Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Ponad połowa (52%) osób, które wzięły udział w ankiecie firmy Sophos uznała, że należy w ogóle porzucić Internet Explorera, by czuć się bezpiecznym. Jednak 20% nie zgadza się z tą opinią twierdząc, że zmiana przeglądarki nie zwiększa bezpieczeństwa, gdyż wszystkie programy zawierają dziury. Kolejne 15% uznało, że zmiana programu nie uchroni przed niebezpieczeństwem, którego można uniknąć wykorzystując oprogramowanie zabezpieczające i zdrowy rozsądek. Pozostałe 14% stwierdziło, że czasowe porzucenie IE może być dobrym rozwiązaniem.

Graham Cluley z Sophosa ostrzega pracowników firm, by samodzielnie nie podejmowali decyzji o zmianie przeglądarki. Jeśli wasz wydział IT nie wspiera oficjalnie innej przeglądarki, a wy nie macie doświadczenia w korzystaniu z alternatyw, możecie spowodować sporo problemów, jeśli zaczniecie używać innego oprogramowania. Wykorzystywane w firmie aplikacje sieciowe mogą nie działać prawidłowo lub w ogóle nie pracować pod innymi przeglądarkami. To źle odbije się na waszej pracy. Poza tym, co zrobicie, gdy inna przeglądarka też będzie zawierała błędy? Znowu ją zmienicie? Radzę, byście rezygnowali z IE tylko wówczas, gdy naprawdę wiecie, co robicie - stwierdził Cluley.

Tymczasem Microsoft obiecuje, że wyda poprawkę do IE poza zwyczajowym comiesięcznym cyklem. Dziura, która pozwoliła na zaatakowanie Google'a i innych firm, istnieje w IE 6, 7 oraz 8. Na razie wykorzystywane jest tylko podczas sporadycznych, bardzo precyzyjnych ataków na użytkowników IE 6, chociaż ukazał się już prototypowy szkodliwy kod dla IE 7.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Fakt, w firmach to może być nieco problematyczne, ale nic nie stoi na przeszkodzie, by jeśli faktycznie są problemy z aplikacjami firmowymi używać IE, a do wyszukiwania materiałów innych, bezpieczniejszych przeglądarek. Argument z błędami jest śmieszny. Błędów nie da się uniknąć i są one zawsze wliczone w ryzyko, zwłaszcza w skomplikowanych aplikacjach. Chyba wszystkie rodziny przeglądarek zaliczają po drodze różne wpadki. Celem jest to, by ich ilość zminimalizować i by nie były krytyczne, czego niestety o IE nie można powiedzieć.

 

PS. Tylko mi wychodzi 101%? :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie, mi też tyle wychodzi :D Wystarczy, że każdą wartość nieco zaokrąglono.

Ja się zgadzam z tymi 15%. Bez względu na to, jakiego programu się używa, najważniejszym zabezpieczeniem jest własny rozsądek. Nawet te dziury w IE, które pozwoliły na zaatakowanie Google'a i innych, wymagały, by użytkownik klinął na przesłane mu linki.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Jednak 20% nie zgadza się z tą opinią twierdząc, że zmiana przeglądarki nie zwiększa bezpieczeństwa, gdyż wszystkie programy zawierają dziury.

No tak, ale wylacznie przy "komunistycznym" i niezbyt rozsadnym zalozeniu, ze wszystkie programy sa tak samo projektowane, pisane i maja tyle samo dziur :D

To falszowanie rzeczywistosci.

 

Graham Cluley z Sophosa ostrzega pracowników firm, by samodzielnie nie podejmowali decyzji o zmianie przeglądarki. Jeśli wasz wydział IT nie wspiera oficjalnie innej przeglądarki, a wy nie macie doświadczenia w korzystaniu z alternatyw, możecie spowodować sporo problemów, jeśli zaczniecie używać innego oprogramowania. Wykorzystywane w firmie aplikacje sieciowe mogą nie działać prawidłowo lub w ogóle nie pracować pod innymi przeglądarkami. To źle odbije się na waszej pracy. Poza tym, co zrobicie, gdy inna przeglądarka też będzie zawierała błędy? Znowu ją zmienicie? Radzę, byście rezygnowali z IE tylko wówczas, gdy naprawdę wiecie, co robicie - stwierdził Cluley.

No tak, idiota zrobi sobie krzywde nawet gumowa pilka.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Bez względu na to, jakiego programu się używa, najważniejszym zabezpieczeniem jest własny rozsądek.

 

A ja z kolei obstaję za tymi 52% procentami. To fakt, że zdrowy rozsądek to podstawa. Ale w przypadku IE było i nadal znajduje się mnóstwo błędów, przy których wystarczy jedynie wejść na odpowiednio spreparowaną stronę, aby zarazić swój komputer.

 

Nie wiem co jest z tymi osobami, które zajmują się programowaniem IE, ale jak można oczekiwać od nich, że będą dbali o bezpieczeństwo, jak olewają błędy, o których wiadomo od dawna. Przykład pierwszy z brzegu, wyświetlanie przeźroczystych plików PNG. Błąd ten ciągnął się od wersji IE5 do IE8. Nie wiem jak w nowszych IE. Tak samo z interpretacją kodu HTML czy CSS. Co prawda nie są to błędy krytyczne, ale wkurzają chyba wszystkich webmasterów. Nie można praktycznie stosować niektórych użytecznych konstrukcji przy projektowaniu strony, bo IE, które jest używane przez ok. 50% użytkowników, ich po prostu nie obsłuży, albo zrobi to inaczej niż opisano w standardach, czyli inaczej niż zrobią to inne przeglądarki. Trzeba mieć listę rzeczy, których nie można zrobić ze względu na niepoprawne obsługiwanie ich w IE.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie wiem co jest z tymi osobami, które zajmują się programowaniem IE, ale jak można oczekiwać od nich, że będą dbali o bezpieczeństwo, jak olewają błędy, o których wiadomo od dawna. Przykład pierwszy z brzegu, wyświetlanie przeźroczystych plików PNG. Błąd ten ciągnął się od wersji IE5 do IE8. Nie wiem jak w nowszych IE. Tak samo z interpretacją kodu HTML czy CSS. Co prawda nie są to błędy krytyczne, ale wkurzają chyba wszystkich webmasterów.

 

Akurat odmienne interpretowanie standardów nie prowadzi do luk bezpieczeństwa. Błędy (a raczej brak obsługi) z PNG i kanałem alpha występowały w wersjach 5.5 i 6, aczkolwiek zostały opracowane odpowiednie środki zaradcze dla webmasterów i dość łatwo ten problem zniwelować (użycie filtru). Jedyną jego tragedią jest CSS, ale to już inna bajka.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

@marc: wcale nie muszą być tak samo projektowane. Każdy program zawiera błędy. I im jest bardziej popularny oraz bardziej "na zewnątrz", tym chętniej błędy będą w nim szukane.

Olbrzymia liczba użytkowników i tak nie stosuje łat. Gdy np. piszę o wielkich botnetach, do których należą miliony komputerów, to najczęściej okazuje się, że zostały one dołączone do botnetu dzięki oprogramowaniu, które wykorzystuje lukę załataną pół roku czy rok wcześniej.

Ludzie generalnie nie stosują luk, klikają na linki, kŧóre przychodzą do nich pocztą i to jest główna przyczyna.

Liczba dziur czy prędkość ich łatania ma, moim zdaniem, drugorzędne znaczenie. Najważniejsza jest popularność danego oprogramowania no i rozsądek użytkowników. Ale ten drugi czynnik jest zapewne stały w populacji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Nawet te dziury w IE' date=' które pozwoliły na zaatakowanie Google'a i innych, wymagały, by użytkownik klinął na przesłane mu linki.[/quote']

Akurat w tym przypadku świadomość nie klikania w podejrzane linki może być niewystarczająca aby się urchronić - złośliwy link można umieścić na bezpiecznej stronie i w takim przypadku stanie się wiarygodny. Przykład ? http://wsad.it/gosc/zakop_auto_w_sniegu-jpg

 

Dodam że dzięki powszechnym błędom w stronach www takie linki mogą być zupełnie niewidoczne i wejście na wiarygodną stronę samoczynnie powoduje ich uruchomienie (za pomocą ajax, iframe,...)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Opera turbo + cFosSpeed na ADSL i szybkiego czytania, a Firefox do oglądania stream'owanego "syfu" AV czy dawania komentarzy bez coockies (wtedy moderator tylko widzi host'a i IP - jeśli zBLOCkuje to zmiana nazwy i restarcik kompo-grata.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

@marc: wcale nie muszą być tak samo projektowane. Każdy program zawiera błędy. I im jest bardziej popularny oraz bardziej "na zewnątrz", tym chętniej błędy będą w nim szukane.

Toc o tym ja pisze, Mariuszu. Zakwestionowalem punkt widzenia tych 20%. Uwazam podobnie do ciebie. Inna jednak rzecza jest jakosc i dostepnosc kodu, a ten aspekt jest nie do przecenienia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Akurat odmienne interpretowanie standardów nie prowadzi do luk bezpieczeństwa.

 

Ja tego nie napisałem. Wyraziłem opinię, że nie ma co liczyć na bezpieczną przeglądarkę, jeśli programiści nie poprawiają znanych już od kilku lat błędów. To nie niewiedza czy nieświadomość programistów powoduje tyle luk bezpieczeństwa w IE tylko ich mentalność.

 

 

 

aczkolwiek zostały opracowane odpowiednie środki zaradcze dla webmasterów i dość łatwo ten problem zniwelować

 

Każdy problem można jakoś obejść. Tylko po co robić problemy? Albo nawet skoro wie się o jakimś problemie ze swoim produktem, to dlaczego się go przez tyle czasu nie naprawia?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Każdy problem można jakoś obejść. Tylko po co robić problemy? Albo nawet skoro wie się o jakimś problemie ze swoim produktem, to dlaczego się go przez tyle czasu nie naprawia?

 

Ale to nie jest błąd, tylko brak obsługi tej funkcjonalności. Nie można się spodziewać, że producent oprogramowania będzie dodawał wodotryski do wersji, które już tylko podlegają konserwacji i poprawianiu ewentualnych błędów. Niestety MS sam sobie szkodzi wciąż wspierając wersje retro. Mimo wszystko choć progres jest, to są oni jednak w tyle.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ale to nie jest błąd, tylko brak obsługi tej funkcjonalności.

 

No to już można polemizować czy nieprzestrzeganie ustalonych standardów, albo niepełna obsługa trzeciego z najbardziej popularnych internetowych formatów graficznych są błędami czy tylko zbędnymi wodotryskami. Z punktu widzenia zwykłych użytkowników, czyli większości, jest to bez znaczenia. Ale te wszystkie drobiazgi blokują możliwość używania nowoczesnych rozwiązań. Choćby CSS2, dla IE8 jest on nowoczesny.

 

Tak wiem, istnieją hacki i inne obejścia, ale to nie tak powinno wyglądać w najbardziej popularnej przeglądarce. Gdyby nie to, że większość ludzi jej używa, nikt by się nie przejmował jakąś tam brakującą funkcjonalnością. To powinien być problem twórców przeglądarki żeby poprawnie wyświetlała strony, a nie twórców stron żeby dobrze wyglądały w wadliwej przeglądarce.

 

 

Nie można się spodziewać, że producent oprogramowania będzie dodawał wodotryski do wersji, które już tylko podlegają konserwacji i poprawianiu ewentualnych błędów.

 

Nikt tego nie oczekuje. Kiedy błąd został wykryty (piszę o PNG), to nie były jeszcze wersje retro. I jeszcze długo, bo chyba przez 10 lat, mimo wiedzy o o nim, nie poprawiano go.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Apple zamknie lukę, która pozwala organom ścigania na zdobycie informacji osobistych z zablokowanego iPhone'a. Dziura zostanie załatana wraz z najbliższą aktualizacją iOS-a.
      Po jej naprawieniu nie będzie już możliwe pobranie danych przez port Lightning. Nadal będzie on wykorzystywany do transferu danych, jednak jeśli w ciągu godziny po zablokowaniu telefonu urządzenie nie zostanie odblokowane za pomocą hasła, transfer danych zostanie wyłączony.
      To właśnie tę dziurę wykorzystano podczas głośnego włamania do iPhone'a mordercy z San Bernardino. Po odmowie współpracy ze strony Apple'a, FBI wynajęło nieujawnioną dotychczas firmę, która wydobyła dane z zablokowanego telefonu.
      Postawa Apple'a, które odmówiło FBI pomocy przy zdobyciu danych z telefonu terrorysty, wywołała dyskusję na temat kwestii prawnych, etycznych i technicznych. Koncern został ostro skrytykowany m.in. przez kandydata na prezydenta, Donalda Trumpa.
      Teraz firma jeszcze bardziej zwiększy bezpieczeństwo swoich urządzeń i utrudni tym samym organom ścigania dostęp do telefonów przestępców. Dyrektor wykonawczy Apple'a Tim Cook stwierdził, że prawo do prywatności jest podstawowym prawem człowieka i skrytykował Facebooka oraz Google'a za przechowywanie i przetwarzanie w celach marketingowych olbrzymich ilości dancyh swoich użytkowników. Sprzeciwiał się też próbom uzyskania przez FBI dostępu do iPhone'a terrorysty z San Bernardino twierdząc, że stworzyłoby to niebezpieczny precedens.
      Nie wiadomo, dlaczego Apple tak długo zwlekało z załataniem dziury, która była znana organom ścigania i, prawdopodobnie, przestępcom.

      « powrót do artykułu
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...