Biztonsági szakértők javasolják a váltást az IE-ről a kritikus sebezhetőség befoltozásáig

Bug

A Microsoft megerősítette, hogy gyakorlatilag az Internet Explorer összes verzióját (IE5.01, IE6, IE7 és IE8 Beta 2) érintheti (az IE7-et biztos, hogy érinti) az az eddig még javítás nélkül álló, a rosszindulatú támadó számára távoli kódfuttatást lehetővé tevő biztonsági probléma, amelyről a redmondi cég egyelőre elég szűkszavúan ad tájékoztatást.

A beszámolók szerint sebezhetőséget jelenleg is aktívan kihasználják, a Trend Micro körülbelül 6 000-re becsüli (máshol 10 000-re) azon fertőzött weboldalak számát, amelyek potenciálisan veszélyesek lehetnek az IE felhasználók számára.

A Trend Micro szerint ha a felhasználók találnak alternatív böngészőt, azzal elébe mehetnek a fenyegetettségnek.

A Microsoft más véleményen van. "Nem javaslom az embereknek, hogy emiatt az egy hiba miatt váltsanak," - mondta John Curran, a Microsoft UK Windows csoportjának vezetője.

Hozzátette: "Megpróbáljuk javítani amilyen gyorsan csak lehetséges. Jelenleg úgy tűnik, hogy az internetes oldalaknak csak a 0.02%-át érinti ez az exploit".

Richard Cox, a Spamhaus Project projekt műszaki vezetője a Trend Micro véleményével ért egyet.

Az egyelőre nem ismert, hogy a Microsoft mikor fogja javítani a problémát.

A részletek itt, itt és itt.

( trey | 2008. 12. 16., k – 19:48 )

Ha engem kérdeznek, én biztonsági szakértők nélkül, a fenti hibától függetlenül is javaslom a váltást gyakorlatilag bármire. :)

A Secunia szerint:

To clarify three common incorrect assumptions about this vulnerability

Assumption: Only Internet Explorer 7 is vulnerable.
Correction: No, at least Internet Explorer 6 is also affected, but not by the public exploits that are currently available. According to Microsoft's updated advisory, IE 5.01 is also affected. We have not confirmed this yet, but it seems plausible.

Assumption: The core problem is related to XML processing.
Correction: No, it's related to data binding. Working exploits can be created nicely without using XML.

Assumption: Setting the security level to "High" for the "Internet" security zone or disabling "Active Scripting" support protects me against attacks.
Correction: Technically no. It is still possible to trigger the vulnerability. However, it does make exploitation trickier as it protects against attacks using scripting.

--
trey @ gépház

Ha a kedves web fejlesztők térnének át, -rá a szabványos html készítésre, és nem a IE lenne a szabványuk, akkor nem lenne kérdés a váltás, mert mindegy lenne melyiket használom, sőt, az IE lenne a legrosszabb megjelenítő. De sajnos jelenleg nem a szabvány a mérvadó, hanem, hogy az IE-ben hogy jelenik meg és hogy működik.

Ahogy a HUP is tartalmaz: 207 Errors, 7 warning(s) :'(

Érdemes olyan böngészővel tesztelni, ahol látható, hogy mi lett volna, ha csak a szabványt követnék.
Operának van ilyenje, ez a WinGogi. Megnéztem vele a HUP-ot, és csak két oldalcsík látszott. Szóval a maradék az az a rengeteg munka eredménye, ahogy jelen esetben az Operások IE kompatibilis módon megjeleníthetővé tették a HUP-ot (és vele együtt sok más oldalt).

--
Elder Scrolls

Szerintem egy jo ideje mar nem az IE az elsodlegesen tamogatott bongeszo a fejlesztok tobbsegenek a szemeben. A szabvanyok pedig ajanlasok, amiket erdemes kovetni, de nem attol fog ugyanugy megjelenni es mukodni minden browserben egy oldal, mert a W3C validator azt mondja, hogy nincs hiba.
--
HUP Firefox extension

Tudod Te miről beszélsz? Azért kell a webfejlesztőnek IE-re "optimalizálnia", hogy az emberek mondjuk 80%-ánál jól jelenjenek meg az oldalak. Én hiába fejlesztek FF alatt, hiába valid a kódom, ha a megrendelőnél IE alatt meg szétesik... Olyankor jön az, hogy butítsuk le a kódot.
Azért nehogy már a webfejlesztők legyenek a hibásak, gondolkodj már!!

( prygme | 2008. 12. 16., k – 19:49 )

akkor most nem a firefox a legsebezhetőbb böngésző?! már az Internet Explorerben sem lehet bízni. a végén még visszatérek a Lynx használatához:)

( trey | 2008. 12. 16., k – 19:58 )

HUP ehavi böngésző stat: 


Firefox             63.85% 	
Internet Explorer   20.39% 	
Opera                6.90% 	
Mozilla              4.04% 	
Chrome               1.82% 	
Safari               1.79% 	
Konqueror            0.67% 	
SeaMonkey            0.36% 	
(not set)            0.04% 	
Galeon               0.03%

Hónap végén megnézem mennyien váltottak. :D

--
trey @ gépház

Sziasztok,

alább az álláspont a részünkről a hibával kapcsolatban:

http://www.microsoft.com/hun/technet/article/default.aspx?id=6d19c6f6-2…

"Rengeteg hír látott napvilágot az Internet Explorer egy még nem ismert sebezhetőségének kihasználásával kapcsolatban. A hiba kihasználásával valóban lehet kárt okozni a felhasználóknak, de ahhoz elég összehangolt támadásra van szükség - átlagos internethasználati szokások mellett valószínűtlen, hogy baj érhessen minket.

A Microsoft fejlesztői már gőzerőkkel dolgoznak a hiba megoldásán, ami amint elkészül, várhatóan még a szokásos patch-kedd előtt elérhető lesz, out-of-band hibajavításként.

A sebezhetőség az Internet Explorer gyakorlatilag valamennyi változatára fennáll. Részleteket a http://www.microsoft.com/technet/security/advisory/961051.mspx oldalon lehet találni. Ezen az oldalon található jónéhány workaround is, amikkel az átmeneti időszak alatt a hozzáértőbb felhasználók, rendszergazdák 100%-osan megvédhetik gépeiket. Ezt vállalati környezetben, vagy valóban hozzáértő otthoni felhasználók számára javasoljuk a hiba orvoslásáig használni.

A legtöbb jelenleg észlelt támadó kód az Internet Explorer 7-es változatát támadja - azonban aki ezt Windows Vistán használja (az IE7 védett módjával, ami alapértelmezett Vistán), annak ugyan a böngészője megtámadható, de a böngészőn keresztül nincs mód a rendszert magát támadni, így Vistán tényleges kár okozására jelenlegi információink szerint nincs még elméleti mód sem.

Amivel még mindenképpen tisztában kell lenni, az az, hogy az IE sebezhetőség kihasználásához nagyon sok mindennek kell történnie: nincs minden felhasználó veszélyben csak automatikusan attól, mert megnyitja a böngészőt.
1. aki böngészik a weben a megszokott weboldalai között, az nem fog találkozni a problémával
2. kifejezetten támadó céllal létrehozott, rosszindulatú weboldalakra van szükség ahhoz, hogy kár érhesse a felhasználót, és arra a felhasználónak el is kell mennie önszántából.
3. Ahhoz, hogy a felhasználó áldozatává váljon egy ezzel kapcsolatos hibának, ahhoz összetett támadást kell indítani ellene: például egy csalilevéllel (phishing) rá kell venni arra, hogy látogasson el egy ilyen rosszindulatú weboldalra. A felhasználóknak csak arra kell figyelniük, hogy ez alatt a pár nap alatt, amíg nem érhető el hibajavítás, lehetőleg ne látogassanak el ismeretlen, vagy gyanús oldalakra. Ne kattintson például olyan linkre, ami olyan levélben található, ami feltétlenül pont erre a linkre kattintásra akar minket minden áron rávenni.
4. Az ilyen rosszindulatú kóddal rendelkező weboldalak a jelenlegi adataink szerint jellemzően Ázsiában fordulnak elő, Európában nagyon kevés ilyenről tudunk, Magyarországon pedig még egyetlen esetről sem tudunk

Amint van fejlemény, érkezik konkrét hibajavítás a problémára, mindenképpen jelezni fogjuk, többek között itt is."

Magánvéleményem még az ügyben az, hogy nehéz kérdés, hogy kell-e emiatt böngészőt váltani: a jelenlegi infók alapján a Firefoxra sokkal több sebezgetőség és hibajavítás látott napvilágot, mint az Internet Explorerre. Azt gondolom, hogy az IE jelenleg a legbiztonságosabb böngésző, természetesen ez a mostani átmeneti időszak 0day vulnerability miatt valóban problémás, de hamar várható rá megoldás, már dolgoznak rajta a fejlesztők. Az viszont tény, hogy az IE nem a leggyorsabb böngésző: a legtöbben pedig emiatt váltanak.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

Ez így van, de ott arról van szó, hogy valamit befoltoztak (készen vannak a megoldással), ebben a cikkben pedig arról, hogy van egy 0day hiba, javítás még nincs és az IE felhasználóknak jelenleg nincs esélyük a probléma kijavítására. Csak az óvatosság és az ilyen-olyan kerülőmegoldások állnak egyelőre rendelkezésükre. Kicsit más a helyzet.

Az pedig egyértelmű, hogy ekkora publicitást kap az IE probléma, hiszen jelenleg az IE a piacvezető bőngésző és ebből adódóan lényegesen több embert érint mint mondjuk egy Opera probléma.

--
trey @ gépház

Jogos. Azt viszont nem lehet ilyen esetben tudni, hogy a most befoltozott rések korábban kerültek-e már kihasználásra - bár mivel nem volt visszhangja, feltételezhetően max. kis számban, ha egyáltalán.

Ha minden jól megy, ma már kint lesz a javítás az IE hibára is, már publikálás alatt van.

A gond az, hogy a MS alapvetoen nem minden hibahoz igy all hozza, csak azokhoz az exploit hibakhoz, amire mar van kartekony kod is, nem csak PoC. Szerintem megoldhato lenne a remote exploit tipusu hibakhoz a patchek teritesenek elkezdese az elkeszulesuk pillanataban.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

"kifejezetten támadó céllal létrehozott, rosszindulatú weboldalakra van szükség ahhoz, hogy kár érhesse a felhasználót, és arra a felhasználónak el is kell mennie önszántából."

Igazabol eleg, ha a felhasznalo "megszokott" oldalai kozott van olyan, amelyikben permanent xss, iframe injection, vagy hasonlo bugok vannak (ami nem ritkasag - az ellenkezoje inkabb). Bar teny, hogy a "megszokott" oldalara el kell mennie onszantabol. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Echo többször is kifejti, hogy milyen összetett műveletsort kell ahhoz elvégezni, hogy a hiba kihasználható legyen. Namost ha négyszer írod le, hogy rá kell kattintani egy ismeretlen linkre, attól még nem lesz bonyolult műveletsor.
Az IE-t, tapasztalataim szerint (és meglehetősen sok felhasználóval vagyok kapcsolatban) azok használják nagy részben, akik szinte válogatás nélkül kattintanak minden olyan linkre, amelyeket messze el kellene kerülniük.
Ebből, és több más okból kifolyólag szerintem az IE egy borzalmas böngésző. Néha van szerencsétlenségem használni, hát mint sajtreszelővel...

Igazad van, a felhasználó számára valóban csak egy kattintás.

A bonyolultság szerintem ott van, hogy valóban "hatékony" támadás érjen egy felhasználót. Ahhoz vagy meg kell fertőzni egy jó populáris oldalt (azért ez ritkán könnyű), vagy tényleg e-mailben kell spamelni, vagy máshogy rá kell venni a usert, hogy menjen a sebzett oldalra.

Utána még ott a payload kérdése is, hogy mit akar a kártevő tenni ezekkel a gépekkel. Kiválasztani egy férget, vagy vírust, vagy bármi más adatgyűjtő mechanizmust, ami releváns eredménnyel jár a támadó szemszögéből.

Ezek miatt én azt várom, hogy tömegesen nem fogunk ezzel a jelenséggel itthon találkozni, viszont egy-két jól célzott támadás során lehet, hogy ezt most ki fogják használni.

Peti

khm...:) a documents&settings - all users - asztal mappába rakni egy ie ikonnal rendelkező Firefox ikont, INTERNET néven? :) nálam bejött :D [persze a felhasználók korlátozott joggal mehetnek csak, előzmények automatikusan törlésre kerülnek]

--
pardon: http://szabadlinuxot.blogspot.com/ :)

egyetértek!
az olyan felhasználó, aki arra a kérdésre, hogy: "milyen böngészőt használ?" "windóz xp" választ adja (tényleg, nem egy ilyen esetem volt), az lesz az első, aki gondolkodás nélkül rákattint a "kattints-ide.hu" linkre vagy megnézi a "nézd-meg-ezt-az-oldalt.hu".
www.haiku-os.org

Az más kérdés, hogy tetszőleges honlap meglátogatása nem lenne szabad, hogy veszélyt jelentsen, ha a webböngészők nem lennének vackok. Plusz védelmet jelenthet a webböngésző rendszerhez való hozzáférésének a korlátozása. (IE7-ben mintha lenne valami ilyen, nem? Persze Linuxon AppArmor vagy hasonló védelmi rendszerrel is össze lehet dobni.)

> A felhasználóknak csak arra kell figyelniük, hogy ez alatt a pár nap alatt, amíg nem érhető el hibajavítás, lehetőleg ne látogassanak el ismeretlen, vagy gyanús oldalakra.

Hát, hivatalos álláspontnak elég furcsa. Szerintem azért illene valahogy kommunikálni, hogy ez sose jó.

--
Debian - The "What?!" starts not!
http://nyizsa.uni.cc

Mivel kedvesen megosztottad velünk magánvéleményed is, ezért én is megosztanám veled a sajátomat. Ha nem lenne az IE-ben bug, és ez lenne valóban a legbiztonságosabb böngésző a világon akkor se használnám.
Ennek több oka van.
Első és el nem hanyagolható ok az, hogy ezen böngésző kizárólag emulációval futna az én általam használt operációs rendszeren.
A második az, hogy üzletileg ez a szoftver főleg azért mert a céged kakil nagy ívben a nem általa kitalált szabványokra ezértnapi szinten jelentős mennyiségű veszteséget generál, az ismert hibáinak/nem megfelelősségeinek kezeléséből fakadóan illetve az ismeretlen problémák felderítése és elkerülő megoldás találásara fordított munkaórák tekintetében.
Azaz egyértelműen kárt okoz azzal, hogy rákényszeríti az operációs rendszerét használókat arra, hogy a saját böngésző programját használják (nem nem indok, hogy ha nincs böngésző mivel töltesz le másikat, mivel egy integrált HTTP protokollt beszélő filekezelő erre megoldás) Ez ügyben ugye több antitröszt per is fut cégetek ellen.
Kárt okoz azzal, hogy tömegekhez eljuttatva szabványon kívül működteti.
A harmadik is egy személyes ok. Mégpedig az, hogy mind tudásban mind bővíthetőségben messze elmarad a piacon meglévő böngészőktől és ez az agresszív telepítési taktika ellenére is piacvesztésben érzékelhető.
Légy szíves jelentsd ki, hogy egy IE-t nem ismerő célközönség előtt az IE a piacon lévő bármilyen böngészővel megállja a versenyt, és a célközönség többsége választaná böngészőjének, tudása, biztonsága, akármi alapján amennyiben nincs mögötte az az előny amit most jogtalanul használ.
Semmi bajom egyébként sem veled, sem az MS-el és értékelem azt is hogy szereted amit csinálsz.
Alapvetően a felvetett security probléma minden böngésző/program életében bekövetkezhet, ezért ezt sem értékelem túlságosan negatívan.
Inkább azt mondanám pont az zavar ahogy ezt a céged kezeli.
Reméljük most ez valóban úgy történik, ahogy leírtad, nekem már ezen kívűl két dolog lenne fontos.
Kerüljön ki az oprendszerből a böngésző legyen letölthető (nem az, hogy "akar internetet használni ok/mégse" nem elég arra hogy az ügyfél dönthessen) illetve hogy működjön (és ne csak a böngésző módjának átállítása és még 20 pipa bekattintása után) szabványosan.
Várjuk ezt a gesztust mikor teszi meg a céged (egy egyébként operációs rendszer liszenszek tekintetében céged termékeit (sokszorosan) megvásároló (azaz felhasználó) véleményét olvastad).

egy integrált HTTP protokollt beszélő filekezelő

A Windows Intéző :) tud HTTP-n át állományokat letölteni.

Szerintem is egyszerűbb lenne, ha a Microsoft azt mondaná, van a Windowsnak egy része, amiben meg van valósítva minden, ami a böngészéshez szükséges, plusz van az Internet Explorer. Tudtommal technikailag régóta (mióta Windows és IE létezik...?) kb. így van.

:)

van olyan intézmény, ahol elő van írva a firefox használata és a belsőleg alkalmazott webes programok fejlesztésénél nem elsődleges szempont, vagy akár nem is szempont, hogy menjen ie alatt...

Máshol meg az ie használata van policyba vésve és használják ezerrel az ie-t és a rá épülő technológiákat platformként a fejlesztők.

Szóval mindkét oldalra vannak példák.

1. aki böngészik a weben a megszokott weboldalai között, az nem fog találkozni a problémával

1. Ez egyáltalán nem biztos. Pl. a Microsoft fórumait böngészve ha egy user berak egy ilyen linket már találkozhatok vele.
2. "Deface"-elt oldalak is vannak rogyásig, mivel a Microsoftnak is van elterjedt webszervere.

2. kifejezetten támadó céllal létrehozott, rosszindulatú weboldalakra van szükség ahhoz, hogy kár érhesse a felhasználót, és arra a felhasználónak el is kell mennie önszántából.

Az összes weboldalra önszántamból megyek. Ha maga Bill Gates állna a hátam mögött, akkor sem mennék el az általa akart weboldalra.

3. Ahhoz, hogy a felhasználó áldozatává váljon egy ezzel kapcsolatos hibának, ahhoz összetett támadást kell indítani ellene: például egy csalilevéllel (phishing) rá kell venni arra, hogy látogasson el egy ilyen rosszindulatú weboldalra.

Magyarul a user önszántából megy el a weboldalra.

Mellesleg megjegyzem, a Microsoft az egyik kerékkötője annak, hogy autentikált legyen a levelezés, mert a saját, szabadalmas módszerét óhajtja rákényszeríteni a világra szabványként, holott van nyílt megoldás erre. Hogy melyik a jobb, az most nem vitatéma. Az internet ab start nyílt szabványokon alapszik.

A felhasználóknak csak arra kell figyelniük, hogy ez alatt a pár nap alatt, amíg nem érhető el hibajavítás, lehetőleg ne látogassanak el ismeretlen, vagy gyanús oldalakra.

Háááát... ez sem újdonság... és általában az Explorerrel kapcsolatban szoktak ezen figyelmeztetések elhangzani.

Ne kattintson például olyan linkre, ami olyan levélben található, ami feltétlenül pont erre a linkre kattintásra akar minket minden áron rávenni.

Mely levél egy megfertőzött, windowsos zombigépről jön, s eme szabály eddig is érvényes volt.

4. Az ilyen rosszindulatú kóddal rendelkező weboldalak a jelenlegi adataink szerint jellemzően Ázsiában fordulnak elő, Európában nagyon kevés ilyenről tudunk, Magyarországon pedig még egyetlen esetről sem tudunk

Mint Atlantisz királya az Erik a viking-ben... "Nem süllyedünk, nem süllyedünk..."

Budai Péter
TechNet programmenedzser
Microsoft Magyarország

Tudjuk, kötelességből...:-)

Végigolvastam.

Szokás szerint "mindenkinek igaza van".

A vomberg által leírtakat kiegészíteném az alábbiakkal, ehhez kapcsolódva

4. Az ilyen rosszindulatú kóddal rendelkező weboldalak a jelenlegi adataink szerint jellemzően Ázsiában fordulnak elő, Európában nagyon kevés ilyenről tudunk, Magyarországon pedig még egyetlen esetről sem tudunk

Ez azért van, mert akik mindenre kattintanak, többnyire nem ismernek semmilyen idegen nyelvet.
Valahogyan megtanulták, hogy idegen nyelvű levelek linkjeire ne kattintsanak.
Viszont más lesz a helyzet, ha nagy mennyiségben kapnak leveleket az anyanyelvükön: pl.:
Kedves Margit!
Biztosan nem emlékszel rám, de szeretném felvenni veled a kapcsolatot, stb. Nézd meg a tablóképünket légyszíves, az alsó sorban balról a harmadik vagyok, stb, stb.

Több ötletet nem adok, de már most is találkozni lehet magyar nyelvű spam-ekkel, ez csak rosszabb lesz, annak ellenére, hogy elég kicsi piac vagyunk.

Köszi trey!

Mindig is tudtam, hogy ez egy jó hely.
Azt is gondoltam, hogy az Operások jobban képviselve vannak, mint általában, de a majdnem 7 százalék várakozáson felüli (hehe, értsd szuperszónikus :)).

Egyébként nyugodtan lehetne rendszeres ez a statisztika.
Várom a hónap végét :).

Egy általunk üzemeltetett szállásfoglaló oldal ehavi statisztikája.

MS Internet Explorer Nem 1698180 64.1 %
Firefox Nem 853114 32.2 %
Opera Nem 39020 1.4 %
Mozilla Nem 30222 1.1 %
Safari Nem 23339 0.8 %
Ismeretlen ? 3824 0.1 %
Netscape Nem 334 0 %
Konqueror Nem 251 0 %
Epiphany Nem 169 0 %
Sony/Ericsson Browser (PDA/Phone browser) Nem 67 0 %
Egyebek 124 0 %

Talán nem a HUP, egy szakmai portál statisztikáját kellene nézni és mutogatni, hanem a való életből venni példát.

Persze. De ha baseline-nak használom ahhoz, hogy megnézzem, hogy itt mennyien váltottak, annak jó-e? Arról volt ott szó poénosan - ugyan magyarul van írva, de segítek -, hogy azokhoz a számokhoz képest megnézem majd, hogy mennyien váltottak. Itt. Nem azt hivatott kifejezni, hogy mennyien használnak átlagban ilyen-olyan böngészőt. Ilyet senki sem állított. Köszi, hogy nem tudsz olvasni.

--
trey @ gépház

Bocsi, én se voltam teljesen világos. Nem olvasom már el megint az összes üzit, de vki írta, hogy igenis a FF a piacvezető. (az se biztos, hogy ebbe a topikba, mert egyszerre olvasok vagy 5-6 cikket) Nem feltétlen Te, csak Te lettél az áldozat, akinek a neve mellett a válasz gombra kattintottam :)

( nanofish | 2008. 12. 16., k – 20:43 )

Érthető a Microsoft reakciója. Ha már vált valaki, akkor a hiba befoltozása után minek visszatérni?

nyilvan.
de az a vicces, hogy latszolag mar olyannyira szamolni kell az MS-nek a szabad forrasu konkurenciaval, hogy Echo mar ugy tunik munkakore reszekent koteles allandoan itt kampnyolni a HUP-on (ugy latszik, a donteshozok ugy iteltek meg, snq- es Hunger aldozatos munkaja (de NagyZ-rol se feledkezzunk meg) nem eleg meggyozo, meg ok ugyis csak hobbibol csinaljak, kell ide egy profi).

szerk: persze valoszinu az a donteshozo aki ugy dontott, hogy itt kell kampanyolni a HUP-on maga Echo, mert gondolom ennyi onallosaga biztos van a munkajaban.

- Use the Source Luke ! -

az mar fel sem merul benned h vannak meg a szakmaban olyanok akiket pusztan a technikai megoldasok, hirek, ujdonsagok erdekelnek fuggetlenul attol h melyik vendortol jon. az h te es a hozzad hasonlok nap mint nap lejaratjatok magatokat ezen a portalon es ezzel persze a portalt is a velvet szintjere sikerul sullyeszteni az ilyen kis felmosoly a kave melle reggel

Szerintem arról beszél, hogy azért mert megpróbálod lejáratni snq-, NagyZ és jómagam hozzászólásait (ami már eleve vicc, pláne olyan kontextusban, mintha bármi közünk lenne az MS-hez), igazából saját magadat és a FOSS közösséget járatod le azzal, hogy az elfogult és szakértelemtől mentes hozzászólásaiddal méginkább eltávolítod ezt a portált attól a technikailag nívós fórumtól, amely eredetileg lehetne...

Szerinted jobb az alternatíva? Tényekkel bizonyíts!

Addig is a biztonságban élő Firefox felhasználók nézzék meg ezt:

https://bugzilla.mozilla.org/attachment.cgi?id=302699

uupsz... ;)

nekem kiírta, hogy invalid markup... mi ezzel a para?
Amúgy meg aki mathml-be framesetet rak, meg is érdemli:P Nem real world probléma, böngésző nem szállt el tőle, kód nem települt. 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Igen, elfogultak a hozzaszolasaim, mint ahogy a tieid is, mas iranyba. Mint mar leirtam itt a HUP-on, a technikai ervek szamomra nem elsodlegesek - lenyegesebb es erdekesebb szamomra a szabad szoftverek altal kepviselt filozofia. Amugy gyomorforgato ez a kepmutato aggodasod a portal sorsa felett, mikor a felem megfogalamzott kritikaid rad ugyanugy igazak a hozzaszolasok szakmai szinvonalat illetoen.

- Use the Source Luke ! -

Igen, igen... Az a story még meg van, amikor mondtam, hogy nincs szegmentálás és V8086 támogatás long módban, ezért nem lehet 16 bites programokat futtatni egyszerűen a 64 bites Vistán? Te azt is jobban tudtad és hajtogattad, hogy márpedig van. Nyilván nehéz szakmailag érvelni olyannál, akinek sok köze nincs a témához.

Természetesen ott is elfogult voltam, már csak azért is, mert megvédtem az MS-t olyan dologban, amiről nem tehet. Számodra ez az elfogultság.

A gyomorforgató pedig az, hogy itt vagy kicsivel több mint egy éve és úgy beszélsz, mintha te lennél a FOSS közösség szócsöve.

azert bevallom kicsit zavar, hogy folyton lelamerezel. valoban volt egy tevedesem (amit a szalban is elismertem, suru mea culpazas kozepette), mivel az amd64-hez nem ertek nagyon, x86-ra programoztam sokat regen ilyen alacsony szinten/assemblyben (azota assembly-t inkabb csak mikrokontrollereken meg sparcon lattam/irtam). Gratulalok amugy, te tenyleg regebb ota vagy HUP tag, de ettol fuggetlenul en is hasznalok mar pl. linux-ot bo 10 eve (nincs is windowsom 8 eve), csak a magyar szaksajtot (melyek amugy gyakran a kulfoldi portaloktol veszik at az informaciot) nem kovettem korabban.

na ez meg kikivankozott belolem, de itt akkor le is zarhatjuk az egymassal valo kommunikaciot

- Use the Source Luke ! -

nem de amit en es a hozzam hasonlo munkasok csinalnak szerintem nem 1% az osszes fejlesztesnek hanem tobb. na de ezt mar kitargyaltuk, a velemenyunk lehet kulonbozo, es amugy az Imo nevu microsoft imadoval volt errol vitam, te csak azert szoltal kozbe, hogy nekem beszolj ;)

- Use the Source Luke ! -

Ó, mit nem adnék azért, ha egyszer jól pofán köpnének! Néha arról álmodom éjszakánként, hogy végre jól pofán köpnek.
Brian élete

kérlek, ez nonszensz. ettől csak elhasal. sag schon, újraindul, örül. Mutass olyat, ami kódot futtat — az úgyis jobban illik a threadhez;)
Ha elhasal, akkor még biztonságos, csak instabil. Ha összeomlik az alattam lévő széknek nevezett rendszer, csak padlóra kerülök. Ez instabilitási probléma.
Ha betörnek hozzám és felakasztanak a WC-csőre, az biztonsági;)
Felteszem érthető az árnyalatnyi[1] különbség, hogy melyik hiba melyik böngésző hibáját metaforizálja... ;)

Biztonsági problémát akaroook! (legyen Linux-kompatibilis, persze krosszplatform is jöhet:P Ja és másik kritérium, hogy ugyanattól a hibától az IE ne hasaljon el;))

1 az árnyalás különben az, amikor árcédulákat nyalogatok? 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

a különbséget kívántam érzékeltetni aközött, ha egy program feldobja a bocskort, meg aközött, ha backdoort tudsz telepíteni rajta keresztül.
Sajnálom ha nem jött át, pedig olyan érzékletes példákkal is szemléltettem ;) 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

már sejtem, hogy IE-nél miért is nem áll fenn akkor a probléma:P
Minden rizikós dolgot kihagynak belőle, mint pl. az SVG, MathML, (X)HTML, CSS, Javascript támogatás;)

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

hint: irónia
könnyebben hajlamos nem elhasalni olyasvalami a mathml-től, amibe azt nem is implementálták;)
Majd én is írok egy böngészőt. Bármilyen paraméterre kiírja majd, hogy hello world. Egy weboldaltól se fog elhasalni... Az IE a KISS filozófiát követi, kihagynak belőle mindent, mert a végén még bugos lenne.Látjuk, a Firefox is hogy megjárta a mathml-lel;) 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Érdekes, hogy amikor ActiveX-ről van szó, korai Ajax-like funkciókról és bonyolult menedzsment támogatásról az IE kapcsán, akkor valahogy sose a KISS filozófia van emlegetve... Máskor ez a "filozófia" pont épp pozitív (unix) értelemben van használva. Mikor és hogyan lehet épp jobban belerugni az M"$"-be, nemigaz? ;)

nemigaz, számítástechnikai témában laikusként hajlamos vagyok elismerni az MS-t.
Csak valahogy az, hogy olyan funkcióban mutatsz hibát, ami az IE-ben natívan nem fellelhető (a plugin stabilitása csak nem az MS érdeme...;)), evokálta bennem az "aki nem dolgozik, nem hibázik" gondolatkört, az meg a KISS filozófiára szintén jellemző;) — amit olykor unix értelemben is negatívként élek meg;)

Amit az MS-ben becsülök, az főként a interface elképzelései — lehet mondani, hogy lopja, de ez nem változtat a tényen, hogy a produktum könnyedén használható. Ha valaki egyszerűen kezelhető rendszert akar, eszembe sincs akárcsak Ubuntut adni neki. 

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Egyszerűen érdekel a véleményetek. Jelenleg az a feladatom, hogy a hazai informatikusoknak nyújtsak képzéseket, és vegyem figyemelbe, tolmácsoljam a véleményüket a Microsoft többi dolgozója felé, függetlenül attól, hogy Microsoft szoftvereket használnak-e. Erre tökéletes fórum a HUP is, hogy a nyílt forrású közösség informatikusai is hallathassák a hangjukat, és lássuk, mik azok a problémáitok, amiket a Microsofttal, vagy termékeivel szemben megfogalmaztok. Ebből rengeteget tudunk tanulni, és fejlődni.

Természetesen nem kötelező ide írnom, de vannak témák, amire nem bírom ki úgyse, és írok - pedig egyébként is szabadságon vagyok.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

Engem speciel nem zavar, hogy írsz ide, sőt. A "másik oldal" véleményét érdemes meghallgatni, bár mivel itt is van Windows topik és Windows fórum is, nem igazán mondható másik oldalnak (de mégis). A HUP már régen túlnőtt az "Unix portál" kategórián. Semmi baj azzal, hogy leírod a Microsoft hivatalos véleményét. Persze aki olyan hálátlan dologra adja a fejét, hogy nekiáll a "másik oldal" táborával kommunikálni, annak kicsit nagyobb tűrőképességűnek kell lennie. Értelemszerűen ha egy Manchester United szurkoló átmegy a Chelsea táborába, az ott kapni fog keményebb "kritikát" is.

Szóval semmi baj azzal, hogy itt vagy(tok) és írogattok.

--
trey @ gépház

Igen, ez egy hálátlan dolog. Hozzáteszem, ezért biztosan kapok a fejemre, ha itt valaki megemlíti az ms-t, az mintha az ördöggel cimborálna, és máglyára vele felkiáltással rögtön el is ítélik és megégetik, addig a netacademia-n, amely köztudottan ms technologiaval foglalkozik és oktat, ha valaki megemlíti a linux-ot, vagy unix-o vagy bsd-t, annak nem akarják levágni a fejét. Sokkal toleránsabbak az ottani kommentelők, mint itt.
Egyébként ha rám hallgatsz nem írsz ide semmit, mert itt rengeteg önjelölt próféta és guru van, akik igaz nem ismerik a microsoft termékeit, mert leragadtak a 98-nál, de határozott véleményük van, hogy az ms miért szar.

Ne hallgass rá :)
Attól, hogy egyesek vallási dolgot csinálnak a linux/windows/bsd/anyámkínja kérdésből, még vannak, akiket érdekel a "másik" oldal véleménye is.

"If you must mount the gallows, give a jest to the crowd, a coin to the hangman, and make the drop with a smile on your lips" The Wheel of Time series

Azért azt halkan tegyük hozzá, hogy vannak itt olyanok is, akik lehet, hogy az átlag Netacademia fórumozónál többet értenek a Windows-hoz. S talán kíváncsiak is rá. Ha neked nem tetszik az itteni légkör, nyugodtan kereshetsz magadnak másik oldalt / fórumot / levlistát.

--
trey @ gépház

"Azért azt halkan tegyük hozzá, hogy vannak itt olyanok is, akik lehet, hogy az átlag Netacademia fórumozónál többet értenek a Windows-hoz. S talán kíváncsiak is rá."
Így van, ahogy mondod. De pont ők azok akik nem köveznek halálra, mert értenek hozzá.
"Ha neked nem tetszik az itteni légkör, nyugodtan kereshetsz magadnak másik oldalt / fórumot / levlistát."
Most sértve érzed magad? Te nem tehetsz arról, hogy milyen a közönség.

Nem érzem magam megsértve, csak az általánosítás miatt felvontam a szemöldököm. Jóval többen kommentelnek itt normálisan és nagyságrendelkkel többen olvassák az oldalt némán évek óta, mint akiknek a viselkedéséből te azt vonod le, hogy felesleges ide Echo-nak kommentelnie.

--
trey @ gépház

> akik igaz nem ismerik a microsoft termékeit, mert leragadtak a 98-nál, de határozott véleményük van, hogy az ms miért szar.

A piaci részesedés először azoknál fog növekedni, akiknek pozitív véleményük van cég termékeiről. Amikor ezek elfogynak, mert már mindegyik bevásárolt, akkor jönnek azok, akiknek nincs semmilyen véleményük a cég termékeiről. Amikor ezek is elfogytak, akkor marad az, hogy olyanoknak kell eladni a cég termékeit, akiknek negatív véleményük van a cég termékeiről.

Szerintem logikus. :-)))

Tegyük még hozzá:

A Microsoft keményen megdolgozott azért, hogy olyan legyen a vélemény a szoftvereiről, amilyen.

Másik fontos dolog, ajándék lónak ne nézd a fogát.
Amiért pénzt kérnek, azért meg joggal vár el mindenki jó minőséget, használhatóságot stb.

Ha az ajándék ló jobb, szebb, mint a lókupectől drágán vett jószág, melyiket választod (vagy akkor is, ha egyformák)?

Ez egy értelmes hozzászólás volt. Örülök neki.

Nekem az a véleményem, hogy a Microsoft termékeknek minden szempontból javulniuk kell, egyszerűen a cégnek nincs más választása.

A termékektől függetlenül a céggel a legnagyobb baj, hogy úgy viselkedik néha, mint egy politikai párt, a képviselői pedig, mint a politikusok, ez már probléma.
Az évek során erre nagyon sok példát láttunk.

Ha te az a Budai Péter vagy, aki 2001-ben a Cap-nél a főnököm volt egy kis ideig, akkor örülök neki, ugyanis a sok Microsoft hívő ember között eddig kettővel találkoztam, akivel értelmesen lehetett beszélgetni a témáról, és az egyik ez a bizonyos ember volt.

Ami persze nem jelenti azt, hogy mindenben egyetértettem az ő véleményével, de akkor is hasznos szerintem, ha néhány dologról egy alaposan hozzáértő ember el tudja mondani, hogy miért úgy van, mi a logika abban, ami mondjuk nekem alapból hülyeségnek tűnik :-)

Ha nem te vagy az a srác, csak névrokon, akkor meg majd kiderül :-)

G

( sartek | 2008. 12. 17., sze – 00:25 )

0.02%

az 100 emberbol 2, ugye?

As of June 30, 2008, 1.463 billion people use the Internet according to Internet World Stats.

100 emberbol .... 2 ember
1.463 milliard emberbol .... x ember

x = 3 milliard/100 = 30 millio ember, azert az nem keves

jol szamoltam?:)

--
1&2

a képlet két összetevőjéből csak kettőt tévesztett el, szóval két apró hibácska miatt nem kell még megorrolni rá :D

Erről eszembe jutott egy vicc:
"Megkérdezik a jereváni rádiót: igaz-e, hogy Moszkvában Volgát osztogatnak. A rádió így felel: a hír igaz - egy kis módosítással: nem Moszkvában, hanem Kijevben és nem osztogatnak, hanem fosztogatnak."

( _Allen v | 2008. 12. 17., sze – 12:21 )

Reméljük, hogy hamar kijavítják ezt a hibát, és a hibajavításra is kiadnak majd egy patchet, ami javítja a javítás javítását. Volt már rá példa.

ugyan már... a patch biztos hogy meghozza a kívánt eredményeket:
1. Böngészhetsz a weben a megszokott weboldalaid között, nem fogsz találkozni a problémával.
2. Kifejezetten támadó céllal létrehozott, rosszindulatú weboldalon sem érhet kár, még ha önszántadból is mész.
3. Nem válsz áldozattá, ha összetett támadást indítanak ellened: például egy csalilevelet (phishing) megnézhetsz, hogy rosszindulatú weboldalra látogathass. Nem kell figyelned már a napokat, mert kijött a javítás, és lehetőséged van ismeretlen vagy gyanús oldalakat látogatni. Kattinthatsz például olyan linkre, ami olyan levélben található, ami feltétlenül pont erre a linkre kattintásra akar téged minden áron rávenni.
4. Az ilyen rosszindulatú kóddal rendelkező weboldalak a Microsoft adatai szerint jellemzően már Ázsiában sem fordulnak elő, Európában semmilyen ilyenről nem tudunk, Magyarországon pedig szintén egyetlen esetről sem tudunk.

( Charybdis | 2008. 12. 17., sze – 13:22 )

Aki Explorert használ még mindig, ahhoz úgysem jut el a hír, hogy váltani kéne mert vmi bibi van vele.