IE:stä löytyi jälleen tietoturvareikiä

Eikö tästä Active Scriptingin kääntämisestä pois päältä ole ollut puhetta jo sitten vuoden 0 ? ja sitten sellainen makuasia, onko Reikä sama asia kun bugi ? Ainakin itse olisin sitä mieltä että Bugi on virhe ohjelmassa enkä nyt suoralta kädeltä sanoisi että Reikä on virhe ohjelmoinnissa.

Nuo abiturientti Pasi Ruhasen "asiantuntijamielipiteet" olivat kyllä hauskinta luettavaa vähään aikaan :) On argumentointi mennyt täällä aika heikolle tasolle jos lähdeviitteeksi kelpaa ihan mikä tahansa. "Kun se on netissä niin se on totta".

Sivukommenttina tähän keskusteluun haluaisin lisätä, että en kirjoittanut tuota viestiä jossa viitataan sivuilleni. Sinä-muodon käyttäminen jääköön siis pois.

- - pr (Pasi Ruhanen)

<clip>
Internet Explorerin sanotaan tekevän palvelimille ahnaasti yhteyksiä, jotta se näyttäisi nopeammalta.
</clip>

Virheellinen väittämä, jota vaihtoehtoselaimen käyttäjä ei korjaa... IE:n bashaus sivua viimeksi päivitetty kuitenkin jokin aika sitten ja tuo mainittu ongelma oli TCP/iP ajurin ongelma vuodelta 97.

Haluaisin hieman kommentoida tuota sinun "10 syytä sille, miksi kannattaa kokeilla vaihtoehtoselainta" http://www.pasiruhanen.net/IE)

Niin on. Mutta eivät muutkaan selaimet mitään rautamöhkäleitä ole. Koska IE on niin laajasti käytössä on sen turvallisuustekijät tarkimmin läpi käyty kun missään muussa selaimessa, niin kräkkereiden/hakkereiden/whatever, kuin tietoturva asiantuntijoidenkin toimesta. Ja kyllähän niitä reikiä tosiaan on! MacIntoshille ei ole viruksia, tarkoittaako että se Macit ovat immuuneja niille? Ei. Macille ei vain kannata kirjoittaa viruksia, koska viruksen levinneisyys olisi huomataavan rajattua. Sama homma selainten kohdalla

Totta tämäkin. Mutta tässä tapauksessa asia ei ole ollenkaan huono. Käytin pääsääntöisesti Operaa lähes vuoden ajan (ja vieläkin lähes päivittäin), ja täytyy sanoa että ei noista uusista "innovaatioista" paljoa iloa ollut. Ikinä en käyttänyt hiirieleitä, hakubokseja tai popup blokkereita, ja välilehtiselauskin alkoi vain ärsytti. Ja toistan: yritin opetella asiaa melkein vuoden ajan!

En ymmärrä oikein että mitä haittaa tästä on. Kiinnostaisi ihan oikeasti tietää mitä haittaa tästä mielestäsi on...

...Mutta niin tekevät muutkin. IE:ssä on omia html laajennuksia, jotka tekevät elämästä helpompaa. Täysin validin html:n käyttäminen (ilman IE laajennuksia) tekee sivuista joko a) vaikeita saada toimimaan halutulla tavalla tai b) raskaita, koska joudutaan käyttämään kiertopolkuja saman efektin aikaansaamiseksi joka IE laajennuksilla onnistuu yhdellä rivillä. Muistelkaapa Netscapen nelos versiota, ja sen omia viirauksia (joista kärsimme vieläkin)

Tämä on todella harmi. Eteen on tullut monta tilannetta jossa png olisi sopinut tilanteeseen loistavasti, mutta sitä ei vielä uskalla käyttää. Tosin niin kauan kun NS4:sta pitää tukea, ei IE ole ainoa syy tähän ongelmaan.

Microsoft on tosiaan pärssiyhtiö jonka päämääränä on tehdä rahaa. Ja rahaahan ei tehdä tuotteilla jotka ei sovi käyttäjille (YLEISTYS!!!). Eli kyllä sen M$:n on niitä käyttäjiäkin kuunneltava. Ero opensourcen ja mikkisoftan välillä on vain ketä kuunnellaan. Opensource kehityksestä vastaavat "teknologisesti edistyneet" käyttäjät, ja tuotteen kohderyhmäkin vastaava (vrt. teknologiset "innovaatiot"). M$ sen sijaan tekee tuotteita kaikelle kansalle.

Ps. Kuinka moni oikeasti ottaa osaa OpenSource kehitystyöhön?

Aika vähän sille Javalle on oikeasti todellista käyttötarvetta selaimessa, mutta silloin kun TODELLA on niin ärsyttäähän se jos pitää sen javaengine imuttaa vain sen takia että oikeus on niin päättänyt. Mutta tämä aihe on niin laaja, että en mene siihen sen syvemmin. Totean vaan että Java engine on tosiaan rikki.

Mutta miksi siitä pitäisi päästä eroon! Koska IE on niin sidoksissa Wintoosaan, tekee se siitä h-lvetin kätevän käyttää. Kerroppa minulle toinen selain jolla onnistuu yhtä kätevästi hakemistojen tarkastelu, ja netin selaamien. Jos et ole varsinaisesti IE:tä käyttänyt pääselaimena, et voi tietää mitä todellisia etuja tämä käyttikseen upottaminen tuo.

En ala kommentoimaan koska tämä ei koske IE:tä... (Outlook Express ei ole osa IE:tä samaan tyyliin kuin muiden selainten mail clientit)

Jep, tämähän se yleisin syy on vaihtaa pois IE:stä. Seuraavaksi kirppikselle ostoksille ;)

Olen täysin smaa mieltä. Viisaat tietokoneen käyttäjät tietävät, ettei täydellisiä tuotteita ole olemassakaan. Turva-aukkoja löytyy kaikista selaimistakin, mutta MS.ää on niin kiva haukkua.

Onneksi meillä on erilaisia käyttiksiä. Kaikista on iloa ja hyötyä kivikauteen verrattuna.

Kaikissa selaimissa on tosiaan bugeja, mutta IE:ssä niitä on monta kertaa enemmän kuin muissa selaimissa ja niiden korjaus kestää paljon kauemmin kuin muiden. Joten kyllä sille selaimen vaihtamiselle on perusteita, ei siitä mihinkään pääse.

Oletko siis sitä mieltä, että uusien bugien löytymisestä on turha uutisoida? Monet IE:n käyttäjät (esim. minä) saavat tiedon selaimen puutteista juuri Internetin uutispalveluiden kautta.

Juuri tämän takia olenkin itse säästynyt vaivalta käydä kaiken aikaa Microsoftin sivuilla päivityksiä/bugitiedotteita etsimässä - ja tämähän on pelkästään hyvä asia, koska uutisia luen muutenkin, joten tieto näistä kulkeutuu siinä samalla, samalla vaivalla.

Tällaisesta on hyvä - jopa välttämätöntä - uutisoida.

Mielestäni tuosta Operasta uutisoitiin kyllä. Tuossa pari juttua alempanahan se seisoo. Ainut ero on vain se, että tuo aukko on jo korjattu Operasta.

Juu, mutta katsos kun ne ovat jo _korjattu_ ennenkuin niitä hyödyntäviä viiruksia ehtii tulemaan. Nämä ovat edelleen IE:ssä...

Näistä opensource-aukoista... oletteko huomanneet että suurimman osan aukoista ovat löytäneet kehittäjät itse ja raportoineet asiasta & julkaisseet päivityksen?

Esim. Mozillaa kehittää kyllä aika suuri joukko ja sourcea tarkastelee vielä suurempi - viat useimmiten korjataan jo samana päivänä.

Ei sillä että IE olisi huono - kyllähän tuo IE 2-3 vuotta sitten oli ihan ok selain (Windows-ympäristössä), nyt on vain jäänyt pahasti kehityksen jalkoihin. Ei tabeja, ei pop-blockeria (tulossa kyllä, ja laajennuksilla saa..), tietoturva-aukkoja tiheään (IE:hän ei ole ns. oma ohjelmansa vaan käyttää Windowsin jaettuja rajapintoja, kuten tuota mshtml(mikäonkin) samaa engineä käyttää ie, outlook, explorer..), CSS-tuki on jäänyt jälkeen...

Mutta ajatellaanpa näinpäin.. nyt XP:n julkistuksesta on parisen vuotta... aukkoja & vikoja on korjailtu jo aika määrä ja XP+oheisohjelmat (mm. IE) alkavat olemaan kokonaisuutena jo melkolailla toimiva (tätä XP ei todellakaan ollut julkistushetkellä). Eli kyllä MS:lle hattua voi nostaa noista XP/IE/kumppanit patchailytahdista. Hm, enpä olisi uskonut että *nixien nimeen vannovana olisin tätä sanonut :)

Huono matikkapää. Afrikkalaisia suhteessa suomalaisiin on rutkasti paljon enemmän kuin Operan ja Safarin käyttäjiä suhteessa IE:n käyttäjiin. Kyllä IE:n ja Operan tietoturva-aukot kannattaa julkistaa sektorissa ja Afrikan ja Suomen nälänhätä-tapaukset uutisissa.

Edellämainutut faktat mitkä kiteyttyvät kommentissa viimeiseen lauseeseen, ovat ehdottomasti parhaimmat sektorissa koskaan näkemäni perustelut. Taidampa lähteä vetämään kaikille solarispurkeilleni init 0:aa ja kävelen Systemaan ostamaan PAREMMAT palvelinjärjestelmät.

Kappas, Hupsik on eksynyt Sektorin sivuille. Harmi että herran loisteliaat kotisivut ovat ilmeisesti kadonneet netin syövereistä. Vanhoja sivuja voi sentään ihastella Web Archivesta:

http://www.hupsik.com

Harvoin täällä saa lukea näin hyvää huumoria, ja sitten ne mennään modaamaan -1. käsittämätöntä. mitä huumorintajuttomia lahnoja siellä toimituksessa istuu?
Kai tämmöinen vitsailu on mukavampaa luettavaa kuin sota eri käyttöjärjestelmistä / selaimista?

imo Pisteet: +2

sinänsä hauskahkoon trolliin muuten kommentoimatta..

does not compute. miksi "lisää syitä vaihtaa windowsiin" on itsessään syy vaihtaa windowsiin.

Jos kat asioista ei pidetä hirveätä haloota, niin ongelmia ei ole. Kukaan ei tiedä joten se on ihan kunnossa.
Vaikka kyllähän se taitaa olla, että vaikka Hesarin etusivulla julkaistaisi kaikenmaailman bugi uutisia, niin voi olla että useimmalta jää päivittämättä. Eihän ne minun koneeseen iske, kun ei siellä mitään arvokasta ole...
Vähän offtopic... Säälittävää tosin tässä keskustelussa on se että siihen vedetään (aina) OS maailman salaliitto Mikkistä vastaan (tai toisinpäin) ja sitten huudellaan törkeyksiä anonyyminä. Ärsyttäviä nuo tuollaiset kommentoinnit, vaikka ne meneekin piiloon saadessaan miinuksia, mutta silti on aina ikävää kahlata pitkiä threadeja, kun niistä puolet on joko "OS haisee" tai "Mikkis haisee".

1) Useampi sähköpostivirus käynnistää itsensä auttomaattisesti käyttämällä outlookin html-parserin eli IE:n bugeja. Paras esimerkki SWEN joka käyttää iframe-exploittia.

2) Dialereta ja muita troijalaisia pakkoasennutetaan säännöllisesti epämääräisillä www-sivuilla käyttäen IE:n aukkoja. Esimerkkejä qhost, delude.b

http://www.techweb.com/wire/story/TWB20031002S0008

Lievempiä aukkoja käytetään jatkuvasti tunkemaan bookmarkkeihin ja kotisivuksi epämääräisiä saitteja.

Uutisryhmissä vähän aikaa sitten joku ihmetteli miten virus oli päässyt koneelle kun hänhän oli vain surffaillut nettisivuilla IE:llä.

Kyllä niitä siis ihan oikeasti hyödynnetään ja melkoisen paljonkin jopa. Tämä siksi koska IE on valtaselain, ja oletusasetuksilla ja varsinkin ilman turvapäivityksiä se on todella haavoittuvainen.

Asiaa ei helpota se, että monet aukoista ja ohjeet niiden hyödyntämiseen ovat julkisessa jaossa kaiken maailman scripti-lapsille.

Eli todennäköisyys sille että joku hyödyntää IE:n tietoturvareikäiä on 100% (Koska useita tapauksia on jo olemassa.)

Half-Life 2 sorsakoodit.

(Kä? eikö sektorisssa ole hakua vanhoista uutisista?)

Itseasiassa lähes kaikki irc:ssä leviävät virukset hyödyntävät tavalla tai toisella IE:n aukkoja. Yleensä nämä virukset tarttuessaan lisääväät mirc:in scripteihin pätkän joka näyttää kanavalla linkin ja yleensä sen perässä esimerkiksi lol tai jokin hymiö. Yleensä näihin linkkeihin tulee klikattua ja hups, kone on saastunut. Yleensä sivulla on jokin scripti joka hyödyntää nimenomaan IE:n tietoturva-aukkoa joka päästää ajamaa koodia kohde koneella.