Gepubliceerd: Zaterdag 21 november 2009
Microsoft heeft gelijk gekregen met zijn kritiek op Chrome Frame. De Google-plugin maakt Internet Explorer kwetsbaar.
Toon volledig artikel
Is hier een verband met dit nieuws of staat het op zichzelf? Ik kan er geen touw aan vast knopen. :(
Het zou me niet verbazen als MS te horen kreeg van de XSS bug in haar eigen code, vergelijkbare aanvallen probeerde op Google Frame en de gevonden Google bug met veel fanfare presenteerde.
Troost je met de gedachte dat het gemiddelde software pakket nog meer gaten bevat dan menig product van Microsoft.
het lijkt wel of webwereld tegen google is,en niet tegen m$,
als er "nieuws" is van windows7 niks anders als superlatieven.
en als er nieuws is van google meestal negatief,alles over windows7 maar bijna niets over ubuntu en ander linuxnieuws.
TheRegister is aardig onpartijdig.
Zij zeikt vooral bagger producten af en ze is niet gevoelig voor FUD.
Wat grappig is: Microsoft krijgt de credits op van Google voor het vinden van deze bug. Je vraagt je af hoe 'n groot team bij Microsoft er bezig is met het schieten van gaten in de frame plugin.
Het monopolie van MS is voor een deel gebouwd op mis-features van IE, vooral IE6. Google doet wat, maar het is eigenlijk de taak van een Mededingingsautoriteit om monopoliemisbruik aan te pakken.
Het monopolie van MS is voor een deel gebouwd op mis-features van IE, vooral IE6.
je draait oorzaak en gevolg om..
Je zegt:
Het monopolie van MS is voor een deel gebouwd op mis-features van IE
Die mis-features van IE konden alleen maar ontstaan dóór het monopolie van MS.
edjez: het een sluit het ander niet uit. Sinds Firefox een significant marktaandeel heeft op Windows kan ik op Linux goed uit de voeten wat betreft internet. Toen Firefox nog klein was het ik regelmatig problemen met telebankieren en andere zaken.
Als IE zo dominant was gebleven dan was Linux veel marginaler gebleven.
Het lek stelt kwaadwillenden in staat om cross-site scripting-aanvallen uit te voeren.
IE heeft helemaal geen plugin nodig om kwetsbaar te zijn voor cross-site-scripting. Volgens Secunia zit er al maanden een lek in IE:The vulnerability exists because pages that don't specify a charset inherit the charset of the parent page. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of certain sites that are included e.g. via iframes in a malicious page that uses UTF-7 as charset.
Successful exploitation requires that the user is tricked into visiting a malicious web site.
The vulnerability is confirmed in Internet Explorer 7 and 8 on a fully patched Windows XP. Other versions may also be affected.
De release-date van het Secunia-bericht: 2007-02-26 (dus is het al jaren?)
Last update: 2009-05-12
Dit is zodat webdevelopers hun site ook kunnen laten zien in Internet Explorer zonder dat ze daar allerlei smerige hacks voor moeten toepassen. Dit kan dus een hele boel tijd (en dus ook geld) schelen.
Volgens mij draaien de meeste installs van IE6 tegenwoordig bij grote bedrijven, organisaties en overheden. Ik ken geen thuisgebruikers die nog IE6 draaien.
In het geval van corporate omgevingen kan de eindgebruiker er vaak zelf niets aan doen, alleen de IT-beheerder kan nieuwe software installeren. Dus de eindgebruiker kan niet upgraden naar IE8, geen Firefox installeren, en zelfs het installeren van een plugin als Chrome Frame lukt niet.
In corporate omgevingen zijn er vaak web applicaties die zijn geschreven voor oude versies van IE, of standalone apps die een koppeling hebben met IE. In plaats van het upgraden naar een nieuwe browser kan zo'n plugin als Chrome Frame uitkomst bieden, maar de installatie is wel bij gratie van de beheerder.
Dit is zodat webdevelopers hun site ook kunnen laten zien in Internet Explorer
Ik weet alleen zeker dat er erg weinig webdevelopers ontwikkelen op Chrome. Elke webdeveloper ontwikkeld tegen FF(firebug) of IE aan.
Ofwel onzin argument.
En weer eens een misleidende kop in het voordeel van Microsoft.
"Chrome Frame maakt IE onveilig" suggereert dat IE zonder Chrome Frame veilig is. Iets wat al onveilig is kun je immers niet onveilig maken. Ook suggereert de kop dat alle kwetsbaarheden in IE de schuld zijn van Google.
Daarom zou een betere kop zijn "Plugin maakt IE nog onveiliger". Maar ja, dat verkoopt geen kranten.
Touché. FF jailbreaken en dan........... van veilig naar meer dan onveilig, inclusief de dan standaard wachtwoorden
Gelukkig werkt het alleen op iPhone met Jailbreak. Iets wat gelukkig niet door het gros van de gebruikers wordt gedaan.
Maar je zou zeggen dat iemand die zijn iPhone kraakt zich bewust is van de risico's. Zeker na de diverse berichten. Helaas lijkt het daar nog niet voldoende op.
Ik zelf zou Apple aanraden om mensen, die besluiten hun telefoon te jailbreaken, van een handleiding te voorzien over hoe ze daarna hun beveiliging terug op orde krijgen. Want dit soort nieuws wordt door de wat fanatiekere anti-fans misbruikt om Apple een slechte naam te bezorgen.
Gelukkig werkt het alleen op iPhone met Jailbreak. Iets wat gelukkig niet door het gros van de gebruikers wordt gedaan.
Is dat net zo naief als zeggen dat de meeste wel gewoon hun NDS spelletjes kopen? Verklaar dan eens de 95% Piracy rate waarover developers zo massaal klagen? Of spelen alleen mensen met een gejailbreakte iPhone massaal games? Daarnaast vergeet je de miljoenen iPod gebruikers...
Of spelen alleen mensen met een gejailbreakte iPhone massaal games?
Ik denk dat vooral veel jongeren games willen hebben op een iPhone. Ik denk ook dat die relatief minder bereid zijn om te betalen. Ik denk dan ook dat je er misschien niet ver naast zit. Maar zonder exactere cijfers is daar niets van te zeggen.
Daarnaast vergeet je de miljoenen iPod gebruikers...
Waarom vergeet ik die volgens jou? In SED's link komt het woord iPod niet voor.
Verklaar dan eens de 95% Piracy rate waarover developers zo massaal klagen?
Bron, graag.
Er zijn volgens het Tweakers-artikel een paar duizend gejailbreakte iPhones in Nederland. Er zijn tienduizenden iPhones in Nederland. Er zijn net zoveel iPod touches, ook die zouden gejailbreakt kunnen worden.
Iedereen die ik ken die ooit een jailbreak heeft gedaan is daar weer van terug gekomen en gebruikt nu Apple's standaard-install. Maar die mensen weten echt wel hoe een SSH-wachtwoord te veranderen. De gemiddelde consument daarentegen weet niet eens waar SSH voor staat, laat staan dat ze hun iPhone of iPod touch zullen jailbreaken.
Voor bronnen lijkt me dat je dat gewoon kan Googlen. Daarnaast ken ik alleen maar mensen die hun iPhone en vooral hun iPod hebben gejailbreakt en niet meer zijn terug gegaan juist vanwege de "gratis" apps en games.
Maar zonder cijfers van het percentage gamers op iPhone is er weinig af te leiden over het minimale percentage jailbreakers. Laat staan over het maximale percentage.
Als developers constateren dat 95% gespeeld wordt met een illegale / gekraakte / gepatchte game dan zegt dat in ieder geval dat van de gamers die de game gebruiken 95% een gejailbreakte iPhone/iPod heeft. Als je dus 10.000 exemplaren hebt verkocht betekend dat 95 x 10.000 = 9.500.000 illegale versies. Let wel, ik zeg het niet, dat doen de developers zelf. Datzelfde doen ze ook met PC games. Feit blijft dat sites als iPhoneCake en Appulous gretig aftrek vinden en er heel veel game/app releases zijn door gerenomeerde scene-groups in de 0day sectie. FUD?!? De waarheid zal ergens in het midden liggen.
Ik begrijp intussen dat het gaat om gekraakte iPhones en iPods. De initiele discussie ging om Chrome Frame. Iemand bestoot daar een worm op iPhone in te betrekken. En nu moet ineens piracy op alle Apple producten daar weer bij.
Gezien de hoeveelheid iPhones en iPods in omloop lijkt me 9.500.000 een mooi getal, maar over het aantal gekraakte iPhones zegt het nog steeds geen fluit. Daar wil ik het graag bij laten.
Dat rekensommetje klopte trouwens ook niet helemaal:
Als je dus 10.000 exemplaren hebt verkocht betekend dat 95 x 10.000 = 9.500.000 illegale versies.
95 x 10,000 = 950,000.
Maar zelfs dat was niet het antwoord wat U4iA zocht:
als 95% van 10,000 iPhones gejailbreakt is, dan zijn dat 9,500 iPhones.
Er zijn 55 miljoen iPhones en iPod touches. Volgens U4iA zouden er dus 52.25 miljoen gejailbreakte iPhones en iPod touches zijn, die allemaal aan piraterij doen en nooit voor apps betalen.
Ik heb nog even zitten denken over het gegoochel met de cijfers. :)
Als er 10.000 games verkocht zijn dan is dat 5%, want de overige 95% was een illegale kopie. dat maakt 2.000 x 95 = 190.000 illegale kopieën. Er zijn dus zeker wel 190.000 ge-jailbreak-te Apple apparaten in omloop. Waarvan een deel iPod en een deel iPhone.
Als er 55 miljoen apparaten in omloop zijn dan gaat het om 0,3%. Da's echt heel veel. ;)
Ah, heel alert van je. Ik dacht dat de 'exemplaren' waar hij het over had de iPhones en iPod touches waren, maar hij bedoelde de spellen. Dan snap ik het verhaal van die ontwikkelaars ook meteen veel beter.
Maar goed, het percentage jailbreakers is dus te verwaarlozen. En >10,000 games verkopen is een leuke omzet, ongeacht hoeveel jailbreakers het spel illegaal hebben gedownload.
Daarnaast ken ik alleen maar mensen die hun iPhone en vooral hun iPod hebben gejailbreakt en niet meer zijn terug gegaan juist vanwege de "gratis" apps en games.
Fijne vrienden heb jij.
maar we hebben nu wel een draadloos botnet met capacitive touch ;)
Microsoft biedt in Windows Mobile inderdaad nog steeds geen ondersteuning voor capacitieve touchscreens. Wanneer zou dat eens komen?
Maar goed, die paar gejailbreakte iPhones kunnen in ieder geval gewoon gebruik blijven maken van de App Store. Microsoft daarentegen heeft alle gebruikers van gejailbreakte Xbox-en verbannen van Xbox Live. (link)
Maar goed, die paar gejailbreakte iPhones kunnen in ieder geval gewoon gebruik blijven maken van de App Store. Microsoft daarentegen heeft alle gebruikers van gejailbreakte Xbox-en verbannen van Xbox Live.
Maar de Xbox heeft geen last van worms. Doen ze toch goed hè, daar bij Microsoft?
Zooo, en of de X-Box last heeft van Worms! ;)
En misschien is het dan niet heel gevoelig voor malware, maar verder is het net als de rest niet vrij van ellende.
Xbox Live Accounts Hacked
moeten we de term hacken uitleggen? In dit geval had en heeft het niets te maken met het OS mar met gebruikers die raadbare of breekbare paswworden gebruiken. Net zoiets las jij destijds met je hotmail account.
Slordig, maar gebruikelijk en een doelwit voor "hackers".
In dit geval had en heeft het niets te maken met het OS mar met gebruikers die raadbare of breekbare paswworden gebruiken.
Net als het geval van de gejailbreakte iPhones dus.
Je meet weer eens met twee maten.
Microsoft daarentegen heeft alle gebruikers van gejailbreakte Xbox-en verbannen van Xbox Live.
Gebruikers van een gemodde Xbox kunnen gewoon blijven spelen met hun Xbox hoor. Dat ze zijn verbannen van XBL wil niet zeggen dat hun Xbox niet meer werkt, alleen niet online. Daarnaast is de iPhone vergelijken met XBL nogal vreemd, gezien er maar heel erg weinig MP-games (kan er nu geen verzinnen) zijn voor de iPhone/iPod. En nee, OpenFient is een leaderboard en geen MP. Daarbaast weet ik bijna wel zeker dat als Apple het kon, ze het ook zouden doen.
Gebruikers van een gemodde Xbox kunnen gewoon blijven spelen met hun Xbox hoor. Dat ze zijn verbannen van XBL wil niet zeggen dat hun Xbox niet meer werkt, alleen niet online.
Goh, hebben die lui mazzel. Ze zijn alleen afgesloten van het Internet, zijn al hun high scores kwijt en toegang tot de online spellen waar ze voor betaald hebben!
Daarnaast is de iPhone vergelijken met XBL nogal vreemd, gezien er maar heel erg weinig MP-games (kan er nu geen verzinnen) zijn voor de iPhone/iPod.
Allebei zijn het platformen met 1 officieele software-winkel, die bestierd wordt door de fabrikant van het apparaat.
Verder zijn er wel multiplayer-games voor de iPhone, maar de software die het mogelijk maakte, Firmware 3.0, kwam pas 4 maanden geleden uit. De meest interessante multiplayer-games zijn nog in aanbouw.
Daarnaast weet ik bijna wel zeker dat als Apple het kon, ze het ook zouden doen.
Apple kan ook individuele iPhones op afstand uitzetten, dus geloof maar dat ze gejailbreakte iPhones kunnen herkennen (middels de iPhone App Store, of iTunes op de desktop).
Maar ook al zou Apple die apparaten de toegang kunnen ontzeggen van de App Store, ik betwijfel of Apple de accounts van mensen zal blokkeren, zoals Microsoft dat nu heeft gedaan. Ik vind het een werkelijk draconische maatregel, waar Microsoft nog veel problemen mee zal krijgen in de rechtszaal.
Touché. FF jailbreaken en dan....
Begrijp ik je nu goed? Als een gebruiker in Windows UAC uitzet, de firewall disabled en werkt met een admin account, dan heeft Microsoft het os onveilig gemaakt?
Klinkt me wat onlogisch.
Er wordt gevraagd om een voorbeeld. Ik kon zo 1/2/3 niet op een voorbeeld komen en de iPhone wordt genoemd.
Punt toch? Dat het de gebruiker zelf is die zorg draagt voor mogelijke besmettingen is niets nieuws. Je kunt het bagetaliseren door MS als voorbeeld te noemen, maar, zoals zovaak aangehaald, zijn het ALTIJD de gebruikers die een systeem onveilig kunnen maken.
Installeer vooral geen antivirus, beveilig je netwerk niet met een of andere vorm van vuurmuurtje en bezoek zoveel mogelijk xxx sites, download zoveel mogelijk troep van P2P sites en klik naar hartelust rond in de gedownloade troep.
Je raakt met je opmerking de spijker op de kop. Nu met de IE browser is het de Chrome frame, bij de normale OS'en is het meer dan eens de gebruiker die de meeste problemen veroorzaakt. En dat kan, zoals gebleken bij de iPhone, ook op een Apple apparaat zijn.
Er wordt gevraagd om een voorbeeld. Ik kon zo 1/2/3 niet op een voorbeeld komen en de iPhone wordt genoemd. Punt toch?
Nee. Ik vroeg niet om een voorbeeld, ik maakte een constatering:
iets dat niet veilig is kun je niet onveilig maken, je kunt het hoogstens onveiligER maken.
Dat niveau van logica was blijkbaar te hoog voor Globetrotter, dus probeerde hij af te leiden van de hoofdzaak door het onderwerp te veranderen.
En weer eens wat subjectieve FUD van Sheynberg.
"Chrome Frame maakt IE onveilig" suggereert dat IE zonder Chrome Frame veilig is. Iets wat al onveilig is kun je immers niet onveilig maken.
Tuurlijk want Firefox, Safari, Opera en Chrome zijn natuurlijk allemaal wel lekker veilig.
Apart, ik zie Sheynberg nergens beweren dat Firefox, Safari, Opera en Chrome wel veilig zijn. Alleen dat de Chrome Frame plugin IE niet veel onveiliger maakt dan het al is.
Tuurlijk want Firefox [^], Safari [^], Opera [^] en Chrome [^] zijn natuurlijk allemaal wel lekker veilig.
Dus omdat andere browsers ook wel eens kwetsbaarheden hebben is het OK? Nee, Internet Explorer zit in een heel andere situatie.
Internet Explorer wordt meegeleverd bij 90% van alle computers, het is diep verbonden met het OS, en het valt haast niet te verwijderen. Verder is de IE-code niet openbaar, dus vallen kwetsbaarheden minder snel op. "Security through obscurity", heet dat.
Programma's als Internet Explorer, daar lusten hackers wel pap van.
Het feit dat een OS, een browser of wat voor software dan ook open is betekent per definitie niet dat het daarmee veiliger is. Dat is de laatste tijd maar al te duidelijk gemaakt.
Het is al zo vaak genoemd: "De wet van de grote getallen".
We spreken elkaar wel weer als Linux, Apple of zometeen misschien Chrome een groter en daarmee interessanter aandeel hebben van de OS of Browser markt.
Valt het je niet op dat er steeds vaker gaten gevonden worden in OSX? Ze worden weliswaar nog niet misbruikt, maar ze waren er dus wel.
Het feit dat de betreffende sources open zijn, maakt het voor kwaadwillenden dan alleen nog maar gemakkelijker om 'rare' dingen te doen.
Het is al zo vaak genoemd: "De wet van de grote getallen". We spreken elkaar wel weer als Linux, Apple of zometeen misschien Chrome een groter en daarmee interessanter aandeel hebben van de OS of Browser markt.
Jij hebt het dus over "security through minority", en zoals al zo vaak genoemd: er is geen lineair verband tussen marktaandeel en het aantal kwetsbaarheden. Dat zou betekenen dat er tienduizenden stukken malware zouden moeten zijn voor Mac en Linux. Dat is niet het geval. Wel wordt elk 'Proof of Concept' voor die systemen breed uitgemeten door media als Webwereld. Windows-malware is immers geen nieuws meer.
Valt het je niet op dat er steeds vaker gaten gevonden worden in OSX? Ze worden weliswaar nog niet misbruikt, maar ze waren er dus wel.
Dat bewijst dus juist de kracht van open source. Als alle OSX-code gesloten zou zijn, dan zou alleen Apple zelf kunnen werken aan het opsporen van kwetsbaarheden, en daar hebben ze veel te weinig ontwikkelaars voor in dienst.
Het feit dat de betreffende sources open zijn, maakt het voor kwaadwillenden dan alleen nog maar gemakkelijker om 'rare' dingen te doen.
Niet alle aangedragen code in een open source-project haalt het tot de distributie. Je mag mij een voorbeeld noemen van een project waar een trojan in de distro is geslopen.
Je mag mij een voorbeeld noemen van een project waar een trojan in de distro is geslopen.
Het is in theorie natuurlijk mogelijk om code te besmetten en dat een reviewer het over het hoofd ziet. Het is een keer gelukt bij een Koreaanse taalmodule van Firefox. Het was gelukkig meer een annoyance dan een virus. En volgens mij heeft het alleen Windows gebruikers bereikt omdat het ontdekt werd voor het zijn weg in de updatemanagers van de distro's had gevonden.
Maar het illustreert wel een ander punt. Open source is veel minder een monocultuur. Als het je lukt om een distro te besmetten, heb je nog steeds maar een deel van de markt. En dan nog steeds maar alleen dat deel dat specifiek dat stukje code toevallig heeft geïnstalleerd.
Zwart-wit ziet het graag zwart wit. Linux moet in die wereld een grote homogene massa zijn. Jammer, maar daar gaat niemand hem denk ik van af krijgen.
Ze worden weliswaar nog niet misbruikt, maar ze waren er dus wel.
Interesse van hackers richt zich vooral op het segment waar de meeste winst te halen is. Mac heeft intussen een aandeel wat het best interessant maakt, maar toch gebeurt er nog niets van belang. Er is dus iets waardoor hackers nog weinig interesse hebben.
Jij wil geloven dat dat puur komt omdat Apple geen marktaandeel heeft. Ik denk dat er meer factoren spelen. Ik denk dat het uitbuiten van die 'gapende' gaten complexer is, en daarom minder interessant.
Maar goed, om jouw maar eens te quoten, ik zal het wel weer verkeerd zien.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
