mboost-dp1
Microsoft
Sorry mit ordkløveri, men...
Skulle det ikke være "Den suveræne vinder i at have flest bugs?
...der havde flest bugs. Den suveræne taber var ActiveX...
Skulle det ikke være "Den suveræne vinder i at have flest bugs?
#7 Symantec har ikke lavet en konkurrence, men en test. Hvem er den største taber i golf - ham med flest eller færre slag?
Testens mål må være at have færrest bugs. Vinderen er ifølge Symantec Firefox addons. Kun 0,4% er de bugs, som blev fundet i testperioden, var fra addons
Testens mål må være at have færrest bugs. Vinderen er ifølge Symantec Firefox addons. Kun 0,4% er de bugs, som blev fundet i testperioden, var fra addons
#9
Men når det er formuleret som det, så skal det være ActiveX der er vinderen, fordi den havde flest bugs. Hvis den i den quotede sætning havde været betegnet som en taber ville den have haft færrest bugs.
Men nok flueknepperi for én dag :D
Der er vel ikke nogen der er overraskede?
Men når det er formuleret som det, så skal det være ActiveX der er vinderen, fordi den havde flest bugs. Hvis den i den quotede sætning havde været betegnet som en taber ville den have haft færrest bugs.
Men nok flueknepperi for én dag :D
Der er vel ikke nogen der er overraskede?
Det er en genial nyhed som virkelig viser hvad journalisten rent faktisk ved om ActiveX.
ActiveX er ikke en komponent, det er en standard for hvordan man laver komponenter således at de kan arbejde sammen med andet software.
At sammenligne ActiveX med Flash eller Quicktime giver ikke mening da Flash og Quicktime også er implementeret ved at bruge ActiveX. Betyder det så at fejl i Flash og Quicktime kontrollerne også tæller som ActiveX fejl ?
Hvis man beslutter at det er ActiveX der er fejl i, hvis der opstår en fejl i en kontrol der er skrevet ved at bruge ActiveX så betyder det vel bare at C++ er endnu mere fejlfyldt da ActiveX er skrevet ved at bruge C++. Så kan man på den baggrund beslutte at C++ er det mest usikre programmerings sprog og at folk skal holde op med at bruge programmer skrevet i C++ og i stedet kun bruge C# som er det sprog med færrest rapporterede fejl ?
Så længe plugins er skrevet i eksekverbar kode, så vil der kunne være fejl og sikkerhedshuller i det og så er det ligegyldigt hvilken standard der bliver brugt til det. Java plugins er ikke skrevet i eksekverbar kode, men lever i en virtuel maskine, men så er hastigheden også derefter. Så er det vist op til hver enkelt om de vil køre hurtig og farlig kode eller langsom og sikker kode.
ActiveX er ikke en komponent, det er en standard for hvordan man laver komponenter således at de kan arbejde sammen med andet software.
At sammenligne ActiveX med Flash eller Quicktime giver ikke mening da Flash og Quicktime også er implementeret ved at bruge ActiveX. Betyder det så at fejl i Flash og Quicktime kontrollerne også tæller som ActiveX fejl ?
Hvis man beslutter at det er ActiveX der er fejl i, hvis der opstår en fejl i en kontrol der er skrevet ved at bruge ActiveX så betyder det vel bare at C++ er endnu mere fejlfyldt da ActiveX er skrevet ved at bruge C++. Så kan man på den baggrund beslutte at C++ er det mest usikre programmerings sprog og at folk skal holde op med at bruge programmer skrevet i C++ og i stedet kun bruge C# som er det sprog med færrest rapporterede fejl ?
Så længe plugins er skrevet i eksekverbar kode, så vil der kunne være fejl og sikkerhedshuller i det og så er det ligegyldigt hvilken standard der bliver brugt til det. Java plugins er ikke skrevet i eksekverbar kode, men lever i en virtuel maskine, men så er hastigheden også derefter. Så er det vist op til hver enkelt om de vil køre hurtig og farlig kode eller langsom og sikker kode.
#13 Vil nu mene at der er andre nyheder i verden end ms og apple nyheder. Syntes bare at lige meget hvor man læser henne så er der en "nyhed" om microsoft.
#19: Nej, ActiveX er IKKE et plugin til IE. ActiveX er en standard som man bruger til at skrive kontroller til Windows. Denne standard er understøttet af IE, således at du kan embedde kontroller som overholder ActiveX standarden på websider (Såfrem ActiveX kontrollen er markeret som safe for scripting og en række andre regler er overholdt).
At Flash/Quicktime indeholder fejl i deres ActiveX implementation betyder ikke at ActiveX indeholder fejl. Hvis nogen skrev en plugin til Safari som indeholdt fejl ville det også være plugin'et som indeholdt fejlen og ikke Safari plugin standarden.
At Flash/Quicktime indeholder fejl i deres ActiveX implementation betyder ikke at ActiveX indeholder fejl. Hvis nogen skrev en plugin til Safari som indeholdt fejl ville det også være plugin'et som indeholdt fejlen og ikke Safari plugin standarden.
#22
Men naar det nu er ActiveX som indeholder fejlene, hvad er problemet saa?
Og jo, ActiveX er skam et plugin til IE, eller omvendt kan du sige at IE koerer ActiveX direkte, resultatet er det samme.
Men hvad er det der er din pointe?
At der aldrig kan vaere fejl i ActiveX? Eller hvorledes?
Eller er det bare fordi du ikke vil fortaelle os det rigtige navn paa den her "ActiveX" implementation? :)
Men naar det nu er ActiveX som indeholder fejlene, hvad er problemet saa?
Og jo, ActiveX er skam et plugin til IE, eller omvendt kan du sige at IE koerer ActiveX direkte, resultatet er det samme.
Men hvad er det der er din pointe?
At der aldrig kan vaere fejl i ActiveX? Eller hvorledes?
Eller er det bare fordi du ikke vil fortaelle os det rigtige navn paa den her "ActiveX" implementation? :)
#23
Det er jo netop ikke ActiveX som er problemet, problemet er at nogen udviklere laver defekt kode. Den defekte kode pakker de så ind i en ActiveX kontrol. Det at de har pakket den ind i ActiveX kontrollen gør ikke indpakningen (ActiveX) defekt, det gør stadig indholdet (Den defekte kode) defekt.
Hvis du tager 1 kg råddent kød og pakker det ind i en plastikpose og du samtidig tager 1 kg ikke-råddent kød og pakker ind i en celofan pakning, så kan du heller ikke udlede at plastikposer er defekte og celofan pakninger ikke er det.
Min pointe er at det ikke er ActiveX der er fejlen, det er den dårlige implementation der er fejlen.
Artiklen havde været relevant hvis den havde peget på at der fandtes flere ActiveX kontroller end Firefox plugins, eller at det var sværere at implementere ActiveX kontroller end Opera plugins, eller at det var lettere at finde fejl i ActiveX kontroller end andre plugins. I stedet konkluderer den at ActiveX (Indpakningen) indeholder fejl, hvilket ikke er tilfældet.
Det er jo netop ikke ActiveX som er problemet, problemet er at nogen udviklere laver defekt kode. Den defekte kode pakker de så ind i en ActiveX kontrol. Det at de har pakket den ind i ActiveX kontrollen gør ikke indpakningen (ActiveX) defekt, det gør stadig indholdet (Den defekte kode) defekt.
Hvis du tager 1 kg råddent kød og pakker det ind i en plastikpose og du samtidig tager 1 kg ikke-råddent kød og pakker ind i en celofan pakning, så kan du heller ikke udlede at plastikposer er defekte og celofan pakninger ikke er det.
Min pointe er at det ikke er ActiveX der er fejlen, det er den dårlige implementation der er fejlen.
