A Microsoft szerint növeli a rizikót az alternatív böngészőre váltás

Internet, Közösségi média

Az elmúlt héten a német és a francia nemzeti IT biztonsági hivatal is közzétett egy-egy figyelmeztetőt, amelyben az volt olvasható, hogy a nemrég felfedezett IE use-after-free sebezhetőség javításáig ajánlott alternatív böngészőre váltani. A Microsoft nem ért ezzel egyet. Az Egyesült Királyság kormányzata sem.

A redmondi vállalat szerint az IE8 még így is jobb, mint a Mozilla Firefox. A TechRadar-nak nyilatkozott Cliff Evans, a Microsoft Egyesült Királyság-beli kirendeltségének biztonsággal foglalkozó vezetője. A vállalat képviselője azt bizonygatta, hogy a nem Microsoft által gyártott böngésző rosszabb választás. Néhány idézet:

"A[z IE-ről] váltás végül egy kevésbé biztonságos böngészőt eredményez"

"A[z ezen exploit-ból származó] kockázat összehasonlítva a Firefox-ból vagy más konkurens böngészőből származó kockázattal minimális... nyitottá fogja tenni magát biztonsági problémákkal szemben."

"Nagyobb a rizikó és szélesebb problémák vannak más böngészőkkel."

"Ha engem kérdezne arról, hogy 'melyik a legbiztonságosabb böngésző?', azt mondanám, hogy az Internet Explorer 8 – egy darab sebezhetőségről beszélünk."

"A kockázat realitása minimális még akkor is, ha IE6-ja van; el kellene látogatnia egy exploit-ot futtató weboldalra [ahhoz, hogy érintse a probléma]"

"Nincs tudomásom arról, hogy a sebezhetőség jelen volna más termékekben" [...] "De azoknak a termékeknek lehet más sebezhetőségük."

A részletek itt olvashatók.

( gUHU | 2010. 01. 20., sze – 09:32 )

Mi mást is mondanának... :)

-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

( grudi | 2010. 01. 20., sze – 09:34 )

Cliff Evans tudja: az állásával játszik.... :-)

( grudi | 2010. 01. 20., sze – 09:35 )

Egyébként jól tudom, hogy az Opera a legbiztonságosabb?

Szerintem a wget+nano a legbiztonságosabb.
EDIT: Ezzel csak az akartam mondani, hogy semmi érteleme legbiztonságosabb böngészőről beszélni. Azt állítani, hogy az IE még az ismert biztonsági hibával is a legbiztonságosabb pedig egyszerűen hazugság.

( styg v | 2010. 01. 20., sze – 09:45 )

Nem kicsit izzadtságszagú szilánkocskák...

( tompos v | 2010. 01. 20., sze – 10:01 )

> "A kockázat realitása minimális még akkor is, ha IE6-ja van; el kellene látogatnia egy exploit-ot futtató weboldalra [ahhoz, hogy érintse a probléma]"

Ez gyoker.

tompos

( blalo | 2010. 01. 20., sze – 10:22 )

"Ha engem kérdezne arról, hogy 'melyik a legbiztonságosabb böngésző?', azt mondanám, hogy az Internet Explorer 8 – egy darab sebezhetőségről beszélünk."

Felhívás keringőre?

Ha valaki emlékszik rá, postolja már be azt a felmérést, ahol egy clean install XPSP3-at kiraktak mindenféle külső tűzfal és egyebek nélkül internetre és kb 3 perc alatt beszedte az első vírust, majd egy óra után 45 különböző worm és egyéb terjengett rajta. Asszem 2008-as.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

A Firefox mitől védi meg a telepítés alatt lévő gépet?
Az SP4 után nincs rés a falon?
A NOD32 mi ellen véd? Minden ellen?

Ha te úgy telepítesz egy gépet, hogy kirakod az Internetre, hogy na tessék, lehet támadni, akkor ugykö' neked!

Én NAT-olós tűzfal mögött lévő DMZ-ben telepítek 0-ról egy gépet. A "szerencsétlen" gépen nincs semmi, csak ami felment rá a "szabványos" microsoftos gyári telepítőcédéről, telepítés gyanánt.
Ekkor nekiugrik a gép az Internetnek, oszt aktiválja, meg jól lefrissíti magát. Amikor ez kész, akkor felmegy rá a NOD, oszt jónapot kívánok, megérkeztem; üde és friss vagyok!

Épp azt írtam, hogy a hálókábel _nincs_ bedugva, amíg telepítem. SP4 egy rakat olyat foltozott be, ami nagyon sebezhetővé tette. Persze nem mindent, de csupaszon max pár percig élt volna a neten. Firefox pont az ilyen IE-sebezhetőségek miatt jobb.
Nod32 (vagy bármilyen egyéb használható antivirus) pedig folyamatosan frissíti az adatbázisát, így az ismert vírusoktól legalább megóvja.
Nyilván sokáig lehet még fokozni, de a legtöbb esetben nekem ennyi elég volt.

Hozzáteszem, hogy kb 5 éve már nem teszek fel win2000-et, max virtuális gépen tesztelni, de ott is hasonló lépésekkel kell indítani.

A szomorúbb, hogy van, akit egyszerűen nem lehet elmozdítani, az 5+ éve így felépített rendszerről.

ha csak mobilinternet és egy szál notebook áll rendelkezésre, és ez egyre gyakoribb szitu, akkor nem egyszerű megoldani a hw tűzfal mögötti telepítést.
a DMZnek egyébként mi értelme van? félted a hálózat többi elemét, ha mégis bekapna vmit a windows telepítés alatt, vagy utána?

( Darkcomet | 2010. 01. 20., sze – 17:23 )

Ettől a két "megjegyzéstől" kissé ledöbbentem.

"A kockázat realitása minimális még akkor is, ha IE6-ja van; el kellene látogatnia egy exploit-ot futtató weboldalra [ahhoz, hogy érintse a probléma]"

Tele van a zinternet IE6-ra kihegyezett kártékony oldallal, nem is kell nagyon keresgélni.

"Nincs tudomásom arról, hogy a sebezhetőség jelen volna más termékekben" [...] "De azoknak a termékeknek lehet más sebezhetőségük."

Tehát azt nem tudja, hogy konkrétan ez a sebezhetőség előfordul-e más MS termékbe (mért is kéne tudni róla, nem is az ő kutyájuk kölyke :-D ), ha meg más termékbe van sebezhetőség, azt magasan lesz@rjuk egészen addig, amig publikus nem lesz. F@sza'

Ennek a Cliff Evans nevű palinak vagy nem mondtákRedmondból, hogy mit is kéne nyilatkoznia, vagy pocsékok voltak az irányelvek, egyszerűen azért, mert erre a problémára nem lehet olyan választ adni, amiből jól ki tudna jönni az MS, vagy csak egyszerűen szimplán hülye a fószer.

a cikkben is szerepel, az Egyesült Királyság kormányzatát meg tudta győzni Cliff. a briteknél régóta alacsony a Firefox részesedése. közben errefelé domináns böngészővé válik a FF.
úgy látszik a britek szemében a Firefox is csak egy újabb darabja a kontinentális kultúrinváziónak, ami le akarja rohanni a drága angolszász szigetüket:)

A címből és az arc egy mondatából kiindulva matematikailag igaza van:
"A Microsoft szerint növeli a rizikót az alternatív böngészőre váltás", "Ha engem kérdezne arról, hogy 'melyik a legbiztonságosabb böngésző?', azt mondanám, hogy az Internet Explorer 8 – egy darab sebezhetőségről beszélünk.".

Tehát ha az IE8-ban van legalább 1 db ismert sebezhetőség és az alternatív böngészőben is van legalább 1, de inkább több, akkor ha csak a sebezhetőségek számát nézzük tényleg rizikósabb, mivel már több (minimum 2) sebezhetőség lesz a gépen. :)

Az utolsó mondatoddal valamilyen szinten egyetértek, bennem az is felmerült, hogy megfizették.

( gbor | 2010. 01. 20., sze – 21:41 )

Utálom az összes ms b*zit. :) kb ~majdnem a halálukat kívánnám, hogy ennyire egy k*csög f*szok.

Pardon, ha túl enyhén fogalmaztam. ;) Ugyebár.

--
irj egy e-mailt, ha itt barmi hibat talalsz. ^ ^

( current88 | 2010. 01. 21., cs – 08:19 )

pro: az biztos hogy az ie8 az már majdnem hasonlít egy normális böngészőre, noha a lehetőségei igencsak korlátozottak. és az is tuti h az ms úgy fejlesztette az os-t hogy annak szerves része legyen az ie. viszont a biztosnági dolgoknak is része, vagyis ha más böngészőnk van attól még a hibás is megvan.

kontra: ha azt mondanák mint minden értelmes ember h "használj fiam valami rendes bönészőt" akkor az emberek megszokná azt hogy nem csak ez a trutyi van, hanem van olyan amivel nem kell küzdeni. utánna már hiába javítják a hibát, senki nem fog visszaváltani.

( airwave | 2010. 01. 21., cs – 17:20 )

Hahaha, ezen csak nevetni tudok. IE-tol bármi biztonságosabb.