http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/Wpisy z dziennika internetowego Jogger, wspomaganego przez JabberaThu, 17 May 2012 08:33:43 +0200JoggerPLhttp://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491661Wczoraj wieczorem Microsoft wdał w przyśpieszonym tempie krytyczną poprawkę dla Internet Explorera łatającą podatność na działanie exploitu Aurora. Tym samym liczba niezałatanych luk IE w Windows XP i nowszych, zmiesza się o jeden względem informacji zawartych we wpisie.Fri, 22 Jan 2010 11:17:25 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491661http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491828Microsoft załatał jedną dziurę, Internet Explorer wciąż dziurawy jak sito Przez ostatnie kilka dni europejskie rządy zalecały porzucenie Internet Explorera (do czasu wydania przez Microsoft odpowiednich poprawek bezpieczeństwa, co miało miejsce wczoraj wieczorem). W tym samym czasie Cliff Evans, szef działu Security [...] Czytaj dalej...Fri, 22 Jan 2010 17:24:27 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491828http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491950Drogi autorze - albo celowo klamiesz siejac FUD, albo faktycznie nie wiesz, ze porownywanie samych cyferek z Secunii jest bezcelowe. Z dwoch powodow - po pierwsze, "krytycznosc" podaje sam producent - wiec jesli chce, to moze zanizyc; przykladowo wiele dziur w Linuksie jest opisywanych jako DoS, mimo ze w rzeczywistosci jest to privilege elevation. Po drugie, czesto jako dziura jest kwalifikowane cos bez wiekszego znaczenia - w tym przypadku, niezalatane dziury w MSIE 8 pozwalaja na ujawnienie loginu uzytkownika i nadpisanie fragmentu wyswietlanego URL-a. Fri, 22 Jan 2010 21:17:51 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491950http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491958trasz: Bezcelowe jest porównywanie samego IE, do jego luk należy doliczyć jeszcze wszystkie dziury związane z ActiveX (ich liczba rośnie wówczas kilkunastokrotnie, wciąż będziesz twierdził, że IE jest bezpieczną przeglądarką?).Fri, 22 Jan 2010 21:27:40 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1491958http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492021Hm... mając na względzie dotychczasową nieudolność Microsoftu w zapewnieniu bezpieczeństwa systemu, wydaje mi się to całkiem prawdopodobne. Od dłuższego czasu próbuję zbierać materiały dot. kłamstw publikowanych przez tą korporację. (nie)bezpieczeństwo przeglądarek na pewno się w nim znajdzie! pozdrawiam i zapraszam do siebie Fri, 22 Jan 2010 22:51:42 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492021http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492107@Grzglo: ActiveX jest domyslnie wylaczone. Poza tym czy ja ci do dziur w Firefoksie doliczam dziury we Flashu i Javie, domyslnie wlaczonych? Sat, 23 Jan 2010 09:42:44 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492107http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492191trasz: To zależy od ustawień konkretnej wersji Windows i Internet Explorera. Pod Windows XP z IE6 na 100% są włączone, nie wiem jak z resztą. Dziury we Flashu czy Javie pośrednio dotykają wszystkich przeglądarek, zaś w ActiveX tylko IE. Nie zależnie od kryteriów, w konkursie na najbardziej dziurawą przeglądarkę IE zawsze wygrywa. Sat, 23 Jan 2010 13:23:14 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492191http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492192@trasz: po pierwsze. Czy mozesz podac zrodlo na podstawie ktorego twierdzisz, ze krytycznosc okresla sam producent? Z tego co wiem, w przypadku Mozilli dosc czesto nie zgadzamy sie z Secunia co do poziomu krytycznosci luk w Firefoksie, i nie pamietam, aby Secunia zmniejszyla krytycznosc ze wzgledu na nasza opinie. No i... piszesz, ze jako dziura kwalifikowane jest cos bez znaczenia. To Microsoft tak to kwalifikuje, czy moze jednak Secunia? Po drugie. Mysle, ze jesli istnieje problem z raportami secunii, to jest on raczej wynikiem tego, ze publikuje ona jedynie upublicznione luki. Tymczasem taki producent jak Microsoft moze, bez zadnego problemu, ukrywac luki znalezione przez siebie i nie informowac o nich ani w formie raportu, ani w informacjach o wydaniu poprawek. Zatem de facto nie wiemy ile luk, znanych Microsoftowi, ma MSIE. Pozwole sobie jeszcze raz podlinkowac tlumaczenie artykulu o pakiecie SEC: Mierzmy to co się liczy – pakiet SEC.Sat, 23 Jan 2010 13:33:12 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492192http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492205 Wystarczy pogadac z ludzmi z Secunii. Nie wiem, z jakiego powodu z Firefoksem tak to nie dziala, ale w wiekszosci znanych mi przypadkow Secunia bierze po prostu advisory - napisane przez kogos innego - i wrzuca je do bazy. Nie bawia sie w analize. Zwykle kwalifikuje ten, kto pierwszy napisze advisory, ktore zobacza goscie z Secunii. Dokladnie to saom ukrywanie znalezionych przez siebie luk zdarza sie w swiecie open source. Historia zna takie przypadki i z Linuksa, i z OpenBSD, i pewnie z masy innych projektow - a zna tylko dlatego, ze raz na iles przypadkow developerom nie udalo sie zamiesc problemu pod dywan. Czasami dzieje sie to niechcacy (trudno okreslic, czy cos jest problemem z bezpieczenstwem, czy nie), czasami pewnie celowo. Ot, kwestia zaufania. Sat, 23 Jan 2010 14:00:51 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492205http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492220Przeredagowałem wpis, porządkując zestawienia danych na temat poziomu bezpieczeństwa przeglądarek internetowych z Secunii. Sat, 23 Jan 2010 14:45:40 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492220http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492390Robię wieczorny przegląd prasy i aż przecieram oczy ze zdziwienia! Niebezpiczenik.pl pisze, że Microsoft wiedział o błędzie, za pomocą którego Chińczykom udało się włamać do Google, od prawie pół roku! Tragifarsa. Nie chcę dłużej dyskutować, nad poziomem bezpieczeństwa IE czy rzetelnością Microsoftu. Myślę, że to mówi samo za siebie o tym, jak Microsoftu traktuje bezpieczeństwo użytkowników - Microsoft wiedział o błedzie w IE od sierpnia 2009. Sat, 23 Jan 2010 23:03:01 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492390http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492436@trasz: Jeszcze raz. Możesz podać źródło danych do tego zdania: "ale w wiekszosci znanych mi przypadkow Secunia bierze po prostu advisory - napisane przez kogos innego - i wrzuca je do bazy. Nie bawia sie w analize.". Powtarzam. Z całej historii mojej pracy z secunią nigdy nie widziałem, aby czekali z ujawnianiem na kontakt z nami. Widziałem wiele razy jak czekali na Operę (tzn. dziury pojawiały się na secunii w dniu wydania następnej wersji Opery która je łatała). W przypadku Firefoksa twierdzę, że dziury secunia publikuje na podstawie zgłoszeń od znalazców i jest to niezależne od naszych działań. Zdziwiłbym się, gdyby okazało się, że Microsoft sam dostarcza Secunii informacje o lukach kiedy mu wygodnie i jeszcze opisuje jak je należy traktować. To by oznaczało coś bardzo przykrego dla wiarygodności i "równości traktowania" przez secunię. Czasami dzieje sie to niechcacy (trudno okreslic, czy cos jest problemem z bezpieczenstwem, czy nie), czasami pewnie celowo. Ot, kwestia zaufania. Mozesz wskazac przyklady i zrodla? Nie twierdze, ze sie mylisz. Nie znam sie. Jedno co moge zagwarantować, to że Mozilla respektuje ustanowioną przez siebię politykę publikacji informacji o lukach bezpieczeństwa i w efekcie jej twierdzę, że nigdy, żadna luka bezpieczeństwa nie została nie ujawniona. Jeśli to wyjątkowy przypadek, to tym bardziej jestem dumny z tego jak my operujemy na błędach bezpieczeństwa i jak je łatamy. Sun, 24 Jan 2010 01:00:00 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492436http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492459A już miało być tak fajnie, wszyscy rzucają precz IE6 i świat staje się lepszy... ech... W tym wypadku, gdyby M$ zamiótł sprawę pod dywan, moim zdaniem lepiej by na tym wyszedł, niż kłamiąc bezczelnie o bezpieczeństwie IE. Tym bardziej, że ten "argument" obaliłby z miejsca każdy użytkownik korzystający z cywilizowanej przeglądarki, więc kogo oni chcą oszukać? chyba samych siebie. Na koniec mogę przytoczyć [z pamięci] pewien kawał: "Pytanie: Która przeglądarka jest najnowocześniejsza? Odpowiedź: Oczywiście MSIE! No bo która z nich wprowadziła w tym roku obsługę CSS2?". ;] Sun, 24 Jan 2010 04:49:15 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492459http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492511@gandalf: Nie napisalem, ze Secunia zawsze czeka na kontakt. Napisalem, ze Secunia zwykle bierze pierwsze advisory - niekoniecznie pierwsze advisory od producenta - i wrzuca je na strone. Zwykle nie wnikaja glebiej w problem. Co do nierownosci w traktowaniu - sam podales przyklad Opery. Secunia jest o tyle OK, ze poprawnie zlicza advisories. Na tym sie jej wiarygodnosc imho konczy. Ot, taka linkownia, zeby miec wszystko w jednym miejscu. A co do okreslania, czy cos jest dziurą, czy nie - chodzi mi o sytuacje, gdy poprawiasz blad i nie jestes w stanie z odpowiednio duza pewnoscia stwierdzic, czy jest eksploitowalny, czy nie. Pojecia nie mam, jak to wyglada w przegladarkach, ale o wystepowaniu tego problemu w Linuksie wspomina sie na przyklad tu: http://slo-tech.com/clanki/10001en/ Sun, 24 Jan 2010 10:55:50 +0100http://grzglo.jogger.pl/2010/01/21/microsoft-klamie-na-temat-bezpieczenstwa-przegladarek-intern/#c1492511