IE8 blir sikrere

[Avean]

Å installere en tredjeparts nettleser når IE er integrert i Windows er bak mål.

Jeg vil si det motsatte, å ha en nettleser integrert i Windows er bak mål, blant annet av sikkerhetsmessige årsaker.

 

Da utfordrer jeg deg til å forklare hvilke sikkerhetsmessige årsaker ? Siste 10-årene har jeg hatt 0 virus, 0 spyware og 0 angrep fra hackere. Så gjerne forklar meg hvorfor det skal være så veldig usikkert. Isåfall burde det være et stort problem da 95% av databrukere faktisk sitter med Windows

[Bolson]

Å installere en tredjeparts nettleser når IE er integrert i Windows er bak mål.

Jeg vil si det motsatte, å ha en nettleser integrert i Windows er bak mål, blant annet av sikkerhetsmessige årsaker.

 

Da utfordrer jeg deg til å forklare hvilke sikkerhetsmessige årsaker ? Siste 10-årene har jeg hatt 0 virus, 0 spyware og 0 angrep fra hackere. Så gjerne forklar meg hvorfor det skal være så veldig usikkert. Isåfall burde det være et stort problem da 95% av databrukere faktisk sitter med Windows

 

Og det er faktisk et betydelig problem, selv om du er så heldig at du ikke er angrepet noen gang (er du faktisk sikker). Botnet, spamutsendelser, distribusjon av trojanere etc skjer nesten utelukkende fra PC-er med kombinasjonen Windows og IE6 eller eldre. Og ikke kom med argumentet at utbredelse er årsaken, det har betydning, men hadde IE hatt en korrekt og brukbar sikkerhetsmodel så ville dette aldri blitt et problem.

 

Problem 1: IE er sterkt integrert med andre deler av Windows OS-et, f.eks. utforsker. Funksjonalitetsmessig er dette sikkert bra, men sikkerhetsmessig kan det være katastrofe, fordi en feil i deler av nettleser kan gi den fulle tilgang til systemet som f.eks utforsker gir. Særlig ActiveX sine potensielle feil var ille i denne sammenheng. Når adminbruker i tillegg er standard i f.eks XP er man virkelig ille ut å kjøre. Dette ser man tydelig når man leser CERT-US, Secunia og andre som jobber med sikkerhet. Sikkerhetshull relatert til IE er i mange tilfeller hull i selve Windows. Sikkerhetsmessig bør applikasjoner ikke ha tilgang til OS-et mer enn høyst nødvendig, og tilgangen bør gjøres slik at potensielle sikkerhetshull kan gjøre minimalt med skade.

 

Problem 2: IE, i alle fall fram til versjon 7 har brukt en sikkerhetsfilosfi der sikkerhet er brukers ansvar, eksempler er at exe filer kan kjøres direkte, samt at du selv må definere sikkerhet. F.eks Fx gir deg faktisk ikke den muligheten og har filosofien at sikkerhet ikke bare er brukers ansvar, nettleser skal være så sikker som mulig i utgangspunktet. Jeg vil si at IE har laget en model for å kunne kjøre "applikasjoner" i lukkede miljøer, som egentlig har som konsekvens at flertallet av brukere kjører usikker modus alltid.

 

Problem 3: Patching av sikkerhetsfeil i IE har tradisjonelt tatt for lang tid. Når 45 % av brukere av IE, heller ikke kjører med siste versjon, dvs IE7, er problemet virkelig til stede.

 

Kombinasjonen av disse tre problemområdene gjør således IE til en "potensiell bombe" i langt større grad enn Firefox, Opera og Safari. Derfor er det mange av oss som mener at den eneste måte å gjøre IE sikker på er å gjøre det til en "separat" applikasjon.

[plankeby]

Tror nok at hvis IE skal nærme seg sikkerthet burde de fjerne hele activeX tullet.

 

Jeg har ikke forstått poenget med activeX tullet fra Microsoft....

[dizx]

Tror nok at hvis IE skal nærme seg sikkerthet burde de fjerne hele activeX tullet.

 

Jeg har ikke forstått poenget med activeX tullet fra Microsoft....

 

ActiveX er ikke noe tull. Alle byggeklossene i Windows er ActiveX. Dette er dll-filer, som er funksjons-biblioteker, gjerne med grensesnitt. Bruker du et Windows program som har en knapp, eller en grid er dette ActiveX'er utviklet av MS eller andre.

Dette er utrolig praktisk i forretningssammenheng, da man kan skrive en webapplikasjon som samhandler med lokale ting på brukerens pc.

Problemet oppsto selvfølgelig når man begynte og utnytte dette, og skrive ondsinnende ActiveX'er, med fulle adminrettigheter på systemet.

[hernil]

ActiveX er ikke noe tull. Alle byggeklossene i Windows er ActiveX. Dette er dll-filer, som er funksjons-biblioteker, gjerne med grensesnitt. Bruker du et Windows program som har en knapp, eller en grid er dette ActiveX'er utviklet av MS eller andre.

Dette er utrolig praktisk i forretningssammenheng, da man kan skrive en webapplikasjon som samhandler med lokale ting på brukerens pc.

Problemet oppsto selvfølgelig når man begynte og utnytte dette, og skrive ondsinnende ActiveX'er, med fulle adminrettigheter på systemet.

Problemet oppstår nettopp når man gjennom nettleseren (som i IE sitt tilfelle er utrolig nært knyttet til selve OS-et) får såpass enkel tilgang til den lokale datamaskinen. Dessuten utelukker disse løsningene konkurrentene da jeg antar det ikke er snakk om åpne standarder(?)

[DarkSlayer]

Nei savner et open source activex lib alternativ hehe. Tviler på at det lar seg gjøre.