mboost-dp1
unknown
http://mozilla.org/security/shell.html
Microsoft, are you watching?
I øvrigt gider jeg ikke høre på Peter Kruse. Han har flere gange vist, at han ikke ligefrem er et sikkerhedsgeni (http://tinyurl.com/25ca2). Han skriver bl.a.:
"Det er med fundet af denne svaghed, i princippet ligegyldigt, om man vælger at køre med Internet Explorer, eller en Mozilla baseret browser, da begge fejl er lige graverende"
Ævl, specielt taget i betragtning at Mozilla retter deres fejl.
Microsoft, are you watching?
I øvrigt gider jeg ikke høre på Peter Kruse. Han har flere gange vist, at han ikke ligefrem er et sikkerhedsgeni (http://tinyurl.com/25ca2). Han skriver bl.a.:
"Det er med fundet af denne svaghed, i princippet ligegyldigt, om man vælger at køre med Internet Explorer, eller en Mozilla baseret browser, da begge fejl er lige graverende"
Ævl, specielt taget i betragtning at Mozilla retter deres fejl.
Skidt, men hurtig fejlfinding er essentielt.
Må sige at Mozilla er hutigt ude.. Imponerende.. Thumbs up, Firefox er stadig favoritten her i huset.
Må sige at Mozilla er hutigt ude.. Imponerende.. Thumbs up, Firefox er stadig favoritten her i huset.
I og jeres hurtigere opdateringer, prøv nu lige at bruge lidt sund fornuft.
Hvis Mozilla/Firefox var lige udbredt som IE, og flere tusind firma'er bruge den funktion som de har valgt at disable. Alle de firmaer havede så solgt programmer til flere millioner mennesker som forventer deres programmer virker.
Tror du så også, at det bare lige det var at disable denne funktion og alle var glade.
Verden er nu engang ikke så let.
Men det er nok typisk for nørder ikke at kunne overskue hele det store billede, når den virkelige verden pludselig skal tages med.
Der er jo lidt langt fra den mørke krog foran monitoren ;)
Hvis Mozilla/Firefox var lige udbredt som IE, og flere tusind firma'er bruge den funktion som de har valgt at disable. Alle de firmaer havede så solgt programmer til flere millioner mennesker som forventer deres programmer virker.
Tror du så også, at det bare lige det var at disable denne funktion og alle var glade.
Verden er nu engang ikke så let.
Men det er nok typisk for nørder ikke at kunne overskue hele det store billede, når den virkelige verden pludselig skal tages med.
Der er jo lidt langt fra den mørke krog foran monitoren ;)
#2 "Skidt, men hurtig fejlfinding er essentielt."
Ja, godt at udviklerene er hurtigt ude, men det er mindst ligså vigtigt at brugerene også er det.
Alle dem der i den sidste tid er begyndt at prøve / skiftet til Mozilla, sidder de mon og nørder og følger med i udviklingen? Jeg har da noget familie jeg anbefalede Firefox til. Jeg er bange for at de ikke opdaterer.
Mon ikke Mozilla har (får) brug for en eller ande automatisk opdatering, hvis (når) den nu bliver rigtig udbredt?
Ja, godt at udviklerene er hurtigt ude, men det er mindst ligså vigtigt at brugerene også er det.
Alle dem der i den sidste tid er begyndt at prøve / skiftet til Mozilla, sidder de mon og nørder og følger med i udviklingen? Jeg har da noget familie jeg anbefalede Firefox til. Jeg er bange for at de ikke opdaterer.
Mon ikke Mozilla har (får) brug for en eller ande automatisk opdatering, hvis (når) den nu bliver rigtig udbredt?
#4 Ikke desto mindre er det rart at folk der ikke bruger pågældende funktion øjeblikkeligt kan få lukket hullet i stedet for at skulle vente på den endelige løsning. Førstehjælpen kan begrænse udbredelsen af virus m.m. der udnytter hullet ved at beggrænse antallet af mulige smittebærere. På den måde reduceres risikoen også for dem der ikke kan undvære den pågældende funktion indtil den endelige løsning bliver udgivet. DERFOR er det vigtigt med hurtige "stands ulykken" patches. Der er nok ikke mange der forventer at de mere komplicerede problemer bliver fuldstændig løst på så kort tid, inklusive bugtest m.m.. Så drop de bedrevidende kommentarer indtil du kan overskue hele billedet.
edit #5: Du har fat i noget der. Autoopdate kombineret med hurtig respons kunne være rigtig smart!
edit #5: Du har fat i noget der. Autoopdate kombineret med hurtig respons kunne være rigtig smart!
@5 "Mon ikke Mozilla har (får) brug for en eller ande automatisk opdatering, hvis (når) den nu bliver rigtig udbredt?"
Er under udvikling. Tjek tools -> options -> advanced -> software update.
Meget lækkert med den xpi patch der lige lapper hullet :o)
Er under udvikling. Tjek tools -> options -> advanced -> software update.
Meget lækkert med den xpi patch der lige lapper hullet :o)
#4: Det er til enhver tid vigtigere at stoppe hullet, end at det bliver udnyttet. Og skal lige siges at mozilla ikke er ene om at lave denne form for patch.
Og udover dette, bør man alligevel aldrig have adgang til shell igennem en browser. En browser har til opgave at fortolke og vise noget indhold. Jeg kan ikke rigtigt se det skulle hjælpe at kunne udføre shell kommandoer.
Og udover dette, bør man alligevel aldrig have adgang til shell igennem en browser. En browser har til opgave at fortolke og vise noget indhold. Jeg kan ikke rigtigt se det skulle hjælpe at kunne udføre shell kommandoer.
@8 :oP. Glemte selvfølgelig lige versionen. Det er i FireFox 0.9.0+ , men det er jo også den der bliver Mozillabrowseren inden så længe.
"Man kan derefter afvikle vilkårlig ondsindet kode på brugerens computer."
Men ikke godsindet eller hvad?
Men ikke godsindet eller hvad?
Er det nu at man skal lægge et link hvor i kan downloade IE ? :)
Nah...men jer mozilla brugere skulle måske tænke jer om inden i flamer IE en anden gang :)
Der er fejl i alt software. Det er spørgsmål om at man bruger kræfter nok på at finde de fejl.
Da der er langt flere brugere af IE er der jo også mest focus på denne med folk som leder efter fejl og derfor finder man flere fejl der.
Nah...men jer mozilla brugere skulle måske tænke jer om inden i flamer IE en anden gang :)
Der er fejl i alt software. Det er spørgsmål om at man bruger kræfter nok på at finde de fejl.
Da der er langt flere brugere af IE er der jo også mest focus på denne med folk som leder efter fejl og derfor finder man flere fejl der.
"Der er fejl i alt software"
... Har NOGEN nogensinde påstået anderledes? Selvfølgelig er der også fejl i mozilla - bare se deres bugtraq - men fejlen er hurtigt rettet, og... Ja... Nu er det jo altså open source, det tæller af flere grunde også op (Jeg vil overlade det til en eller anden opensource zealot om at overbevise dig om hvilke).
... Men jeg har det nu ret godt med min automatiske opdatering af mozilla - og alt andet - som sker gennem apt-get. No worries! :)
... Har NOGEN nogensinde påstået anderledes? Selvfølgelig er der også fejl i mozilla - bare se deres bugtraq - men fejlen er hurtigt rettet, og... Ja... Nu er det jo altså open source, det tæller af flere grunde også op (Jeg vil overlade det til en eller anden opensource zealot om at overbevise dig om hvilke).
... Men jeg har det nu ret godt med min automatiske opdatering af mozilla - og alt andet - som sker gennem apt-get. No worries! :)
Bare lige for at afklare et par ting.
Denne "shell" bug, som den er blevet kaldt, er reélt ikke en bug i Mozilla/Firefox, men en bug i Windows 2000/XP. Grunden til at det påvirker IE såvel som Mozilla, er at Mozilla kalder den eksterne protokol shell:// i Windows. Siden 2002 har der været en bug report (bug 167475) på Bugzilla hvor der er blevet diskuteret frem og tilbage om hvorvidt eksterne protokoller kunne være en sikkerhedsrisiko, og om det er noget der skulle gøres fjernes helt. Så for nyligt (bug 250180) viste det sig så at det var en sikkerheds risiko, og der blev udgivet en ny version, med fejlen rettet, næste dag.
.. og inden i kommer for godt i gang med at vi skal installere IE, så synes jeg det er værd at poientere at i stadig ikke har noget bugfix (medmindre i altså kører XP SP2). ;)
Denne "shell" bug, som den er blevet kaldt, er reélt ikke en bug i Mozilla/Firefox, men en bug i Windows 2000/XP. Grunden til at det påvirker IE såvel som Mozilla, er at Mozilla kalder den eksterne protokol shell:// i Windows. Siden 2002 har der været en bug report (bug 167475) på Bugzilla hvor der er blevet diskuteret frem og tilbage om hvorvidt eksterne protokoller kunne være en sikkerhedsrisiko, og om det er noget der skulle gøres fjernes helt. Så for nyligt (bug 250180) viste det sig så at det var en sikkerheds risiko, og der blev udgivet en ny version, med fejlen rettet, næste dag.
.. og inden i kommer for godt i gang med at vi skal installere IE, så synes jeg det er værd at poientere at i stadig ikke har noget bugfix (medmindre i altså kører XP SP2). ;)
#7
Man behøver ikke engang deromkring. Hvis man bruger windows med standard opsætning, så kan man kigge lige over uret i windows, der er sådan en lille rubrik i firefox og den lyser med et nummer hvis der er opdateringer til browseren eller til ens plugins. Super-smart hvis altså bare husker at bruge det (og har aktiveret det i options).
Man behøver ikke engang deromkring. Hvis man bruger windows med standard opsætning, så kan man kigge lige over uret i windows, der er sådan en lille rubrik i firefox og den lyser med et nummer hvis der er opdateringer til browseren eller til ens plugins. Super-smart hvis altså bare husker at bruge det (og har aktiveret det i options).
#4 - "Firefox 0.9.1 is a Technology Preview. While this software works well enough to be relied upon as your primary browser in most cases, we make no guarantees of its performance or stability. It is a pre-release product and should not be relied upon for mission-critical tasks. See the License Agreement for more information."
Saa det kan slet ikke sammenlignes overhovedet. Hvis det havde vaeret en final som IE, ville du have ret, men i bund og grund er det 'bare' en beta og betaer har huller, deraf navnet.
Saa det kan slet ikke sammenlignes overhovedet. Hvis det havde vaeret en final som IE, ville du have ret, men i bund og grund er det 'bare' en beta og betaer har huller, deraf navnet.
26#
Det vil jeg da give dig ret i, men efter det ikke er sket må de følge Windows XP, til de får rettet fejlen hvis de ønsker en Windows version af deres browser ligesom alle andre.
Det vil jeg da give dig ret i, men efter det ikke er sket må de følge Windows XP, til de får rettet fejlen hvis de ønsker en Windows version af deres browser ligesom alle andre.
#24 og til alle jer andre MSIE fans der endelig har noget at hyle op over, en violin er vist ikke nok til jer, i må hellere få en hel kvartet - "viuuuyyyiiuuh viuuuyyyiiuuh viuuuyyyiiuuh viuuuyyyiiuuh" - der har på det sidste været rapporteret ugentlige fejl i MSIE så jeg vil stadig påstå at Mozilla er i førertrøjen.
#19 du kan jo starte med windows .-)
#19 du kan jo starte med windows .-)
#13:
http://news.netcraft.com/archives/web_server_surve...
...Hvor er alle de exploits der burde være til Apache?
http://news.netcraft.com/archives/web_server_surve...
...Hvor er alle de exploits der burde være til Apache?
#7 Det er meget fint med den auto upodate, men skidtet virker jo ikke :-) Hver gange jeg starter mozilla kommer den med skildtet om at jeg skal opdatere og jeg henter den hver gang, men lige efter installation siger den stadig der er opdateringer. Det er heller ikke overskueligt hvad man opdatere, man kommer bare ind på en side og skal hente en ny version af browseren, som åbenbart ikke gør tingene bedre, siden den stadig siger jeg skal opdatere. Der fungere MS nu altid.
Men er meget positiv over Firefox, selv min netbank virker.
Ud over det, er jeg virkelig forarvet over hvor dårlig Thunderbird er som newsreader, alt er bare instillet af h til som standard og man kan ikke rigtig ændre defaults. Har spurgt i NG's men for ingen svar, så det kan tilsyneladene ikke lade sig gøre at gemme ændringer til meget simple ting, som f.eks. at den ikke skal slå alle threads ud og man ikke kan fortælle den om den skal svare over eller under det indlæg man svare på, bare det punkt gør den for min komplet ubrugelig. OE er ikke noget vidunder hvad angår NG's, men mange gange mere konfigurerbar end thunderbird, det kan undre en hvor lidt de har gjort siden netscape.
Men er meget positiv over Firefox, selv min netbank virker.
Ud over det, er jeg virkelig forarvet over hvor dårlig Thunderbird er som newsreader, alt er bare instillet af h til som standard og man kan ikke rigtig ændre defaults. Har spurgt i NG's men for ingen svar, så det kan tilsyneladene ikke lade sig gøre at gemme ændringer til meget simple ting, som f.eks. at den ikke skal slå alle threads ud og man ikke kan fortælle den om den skal svare over eller under det indlæg man svare på, bare det punkt gør den for min komplet ubrugelig. OE er ikke noget vidunder hvad angår NG's, men mange gange mere konfigurerbar end thunderbird, det kan undre en hvor lidt de har gjort siden netscape.
Fejlen er der kun når der står shell:// som ekstern protokol. Derfor er det ikke et problem for den avancerede bruger. Dog synes jeg der er en del knas med dns'en for tiden, så jeg vil høre om der er nogen der kender gpg/pgp nøgler til mozillas whitelistning (af xpi'er)?
#30
Der er masser. http://www.securityfocus.com/bid ...søg selv..
Selvf. ikke så mange hvis man kører en "ren" apache uden nogle moduler, men så kan man heller ikke bruge den til så meget. Men hvis man ser webserveren som en helhed, så er det da tit at den skal opgraderes. enten i mod_proxy, php, perl, whatever.
Der er masser. http://www.securityfocus.com/bid ...søg selv..
Selvf. ikke så mange hvis man kører en "ren" apache uden nogle moduler, men så kan man heller ikke bruge den til så meget. Men hvis man ser webserveren som en helhed, så er det da tit at den skal opgraderes. enten i mod_proxy, php, perl, whatever.
#33
Korrekt nok, men nu har vi jo her et tilfælde hvor et stykke OpenSource software er mere udbredt end et stykke MS software, og sjovt nok er der ikke dobbelt så mange exploits til OSS softwaret.
I'm just wondering, måske holder den ide om at mere fokus = flere sikkerhedsfejl ikke helt... Jeg har faktisk aldrig set nogle områder hvor den kan bevises, da jeg ikke har set et marked hvor et produkt i sin storhedstid har haft mange exploits, hvor et konkurrerende produkt uden så meget marked ikke har haft så mange, og hvor situationen senere er vendt. Vis mig det, og så vil jeg tage det til efterretning...
Korrekt nok, men nu har vi jo her et tilfælde hvor et stykke OpenSource software er mere udbredt end et stykke MS software, og sjovt nok er der ikke dobbelt så mange exploits til OSS softwaret.
I'm just wondering, måske holder den ide om at mere fokus = flere sikkerhedsfejl ikke helt... Jeg har faktisk aldrig set nogle områder hvor den kan bevises, da jeg ikke har set et marked hvor et produkt i sin storhedstid har haft mange exploits, hvor et konkurrerende produkt uden så meget marked ikke har haft så mange, og hvor situationen senere er vendt. Vis mig det, og så vil jeg tage det til efterretning...
Hey stop lige et ½
M$ var altså også ude med en patch dagen efter, på samme måde som Mozilla ! hvor det bare er en lappe løsning.
http://support.microsoft.com/default.aspx?kbid=870...
M$ var altså også ude med en patch dagen efter, på samme måde som Mozilla ! hvor det bare er en lappe løsning.
http://support.microsoft.com/default.aspx?kbid=870...
#35
Spørgsmålet er så om man kan kalde det en lappeløsning hvis årsagen er et linket bibliotek under Microsofts kontrol, som indeholder en sikkerhedsfejl...
Så vil jeg ikke kalde det en lappeløsning, så vil jeg kalde det en reel løsning.
Spørgsmålet er så om man kan kalde det en lappeløsning hvis årsagen er et linket bibliotek under Microsofts kontrol, som indeholder en sikkerhedsfejl...
Så vil jeg ikke kalde det en lappeløsning, så vil jeg kalde det en reel løsning.
#34
"I'm just wondering, måske holder den ide om at mere fokus = flere sikkerhedsfejl ikke helt..."
Ifølge Chris Hofmann (Leder af Mozilla dev.) er det pga. IE's større udbredelse, at der findes flere fejl i den.
Læs mere her
"I'm just wondering, måske holder den ide om at mere fokus = flere sikkerhedsfejl ikke helt..."
Ifølge Chris Hofmann (Leder af Mozilla dev.) er det pga. IE's større udbredelse, at der findes flere fejl i den.
Læs mere her
#38
Det er jo så ikke korrekt, han siger at det er Microsoft's udbredelse der gør den til et populært mål, han nævner ikke noget om at antal fejl har noget med det at gøre.
Der står iøvrigt flg. i artiklen:
"Browserkrigen, som reelt var overstået ved årtusindeskiftet, kan derfor blusse op igen, hvis brugerne vælger sikkerhed frem for bekvemmeligheden af Microsoft-teknologier som ActiveX."
Hvilket jeg egentligt synes taler mere for min pointe. Artiklen konkluderer ikke noget nyt, det siger sig selv at crackere/spyware producenter er interesserede i at ramme masserne.
Det er jo så ikke korrekt, han siger at det er Microsoft's udbredelse der gør den til et populært mål, han nævner ikke noget om at antal fejl har noget med det at gøre.
Der står iøvrigt flg. i artiklen:
"Browserkrigen, som reelt var overstået ved årtusindeskiftet, kan derfor blusse op igen, hvis brugerne vælger sikkerhed frem for bekvemmeligheden af Microsoft-teknologier som ActiveX."
Hvilket jeg egentligt synes taler mere for min pointe. Artiklen konkluderer ikke noget nyt, det siger sig selv at crackere/spyware producenter er interesserede i at ramme masserne.
Læs http://www.sacarny.com/blog/index.php?p=104 og fejlen er ikke Mozilla's skyld. Det er Windows der internt ikke fatter at blokere for denne protokol, så det er op til mozilla at gøre Microsofts arbejde.
#41 Nej det er da klart at Windows ikke blokerer den når den skal bruges af Windows, men hvis du er i tvivl så _ER_ den blokeret af IE, men ikke af Mozilla.
Til gengæld kan man så sige at det er godt fixet er at slå det fra. Og ikke bare en workaround som kunne ødelægge det for andre programmer m.m.(som jeg i starten troede det var)
For at tjekke den selv kan i gøre som i bugrapporten, skrive shell:.mp3 i en ikkepatchet version af mozilla.
Bagefter kan i så prøve kør i windows, og så til sidst kan i prøve IE.
Firefox starter Winamp
Kør starter winamp
IE siger stien blev ikke fundet.
Til gengæld kan man så sige at det er godt fixet er at slå det fra. Og ikke bare en workaround som kunne ødelægge det for andre programmer m.m.(som jeg i starten troede det var)
For at tjekke den selv kan i gøre som i bugrapporten, skrive shell:.mp3 i en ikkepatchet version af mozilla.
Bagefter kan i så prøve kør i windows, og så til sidst kan i prøve IE.
Firefox starter Winamp
Kør starter winamp
IE siger stien blev ikke fundet.
#42
Hvad er egentligt årsagen til at protokollen er inkluderet i nogle former for browsere? Og hvad er årsagen til at både Winamp og Firefox inkluderer funktionen (og sikkert andre programmer), men IE ligepræcis går fri. Det lyder som om Microsoft ikke har været specielt gode til at advare om en fejl der er i deres eget software.
Jeg kan selvfølgelig tage fejl, men det ser altså sådan ud...
Hvad er egentligt årsagen til at protokollen er inkluderet i nogle former for browsere? Og hvad er årsagen til at både Winamp og Firefox inkluderer funktionen (og sikkert andre programmer), men IE ligepræcis går fri. Det lyder som om Microsoft ikke har været specielt gode til at advare om en fejl der er i deres eget software.
Jeg kan selvfølgelig tage fejl, men det ser altså sådan ud...
#43 Fordi Mozilla har inkluderet dem?
En anden ting er at det også kan afprøves i Opera, og der siger den også at stien eller protkollen ikke understøttes.
I winamp virker den heller ikke. Faktisk det eneste sted jeg har fået det til at virke er i tidligere nævnte tilfælde.
Faktisk også mirc, men det er vel pga den også bruger kør fra windows.
En anden ting er at det også kan afprøves i Opera, og der siger den også at stien eller protkollen ikke understøttes.
I winamp virker den heller ikke. Faktisk det eneste sted jeg har fået det til at virke er i tidligere nævnte tilfælde.
Faktisk også mirc, men det er vel pga den også bruger kør fra windows.
Hvor er der dog mange her som ikke fatter, at det ikke i sig selv hjælper noget som helst at være hurtig ude med en patch. Selv om patcherne til både Blaster OG Sasser var ude et stykke tid før ormene kom, så havde størstdelen ikke opdateret, og derfor hjalp patcherne ikke en skid.
Jeg tror ikke på, at man automatisk bliver bedre til at opdatere, bare fordi man bliver anbefalet at skifte til Firefox eller Opera.
Så ja, en funktion som automatisk opdatering er en god ting, noget som lyder til at være på vej i Firefox / Mozilla, og noget som kommer med Windows Xp SP-2.
Det bliver GODT NOK meget nemmere at hjælpe alle de stakkels "dumme" Windows Xp brugere, når SP-2 er installeret på systemet....
Jeg tror ikke på, at man automatisk bliver bedre til at opdatere, bare fordi man bliver anbefalet at skifte til Firefox eller Opera.
Så ja, en funktion som automatisk opdatering er en god ting, noget som lyder til at være på vej i Firefox / Mozilla, og noget som kommer med Windows Xp SP-2.
Det bliver GODT NOK meget nemmere at hjælpe alle de stakkels "dumme" Windows Xp brugere, når SP-2 er installeret på systemet....
#45 dynamism
Selv fandt jeg pressens dækning af disse orme latterlig.
Nyheden slås op på ny orm angriber svaghed i Windows...
Ikke noget om den VÆSENTLIGE detalje, at Microsoft havde rettet fejlen for evigheder siden begge gange.
Og at det derfor simpelthen var ren og skær dumhed, når man blev ramt.
(Dog lidt belastende hvis maskinen var blevet ominstalleret, og man netop forsøgte at installere disse opdateringer... ;)
Selv fandt jeg pressens dækning af disse orme latterlig.
Nyheden slås op på ny orm angriber svaghed i Windows...
Ikke noget om den VÆSENTLIGE detalje, at Microsoft havde rettet fejlen for evigheder siden begge gange.
Og at det derfor simpelthen var ren og skær dumhed, når man blev ramt.
(Dog lidt belastende hvis maskinen var blevet ominstalleret, og man netop forsøgte at installere disse opdateringer... ;)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund