Gepubliceerd: Dinsdag 6 oktober 2009
SSL-certificaten kunnen nog steeds gemakkelijk worden vervalst door een stukje code voor de url te plaatsen. Mozilla Firefox verhielp de bug weken geleden, Microsoft laat nog op zich wachten.
Toon volledig artikel
"Windows nog steeds kwetsbaar voor SSL-hack"
"Mozilla Firefox verhielp de bug weken geleden, Microsoft laat nog op zich wachten."
LOL. :P
Mozilla Firefox verhielp de bug weken geleden
Kijk bij Microsoft houden ze zich bezig met licenties tellen en het inbakken van allerlei onzin in de software om "misbruik" tegen te gaan. Ze het lekker "geintegreerd" met DRM en registry geneuzel.
Die registry is echt een grote verschrikking. Als je een OEM versie hebt van Microsoft en er is bijvoorbeeld een trial versie van MS Office geinstalleerd, dan krijg je die registry keys er nooit meer uit en blijft het systeem je plagen als je OpenOffice gebruikt.
Microsoft heeft technisch eigenlijk maar 1 optie: Open Source maken van Windows.
De voordelen:
1. Alle onzin gaat er in een keer uit;
2. Er wordt eindelijk eens goed naar de architectuur gekeken;
3. Er wordt eindelijk een keer goed en zonder marktdruk gecodeerd;
4. Het product wordt eindelijk eens goed getest. Wazeggu? Teste? Ja testen, dat is namelijk wat er in mijn beleving te weinig gebeurt.
Leuk he, dat we nu al weten dat het Windows 7, ondanks alle tam tam en het onzinnige geloei van de Microsoft Marketing Machine en haar handlangers, niet anders zal gaan. Echt niet.
Die registry is echt een grote verschrikking. Als je een OEM versie hebt van Microsoft en er is bijvoorbeeld een trial versie van MS Office geinstalleerd, dan krijg je die registry keys er nooit meer uit en blijft het systeem je plagen als je OpenOffice gebruikt.
Toevallig heb ik vorige week nog een nieuwe Asus Eee ontdaan van alle overbodige rommel waaronder een trial van Office. Daarna heb ik o.a. OpenOffice geinstalleerd en nog steeds ben ik niet 'geplaagd' door het systeem. Volgens mij roep je dus maar wat...
Alles. Ze besteden vooral aandacht aan de zaken die voor hun zelf belangrijk zijn. Issues die belangrijk zijn van de betalende gebruikers komen op het tweede plan.
Alles? Dat is best veel.
Maar even serieus, wat heeft het design van de registry (hoe kreupel die ook is) te maken met een lek in CryptoApi?
OK, je kunt het beperken tot dit ene lek, maar dat is niet mijn punt. Het is ook niet eerlijk om van mij te vragen te bewijzen wat de registry met dit probleem te maken heeft, ik beschik immers niet over de broncode. ;-))
Mijn kritiek richt zich op twee niet specifiek SSL gerelateerde zaken:
1. De architectuur van het platform en alle problemen die daaruit voortkomen;
2. De houding van Micorsoft ten aanzien van problemen in het gebruik. Dus niet meer patchen van Windows 2000 en Windows XP "omdat het te moeilijk is" en het liegen daarover.
Webwereld staat bol van allerlei losse paniekverhalen over zaken die met windows aan de hand zijn, die goed beschouwd zijn terug te voeren op een paar gemeenschappelijke oorzaken.
De registry zit overal in verweven, dus je zou niet eens verbaasd moeten zijn als het oplossen van dit probleem op zijn minst wordt gecompliceerd door het bestaan van de registry.
De registry zit overal in verweven, dus je zou niet eens verbaasd moeten zijn als het oplossen van dit probleem op zijn minst wordt gecompliceerd door het bestaan van de registry.
Zal ik jou eens vertellen wat het register te maken heeft met het incorrect interpreteren van een null karakter? Absoluut geen ene zak. Maar ga vooral door met dit zinloze gezwets, voor je geloofwaardigheid maakt het toch niets meer uit.
dus de browser kan het wel verhelpen ( zie firefox oplossing) maar de bug zit in Windows?
Lijkt me iets om op twee terreinen aan te pakken dus.
wat zoekwerk leverde deze link op.. uit 2002!
http://tweakers.mobi/nieuws/23242
lijkt er akelig veel op.
en dit...
http://news.cnet.com/2100-1001-956729.html?tag=dd.ne.dht.nl-sty.0
Als dit dezelfde bug is heeft er iemand fiks zitten slapen of worden er verkeerde zaken gekoppeld in dit webwereld artikel.
De fout die jij aanhaalt is verholpen door MS02-050. Het gaat in dit bericht om een nieuw probleem (zie CVE-2009-3454), veroorzaakt door een zelfde soort fout als die in Firefox.
@ SED 11:43
... of worden er verkeerde zaken gekoppeld in dit webwereld artikel.
Inhoud is correct, TheRegister doet melding van een geval waar het al in de praktijk wordt toegepast:
That's because a hacker on Monday published a counterfeit [ PayPal ] secure sockets layer certificate that exploits a gaping hole in a Microsoft library ...
al de artikelen lijken op dezelfde basis geschreven..
Blijft staan, als de fout dezelfde is als uit de links die ik net aanhaalde... dan heeft er bij MS iemand fiks zitten slapen.
Vreemd geneog is er eerder niets te vinden over de cryptoapi problemen. Pas in deze artikelen komt dat naar voren..
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
