Microsoft: "Lek in IE7 is gewone functie"

Origineel bericht van Bart 01/11/2006
Een typische reactie van een onwetende:

"programmatie en rechtenbeheer van hun os eens op punt zetten zodat dergelijke misbruiken/exploits onmogelijk wordt gemaakt zoals het geval is in linux/osx"

Het probleem? Quasi iedereen draait als administrator om instellingen te kunnen aanpassen, software te kunnen installeren, etc. De oplossing? LUA in Windows Vista bvb. Met rechtenbeheer is niks mis (dit is in NT overigens krachtiger dan onder *nix), met de programmatie van het OS evenmind. Lekken en bugs zullen er altijd zijn, en dat is aan de andere kant die toch zoveel groener is (*kuch*) niet anders. Check er bvb Secunia eens op na voor het aantal security bugs in een paar van jullie zo geliefde *nix distro's en vgl eens met Windows. Als je dat liever niet zelf doet, check eens op http://community.bartdesmet.net/blogs/b ... /3794.aspx.

Wat betreft de zogenaamd honderden functies voor het toelaten van alle soorten rommel: een typisch voorbeeld van de paradox security-usability. Een browser zou stukken veiliger zijn als géén enkel stuk uitvoerbare code (zoals JavaScript, ActiveX, XSLT) meegestuurd zou worden met de eigenlijke data (HTML). Maar dat staat haaks op usability (cf. AJAX en Web 2.0 deze dagen). Verhoog je security, dan verlaag je usability. Zo simpel is het. Maar alles is voor verbetering vatbaar, toegegeven. Dat is net wat IE7, Vista, etc doen.

En als je nog eens citaten geeft, zorg dan dat ze ook authentiek zijn.

Origineel bericht van Naam 01/11/2006
"De oplossing? LUA in Windows Vista bvb."

The proof of the pudding is in the eating. Vanaf januari (we blijven optimist) zullen we zien hoeveel Vista-eindgebruikers (thuisgebruikers en KMO'ers, de grootste en meest kwetsbare groepen) LUA aangeschakeld laten.

"Met rechtenbeheer is niks mis (dit is in NT overigens krachtiger dan onder *nix)"

Graag clarificatie.


"Check er bvb Secunia eens op na voor het aantal security bugs in een paar van jullie zo geliefde *nix distro's en vgl eens met Windows."

Daar gaan we weer. Brengen jouw statistiekjes ondertussen ook severity (DoS, local root, remote root, ...), exposure time (time to fix), etc. in kaart ?

"En als je nog eens citaten geeft, zorg dan dat ze ook authentiek zijn."

Probeer eens wat minder bevooroordeeld te zijn ; het zou je geloofwaardigheid ten goede komen.

Origineel bericht van CeJay 01/11/2006
Lap daar gaan we weer... in de zwart wit discusies (die uiteindelijk niemand overtuigen noch over de streep halen).

Als er iemand al es op de secunia site gekeken had en de test gedaan heeft met een IE7, had deze al in de gaten gekregen dat microsoft (lees: Christopher Budd op http://blogs.technet.com/msrc/archive/2 ... issue.aspx) er deze keer naast zit (en laat de tralala aub dat ze er altijd naastzitten):

De spoofing test op http://secunia.com/internet_explorer_7_ ... fing_test/ vervangt wel degelijk de URL in de popup naar www.microsoft.com ipv de werkelijke url "http://secunia.com/result_22542/?ààhttp://www.microsoft.com/".

De uitleg van Christopher en verwijzing naar http://www.microsoft.com/athome/securit ... ofing.mspx en de vermelding dat IE7 dit oplost door in popups steeds de URL toont en je als gebruiker dit "moet" controleren is dus fout. Je ziet als gebruiker nl. de verwijzing naar wat de exploit erzelf inzet.

==) Weinig professioneel getest (waarschijnlijk eerder een reactie zonder grondig te evalueren wat er precies aan de hand is)

Desalniettemin geniet ik van IE7 qua gebruik, snelheid, ergonomie. Zoals velen heb ik ook m'n Firefox 1.5 naar 2.0 geupdated. 'k zie wel binnen enkele weken welke me nu het meeste kan bekoren...

Origineel bericht van steve gaates 01/11/2006
een functie???
en dit jaar valt kerstmis op 26 december.Voila zie, beslist door Bill.

Origineel bericht van ubuntu 01/11/2006
"Een typische reactie van een onwetende:"
LOL, denk dat de enige onwetende uzelf bent.
Zelf +- 15 jaar ervaring met Microsoft, 5 jaar werkzaam als sysadmin in Linux, en 3tal jaren OSX gebruiker voor desktop. Denk dat u behalve Windows totaal geen kennis of inzicht hebt in *nix. Dat zijn idd de eerste om hun brakke os te verdedigen uit ontwetendheid. "Ik rij met een VW, altijd al met gereden, en voor de rest is audi, bmw, mercedes, etc rommel".

"Quasi iedereen draait als administrator om instellingen te kunnen aanpassen, software te kunnen installeren, etc. De oplossing? LUA in Windows Vista bvb. Met rechtenbeheer is niks mis (dit is in NT overigens krachtiger dan onder *nix), met de programmatie van het OS evenmind. "
Dat is idd gedeeltelijk correct, voor gewoon gebruik moet je niet onnodig inloggen als root/administrator. Doch feit is dat het hele rechtensysteem in windows echt brak is. In Vista zal het nog veel leuker zijn, vanaf jouw systeem opstart wordt je overspeld door popups met de vraag of je wel zeker bent dat je dit wilt starten? Deuh... Dat is pleisteren ipv nodige maatregelen in kernel in te bouwen. Gevolg? Iedereen zal snel geïrriteerd zijn en snel "accept" klikken.

"Een browser zou stukken veiliger zijn als géén enkel stuk uitvoerbare code (zoals JavaScript, ActiveX, XSLT) etc." Waarom niet eens php, asp of zelfs html ook schrappen? Gaat het nog "veiliger" zijn! Of nog beter: geen netwerk of internetverbinding toelaten op uw windows doos.

Origineel bericht van ubuntu 01/11/2006
""Check er bvb Secunia eens op na voor het aantal security bugs in een paar van jullie zo geliefde *nix distro's en vgl eens met Windows."

Op wat wordt dan de vergelijking gemaakt, alle distro's samen tegen 1 Windows versie? Bovendien bevat elke linux naast het os ook duizende programma's, en alle serverapplicaties die u kan bedenken (apache, POP & IMAP mailservers, samba, FTP servers, vpn, LDAP, etc etc etc...) Gaat u dit vergelijken met 1 windows versie? Lijkt mij nogal lichtjes waarschijnlijk dat er meer bugs in worden aangetroffen, en hoeveel % is daar kritisch van? ...

Groot verschil is ook dat een ganse community voor bugs rapporteren en fixen staat.
Microsoft is te laks om eigen bugs te rapporteren. Of hoe denk je dat mal-&adaware en dergelijke op windows genesteld wordt (los van de ernstige veiligheidslekken)? Voor u als windows gebruiker noem je dat misschien normaal, voor mij is dat het zeker niet. Jammer genoeg benutten deze de zovele leaks in het os dat het dit mogelijk maakt. Staan deze bugs ook in deze rapporten? Ik denk het niet...

Normaal gezien reageer ik niet op dergelijke Windows-en-van-niet-beter-weten praat, maar door het benutten van windows lekken om vervolgens de windows doos gretig als zombie in te zetten om in de achtergrond spam te versturen ...
Pech voor jou mss dat je om de x aantal maanden een format moet doen omdat uw systeem te traag wordt, maar ikzelf vind het ook best ergerend met de gigantische spamvloeden dewelke in mailboxes komen.

Origineel bericht van ubuntu 01/11/2006
"En als je nog eens citaten geeft, zorg dan dat ze ook authentiek zijn."

Probeer eens wat minder bevooroordeeld te zijn ; het zou je geloofwaardigheid ten goede komen."

Was uiteraard als grapje bedoeld, maar berust volgens mij wel op de werkelijkheid.

Wat doet het Microsoft dat ze een onveilig en buggy os hebben. Niets.
Iedereen koopt het toch. Waarom dan nog investeren in innovatie en veilig systeem?

Hun marketingafdeling is kwaliteitsvoller dan hun ontwikkelingsafdeling.
Vraag mij af hoe lang het nog zal duren vooraleer ze jullie beginnen te bombarderen met aankondigen van features voor volgende windows release,dewelke binnen 5 jaar (= een eeuw in ICT) bij de uiteindelijke release opnieuw geschrapt zullen worden.

Jullie kunnen dan denken, zoals de laatste 10 jaar, "ah volgende release zal wel alle bugs/problemen oplossen". Yeah right.

Origineel bericht van desmond 02/11/2006
Als er één bedrijf is waar de marketingafdeling veel en veel beter is dan de ontwikkelingsafdeling, dan is dat zonder twijfel die van apple. De marketingafdeling daar duwt gewoonweg niets dan bullshit (lees verdraaide waarheden en regelrechte leugens) door de strot van de (oh zo wakkere) apple gemeenschap. En het blijft er blijkbaar ingaan als zoete koek. Straffe gasten!

Origineel bericht van KO 02/11/2006
In HTML kan je met het "target=" atribuut inderdaad een venster een andere webpagina laten inladen in een venster waarvan je de naam kent. Gelukkig maar, het web zou er anders geheel anders uitzien.

Dit is al jaren zo en is gewoon standaard HTML. Enkel een volslagen onozelaar noemt dit een 'lek'.

Origineel bericht van speedy 02/11/2006
Dat binnen een browser venster x venster y kan wijzigen / lezen is nuttig, en ook normaal als zowel venster x en venster y van dezelfde site afkomstig zijn.

Als dit ook kan tussen verschillende sites / domeinen dan is er '****** aan de knikker' want dan kan stoute site je login-form van de goede site aanpassen, of zelfs de input van een form in een goede site lezen, en dat is, dacht ik, niet de bedoeling.

Net zoals cookies enkel door het juiste domein leesbaar zijn, zou ook de toegang tot een html-target beperkt moeten zijn tot het domein dat dit target heeft gecreeerd.

Als het om een pop-up venster met zichtbare url gaat kan je het nog zien, als het om een deel van een geframede pagina gaat is dat al behoorlijk wat moeilijker.

'k zal eens nakijken of firefox deze 'functionaliteit' ook op dezelfde wijze implementeert.

Origineel bericht van ubuntu 02/11/2006
Blijkbaar nog geen osx gezien, laat staan met gewerkt?

In uw geval zou ik bij het gebrekkig windows blijven, vele leuke popups en gratis adaware en reclameboodschappen, het onlogisch reageren van os en de vele vastlopers en reboots tot gevolg.

Moet je beslist vista in huis halen, met voorkeur voor de licentie met de minimale eye candy dewelke ze aero noemen, voor +- 350 euro heb je die. Vergeet dan ook meteen uw pc niet te upgraden, liefst highend om het toch bijna soepel te kunnen draaien, gepaard met highend videokaart uiteraard.

Neem eens een kijkje op mijn screencast van ubuntu met xgl, dit draait op minimum hardware en goedkoopste 3d kaart volstaat (zelfs de intel onboards).
http://www.youtube.com/watch?v=HNRbF60Pa6M
Dan moet je beslist eens nadenken waarom je bij god voor aero zo'n absurde minimum eisen nodig hebt.

Grafische pracht van apple osx kennen we al lang, hoef ik hier niet uit te leggen.

En 350 euro betalen voor vista licentie + noodzakelijk upgrade naar highend pc (tenzij je die al hebt natuurlijk) ... zou ik in uw geval 300 euro meer voor uw licentie betalen, heb je een state of the art Mac Mini aangedreven door intel core duo met pracht os inbegrepen.

Origineel bericht van ubuntu 02/11/2006
Wat marketing zelf betreft, niemand doet beter dan microsoft.

Herinner je "Get the facts" compagne?

Huidige Windows 2003 server vergelijken met Redhat 7 dewelke deze laatste al 10 jaar end of life is? (redhat 9 eveneens al +- 6 jaar niet meer gesupport: end of life).

Wil ik Redhat Enterprise eens vergelijken met Windows 3.1 of 95?

Idd. compleet banaal, maar zo doen ze het wel. En mensen zonder kennis van het overige produkt trappen daar gretig in.

En ik noem maar 1 voorbeeld...

Origineel bericht van Naam 02/11/2006
Nog een jaartje of twintig, en je leert ook het verschil tussen vooringenomenheid en ervaring. 0:-)

Origineel bericht van MS Exploiter 7 03/11/2006
Het gaat om een gewone functie, net zoals de overige honderden functies voor het toelaten van adaware, spyware en overige rommel.

MS gebruikers beschouwen dit als "normaal".

Ipv anti spam/adaware/virussen/etc. software te ontwikkelen, zouden ze beter programmatie en rechtenbeheer van hun os eens op punt zetten zodat dergelijke misbruiken/exploits onmogelijk wordt gemaakt zoals het geval is in linux/osx.

Ah juist, dit hoeven ze niet te doen ... iedereen koopt het toch ...
bovendien kunnen ze nog graantje meepikken in antivirus/antispyware/etc soft ...

Steve Jobs (Apple): "OSX is much better than Windows."
Bill Gates: "That's right, but who cares?"

Origineel bericht van kiji 03/11/2006
bart...
om de zoveel maand com je met cijfers van secunia aandraven om zogezegd te bewijzen dat IE en MS in het algemeen toch niet zo lek zijn. En iedere keer vraag ik me af waar je het in Godsnaam vandaan haalt. Even de huidige status vergelijken:
MS Ie 6.x; 106 advisories, waarvan 18% unpatched, status:critical
Moz F F1.x:36 advisories 8% unpatched, status less critical
Kijken we even naar de advisories zelf:
Ms IE 6.x:extremely&highly critical:46%
FF 1.x: 36%
Als ik die cijfers zie, is mijn enige conclusie dat IE duidelijk meer problemen heeft dan ff. FF heeft uiteraard ook zijn lekken en bugs, maar blijkbaar minder erg en meer en sneller aangepast.
Veel cijfertjes en statistieken weten vinden is 1, ze ook nog kunnen lezen en degelijk conclusies trekken is iets anders blijkbaar.

Origineel bericht van Pmaene 03/11/2006
Iedereen zit hier altijd op de kap van MS, en zit Linux hier op te hemelen. Maar wat jullie vergeten, is dat wij, tegenover de meeste mensen geplaats, véél meer weten over OS's en al de andere zaken. Vraag aan een willekeurige, normale gebruiker of hij ooit een drang gevoeld heeft om Linux te gebruiken (vooropgesteld dat je niet eerst moet gaan uitleggen wat Linux is). Hij zal je hoogstwaarschijnlijk met "nee" antwoorden. Begrijp me hier niet verkeerd, maar ik ben gewoon tevreden met beide OS'en. Gebruik Windows voor je Desktop-werk, zóveel bugs zijn er nu ook weer niet, en de voornaamste bug is eigenlijk te gebruiker zelf... Hij gebruikt het systeem. Ja, je kan je systeem volledig veilig houden: gebruik hem niet. Nu ja, ik zei al dat ik beide OS'en goed vond, en dat meen ik ook, ik gebruik dus Windows voor men werk als WebProgrammer, en al de andere dingen die ik op mijn PC doe. Maar hier een halve meter af, staat ook een LinuxServer'tje met Fedora Core op. Maar ik zou niet graag wisselen en mijn websites daarop coden, omdat ik, ondanks GNome of KDE, toch nog steeds de interface van Windows (en de eyecandy van Vista) makkelijker mee te werken vind. Ik heb Ubuntu al geprobeerd, net als Vista, Knoppix, etc. en ik vind nog steeds dat Windows makkelijker werkt voor dagelijks gebruik, maar niet als Server. Ieder OS heeft zo zijn eigen pluspunten, bij Linux is dat zijn zeer goede user- en filebeheer, en bij Windows zijn usability...

Origineel bericht van Panic 04/11/2006
Probeer eens wat minder bevooroordeeld te zijn ; het zou je geloofwaardigheid ten goede komen.

=) De pot verwijt de ketel.

Origineel bericht van Panic 04/11/2006
hoe geleerder, hoe verkeerder