Forum: SuRun Fragen/Antworten RSS
Browser versuchen auf SuRun zuzugreifen
ernst #1
Member since Aug 2009 · 10 posts
Group memberships: Mitglieder
Show profile · Link to this post
Subject: Browser versuchen auf SuRun zuzugreifen
Hallo liebe Freunde !

Ich habe mir seit einiger Zeit die Comodo Firewall + Defense+ installiert und habe dabei beim 'Lernen' der Firewall/Defense + Regeln gemerkt, dass firefox und auch IE8 versuchen auf SuRun zuzugreifen (obwohl diesen Programmen natürlich nicht erhöhte Rechte eingeräumt wurden!) .
Ist das normal ?
Danke!
lg. Ernst
Kay (Administrator) #2
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Falls Du mit "auf SuRun zuzugreifen" meinst, dass SuRun meldet, dass eins der Programme scheinbar administrative Rechte braucht, kann ich das (nur für FireFox) bestätigen.

Wenn FF ein Update installiert, erkennt SuRun, dass das Update-Programm gehobene Rechte braucht und meldet sich. Dummer Weise will sich FF nach dem Update direkt starten;  als Administrator  :#:

Während des normalen Betriebs habe ich nie erlebt dass IE oder FF gehobene Rechte benötigen oder SuRun das anfordert.
ernst #3
Member since Aug 2009 · 10 posts
Group memberships: Mitglieder
Show profile · Link to this post
Defense+ bei der Comodo Internet Security prüft, ob es erlaubt ist , dass ein Programm auf ein anderes Programm zugreift und das muss dann durch 'Blockieren' oder 'Zulassen' abgelehnt oder gestattet werden. Das dient dazu, um z.B. malware , illegale Programmaktivitäten etc. zu erkennen bzw. zu verhindern. Auch wenn es gestattet wird, dass IE8 oder FF auf Surun zugreifen, laufen die Browser nicht mit erhöhten Su-Rechten. Es schaut vielmehr danach aus, als ob die Browser bei SuRun anfragen, ob sie mit erhöhten Rechten in den Einstellungen von SuRun 'registriert' sind (einigen Programmen  habe ich auf Dauer erhöhe SuRun Rechte gegeben - wie z.B. Brennsoftware nero). Wäre das denkbar ?
Kay (Administrator) #4
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Ich wollte wieder erstmal abwarten, ob hier jemand antwortet, der Comodo benutzt.
Ich benutze es nicht und muss deshalb mutmaßen ;-)

Ich denke nicht, dass IE oder FF auf SuRun zugreifen, sondern eher, dass es umgekehrt ist.

Windows injiziert SuRunExt.dll in alle laufenden GUI-Prozesse.
SuRunExt.dll "verbiegt" dort Funktionen, die zum Ausführen von Programmen dienen, auf eigene Routinen.
Wenn so z.B. FF ein Update starten will, muss er das Update-Programm ausführen und ruft die entsprechende Windows-Funktion auf.
Diese Windows-Funktion hat aber SuRun "verbogen", sodass SuRun erstmal prüfen kann, ob das auszuführende Programm evtl. als Administrator gestartet werden muss.
Das macht SuRunExt.dll innerhalb von anderen Programmen, indem sie "SuRun.exe" startet.
Entsprechend des Rückgabewertes von SuRun.exe ruft SuRunExt.dll dann die originale Windows-Funktion auf oder gibt die Werte von SuRun.exe zurück.

Der langen Rede Sinn:
SuRunExt.dll (in Programme injiziert) ruft SuRun.exe auf.

Comodo interpretiert das, als ob FF/IE8 auf SuRun zugreifen.

Ich halte das für unkritisch.

Nochmal sorry für die späte Antwort!  :blush:
Stefan #5
Member since Aug 2008 · 42 posts
Group memberships: Mitglieder
Show profile · Link to this post
Hallo,

ich habe in Win 7 gerade den Internet Explorer geöffnet und die beiliegende Meldung erhalten.
Meine Einschätzung ist, dass der Internet Explorer wohl auch die SuRunExt.dll sieht und möglicherweise die Warnmeldung ausgibt, weil er mit niedriger Verbindlichkeit (low integrity) läuft.
The author has attached one file to this post:
IExplorer.jpg | Save   38.8 kBytes
Image
Kay (Administrator) #6
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Jepp, die Meldung sah ich auch.
Die ist inhaltlich sowas von falsch!  :nuts:
IE wird wahrscheinlich ein Update starten und SuRunExt will SuRun fragen, ob man dafür gehobene Rechte braucht.
MarkusW (Guest) #7
No profile available.
Link to this post
In reply to post #5
Hallo Kay,

ich verwende Windows 7 und Portable Thunderbird 2.0 als eMail Reader (aber keines der anderen Programme, die in diesem Thread genannt wurden). Wenn ich im IE8 auf einen eMail Link klicke (z.B. hier: http://www.brunsware.de/impressum.html), dann erscheint zuerst die selbe Meldung wie bei Stefan. Schließe ich diese Meldung (per Klick auf das "X" rechts oben), kommt der selbe Dialog nochmal für PortableThunderbird.exe.

PortableThunderbird.exe ist ein NSIS Installer Skript. Der Quellcode wird mit PortableThunderbird ausgeliefert. Im Manifest der PortableThunderbird.exe steht

  requestedExecutionLevel level="asInvoker"

Weder IE8 noch Thunderbird stehen auf der Page "SuRunners-Gruppe".

Wenn ich in Portable Firefox 3.5 auf denselben mailto-Link klicke, dann kommt übrigens keine Meldung.

Einfach ein Häkchen bei "Warnung für dieses Programm nicht mehr anzeigen" zu setzen, kann ich mir für PortableThunderbird.exe vorstellen. Für SuRun ist mir das zu gefährlich.

Könntest du bitte mal prüfen, wie man es abstellen kann, daß der IE8 unter Windows 7 meint, er müßte bei einem mailto-Link SuRun aufrufen?

TIA,

Markus
Kay (Administrator) #8
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Zum Nachvollziehen: Wie bekomme ich TBPortable als Standard-Mail Client installiert?
Ich kann in dessen Optionen alles prüfen lassen, ohne Erfolg.
Windumms7 will auch kein mailto Standardprogramm kennen.
Ich kann nirgens was hinzufügen.

EDIT: Habs gefunden. Es musste nur die Registry von Hand geändert werden...

Was da passiert:
IE startet das mit mailto verknüpfte Programm (ShellExecute("mailto","emailadresse")) .
IE läuft auf Integrity Level (IL="Verbindlichkeitsstufe") LOW.
Will er ein Programm ausführen, muss er auf die Programm-Datei zugreifen. Hat die keinen LOW-IL, fragt die Shell immer nach, ob das erwünscht ist. SuRun und TPp haben keinen low IL, deshalb wird gefragt:

Die Windows Shell startet "mailto:emailaddr".
Dabei bleibt sie in SuRuns ShellExecute-Hook hängen.
Der startet SuRun.exe (1te Abfrage!), um zu sehen, ob "mailto:emailaddr" gehobene Rechte braucht.
Danach findet die Windows Shell unter HKCR\mailto\shell\open\command ThunderbirdPortable.exe und startet das.
Dabei bleibt sie wieder in SuRuns ShellExecute-Hook hängen.
Der startet SuRun.exe (2te Abfrage!), um zu sehen, ob "ThunderbirdPortable.exe" gehobene Rechte braucht.
Dann startet die Shell ThunderbirdPortable.exe und fragt zum dritten Mal.

All diese Abfragen sind also nur deswegen, weil SuRun.exe und ThunderbirdPortable.exe von IL=Low nicht zugreifbar sind.
This post was edited 2 times, last on 2009-12-06, 13:12 by Kay.
MarkusW (Guest) #9
No profile available.
Link to this post
Hi Kay,

danke fürs Analysieren und die gut verständliche Antwort. Jetzt wissen wir also, warum der IE zweimal frägt.

BTW, schau bitte kurz nach, ob deine PortableThunderbird.exe ein Manifest enthält und ob da drin "asInvoker" steht. Ich habe den Jungs nämlich erst vor ein paar Wochen gezeigt, wie das geht. Davor hatte die PortableThunderbird.exe unter Vista und Windows7 nämlich immer "echte" Admin-Rechte verlangt. Falls du noch die "alte" PortableThunderbird.exe verwendet hast, könnte das den technischen Hintergrund ändern.

Was wir noch nicht wissen:

1. Wieso fragt der Portable Firefox 3.5 (ebenfalls seit ein paar Wochen mit "asInvoker" Manifest) weder nach SuRun noch nach PortableThunderbird, wenn man dort auf den selben mailto-Link klickt? (Eigentlich ist mir das egal. Aber vielleicht trägt es zur Klärung von Frage 2. bei.)

2. Wie treiben wir dem IE8 die beiden Rückfragen aus ohne ihm SuRun global ohne Rückfrage zur Verfügung zu stellen?

Mir ist unwohl dabei, dem IE8 einfach zu erlauben, daß er SuRun ohne Rückfrage benutzen darf. Ich habe die Befürchtung, daß wir damit ein großes Sicherheitsloch öffnen.

> Windumms7

Bin ganz deiner Meinung. ;-)

TIA,

Markus
MarkusW (Guest) #10
No profile available.
Link to this post
In reply to post #8
Quote by Kay:
IE startet das mit mailto verknüpfte Programm (ShellExecute("mailto","emailadresse")) .
IE läuft auf Integrity Level (IL="Verbindlichkeitsstufe") LOW.
Will er ein Programm ausführen, muss er auf die Programm-Datei zugreifen. Hat die keinen LOW-IL, fragt die Shell immer nach, ob das erwünscht ist. SuRun und TPp haben keinen low IL, deshalb wird gefragt:

Hatte gerade noch eine andere Idee: Würden die beiden Rückfragen nicht mehr angezeigt werden, wenn die PortableThunderbird.exe ebenfalls einen LOW-IL hätte? Wenn ja, wie macht man das?

TIA,

Markus
Kay (Administrator) #11
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Quote by MarkusW:
Würden die beiden Rückfragen nicht mehr angezeigt werden, wenn die PortableThunderbird.exe ebenfalls einen LOW-IL hätte?

Dazu müssten C:\Windows\SuRun.exe und <PathTo>ThunderbirdPortable.exe und <alle Dateien von Thunderbird> und <alle Registry Keys von Thunderbird> einen IL=LOW haben... Also: Nein! ;-)

Bin gerade am SuRun-Umbasteln, so dass SuRunExt direkt mit dem Dienst kommuniziert. Dann bekommst Du nur noch die direkte Meldung mit "ThunderbirdPortable.exe", wie ohne SuRun auch.

Das kann allerdings dauern! Evtl. sogar bis nächstes Jahr. Habe momentan beruflich viel zu tun.  :huh:
MarkusW (Guest) #12
No profile available.
Link to this post
Quote by Kay on 2009-12-06, 19:38:
Bin gerade am SuRun-Umbasteln, so dass SuRunExt direkt mit dem Dienst kommuniziert. Dann bekommst Du nur noch die direkte Meldung mit "ThunderbirdPortable.exe", wie ohne SuRun auch.
Das kann allerdings dauern! Evtl. sogar bis nächstes Jahr. Habe momentan beruflich viel zu tun.  :huh:

Hallo Kay,

hattest du inzwischen Gelegenheit, SuRun "umzubasteln"? Wäre schön, wenn die nervigen Meldungen beim Klick auf einen mailto-Link im IE8 endlich weg wären.

TIA,

Markus
Kay (Administrator) #13
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Leider nein.
Ich hatte bisher zu viel um die Ohren und bin gar nicht zu SuRun gekommen.
Das Ganze wird (hoffentlichsicher) Teil der nächsten Beta!
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Not logged in. · Lost password · Register
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Page created in 81.9 ms (52.2 ms) · 110 database queries in 20.3 ms
Current time: 2019-12-09, 21:22:34 (UTC +01:00)