"A böngészők több mint harmada sebezhető"

Internet, Közösségi média

"Az internetezőknek csak kevesebb mint kétharmada használja böngészőjét a legutolsó változatra frissítve -- derül ki egy friss felmérésből, amelyet a Zürichi Műszaki Egyetem, a Google és az IBM ISS készített.
Stefan Frei, az egyetem doktorandusz-hallgatója, a jelentés egyik készítője szerint ez nem csak a felhasználók hibája, a szoftvergyártók nem könnyítik meg a felhasználók dolgát, már ami a patchelést illeti."

A Firefox automatikus frissítése a legjobb

A böngészők egyre kedveltebb célpontjai a webes támadásoknak, és bár a szoftvergyártók rendszeresen jelentkeznek frissítésekkel, javításokkal, ezeket a felhasználók nagy része csak később telepíti. A Firefox felhasználói a leginkább biztonságtudatosak, a felmérés szerint a nyílt forrású böngészőt használók 83 százaléka az éppen elérhető legfrissebb verzióval böngészett. A Safari esetében ez az arány 65 százalék, az Opera esetében 56 százalék, az Internet Explorernél pedig már csak 47,6 százalék, vagyis gyakorlatilag a Microsoft böngészőjét futtató gépek több mint fele sebezhető -- ez több mint félmilliárd gépet jelent világszerte.

A Firefox kiemelkedően jó szereplésének oka azon túl, hogy a fejlesztők rendszerint hamar javítják a sérülékenységeket, a beépített automatikus frissítés funkció, amely értesíti a felhasználót a javítás megjelenéséről, amelyet egyetlen kattintással letölthet és telepíthet. A felmérés szerint ennek köszönhetően a patchek kiadását követő harmadik napon a Firefox-felhasználók nagyrésze már védett.

Az Opera is figyelmezteti a felhasználókat, ha frissebb verzió jelenik meg a szoftverből, azonban a felhasználóknak ezután maguknak kell felkeresniük az Opera weboldalát és letölteni az új változatot, amit aztán ugyanúgy telepítenek, mintha most először kezdenék használni a böngészőt. A Safari egy külső frissítőrutin segítségével ellenőrzi a javítások érkezését. Az Internet Explorer frissítésével szemben a jelentés készítőinek az volt a legfőbb kifogása, hogy a Microsoft viszonylag ritkán, havonta egyszer ad ki szoftvereihez javításokat, így a felhasználók gyakran sokáig védtelenek az úk sebezhetőségekkel szemben."

A teljes cikk itt olvasható.

( bsh | 2008. 07. 02., sze – 11:24 )

szerintem az explorer rossz szereplésében az is nagyban szerepet játszik, hogy nem ingyenes, és a windows-t futtató gépek nagyon nagy részén (szerintem) illegális oprendszer fut, és a frissítéseket a m$ eredetiségellenőrzéshez köti, így az illegális userek le sem tudják tölteni a frissítéseket...

öööö, nekem nem engedi letölteni az ie7-et, csak validation után :) úgyhogy meg se próbálom :)
igen, mindent meg tudnak már hackelni, kérdés az, hogy érdemes-e nekem küzdeni vele? úgyse használok ie-t, úgyhogy nem is foglalkoztam vele. és talán az r=1 pistikék, akiknek szintén kalóz windows van, meg nem is tudnák megtrükközni a dolgot.

csak h nyomokban hiteles informaciot is tartalmazzon a hup a tizenneves linuxguruk hazugsagain tul

http://www.microsoft.com/windows/downloads/ie/getitnow.mspx

Get free downloads for Internet Explorer 7, including recommended updates as they become available. To download Internet Explorer 7 in the language of your choice, please visit the Internet Explorer 7 worldwide page.

az illegalis userek nyomorai senkitsem erdekelnek, mint ahogy anyukad is csunyan nez ha kenyeret lopsz a teszkaubol

DONT DO IT!

#toy like ppl make me boy like

Nekem nem kell leadni a BSA számára talonban tartott sablonszöveget, nem nagyon érdekel. Azonban jelzem, hogy az IE futtatása is csak úgy legális, ha van valamilyen Microsoft OS termékhez elfogadott EULA-d, különben nem. Ráadásul ha ilyened van, akkor sem biztos, hogy legális a Linux-on futtatása. A licencet itt találod. Érdemes lehet még konzultálni a jogászoddal.

--
trey @ gépház

Ki állította, hogy én futtatok ie-t Linuxon? Sőt, ki állította, hogy bárki futtat ie-t Linuxon?

Én arra utaltam, hogy nem szerepel a bsh-tól idézett mondatban utalás arra, hogy Windowson futtatott böngésző segítségével próbálta meg letölteni az ie7-et. Azaz próbálhatta letölteni Linux alól is, majd amikor látta, hogy validátor futtatása szükséges, inkább letett erről a szándékáról. Nem azért, mert illegális Windowsa van, hanem mert nincs semmilyen Windowsa.

Persze én is tévedtem, mert bsh néhány mondattal később gyakorlatilag kijelenti, hogy warez windows alól próbálta. De ez nem derül ki az idézett mondatból.

( snq- | 2008. 07. 02., sze – 12:13 )

>> értesíti a felhasználót a javítás megjelenéséről, amelyet egyetlen kattintással letölthet és telepíthet

illetve hát a bugróka felhasználók közül azok a kiemelten biztonságérzékenyek, akiknek böngészés közben írásjoguk van a saját böngészőjükre

Tökéletesen igaz.
Binugz alatt nincs ilyen probléma, ugyanis a biztonságérzékeny felhasználók nem indítanak rootként (meg sudo, sudoku, stbként) FF-et.
Ti hogyan oldanátok meg a userek elszánt hülyeségét windows alatt, hogy ne akarjanak minden lószart telepíteni?

kötöjelkötöjel
//:wladek's world

Ti hogyan oldanátok meg a userek elszánt hülyeségét windows alatt, hogy ne akarjanak minden lószart telepíteni?
Pl. Active Directory domain policyben letiltás.
---
Sok gyerekkel ellentétben én sose akartam tűzoltó lenni. Lettem helyette informatikus. Nem találjátok ki, hogy mit csinálok nap mint nap...

Start>Run>gpedit.msc

Computer Configuration>Administrative Templates>Windows Installer>Disable Windows Installer

This setting can prevent users from installing software on their systems or permit users to install only those programs offered by a system administrator.

The "Always" option indicates that Windows Installer is disabled.

This setting affects Windows Installer only. It does not prevent users from using other methods to install and upgrade programs.

soha eletemben nem hasznaltam ezt a featuret kb. 5 perc volt kiguglizni

#toy like ppl make me boy like

"amiről beszéltem, annak semmi köze ahhoz, hogy milyen felhasználóval használod" vs. "böngészés közben írásjoguk van a saját böngészőjükre"

Windows alatt a korlátozott jogokkal rendelkező felhasználók is felülírhatják a Program Files tartalmát, sechole kihasználása nélkül?
Mert erre akartam kilyukadni.

kötöjelkötöjel
//:wladek's world

"Windows alatt a korlátozott jogokkal rendelkező felhasználók is felülírhatják a Program Files tartalmát, sechole kihasználása nélkül?"

Miért írhatná felül? Ha frissíteni akarja valaki a Firefoxszot, minimum kiemelt felhasználóként kell elindítani. (Korábban volt is ezzel egy bug, hogyha valaki egyszerű mezei felhasználóként próbálta, akkor letöltötte egy ideiglenes könyvtárba a fájlokat, aztán minden indításkor megpróbálta - sikertelenül - frissíteni. Addig cisnálta, míg kézzel le lettek szedve a fájlok).

( Czo v | 2008. 07. 02., sze – 12:45 )

Safari kulso frissitorutin?? Ezt nemertem. Miert lenne a Software Update kulso frissitorutin? A rendszer resze mint ahogy a safari, es tegnap is szolt, hogy figyejje komam, megjott a 10.5.4...

---
Apple iMac 20"
áéíóöőúüű

( mofli | 2008. 07. 02., sze – 21:29 )

Nem is tudtam eddig, hogy a firefox letiltja a sérülékeny bővítményeket.

( saxus | 2008. 07. 02., sze – 21:31 )

Ameddig sokan úgy állnak hozzá, hogy
- Windows rendszervisszaállítás az első, amit kikapcsolok.
- De még előtte letiltom a Windows Update-t, mert warezwindows.
- Meg különben is, jó dolog kiemelt felhasználóként használni a rendszert.
- És még akkor se hajlandóak használni legállisat, ha pl. Krampuszon vagy MSDNAA-n keresztül elérhető lenne.

Addig nem kell csodálkozni. Egyébként IE7 és a kritikus biztonsági frissítések is felmennek warez verzióra. Mondjuk van, ami anyázik, ha warez (Windows Eredetiségellenőrző akármi ;).

Tényleg jó dolog kiemelt felhasználóként használni a rendszert. :) A Windows Update-et (ha arra a funkcióra gondolsz, amikor automatikusan keresgéli a frissítéseket, és esetleg le is tölti azokat) szerintem célszerű kikapcsolni, mert szörnyen belassítja a rendszert. Inkább rászánok pár naponta egy kis időt, hogy "manuálisan" utánanézzek a frissítéseknek.

:)

Van nekem egy ilyen témám. Amikor keresgéltem a neten a megoldás után, olyat is olvastam, hogy csak bizonyos napokon jön elő a probléma. Egyesek szerint összefügg a dolog a windows updattel. Sajnos kipróbálni már nem tudtam, mert nem jött elő azóta a jelenség. (Illetve windowst amúgy is ritkán bootolok.)

Ennek még sosem néztem utána, de valószínűleg a kevésbé szerencsés (rossz?:) megvalósítás. Szerintem minden egyes ellenőrzéskor létrehoz a Windows egy listát arról, milyen eszközök és szoftverek vannak telepítve, ami egy kis időbe és erőforrásba kerül. Mivel a listát egy service készíti több service bevonásával, ezért lehet, hogy a normál programok helyett a Windows a service-eknek ad több erőforrást, ami azt eredményezi, hogy apró "időlyukak" keletkeznek, amikor várni kell arra, hogy valamit csinálni lehessen. Automatikus/beütemezett ellenőrzéskor nyilván úgy van megoldva a dolog, hogy apránként gyűjtögeti az adatokat és ellenőrzi a frissítéseket, de nem elég finom és észrevétlen a módszer ahhoz, hogy ne zavarjon. Plusz még ott van az internet-sávszélesség kérdése, és a telepítgetéssel járó erőforrás-veszteség is.

Az automatikus frissítéseknél négy opció van:

  • Automatikus (ajánlott): be lehet állítani mikor keresse és telepítse a frissítéseket. Nem szeretném ezt a beállítást használni a fent említett okok miatt, valamint azért sem, mert esetleg olyasmit telepít, amire nincs szükségem.
  • A frissítések legyenek automatikusan letöltve, de én döntöm el, mikor telepítem azokat.: majdnem ugyanaz a bajom vele, mint az előzővel. Minek töltsek le olyasmit, amit nem akarok telepíteni?
  • Csak értesítést kérek, de ne legyen automatikus letöltés és telepítés: ezt próbáltam, innen vannak a lassulásos tapasztalataim.
  • Az automatikus frissítések kikapcsolása.: nekem ez tetszik. :) Pár perc alatt végez, igaz, kell párat kattintani. :D

:)

- A rendszervisszaallitas sajnos nagyon keves esetben megoldas, raadasul a helyfoglalasa nem automatikusan menedzselt, ha elfogy a hely, akkor sem ajanlja rogton fel a takaritast, hanem azt kulon kell kerni.
- Windows Update-t en is ki szokom kapcsolni, inkabb kezzel nyomom vegig ha kell. Utalom, ha felugral, hogy ugyan mar rebootolj, Geza.
- Fejleszteshez elengedhetetlen a kiemelt user, ugyanis nagyon sok tool igenyel emelt jogokat. Tudom, nem mindenki fejleszto, de csak szolok, hogy leteznek problemak
- Erre nem tudok mit mondani. Bar lenne az ecceru embernek i eselye, hogy olcsobban jusson hozza...

"- A rendszervisszaallitas [...] raadasul a helyfoglalasa nem automatikusan menedzselt"

Nem igaz, egy csúszkával be lehet állítani, hogy egy adott lemezből százalékosan (sajnos csak úgy) mennyi helyet használjon fel. Ha kevés a hely, akkor a régebbi mentéseket kezdi el kigyakni - automatikusan.

( molgab v | 2008. 07. 03., cs – 09:49 )

"A szakemberek ezért javasolták a szavatossági idő bevezetését a böngészőknél. Ez a jelzés jól látható lenne a felhasználók számára és egyúttal megmutatná azt is, hogy honnan tölthetik le a program legújabb változatát. Arra nem terjedt ki a felmérés, hogy milyen arányban használunk támadható kiegészítőket és pluginokat, ezt ugyanis a Google nem rögzítette." (sg)