Internet Explorerista löytyi kolme tietoturvareikää

Pisterajan alittavia kommentteja piilossa.

Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.

Tuo Javascripti vaikuttaa enemmän vaaralliselta, tosin jäi sellainen kuva että vain tallennuksessa tuo näyttää HTML-tiedostolta mutta kun levyltä katsot se on ihan tavallinen exe, bat tai mikä vaan ajettava tiedosto, eli jos sattuu pitämään näkyvissä päätteitä niin ei ongelmaa. (Viruksen siis pitää olla ajettava tiedosto jonka ikoni olisi samanlainen kuin HTML-tiedostojen).

Tuo toinenkaan niin vakava ole sillä ainoa mitä se estää on kysymyksen "olenko nyt aivan varma jotta haluat ajaa tämän tiedoston jonka juuri latasit", joka on useissa tapauksessa hieman ärsyttävä koska yleensä käyttäjä tulisi tietää mitä lataa.

Korjatkaa jos nyt olin jossain väärässä.

Voitku

	Re: No ei kovin kummosia T-LintU, 18.11.2004 15:59:04	Pisteet: 0 Vastaa

Tuo Javascripti vaikuttaa enemmän vaaralliselta, tosin jäi sellainen kuva että vain tallennuksessa tuo näyttää HTML-tiedostolta mutta kun levyltä katsot se on ihan tavallinen exe, bat tai mikä vaan ajettava tiedosto, eli jos sattuu pitämään näkyvissä päätteitä niin ei ongelmaa. (Viruksen siis pitää olla ajettava tiedosto jonka ikoni olisi samanlainen kuin HTML-tiedostojen).

Kuinkahan se näkyy latauduttua? Eikös siinä (ie) ole edelleenkin se erillinen latausikkuna, joka jää oletuksena päälle ja siitä voi avata sen tiedoston? Hieman eri kynnys tallentaa/avata HTML-filu, kuin .exe.

Entäs kun vastaan tulee jokin "todella hassu vitsi"-linkki, jota napauttamalla kysytään haluatko tallentaa tiedoston. Käyttäjä katsoo ja näyttää turvalliselta HTML-tiedostolta, hyväksyy latauksen ja latausikkunasta losauttaa sen päälle?

Voi olla, että ymmärsin asian jotenkin väärin.

Tuo toinenkaan niin vakava ole sillä ainoa mitä se estää on kysymyksen "olenko nyt aivan varma jotta haluat ajaa tämän tiedoston jonka juuri latasit", joka on useissa tapauksessa hieman ärsyttävä koska yleensä käyttäjä tulisi tietää mitä lataa.

Kuinkas sitä ensimmäisen jälkeen voi tietää?

	Re: No ei kovin kummosia Anomuumi, 18.11.2004 11:50:00	Pisteet: 0 Vastaa

Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.

Kokemukseni mukaan on käytännössä sama, yrittääkö IE:n kanssa vältellä epämääräisiä sivuja tai ei, pop-up -ikkunahelvettiin sitä päätyy kuitenkin joka kerta. Vaikea ainakaan tavallisen noviisikäyttäjän on latausta estääkään, kun työntävät modaalisia ikkunoita ja "epäilyttävää tavaraa" meta refreshillä niin, että virustentorjuntakaan ei enää pelasta.

Microsoft, is that some kind of toilet paper?

	Re: No ei kovin kummosia daimoni, 18.11.2004 12:42:27	Pisteet: 0 Vastaa

Kokemukseni mukaan on käytännössä sama, yrittääkö IE:n kanssa vältellä epämääräisiä sivuja tai ei, pop-up -ikkunahelvettiin sitä päätyy kuitenkin joka kerta.

Ainakin minun IE6 SP2 pisti popup-blockerin ihan defaulttina päälle, eli eipä popupeja IE:llä näy.
Ei, en sitä käytä kuitenkaan ;) Siinä vaiheessa kun selain sanoo ei-oota ctrl-t (tai muu saman asian tekevä pikanäppäin) eikä aukea uutta tabia, lähtee selain vaihtoon...

"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija

	Re: No ei kovin kummosia matpak, 18.11.2004 11:48:27	Pisteet: 0 Vastaa

Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.

No miten sen nyt ottaa. Pertti Peruskäyttäjä haluaa vain päästä niistä varoitusikkunoista eroon mahdollisimman nopeasti jotain klikkaamalla. Jos niitä ikkunoita poksahtelee jatkuvasti niin kokeillaan sitten sitä toista nappulaa jos vaikka loppuisi.

Suurin osa pahimmista sähköpostimadoistakin on perustunut siihen, että käyttäjä avaa (ajaa) liitetiedoston, eli kyllä tästäkin ongelmaksi asti saattaa olla. Todennäköisesti tuon käyttö rajoittuu kuitenkin vain epämääräisille sivuille, jotka ujuttavat esim spywarea ja modeemin soittosarjaa vaihtavaa softaa koneelle. En tiedä onko juuri tätä aukkoa jo käytetty, mutta olen joskus törmännyt sivuun, jolla (päivittämätön? ei ollut oma kone) IE asenteli automaattisesti jonkin softan mutta Mozillassa tuli download-ikkuna tiedostosta jossa oli kikkailtu tiedostonimen ja MIME-tyypin kanssa. Niin ja sivusto oli päällisin puolin ihan asiallisen näköinen shareware-sivusto.

mizaru, kikazaru, iwazaru.

	Re: No ei kovin kummosia feenix, 18.11.2004 14:00:29	Pisteet: 0 Vastaa

No miten sen nyt ottaa. Pertti Peruskäyttäjä haluaa vain päästä niistä varoitusikkunoista eroon mahdollisimman nopeasti jotain klikkaamalla. Jos niitä ikkunoita poksahtelee jatkuvasti niin kokeillaan sitten sitä toista nappulaa jos vaikka loppuisi.

Liekö tämä ollut MS:lläkin mielessä kun laittoivat nuo varoitukset tulemaan osaksi sivunäkymää, eikä erillisinä viesti-ikkunoina. Varmasti käyttäjä jossain välissä todellakin heittäisi vastaukseksi "tee mitä lystäät KUNHAN ET KIUSAA MUA ENÄÄ!!11", mutta kun laitetaankin vaan pieni palkki, se ei haittaa niin paljon eikä käyttäjä mokaa heti valitsemalla väärää vaihtoehtoa.

< jolloin käyttäjä voidaan saada lataamaan koneelleen haitallisia tiedostoja
Eli jos Windows ei varoita että tiedosto on exe-päätteinen niin se on aivan pakko ladata ja sitten avata se exe-tiedosto?

	Re: Tosi kriittistä K2, 18.11.2004 11:00:08	Pisteet: +1 Vastaa

Eli jos Windows ei varoita että tiedosto on exe-päätteinen niin se on aivan pakko ladata ja sitten avata se exe-tiedosto?

Jos kerran tiedostopäätettä ei näytetä, vaan selain väittää sen olevan HTML-tiedosto, niin käyttäjä ei tiedä sen olevan exe-päätteinen. Lisäksi jotkut selaimet tarjoavat vaihtoehtoa "open this file when download finishes" suoraan selaimen imurointi-ikkunasta, joten ei sitä päätettä välttämättä ehdi näkemään missään vaiheessa., varsinkin kun jonkun pienen pöpötiedoston lataus tapahtuu alle sekunnissa ja kyseinen ikkuna vain vilahtaa ruudulla.

Kuinka monelle Pelle Peruskäyttäjälle tuon exe-päätteen merkitys edes on tuttu? Useimmat Sektorin lukijat varmaan osaisivat välttää tämän ongelmakohdan aika helposti, mutta maailma on täynnä tietokoneiden käyttäjiä, jotka ei kuitenkaan tunne esimerkiksi tiedostopäätteiden merkitystä.

	Re: Tosi kriittistä Saltsa, 18.11.2004 13:33:37	Pisteet: +1 Vastaa

Kuinka monelle Pelle Peruskäyttäjälle tuon exe-päätteen merkitys edes on tuttu? Useimmat Sektorin lukijat varmaan osaisivat välttää tämän ongelmakohdan aika helposti, mutta maailma on täynnä tietokoneiden käyttäjiä, jotka ei kuitenkaan tunne esimerkiksi tiedostopäätteiden merkitystä.

Niin, tuon voi estää laittamalla windows näyttämään ne tunnettujen tiedostojen pääteet, joka on joka tapauksessa viisasta. Mielestäni windowssin/tietokoneiden tekeminen "liian" helpoksi aiheuttaa vain lisää ongelmia. Koska jo nyt eivät käyttäjät tiedä tai tajua, mitä tekevät, niin miksi tajuaisivat tulevaisuudessakaan, koska koneen käyttö onnistuu liian helposti. Tästä seuraa se, että koko ajan pitää kehittää lisää tietoturvan parannuksia, kohta varmaan on estettävä esimerkiksi komentorivin käyttö, sillä joku käyttäjä voi lukea ohjeita netistä ja mennä kirjoittelemaan sinne esim. format c:.

	Re: Tosi kriittistä K2, 18.11.2004 15:02:42	Pisteet: +1 Vastaa

Mielestäni windowssin/tietokoneiden tekeminen "liian" helpoksi aiheuttaa vain lisää ongelmia. Koska jo nyt eivät käyttäjät tiedä tai tajua, mitä tekevät, niin miksi tajuaisivat tulevaisuudessakaan, koska koneen käyttö onnistuu liian helposti. Tästä seuraa se, että koko ajan pitää kehittää lisää tietoturvan parannuksia, kohta varmaan on estettävä esimerkiksi komentorivin käyttö, sillä joku käyttäjä voi lukea ohjeita netistä ja mennä kirjoittelemaan sinne esim. format c:.

On aivan väärä lähtökohta mollata liian helppoa käyttöliittymää. Päinvastoin, Windowsin käyttöliittymä on edelleen ihan liian monimutkainen. Käyttäjien ei todellakaan pidä ymmärtää teknologiasta mitään, esimerkiksi tiedostojärjestelmän ymmärtämisen pitääkin olla hepreaa. Käyttöliittymää ja teknologiaa yleensäkin tulee parantaa niin, ettei ongelmia synny. Ei ole mitään järkeä tehdä tietoturvasta huonoa ja vaatia käyttäjiltä parempaa osaamista.

Ihmisten täytyy pystyä keskittymään työtehtäviin eikä työkaluihin. Aivan kuten vasaraa käytettäessä. Vaikka tietokonesovellukset ja niiden käyttöliittymät eivät koskaan pääsekään vasaran tasolle, niin parannettavaa on ja paljon.

Windows on edelleen älyttömän kaukana mm. Macintoshin helppokäyttöisyydestä. Mäkkiä haukutaan pitkältikin siksi, että se ei anna juurikaan säätömahdollisuuksia käyttäjälle, ellei järjestelmää todella tunne hyvin. Haloo! Ei hyvää järjestelmää tarvitsekaan säätää jatkuvasti. Enkä nyt tarkoita, että Mac OS X vielä olisi valmis malli hyvästä käyttöliittymästä, mutta siinä on monia ominaisuuksia, joita Windowsia käyttäessäni kaipaan. Toki Mac OS X:stä puuttuu vastavuoroisesti Windowsista löytyviä ominaisuuksia.

Pisterajan alittavia kommentteja piilossa.

Internet Explorerista löytyi kolme tietoturvareikää

Secunia: IE:ssä useita aukinaisia haavoittuvuuksia

Windows XP SP2:ssa kaksi lievää tietoturvareikää

IE:ssä neljä uutta kriittistä haavoittuvuutta

Internet Explorerista löytyi paha tietoturvareikä

Internet Explorerista löytynyt jälleen tietoturvareikä

Kommentoi juttua