AW: Sicherheitslücke auch in Java-Version 7u11 ?

Hallo ch1962,

Sie haben Recht: Wenn Sie sich nicht nur einmalig im ElsterOnline-Portal registieren müssen, sondern vielfach Ihre Arbeit dort erledigen, muss jeweils das JRE aktiv sein.

Ein aus heutiger Mo., 21.01.2013 Sicht recht sicherer Weg ist:
De-Installieren Sie alle Älteren Java-Versionen, insbesondere auch JavaFX (!).
Überprüfen Sie den Erfolg Ihrer Maßnahme auch mit CCleaner von Piriform Ltd. (www.piriform.com/ccleaner). Es enthält eine wirklich zuverlässige De-Installationsroutine für _alle_ sich sperrenden Programme.
Lassen sie auch nach Fehlern in der Registry suchen.
Installieren Sie nun JRE 7u11, - und nur dieses-, von http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html
Für die vorstehenden Schritte, vor allem die VOLLSTÄNDIGE Bereinigung der Maschine von alten Java-Resten hatte ich auch schon ein bis zwei Stunden gebraucht, denn Java in den Versionen ab 7 nistet sich tief im System ein.

Nun wären Sie lediglich während der Ausführung von Java-Code, also während Ihrer Arbeit im ElsterOnline-Portal, von theoretisch zu entwickelnden Angriffen bedroht.
Aber da Java nur boxed läuft, heute Mo., 21.01.2013 ca. 11.00h noch keine konkrete Schadsoftware bekannt ist usw kann ich dieses Vorgehen auch in kritischen Umgebungen empfehlen.

AW: Sicherheitslücke in aktueller Java-Version

Hallo !

Ich habe meine heutige Erfahrung in der Nutzung des ElsterOnlinePortals, Firefox 18 und Java 7 Update 11 mal in Bildern und einem weiteren BLOG Eintrag beschrieben:

http://elstererfahrungen.blogspot.de/2013/01/elsteronlineportal-java.html

AW: Sicherheitslücke in aktueller Java-Version

Sehr geehrter Nutzer Cremer,

am Freitag habe ich mehrer Stunden erfolglos versucht auf die Login Seite zu gelangen. Updates gemacht, versucht ältere Firefox und Java Versionen zu installieren. Leider alles erfolglos. Weitere Versuche am Sonntag sind ebenfalls gescheitert. Nach mehreren Stunden habe ich aufgegeben.
Den Aufwand den Sie mir beschreiben halte ich für unverhältnismäßig hoch. Ich habe keine Zeit solch einen Aufwand für Elster und das Finanzamt zu betreiben. Die Anwendung muß einfacher gehen. Es kann nicht sein, dass erst einmal tief in das Beriebssystem eingegriffen werden muß nur um sich bei elsteronline anzumelden. Jeder Nutzer der nicht über Ihre IT-Kenntnisse verfügt muß erst einmal scheitern. Deswegen halte ich Ihre Lösung bestenfalls für eine Notlösung bis eine bessere Lösung erstellt wurde.
Haben Sie Ihren Lösungvorschlag mit Firefox als Browser ausprobiert?

In diesem Sinne noch frohes Schaffen

Chr. Willich

AW: Sicherheitslücke auch in Java-Version 7u11 ?

Hallo AG1971,

ich danke Dir für deinen Beitrag mit dem Hinweis auf Deinen Elster Blog.
Als Einzelner hat man zwar schon viel gesehen, aber eben doch nicht Alles.
Im Firefox Version 18 wird augenscheinlich selbst das Update 11 gesperrt.
Ich arbeite hier Firefox Version 5 (!), welche das Update 11 zuläßt!
Die Tabelle mit der Übersicht der unterstützten Konfigurationen auf
https://www.elsteronline.de/eportal/Anforderungen.tax
wäre dahingehend zu differenzieren, dass die Firefox Version anzugeben ist (Version 5, vllt Version 6 oder Version7, sicher nicht mehr Version 12), welche mit Java Update 11 arbeitet.
Unter diversen IE-Versionen habe ich dieses Problem nicht. Dort wird der Nutzer mit seinen Sicherheitsbedenken alleine gelassen. Ich würde jedenfalls JRE 7u11 empfehlen.

Hallo ch1962,

wie oben geschrieben arbeite ich mit verschiedenen Browsern, auch und gerne mit Mozillas Firefox.
Der Beitrag von AG1971 und Ihrer haben mir erst die Augen dafür geöffnet, dass anscheinend die Behandlung von Sperrlisten in verschiedenen Versionen von Browsern verschieden geschieht:
Was in alten Versionen gelang, misslingt in neueren und neuesten.
Ich gebe Ihnen Recht, dass diese Umstände an prominenter Stelle eineindeutig beschrieben werden müssen.

AW: Sicherheitslücke in aktueller Java-Version

Sehr geehrter AG1971

haben Sie Ihre Empfehlung mit wiederholtem Login ausprobiert? Bei mir funktioniert Ihre Empfehlung nur wenn ich den Rechner neu gestartet habe, Firefox zu erstenmal geöffnet und das erstemal die Seite von elsteronline.de aufgerufen habe. Gehe ich ein zweites oder weiteres mal auf die Seite von elsteronlin.de und möchte eine Login durchführen gibt es nur noch den Hinweis auf ein nicht mehr aktuelles Java-Plugin. Das setzt sich fort bis der Rechner neu gestartet wird und die elsteronline.de Seite erneut aufgerufen wird.
Noch einmal empfehle ich die Seite so umzuprogrammieren, dass man von den unsicheren Software-Anbietern unabhängig ist. Kein Software deren Benutzung staatliche Stellen verlangen, sollte von Sichheitsmängeln privater Softwareanbieter abhängig sein.
Ich halte es für nicht darstellbar und nicht zumutbar das Bürger mit ihren Steuern eine Software bezahlen die sie in der Benutzung auch noch unangemessen viel Zeit kostet. Inzwischen erscheint mir die Papier gebundene Bearbeitung der Steuern, zumindest für die Bürger, keine der schlechtesten Möglichkeiten zu sein. Das Ausfüllen eines Formulars nimmt deutlich weniger Zeit in Anspruch als die hier vorgestellten Prozeduren.

Was die älteren Versionen von Firefox anbelangen ist es mir trotz längerer Suche nicht gelungen diese zu finden, herunterzuladen und zu installieren. Eine Version 16 mit Java 7u9 auf einem meiner Rechner arbeitet einwandfrei mit der elsteronline Seite. Leider habe ich die Installationsdatei nicht als offline-Version gespeichert.
Ältere Firefox Versionen vorzuschreiben ohne die Möglicheit diese zu installieren halte ich für nicht machbar. Außerdem ist das Sicherheitsproblem damit nicht behoben. Es besteht lediglich keine Blockade des Browsers.

AW: Sicherheitslücke in aktueller Java-Version

Hallo ch1962,

ja, ich kann es beliebig oft ohne Neustart des Rechners wiederholen.
Ich habe es eben noch mal probiert - mit den Varianten von mehreren Tabs, aber auch dem Schließen und Öffnen des Firefox.

Ich habe das zum Anlass genommen, meine Beschreibung im BLOG noch genauer mit Bildern zu dokumentieren, wie meine Vorgehensweise derzeit ist.

Weitere Steuerpflichtige, mit denen ich eben telefoniert habe und die ebenfalls der neuen Bebilderung gefolgt sind, konnten mir bestätigen, dass dann eine Nutzung des ElsterOnlinePortals für sie möglich war.

http://elstererfahrungen.blogspot.de/2013/01/elsteronlineportal-java.html

Einen Einfluss auf die Programmierung der Seite noch zu den Entwicklern habe ich persönlich nicht.

Ich kann leider immer nur versuchen, die Bürger/Leute/Menschen/Steuerpflichtigen/Anwender durch die Gegebenheiten zu führen und meine gesammelten Erfahrung zur Verfügung zu stellen, sowie es viele andere Anwender in diesem Forum ebenfalls tun.

Ihre Anmerkungen, Hinweise und Wünsche unterstütze ich aber ebenfalls.

AW: Sicherheitslücke in aktueller Java-Version

Hallo AG1971,

vielen Dank für Deine umfangreiche Anleitung. Ich kämpfe aktuell noch mit Chrome und Java, die beiden mögen sich zumindest auf einem meiner Rechner (Win 7) auch noch nicht. Auf einem anderen Gerät mit XP ließ sich Chrome schnell überzeugen, Java für die Elster-Seiten zu aktivieren.

AW: Sicherheitslücke in aktueller Java-Version

Ich habe eben mal auf meinem Win7 32bit Google Chrome gestartet.

Installierte Version ist Version 24.0.1312.52 m.
Java 7 Update 11 ist installiert.

Das Java Applet Fenster auf der ElsterOnlinePortalSeite wird mir angezeigt.

Im Chrome unter Einstellungen - Erweiterte Einstellungen - Datenschutz - Inhaltseinstellungen - Plugins werden automatisch ausgeführt -

Unter Einzelne Plugins deaktivieren habe ich beim JAVA PlugIn - immer erlaubt - angehakt.

Java(TM) - Version: 10.11.2.21
Next Generation Java Plug-in 10.11.2 for Mozilla browsers
Name: Java(TM) Platform SE 7 U11
Beschreibung: Next Generation Java Plug-in 10.11.2 for Mozilla browsers
Version: 10.11.2.21
Speicherort: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll
Immer erlaubt

Java und Google Chrome - http://www.java.com/de/download/faq/chrome.xml

AW: Sicherheitslücke in aktueller Java-Version

Hallo ch1962,

dem Manne kann geholfen werden!
Der kurze Weg über den eingebauten mozilla Support führt zum Link
http://support.mozilla.org/de/kb/Eine%20vorherige%20Version%20von%20Firefox%20insta llieren ,
und damit direkt vor die Wand, denn dort kommt man nicht mehr zu
http://www.mozilla.com/en-US/firefox/all-older.html , sondern nur noch zu
http://www.mozilla.org/en-US/firefox/new-b und damit zur neuesten Version
ABER - ABER :
Sämtliche (!) Versionen können über den FTP-Server von Mozilla heruntergeladen werden:

ftp://ftp.mozilla.org/pub/firefox/releases/

Wählen Sie nun gemäß der sehr schönen
http://de.wikipedia.org/wiki/Versionsgeschichte_von_Mozilla_Firefox
die für Sie persönlich passende Version, beispielsweise 16.0.2 vom 26.10.2012.

Nach wie vor würde ich jedenfalls JRE 7u11 empfehlen.
Nun müssen Sie nur noch die schwerwiegenden Sicherheitsbedenken polnischer und amerikanischer Geschäftsführer, welche sich auch das ((us-)amerikanische) Heimatschutzministerium (DHS) zueigen gemacht hat, mit der Einschätzung des (deutschen) Bundesamts für Sicherheit in der Informationstechnik (BSI) abwägen,
und Ihrem erfolgreichen Arbeiten steht nichts mehr im Wege.

(Im Thread
https://www.elster.de/anwenderforum/showthread.php?34091-Kein-kompatibles-Java-Plugin-installiert
wurde letzteres diskutiert. )

AW: Sicherheitslücke in aktueller Java-Version

Gegen die ganze Pamnikmache in den letzten Wochen hier mal ein gut geschriebener und vor allem fundierter Artikel zum Thema:
http://www.zdnet.de/88141562/das-java-problem-ist-nur-ein-teil-der-browser-sicherheitsproblematik/?google_editors_picks=true