[tiit0]

link :: http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21/0

http://www.minut.ee

"Vigaste HTML lehtedaga saab enamuse aktuaalseid browsereid kokkujooksutada, ainuke erand on seejuures MS Explorer! Vähemalt nii näitavad turveeksperdi Michael Zalewski poolt läbiviidud testid. Üks tema poolt kirjutatud programm koostab suvalist vigast HTML koodi, mida siis erinevate browseritega testitakse. Seejuures on tegu lihtsa HTML-iga, scripte ja Stylesheets ei kasutata.
Mozilla, Netscape, Firefox, Opera ja Lynx reageerivad sellisele vigasele koodile reeglipäraselt kokkujooksmisega, vigaste mälupöördumistega, Buffer Overflow-ide ja mitmeminutiliste süsteemi hangumistega. Näiteks tekitavad teatud märgikombinatsioonid TEXTAREA-, INPUT-, FRAMESET- ja IMG-Tags järel Buffer Overflow-e, milliseid on võimalik kasutada pahatahtlike poolt võõra koodi käivituseks. Taolistest vigadest on vaba ainult MS Explorer." Zalewski postitus Bugtraq listi on saadaval SecurityFocus lehelt.

[t-force]

nu siis polegi IE läbi ja lõhki kõige kehvem

[Herr Kurm]

kram mina seda ei usu. Kui oli mul IE siis ronis igast saast masinasse. Peale firefoxi kasutuselev6ttu pole mingit jama enam. See niikuinii mingi reklaam vms mikropehmele

[tiit0]

[t-force]

see ei mõista vist, ei puuduta saasta mis arvutisse ronib,see on selge et seda pole mitte vähe muidugi

[TanelJ]

XP SP2 corp. IE

[SKG]

suht lahe uudis. jah, lahe! kuna enamus selletaoliseid on just sellest, et IE on läbi ja lõhki ebaturvaline. imo on enamus selliseid probleeme just tingitud monitori ja tooli vahel olevast lekkivast tihendist. lollikindlat asja on tänapäeval raske teha, eriti kui sisaldab palju funktsioone. seda ka veel, et IE võtab mitmeid korda vähem RAM-i kui Firefox..

[Herr Kurm]

kui sa parajasti netis istud, kas sul kompileerib midagi?, 1000 m2ngu joosevad minimized modis? Kui ikka netis k2id, siis sa ju ei kasuta kogu oma m2lu mingi saasta peale! Igatahes mind ei koti kas jookseb kokku v6i mitte. Kui ikka IE-st pask tuleb ja Firefoxist ei tule siis ikka j22n firefoxi peale. Olgugi et asi v6ibolla minu rumaluses seisneb, aga sel juhul sobib firefox just lollimatele kes ei viitsi 10000000 h netis kolada ja mingeid ultrasupawooteva h2xasjandusi otsida, et IE turvaliseks saada

[SKG]

[Herr Kurm]

ahjaa 2kki keegi seletab 2ra kuidas on vigane html seotud sellega et mycoolwebsearch näiteks mu masinasse ronib?

[arm2004]

no minul näiteks ei tule IE'ga mitte ühtegi sellist asja sisse, mida ma ei luba
ja seda ilma igasuguse lisasofti ja registri häkkimiseta jne.
täitsa vabalt saab IE enda setingutest paika panna, mida lubada ja mida mitte

[Herr Kurm]

ka mina olen IE enda settingutega m2ssand (activeiksi iga nurga pealt keeland jne) aga ikka ronis rohkem saasta sisse =>turvarisk kui tulirebasega

The program uses a refresh tag to repeatedly
feed new data to the client, so testing can be pretty much unattended,
except for the moments the browser crashes or stalls.
Uumbes saan aru aga mida see t2pselt t2hendab?

[SKG]

mul on kõik turvaseaded IE-s DEFAULT - ma ei saa aru mis kuradi saite te külastate või kas te enne loete ka kui te OK või YES klikite kusagil. mul pole elu sees mingit jama ISE arvutisse tulnud. peale IE pole ma midagi kasutanud. viirusekaitse on aktiveeitud ja kõik turvauuendused on ka alati tehtud. paneb mõtlema lihtsalt..

[arm2004]

ilma seadistama võivad igast tracking cookie'd sisse roomata
üleüldse on mul arvutis lubatud ainult miski 8 saidi cookied, teised keelan tavaliselt ära (vaadake, palju teil cookie'si on )
lisaturvalisuseks on peal ka Ad-Watch SE aga see leiab üsna harva kasutust...

[Herr Kurm]

[HacaX]

Arvan, et küpsised on nüüd küll kõige väiksem asi mille pärast muretseda (ärandatud avaleht on ikka hulga häirivam )
Miks see uudis muidu vale peaks olema? Ega ta väidagi, et IE on igatpidi tegija brauser, lihtsalt oma standarditest mitte hoolimisega on ta võimeline üksjagu asju ära seedima. Mitte mingit pidi ei muuda see asjaolu, et ActivX oli ja on üks kõige totramaid ja ebaturvalisemaid asju mis välja mõeldud (ja IE integreeritus OSiga ei tule kohe mitte asjale kasuks)...
Tegelikult ei näita see mitte IE asjalikkust, vaid alternatiivide progejate kerget ettenägemispuudulikust. Rõhuvad nad ju küll sellele, et jälgivad erinevalt M$ist reegleid, aga selle peale ei ole tulnud, et standardist erineva koodiga midagi ette võtta (ega seda peagi renderdama, lihtsalt üle elama )

Küsin veel huvipärast juurde: kui palju teil IE korralikult konfijatel My Computer Zone turvaliseks on kruvitud?

[Herr Kurm]

M6ningased kommentaarid minut.ee-st

Need vigased koodid on vastavate brauserite spetsiifiliste vigade ärakasutamiseks tehtud. IE-l on ka oma erilisi vigadusi kuhjaga, aga hr. Zalewski pole nähtavasti viitsinud nende ärakasutamiseks koodi kirjutada...

Aga mainitud pole seda, et IE on selline browser, mis jookseb täiesti korrektse HTML'i korral kokku.

njahh ysnagi ammendavad peaks mainima

[arm2004]

[HacaX]

IRW. See ongi just säärane vastus mida ma ootasin, ehk siis enamikul tõenäoliselt ei ole (ja seega kõik veebist tulevad rakendused mis end sinna suudavad meltida jooksevad ilusasti enam-vähem maksimumprivileegidega )

Väike pilt illustreerimaks/vihjamaks/mõtete edendamiseks:

[pescador]

Hmm.. mul polegi sellist valikut Internet Options->Security all. On ainult Internet, Local intranet, Trusted sites ja Restricted sites. OS on Windows XP SP2. Kas see My Computer on sul sinna ise mingi trikiga tekitatud?

[arm2004]

[HacaX]

[EvilMick007]

Heh IE-ga brausides läheb arvuti isegi HV-s kooma, kui mingi kasutaja avatar on aeglaselt kättesaadav/puudulik. Clean install XP SP2 kõigi uuendustega 8)

[linux]

[HacaX]

Khmmm... nii et sul funkas CURRENT_USER harus asja modides? Mul just vastupidi: selle kaudu ei liiguta lillegi, LOCAL_MACHINE'iga aga funkab ilusti... peab vist pluginat veidi modifitseerima et mõlemat pidi saaks aktiveerida...

[linux]

[HacaX]

Äkki tõeste asi selles... aga ma sain nii aru, et asi oleneb IEst ja mitte allolevast Winnist (ehk siis isegi 98 peal peaks asi ilmuma)...
Kudas konffida? IMO samamoodi kui Internet Zone'igi: peaasjalikult ActiveXi ohjeldada.

[harakas]

panin kohandatud tase>lähtesta kujule>körge
kas liiga rangete turvasätete töttu vöib arvuti kasutamisel mingeid jamasid tulla?

[HacaX]

No ma ei tea, minu oma ei näita enam sellisel juhul isegi kataloogides sisu Ise panin mediumi peale ja paistab suht korralik olevat...

[harakas]

mul küll näitas katalooge, aga IE-le viskas miski riba üles, mis HV lehe peale kisama pistis. panin ka mediumi peale

[linux]

[tiit0]

Windows xp-sse on peidetud default full shared-id kõigile ketastele/partitsioonidele ja windows kaustale.
http://support.microsoft.com/kb/q288164/#kb2
Soovitan soojalt üle vaadata

[kellu]

[Ussike]

Kasutan IE.2 kuujooksul vaid 1 uss sisse tulnud ja seda kah omast lollusest.Kõik kes kiruvad seda neil on endal midagi viga!!!Märksõnad on TULEMÜÜR(Karpersky) ja KORRALIK VIIRUSETÕRJE(Karpersky) programm!

[Leinz]

Minul winXP pro SP2, tulemüüri pole, NAV pole vist üldse midagi leidnud, spybot'is on muidugi pahad asjad blokeeritud. IE setingud on default. Kui ka pornolehtedel käin või cracke otsin, ei tule iseenesest arvutisse mitte midagi. Loomulikult ei hakka ma sp2 poolt kinni hoitud asju avama ja kuskil YES nuppu vajutama.

[pescador]

SP2'e Data Execution Prevention hoiab sul selle ära, et suvaline puhvri yletäitumine mingit ette söödetud kräppi käima ei t6mbaks, aga kui su masin just mingi teise tulemyyri taga pole, siis on ikka kyllaltki h6re tunne ilma tulemyyrita olla. Näiteks - lähed läpakaga kuhugi avalikku wi-fi levilasse ja remote registry service ning default share'd on ununenud kinni keeramata..

Ja - oh häbi! -kui peaks ikkagi juhtuma, et m6ne närvilise klahvivajutuse tagajärjel kuskilt pr0n-lehelt miskit masinasse installeerub, siis tulemyyr pyyab selle protsessi väljuva yhenduse loomisel kinni ja annab sulle sellest teada.

[tiki]

Paraku on ka XP SP2 korral ohtusid
http://securitytracker.com/alerts/2004/Nov/1012288.html

[riaak]

proovsisn siis toda testi ja IE ei jooksnud kinni.
proovisin ka firefoxi, aga see ei jooksnud ka kinni, tegin isegi 5* sellega proovi

[eXacTy]

siiski olen kasutanud ise nii IE-d kui ka firefoxi ja paljusid muid browsereid. algul oli IE pask
Aga peale SP2 väljatulekut mu arvamus muutus 180 kraadi. IE pop-up blocker on ülekõige, ma arvan et see Microsofti osakond kes IE-d arendab on teinud suure edasimineku. Sest IE SP2, on tükimaad parem kui kõik teised browserid. ja endal pole veel mitte mingit spyware sisse tulnud, tahate testida? kirjutage google otsingusse porno ja clickiga ükskõik millisel lingil ja näete kuda blocker töötab usun et firefox laseb palju spyware-i läbi mida enam IE ei lase

[HacaX]

Ei lase. IEl jooksvate kurjamite aluseks oli ja on ActiveX... tehnoloogia mida FireFox ei toetagi.
Lisaks: pornosaitidelt saadavad dialerid on iidne ajalugu. Modernse adware'i saad mingi muu softijupi installides või siis mingilt teadmata kodukalt ja ilma ühelegi "Yes"/"OK" nupule klõpsimata...

[Herr Kurm]

õige jutt. Lisaks onk6ige uuemad viirused t2iesti iselevivad , kui keegi ei tea. Pmselt ei pea sa ise sittagi tegema viro ronib ikka sisse, kui korralikku netikondoomi pole