen teilweise nicht mehr mit einem Netzwerk-Monitor verfolgbar sind. Dies kann
unterschiedliche Ergebnisse auf mehreren Rechnern erklären.

Das Verhalten ist zumindest nicht konsistent, da gebe ich dir mittlerweile Recht. Ich
bitte daher gleich mal jemanden aus dem Team um Auskunft.

> > Ich würde vermuten, daß da die Abfrage schlicht
> blockiert wird. Aus Sicherheitsgründen würde ich als Programmierer dann immer einen
> "threat" anzeigen.<

Diese Vermutung von mir ist auf jeden Fall falsch. Wenn man die Abfrage blockiert,
gibt es einen Hinweis, daß der Service momentan nicht zur Verfügung steht.



--
Kai

---

IEFAQ: http://iefaq.info Newsgroup: microsoft.public.de.internetexplorer

Ich gehe wie g...
> esagt und immer noch von Fall 1 aus.



--
Kai

---

IEFAQ: http://iefaq.info Newsgroup: microsoft.public.de.internetexplorer

Kai Schätzl:

> Die Seite war tatsächlich mehrfach in der Malware-Datenbank. Momentan jedenfalls
> nicht. Und das Datenbank-Team kann sich anscheinend nicht so recht entscheiden, ob
> es nun rein soll oder nicht.

LOL
Der war gut! :-)

hpm

Hall Kai,

klasse - und danke für die Erklärung - die erst einmal logisch klingt - aber bei mir irgendwie noch Bauchgrimmen verursacht. Es ist ja nicht so, dass der Effekt 1 PC zeigt keine Warnung, während ein zweiter parallel daneben oder ein anderes Benutzerkonto die Warnung bringt - nur für 5 Minuten auftaucht, sondern das Verhalten über Monate zu beobachten war. Eine "rein-raus" Entscheidung aus der Malware-Datenbank hätte imho ein anderes Verhalten bewirkt(en müssen).

Aber egal - die von Dir genannte Testsite bringt auf meinen grade probierten Testsystemen mit diesem Link die erwarteten Anzeigen - obwohl ich das Verhalten beim Anklicken anderer Links ziemlich merkwürdig empfinde (nur beim ersten Besuch wird eine Palette eingeblendet, während ich bei folgenden Besuchen nur an einem Icon in der Adressleiste die Bedrohung sehe - im FF versagen die Seiten komplett). Es mag zwar aus Sicht eines Entwicklers akademisch interessant sein, aber drei Links mit unterschiedlichen Reaktionen beim Melden des Pishing-Angriffs finde ich nicht so sonderlich optimal.

Was auch besch... ist, dass die Interoperatibilität bzgl. IE8 und FF 3.x im Hinblick auf Phishing wohl nicht gegeben ist. Ist zwar eine andere Baustelle, aber aus Anwendersicht taugt das Ganze wenig. Vielleicht sollten sich die Entwickler des IE und des Firefox mal zusammenraufen und Gedanken machen, wie sich das vereinheitlichen lässt. Sonst lässt sich das ganze Thema Phishing-Filter imho "in der Pfeife rauchen".

Danke für die Erklärung und den Hinweis auf die IE8-Testsite. Bringt mich auf jeden Fall weiter.

---

Gruß, G. Born - Blogs: http://blog.borncity.com

> obwohl ich das Verhalten beim Anklicken anderer Links ziemlich merkwürdig empfinde (nur beim
ersten Besuch wird eine Palette eingeblendet, während ich bei folgenden Besuchen nur an einem
Icon in der Adressleiste die Bedrohung sehe - im FF versagen die Seiten komplett). Es mag zwar
aus Sicht eines Entwicklers akademisch interessant sein, aber drei Links mit unterschiedlichen
imal.

Du übersiehst dabei, daß es sich da um keine bekannte Phishing-Seite handelt! Die Seite ist
*nicht* in der Datenbank. Die Merkmale IP-Nummer und FORM bewirken hier einen
"Vorsichtshinweis", den man dann auch zum Submit der Einschätzung an Microsoft nutzen kann.

>
> Was auch besch... ist, dass die Interoperatibilität bzgl. IE8 und FF 3.x im Hinblick auf
Phishing wohl nicht gegeben ist.

Als "Interoperabilität" kannst du das m.E. nicht bezeichnen. Eine gemeinsame Testmethode für
*alle* Browser wäre aber sicherlich sinnvoll. Das w3c könnte ja ein RFC mit einem festgelegten
Hostnamen dazu veröffentlichen und diesen reservieren :-)


--
Kai

---

IEFAQ: http://iefaq.info Newsgroup: microsoft.public.de.internetexplorer