mboost-dp1
Hvis vi kigger på Microsofts argument alene, så kan jeg da godt forstå dem.
At Microsoft med IE har fuldstændig styr på hvad der går ind og ud af kernen, er logisk. De har jo designet den. Med plugins, som blot er en service for forbrugere, så er det jo plugins'ne som skal håndtere deres egen sikkerhed. Hvis Chrome har en eller flere fejl, så kan disse vel med lethed føres over i IE...
Ergo.. Nu er der ikke kun fejl fra Microsoft selv at tage højde for, men også Google. Ergo, angrebsfladen er fordoblet (1 -> 2).
At Microsoft med IE har fuldstændig styr på hvad der går ind og ud af kernen, er logisk. De har jo designet den. Med plugins, som blot er en service for forbrugere, så er det jo plugins'ne som skal håndtere deres egen sikkerhed. Hvis Chrome har en eller flere fejl, så kan disse vel med lethed føres over i IE...
Ergo.. Nu er der ikke kun fejl fra Microsoft selv at tage højde for, men også Google. Ergo, angrebsfladen er fordoblet (1 -> 2).
Selvfølgelig har Microsoft en interesse i at folk ikke anvender dette Google Chrome Frame plugin, men når det er sagt så har de dog en pointe.
Anvender man det vil man kunne blive ramt af sårbarheder som retter sig imod IE, men også sårbarheder som retter sig imod Google Chrome's renderings- og javascript engine og dermed er angrebsfladen væsentligt forøget.
Anvender man det vil man kunne blive ramt af sårbarheder som retter sig imod IE, men også sårbarheder som retter sig imod Google Chrome's renderings- og javascript engine og dermed er angrebsfladen væsentligt forøget.
Det store problem for Microsoft her, er at hvis en bruger installerer Chrome Plugin og senere bliver offer for noget snavs, vil det typisk være Microsoft der får skylden da det er deres browser. En browser skal være bygget så plugins ikke ændrer på den underliggende sikkerhed.
Dem der taler om en fordobling af angrebsfladen glemmer vist at tage højde for antallet af potentielle sikkerhedsbrister i IE vs. Chrome.
Hvis man tager udgangpunkt i kendte sikkerhedshuller over tid (for at kompensere for IEs længere markdseksponering) så komme man næppe frem til en 100% forøgelse. Største sikkerhedsrisiko er stadig IE, uanset hvordan man vender og drejer det. Rent faktisk vil jeg mene at man minsker angrebsfladen ved permanent at udskifte Trident med Chromes WebKit engine. Men det får vi nok ikke MS til at indrømme...
Hvis man tager udgangpunkt i kendte sikkerhedshuller over tid (for at kompensere for IEs længere markdseksponering) så komme man næppe frem til en 100% forøgelse. Største sikkerhedsrisiko er stadig IE, uanset hvordan man vender og drejer det. Rent faktisk vil jeg mene at man minsker angrebsfladen ved permanent at udskifte Trident med Chromes WebKit engine. Men det får vi nok ikke MS til at indrømme...
#9
Det vil nok være google der får skylden. Bare rolig, hvis chrome fucker op i stor stil, så skal de nok blive flamet. Resultatet? Folk holder sig væk fra chrome grundet dens sikkerhedsproblemer, altså et positiv resultat for Microsoft.
Problemet består i, at folk måske går over til chrome (eller webudviklere over til at burge chrome frame), fordi de synes den måske er hurtigere eller bedre på nogen punkter og Microsoft mister markedsandele.
Det vil nok være google der får skylden. Bare rolig, hvis chrome fucker op i stor stil, så skal de nok blive flamet. Resultatet? Folk holder sig væk fra chrome grundet dens sikkerhedsproblemer, altså et positiv resultat for Microsoft.
Problemet består i, at folk måske går over til chrome (eller webudviklere over til at burge chrome frame), fordi de synes den måske er hurtigere eller bedre på nogen punkter og Microsoft mister markedsandele.
#12: Jeg forstår altså ikke helt din argumentation for hvordan du kommer frem til at der er flere potentielle sikkerhedsbrister i IE end i Chrome, men som jeg forstår det er der ikke tale om at man permanent udskifter Trident med Chromes Webkit - ved hjælp af et meta-tag kan man på websiden selv vælge engine og dermed kan man målrette malicious kode efter den engine man ønsker at ramme - dermed bliver angrebsfladen ikke mindrer, men derimod betragteligt størrer!
LordMike (4) skrev:At Microsoft med IE har fuldstændig styr på hvad der går ind og ud af kernen, er logisk. De har jo designet den.
Du har meget at lære om it-udvikling og især it-sikkerhed ;-)
Problemet er jo grundlæggende, at Microsoft ikke har en skid styr på hvordan deres software virker, fordi de har en kultur af sikkerhedsmæssig analfabetisme og uhyggeligt meget elendig legacy kode, som de stadig river med i hvert nye release. ActiveX kontroller fx.
Det eneste rigtige at gøre, er helt at disable Trident-motoren, og hvis folk ikke kan undvære "det blå e", jamen så er googles fremgangsmåde med at skifte motoren da helt genial.
Dog enig i at styring med meta-tag ikke dur - det er kun brugeren (eller hans admin), der bør kunne vælge engine.
. Given the security issues with plugins in general and Google Chrome in particular, Google Chrome Frame running as a plugin has doubled the attach area for malware and malicious scripts. This is not a risk we would recommend our friends and families take.Microsoft talsmand
Sjovt nok er det præcis den holdning jeg har, når nogle sider begynder at insistere på, at jeg skal have silverlight installeret for at se dem.
Godt at MS nu er enige med mig.
#5
Som jeg ser det:
Lad angrebModIE = amIERender + amIEAndet
angrebModChrome = amChromeRender = amChromeAndet
Så fås:
angrebEfter = amChromeRender + amIEAndet
Så sålænge amChromeRender < amIERender så er det en sikkerhedsmessig god ide.
I hvert fald, hvis man holder det aktiveret hele tiden. Ellers blliver det rigtigt nok amIERender + amChromeRender + amIEAndet, men mon ikke amIEAndet ledet er det signifikante her?
Anvender man det vil man kunne blive ramt af sårbarheder som retter sig imod IE, men også sårbarheder som retter sig imod Google Chrome's renderings- og javascript engine.
Som jeg ser det:
Lad angrebModIE = amIERender + amIEAndet
angrebModChrome = amChromeRender = amChromeAndet
Så fås:
angrebEfter = amChromeRender + amIEAndet
Så sålænge amChromeRender < amIERender så er det en sikkerhedsmessig god ide.
I hvert fald, hvis man holder det aktiveret hele tiden. Ellers blliver det rigtigt nok amIERender + amChromeRender + amIEAndet, men mon ikke amIEAndet ledet er det signifikante her?
Samt Flash og Java, går jeg vel ud fra :)Barnabas (18) skrev:Sjovt nok er det præcis den holdning jeg har, når nogle sider begynder at insistere på, at jeg skal have silverlight installeret for at se dem.
Og du kører helt sikkert også med NoScript, fordi at Javascript er "farligt".
Jeg havde ikke troet at Sandboxing var et så ukendt begreb for dig.
#19: Hvis jeg forstår dig ret mener du at hvis Chrome har færrer sikkerhedsfejl eller modtager færrer angreb end IE så er det en sikkerhedsmæssig god ide.
Problemet er dog at som jeg forstår det så fungerer det her på den måde at man som udvikler af en hjemmeside selv kan vælge om man vil have siden rendereret i hhv. Google Chromes engine eller IE's egen engine ude ved brugeren ved at definere et metatag (såfremt brugeren har dette plugin installeret). Det er altså ikke sådan at Google Chromes engine fuldstændig overtager IE's engine.
Da man som udvikler selv kan vælge imellem disse 2 engines ude hos brugeren, så har man altså nu også mulighed for at ramme IE brugere (med dette plugin installeret) hvis man er bekendt med en fejl i Chromes engine.
Ergo er det en sikkerhedsmæssig dårlig ide at installere dette plugin. Om det så har mere end teoretisk betydning er så tilgengæld mere tvivlsomt.
Problemet er dog at som jeg forstår det så fungerer det her på den måde at man som udvikler af en hjemmeside selv kan vælge om man vil have siden rendereret i hhv. Google Chromes engine eller IE's egen engine ude ved brugeren ved at definere et metatag (såfremt brugeren har dette plugin installeret). Det er altså ikke sådan at Google Chromes engine fuldstændig overtager IE's engine.
Da man som udvikler selv kan vælge imellem disse 2 engines ude hos brugeren, så har man altså nu også mulighed for at ramme IE brugere (med dette plugin installeret) hvis man er bekendt med en fejl i Chromes engine.
Ergo er det en sikkerhedsmæssig dårlig ide at installere dette plugin. Om det så har mere end teoretisk betydning er så tilgengæld mere tvivlsomt.
mstify (5) skrev:Selvfølgelig har Microsoft en interesse i at folk ikke anvender dette Google Chrome Frame plugin, men når det er sagt så har de dog en pointe.
Anvender man det vil man kunne blive ramt af sårbarheder som retter sig imod IE, men også sårbarheder som retter sig imod Google Chrome's renderings- og javascript engine og dermed er angrebsfladen væsentligt forøget.
Det kommer da helt an på om google plugin, har sikekrheden iorden... En ting er IE8 måske ikke er helt sikkert.. Men synes efter folks kommentarer her på forummet, at chrome ansees for at være mere sikkert (Og hurtigere!)...
Et ret typisk postulat. Desværre har jeg mine tvivl.Dungdae (23) skrev:Men synes efter folks kommentarer her på forummet, at chrome ansees for at være mere sikkert (Og hurtigere!)...
Internet Explorer's sikkerhedsfejl har ofte været pga. ActiveX.
I dag handler det mere om hvad man kan lave af XSS fejl, eller Javascript fejl som crasher browseren, eller lave forskellige former for informationstyveri.
Begge browsere er ret sikre på det punkt. Så jeg tror ikke nødvendigvis Google Frame er en god ting.
Folk burde bare skife browser helt, hvis de vil. Men som det er i dag, er IE8 da en udemærket browser, er nem at kode til, og ret sikker.
Personligt bruger jeg Firefox, men det er jo en smagsag.
I skal lige huske at Chrome er i en sandbox. En sandbox ikke er blevet brudt ud af af nogen hacker, endnu.
I pwn2own konkurrence blev Chrome hacket, men på grund af dens sandbox var det ikke muligt at gøre noget som helst.
Af den grund vil jeg mene at det er fuldstendig irrelevant at Chrome Frame måske har sikkerheds huller, du skal først omgå en sandbox for at kunne gøre noget. En feature som IE8 ikke har på samme måde selv.
I pwn2own konkurrence blev Chrome hacket, men på grund af dens sandbox var det ikke muligt at gøre noget som helst.
Af den grund vil jeg mene at det er fuldstendig irrelevant at Chrome Frame måske har sikkerheds huller, du skal først omgå en sandbox for at kunne gøre noget. En feature som IE8 ikke har på samme måde selv.
#30
At eventuelle sikkerhedsfejl i Chrome vil være at finde i IE8 med Chrome Frame installeret.
Derudover synes jeg det er lidt absurd at forvente at folk vil downloade og installere et plugin, hvis de ikke allerede har installeret Chrome allerede.
Brugere som vil det, ville jo også downloade virus.exe , med det resultat at sikkerheden forværres.
Men som altid i en IE bashing tråd, er de flestes erfaring med IE6 før Windows XP SP2. Dvs. knap 5 år gammel erfaring.
Hey folkens! Vågn op! 2009 is calling!
At eventuelle sikkerhedsfejl i Chrome vil være at finde i IE8 med Chrome Frame installeret.
Derudover synes jeg det er lidt absurd at forvente at folk vil downloade og installere et plugin, hvis de ikke allerede har installeret Chrome allerede.
Brugere som vil det, ville jo også downloade virus.exe , med det resultat at sikkerheden forværres.
Men som altid i en IE bashing tråd, er de flestes erfaring med IE6 før Windows XP SP2. Dvs. knap 5 år gammel erfaring.
Hey folkens! Vågn op! 2009 is calling!
Windcape (31) skrev:Derudover synes jeg det er lidt absurd at forvente at folk vil downloade og installere et plugin, hvis de ikke allerede har installeret Chrome allerede.
Med chance for at gentage mig selv:
Sådan har jeg det præcist når en side forlanger jeg har silverligt installeret.
Og nej, jeg er ikke flash fanboy det sucks også. Det har bare flere år på bagen, og dermed en støre eksponering. Og dermed større sikkerhed.
Når jeg går på en webside er det for at få de informationer, som den har. Ikke for at sige 'iiiih' til en flash / silverlight effekt.
Så kort sagt:
Velkommen til virkligheden Microsoft. I sidste ende er det dog stadig Microsoft der skal sørger for plugins ikke kan lave noget de ikke bør kunne gøre.
Hov og forresten:
Windcape i en tråd der omhandler Microsoft? Verden er af lave!! =P
Microsoft skrev:
IE er mere usikkert pga. plugins.
Velkommen til virkligheden Microsoft. I sidste ende er det dog stadig Microsoft der skal sørger for plugins ikke kan lave noget de ikke bør kunne gøre.
Hov og forresten:
Windcape i en tråd der omhandler Microsoft? Verden er af lave!! =P
Indtil videre har der været flere sikkerhedsfejl i Adobe's Flash plugins, end i Silverlight, over de sidste par år.Barnabas (32) skrev:Det har bare flere år på bagen, og dermed en støre eksponering. Og dermed større sikkerhed.
Hvis støre eksponering betyder bedre sikkerhed, er Windows vel også mere sikkert end Linux? :)
Det er et utrolig dårlig argument. Silverlight kræver at du signer dine apps med et valid certifikat (ligesom SSL) for at det kører uden advarsler.
Det gør Flash ikke. Flash er generelt ikke opbygget omkring en sikkerhedsmodel, eller signering.
Fra et teknisk synspunkt burde du føle dig mere sikker ved at se f.eks. Video i Silverlight, end i Flash. Men jeg gætter på du ligesom de fleste andre, ikke har sat sig ind i det tekniske. (Man kan jo ikke forvente at alle er .NET udviklere).
#34:
Jeg beklager meget, men det passer altså ikke :-)
Jeg har ihvertfald aldrig oplevet at skulle signe nogle af de silverlight apps jeg har udviklet og det er ikke mit indtryk at brugerne har problemer med advarsler.
Silverlight kræver at du signer dine apps med et valid certifikat (ligesom SSL) for at det kører uden advarsler.
Jeg beklager meget, men det passer altså ikke :-)
Jeg har ihvertfald aldrig oplevet at skulle signe nogle af de silverlight apps jeg har udviklet og det er ikke mit indtryk at brugerne har problemer med advarsler.
#34 jeg må giv mstify ret i det med silverlight, jeg arbejde desværre også med asp.net, men nu har jeg jo også prøve php, så det er nemt at se problemet i asp.net.
Dette er ikke sikkerhed for plug-ins, at Microsoft tænker på her, fordi hmm "MSN Toolbar med faner til IE6" og Silverlight, flash og java-runtime, det er ikke da Disse plug-ins Bliv frigivelse, at de bliv trist.
det er fordi at de vil har linsens til alle de HTML5 Ting som er i Standarden(i FF og chrome) via Silverlight, så de kan sæt en pris på at man kan Release til en kunde, det er det samme problem, som der var med gif i gamle dage.
Dette er ikke sikkerhed for plug-ins, at Microsoft tænker på her, fordi hmm "MSN Toolbar med faner til IE6" og Silverlight, flash og java-runtime, det er ikke da Disse plug-ins Bliv frigivelse, at de bliv trist.
det er fordi at de vil har linsens til alle de HTML5 Ting som er i Standarden(i FF og chrome) via Silverlight, så de kan sæt en pris på at man kan Release til en kunde, det er det samme problem, som der var med gif i gamle dage.
I skal lige huske at Chrome er i en sandbox. En sandbox ikke er blevet brudt ud af af nogen hacker, endnu.Ja, i en ideel verden har du ret, men det er sjældent muligt at implementere alting så sikkert som man vil. Blandt andet er plugins i Chrome ikke sandboxed og vi har desværre set flere sikkerhedsproblemer med Chrome.
Du udtaler dig om ting som du ikke har det fjerneste forstand på.
Problemet er jo grundlæggende, at Microsoft ikke har en skid styr på hvordan deres software virker, fordi de har en kultur af sikkerhedsmæssig analfabetisme
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund