Gepubliceerd: Vrijdag 20 november 2009
Internet Explorer 8 heeft een bug waardoor 'veilige' websites te infecteren zijn met malware vanaf andere sites. Ironisch genoeg zit deze xss-fout zit in het xss-filter van IE.
Toon volledig artikel
Ik kan mij niet voorstellen dat je met een browser een website kan infecteren.
Als dat kan is dit geen bug in de browser maar een beveligingsprobleem van de website.
Voor zover ik het artikel op The Register begrijp kan je hier misbruik van maken door content op een "veilige" site te plaatsen (bijvoorbeeld een forum of een reactie zoals deze) die normaal gesproken niet onveilig is maar door gebruik van speciale karakters in combinatie met een bug in het XSS filter wel onveilig wordt.
De website hoeft hiervoor dus niet onveilig te zijn. Het werkt dus ook op websites die zich goed tegen XSS hebben beschermd.
En juist een gesloten systeem heeft van die ernstige bugs wat als die open source zou worden dan zouden er genoeg andere bugs zichtbaar worden denk je niet?
En juist een gesloten systeem heeft van die ernstige bugs wat als die open source zou worden dan zouden er genoeg andere bugs zichtbaar worden denk je niet?
Erg onzinnige commentaar. Elke software heeft bugs, gesloten of open doet er niet toe. In theorie zou open source er voor moeten zorgen dat meer bugs worden gevonden en opgelost. Echter kunnen we constateren dat dit niet het geval is. Niet iedereen op deze planeet is in staat om broncode te lezen en te begrijpen. Hoe complexer de code wordt, hoe lastiger het wordt op een bug te zien en te begrijpen.
Erg onzinnig commentaar. Eerst constateer jeElke software heeft bugs, gesloten of open doet er niet toe.
en vervolgens ga je op dat punt de mist in In theorie zou open source er voor moeten zorgen dat meer bugs worden gevonden en opgelost. Echter kunnen we constateren dat dit niet het geval is. Niet iedereen op deze planeet is in staat om broncode te lezen en te begrijpen. Hoe complexer de code wordt, hoe lastiger het wordt op een bug te zien en te begrijpen.
De mate van complexiteit is niet relevant voor het zien en begrijpen van code als de code gesloten is; er valt dan niets te zien of te begrijpen. Niet iedereen op de planeet mag de broncode lezen.
Hoe jij voorts kan beoordelen dat er niet meer bugs worden gevonden en opgelost in een open programma dan in IE is me een raadsel want zelfs dat deel van het proces is 'gesloten' bij Microsoft. In theorie zou je gelijk kunnen hebben, echter kunnen we onmogelijk constateren of dit het geval is en dat ligt niet aan de software makers die er een 'open' benadering op na houden.
orden gevonden en opgelost. Echter kunnen we constateren dat dit niet het geval is. Niet iedereen op deze planeet is in staat om broncode te lezen en te begrijpen.
En dat niet alleen, maar het is een misvatting dat je code nodig hebt om te zien wat een programma intern doet, er bestaan ook nog andere manieren om te zien wat een programma intern allemaal uitvoert.
Google heeft het filter op zijn eigen websites uitgeschakeld, maar weigert verdere details te geven.
Iemand een idee wat Google hiermee te maken heeft? Zijn zij de enigen die weten hoe de exploit werkt? Werken de onderzoekers voor Google?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
