Gepubliceerd: Donderdag 26 november 2009
Door een bug in Internet Explorer is gevoelige informatie uit 50 miljoen pdf-bestanden te halen, waaronder persoonsnamen.
Toon volledig artikel
Alle versies van Internet Explorer bevatten deze bug
Niet alleen dat, ik zie precies hetzelfde in Firefox. Heeft dit wel met IE te maken?
Lees even de originele artikelen: het feit dat IE op je PC staat is al genoeg: omdat de IE PDF-print routine wordt aangeroepen.
Citaat "In Windows, even when your default browser is not IE and if you right click a file to select the PRINT from the context menu, then by default it invokes the IE print handler. So, you will still see this issue in the generated PDF.
bron http://securethoughts.com/2009/11/millions-of-pdf-invisibly-embedded-with-your-internal-disk-paths/
het feit dat IE op je PC staat is al genoeg: omdat de IE PDF-print routine wordt aangeroepen.
Dus ook Windows 7 dat zoveel veiliger zou zijn.
Ontelbare malen heb ik hier op dit forum gewezen op het feit dat het onvoldoende is om alleen de browserkeyze los te koppelen van het OS, vanwege de security risico's die de verwevenheid van het onveilige IE met het OS oplevert.
We hebben nu een hard bewijs voor deze stelling. De EU heeft half werk gedaan, zij moet eisen dat Microsoft IE ontvlecht van het OS.
Een woordvoerder van Microsoft bevestigt dit tegenover The Register en zegt dat medewerkers werken aan een oplossing. Maar het softwarebedrijf ziet het niet als een beveiligingslek.
En wel hierom. Bij Microsoft ontbreekt elk gevoel voor het willen bouwen van een veilig OS. Ze zien zelfs nog steeds niet in dat het onderliggende probleem de slechte en onveilige architectuur van Windows is, dat is met Windows 7 niet veranderd.
Windows degenereert, het wordt steeds rotter.
onzin
Kijk even naar de bovenste reactie van Scarletta en loop de link even na.
ik wil er natuurlijk altijd over in debat, ook met jou.
Beste L4E, discussie is niet echt mogelijk dus ook zinloos.
Maar heb je enig idee hoeveel bestanden met metadata er rondzwerven op het internet, waarvan gebruikers niet eens weten dat het erin zit?
Dat is gegarandeerd een veelvoud van deze op zichzelf onschuldige padverwijzing aan een PDF waar toch niemand iets direct mee kan doen.
Opslaan in een formaat zonder metadata zou een minimale eis moeten zijn, maar helaas. Daar komt vast ook nog eens een keer een rapport over en dan kun je nu alvast gaan knippen en plakken voor later.
Veel plezier daarmee, je blijft vermakelijk ;)
Veel plezier daarmee, je blijft vermakelijk
Ik weet niet hoe jij het leest, maar dit lijkt mij duidelijk:
"In Windows, even when your default browser is not IE and if you right click a file to select the PRINT from the context menu, then by default it invokes the IE print handler. So, you will still see this issue in the generated PDF."
Niet iets om grappen over te maken en dan weten we nog niet eens wa er op die manier verder nog mogelijk is met dat Microsoft vergiet.
I rest my case.
en dan weten we nog niet eens wa er op die manier verder nog mogelijk is met dat Microsoft vergiet.
Daar zit hem nu net de kneep.. Ik weet dat wel en gebruik het daarom ook. Er is geen enkele leverancier die kan aanbieden wat MS op dit moment in zijn geïntegreerde portfolio heeft. Dat is de meerwaarde en de kracht. En ja dat komt met een verantwoordelijkheid voor een goede beveiliging.
Jouw favo systeem heeft nauwelijks integratie maar vooral veel hobbymatige componenten die je kunt koppelen met veel handigheid. Dat maakt het bij uitstek een ongeschikte omgeving voor veel gebruikers. Helaas trouwens, want het zou fijn zijn als er serieuze concurrentie bleef. Dat zorgt voor nog betere MS producten bijv ( zie windows 7) en zorgt ervoor dat ze scherp blijven en dat is helaas noodzaak.
Ha
Dat maakt het bij uitstek een ongeschikte omgeving voor veel gebruikers. Helaas trouwens, want het zou fijn zijn als er serieuze concurrentie bleef.
Als jij werkelijk serieuze concurrentie fijn zou vinden zou je niet constant op het vinkentouw zitten om elke concurrent af te zeiken.
Je zou aan geloofwaardigheid winnen als je eens een (echte) kritische blik op MS zou neertikken en iets positiefs over de concurrenten. Tot die tijd is het bühne praat.
tjonge scarletta, wat een vervelende opmerking.
Ik ben kritisch op MS, maar wel op een wijze waarop het ook iets gaat opleveren en dat doet het hier niet. Dus ja ik ben kritisch op MS en Linux en leg de nadruk op de blindheid tov Linux die hier overheerst.
Voor een buhne moet je bij je lokale theater zijn. Je zou meteen Peter K kunnen contracteren want die is nogal Buhne gevoelig ;)
het duurde ook bij mij even voordat ik het begreep. Het gaat er volgens mij om dat bij het genereren van de pdf gebruik gemaakt wordt van IE. Deze slaat het volledige pad naar het bestand op in de pdf meta info. Als je het resulterende bestand upload naar Google, dan is het vervolgens natuurlijk in alle browsers terug te vinden omdat de browser dan alleen de meta data toont die Google verzameld heeft.
Ik heb het zelf ook even getest.
Als ik schrijf vanuit IE naar CutePDF, dan kom ik in de pdf het volgende tegen:
/Title(file://C:\\Program Files\\Acro Software\\CutePDF Writer\\README.HTM)
In Firefox en Iron staat er:
/Title(CutePDF Writer Readme)
In eerste instantie had ik het idee dat de schuld meer bij Adobe gezocht moest worden. Maar nu ik dit weet kan ik niet anders, dan vaststellen dat IE beter de titel uit de pagina had kunnen pakken dan het pad en de bestandsnaam klakkeloos te plakken.
Aan de andere kant, ik vind het wel een beetje opgeblazen poeha.
In 95% van de gevallen zal het niet erg gevoelige info prijsgeven, zeker niet als men de padnamen neutraal en betekenisloos laat, maar kan een bedrijf/werknemer er op vertrouwen dat dit altijd het geval is..?
Op 50 Miljoen openbare padnamen zullen toch enkele tienduizenden gevoelig liggen (zeker binnen bepaalde organisaties / overheden?)
Ok, ik geloof dat ik het begrijp. Maar op mijn PC met standaard Microsoft spul kan ik helemaal geen PDF maken vanuit IE (en waarom zou iemand dat ook doen?). Er is meer nodig dan alleen IE op je PC.
Het probleem zit blijkbaar in de generieke Print functie van IE, die de bestandsnaam doorgeeft als titel van de printjob, waarna een PDF printerdriver die titel in de PDF stopt. En als je die PDF dan op internet zet, dan heb je dit probleem.
Dit had Microsoft waarschijnlijk beter anders kunnen implementeren, maar deze "bug" lijkt inderdaad wel erg opgeblazen.
en waarom zou iemand dat ook doen?
Ik stuur documentatie bijna altijd in PDF formaat. Het is één van de weinige formaten waarvan ik zeker weet dat elke klant het kan lezen en dat ze het niet kunnen verkloten.
Word documenten (zeker als er embedded objecten in zitten, zoals Visio schema's) zijn behoorlijk onbetrouwbaar.
Ik stuur documentatie bijna altijd in PDF formaat.
Ik ook, en daarvoor gebruik ik in Word de standaard Save As... PDF die door Microsoft wordt geleverd. Daar komt IE niet in voor, en zo komt (naar ik hoop) het pad niet in de PDF.
Ik blijf het raar vinden om een webpagina als PDF op het web te willen zetten.
Kijk eens naar een zoekopdracht als:
filetype:pdf "c:\documents"
Levert bijvoorbeeld dit op:
file://C:\Documents and Settings\hessel.harmsen\Local Settings\
Maar sommigen doen het ook een beetje zelf, die hebben het pad ook leesbaar in de PDF zelf staan.
@Peter
Het gaat er volgens mij om dat bij het genereren van de pdf gebruik gemaakt wordt van IE.
Sorry, maar dit kan voor jou toch niet nieuw zijn.
Het grote probleem met IE is de "integratie", of verwevenheid van IE met het OS. Het is uitgevonden om Netscape een spaak in het wiel te steken en zoiets krijg je er na een uitspraak van de EU niet ini een achternamiddag uit. Wie een kuil graaft voor een ander.....
Je krijgt of je het wilt of niet IE "gratis" meegeleverd met Microsoft Windows, ook Windows 7.
Je ziet hier nu voor het eerst dat je last hebt van IE, ook als je ervoor hebt gekozen om het niet te gebruiken.
Hier kan maar een ding helpen: Schadevergoeding eisen en klagen bij de EU, anders leren ze het nooit.
Jadaa, jadaa, jadaa... Zucht, heb je nu niets beters te doen dan dit gezeur? Je hebt geen idee waarover je het hebt, en maar zeiken.
Pardon?
Kun jij mij dan uitleggen hoe het komt dat ik last heb van IE als ik Firefox als browser gebruik en niets anders?
Je hebt wel gelijk, maar in dit geval is het meer een kwestie van slordig werk van microsoft dan dat het primair een IE verwevenheidsprobleem is.
OK als IE helemaal te verwijderen was was dit niet gebeurd, punt gemaakt, maar dan had de slordigheid misschien wel in de andere default microsoft print routine gestaan.
Geen idee.
Waarom discussier je hier dan mee?
En in dit specifieke geval heeft het er ook geen reet mee te maken.
Dit vind ik jammer.
Kijk, ik ben beslist geen heilige op dit forum en ik schrijf wel eens iets waarvan ik weet dat ik de mensen er mee in de gordijnen krijg. Ik probeer mij wel te houden aan de nettiquette.
Vroeger viel jij mij op met genuanceerde stellingnames, maar dat beeld vervaagt meer en meer.
IE "integratie" lijkt mij een heel serieus onderwerp waarover het niet aangaat om reflesmatig in de verdediging te schieten van een partij die zichzelf zou moeten verdedigen.
Microsoft kan zich in deze niet verdedigen, omdat de "integratie" van IE met het OS niet deugt. Een OS dat is "geintegreerd" met een Internet browser is gewoon een architectonisch gedrocht en daar moeten ze iets aan doen.
BTW, ik reageere voortaan niet meer op je als je je grof en ongenuanceerd opstelt.
Ik vind juist dat je je meestal grof en ongenuanceerd opstelt in Microsoft discussies. Je komt negen van de tien keer niet verder dan platitudes. Die vaak ook nog eens, of niet van toepassing zijn, of keihard onjuist. Gebruikers van MS software worden ook nog eens neergezet als uilskuikens.
En dat allemaal onder een handle die duidelijk je Linux voorkeur tot uitdrukking brengt. Reacties zoals de jouwe dwingen mij vaak in de verdediging als ik zelf deel neem aan een discussie, omdat ik over één kam geschoren wordt met fanatieke schreeuwers zoals jou.
Ik ben helemaal geen fan van Microsoft, maar ik probeer in elk geval het verzinnen van argumenten te vermijden.
En het enige wat je met je reacties bereikt is polarisatie. maar goed, volgens mij is dat ook het doel.
Polarisatie heeft idd niemand wat aan: het werkt bij mij ook averrechts, zeker aangezien ik onder Ubuntu mijn Pixma's niet in de hoogste resolutie kan laten printen, en dus toch op de een of andere manier aan het matige pruduct windows vast zit. En nee dat is niet de schuld van Linux, maar van de hardwarefabrikanten, maar als ik toch zelf wil fotoprinten (die behoefte wordt al steeds minder door de criminele inktprijzen) kan ik kennelijk niet om MS heen.
Turboprint vraagt 30 euro voor hun pakket voor linux, maar ook dat werkt niet goed, en zeg nou zelf dan ben je al aardig opweg naar de prijs van Windows. Dus als je tegen heug en meug toch noch voor Windows moet kiezen (op één PC) dan ben je inderdaad nog geen uilskuiken.
(Op al de andere heb ik gewoon Ubuntu, Heerlijk snel en eenvoudig.)
Ze hebben hierdoor geen tevreden klant aan me maar dat interesseert MS en Canon kennelijk niet. Ze hebben me bij de kl*ten, zeg maar.
Dit is geen bug in IE, het probleem is dat deze info in de PDF staat. De oorzaak ligt dus bij Adobe.
Het probleem zit hem erin dat IE het pad en de bestandsnaam in de titel van de pdf zet. Dus in dit geval toch echt een onhebbelijkheid van IE.
Dus wat?
De bug staat in principe los van de integratie. Zet dat stokpaardje dus maar op stal.
Zoiets?
in principe los van de integratie
Hoezo?
In Windows, even when your default browser is not IE
Dit is toch geen middeleeuws chinees....
Ik kan het echt maar op een manier uitleggen: Je hebt altijd last van de "integratie" van IE in alle Windows versies, ook als je IE niet gebruikt.
de nuance
Helaas, het draait in de IT om 0 of 1, het is zwart of wit.
Dus als jij firefox gebruikt en verder altijd van de IE afblijft en je hebt een PDF waar je op de beschreven manier mee omgaat, dan gebruikt Windows stiekum toch de IE handler.
Daar kun je genuanceerd over gaan zitten doen, maar daar zit het lek en daarover gaat de discussie. Waarom draai je daar nu om heen?
toch de IE handler.
En is dat de IE-handler of een handler die ook door IE gebruikt wordt?
Het uiteindelijke effect is niet anders, maar het staat dan wel los van eventuele IE-integratie.
En is dat de IE-handler of een handler die ook door IE gebruikt wordt?
Uit de engelstalige tekst bovenaan:
"by default it invokes the IE print handler"
Ik kan er met de beste wil van de wereld niets anders van maken en dit maar op een manier uit te leggen:
De IE "integratie".
Wie htmlfiles print wordt gewoon geregeld va het Windows register. Met een plugin kan je daar bijvoorbeeld Firefox van maken. Eigenlijk verbaast het me dat dat geen standaard functionaliteit is die door Mozilla zelf geboden wordt.
het is dus geen kwestie van integratie die ervoor zorgt dat daar altijd een IE component wordt gepakt, maar meer luiheid bij de concurrentie.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