Artiklen havde været relevant hvis den havde peget på at der fandtes flere ActiveX kontroller end Firefox plugins, eller at det var sværere at implementere ActiveX kontroller end Opera plugins, eller at det var lettere at finde fejl i ActiveX kontroller end andre plugins. I stedet konkluderer den at ActiveX (Indpakningen) indeholder fejl, hvilket ikke er tilfældet.
Mort:
Og du synes ikke at ActiveX burde sandboxe denne kode, så en vilkårlig scriptkiddie kan få afviklet sin h4x0r l33t-VB-ActiveX-applet uden at vælte din maskine? På samme måde som Sun sørger for at Java sandboxer applets så de ikke kan sende hele din harddisk til whoever?
Som standard skal en applikations-host ikke give nogen tilladelser overhovedet (ud over at afvikle applikationen i vakum). Hvilket Java og flash håndterer nogenlunde, men som ActiveX er bundelendig til.
For at tage din pose-analogi:
Hvis man tager to poser (ActiveX og Java), og fylder dem med piratfisk (ondsindet kode). Når du så bliver spist af piratfiskene fra ActiveX-posen, er det så fordi:
a) posen var af for dårlig kvalitet
b) piratfiskene skulle aldrig have været i posen, og dem der har puttet dem der i er dumme (hvilket ikke redder din røv, når du er gnavet ind til knoglerne)
Den eneste pose med råddent kød her er vist din idé om hvad sikkerhed er.
Og du synes ikke at ActiveX burde sandboxe denne kode, så en vilkårlig scriptkiddie kan få afviklet sin h4x0r l33t-VB-ActiveX-applet uden at vælte din maskine? På samme måde som Sun sørger for at Java sandboxer applets så de ikke kan sende hele din harddisk til whoever?
Som standard skal en applikations-host ikke give nogen tilladelser overhovedet (ud over at afvikle applikationen i vakum). Hvilket Java og flash håndterer nogenlunde, men som ActiveX er bundelendig til.
For at tage din pose-analogi:
Hvis man tager to poser (ActiveX og Java), og fylder dem med piratfisk (ondsindet kode). Når du så bliver spist af piratfiskene fra ActiveX-posen, er det så fordi:
a) posen var af for dårlig kvalitet
b) piratfiskene skulle aldrig have været i posen, og dem der har puttet dem der i er dumme (hvilket ikke redder din røv, når du er gnavet ind til knoglerne)
Den eneste pose med råddent kød her er vist din idé om hvad sikkerhed er.
Kunne godt tænke mig at vide hvor mange af jer der egentlig nogensinde har fået en fejlmelding pga ActiveX. Hos mig kører det upåklageligt;-)
#26
Som jeg har forstået det, er der ikke tale om ActiveX der crasher, men derimod ActiveX med sikkerhedshuller
der linkes til en artikkel hvor der bl.a står
Man kan så sige at de her sites må blive bedre til at kode, men MS må også lige sørge for at man ikke bare kan udnytte skod-ActiveX-controls til at smække virus ind..
Som jeg har forstået det, er der ikke tale om ActiveX der crasher, men derimod ActiveX med sikkerhedshuller
ActiveX's problems haven't improved in 2008. In February, for example, a wave of vulnerabilities in several high-profile ActiveX controls prompted the U. S. Computer Emergency Readiness Team (US-CERT) to recommend that users disable all IE plug-ins.
der linkes til en artikkel hvor der bl.a står
Three new vulnerabilities in the photo uploader software used by both Facebook and MySpace were disclosed yesterday by researcher Elezar Broad, who on Monday also posted sample attack code for a pair of critical bugs in Yahoo's Music Jukebox. Last week, Broad had pinned the Facebook and MySpace ActiveX controls with two other flaws. All five of the Facebook/MySpace vulnerabilities originated with an ActiveX control developed by Aurigma Inc.
Man kan så sige at de her sites må blive bedre til at kode, men MS må også lige sørge for at man ikke bare kan udnytte skod-ActiveX-controls til at smække virus ind..
#25: Da du tilsyneladende ikke har læst #17 vil jeg da gerne lige gentage mig selv:
[quote]Så længe plugins er skrevet i eksekverbar kode, så vil der kunne være fejl og sikkerhedshuller i det og så er det ligegyldigt hvilken standard der bliver brugt til det. Java plugins er ikke skrevet i eksekverbar kode, men lever i en virtuel maskine, men så er hastigheden også derefter. Så er det vist op til hver enkelt om de vil køre hurtig og farlig kode eller langsom og sikker kode.[quote]
[quote]Så længe plugins er skrevet i eksekverbar kode, så vil der kunne være fejl og sikkerhedshuller i det og så er det ligegyldigt hvilken standard der bliver brugt til det. Java plugins er ikke skrevet i eksekverbar kode, men lever i en virtuel maskine, men så er hastigheden også derefter. Så er det vist op til hver enkelt om de vil køre hurtig og farlig kode eller langsom og sikker kode.[quote]
Lidt andet blandet:
* der er 2 help distincte potentielle security issues ved ActiveX plugins: 1) når man installerer en ActiveX plugin så har den fuld adgang til alt så man skal kun installere fra pålidelig kilde 2) en godsindet ActiveX plugin hentet fra en pålidelig kilde men med en fejl kan udnyttes af en ondsindet web side af 3. part
* ActiveX bruger ikke sandkasse, native teknologi svær at putte in sandkasse (jeg mener dog at de har lavet noget i Vista) og det har aldrig været meningen at folk skulle downloade untrusted ActiveX plugins modsat Java applets og flash (og sandkasse som second line of defense mod fejl i plugins var nok ikke på bordet dengang for 10 år siden da ActiveX plugins blev defineret)
* ActiveX kan skrives i andet end C++ bl.a. VB6, men C++ er sikkert det mest almindelige
* det med hastigheden holder ikke - idag er JIT compilere ca. lige så gode som AOT compilere til at optimere
* der er 2 help distincte potentielle security issues ved ActiveX plugins: 1) når man installerer en ActiveX plugin så har den fuld adgang til alt så man skal kun installere fra pålidelig kilde 2) en godsindet ActiveX plugin hentet fra en pålidelig kilde men med en fejl kan udnyttes af en ondsindet web side af 3. part
* ActiveX bruger ikke sandkasse, native teknologi svær at putte in sandkasse (jeg mener dog at de har lavet noget i Vista) og det har aldrig været meningen at folk skulle downloade untrusted ActiveX plugins modsat Java applets og flash (og sandkasse som second line of defense mod fejl i plugins var nok ikke på bordet dengang for 10 år siden da ActiveX plugins blev defineret)
* ActiveX kan skrives i andet end C++ bl.a. VB6, men C++ er sikkert det mest almindelige
* det med hastigheden holder ikke - idag er JIT compilere ca. lige så gode som AOT compilere til at optimere
Nu vi er ved det blandede vil jeg da også lige poste et link til en sammenligning mellem hastigheden for en række Java og C++ operationer, så er det op til den enkelte at vurdere om Java er hurtigt eller langsomt:
http://www.tommti-systems.de/go.html?http://www.tommti-systems.de/main-Dateien/reviews/languages/benchmarks.html
http://www.tommti-systems.de/go.html?http://www.tommti-systems.de/main-Dateien/reviews/languages/benchmarks.html
Prøver lige linket uden URL tag på:
http://www.tommti-systems.de/go.html?http://www.to...
http://www.tommti-systems.de/go.html?http://www.to...
15 skrev:#14 skulle den så ikke hede MSNation ;)
Sssshhh gutter, i må ikke sige det her til nogen.. www.pcinsider.dk ;)
#28:
I så fald er ActiveX begge dele, da den også kan eksekvere .Net kode, som er [TADA.WAV] byte-code! Lige som Java. Og det er fuldstændigt ligegyldt om det er byte-kode eller "native" Win32. Begge dele kører på en virtuel maskine (Java eller en Win32 maskine), og eneste grund til at ActiveX ikke er sikkert er at MS ikke har lavet deres sandbox sikker nok. Og jo, ActiveX er sandboxed, ligesom alle andre apps du kan køre på en computer. Spørgsmålet er blot hvor god denne sandbox er konstrueret (unprotected mode undtaget).
