Das ist oft kein hinreichendes Argument. Alternativen gibt es immer. Ich kenne Leute, die bereit sind sich zugunsten Sicherheit auf Funktionalität zu verzichten, die VMs speziell für Skype oder auch Miranda betreiben, die sich auf ein einziges Protokol wie IRC oder gar auf Foren begrenzen, die sogar JavaScript bei ihren Browsern abschalten und nie wieder anmachen.Dass man dadurch einigermaßen geschützt ist, ist ein Irrtum.
Welch Zufall, für Skype benutze ich tatsächlich eine virtuelle Maschine. Weil seit der Microsoft Übernahme und mit dem was sie angestellt haben + natürlich die Snowden Enthüllungen, sehe ich das Programm absolut nicht mehr als vertrauenswürdig an. Da Sandboxie in der Standardeinstellung nicht verhindert das Daten ausgelesen werden von dem System (es ist standardmäßig nur ein Schreibschutz um das richtige System vor jeglichen Änderungen zu schützen), nutze ich es deswegen, wenn überhaupt, nur noch ausschließlich in VirtualBox.
Ich habe die vergangenen Tage wirklich sehr viele XMPP Clients ausprobiert. Unter anderem Vacuum IM, Swift, Spark, qutIM, Psi, Psi+, Pidgin, Instantbird und Gajim. Bei jedem Programm hat immer etwas wirklich wichtiges gefehlt, meist OTR Unterstützung, oder andere essentielle Funktionen wie die Message Delivery Receipts, das Ansprechen von einzelnen Clienten / Resourcen und Optionsvielfalt. Teils war ich geschockt wie dermaßen schlicht manche von ihnen sind, weil das dann schon wirklich "nackig" war. Deswegen gefällt mir Miranda NG so sehr, weil es eben diese Funktionsvielfalt bietet. So simple gute Dinge wie das man im Profil eines Kontaktes sehen kann welche Jabber Fähigkeiten der Client des anderen höchstwahrscheinlich besitzt, automatisches Annehmen von Dateiübertragungen von Leuten aus der Kontaktliste und Onlinebenachrichtungen scheinen leider ernsthaft bei so vielen Programmen Fehlanzeige zu sein. Das finde ich bei Pidgin zum Beispiel so super schade. Es
könnte eigentlich so gut sein als
native Alternative
unter Linux. Vorwiegend finde ich bei Pidgin es so grausam das es keine einzelne Clients ansprechen kann, und das Message Delivery Receipts Plugin ist nur für Linux Nutzer einfach erstellbar. Weil das geht wirklich über meine momentanen Kenntnisse hinaus.
Exploit Opfer werden oft von Botnet Zombies oder Würmer auf zufällige Weise gewählt, z.B. durch eine Zufallsauswahl aus der Kontaktliste der aktuell infizierten Maschine. Grundsätzlich ist es für einen Exploit auch nicht notwendig, dass man gegenseitig in den Kontaktlisten ist: eine missgestaltete Autorisierungsanfrage kann genug sein.
Diese Angreifer müssten dann aber auch noch Ahnung haben wie man aus virtuellen Maschinen ausbrechen oder (wie in meinem Fall) den Schutz von Sandboxie umgehen kann,
und dann müssten sie noch einen Exploit in Windows wissen, wie sie die Rechte von Miranda erhöhen können. Ganz so einfach sollte das für solche Fieslinge also dann nicht sein. Naja, zumindest bin ich da momentan zuversichtlich!
Ich muss aber zugeben, dass ich bei Nutzung von Miranda im Moment auch auf gut Glück hoffe.
Ich hoffe dann mal für dich das weiterhin nichts passiert! Momentan schätze ich das auch wirklich als 0,001% Chance ein. Ungewollte Autorisierungen hatte ich jedenfalls noch wirklich nie gehabt (in Skype und Jabber oder auch Steam), das letzte mal war vor
vielen vielen Jahren wo ich noch ICQ benutzt hatte. Dafür sind meine Namen auch etwas zu exotisch
Wenn die Entwickler hinter diesem tollen Projekt hier weiter am Ball bleiben, denke ich das sie es alles in den Griff bekommen werden. Da sehe ich sicherheitstechnisch Programme wie Steam zum Beispiel viel schlimmer, da der installierte Steam Service eine Rechteausweitung ermöglichen kann bei geschickter Ausnutzung:
http://www.reddit.com/r/Games/comments/2adtrv/privilege_escalation_via_steamservice_security/
