mboost-dp1
unknown
Det har han nok ret i!
Men det virker på mig somom der er mere arbejde med bugs i firefox projektet end i IE projektet, hvor man ofte har hørt om exploits der først sent er blevet rettet.
Hvis firefox er rigtig smarte bruge de MEGET tid på at følge med i exploits og spyware problemerne og hurtigt får dem rettet med deres semiautomatiske opdatering. Så folk får/bevare tiliden til deres browser.
Men det virker på mig somom der er mere arbejde med bugs i firefox projektet end i IE projektet, hvor man ofte har hørt om exploits der først sent er blevet rettet.
Hvis firefox er rigtig smarte bruge de MEGET tid på at følge med i exploits og spyware problemerne og hurtigt får dem rettet med deres semiautomatiske opdatering. Så folk får/bevare tiliden til deres browser.
#1:
"Men det virker på mig somom der er mere arbejde med bugs i firefox projektet end i IE projektet, hvor man ofte har hørt om exploits der først sent er blevet rettet."
mozilla er fandme sløve til at rette bugs.. der er sågar bugs der bare ikke rigtigt er nogen der gider patche.
"Men det virker på mig somom der er mere arbejde med bugs i firefox projektet end i IE projektet, hvor man ofte har hørt om exploits der først sent er blevet rettet."
mozilla er fandme sløve til at rette bugs.. der er sågar bugs der bare ikke rigtigt er nogen der gider patche.
Hvilken browser bruger de 'ondsindede programører' mon så?.. Kunne jo tænkes at de ikke laver de ondsindede programmer til den browser de selv bruger. :)
Hmm, måske kommer der snart spyware til Firefox, men tag det følgende i betragtning - WebRoot er medlem af COAST (Consortium Of Anti Spyware Technology vendors". Og hvem er også medlem af det? 180solutions. Et af de værre spyware firmaer. The point being - Man skal ikke tro på alt man hører. Personally, så forbliver jeg optimistisk og tror ikke der kommer noget spyware lige med det samme.
Sikke noget sludder.
Grunden til at der ikke er en masse spyware rettet imod Firefox er at der indtil videre ikke er fundet en måde at installere ting på en computer uden at folk ved det. Det skyldes til dels at den ikke understøtter ActiveX, men sandelig da også at den ikke på samme måde som IE har direkte adgang til Windows' systemfiler og systemtjenester.
Samme argumenter er mange gange ført om linux; at der ikke findes ret mange vira rettet mod linux (der er højst en håndfuld) fordi udbredelsen ikke er så stor. Det er muligt at den ikke er det på hjemmecomputere, men der findes rigtig mange web-servere der kører linux (mindst lige så mange som der kører Windows) og at ramme web-servere må også være en slags mål for nogle virus-programmører. Derfor holder det argument ikke. Det er ikke for at hijacke emnet, men jeg mener at den sammenlingen er helt fair.
Grunden til at der ikke er en masse spyware rettet imod Firefox er at der indtil videre ikke er fundet en måde at installere ting på en computer uden at folk ved det. Det skyldes til dels at den ikke understøtter ActiveX, men sandelig da også at den ikke på samme måde som IE har direkte adgang til Windows' systemfiler og systemtjenester.
Samme argumenter er mange gange ført om linux; at der ikke findes ret mange vira rettet mod linux (der er højst en håndfuld) fordi udbredelsen ikke er så stor. Det er muligt at den ikke er det på hjemmecomputere, men der findes rigtig mange web-servere der kører linux (mindst lige så mange som der kører Windows) og at ramme web-servere må også være en slags mål for nogle virus-programmører. Derfor holder det argument ikke. Det er ikke for at hijacke emnet, men jeg mener at den sammenlingen er helt fair.
"Der er fundet en fejl i browserne Mozilla, Konqueror, Safari, Opera og Firefox. For en gangs skyld er Internet Explorer ikke omfattet af fejlen. Fejlen findes i behandlingen af specielle tegnsæt i domænenavne og kan udnyttes til at forfalske websites, SSL certifikater, adressebaren og statusbaren....."
http://ekstrabladet.dk/visartikel.iasp?pageid=2793...
http://ekstrabladet.dk/visartikel.iasp?pageid=2793...
#8: Man kan jo så diskuterer om det er en fejl...
Det er jo nok et problem, men de browsers der understøtter IDN fungerer sådan set lige som man gerne vil havde dem til. At forskellige lande så har tegn der ligner hinanden men ikke er de samme, ja det er måske en fejl :D
On topic: Så er det vel logik at det vil gå sådan når populariteten stiger, og som sådan betyder det vel heller ikke så meget, hvis blot Mozilla folkene rykker hurtigt nok, og befrier os fra den slags skidt.
Det er jo nok et problem, men de browsers der understøtter IDN fungerer sådan set lige som man gerne vil havde dem til. At forskellige lande så har tegn der ligner hinanden men ikke er de samme, ja det er måske en fejl :D
On topic: Så er det vel logik at det vil gå sådan når populariteten stiger, og som sådan betyder det vel heller ikke så meget, hvis blot Mozilla folkene rykker hurtigt nok, og befrier os fra den slags skidt.
jeg synes heller ikke det er særlig fair der kun er spyware til IE, hvad med os ff brugere?!? Vi vil da ikke være uden for bare fordi vi bruger en anden browser... :(
#8:
Dette har absolut ikke noget at gøre med at installere ting på folks computere uden deres viden. Med denne fejl kan det lade sig gøre at få et andet site til at fremgå af adresselinjen end man rent faktisk er på ved at udnytte nogle besynderligheder i måden man skriver domænenavne der indeholder eksempelvis æ, ø og å.
IE er også berørt af denne fejl hvis man har installeret den opdatering til den der gør den i stand til at håndtere den slags domæne-navne.
Fejlen er nærmere end fejl i den måde disse domænenavne skrives på end det er en fejl i alle browsere på markedet, men det er selvfølgelig væsentligt at browserne finder på en måde så brugerne kan gennemskue at de er på en anden side end de tror.
Dette har absolut ikke noget at gøre med at installere ting på folks computere uden deres viden. Med denne fejl kan det lade sig gøre at få et andet site til at fremgå af adresselinjen end man rent faktisk er på ved at udnytte nogle besynderligheder i måden man skriver domænenavne der indeholder eksempelvis æ, ø og å.
IE er også berørt af denne fejl hvis man har installeret den opdatering til den der gør den i stand til at håndtere den slags domæne-navne.
Fejlen er nærmere end fejl i den måde disse domænenavne skrives på end det er en fejl i alle browsere på markedet, men det er selvfølgelig væsentligt at browserne finder på en måde så brugerne kan gennemskue at de er på en anden side end de tror.
#11 <sjov> Også derfor jeg ikke har skiftet til FF savner simpelthen det rush man får når AdAware kommer op med 'insekter' :P</sjov>
Ej håber da ikke vi får spyware i FF. Personligt plejer jeg ikke at få spyware (7-9-13) med IE fordi jeg bruger min sunde fornuft og ikke installerer programmer jeg ikke er sikker på hvem der har lavet, har mine sikkerhedsindstillinger på høj og henter alle patches så snart de bliver udgivet.
Det hjælper en del på det!
Ej håber da ikke vi får spyware i FF. Personligt plejer jeg ikke at få spyware (7-9-13) med IE fordi jeg bruger min sunde fornuft og ikke installerer programmer jeg ikke er sikker på hvem der har lavet, har mine sikkerhedsindstillinger på høj og henter alle patches så snart de bliver udgivet.
Det hjælper en del på det!
Der er en meget stor forskel på at få 'spyware' på Firefox og så på de propreritære browsere.. Vi har nemlig SELV muligheden for at lukke/rette hullerne.
Umiddelbart er det lidt sværere med FF idet man altid får at vide hvis en side prøver at installere noget, og FF som udgangspunkt kun tillder installering af programmer fra bestemte sider. Det er dog klart at hvis folk downloader programmer og installerer dem som ethvert andet program så kan det give problemer, det er dog det samme for alle browsere og ikke noget man helt kan komme ud af. Både IE og FF giver warnings hvis man åbner et program direkte (vil vove at påstå at flere burde blive opmærksom på og forstå FF's warning, men det er en anden sag).
Selvom det virker underligt, så kommer FF nok til at være open-source's ansigt udad til for 90% af internettets brugere, og hvis FF klarer det godt - så er det god "PR" til OSS.
- Og mht mit gæt ang. fremtiden: jeg tror ikke at FF kommer til at have så mange problemer som IE - men jeg tror at extensions godt kan udnyttes til noget skidt. IE View launcher jo et externt program - det kunne i princippet være hvad som helst. Men ikke desto mindre vil FF sørge for at få nettets niveau højnet og browsing oplevelsen meget forbedret, imho.
- Og mht mit gæt ang. fremtiden: jeg tror ikke at FF kommer til at have så mange problemer som IE - men jeg tror at extensions godt kan udnyttes til noget skidt. IE View launcher jo et externt program - det kunne i princippet være hvad som helst. Men ikke desto mindre vil FF sørge for at få nettets niveau højnet og browsing oplevelsen meget forbedret, imho.
#15: Men denne nyhed er nu god nok: http://www.shmoo.com/idn/
Selvom man stadig kan diskuterer om det er en browser bug....
Selvom man stadig kan diskuterer om det er en browser bug....
V. Workaround
You can disable IDN support in mozilla products by setting 'network.enableIDN'
to false. There is no workaround known for Opera or Safari.
ser ikke ud til at fikse http://www.shmoo.com/idn/ for mig :/
You can disable IDN support in mozilla products by setting 'network.enableIDN'
to false. There is no workaround known for Opera or Safari.
ser ikke ud til at fikse http://www.shmoo.com/idn/ for mig :/
#21
Jeg ved nu ikke om det er en myte. Hvis FF sad på 100% af markedet _tror_ jeg, at der ville være meget mere spyware end der er nu.
At Apache ikke bliver ramt er vel bare undtagelsen der bekræfter reglen.
Edit:
Eller også er det fordi IIS er windows-baseret. Og der findes trodsalt flere exploits til windows, da det er et mere populært mål.
Jeg ved nu ikke om det er en myte. Hvis FF sad på 100% af markedet _tror_ jeg, at der ville være meget mere spyware end der er nu.
At Apache ikke bliver ramt er vel bare undtagelsen der bekræfter reglen.
Edit:
Eller også er det fordi IIS er windows-baseret. Og der findes trodsalt flere exploits til windows, da det er et mere populært mål.
http://www.comon.dk/index.php/news/show/id=21051
Fra de nyeste stat på Dix vises der at der er flere som bruger Netscape 4.0 end som der er der bruger Firefox1.0.
Paster lige stat her:
MSIE 6.0 87,84
MSIE 5.0 3,46
Netscape 4.0 2,63
Mozilla Firefox 1.0 2,36
MSIE 5.5 1,92
Unresolved: Java Enabled 0,53
Safari 0,26
Netscape 5.0 0,24
Mozilla Firefox 0.10 0,22
MSIE 5.2 0,20
Opera 7.5 0,15
MSIE 5.1 0,10
Mozilla Firefox 0.9 0,07
MSIE 4.0 0,02
Sammen med (som #8 også har pastet) http://ekstrabladet.dk/visartikel.iasp?pageid=2793... viser det bare at jo flere som bruger en ting jo mere focus kommer der på og jo flere leder efter fejl. Samt jo flere features der er jo større er chancen for fejl. Hvis IE havde denne feature ville den nok også have fejlet med det.
Nej gider ikke skrive: Godt jeg bruger IE. Men det viser bare hvor lamt det er at høre på at folk skrive: GODT JEG BRUGER FIREFOX hver gang der opdages en fejl i IE.
Fra de nyeste stat på Dix vises der at der er flere som bruger Netscape 4.0 end som der er der bruger Firefox1.0.
Paster lige stat her:
MSIE 6.0 87,84
MSIE 5.0 3,46
Netscape 4.0 2,63
Mozilla Firefox 1.0 2,36
MSIE 5.5 1,92
Unresolved: Java Enabled 0,53
Safari 0,26
Netscape 5.0 0,24
Mozilla Firefox 0.10 0,22
MSIE 5.2 0,20
Opera 7.5 0,15
MSIE 5.1 0,10
Mozilla Firefox 0.9 0,07
MSIE 4.0 0,02
Sammen med (som #8 også har pastet) http://ekstrabladet.dk/visartikel.iasp?pageid=2793... viser det bare at jo flere som bruger en ting jo mere focus kommer der på og jo flere leder efter fejl. Samt jo flere features der er jo større er chancen for fejl. Hvis IE havde denne feature ville den nok også have fejlet med det.
Nej gider ikke skrive: Godt jeg bruger IE. Men det viser bare hvor lamt det er at høre på at folk skrive: GODT JEG BRUGER FIREFOX hver gang der opdages en fejl i IE.
Jeg er også tilfreds med min IE klon (AvantBrowser) og har slet ikke haft nogle problemer med spyware, da jeg altid helt opdateret med windows update og kører SpyBot og nu også MS AntiSpyWare. Sidst men ikke mindst, jeg installerer ikke nogle ActiveX komponenter uden at jeg vide hvem der står bag det komponnent. Så sikkerheden er i top og KUN i mine muse klik ;)
Jeg er også en af dem der er efterhånden ved at være irriteret over for at høre fra FF folk om deres lam argumenter om sikkerhed i FF kontra IE.
Jeg håber flere vil komme til at bruge FF og dermed der vil komme flere spyware/hack til det, så brugerne kan skfite tilbage til IE 7.0 når den kommer eller hurtigt tilbage til IE 6 ;)
Jeg er også en af dem der er efterhånden ved at være irriteret over for at høre fra FF folk om deres lam argumenter om sikkerhed i FF kontra IE.
Jeg håber flere vil komme til at bruge FF og dermed der vil komme flere spyware/hack til det, så brugerne kan skfite tilbage til IE 7.0 når den kommer eller hurtigt tilbage til IE 6 ;)
#22:
Ydermere er Apache den ubestridt mest brugte Web Server og koden er tilgængelig. Det må da være nemmere at ramme den end et stykke Closed Source Software som IIS.
[ONTOPIC]
Selvfølgelig kommer der spyware til FF også under GNU/Linux. Jeg bruger da både spamfilter og antivirus selvom selvom jeg ikke har haft en virus indenfor dørene i 6-7 år (Der er gået et par stykker i mit avirusprg under Windows). Det er jo bare et spørgsmål om tid. Ellers laver jeg sgu en selv... Som der var en der nævnte jeg vil heller ikke være udenfor...
Eller også er det fordi IIS er windows-baseret. Og der findes trodsalt flere exploits til windows, da det er et mere populært mål.Apache findes også til Windows ;-) Blandt andet installerer alle Oracle produkter mindst en udgave af den uanset om der er en Apache/IIS Web Server der kunne bruges. Den skal så patches uafhængigt (for hvert produkt) med updates fra Oracle (Og det sker ikke automatisk).
Ydermere er Apache den ubestridt mest brugte Web Server og koden er tilgængelig. Det må da være nemmere at ramme den end et stykke Closed Source Software som IIS.
[ONTOPIC]
Selvfølgelig kommer der spyware til FF også under GNU/Linux. Jeg bruger da både spamfilter og antivirus selvom selvom jeg ikke har haft en virus indenfor dørene i 6-7 år (Der er gået et par stykker i mit avirusprg under Windows). Det er jo bare et spørgsmål om tid. Ellers laver jeg sgu en selv... Som der var en der nævnte jeg vil heller ikke være udenfor...
#15
Ja, jeg giver dig helt ret i at virus112 ofte tager alt for meget fejl, til at de kan tages seriøst, men det kan have noget at gøre med at de ikke ved så meget om det de beskæftiger sig med.
(Ovenstående er en joke, da Sephiroth tydeligvis er ude af stand til at se forskel på hvad der rent faktisk stammer fra Ekstra Bladet, og hvad de (pga. et samarbejde) bringer fra virus112)
Ja, jeg giver dig helt ret i at virus112 ofte tager alt for meget fejl, til at de kan tages seriøst, men det kan have noget at gøre med at de ikke ved så meget om det de beskæftiger sig med.
(Ovenstående er en joke, da Sephiroth tydeligvis er ude af stand til at se forskel på hvad der rent faktisk stammer fra Ekstra Bladet, og hvad de (pga. et samarbejde) bringer fra virus112)
Der er fundet en fejl i browserne Mozilla, Konqueror, Safari, Opera og Firefox. For en gangs skyld er Internet Explorer ikke omfattet af fejlen. Fejlen findes i behandlingen af specielle tegnsæt i domænenavne og kan udnyttes til at forfalske websites, SSL certifikater, adressebaren og statusbaren.
Problemet opstår på grund af at visse browsere understøtter en standardiseret måde (Internationalised Domain Names") at repræsentere domænenavne på. Fejlen kan derfor udnyttes ved at registrere et domænenavn med internationale tegn, der ligner andre tegn.
--
Har efterprøvet det og det er uhyggeligt at det virker!
Problemet opstår på grund af at visse browsere understøtter en standardiseret måde (Internationalised Domain Names") at repræsentere domænenavne på. Fejlen kan derfor udnyttes ved at registrere et domænenavn med internationale tegn, der ligner andre tegn.
--
Har efterprøvet det og det er uhyggeligt at det virker!
#29: Som tidligere nævnt i tråden [hvis du nu havde gidet læse den frem for at flamebaite/spamme] er IE også ramt når den har fået installeret den patch [patch fordi det er en fejl ikke at understøtte IDN]. Mao. så snart man understøtter IDN er man ramt. Modsat [AFAIK] alle andre browsere er det dog muligt at slå IDN fra i Firefox.
Dertil hører selvfølgelig at det er off-topic, da det her gælder programmer der bliver installeret på maskiner, og man skal altså være relativt debil for ikke at opdage at man er ved at installere noget med FF og konqueror for den sags skyld.
Dertil hører selvfølgelig at det er off-topic, da det her gælder programmer der bliver installeret på maskiner, og man skal altså være relativt debil for ikke at opdage at man er ved at installere noget med FF og konqueror for den sags skyld.
#28: Korrekt, men alle forsøg jeg har set på live-hacking af GNU/Linux har alle gået igennem Apache (Dårlige CGI/PHP-Scripts) og da en service/daemon skal køre med root-rettigheder for at komme under port 1024 så opstår problemet. Og jeg vil da mene at det er federe at have kontrol over et firmas web-server end en eller anden tilfældig PC man kommer igennem via et hul i en browser. Førstnævnte er næsten med garanti kraftigere - forbindelsen er 100% hurtigere, specielt på upload siden... Og mange maskiner der hackes bruges jo altså til spam...
EDIT: Jeg ved godt at det er lidt offtopic...
EDIT: Jeg ved godt at det er lidt offtopic...
#22 XorpiZ
Det er en myte/lam bortforklaring. (Pick one.. :P)
Hvis hvis hvis. Firefox er ret populær, og dens synderegister ser ret pæn ud stadigvæk. Det har større indflydelse... ;)
1> Ordentligt design.
2> Ikke indbygget i et bestemt OS.
Igen to ting som ikke direkte, har noget med hinanden at gøre.
#26 noia51
Suuk!...
Endnu en sejlivet myte.
Frit tilgængelig kode har INGEN indflydelse, på et produkts sikkerhed at gøre!. Det er gør det ikke nemmere for crackere, at finde huller. Til gengæld gør det at folk lettere og hurtigere, kan rette fejl når de finder fejl. Den del giver sikre software tilgengæld.
Jeg ved nu ikke om det er en myte. Hvis FF sad på 100% af markedet _tror_ jeg, at der ville være meget mere spyware end der er nu.
Det er en myte/lam bortforklaring. (Pick one.. :P)
Hvis hvis hvis. Firefox er ret populær, og dens synderegister ser ret pæn ud stadigvæk. Det har større indflydelse... ;)
At Apache ikke bliver ramt er vel bare undtagelsen der bekræfter reglen.
1> Ordentligt design.
2> Ikke indbygget i et bestemt OS.
Eller også er det fordi IIS er windows-baseret. Og der findes trodsalt flere exploits til windows, da det er et mere populært mål.
Igen to ting som ikke direkte, har noget med hinanden at gøre.
#26 noia51
Ydermere er Apache den ubestridt mest brugte Web Server og koden er tilgængelig. Det må da være nemmere at ramme den end et stykke Closed Source Software som IIS.
Suuk!...
Endnu en sejlivet myte.
Frit tilgængelig kode har INGEN indflydelse, på et produkts sikkerhed at gøre!. Det er gør det ikke nemmere for crackere, at finde huller. Til gengæld gør det at folk lettere og hurtigere, kan rette fejl når de finder fejl. Den del giver sikre software tilgengæld.
#33: Det gør det netop nemmere at finde huller at koden er tilgængelig (check them buffers ;-). Samme egenskab gør at der også generelt er flere øjne der ser på koden - også bare af ren nysgerrighed.
Og et af argumenterne for åben kode er jo netop også at det er med til at eliminere huller og fejl. Men på det punkt er vi nok enige...
Og ja, eksemplet jeg kom med i #32 er meget søgt og det er ikke direkte en fejl/sårbarhed i Apache der udnyttes. Blot dårlige programmørers uvidenhed om det de roder med (tag deres grafiske værktøjer fra dem og de kan lige pludselig ingen ting ;-)
Og et af argumenterne for åben kode er jo netop også at det er med til at eliminere huller og fejl. Men på det punkt er vi nok enige...
Og ja, eksemplet jeg kom med i #32 er meget søgt og det er ikke direkte en fejl/sårbarhed i Apache der udnyttes. Blot dårlige programmørers uvidenhed om det de roder med (tag deres grafiske værktøjer fra dem og de kan lige pludselig ingen ting ;-)
#34 noia51
Det har intet med hinanden at gøre.
Der er flere som kigger på koden, med henblik på at forbedre den. Men det er ikke en effektiveste måde at finde bugs på. Det tager en crcker væsentligt længere tid, at gennemstudere koden nøje, end blot at prøve eksterne angreb.
Hvis man kunne finde fejl, blot ved at studere koden alene, så ville folk jo ikke behøve at bruge debug'ere... ;) Men derfor får vi stadig en masse gode forbedringer, ved at lade alle deltage.
Det gør det netop nemmere at finde huller at koden er tilgængelig (check them buffers ;-). Samme egenskab gør at der også generelt er flere øjne der ser på koden - også bare af ren nysgerrighed.
Det har intet med hinanden at gøre.
Der er flere som kigger på koden, med henblik på at forbedre den. Men det er ikke en effektiveste måde at finde bugs på. Det tager en crcker væsentligt længere tid, at gennemstudere koden nøje, end blot at prøve eksterne angreb.
Og et af argumenterne for åben kode er jo netop også at det er med til at eliminere huller og fejl. Men på det punkt er vi nok enige...
Hvis man kunne finde fejl, blot ved at studere koden alene, så ville folk jo ikke behøve at bruge debug'ere... ;) Men derfor får vi stadig en masse gode forbedringer, ved at lade alle deltage.
#35: Jeg siger ikke at åben kode er mere usikker. Jeg siger bare at hvis der er nogle huller så er de til at finde her - Jeg sagde ikke det var nemt. Sådan noget som IDN (som vel ikke er en fejl) ville man nok ikke finde i koden hvorimod alle former for validering (eller mangel på samme) netop står i koden. Hvis man bare er interresseret i at lægge maskinen ned (få den af nettet) kan man jo bare floode portene. Vil man derimod uset ind og ud så må man bruge andre metoder.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund