mboost-dp1
Microsoft
Skulle lige til at sige at det altså ikke er et problem i IE8, men det havde journalisten til dels fået med :)
#2 derudover er der altså også en del huller i firefox - endda et par huller der er flere år gamle :) Ikke noget ondt, men det er tit jeg hører folk proklamere at firefox er "safe" og det er den bestemt heller ikke :)
#2 derudover er der altså også en del huller i firefox - endda et par huller der er flere år gamle :) Ikke noget ondt, men det er tit jeg hører folk proklamere at firefox er "safe" og det er den bestemt heller ikke :)
Tjae.. det er da et sikkerhedshul, men i praksis processerer de fleste sites vel uploadede billeder.. skalerer dem eller whatever. Tror det er sjældent at de bliver vist direkte som det var uploadet.
Men mange sikkerhedshulller er der i hvert fald i ie og mange bugs. Men der er også mange bugs i firefox.
Men mange sikkerhedshulller er der i hvert fald i ie og mange bugs. Men der er også mange bugs i firefox.
#5 Enig :)
Det er såmænd heller ikke fordi jeg tør begynde en diskussion om hvilken browser der er sikrest - jeg ville bare pointere at der er mange der naivt proklamerer at firefox er 100% fri for sikkerhedsfejl og bugs :)
Tror måske også at det har meget at gøre med udbredelse, hvor mange bugs og sikkerhedsfejl der bliver fundet i de forskellige browsere?
Det er i min verden ikke mærkeligt at der bliver fundet færre fejl/bugs i en browser der har ca 1/10 udbredelse i forhold til konkurrenten (Afhængig af land) :)
Det er såmænd heller ikke fordi jeg tør begynde en diskussion om hvilken browser der er sikrest - jeg ville bare pointere at der er mange der naivt proklamerer at firefox er 100% fri for sikkerhedsfejl og bugs :)
Tror måske også at det har meget at gøre med udbredelse, hvor mange bugs og sikkerhedsfejl der bliver fundet i de forskellige browsere?
Det er i min verden ikke mærkeligt at der bliver fundet færre fejl/bugs i en browser der har ca 1/10 udbredelse i forhold til konkurrenten (Afhængig af land) :)
Det er jo ikke noget nyt det her. IE har kunne gøre dette i mange år nu.
Der florerede et link til et billede som afviklede et vbScript på brugerens maskine. Scriptet var relativt harmløst og gjorde ikke andet end at starte en telnet forbindelse op til MS i et loop (800 gange) så ud over at skulle lukke en masse vinduer efter IE var lukket ned så gik det kun ud over MS og en brugers telnet spam burde ikke være noget problem for en proffesionel server.
Et af siderne var i gamle dage:
http://www.h7ck.home.ro/novocaine.jpg (virker ikke længere) og koden var:
Der florerede et link til et billede som afviklede et vbScript på brugerens maskine. Scriptet var relativt harmløst og gjorde ikke andet end at starte en telnet forbindelse op til MS i et loop (800 gange) så ud over at skulle lukke en masse vinduer efter IE var lukket ned så gik det kun ud over MS og en brugers telnet spam burde ikke være noget problem for en proffesionel server.
Et af siderne var i gamle dage:
http://www.h7ck.home.ro/novocaine.jpg (virker ikke længere) og koden var:
<script type="text/vbscript">
for a=1 to 800
document.write("<;iframe src=" + chr(34) + "telnet://www.microsoft.com:80" + chr(34) + ">")
next
</script>
#8 Din påstand er altså, at antal fundne sikkerhedsfejl er en funktion af antallet af brugere?
Så hvis vi går et par år tilbage, til dengang der var lige så mange IE brugere som der i dag er firefox brugere. Er det så din vurdering, at antallet af sikkerhedsfejl i IE på daværende tidspunkt, er højere eller lavere end antallet af sikkerhedsfejl i firefox (i dag)?
Jeg er af den overbevisning, at der er to forskellige måder at forholde sig til sikkerhed på. Den ene er hvor man lader en masse kode køre og så filtrerer dårlig kode fra (antivirus). Den anden er hvor man selv har styr på hvilken kode der skal eksekveres og med hvilke rettigheder. (Unix filosofi)
Derfor:
Et sikkert system, er et system der ikke gemmer ting for brugeren. Med gemme menes der, oprette obskure hacks for at skjule systemet. Og ikke det at klistre en brugerflade ovenpå for at gøre brugen lettere.
Så hvis vi går et par år tilbage, til dengang der var lige så mange IE brugere som der i dag er firefox brugere. Er det så din vurdering, at antallet af sikkerhedsfejl i IE på daværende tidspunkt, er højere eller lavere end antallet af sikkerhedsfejl i firefox (i dag)?
Jeg er af den overbevisning, at der er to forskellige måder at forholde sig til sikkerhed på. Den ene er hvor man lader en masse kode køre og så filtrerer dårlig kode fra (antivirus). Den anden er hvor man selv har styr på hvilken kode der skal eksekveres og med hvilke rettigheder. (Unix filosofi)
Derfor:
Et sikkert system, er et system der ikke gemmer ting for brugeren. Med gemme menes der, oprette obskure hacks for at skjule systemet. Og ikke det at klistre en brugerflade ovenpå for at gøre brugen lettere.
Derudover er det muligt at øge sikkerheden på webserverne, således at billederne kan tjekkes på serverniveau.
Så nu skal vi bare overbevise alle bad guys om at de skal skifte til IIS med et højere sikkerhedsniveau der forhindre deres angreb? Det skal nok virke... compare: Evil bit
krestenk (10) skrev:Derfor:
Et sikkert system, er et system der ikke gemmer ting for brugeren. Med gemme menes der, oprette obskure hacks for at skjule systemet. Og ikke det at klistre en brugerflade ovenpå for at gøre brugen lettere.
Dette gælder så dog kun for folk, der kan (og vil for den sags skyld) forholde sig til den viste information.....
Læs: Verden er ikke så nem og ligetil, som vi "nørder" gerne vil tro at den er..... ;-)
Jeg er enig med #13.
er helt til grin.
For det første er der jo et hav af forskellige web servere, server side script sprog, færdige billed galleri applikationer etc.. Det er vel urealistisk at de alle implementerer de nødvendige checks.
For det andet er det fundamentalt forkert at net surferes sikkerhed skal afhænge af noget på serveren. Bl.a. er der jo den mulighed at servere ejeren er the bad guy.
Derudover er det muligt at øge sikkerheden på webserverne, således at billederne kan tjekkes på serverniveau.
er helt til grin.
For det første er der jo et hav af forskellige web servere, server side script sprog, færdige billed galleri applikationer etc.. Det er vel urealistisk at de alle implementerer de nødvendige checks.
For det andet er det fundamentalt forkert at net surferes sikkerhed skal afhænge af noget på serveren. Bl.a. er der jo den mulighed at servere ejeren er the bad guy.
#18
Du skal nok ikke regne med det er "deres udbredelse" der gør udslaget. Det er "deres udbredelse i erhvervslivet" der gør at de slemme folk går efter IE.
Størstedelen af de professionelle typer er sgu ligeglade med om de får fat i en privat her og der. Det er firmaerne de vil ind i.
Du skal nok ikke regne med det er "deres udbredelse" der gør udslaget. Det er "deres udbredelse i erhvervslivet" der gør at de slemme folk går efter IE.
Størstedelen af de professionelle typer er sgu ligeglade med om de får fat i en privat her og der. Det er firmaerne de vil ind i.
#20
Det er jeg ikke så sikker på.
Netbank indbrud, få PC'ere ind i spam bot net etc. er vel primært problemer for private PC'ere.
Der er som oftest ikke noget interessant på firma PC'ere. Undtagelsen er hvis det er ledende medarbejdere, så der er lidt potentiale for industri spionage.
Det er jeg ikke så sikker på.
Netbank indbrud, få PC'ere ind i spam bot net etc. er vel primært problemer for private PC'ere.
Der er som oftest ikke noget interessant på firma PC'ere. Undtagelsen er hvis det er ledende medarbejdere, så der er lidt potentiale for industri spionage.
#23
Godt spørgsmål.
Når folk smider et screen dump op for at illustrere noget f.eks. på imagehack, så antager jeg at imaget ikke er skaleret. Men det er da muligt at jeg tager fejl.
Og jeg kan slet ikke forestille mig at et site som rapidshare gør noget ved det uploadede.
Godt spørgsmål.
Når folk smider et screen dump op for at illustrere noget f.eks. på imagehack, så antager jeg at imaget ikke er skaleret. Men det er da muligt at jeg tager fejl.
Og jeg kan slet ikke forestille mig at et site som rapidshare gør noget ved det uploadede.
Jeg er nu ikke sikker på at jeg synes det hul er særligt kæmpestort. Det er jo bare en måde at få hældt noget HTML ind på en side. Det vil jeg gætte kan gøres på flere måder i f.eks. fjæsbogen eller gmail.
Filerne bliver kun undersøgt før visning hvis det er noget der bliver forsøgt vist direkte. Det vil sige at hvis nogen har lavet "Il Multo Grande Dangeroux" billedet og vist det på et site på en eller anden måde, så kræver det at den uforvarende bruger skal have billedet vist som det eneste på skærmen før det kan give problemer.
Selvfølgelig kan man ofte tage fat i linket til det enkelte billede og klippe-klistre det ind i en adresselinje, men så ofte foregår det nu heller ikke nu om dage.
Et billede vist i et <img> tag kan ikke eksekvere skadelig kode.
Men bortset fra det, så er det da selvfølgelig uheldigt at der igen-igen er fundet et sikkerhedshul i <indsæt-selv-yndlings-hadebrowser-her>
Filerne bliver kun undersøgt før visning hvis det er noget der bliver forsøgt vist direkte. Det vil sige at hvis nogen har lavet "Il Multo Grande Dangeroux" billedet og vist det på et site på en eller anden måde, så kræver det at den uforvarende bruger skal have billedet vist som det eneste på skærmen før det kan give problemer.
Selvfølgelig kan man ofte tage fat i linket til det enkelte billede og klippe-klistre det ind i en adresselinje, men så ofte foregår det nu heller ikke nu om dage.
Et billede vist i et <img> tag kan ikke eksekvere skadelig kode.
Men bortset fra det, så er det da selvfølgelig uheldigt at der igen-igen er fundet et sikkerhedshul i <indsæt-selv-yndlings-hadebrowser-her>
#21 + #24 + #25
Det at et billede vises ubehandlet gør i sig selv ikke noget. Jeg vil da gætte på at det vil være en fordel: Hvis billedet er dårligt vil det ikke kunne rendere i standardvisningen på skærmen (pakket ind i et <img> tag), og vil derfor ikke indbyde til at klikke på det.
Først når man klikker på billedet vil dette gøre at billedet vises alene i browseren.
Nej, de fleste grimme angreb vil jeg mene stadig kræver lidt mere:
<img src=http://minurl/mitufarligebillede.jpg onclick=window.navigate("http://minurl/mitvildtfarligebillede.jpg")>
Ellers er der ingen der gider klikke.
Selvfølgelig kan man bare [url=javascript::alert("Nej, lad være")]lave et link[/url], men så er hele verden også farlig.
Det at et billede vises ubehandlet gør i sig selv ikke noget. Jeg vil da gætte på at det vil være en fordel: Hvis billedet er dårligt vil det ikke kunne rendere i standardvisningen på skærmen (pakket ind i et <img> tag), og vil derfor ikke indbyde til at klikke på det.
Først når man klikker på billedet vil dette gøre at billedet vises alene i browseren.
Nej, de fleste grimme angreb vil jeg mene stadig kræver lidt mere:
<img src=http://minurl/mitufarligebillede.jpg onclick=window.navigate("http://minurl/mitvildtfarligebillede.jpg")>
Ellers er der ingen der gider klikke.
Selvfølgelig kan man bare [url=javascript::alert("Nej, lad være")]lave et link[/url], men så er hele verden også farlig.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund