Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Ponad połowa (52%) osób, które wzięły udział w ankiecie firmy Sophos uznała, że należy w ogóle porzucić Internet Explorera, by czuć się bezpiecznym. Jednak 20% nie zgadza się z tą opinią twierdząc, że zmiana przeglądarki nie zwiększa bezpieczeństwa, gdyż wszystkie programy zawierają dziury. Kolejne 15% uznało, że zmiana programu nie uchroni przed niebezpieczeństwem, którego można uniknąć wykorzystując oprogramowanie zabezpieczające i zdrowy rozsądek. Pozostałe 14% stwierdziło, że czasowe porzucenie IE może być dobrym rozwiązaniem.

Graham Cluley z Sophosa ostrzega pracowników firm, by samodzielnie nie podejmowali decyzji o zmianie przeglądarki. Jeśli wasz wydział IT nie wspiera oficjalnie innej przeglądarki, a wy nie macie doświadczenia w korzystaniu z alternatyw, możecie spowodować sporo problemów, jeśli zaczniecie używać innego oprogramowania. Wykorzystywane w firmie aplikacje sieciowe mogą nie działać prawidłowo lub w ogóle nie pracować pod innymi przeglądarkami. To źle odbije się na waszej pracy. Poza tym, co zrobicie, gdy inna przeglądarka też będzie zawierała błędy? Znowu ją zmienicie? Radzę, byście rezygnowali z IE tylko wówczas, gdy naprawdę wiecie, co robicie - stwierdził Cluley.

Tymczasem Microsoft obiecuje, że wyda poprawkę do IE poza zwyczajowym comiesięcznym cyklem. Dziura, która pozwoliła na zaatakowanie Google'a i innych firm, istnieje w IE 6, 7 oraz 8. Na razie wykorzystywane jest tylko podczas sporadycznych, bardzo precyzyjnych ataków na użytkowników IE 6, chociaż ukazał się już prototypowy szkodliwy kod dla IE 7.

Share this post


Link to post
Share on other sites

Fakt, w firmach to może być nieco problematyczne, ale nic nie stoi na przeszkodzie, by jeśli faktycznie są problemy z aplikacjami firmowymi używać IE, a do wyszukiwania materiałów innych, bezpieczniejszych przeglądarek. Argument z błędami jest śmieszny. Błędów nie da się uniknąć i są one zawsze wliczone w ryzyko, zwłaszcza w skomplikowanych aplikacjach. Chyba wszystkie rodziny przeglądarek zaliczają po drodze różne wpadki. Celem jest to, by ich ilość zminimalizować i by nie były krytyczne, czego niestety o IE nie można powiedzieć.

 

PS. Tylko mi wychodzi 101%? :D

Share this post


Link to post
Share on other sites

Nie, mi też tyle wychodzi :D Wystarczy, że każdą wartość nieco zaokrąglono.

Ja się zgadzam z tymi 15%. Bez względu na to, jakiego programu się używa, najważniejszym zabezpieczeniem jest własny rozsądek. Nawet te dziury w IE, które pozwoliły na zaatakowanie Google'a i innych, wymagały, by użytkownik klinął na przesłane mu linki.

Share this post


Link to post
Share on other sites
Jednak 20% nie zgadza się z tą opinią twierdząc, że zmiana przeglądarki nie zwiększa bezpieczeństwa, gdyż wszystkie programy zawierają dziury.

No tak, ale wylacznie przy "komunistycznym" i niezbyt rozsadnym zalozeniu, ze wszystkie programy sa tak samo projektowane, pisane i maja tyle samo dziur :D

To falszowanie rzeczywistosci.

 

Graham Cluley z Sophosa ostrzega pracowników firm, by samodzielnie nie podejmowali decyzji o zmianie przeglądarki. Jeśli wasz wydział IT nie wspiera oficjalnie innej przeglądarki, a wy nie macie doświadczenia w korzystaniu z alternatyw, możecie spowodować sporo problemów, jeśli zaczniecie używać innego oprogramowania. Wykorzystywane w firmie aplikacje sieciowe mogą nie działać prawidłowo lub w ogóle nie pracować pod innymi przeglądarkami. To źle odbije się na waszej pracy. Poza tym, co zrobicie, gdy inna przeglądarka też będzie zawierała błędy? Znowu ją zmienicie? Radzę, byście rezygnowali z IE tylko wówczas, gdy naprawdę wiecie, co robicie - stwierdził Cluley.

No tak, idiota zrobi sobie krzywde nawet gumowa pilka.

Share this post


Link to post
Share on other sites

Bez względu na to, jakiego programu się używa, najważniejszym zabezpieczeniem jest własny rozsądek.

 

A ja z kolei obstaję za tymi 52% procentami. To fakt, że zdrowy rozsądek to podstawa. Ale w przypadku IE było i nadal znajduje się mnóstwo błędów, przy których wystarczy jedynie wejść na odpowiednio spreparowaną stronę, aby zarazić swój komputer.

 

Nie wiem co jest z tymi osobami, które zajmują się programowaniem IE, ale jak można oczekiwać od nich, że będą dbali o bezpieczeństwo, jak olewają błędy, o których wiadomo od dawna. Przykład pierwszy z brzegu, wyświetlanie przeźroczystych plików PNG. Błąd ten ciągnął się od wersji IE5 do IE8. Nie wiem jak w nowszych IE. Tak samo z interpretacją kodu HTML czy CSS. Co prawda nie są to błędy krytyczne, ale wkurzają chyba wszystkich webmasterów. Nie można praktycznie stosować niektórych użytecznych konstrukcji przy projektowaniu strony, bo IE, które jest używane przez ok. 50% użytkowników, ich po prostu nie obsłuży, albo zrobi to inaczej niż opisano w standardach, czyli inaczej niż zrobią to inne przeglądarki. Trzeba mieć listę rzeczy, których nie można zrobić ze względu na niepoprawne obsługiwanie ich w IE.

Share this post


Link to post
Share on other sites

Nie wiem co jest z tymi osobami, które zajmują się programowaniem IE, ale jak można oczekiwać od nich, że będą dbali o bezpieczeństwo, jak olewają błędy, o których wiadomo od dawna. Przykład pierwszy z brzegu, wyświetlanie przeźroczystych plików PNG. Błąd ten ciągnął się od wersji IE5 do IE8. Nie wiem jak w nowszych IE. Tak samo z interpretacją kodu HTML czy CSS. Co prawda nie są to błędy krytyczne, ale wkurzają chyba wszystkich webmasterów.

 

Akurat odmienne interpretowanie standardów nie prowadzi do luk bezpieczeństwa. Błędy (a raczej brak obsługi) z PNG i kanałem alpha występowały w wersjach 5.5 i 6, aczkolwiek zostały opracowane odpowiednie środki zaradcze dla webmasterów i dość łatwo ten problem zniwelować (użycie filtru). Jedyną jego tragedią jest CSS, ale to już inna bajka.

Share this post


Link to post
Share on other sites

@marc: wcale nie muszą być tak samo projektowane. Każdy program zawiera błędy. I im jest bardziej popularny oraz bardziej "na zewnątrz", tym chętniej błędy będą w nim szukane.

Olbrzymia liczba użytkowników i tak nie stosuje łat. Gdy np. piszę o wielkich botnetach, do których należą miliony komputerów, to najczęściej okazuje się, że zostały one dołączone do botnetu dzięki oprogramowaniu, które wykorzystuje lukę załataną pół roku czy rok wcześniej.

Ludzie generalnie nie stosują luk, klikają na linki, kŧóre przychodzą do nich pocztą i to jest główna przyczyna.

Liczba dziur czy prędkość ich łatania ma, moim zdaniem, drugorzędne znaczenie. Najważniejsza jest popularność danego oprogramowania no i rozsądek użytkowników. Ale ten drugi czynnik jest zapewne stały w populacji.

Share this post


Link to post
Share on other sites
Nawet te dziury w IE' date=' które pozwoliły na zaatakowanie Google'a i innych, wymagały, by użytkownik klinął na przesłane mu linki.[/quote']

Akurat w tym przypadku świadomość nie klikania w podejrzane linki może być niewystarczająca aby się urchronić - złośliwy link można umieścić na bezpiecznej stronie i w takim przypadku stanie się wiarygodny. Przykład ? http://wsad.it/gosc/zakop_auto_w_sniegu-jpg

 

Dodam że dzięki powszechnym błędom w stronach www takie linki mogą być zupełnie niewidoczne i wejście na wiarygodną stronę samoczynnie powoduje ich uruchomienie (za pomocą ajax, iframe,...)

Share this post


Link to post
Share on other sites

Opera turbo + cFosSpeed na ADSL i szybkiego czytania, a Firefox do oglądania stream'owanego "syfu" AV czy dawania komentarzy bez coockies (wtedy moderator tylko widzi host'a i IP - jeśli zBLOCkuje to zmiana nazwy i restarcik kompo-grata.

Share this post


Link to post
Share on other sites

@marc: wcale nie muszą być tak samo projektowane. Każdy program zawiera błędy. I im jest bardziej popularny oraz bardziej "na zewnątrz", tym chętniej błędy będą w nim szukane.

Toc o tym ja pisze, Mariuszu. Zakwestionowalem punkt widzenia tych 20%. Uwazam podobnie do ciebie. Inna jednak rzecza jest jakosc i dostepnosc kodu, a ten aspekt jest nie do przecenienia.

Share this post


Link to post
Share on other sites

Akurat odmienne interpretowanie standardów nie prowadzi do luk bezpieczeństwa.

 

Ja tego nie napisałem. Wyraziłem opinię, że nie ma co liczyć na bezpieczną przeglądarkę, jeśli programiści nie poprawiają znanych już od kilku lat błędów. To nie niewiedza czy nieświadomość programistów powoduje tyle luk bezpieczeństwa w IE tylko ich mentalność.

 

 

 

aczkolwiek zostały opracowane odpowiednie środki zaradcze dla webmasterów i dość łatwo ten problem zniwelować

 

Każdy problem można jakoś obejść. Tylko po co robić problemy? Albo nawet skoro wie się o jakimś problemie ze swoim produktem, to dlaczego się go przez tyle czasu nie naprawia?

Share this post


Link to post
Share on other sites

Każdy problem można jakoś obejść. Tylko po co robić problemy? Albo nawet skoro wie się o jakimś problemie ze swoim produktem, to dlaczego się go przez tyle czasu nie naprawia?

 

Ale to nie jest błąd, tylko brak obsługi tej funkcjonalności. Nie można się spodziewać, że producent oprogramowania będzie dodawał wodotryski do wersji, które już tylko podlegają konserwacji i poprawianiu ewentualnych błędów. Niestety MS sam sobie szkodzi wciąż wspierając wersje retro. Mimo wszystko choć progres jest, to są oni jednak w tyle.

Share this post


Link to post
Share on other sites

Ale to nie jest błąd, tylko brak obsługi tej funkcjonalności.

 

No to już można polemizować czy nieprzestrzeganie ustalonych standardów, albo niepełna obsługa trzeciego z najbardziej popularnych internetowych formatów graficznych są błędami czy tylko zbędnymi wodotryskami. Z punktu widzenia zwykłych użytkowników, czyli większości, jest to bez znaczenia. Ale te wszystkie drobiazgi blokują możliwość używania nowoczesnych rozwiązań. Choćby CSS2, dla IE8 jest on nowoczesny.

 

Tak wiem, istnieją hacki i inne obejścia, ale to nie tak powinno wyglądać w najbardziej popularnej przeglądarce. Gdyby nie to, że większość ludzi jej używa, nikt by się nie przejmował jakąś tam brakującą funkcjonalnością. To powinien być problem twórców przeglądarki żeby poprawnie wyświetlała strony, a nie twórców stron żeby dobrze wyglądały w wadliwej przeglądarce.

 

 

Nie można się spodziewać, że producent oprogramowania będzie dodawał wodotryski do wersji, które już tylko podlegają konserwacji i poprawianiu ewentualnych błędów.

 

Nikt tego nie oczekuje. Kiedy błąd został wykryty (piszę o PNG), to nie były jeszcze wersje retro. I jeszcze długo, bo chyba przez 10 lat, mimo wiedzy o o nim, nie poprawiano go.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Apple zamknie lukę, która pozwala organom ścigania na zdobycie informacji osobistych z zablokowanego iPhone'a. Dziura zostanie załatana wraz z najbliższą aktualizacją iOS-a.
      Po jej naprawieniu nie będzie już możliwe pobranie danych przez port Lightning. Nadal będzie on wykorzystywany do transferu danych, jednak jeśli w ciągu godziny po zablokowaniu telefonu urządzenie nie zostanie odblokowane za pomocą hasła, transfer danych zostanie wyłączony.
      To właśnie tę dziurę wykorzystano podczas głośnego włamania do iPhone'a mordercy z San Bernardino. Po odmowie współpracy ze strony Apple'a, FBI wynajęło nieujawnioną dotychczas firmę, która wydobyła dane z zablokowanego telefonu.
      Postawa Apple'a, które odmówiło FBI pomocy przy zdobyciu danych z telefonu terrorysty, wywołała dyskusję na temat kwestii prawnych, etycznych i technicznych. Koncern został ostro skrytykowany m.in. przez kandydata na prezydenta, Donalda Trumpa.
      Teraz firma jeszcze bardziej zwiększy bezpieczeństwo swoich urządzeń i utrudni tym samym organom ścigania dostęp do telefonów przestępców. Dyrektor wykonawczy Apple'a Tim Cook stwierdził, że prawo do prywatności jest podstawowym prawem człowieka i skrytykował Facebooka oraz Google'a za przechowywanie i przetwarzanie w celach marketingowych olbrzymich ilości dancyh swoich użytkowników. Sprzeciwiał się też próbom uzyskania przez FBI dostępu do iPhone'a terrorysty z San Bernardino twierdząc, że stworzyłoby to niebezpieczny precedens.
      Nie wiadomo, dlaczego Apple tak długo zwlekało z załataniem dziury, która była znana organom ścigania i, prawdopodobnie, przestępcom.

      « powrót do artykułu
    • By Anna Błońska
      Członkowie Studenckiego Koła Naukowego Terapii Genowej przy Katedrze i Zakładzie Genoterapii Collegium Medicum im. Ludwika Rydygiera w Bydgoszczy, UMK w Toruniu prowadzą badanie populacyjne pt. "Tabaka w Polsce – skala zjawiska i jego wpływ na stan ludzkiego zdrowia". Można im pomóc, wypełniając ankietę. Poproszono nas o pomoc w jej rozpropagowaniu, co niniejszym czynimy
       
      A to link do kwestionariusza:
      https://docs.google.com/forms/d/1w_7RhraKybHwpiDhfxe8ft1J8t1c7_W42c7fV14DKyo/viewform
×
×
  • Create New...