Arne_v:
Hvis ActiveX ikke er et plugin hvad er det så, når det kan bruges i HTML? HTML standen beskriver ikke noget der hedder ActiveX, tilgengæld bliver ActiveX appletter embedded med Object. Eneste område ActiveX adskiller sig fra andre plugins er at det er den eneste der er understøttet _native_ i IE. At Adobe, Sun osv. vælger at lave deres plugins i ActiveX er som sådan irrelevant.
Desuden, at en teknologi ikke er beregnet til at være sikker er vel ikke en undskyldning for sikkerhedsbrister? Specielt ikke på en så udbredt teknologi.
I så fald er ActiveX begge dele, da den også kan eksekvere .Net kode, som er [TADA.WAV] byte-code! Lige som Java. Og det er fuldstændigt ligegyldt om det er byte-kode eller "native" Win32. Begge dele kører på en virtuel maskine (Java eller en Win32 maskine), og eneste grund til at ActiveX ikke er sikkert er at MS ikke har lavet deres sandbox sikker nok. Og jo, ActiveX er sandboxed, ligesom alle andre apps du kan køre på en computer. Spørgsmålet er blot hvor god denne sandbox er konstrueret (unprotected mode undtaget).
Arne_v:
Hvis ActiveX ikke er et plugin hvad er det så, når det kan bruges i HTML? HTML standen beskriver ikke noget der hedder ActiveX, tilgengæld bliver ActiveX appletter embedded med Object. Eneste område ActiveX adskiller sig fra andre plugins er at det er den eneste der er understøttet _native_ i IE. At Adobe, Sun osv. vælger at lave deres plugins i ActiveX er som sådan irrelevant.
Desuden, at en teknologi ikke er beregnet til at være sikker er vel ikke en undskyldning for sikkerhedsbrister? Specielt ikke på en så udbredt teknologi.
arne_v:
Windows kernen (og alle andre OS der kan multitaske) laver en virtuel maskine til alle processor den starter. Ellers ville alle det være svært at lave adressering (uden at processen selv skulle ligge en base-adresse til ved alle hukommelsestilgange). Så jo, ActiveX kører også en en virtuel maskine.
Og jo, native kode er sandboxed. Det er ganske vist på hardware niveau, men det er stadig sandboxed. Ellers ville enhver app kunne hoppe i protected mode, og så ville helvede være løs.
Hvis ActiveX ikke er et plugin, hvad er det så?
Hvis jeg laver en plugin-arkitetur i Java, ophører Java så med at være et plugin til IE? Eller er der specielle regler for ActiveX? Bare fordi ActiveX er native understøttet i IE giver det jo ikke specielle regler for hvad det er.
Desuden kan man også embedde Java og Flash med <object> så jeg kan ikke se hvordan det ændre på ActiveXs status?
Windows kernen (og alle andre OS der kan multitaske) laver en virtuel maskine til alle processor den starter. Ellers ville alle det være svært at lave adressering (uden at processen selv skulle ligge en base-adresse til ved alle hukommelsestilgange). Så jo, ActiveX kører også en en virtuel maskine.
Og jo, native kode er sandboxed. Det er ganske vist på hardware niveau, men det er stadig sandboxed. Ellers ville enhver app kunne hoppe i protected mode, og så ville helvede være løs.
Hvis ActiveX ikke er et plugin, hvad er det så?
Hvis jeg laver en plugin-arkitetur i Java, ophører Java så med at være et plugin til IE? Eller er der specielle regler for ActiveX? Bare fordi ActiveX er native understøttet i IE giver det jo ikke specielle regler for hvad det er.
Desuden kan man også embedde Java og Flash med <object> så jeg kan ikke se hvordan det ændre på ActiveXs status?
