mboost-dp1
unknown
Jeg husker stadig da FF var "ny" og folk lovpriste den for sin sikkerhed i forhold til "det lort til IE".
Og nej det var ikke fordi IE var udbredt... det var simpelthen fordi Mozilla var bedre til at kode og da FF var open source var der flere til at finde fejlene inden release udgaver. Og der var ikke grænser for argumenterne for FF > IE i sikkerhedsåørgsmålet!
Nu ser vi så at der er en væld af huller i FF, endda flere end i IE i forhold til markedsandel.(Hvilket nok skyldes at MS længe har patchet huller i IE.) FF-brugere er enddog generelt langt mere tech-savy end IE-brugere hvilket stærkt begrænser bruger-fejl aspektet for FF.
Og nu lyder piben ala. "Ja men der vil jo altid være fejl i software". Og man kan ikke undgå at huske det utal af gange men selv har sagt det samme til disse personer under deres korstog for FF.
Og nej det var ikke fordi IE var udbredt... det var simpelthen fordi Mozilla var bedre til at kode og da FF var open source var der flere til at finde fejlene inden release udgaver. Og der var ikke grænser for argumenterne for FF > IE i sikkerhedsåørgsmålet!
Nu ser vi så at der er en væld af huller i FF, endda flere end i IE i forhold til markedsandel.(Hvilket nok skyldes at MS længe har patchet huller i IE.) FF-brugere er enddog generelt langt mere tech-savy end IE-brugere hvilket stærkt begrænser bruger-fejl aspektet for FF.
Og nu lyder piben ala. "Ja men der vil jo altid være fejl i software". Og man kan ikke undgå at huske det utal af gange men selv har sagt det samme til disse personer under deres korstog for FF.
ok, internet explore er usikker - hvad med internet explorer?
intet værktøj (herunder software) er mere sikkert end den idiot der bruger det... inden for ting der bruges til kommunikation, er der bare lige lidt flere faktorer der spiller ind også... så som hvor meget adgang systemet har til at ødelægge andet, hvis noget går galt...
#2 tilfældigt google hit
intet værktøj (herunder software) er mere sikkert end den idiot der bruger det... inden for ting der bruges til kommunikation, er der bare lige lidt flere faktorer der spiller ind også... så som hvor meget adgang systemet har til at ødelægge andet, hvis noget går galt...
#2 tilfældigt google hit
"http://www.columbia.edu/acis/rad/browser-bugs.html" skrev:July 24, 1997
Browser: Lynx
Versions: all up to and including 2.7.1
Platforms: Unix
Description:
Users of lynx that do not normally have access to a shell prompt can get it; someone can set up a web page that would cause a lynx user to run an arbitrary command when visiting that page.
Fix:
Developmental releases of Lynx from 1997-06-26 and later fix this bug.
Workaround:
For users who would not have access to a shell prompt, the lynx administrator should disable the (g)oto command. The other problem has no workaround.
Jeg håber, den omtalte Michael Zalewski i virkeligheden er Michał Zalewski, for ellers render der en hacker rundt i Chicagos byråd.
Tror ikke det er lige en hacker, ham fra Chicago, for den polske sikkerhedsexpert staves Michał Zalewski ;=)
http://www.answers.com/topic/micha-zalewski
(hvorfor viser min browser et OG tegn, et POUND tegn og 332 i hans fornavn?????)
http://www.answers.com/topic/micha-zalewski
(hvorfor viser min browser et OG tegn, et POUND tegn og 332 i hans fornavn?????)
Det ser ud til at mange af fejlene er sikkerhedsfejl i javascript igen.
Firefox er gennelt sikre på dette punkt, da rigtig meget JS bliver kørt i sandbox måde, uden ActiveX. IE6 er meget mere usikker på dette punkt, dog har SP2 og IE7 "yellow topbars" som advarer dig (alt for tit).
Men man skal stadig kigge på at Mozilla kan patche 80-90% af deres browsere på under 24 timer for en kritisk fejl. Det kan microsoft ikke.
Firefox er gennelt sikre på dette punkt, da rigtig meget JS bliver kørt i sandbox måde, uden ActiveX. IE6 er meget mere usikker på dette punkt, dog har SP2 og IE7 "yellow topbars" som advarer dig (alt for tit).
Men man skal stadig kigge på at Mozilla kan patche 80-90% af deres browsere på under 24 timer for en kritisk fejl. Det kan microsoft ikke.
#11
Derfor er det stadig en fejl :)
Personlig erfaring siger mig, at folk som bruger Firefox helst ikke vil høre at deres browser er fejlbehæftet, og til tider undervurderer hvor vigtigt det er at holde det opdateret.
Samtidig er der den del af brugerne som bruger det i stedet for IE, "fordi det gør man bare" - Disse er i høj grad udsatte, specielt i forhold til den meget kritiske cross-site scripting fejl Micha Zalewski offentliggjorde.
Men selvfølgelig - Nogle af disse fejl vil først begynde at blive udnyttet nu, hvilket giver udviklerne en fordel, da de ikke som normalt skal finde frem til problemet på "den hårde måde".
Derfor er det stadig en fejl :)
Personlig erfaring siger mig, at folk som bruger Firefox helst ikke vil høre at deres browser er fejlbehæftet, og til tider undervurderer hvor vigtigt det er at holde det opdateret.
Samtidig er der den del af brugerne som bruger det i stedet for IE, "fordi det gør man bare" - Disse er i høj grad udsatte, specielt i forhold til den meget kritiske cross-site scripting fejl Micha Zalewski offentliggjorde.
Men selvfølgelig - Nogle af disse fejl vil først begynde at blive udnyttet nu, hvilket giver udviklerne en fordel, da de ikke som normalt skal finde frem til problemet på "den hårde måde".
#12 Jeg er ikke uenig, men stadigvæk er det vigtigt at påpege at Mozilla retter fejl løbende.
Microsoft laver kun fejlrettelser til IE 1-2 gange om året.
Jeg laver utrolig meget udvikling med javascript til både html og XUL (det firefox er skrevet i), hvor jeg da også har opdaget mange problemer / fejl.
Og ja, der er da sikkerhedsfejl. Jeg har sågar været en af de heldige at få en $500 præmie for at rapportere en sikkerhedsfejl :-)
Jeg synes absolut de(Mozilla) gør mere ved sikkerheden end nogle som helst andre browsere på markedet.
Microsoft laver kun fejlrettelser til IE 1-2 gange om året.
Jeg laver utrolig meget udvikling med javascript til både html og XUL (det firefox er skrevet i), hvor jeg da også har opdaget mange problemer / fejl.
Og ja, der er da sikkerhedsfejl. Jeg har sågar været en af de heldige at få en $500 præmie for at rapportere en sikkerhedsfejl :-)
Jeg synes absolut de(Mozilla) gør mere ved sikkerheden end nogle som helst andre browsere på markedet.
Automatisk opdatering er selvfølgelig en væsentlig forskel på IE og Firefox. Man kan dog til en vis grad sige at IE har automatisk opdatering (Dog meget sporadisk) i form af Windows Update.
"Man skal ikke undervurdere menneskelig dumhed" - Der er folk som siger nej til automatiske opdateringer, fordi de "bare lige skal tjekke noget". Gennem mit arbejde har jeg også erfaret at mange større firma'er tvinger deres ansatte til at slå automatiske opdateringer fra, så de kan distribueres internet og reducere den indgående kommunikation.
Jeg holder mig dog fortsat langt fra IE :)
"Man skal ikke undervurdere menneskelig dumhed" - Der er folk som siger nej til automatiske opdateringer, fordi de "bare lige skal tjekke noget". Gennem mit arbejde har jeg også erfaret at mange større firma'er tvinger deres ansatte til at slå automatiske opdateringer fra, så de kan distribueres internet og reducere den indgående kommunikation.
Jeg holder mig dog fortsat langt fra IE :)
Microsoft laver kun fejlrettelser til IE 1-2 gange om året.Det er altså ikke korrekt. Der sendes fejlrettelser ud den første tirsdag (?) i hver måned. Dette gøres for at systemadministratorer ikke skal trættes med test og opdateringer hele tiden.
Automatisk opdatering er selvfølgelig en væsentlig forskel på IE og Firefox. Man kan dog til en vis grad sige at IE har automatisk opdatering (Dog meget sporadisk) i form af Windows Update.Firefox tjekker for opdateringer hver gang du launcher browseren. Så bliver du spurgt om du vil installere opdateringen med det samme eller om det bare skal gøres automatisk når du launcher browseren næste gang. På det punkt er Firefox noget mere agressiv til at installere patches end IE...
Tror måske Lynx kommer tættest på. Men er ikke programmør, så ved ikke om en text-only model har andre fordele end at den ikke har de script plugins som de andre har så mange problemer medHer er en browser som ikke har nogle sikkerhedshuller:
public class Browser {
public static void main(String _[]) {
}
}
Den er komplet og kan kompileres i enhver java-compiler (så har du også sikkerhedsfordelen af JVM). Den mangler dog nogle features i forhold til konkurrenterne...
Det er altså ikke korrekt. Der sendes fejlrettelser ud den første tirsdag (?) i hver måned. Dette gøres for at systemadministratorer ikke skal trættes med test og opdateringer hele tiden.
Ja, fejlrettelser til windows (meget sjældent IE, kun ved ultra kritiske fejl, typisk ½ år for sent), gennem windows update. Det duer overhovedet ikke til slutbrugeren.
FF har så tilgengæld plugins, som ligesom ActiveX udgør en stor sikkerhedsrisiko, så mon ikke der står 1:1
Nej, da Plugins skal installeres fra "trusted sources", og du skal tilføje en side som trusted source først.
Derudover kører plugin in sandbox mode for det meste, + du har 100% mulighed for at se koden bagved.
Jeg har aldrig hørt om brugere som ved et "uheld" installeret en Firefox extension, som derefter har gjort skade.
ActiveX som automatiske installerede programmer (læs: spyware) i IE er stadigvæk det største problem.
Og derudover kan vi vist godt blive enig om at min hjemmeside ikke skal kunne åbne dit CD-rom drev.
Men man skal stadig kigge på at Mozilla kan patche 80-90% af deres browsere på under 24 timer for en kritisk fejl. Det kan microsoft ikke.
Som altid i denne "krig" fra begge sider, så er det et meget en-sidet argument.
En væsentlig del af grunden til at patches fra MS relativt set er så lang tid om at blive frigivet er at man netop går rigtig meget op i testning. Jeg siger ikke at Mozilla ikke tester deres ting, men Microsoft skal være 99.99% sikker på at den patch de frigiver ikke ødelægger en eller anden obskur konfiguration et eller andet sted. Og som allerede tidligere nævnt er opdateringer planlagt på en fast dag i måneden af hensyn til system administratorer for at lette deres arbejde.
Men kan altid vægte for og imod, men at lade det fremstå som om Microsoft bare er langsomme fordi de er nogle idioter er en unødvendig oversimplificering der ikke bidrager til andet end at føde trollene.
Weeeee :) Endnu en IE/Firefox krig - Dog imponerer det mig at der ikke er nogen der har skreget Opera endnu. Men pyt.
IE har haft problemer med at holde deres ting i en sandkasse som Firefox har, dog har de lavet en fantastisk ting hvor brugeren selv får lov til at tage stilling til hvad der skal køres, uanset om det hedder java/activex skrammel.
Hvilket vi må blive enige om er de farligste steder i øjeblikket.
Microsoft har længere svartid på deres opdateringer, ja.. Men deres kære browser er vel også integreret i alt det andet crap der nu kører under windows cirka? Uden at vide hvordan det fungerer.
Firefox kan jeg kun komplimentere for deres hurtige opdateringer, lækkert at se det kan lade sig gøre.
Derudover må jeg give et par af ovenstående kommentatorer ret i at det er sjovt som der i starten var de der "Firefox er såååå meget bedre end IE" - Hvilket så åbenlyst ikke var tilfældet :)
Slutteligt - Dette er skrevet i Firefox :)
IE har haft problemer med at holde deres ting i en sandkasse som Firefox har, dog har de lavet en fantastisk ting hvor brugeren selv får lov til at tage stilling til hvad der skal køres, uanset om det hedder java/activex skrammel.
Hvilket vi må blive enige om er de farligste steder i øjeblikket.
Microsoft har længere svartid på deres opdateringer, ja.. Men deres kære browser er vel også integreret i alt det andet crap der nu kører under windows cirka? Uden at vide hvordan det fungerer.
Firefox kan jeg kun komplimentere for deres hurtige opdateringer, lækkert at se det kan lade sig gøre.
Derudover må jeg give et par af ovenstående kommentatorer ret i at det er sjovt som der i starten var de der "Firefox er såååå meget bedre end IE" - Hvilket så åbenlyst ikke var tilfældet :)
Slutteligt - Dette er skrevet i Firefox :)
#26
Ideen med "trusted sources" er, at så skal man ind og tilføje siden til en liste over trusted sites. Der har du altså en 5-10 sekunders tid til at tænke over, om det nu var en god ide at installere denne "FREE PORN SEARCHTOOLBAR!!!" fra en eller anden random hjemmeside.
Det er noget andet, når man besøger en side, og der kommer en popup (i know, ikke i IE7, men de ældre versioner) hvor der bare står "Do you want to allow 'CLICK YES NOW TO CONTINUE AND WIN 99999$$$$$ AND GET FREE SMILEYS AND SCREENSAVERS!!!!!'?"
Forskellen er, at "almindelige" mennesker i første eksempel bare tænker "Nå nej det fatter jeg ikke, så dropper jeg det", men i det andet eksempel bare trykker "OK" fordi.. Ja det gør man jo, ellers kommer man ikke ind på siden.
For de erfarne brugere, er der måske ikke så stor forskel på activex og Trusted sources, da man ved nogenlunde hvad man siger ja til.
Ideen med "trusted sources" er, at så skal man ind og tilføje siden til en liste over trusted sites. Der har du altså en 5-10 sekunders tid til at tænke over, om det nu var en god ide at installere denne "FREE PORN SEARCHTOOLBAR!!!" fra en eller anden random hjemmeside.
Det er noget andet, når man besøger en side, og der kommer en popup (i know, ikke i IE7, men de ældre versioner) hvor der bare står "Do you want to allow 'CLICK YES NOW TO CONTINUE AND WIN 99999$$$$$ AND GET FREE SMILEYS AND SCREENSAVERS!!!!!'?"
Forskellen er, at "almindelige" mennesker i første eksempel bare tænker "Nå nej det fatter jeg ikke, så dropper jeg det", men i det andet eksempel bare trykker "OK" fordi.. Ja det gør man jo, ellers kommer man ikke ind på siden.
For de erfarne brugere, er der måske ikke så stor forskel på activex og Trusted sources, da man ved nogenlunde hvad man siger ja til.
kommer også til at tænkte på Lynx som #2 siger... hed den ikke Links i gamle dage?
Men man burde jo tro at programmer som blir kaldet "Internet Explorer shells" er mere sikre. og det er da smart.
Men man burde jo tro at programmer som blir kaldet "Internet Explorer shells" er mere sikre. og det er da smart.
#24
AAaaaaaaaaaaah, Opera.. Hurtig, intuitive genvejstaster, muse-genveje, ad-blocker, popup-blocker, IRC, full screen - og bedst af alt, man behøver ikke at downloade 130 addons.
Kan IE stadig reagere på 'kopholderen'?
http://web.archive.org/web/20050207171209/www.maxg...
AAaaaaaaaaaaah, Opera.. Hurtig, intuitive genvejstaster, muse-genveje, ad-blocker, popup-blocker, IRC, full screen - og bedst af alt, man behøver ikke at downloade 130 addons.
Kan IE stadig reagere på 'kopholderen'?
http://web.archive.org/web/20050207171209/www.maxg...
#30 nej :-)
#29 den virker i min IE6 under SP2 :p Eller nogenlunde.
Jeg for troldmanden op som sviner mig lidt til, men ikke noget derudover.
Funbags() bliver aldrig aktiveret.
#29 den virker i min IE6 under SP2 :p Eller nogenlunde.
Jeg for troldmanden op som sviner mig lidt til, men ikke noget derudover.
Funbags() bliver aldrig aktiveret.
<Object ID=tsaiannie53441 ClassID=CLSID:D45FD31B-5C6E-11D1-9EC1-00C04FD7081F>
<embed>
</embed>
</Object>
<SCRIPT LANGUAGE="VBScript" TYPE="text/vbscript">
<!--
Function Funbags ()
Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection
if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).Eject
Next ' cdrom
End If
End Function
-->
</SCRIPT>
<Script LANGUAGE="JavaScript" TYPE="text/javascript">
function LoadLocalAgent(CharID, CharACS) {
LoadReq = tsaiannie53441.Characters.Load(CharID, CharACS);
return(true);
}
var MerlinID;
var MerlinACS;
tsaiannie53441.Connected = true;
MerlinLoaded = LoadLocalAgent(MerlinID, MerlinACS);
Merlin = tsaiannie53441.Characters.Character(MerlinID);
Merlin.Show();
Merlin.Play("Surprised");
Merlin.Play("GestureLeft");
Merlin.speak("Please make use of your free new cup holder.");
Merlin.Play("DoMagic1");
window.setTimeout("Funbags()", 7000);
Merlin.Play("DoMagic2");
Merlin.Speak("HAHAHAHAHAHAHAAHAHAHAHAHAHA");
Merlin.Speak("WHOS MY BITCH?");
Merlin.Play("Pleased");
Merlin.Speak("PWNED!");
Merlin.Play("GestureDown");
Merlin.Hide();
</script>
<img src="cup.jpg">
#28 lynx og links er såmænd to vidt forskellige browsere :) personligt foretrækker jeg links...
nu vi snakker sikkerhed, så fatter jeg i øvrigt stadig ikke at FF tilbyder at gemme passwords og så lige "glemmer" at fortælle at man også skal huske at sætte et hovedkodeord, da man ellers kan læse alle indtastede koder i klartekst!
nu vi snakker sikkerhed, så fatter jeg i øvrigt stadig ikke at FF tilbyder at gemme passwords og så lige "glemmer" at fortælle at man også skal huske at sætte et hovedkodeord, da man ellers kan læse alle indtastede koder i klartekst!
Må jeg have lov at skrige safari? - Den bedste browser jeg nogensinde har brugt! (på Mac).
FireFox på Mac er så underlegen den til windows og når nu i kloge mennesker siger at den der er til windows er hullet som en si er jeg da glad for at jeg bare bruger apples egen browser.
FireFox på Mac er så underlegen den til windows og når nu i kloge mennesker siger at den der er til windows er hullet som en si er jeg da glad for at jeg bare bruger apples egen browser.
Det er langt fra overraskende at der er exploits til både IE og Firefox, det største problem er jo Javascript i sig selv.
Jeg mener nu stadigtvæk, at de exploits er ret harmløse, trods alt kan de ikke bare eksekvere kode som kan kompromitere selve operativ systemet. Ligesom vi har set IE gøre med radio-activeX og andet gøjl. Driveby downloads osv. trods alt er de exploits der har været til firefox ret harmløse, sitespoofing osv ér da en mulighed, men hvad er chancen for at folk med det samme smider deres kredit kort info ind på en iframe der tilfældigvis åbner der ligner Danske Banks? Der må omløb i hovedet da trods alt spille en rolle.
Men, Open Source eller ej, så gør det ikke produkterne mere sikre i sig selv, det er naturligtvist en mere åben process at finde og lukke hullerne, så selve udviklings modellen er måske mere responsiv end lukket software, men det er forkert at ligestille det med sikkerhed. Det er i hvertfald ikke en undskyldning for blindt at stole på OSS. Men det har da potentialet til at blive sikrere hvis det er gode admins o.a. der indstiller det og evt. compiler det med de rigtige CFLAGS og options. Det er så bare 0.01% der gør det - men sådan er det jo også med Windows hvor selvlærte administratorer er dime a dozen, og mange af dem ret uvidende. Der er så mange wannabee sysadmins både inden for Linux og Windows det giver mig kvalme, de aner jo i bund og grund ikke et klap ud over det mest overfladiske når det kommer til stykket.
Hvilket bringer mig til:
Security is a process.. Not a Product.
Jeg mener nu stadigtvæk, at de exploits er ret harmløse, trods alt kan de ikke bare eksekvere kode som kan kompromitere selve operativ systemet. Ligesom vi har set IE gøre med radio-activeX og andet gøjl. Driveby downloads osv. trods alt er de exploits der har været til firefox ret harmløse, sitespoofing osv ér da en mulighed, men hvad er chancen for at folk med det samme smider deres kredit kort info ind på en iframe der tilfældigvis åbner der ligner Danske Banks? Der må omløb i hovedet da trods alt spille en rolle.
Men, Open Source eller ej, så gør det ikke produkterne mere sikre i sig selv, det er naturligtvist en mere åben process at finde og lukke hullerne, så selve udviklings modellen er måske mere responsiv end lukket software, men det er forkert at ligestille det med sikkerhed. Det er i hvertfald ikke en undskyldning for blindt at stole på OSS. Men det har da potentialet til at blive sikrere hvis det er gode admins o.a. der indstiller det og evt. compiler det med de rigtige CFLAGS og options. Det er så bare 0.01% der gør det - men sådan er det jo også med Windows hvor selvlærte administratorer er dime a dozen, og mange af dem ret uvidende. Der er så mange wannabee sysadmins både inden for Linux og Windows det giver mig kvalme, de aner jo i bund og grund ikke et klap ud over det mest overfladiske når det kommer til stykket.
Hvilket bringer mig til:
Security is a process.. Not a Product.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund