[tiit0]

link :: http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21/0

http://www.minut.ee

"Vigaste HTML lehtedaga saab enamuse aktuaalseid browsereid kokkujooksutada, ainuke erand on seejuures MS Explorer! Vähemalt nii näitavad turveeksperdi Michael Zalewski poolt läbiviidud testid. Üks tema poolt kirjutatud programm koostab suvalist vigast HTML koodi, mida siis erinevate browseritega testitakse. Seejuures on tegu lihtsa HTML-iga, scripte ja Stylesheets ei kasutata.
Mozilla, Netscape, Firefox, Opera ja Lynx reageerivad sellisele vigasele koodile reeglipäraselt kokkujooksmisega, vigaste mälupöördumistega, Buffer Overflow-ide ja mitmeminutiliste süsteemi hangumistega. Näiteks tekitavad teatud märgikombinatsioonid TEXTAREA-, INPUT-, FRAMESET- ja IMG-Tags järel Buffer Overflow-e, milliseid on võimalik kasutada pahatahtlike poolt võõra koodi käivituseks. Taolistest vigadest on vaba ainult MS Explorer." Zalewski postitus Bugtraq listi on saadaval SecurityFocus lehelt.

[t-force]

nu siis polegi IE läbi ja lõhki kõige kehvem

[Herr Kurm]

kram mina seda ei usu. Kui oli mul IE siis ronis igast saast masinasse. Peale firefoxi kasutuselev6ttu pole mingit jama enam. See niikuinii mingi reklaam vms mikropehmele

[tiit0]

[t-force]

see ei mõista vist, ei puuduta saasta mis arvutisse ronib,see on selge et seda pole mitte vähe muidugi

[TanelJ]

XP SP2 corp. IE

[SKG]

suht lahe uudis. jah, lahe! kuna enamus selletaoliseid on just sellest, et IE on läbi ja lõhki ebaturvaline. imo on enamus selliseid probleeme just tingitud monitori ja tooli vahel olevast lekkivast tihendist. lollikindlat asja on tänapäeval raske teha, eriti kui sisaldab palju funktsioone. seda ka veel, et IE võtab mitmeid korda vähem RAM-i kui Firefox..

[Herr Kurm]

kui sa parajasti netis istud, kas sul kompileerib midagi?, 1000 m2ngu joosevad minimized modis? Kui ikka netis k2id, siis sa ju ei kasuta kogu oma m2lu mingi saasta peale! Igatahes mind ei koti kas jookseb kokku v6i mitte. Kui ikka IE-st pask tuleb ja Firefoxist ei tule siis ikka j22n firefoxi peale. Olgugi et asi v6ibolla minu rumaluses seisneb, aga sel juhul sobib firefox just lollimatele kes ei viitsi 10000000 h netis kolada ja mingeid ultrasupawooteva h2xasjandusi otsida, et IE turvaliseks saada

[SKG]

[Herr Kurm]

ahjaa 2kki keegi seletab 2ra kuidas on vigane html seotud sellega et mycoolwebsearch näiteks mu masinasse ronib?

[arm2004]

no minul näiteks ei tule IE'ga mitte ühtegi sellist asja sisse, mida ma ei luba
ja seda ilma igasuguse lisasofti ja registri häkkimiseta jne.
täitsa vabalt saab IE enda setingutest paika panna, mida lubada ja mida mitte

[Herr Kurm]

ka mina olen IE enda settingutega m2ssand (activeiksi iga nurga pealt keeland jne) aga ikka ronis rohkem saasta sisse =>turvarisk kui tulirebasega

The program uses a refresh tag to repeatedly
feed new data to the client, so testing can be pretty much unattended,
except for the moments the browser crashes or stalls.
Uumbes saan aru aga mida see t2pselt t2hendab?

[SKG]

mul on kõik turvaseaded IE-s DEFAULT - ma ei saa aru mis kuradi saite te külastate või kas te enne loete ka kui te OK või YES klikite kusagil. mul pole elu sees mingit jama ISE arvutisse tulnud. peale IE pole ma midagi kasutanud. viirusekaitse on aktiveeitud ja kõik turvauuendused on ka alati tehtud. paneb mõtlema lihtsalt..

[arm2004]

ilma seadistama võivad igast tracking cookie'd sisse roomata
üleüldse on mul arvutis lubatud ainult miski 8 saidi cookied, teised keelan tavaliselt ära (vaadake, palju teil cookie'si on )
lisaturvalisuseks on peal ka Ad-Watch SE aga see leiab üsna harva kasutust...

[Herr Kurm]

[HacaX]

Arvan, et küpsised on nüüd küll kõige väiksem asi mille pärast muretseda (ärandatud avaleht on ikka hulga häirivam )
Miks see uudis muidu vale peaks olema? Ega ta väidagi, et IE on igatpidi tegija brauser, lihtsalt oma standarditest mitte hoolimisega on ta võimeline üksjagu asju ära seedima. Mitte mingit pidi ei muuda see asjaolu, et ActivX oli ja on üks kõige totramaid ja ebaturvalisemaid asju mis välja mõeldud (ja IE integreeritus OSiga ei tule kohe mitte asjale kasuks)...
Tegelikult ei näita see mitte IE asjalikkust, vaid alternatiivide progejate kerget ettenägemispuudulikust. Rõhuvad nad ju küll sellele, et jälgivad erinevalt M$ist reegleid, aga selle peale ei ole tulnud, et standardist erineva koodiga midagi ette võtta (ega seda peagi renderdama, lihtsalt üle elama )

Küsin veel huvipärast juurde: kui palju teil IE korralikult konfijatel My Computer Zone turvaliseks on kruvitud?

[Herr Kurm]

M6ningased kommentaarid minut.ee-st

Need vigased koodid on vastavate brauserite spetsiifiliste vigade ärakasutamiseks tehtud. IE-l on ka oma erilisi vigadusi kuhjaga, aga hr. Zalewski pole nähtavasti viitsinud nende ärakasutamiseks koodi kirjutada...

Aga mainitud pole seda, et IE on selline browser, mis jookseb täiesti korrektse HTML'i korral kokku.

njahh ysnagi ammendavad peaks mainima

[arm2004]

[HacaX]

IRW. See ongi just säärane vastus mida ma ootasin, ehk siis enamikul tõenäoliselt ei ole (ja seega kõik veebist tulevad rakendused mis end sinna suudavad meltida jooksevad ilusasti enam-vähem maksimumprivileegidega )

Väike pilt illustreerimaks/vihjamaks/mõtete edendamiseks:

[pescador]

Hmm.. mul polegi sellist valikut Internet Options->Security all. On ainult Internet, Local intranet, Trusted sites ja Restricted sites. OS on Windows XP SP2. Kas see My Computer on sul sinna ise mingi trikiga tekitatud?

[arm2004]

[HacaX]

[EvilMick007]

Heh IE-ga brausides läheb arvuti isegi HV-s kooma, kui mingi kasutaja avatar on aeglaselt kättesaadav/puudulik. Clean install XP SP2 kõigi uuendustega 8)

[linux]

[HacaX]

Khmmm... nii et sul funkas CURRENT_USER harus asja modides? Mul just vastupidi: selle kaudu ei liiguta lillegi, LOCAL_MACHINE'iga aga funkab ilusti... peab vist pluginat veidi modifitseerima et mõlemat pidi saaks aktiveerida...