#36
Virtuelt addresse rum er ikke en virtuel maskine. En virtuel maskine er et virtuelt instruktions sæt (Java byte code, MSIL eller andet), en memory model o.s.v..
En sandbox er ikke bare et virtuelt adresse rum eller en virtuel maskine. En sandbox er nogle restriktioner på hvad et program kan gøre der gør at man kan køre selv ondsindet kode uden at risikere noget.
ActiveX er et en en kontrakt (et API i lidt bred forstand) mellem IE og plugins.
Man kan godt lave plugins til plugins. Men en ActiveX plugin er ikke et plugin til ActiveX. Ligesom Foobar appletten heller ikke er en plugin til applet.
Og jeg gentager at SUN og Adobe bruger ActiveX viset vel netop at det er meningsløst at sammenligne ActiveX med Java og Flash.
Virtuelt addresse rum er ikke en virtuel maskine. En virtuel maskine er et virtuelt instruktions sæt (Java byte code, MSIL eller andet), en memory model o.s.v..
En sandbox er ikke bare et virtuelt adresse rum eller en virtuel maskine. En sandbox er nogle restriktioner på hvad et program kan gøre der gør at man kan køre selv ondsindet kode uden at risikere noget.
ActiveX er et en en kontrakt (et API i lidt bred forstand) mellem IE og plugins.
Man kan godt lave plugins til plugins. Men en ActiveX plugin er ikke et plugin til ActiveX. Ligesom Foobar appletten heller ikke er en plugin til applet.
Og jeg gentager at SUN og Adobe bruger ActiveX viset vel netop at det er meningsløst at sammenligne ActiveX med Java og Flash.
"This is the voice of Vrillon, a representative of the Ashtar Galactic Command, speaking to you. For many years you have seen us as lights in the skies. We speak to you now in peace and wisdom as we have done to your brothers and sisters all over this, your planet Earth. We come to warn you of the destiny of your race and your world so that you may communicate to your fellow beings the course you must take to avoid the disasters which threaten your world, and the beings on our worlds around you. This is in order that you may share in the great awakening, as the planet passes into the New Age of Aquarius. The New Age can be a time of great peace and evolution for your race, but only if your rulers are made aware of the evil forces that can overshadow their judgments. Be still now and listen, for your chance may not come again. For many years your scientists, government and generals have not heeded our warnings; they have continued to experiment with the evil forces of what you call nuclear energy. Atomic bombs can destroy the Earth, and the beings of your sister worlds, in a moment. The wastes from atomic power systems will poison your planet for many thousands of your years to come. We, who have followed the path of evolution for far longer than you, have long since realized this - that atomic energy is always directed against life. It has no peaceful application. Its use, and research into its use, must be ceased at once, or you all risk destruction. All weapons of evil must be removed. The time of conflict is now past. The race of which you are a part may proceed to the highest planes of evolution if you show yourselves worthy to do this. You have but a short time to learn to live together in peace and goodwill. Small groups all over the planet are learning this, and exist to pass on the light of the dawning New Age to you all. You are free to accept or reject their teachings, but only those who learn to live in peace will pass to the higher realms of spiritual evolution. Hear now the voice of Vrillon, a representative of the Ashtar Galactic Command, speaking to you. Be aware also that there are many false prophets and guides operating in your world. They will suck your energy from you - the energy you call money and will put it to evil ends giving you worthless dross in return. Your inner divine self will protect you from this. You must learn to be sensitive to the voice within that can tell you what is truth, and what is confusion, chaos and untruth. Learn to listen to the voice of truth which is within you and you will lead yourselves on to the path of evolution. This is our message to our dear friends. We have watched you growing for many years as you too have watched our lights in your skies. You know now that we are here, and that there are more beings on and around your Earth than your scientists admit. We are deeply concerned about you and your path towards the light and will do all we can to help you. Have no fear, seek only to know yourselves, and live in harmony with the ways of your planet Earth. We of the Ashtar Galactic Command thank you for your attention. We are now leaving the plane of your existence. May you be blessed by the supreme love and truth of the cosmos."
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund