Benötigt Firefox inbound traffic? (update)
Donnerstag, 5.12.2013, 23:17 > daMaxMal eine Frage an die Spezialisten da draußen: benötigt Firefox in der Firewall eine Erlaubnis für incoming connections?
Update: neueste Erkenntnisse gibt's am Ende des Artikels.
Seit etwa gestern nervte mich der Firefox mit plötzlich über 30 Sekunden startup time. Das war ziemlich überraschend, weil das vorher eine Sache von 1-2 Sekunden war. Jetzt habe ich das ganze Spiel einmal durchgespielt (alle Addons deaktivieren, leeres Profil anlegen und damit starten, Neuinstallation, Wiederherstellung eines Systemrestorepoints und erneute Neuinstallation von Firefox; in der Reihenfolge), aber nichts davon hat geholfen. Dann fiel mir ein, dass ich Firefox im Laufe der Neuinstallationen jeweils nur outgoing traffic erlaubt hatte, weil ich dachte, so eine http-Verbindung geht immer erstmal vom Browser aus. Seitdem ich ihm in- und outgoing traffic erlaube, flutscht das wieder und er ist in 1-2 Sekunden da. Eine diesbezügliche Frage im Mozilla-Support wurde leider nicht beantwortet, aber in diesem Thread kommt zwar erst lange nur Blabla, dann aber folgende Erklärung:
reply to wolfy339
(1) Have you ever known either browser to need to accept an inbound connection?
Maybe not "need", but they definitely use their inbound connections.
(2) For what purpose?
I believe it's the method they use to connect to themselves for checking and managing the local browser cache content. Basically your browsers might have many threads doing many things at once, and the (local) TCP self-connection method is focusing those on managing the single cache pool.
That method is an implementation choice that the browser developers made, and it's bee that way for many years. Disallowing the browsers from their own cache management might slow down your browsing quite a bit.
(3) Does it seem as bad of an idea to you as it does to me?
Maybe, but I don't know what better technical alternatives could have been chosen by the browser developers.
Their cache management listening processes don't (or shouldn't) process any externally generated access that wasn't initiated by the browser itself. When using a router or firewall you do not need to forward ports or allow them any external inbound access that doesn't originate from your own computer.
die irgendwie plausibel klingt. Irgendwie.
Na, und virenscannerfrei wie ich z.Z. unterwegs bin wollte ich jetzt doch mal Expertise einholen. Nicht, dass ich mir noch irgend ein ekliges Gelichter eingefangen habe...
Update: so Jungs. Erstmal danke für die Antworten. Ich habe mir jetzt also mal TCPView geholt und ich verstehe zwar immer noch kein Wort, aber ich kann euch ja mal erzählen, was ich herausgefunden habe. Natürlich habe ich das mit einem "nackten" Profil getan, um das Ergebnis nicht zu verfälschen.
Also: wenn die Firewall auf outbound only eingestellt ist, dann hängt Firefox die berühmten 30 Sekunden bei diesem TCP-Paket herum:
Wenn stattdessen enable all eingestellt ist, hat man nach 2 Sekunden diese Connections:
Wie gesagt: ich verstehe kein Wort, aber mein Bauchgefühl sagt mir, dass das schon okay ist so. Oder? Was meint ihr dazu?
Allerdings ist mir aufgefallen, dass Anonymox extrem viele Verbindungen aufbaut. Ob das jetzt bedenklich ist, muss jemand anders entscheiden...
Artikel als RSS
schau mal: https://support.mozilla.org/de/kb/Firefox-braucht-sehr-lange-zum-Starten
Nicht so als wuerden Viren einfach ungefragt ne Verbindung zu deinem Browser aufbauen. Normal fragst du die ja an also bringt das eh nix (weil die z.b. als assett in eine seite eingebunden sind die du aufrust oder in nem download oder so).
Ansonsten einfach mal allen inbound loggen und ab und an mal durchgucken was da so reinkommt
@Yencee: schon gesehen, aber da steht auch nix wirklich Interessantes. Oder?
@Ben: haste mir einen Tipp, womit ich das loggen kann? Ich habe nur die "normale " Win7 Firewall zusammen mit der freien Version der Windows 8 Firewall Control.
Abgesehen davon kapiere ich dann glaube ich nicht wirklich, was mir das Logfile mitteilen würde
Wireshark.
Mal was anderes. Hat hier jemand einen Draht oder Rat zu einer Datenrettungsfirma? Das corpus delicti ist eine Hitachi IDE-Festplatte 2,5", Typ: Travelstar 7K2, 100GB, Bj. 03/06. Fehler: Platine defekt durch Verbindung mit defektem IDE-USB-Adapter. Der bisher einzige Kostenvoranschlag eines Labors beläuft sich auf 470 Euro mit dem Versprechen, die Daten "zu 99.99%" wieder herstellen zu können. Die Preise scheinen mir willkürlich gewählt zu sein und in meiner Region geht unter 400 Euro nix.
Habe sogar eine Datensicherung, die ist aber natürlich zu alt. *seufz*
Wäre wirklich dankbar für jeden Tipp.
@Rainer zum Thema Datenrettung:
http://www.krollontrack.de/
@Max:
Kann es sein, dass das zutrifft?:
http://www.heise.de/newsticker/meldung/Phishing-Mail-koedert-WordPress-Admins-2061207.html
...nur so'n Gedanke...
@p3t3r: nee, auf SO billige Tricks fall' ich nun auch wieder nicht rein. Und der Heise-Newsticker ist natürlich in meinem Feedreader fest verankert.
@p3t3r: Danke, aber ich dachte, jemand hätte bereits gute Erfahrungen mit einer dieser Buden gemacht. Inzwischen gibt es unüberschaubar viele von denen.
Interessante Beobachtung. Um rauszukriegen, welches Programm welche Netzwerk-Verbindungen wohin öffnet, ist TCPView unter Windows Mittel der Wahl: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Ich weiß auch nicht genau was FF da macht, die Vermutung mit den local connections als "Programmierschnittstelle" klingt aber sehr plausibel. Windows macht das auch, und bei Linux weiß ich zumindest von KDE, dass das auch nen Basislayer hat, der so funktioniert.
Ich hab ja auch die Win8 Firewall Control. Ein wenig schade ist, dass man nicht sagen kann "inbound nur von localhost" oder so. Hatte ich früher auf meiner Kerio konfiguriert. Irgendwann kommste aber mit dem detaillierten Pflegen solcher Regeln auch nicht mehr hinterher. Ich setze entweder Software ein, der ich "vertraue" oder sperre die eben komplett.
Lustigerweise hatte ich letztens tatsächlich Malware auf dem Rechner, die an AVG vorbeikam, aber die Firewall hat sofort gemeldet, dass ne EXE irgendwelche Verbindungen öffnen möchte. In TCPView sah man dann sehr gut, dass das nicht koscher war. Insofern glaube ich, wenn die Connections von und zu Firefox gehen, dürfte alles okay sein.
@DidiDaDude: Habe jetzt tcpview schon lange nicht mehr verwendet. Meine Kritik daran war - so glaube ich mich zu erinnern -, dass manche Vorgänge so flott an einem vorbeirauschten, dass man sie nicht mitbekam. Ich glaube deshalb, dass sich die Beschäftigung mit Wireshark auf Dauer wirklich lohnt, zumal man auch die Inhalte der Pakete sehen kann. Wir haben früher mit solchen Tools unter DOS immerhin Fehler in Netzwerken gefunden.
Ansonsten gebe ich dir recht. Die Beschäftigung mit Firewallregeln schafft auf Dauer zweifelsohne Arbeitsplätze.
@DidiDaDude: danke.
@alle: beachtet bitte das Update.
Hmmm, die Suche nach 49488 (oder 0xc150) in den Firefox-Quellen liefert genau 0 Treffer im C-Code.
@Rainer: datarecovery.eu kann ich, was die Geschwindigkeit angeht, nicht empfehlen.
@R@einer: keine Frage, Wireshark ist ein cooles Tool (tm)
@tfl: FF öffnet 2 Ports, die frei sind, das ist nicht hardgecoded (sonst würde sich das ja auch ggf. mit anderen Serverapplikationen stören)
Hier steht was dazu:
http://forums.mozillazine.org/viewtopic.php?t=48197#349635
@DidiDaDude: Danke. Bei genauerem hinsehen hätte ich das auch in den Screenshots sehen müssen.
:%s/Server/Client/ig