Gepubliceerd: Dinsdag 26 januari 2010
Een nieuw beveiligingsgat in IE laat hackers bestanden op pc's te lezen. Het is het volgende probleem met de geplaagde browser van Microsoft.
Toon volledig artikel
Vervolgens moeten 4 of 5 features van Internet Explorer gemanipuleerd worden.
Is daar een gebruikershandeling (of 4, of 5) bij nodig, of kan de aanvaller volstaan met een enkele pageview?
Tja, dit begint wel sterk te lijken op het Belgische virus.
Belgisch Virus
Het misbruiken van features lijkt me een "gat" dat moeilijk te patchen is. Je kunt wel proberen de drempel hoger te maken en ervoor te zorgen dat keuzes bewuster gemaakt worden, maar helaas klikt de doorsnee gebruiker meestal op ja of oke als er een pop up komt. Dat is een probleem van alle tijden en alleen beveiligings-bewustzijn kan dit verbeteren.
Welja schuif het maar weer in de schoenen van de gebruiker.
Hoeveel lekken moeten er worden gevonden voordat je constateert dat een product niet deugt? 10? 50? 100? Een browser die dit soort hacks toestaat (laten we het maar even niet over de China-hack hebben) deugt niet. Punt.
Het probleem is al twee jaar geleden ontdekt, en Microsoft heeft al twee pogingen gedaan om het op te lossen.
En de producent deugt blijkbaar ook niet.
vaak is OK klikken de enige manier manier om van een popup af te komen. Computer uitzetten werkt ook maar is nogal drastisch.
Het gaat dus niet letterlijk om gaten in de browser, maar om features die worden misbruikt. Daarom is het moeilijk voor Microsoft om dit probleem op te lossen.
In Linux / Unix maak je onderscheid tussen programmatuur die draait met root rechten en in kernel space en applicatie programmatuur die draait in user space. Op die manier voorkom je dat applicatie programma's iets uitspoken op een plaats waar ze niets te zoeken hebben.
Microsoft heeft doelbewust en willens en wetens IE harde gekoppeld aan het OS. Ze hebben dit gedaan om Netscape uit de markt te drukken. Microsoft is veroordeeld voor deze "integratie" van IE in het OS, maar de echte doodzonde is dat ze de veiligheid van de gebruikers hebben geslachtofferd voor hun commerciële doelen.
Dus wat mij betreft maakt de EU of de Nederlandse regering korte metten met dit gedrocht: Ontvlecht IE uit het OS.
Microsoft hoeft niet proberen te beweren dat "het niet kan", omdat je kunt ontvlechten wat je expres geïntegreerd hebt.
die ontvlechting is in w7 al een feit.
Een gebruiker onder windows kan niet meer dan zijn rechten toelaten.
"" privilege elevation"" zijn bugs die ook onder unix varianten voorkomen zoals die in Linux die versies lang bestond: (willekeurig voorbeeld)
Linux kernel uselib() privilege elevation
Product: Linux kernel
Version: 2.2 all versions, 2.4 up to and including 2.4.29-pre3, 2.6 up
to and including 2.6.10
Vendor: http://www.kernel.org/
URL: http://isec.pl/vulnerabilities/isec-0021-uselib.txt
Dat IE niet mijn keus is zegt niets over het feit dat anderen daar niet veel plezier mee beleven. IE in een bedrijfsomgeving is vaak veel veiliger omdat problemen al op een ander niveau worden afgevangen.
bijna 1000 IE only werkstations in een zeer riskante omgeving bevestigen dit verhaal en die zijn er moeiteloos miljoenen bij te vinden. Dit is vooral schieten op IE en dat blijft een dankbaar slachtoffer voor loekies.
IE is veiliger in een bedrijf. Da's helemaal correct, dat hebben we bij Google wel gezien.
En met ontvlechting wordt het loskoppelen van het OS en IE bedoelt, maar dat weet je wel. Je doet gewoon weer eens of je dom bent wat dat betreft.
Dat jij andere mensen zo keihard durft voor te liegen constant is vrij stuitend maar het is de typische Microsoft manier van zaken doen. Aangezien dat jouw werkgever is zal je er wel op kicken om constant zo te liegen.
constant zo te liegen
Alleen al dat laatste is een telkens weer door je herhaalde leugen. Degenen die hier dus liegt ben jij. Verder probeer eens inhoudelijk wat te zeggen ipv alleen beledigen en schelden.
Of.. op naar je 2e wereld land ;)
Alleen al dat laatste is een telkens weer door je herhaalde leugen.
En dat is op haar beurt ook weer een leugen. ;)
he, mijn persoonlijke stalker is weer boven water. Welcome peterjte..
Nu nog een inhoudelijke bijdrage en je doet weer mee.
Alleen al dat laatste is een telkens weer door je herhaalde leugen.
Gezien jouw scores bij dit soort reactie heb je al elke geloofwaardigheid verspeeld!
Maar als je er zelf nog in wilt geloven kan ik je niet stoppen.
die ontvlechting is in w7 al een feit.
Het maakt niet uit wie dit vertelt, maar dit is een keiharde leugen.
Het enige wat Microsoft in Europa heeft gedaan is het bieden van een browser keuze scherm. Met behulp van dit scherm kun je:
1. De GUI van IE activeren;
2. Een andere browser installeren.
NB. De GUI van IE integreren, wellicht met een of andere fake install, of een andere brwoser insalleren laat onverlet dat zo ongeveer alle geïntegreerde IE op het systeem aanwezig is.
IE lift dus altijd al verstekeling mee, of je het nu geïnstalleerd hebt of niet en of je het nu gebruikt of niet.
ie wordt volledig verwijderd.. Wel blijft Trident op het syteem omdat ook andere programmas ( zelfs niet MS) daar vaak gebruik van maken.
De vervlechting met IE is dus verleden tijd.
De trident engine is een veelgebruikte module die los gebruikt kan worden. fabrikanten die dat niet willen roepen een andere engine aan, die ze desgewenst meeleveren. Er is dus geen sprake meer van vervlechting, het is nu een keuze geworden.
Zolang de engine niet uit het os verwijderd kan worden blijft men spreken van onlosmakelijk verbonden of vervlochten. En zolang het met elke versie van Windows wordt meegeleverd, blijft het een distributievoordeel en dus concurrentie beperkend.
Ik had wel verwacht dat de engine zou blijven, al vind ik dat het eigenlijk ook een keuze moet zijn. Zelfs Microsoft zelf geeft toe dat het gebruik van twee engines het risico vergroot, ook al leggen ze dat dan liever in hun voordeel uit.
Gelukkig voor Microsoft gaat het bij de concurrentie tussen de render engines hoofdzakelijk over de mening van techneuten en website bouwers. Waarbij die laatste groep, sinds IE8, al wat milder is geworden. ;)
Zolang de engine niet uit het os verwijderd kan worden blijft men spreken van onlosmakelijk verbonden of vervlochten
en ""men"" is dan met name de verzamling Linux Loekies hier.. inderdaad.
Het gaat er niet zozeer om of die engine verwijderd kan worden ( ja dat kan) maa rom de gebroken functionaliteit die dan ontstaat voor veel programmas. dat kun je niet zomaar doen met een professioneel OS. Dat ligt wat anders voor de doorsnee hobbyist die die keuze wel kan maken.
Het gaat hier om de vraag of er vervlechting is of niet. Die heb je zojuist in hoogst eigen persoon postitief beantwoord, waarvoor dank.
Als externe programma's leunen op trident ( en dat doen er diversen) dan haal je die onderuit op het moment dat je die module weghaalt. Dat heet geen vervlechting maar afhankelijkheden. Daar zit bijv Linux boordevol mee, zoveel zelfs dat ze om de zaak beheersbaar te houden een PM moesten uitvinden.
Kortom, vervlechting en afhankelijkheden onderling is een wereld van verschil.
de gebroken functionaliteit die dan ontstaat
Inderdaad, dus gaat je conclusie onderuit.
(ja dat kan)
Het grappige is, als het losgemaakt kon worden dan had Microsoft het gewoon als MSI kunnen aanbieden. Dat doen ze niet, dus de gevolgtrekking kan dan alleen zijn dat Microsoft niet zeker weet of hun os het wel blijft doen, of ze weten zeker dat er daarna zaken niet meer werken.
Nee, het kan dus volgens Microsoft niet. Dus het blijft noodzakelijk in Windows, wat we ook wel onlosmakelijk verbonden of vervlochten noemen.
Het gaat er niet zozeer om of die engine verwijderd kan worden ( ja dat kan) maa rom de gebroken functionaliteit die dan ontstaat voor veel programmas. dat kun je niet zomaar doen met een professioneel OS.
Contradictio in terminis
Zo kun je heel lang blijven duscussieren en dat is natuurlijk de bedoeling tot het laatste woord, je hebt dan uiteindelijk "gelijk" en kunt er minnetjes kampioen mee worden. ;-))
Een OS (vooral kernel functionaliteit) waarin een html browser (vooral user space functionaliteit) is verwerven is te nooit en te nimmer een professioneel OS, maar reeds op niveau van de architectuur een hele nare berg spaghetti.
Microsoft heeft het ook nog eens een keer zo ingericht dat het geheel monoliet is, zowel de server als de desktop bestaan uit hetzelfde blok graniet. Het verschil is bepaald met een paar egistry instellingen.
Zo kun je heel lang blijven duscussieren
warempel, je begrijpt het idee achter een forum dus wel degelijk.
En da tik het niet met je eens ben moge duidleijk zijn. Daar dient discussie ook voor, niet echte rom de "'tegenstanders" uit te maken voor leugenaars ( zoals Peter K o.a doet) misschien scoor je daar plusjes mee ( als dat een doel op zich is) maar voor vrije meningsuiting is het dodelijk.
Dus accepteer verschillen en maak je eigen keuzes.
die ontvlechting is in w7 al een feit.
Naar mijn mening is het eerder een aarzelend begin. Je kan nu met een beetje geluk de schil verwijderen.
De makers van Avant Browser hebben het uitgezocht destijds toen het er op leek dat Windows 7 E er zou komen:
Yes, Windows 7 E (E = European Edition) will not include Internet Explorer, but the Trident rendering engine is still part of the operating system, as is the HTTP stack and other "core" elements upon which other pieces of the operating system have been built. So, Avant should work correctly without having to install the full IE8 package.
Voor de makers van Trident schilletjes is dit wel handig.
Voor de makers van Trident schilletjes is dit wel handig.
Maakt Explorer geen gebruik van de Trident-engine? Dan lijkt het me niet vreemd om het erin te laten.
Internet Explorer wel. Explorer als het goed is niet. Al zou het me niet verrassen als er ergens toch nog koppelingen zitten. Vroeger werd de trident engine gebruikt om het taartgrafiekje te tonen met het schijfgebruik.
Maar het zijn inderdaad wel de punten waarom ik stel dat er nog steeds sprake is van een onlosmakelijke verbondenheid.
Maar vergis je niet! IE is nog steeds veiliger dan Firefox of Chrome. Cliff Evans zegt het, dus is het zo.
Het laatste zero-day lek in IE is nog maar net gepatcht, of er duikt weer een volgend probleem op
Een vreemde text van Webwereld.
Dit probleem is veel langer bekend dan het vorige lek en is ook geen zero day omdat het lek niet bekend is gemaakt en het zelfs maar de vraag is of het serieus epxloitable is.
Ik vroeg het al eerder maar gaat Webwereld nu voor elk willekeurig onbelangrijk lek in Windows serieus een nieuwsbericht aanmaken ?
En de belgen wisten het gisteren al :D
Wat klopt er niet aan deze site dat ik mijn vorige bericht niet kan bewerken :S
Ik gebruikt chrome net de laatste nieuwe ? 4.0.249.78
Mooi, des te meer gaten gevonden worden, des te beter.
Dichtmaken en op naar het volgende gat.
That's life, not news !
Mijn hoogleraar zaliger zei: "een systeem dat lek is blijft lek".
Ook is bekend dat hoe meer lekken er in een systeem gevonden worden hoe meer lekken er in de toekomst gevonden zullen gaan worden.
IE dient dus verdelgt te worden.
Als de berichtgeving aanhoudt dan boeken we (de mensheid) daadwerkelijk dat succes,doordat het marktaandeel zakt.
Ik maak websites en boycot IE6 en geef aan dat ik IE7 beperkt ondersteun. Klanten gaan hier wel of niet mee akkoord. Dat is mijn manier om mijzelf uit de greep van Microsoft te houden.
Ik weiger door Microsoft aan banden te worden gelegd, terwijl er betere alternatieven zijn.
Nu dat Chrome4 uit is met extensies zal dit marktaandeel de komende maanden met een paar procent omlaag gaan. Ik schat dat de bedrijfsmatige ondersteuning voor oude browsers zeer snel zal stoppen. De komende tijd zullen bedrijven weer investeren in de ICT afdeling.
Voor ontwikkelaars voor online applicaties is IE een verschrikking als het gaat om webstandaarden en voor ontwikkelaars en systeembeheerders voor lokale applicaties is het een verschrikking als het gaat om restricties en het maken voor software updates dat compatible is.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
