mboost-dp1
unknown
Jeg var ved bageren forleden. Jeg troede bageren havde pisset i min kage, jeg mener, jeg havde tråds alt hentet den.
Jeg læste den faktisk tidligere idag, der var nogle ganske interessante pointer imellem ang. signaturer og generel brugersikkerhed.
Kan godt anbefales.
Kan godt anbefales.
Det er jo 100% et spørgsmål om tillid.
Jeg stoler på Mozilla, og de stoler på deres spejle.
Jeg har også hentet mine Linux-distributioner fra spejle på internettet - igen er det et spørgsmål om tillid.
Jeg stoler på Mozilla, og de stoler på deres spejle.
Jeg har også hentet mine Linux-distributioner fra spejle på internettet - igen er det et spørgsmål om tillid.
Spændende læsning, dog er jeg ikke 100% sikker på hvad han mener med alle hans kritikpunkter (egen udvidenhed), så jeg kan ikke umiddelbart bruge det til noget.
Men det er dog interessant at læse de der slashdot-besvarelser. Hvorfor går der "altid" børnehave i det?
Men det er dog interessant at læse de der slashdot-besvarelser. Hvorfor går der "altid" børnehave i det?
Han har vel en vis pointe omkring signering, men synes nu ikke signering er så vigtigt som han gerne ville gøre det til, det forvirrer sku ligeså tit.
Jeg kan godt li' kan klager over at der ikke er nogen åbenlys måde at slå plugins fra... jeg kunne kommme med en samme klager over IE.
Med hensyn til unsigned software... tjaa, et eller andet sted ville de selvfølgelig være smart hvis Firefox var "godkendt" af Microsoft. På den andenside, hvordan kan det være Mozilla folkenes problem at Windows ikke automatisk henter md5 hash'en hos mozilla.org og verificere at de stemmer overens.
Fint nok hvis en Microsoft udvikler vil bash'e Firefox lidt, det er han vel i sin gode ret til, men det kunne være gjort mere professionelt. Han har højest opnået at få sig selv til at ligne et fjols. Jeg siger ikke at der ikke er reel kritik, men 03 for udførslen, bl.a fordi jeg mener at han bringer kritik ind der ikke er Firefox specifik, men som er generelt problem.
Med hensyn til unsigned software... tjaa, et eller andet sted ville de selvfølgelig være smart hvis Firefox var "godkendt" af Microsoft. På den andenside, hvordan kan det være Mozilla folkenes problem at Windows ikke automatisk henter md5 hash'en hos mozilla.org og verificere at de stemmer overens.
Fint nok hvis en Microsoft udvikler vil bash'e Firefox lidt, det er han vel i sin gode ret til, men det kunne være gjort mere professionelt. Han har højest opnået at få sig selv til at ligne et fjols. Jeg siger ikke at der ikke er reel kritik, men 03 for udførslen, bl.a fordi jeg mener at han bringer kritik ind der ikke er Firefox specifik, men som er generelt problem.
Og Mozillafolket diskutere den her:
http://forums.mozillazine.org/viewtopic.php?t=1876...
Vedrørende Verisign signering, så er det vist mest relevant for Windows platformen.
Alle andre platforme bruger hellere, at udvikleren signere med GPG.
Og alle pakkesystemer på GNU/Linux, bruger altid minimum MD5 checks på de downloadede pakker.
Han kommer med enkelte konstruktive inputs, og nogle af de resterende er misforståelser grundet bias.
Den her bemærkning gør mig dog ederrasende:
"despite what the open source folk might say -- Mozilla keeps their security bugs hidden from the public (just like Microsoft does) in order to protect their customers from coming under attack by malicious users. Note that this is not a bad thing; all vendors should treat security bugs responsibly to ensure customers are not put at undue risk."
INGEN HAR RET TIL AT TILBAGEHOLDE SÅ VÆSENTLIGE, OG VIGTIGT OPLYSNINGER FRA BRUGERNE!!!!!!!!!!!!!!!!
Og det kan ikke kritikeres højt og kraftigt nok, når nogen gør det.
Og det er ligegyldigt hvem der gør det.
Der findes ingen undskyldning for den slags.
http://forums.mozillazine.org/viewtopic.php?t=1876...
Vedrørende Verisign signering, så er det vist mest relevant for Windows platformen.
Alle andre platforme bruger hellere, at udvikleren signere med GPG.
Og alle pakkesystemer på GNU/Linux, bruger altid minimum MD5 checks på de downloadede pakker.
Han kommer med enkelte konstruktive inputs, og nogle af de resterende er misforståelser grundet bias.
Den her bemærkning gør mig dog ederrasende:
"despite what the open source folk might say -- Mozilla keeps their security bugs hidden from the public (just like Microsoft does) in order to protect their customers from coming under attack by malicious users. Note that this is not a bad thing; all vendors should treat security bugs responsibly to ensure customers are not put at undue risk."
INGEN HAR RET TIL AT TILBAGEHOLDE SÅ VÆSENTLIGE, OG VIGTIGT OPLYSNINGER FRA BRUGERNE!!!!!!!!!!!!!!!!
Og det kan ikke kritikeres højt og kraftigt nok, når nogen gør det.
Og det er ligegyldigt hvem der gør det.
Der findes ingen undskyldning for den slags.
Signering i IE tilfører vel en generelt falsk følelse af sikkerhed... Plus, hvor mange almindelige brugere tjekke om den fil de downloader er signeret? Jeg har ihvertfald aldrig.
Visse ting af de han skriver er bare at direkte opmundtre til flamewar.
"Oops, my network connection died. But still... that kind of unintelligible dialog doesn't do anything to make me trust the installer. Maybe this is a trojaned copy of Firefox after all?"
Altså at han har en ustabil netværks forbindelse skal nævnes?
"This is what the "Secure Deployment" part of Microsoft's SD3+C campaign is all about; we design and develop secure software, but we make sure that customers can deploy it securely as well."
Direkte bias...
Visse ting af de han skriver er bare at direkte opmundtre til flamewar.
"Oops, my network connection died. But still... that kind of unintelligible dialog doesn't do anything to make me trust the installer. Maybe this is a trojaned copy of Firefox after all?"
Altså at han har en ustabil netværks forbindelse skal nævnes?
"This is what the "Secure Deployment" part of Microsoft's SD3+C campaign is all about; we design and develop secure software, but we make sure that customers can deploy it securely as well."
Direkte bias...
#7
-- Hvorfor går der "altid" børnehave i det?
Det er fordi der sidder folk rundt omkring med små kønsdele, hvis eneste glæde i livet er at lovprise deres yndligs stykke software. De tåler ikke kritik.
Ja, det hele handler om tillid. Og på det punkt har han jo ret. Så kan man så diskutere hvor relevat det er for en selv. Men potientelt er der fare for den intetvidene.
-- Hvorfor går der "altid" børnehave i det?
Det er fordi der sidder folk rundt omkring med små kønsdele, hvis eneste glæde i livet er at lovprise deres yndligs stykke software. De tåler ikke kritik.
Ja, det hele handler om tillid. Og på det punkt har han jo ret. Så kan man så diskutere hvor relevat det er for en selv. Men potientelt er der fare for den intetvidene.
1. hvor mange bruger overhovedet den feature med verisign til noget??? det er længe siden, at jeg har brugt IE! Og er det ikke bare et forsøg på at redde nogle af de problemer som IE har ved at der er mulighed for "shadowed install" fra "trusted sources". Det er vel særligt FF-relevant! Samtidigt er det jo kun virksomheder, som køber disse certifikater. Så man ville ikke kunne downloade fra en privat hjemmeside.
2. min egen erfaring er, at det har reduceret problemet med uerfarne interbrugere er, at hvis de blot ikke bruger IE, så begrænses problemerne meget kraftigt.
3. kritikken af manglende mulighed for disabling af flash er jo latterlig. Han gør sig vidst ubehjælpsom med vilje for ikke at kunne finde det. Samtidigt kan den extension, som han peger på jo disable specifikke flash-objekter og huske det. Hvorimod at man ved disable i IE slet ikke kan se NOGEN flash-objekter.
Mon ikke manden har fået nogle overarbejdstimer, selvom han påstår at chefen er på ferie ;-)
2. min egen erfaring er, at det har reduceret problemet med uerfarne interbrugere er, at hvis de blot ikke bruger IE, så begrænses problemerne meget kraftigt.
3. kritikken af manglende mulighed for disabling af flash er jo latterlig. Han gør sig vidst ubehjælpsom med vilje for ikke at kunne finde det. Samtidigt kan den extension, som han peger på jo disable specifikke flash-objekter og huske det. Hvorimod at man ved disable i IE slet ikke kan se NOGEN flash-objekter.
Mon ikke manden har fået nogle overarbejdstimer, selvom han påstår at chefen er på ferie ;-)
Artiklen er til grin - hans review oser af uprofessionalisme og jalouxi, som pointeret af #3.
Han har et par punkter som er værd at bemærke, men de er begravet i fejlagtige og halvhjertede iagttagelser.
· Firefox siger at et extension er unsigned når man downloader det, og har en timer på 3 sekunder før man kan installere det, for at sikre sig at brugeren bliver opmærksom
· Hvis man stoler på getfirefox.com, så stoler man også på den side som man sendes til, og hvem siger at jeg stoler på Verisign? Skal jeg ikke først acceptere at jeg vil det?
· IE er på ingen måde mere sikkert fordi den kommer med en skov af underlige sikkerhedsadvarsler - da de kommer konstant og maler fanden på væggen uden grund.
· Han har ret i at man ikke kan stoppe brugeren i at downloade usikkert software - men det er ikke op til Mozilla eller Microsoft at vurdere det, det kan de simepelthen ikke - det er op til den enkelte at vælge det. Min mening er at Mozilla "løser" dette problem så meget bedre end Microsoft.
[edit:]
Desuden baseres alle hans IE vs. FF kritikpunkter på Microsofts løsninger - "De gør ikke som os, derfor er det ikke godt software". Har han ikke lært at man ikke må bruge beviset(="den korrekte måde" at løse sikkerhedsproblemer på) i bevisførelsen(=hans artikel)?
[/edit]
Han har så absolut stillet sig selv til offentlig stening i mine øjne, for hans blog indlæg er alt for useriøst til at tage seriøst :)
Han har et par punkter som er værd at bemærke, men de er begravet i fejlagtige og halvhjertede iagttagelser.
· Firefox siger at et extension er unsigned når man downloader det, og har en timer på 3 sekunder før man kan installere det, for at sikre sig at brugeren bliver opmærksom
· Hvis man stoler på getfirefox.com, så stoler man også på den side som man sendes til, og hvem siger at jeg stoler på Verisign? Skal jeg ikke først acceptere at jeg vil det?
· IE er på ingen måde mere sikkert fordi den kommer med en skov af underlige sikkerhedsadvarsler - da de kommer konstant og maler fanden på væggen uden grund.
· Han har ret i at man ikke kan stoppe brugeren i at downloade usikkert software - men det er ikke op til Mozilla eller Microsoft at vurdere det, det kan de simepelthen ikke - det er op til den enkelte at vælge det. Min mening er at Mozilla "løser" dette problem så meget bedre end Microsoft.
[edit:]
Desuden baseres alle hans IE vs. FF kritikpunkter på Microsofts løsninger - "De gør ikke som os, derfor er det ikke godt software". Har han ikke lært at man ikke må bruge beviset(="den korrekte måde" at løse sikkerhedsproblemer på) i bevisførelsen(=hans artikel)?
[/edit]
Han har så absolut stillet sig selv til offentlig stening i mine øjne, for hans blog indlæg er alt for useriøst til at tage seriøst :)
hvordan ved man at hele ens windåse ikke bare er en illusion, fordi man ikke selv hentede den fra microsoft.. men åh nej, hvad nu hvis nogen havde overtaget m$ og lavede klon'er af alle sammen, så er det måske en fælde! ARRRGGH hvad skal jeg gøre
Der er da _altid_ MD5 checksum med distributioner fra de store Mozilla-servere! Det er da mere end hvad man kan finde inde på Microsofts sider!!!
#19 -
21. dec. 2004 16:14
Jeg synes det er dejligt at en MS-mand er så sikkerhedsfokuseret. Vi ser frem til at det smitter af på hans arbejdsgivers programmel.
Jeg bad til at den her nyhed ikke ville komme her (juhuu, så kan vi lige tage en latterlig flamewar mere :)).
Selv på diverse fortrinsvis pro-MS sider, bliver manden svinet fordi det er en ligegyldig og usaglig kritik.
#14 | Scarlac skrev det så fint:
Den der med at FX ikke er signeret er da et godt bevis på det. Gator er signeret. Så det handler nok mere om penge, end om at vise ends produkt er seriøst.
Manden må for min skyld gerne fremvise problemer med FX (så kan det jo være mozilla folkene retter det til deres næste release), men han skal også lige være seriøs samtidig.
Selv på diverse fortrinsvis pro-MS sider, bliver manden svinet fordi det er en ligegyldig og usaglig kritik.
#14 | Scarlac skrev det så fint:
Han har så absolut stillet sig selv til offentlig stening i mine øjne, for hans blog indlæg er alt for useriøst til at tage seriøst :)
Den der med at FX ikke er signeret er da et godt bevis på det. Gator er signeret. Så det handler nok mere om penge, end om at vise ends produkt er seriøst.
Manden må for min skyld gerne fremvise problemer med FX (så kan det jo være mozilla folkene retter det til deres næste release), men han skal også lige være seriøs samtidig.
Manden har komplet ret du har ingen og jeg gentager ingen chance for at opdage hvis der er blevet pillet i den binære fil da Mozilla folkene ikke ligefrem gør det nemt at tjække autoriteten af softwaren.
Man behøver ikke nødvendigvis at lade verisign certificere MD5 hashed men det har bare at være der og det skal værre tilgængeligt fra en server man ved tilhører Mozilla-folkene.
#11 det er faktisk set at MS Verisign ID'er har været misbrugt og vat faldet i forkerte hænder, gameldags lowtech metoder.
Signaturer er en rimeligt god ting men man skal huske på at systemet ikke er 100% perfekt, og at det meget sjældent er i brug, og det er helt almindeligt at de er udløbne, selv MS er faldet i den nogle gange og har brugt forældede signaturer.
#15 problemet er ikke at Mozilla er uhæderlige men at et kompromiteret mirror hurtigt leder til kompromiterede binary's.
#16 der er ikke MD5 hashes på getfirefox.com
Man behøver ikke nødvendigvis at lade verisign certificere MD5 hashed men det har bare at være der og det skal værre tilgængeligt fra en server man ved tilhører Mozilla-folkene.
#11 det er faktisk set at MS Verisign ID'er har været misbrugt og vat faldet i forkerte hænder, gameldags lowtech metoder.
Signaturer er en rimeligt god ting men man skal huske på at systemet ikke er 100% perfekt, og at det meget sjældent er i brug, og det er helt almindeligt at de er udløbne, selv MS er faldet i den nogle gange og har brugt forældede signaturer.
#15 problemet er ikke at Mozilla er uhæderlige men at et kompromiteret mirror hurtigt leder til kompromiterede binary's.
#16 der er ikke MD5 hashes på getfirefox.com
hehe hvorfor kan man ikke stemme på nyheden og sætte den som flamebait ;P
nå on topic hehe -
Det han tydeligvis ikke forstår der betyder en del for en del af os er:
1) Ms lod os sejle vores egen sø - alt den nye snak om nye udgaver af ie er jo kun kommet pga de er ved at blive en smule nervøse.
2) Vi er en del der til hver tid vil støtte op om de gratis alternativer
3) at hvis som han siger at ie er ligeså sikkert som firefox - hvorfor skulle man så vælge ie ??
4) at vi har mere tillid til folk der ikke malker os med ublu priser for andre programmer (læs 6k for en officepakke er imo som at betale 200 kr for en cola)
Eneste ikke alt for tekniske ting som jeg kan give ham HELT ret i er, at man ikke kan være sikker på om der er pillet i koden. Men det samme kan jo gøre sig gældende hvis man downloader ie fra www.hackers.R.us.nu. Så parolen : "hent altid fra main sitet" er jo en "siger-sig-selv hovedregel"
nå on topic hehe -
Det han tydeligvis ikke forstår der betyder en del for en del af os er:
1) Ms lod os sejle vores egen sø - alt den nye snak om nye udgaver af ie er jo kun kommet pga de er ved at blive en smule nervøse.
2) Vi er en del der til hver tid vil støtte op om de gratis alternativer
3) at hvis som han siger at ie er ligeså sikkert som firefox - hvorfor skulle man så vælge ie ??
4) at vi har mere tillid til folk der ikke malker os med ublu priser for andre programmer (læs 6k for en officepakke er imo som at betale 200 kr for en cola)
Eneste ikke alt for tekniske ting som jeg kan give ham HELT ret i er, at man ikke kan være sikker på om der er pillet i koden. Men det samme kan jo gøre sig gældende hvis man downloader ie fra www.hackers.R.us.nu. Så parolen : "hent altid fra main sitet" er jo en "siger-sig-selv hovedregel"
At et program er signeret er ikke nogen garanti for at det ikke er farligt, men det er en garanti for hvem der har lavet det.
Jeg kender ikke MD5 hashen og ved derfor ikke hvor sikker den er men hvis det ikke automatisk bliver checket om hashen er gyldig på det software man downloader, så hjælper den ikke ret meget.
Jeg synes da hans artikel sætter fint fokus på et par områder som Firefox udviklerne da nok rimeligt let kan rette til - Så jeg forstår ikke folks harme over det han har skrevet.
Jeg kender ikke MD5 hashen og ved derfor ikke hvor sikker den er men hvis det ikke automatisk bliver checket om hashen er gyldig på det software man downloader, så hjælper den ikke ret meget.
Jeg synes da hans artikel sætter fint fokus på et par områder som Firefox udviklerne da nok rimeligt let kan rette til - Så jeg forstår ikke folks harme over det han har skrevet.
hmmm...
Så er der dømt: TEST!!!
Jeg skal da hjem og have min "Net Trafic Mapper"
kørende mens jeg henter updates fra MS for at se hvor mange forskellige servere jer henter fra... mens det SER UD som om jeg "kun" henter fra windows-update :-D
En update følger senere idag :-D
Enkelte elementer i "den herres" review er relevant nok og handler i sidste ende om brugeren stoler på leverandøren af varen. Men sådan er det jo med 90% af alle produkter online såvel som offline... kan han f.eks være sikker på at forhandleren som har solgt han en Microvn ikke har modded den så den eksploderer når han bruger den 1. gang derhjemme? eller hvad med fragtmanden? etc etc etc...
ALT for mange "What IF"....
.hack Vol 4
Så er der dømt: TEST!!!
Jeg skal da hjem og have min "Net Trafic Mapper"
kørende mens jeg henter updates fra MS for at se hvor mange forskellige servere jer henter fra... mens det SER UD som om jeg "kun" henter fra windows-update :-D
En update følger senere idag :-D
Enkelte elementer i "den herres" review er relevant nok og handler i sidste ende om brugeren stoler på leverandøren af varen. Men sådan er det jo med 90% af alle produkter online såvel som offline... kan han f.eks være sikker på at forhandleren som har solgt han en Microvn ikke har modded den så den eksploderer når han bruger den 1. gang derhjemme? eller hvad med fragtmanden? etc etc etc...
ALT for mange "What IF"....
.hack Vol 4
Jeg ved godt min holdning er lidt primitiv men ;
Uanset hvad han skriver, ændrer det ikke ved at jeg aldrig vil bruge IE fremfor FireFox eller Mozilla.
Nuvel, FireFox er måske ikke perfekt, men den er et væsentligt skridt i den rigtige retning.
#23 : Jeg er helt ening i dine punkter.
Uanset hvad han skriver, ændrer det ikke ved at jeg aldrig vil bruge IE fremfor FireFox eller Mozilla.
Nuvel, FireFox er måske ikke perfekt, men den er et væsentligt skridt i den rigtige retning.
#23 : Jeg er helt ening i dine punkter.
#10 Skidrow
Det er jo for brugernes skyld at firmaerne holder disse sikkerhedsbrister hemmelige indtil de har fået lukket dem. Jeg tror du har misforstået et eller andet. Det ville jo ikke være særlig smart at gå ud til offentligheden og fortælle om huller i systemerne og hvordan de kan hackes, før at man overhovedet har fået lavet systemerne om/lukket hullerne.
Den her bemærkning gør mig dog ederrasende:
"despite what the open source folk might say -- Mozilla keeps their security bugs hidden from the public (just like Microsoft does) in order to protect their customers from coming under attack by malicious users. Note that this is not a bad thing; all vendors should treat security bugs responsibly to ensure customers are not put at undue risk."
INGEN HAR RET TIL AT TILBAGEHOLDE SÅ VÆSENTLIGE, OG VIGTIGT OPLYSNINGER FRA BRUGERNE!!!!!!!!!!!!!!!!
Og det kan ikke kritikeres højt og kraftigt nok, når nogen gør det.
Og det er ligegyldigt hvem der gør det.
Der findes ingen undskyldning for den slags.
Det er jo for brugernes skyld at firmaerne holder disse sikkerhedsbrister hemmelige indtil de har fået lukket dem. Jeg tror du har misforstået et eller andet. Det ville jo ikke være særlig smart at gå ud til offentligheden og fortælle om huller i systemerne og hvordan de kan hackes, før at man overhovedet har fået lavet systemerne om/lukket hullerne.
Som #10 Skidrow skriver, så diskuteres hans argumenter her blandt Mozilla/Firefox-brugerne.
link
De skriver bl.a. at han øjensynligt kører firefox fra VPC (Virtual PC) .. det kan godt være det bare er mig, men det er da vist ikke den ideelle måde at teste et program på.. han får i hvertfald et par fejl, som jeg aldrig har set noget til.
link
De skriver bl.a. at han øjensynligt kører firefox fra VPC (Virtual PC) .. det kan godt være det bare er mig, men det er da vist ikke den ideelle måde at teste et program på.. han får i hvertfald et par fejl, som jeg aldrig har set noget til.
#30 -
21. dec. 2004 16:50
Manden er nok ikke uvildig. Ihvertfald ville jeg som arbejdsgiver ikke bryde mig om at ansatte sagde :"Jeg arbejder for MS og Internet Exploder er noget l*rt".
Ansatte må selvfølgelig udtrykke deres mening om produkter + firma, men skal i så fald ikke reklamere med hvor de arbejder. Officielle og private meninger forveksles let.
Ansatte må selvfølgelig udtrykke deres mening om produkter + firma, men skal i så fald ikke reklamere med hvor de arbejder. Officielle og private meninger forveksles let.
Der er i øvrigt nyt her http://blogs.msdn.com/ptorr.. lader til han har fået drøje hug omkring hans uvidenhed.. hehe
Well, det har han da lidt ret i..Der er ingen normale brugere der ved hvad en MD5-hash bruges til.. mange af os computerfreaks ved det .. men det gør hr. og fru. jensen ikke..
I could have checked the MD5 "signatures"
Repeat after me: MD5 sums are not signatures. They are hashes.
Anyone who compromises the server hosting the binaries can simply replace the MD5s as well. Compromising a server hosting a digitally signed binary won't help without access to the private key (which would typically be stored on a smart card that is kept physically separate from the hosting web server).
Having said that... this fails the "normal user" test. No normal user would manually verify hashes or signatures (nor are they encouraged to), which is why I didn't. IE makes it obvious to the user who the publisher of a piece of code is (or that no publisher can be verified), although prior to SP 2 I completely agree that the UI was sucky.
Well, det har han da lidt ret i..Der er ingen normale brugere der ved hvad en MD5-hash bruges til.. mange af os computerfreaks ved det .. men det gør hr. og fru. jensen ikke..
#31 ja signature er krypterede hashes.
Hele terorien med signaturer er at man ved at kende pubkey også ved hvem der har encoded et stykke data, i det her tilfælde et MD5hash af en exe fil.
Og det kræver at hovedserveren er kompromiteret.
Verisign systemet har også et meget svagt led nemlig den måde signaturene udstedes på, verisign har meget få mugligheder for at tjække om den de udsteder en signatur til er en bedrager, og så kan signerings nøgler jo også sjæles hvis udviklerems desktop er kompromiteret.
Hele terorien med signaturer er at man ved at kende pubkey også ved hvem der har encoded et stykke data, i det her tilfælde et MD5hash af en exe fil.
Og det kræver at hovedserveren er kompromiteret.
Verisign systemet har også et meget svagt led nemlig den måde signaturene udstedes på, verisign har meget få mugligheder for at tjække om den de udsteder en signatur til er en bedrager, og så kan signerings nøgler jo også sjæles hvis udviklerems desktop er kompromiteret.
#28 SEJ
Nej det har jeg så afgjort ikke.
For jeg er ikke mere sikker, fordi de holder alle inklusiv mig uvidende.
Det betyder ikke nødvendigvis, at crackerne ikke ved noget.
Og hvis der er chance for at crackerne ved noget, så er det fandme en udviklers forbandede pligt at informere mig om de risici jeg er udsat for!.
Du skal som MINIMUM fortælle hvad fejlen omfatter, og hvordan du som bruger, sikre dig imod eventuel misbrug.
Crackerne er ikke altid uvidende, blot fordi Microsoft og andre tror at deres tavshed om problemerne gavner.
Det er naturligvis nødvendigt, at jeg kender de risici jeg udsættes for, så jeg kan reagere på dem.
Så nej jeg tager KRAFTIG afstand fra enhver der gør den slags!...
[i]Den her bemærkning gør mig dog ederrasende:
"despite what the open source folk might say -- Mozilla keeps their security bugs hidden from the public (just like Microsoft does) in order to protect their customers from coming under attack by malicious users. Note that this is not a bad thing; all vendors should treat security bugs responsibly to ensure customers are not put at undue risk."
INGEN HAR RET TIL AT TILBAGEHOLDE SÅ VÆSENTLIGE, OG VIGTIGT OPLYSNINGER FRA BRUGERNE!!!!!!!!!!!!!!!!
Og det kan ikke kritikeres højt og kraftigt nok, når nogen gør det.
Og det er ligegyldigt hvem der gør det.
Der findes ingen undskyldning for den slags.[i]
Det er jo for brugernes skyld at firmaerne holder disse sikkerhedsbrister hemmelige indtil de har fået lukket dem. Jeg tror du har misforstået et eller andet.
Nej det har jeg så afgjort ikke.
For jeg er ikke mere sikker, fordi de holder alle inklusiv mig uvidende.
Det betyder ikke nødvendigvis, at crackerne ikke ved noget.
Og hvis der er chance for at crackerne ved noget, så er det fandme en udviklers forbandede pligt at informere mig om de risici jeg er udsat for!.
Det ville jo ikke være særlig smart at gå ud til offentligheden og fortælle om huller i systemerne og hvordan de kan hackes, før at man overhovedet har fået lavet systemerne om/lukket hullerne.
Du skal som MINIMUM fortælle hvad fejlen omfatter, og hvordan du som bruger, sikre dig imod eventuel misbrug.
Crackerne er ikke altid uvidende, blot fordi Microsoft og andre tror at deres tavshed om problemerne gavner.
Det er naturligvis nødvendigt, at jeg kender de risici jeg udsættes for, så jeg kan reagere på dem.
Så nej jeg tager KRAFTIG afstand fra enhver der gør den slags!...
Hmmm det er da lidt skidt han beskriver en bug i Firefox ... som internet explorer os har
"What's really frightening though is that there is a "Don't ask me again" option in this dialog..."
Når man installerer Plugins i IE .. kan man sætte hak i "Hent altid plugins fra xxxx"
dette gælder nok ik Xp sp2
"What's really frightening though is that there is a "Don't ask me again" option in this dialog..."
Når man installerer Plugins i IE .. kan man sætte hak i "Hent altid plugins fra xxxx"
dette gælder nok ik Xp sp2
Glimrende eksempel nogen nævnte med Gator.
Alt det skrammel som forsøges installeret i IE, når den rent faktisk spørger om lov først, de er sjovtnok signeret af bl.a. Verisign.
Og gudskelov for det da!... Sæt nu nogen kavde komprimiteret deres spyware/toolbar/malware generelt.... ;)
Alt det skrammel som forsøges installeret i IE, når den rent faktisk spørger om lov først, de er sjovtnok signeret af bl.a. Verisign.
Og gudskelov for det da!... Sæt nu nogen kavde komprimiteret deres spyware/toolbar/malware generelt.... ;)
Er egentlig meget enig med ham. Jeg synes altid folk har en tendens til at sige "Jamen der er ingen der plejer at udvikle sådan noget til linux, firefox, mac eller whatever".
Men det ændrer jo egentlig ikke på det er muligt, og det er jo ikke fordi der ikke er nogle der laver tingene, de er nok bare en del mere advanceret for brugeren. (Menes at huske en masse exploits der blev skrevet i perl(Til diverse apache systemer), hvor man jo så skal til at finde og installere et program der kan eksekvere perl)
Signering er også vigtig, nok ikke for os, men det er det da for den normale bruger. Han forklarer selv hvordan det fungerer med Service Pack 2 hvor du rent faktisk på ingen måde kan køre noget, medmindre du har accepteret det.(Ok det kan slås fra via regkeys, men så er vi vist gået over i den afdeling der hedder "superbrugere")
At folk skal til at klandre ham for at kalde det en "Numeric IP Address", hexidecimal er da så vidt jeg husker fra 0-9 og a-f, og det er i den grad ikke numerisk, og hexidecimal er jo faktisk noget folk skal til at lære med efterfølgeren til IPv4.
Og hvad det bedste er? Han synes faktisk det er en ok/god browser, men umiddelbart er det ALDRIG noget de "fanboys" forstår. De kan de i det mindste være glade for at IE og FF laver en bedre fremtid for os alle sammen, men nej, man står næsten til dødsstraf hvis man ikke allerede har haft det installeret siden "alpha dot 1".
#8 Enig signering er ikke noget alle behøves, mne jeg vil da sige det i det mindste bør være noget vi tilbyder.(Synd var det at de fik solgt Microsoft certifikater til folk der ikke var Microsoft).
#10 Nu skal jeg ikke sige det allerede findes, men man kunne da som tilføjelse til verisign's system bruge en eller anden form for central lookup af md5 hashes(Ligesom donkey netværket, hvor du tilmed kan se hvad filen ellers har af navne).
#11 Nu er det jo noget der bliver fremvist for dig.
#14 Firefox er heller ikke mere sikkert når der ikke kommer en skov af advarselsskilte, enten blokerer du brugen, eller også advarer du personen. Det er mere eller mindre de valg der er.
#16 Der er indbyggede checks på hvertfald Service Pack filerne. Og derved vel sikkert også på hotfixes.
Og jeg gad da ikke til at finde et eller andet program fra en eller anden side til at tjekke det for mig, men helt at kalde md5 for hashes og ikke signaturer gør umiddelbart ikke brugen meget anderledes, men det kræver selvfølgelig ligesom signaturer også en central database det ses i.
#20 Nu har Gator/GAIN også sagsøgt folk(firmaer?) (OG VUNDET!) der har udtalt sig om hvad Gator er. Han nævner selv at man selv skal bruge hovedet for at tjekke signaturen, og bedømme om man vil have det.
Men hvis man downloader gator så downloader man gator, og så er det ligegyldigt om der er signatur, md5 hashes eller whatever. Fordi så er det jo bare Gator brugeren stoler blindt på.
Egentlig er det også lidt surt at Mozilla gemmer sine fejl. Vel ikke fordi jeg er sur over at Mozilla gemmer dem, men sådanne fejl bliver ALDRIG givet videre til fx Secunia, så når man pludselig ser at Secunia kun rapporterer rettede fejl for Firefox/Mozilla så er det jo lidt irriterende at det næsten skal stå i en ligeledes 2-siders artikel i NYTimes når det gælder IE.
(Og det er i nogle tilfælde sågar før Microsoft selv kender til fejlen).
Men det ændrer jo egentlig ikke på det er muligt, og det er jo ikke fordi der ikke er nogle der laver tingene, de er nok bare en del mere advanceret for brugeren. (Menes at huske en masse exploits der blev skrevet i perl(Til diverse apache systemer), hvor man jo så skal til at finde og installere et program der kan eksekvere perl)
Signering er også vigtig, nok ikke for os, men det er det da for den normale bruger. Han forklarer selv hvordan det fungerer med Service Pack 2 hvor du rent faktisk på ingen måde kan køre noget, medmindre du har accepteret det.(Ok det kan slås fra via regkeys, men så er vi vist gået over i den afdeling der hedder "superbrugere")
At folk skal til at klandre ham for at kalde det en "Numeric IP Address", hexidecimal er da så vidt jeg husker fra 0-9 og a-f, og det er i den grad ikke numerisk, og hexidecimal er jo faktisk noget folk skal til at lære med efterfølgeren til IPv4.
Og hvad det bedste er? Han synes faktisk det er en ok/god browser, men umiddelbart er det ALDRIG noget de "fanboys" forstår. De kan de i det mindste være glade for at IE og FF laver en bedre fremtid for os alle sammen, men nej, man står næsten til dødsstraf hvis man ikke allerede har haft det installeret siden "alpha dot 1".
#8 Enig signering er ikke noget alle behøves, mne jeg vil da sige det i det mindste bør være noget vi tilbyder.(Synd var det at de fik solgt Microsoft certifikater til folk der ikke var Microsoft).
#10 Nu skal jeg ikke sige det allerede findes, men man kunne da som tilføjelse til verisign's system bruge en eller anden form for central lookup af md5 hashes(Ligesom donkey netværket, hvor du tilmed kan se hvad filen ellers har af navne).
#11 Nu er det jo noget der bliver fremvist for dig.
#14 Firefox er heller ikke mere sikkert når der ikke kommer en skov af advarselsskilte, enten blokerer du brugen, eller også advarer du personen. Det er mere eller mindre de valg der er.
#16 Der er indbyggede checks på hvertfald Service Pack filerne. Og derved vel sikkert også på hotfixes.
Og jeg gad da ikke til at finde et eller andet program fra en eller anden side til at tjekke det for mig, men helt at kalde md5 for hashes og ikke signaturer gør umiddelbart ikke brugen meget anderledes, men det kræver selvfølgelig ligesom signaturer også en central database det ses i.
#20 Nu har Gator/GAIN også sagsøgt folk(firmaer?) (OG VUNDET!) der har udtalt sig om hvad Gator er. Han nævner selv at man selv skal bruge hovedet for at tjekke signaturen, og bedømme om man vil have det.
Men hvis man downloader gator så downloader man gator, og så er det ligegyldigt om der er signatur, md5 hashes eller whatever. Fordi så er det jo bare Gator brugeren stoler blindt på.
Egentlig er det også lidt surt at Mozilla gemmer sine fejl. Vel ikke fordi jeg er sur over at Mozilla gemmer dem, men sådanne fejl bliver ALDRIG givet videre til fx Secunia, så når man pludselig ser at Secunia kun rapporterer rettede fejl for Firefox/Mozilla så er det jo lidt irriterende at det næsten skal stå i en ligeledes 2-siders artikel i NYTimes når det gælder IE.
(Og det er i nogle tilfælde sågar før Microsoft selv kender til fejlen).
Her må jeg sige mig enig, det er sgu bedre med IE, der VED man at man henter noget usikkert lort.
Men heldigtvis vil M$ snart tilbyde sikkerheds software for et mindre(læs større) beløb. Så kan man jo bare håbe at deres sikkerheds software har ligeså mange sikkerheds fejl som deres vanlige software.
Men heldigtvis vil M$ snart tilbyde sikkerheds software for et mindre(læs større) beløb. Så kan man jo bare håbe at deres sikkerheds software har ligeså mange sikkerheds fejl som deres vanlige software.
Som andre i denne tråd (tror jeg?), er det eneste reelle jeg læser ud af hans kritik at man ikke kan være "absolutely positively positively positive", på at man downloader Firefox? Well hent det fra mozilla.org/firefox...om man så stoler på dem, tjah, det gør jeg.
Er der forresten nogensinde nogen her, der har hørt om et browserhijack i Firefox? Jeg spørger fordi jeg er nysgerrig.
Er der forresten nogensinde nogen her, der har hørt om et browserhijack i Firefox? Jeg spørger fordi jeg er nysgerrig.
#33 Ja er enig, det er skam en farlig kombination. Men kan godt forstå at begge parter ville prøve på at skjule det.
Problemet er bare som jeg beskriver at Microsoft's fejl de er skrevet til Secunia inden Microsoft overhovedet kender til dem, vice versa med Mozilla/Firefox kan der gå et år før Secunia kender til den, da den lige er blevet rettet.
(Det der med der er gået et år er især farligt)
Og det udviste jeg også min harme over for den gang Secunia rapporterede 10 fejl i Firefox, "De er jo alle sammen rettet" sagde folk. Men det slemme var da sørme at mange af de fejl var flere måneder gammel(Og så var der en som var næsten et år gammelt)
#39 Nej og det er nok det farligste, fordi så vil du med stor sandsynlighed bare downloade det, fordi du tror det ikke kan ske.
Problemet er bare som jeg beskriver at Microsoft's fejl de er skrevet til Secunia inden Microsoft overhovedet kender til dem, vice versa med Mozilla/Firefox kan der gå et år før Secunia kender til den, da den lige er blevet rettet.
(Det der med der er gået et år er især farligt)
Og det udviste jeg også min harme over for den gang Secunia rapporterede 10 fejl i Firefox, "De er jo alle sammen rettet" sagde folk. Men det slemme var da sørme at mange af de fejl var flere måneder gammel(Og så var der en som var næsten et år gammelt)
#39 Nej og det er nok det farligste, fordi så vil du med stor sandsynlighed bare downloade det, fordi du tror det ikke kan ske.
#40
Det forudsætter vist mindst en af tre ting:
1) Der har været nogen inde på mozillas server og lægge et andet program end Firefox.
2) Jeg skal være blevet narret til at tro at jeg er på mozillas site, selvom jeg ikke er det.
3) Mozilla er i virkeligheden onde folk, der selv har erstattet Firefox med nogen andet.
De er sikkert allesammen meget plausible, men jeg har ikke oplevet det endnu (så vidt jeg ved, that is).
Det forudsætter vist mindst en af tre ting:
1) Der har været nogen inde på mozillas server og lægge et andet program end Firefox.
2) Jeg skal være blevet narret til at tro at jeg er på mozillas site, selvom jeg ikke er det.
3) Mozilla er i virkeligheden onde folk, der selv har erstattet Firefox med nogen andet.
De er sikkert allesammen meget plausible, men jeg har ikke oplevet det endnu (så vidt jeg ved, that is).
#43 Nu forudsætter det ikke at alt er hentet fra Mozilla af.
Både programmer, activex controls, ssl sider m.m. har de signaturer/certifikater.
Hvilket også er det der sker når du åbner et program, den skriver hvor filen kommer fra, i Firefox har du kun siden at stole på. Medmindre du skal i gang med dit eget lille privatdetektiv-bereau
Både programmer, activex controls, ssl sider m.m. har de signaturer/certifikater.
Hvilket også er det der sker når du åbner et program, den skriver hvor filen kommer fra, i Firefox har du kun siden at stole på. Medmindre du skal i gang med dit eget lille privatdetektiv-bereau
Noget der fik mit pis i kog, var at firefox udgav 1.0 uden at have en automatisk opdatering i orden.
Ja, der kommer et lille ikon frem når der er opdateringer - men det sker ikke automatisk.
Hvorfor ikke komme med en lille dialog om at programmet kan opdatere sig selv uden at man behøver at gøre noget, og at man så kan vælge et flueben for at slå det fra.
Man har jo stolet på Mozilla Foundation én gang, så hvorfor vil man ikke gøre det i fremtiden?
Det store problem er at 1.0 er en magisk version som rigtig mange vil bruge, og synes at den opfylder deres behov. Så den bliver ikke opdateret i de næste par år.
Ja, der kommer et lille ikon frem når der er opdateringer - men det sker ikke automatisk.
Hvorfor ikke komme med en lille dialog om at programmet kan opdatere sig selv uden at man behøver at gøre noget, og at man så kan vælge et flueben for at slå det fra.
Man har jo stolet på Mozilla Foundation én gang, så hvorfor vil man ikke gøre det i fremtiden?
Det store problem er at 1.0 er en magisk version som rigtig mange vil bruge, og synes at den opfylder deres behov. Så den bliver ikke opdateret i de næste par år.
#45 Ja han snakker også om hvordan brugeren kan vide sig sikker, når han (efter at have set den 2-siders reklame i NY TImes) går ind på www.mozilla.org og henter Firefox.
Men derimod snakker han også generelt om manglen der er af tjek på signaturer, efter man har hentet firefox.(Hvertfald hvis du også læser hans svar til communitiet igennem)
Hvis sikkerheden skal gøres højere skal det ikke være via security through obscurity(Fx via blokeringer eller manglende funktionalitet). Men derimod prævention eller lignende.
(Outlook og Outlook Express have vist lignende, der var såmænd intet galt i at man kunne blokere visse filtyper, men hvis jeg ikke tager fejl så var det ekstremt svært at fjerne blokeringerne)
Glemte forresten lige at svare #29, De bugs i FF via VPC må jo så være et spørgsmål om kompatibilitet fra Mozilla's side. Jeg ved hvertfald at VMWare bruger noget emuleret custom hardware.
#46 Man må tro det er noget juridisk, kan huske i SP2 betaen hvor det var slået til pr. standard, og pludselig så blev det bare slået fra som standard.
Men derimod snakker han også generelt om manglen der er af tjek på signaturer, efter man har hentet firefox.(Hvertfald hvis du også læser hans svar til communitiet igennem)
Hvis sikkerheden skal gøres højere skal det ikke være via security through obscurity(Fx via blokeringer eller manglende funktionalitet). Men derimod prævention eller lignende.
(Outlook og Outlook Express have vist lignende, der var såmænd intet galt i at man kunne blokere visse filtyper, men hvis jeg ikke tager fejl så var det ekstremt svært at fjerne blokeringerne)
Glemte forresten lige at svare #29, De bugs i FF via VPC må jo så være et spørgsmål om kompatibilitet fra Mozilla's side. Jeg ved hvertfald at VMWare bruger noget emuleret custom hardware.
#46 Man må tro det er noget juridisk, kan huske i SP2 betaen hvor det var slået til pr. standard, og pludselig så blev det bare slået fra som standard.
#46 Tjaaa... Synes da godt man lægger mærke til den. Et rødt ikon i værktøjslinien der bevæger sig og når man placerer musen over den viser tooltip "CRITICAL UPDATE(S) AVAILABLE".
Der checkes iøvrigt for updates hver dag ifølge app.update.interval (about:config i adresselinien) der står til 86400000ms.
Der checkes iøvrigt for updates hver dag ifølge app.update.interval (about:config i adresselinien) der står til 86400000ms.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund