Все новости от 23 декабря 2003 г.

Можно ли доверять open-source-поправке к IE?

На сайте Openwares.org опубликована поправка, решающая критическую проблему защиты веб-браузера Microsoft Internet Explorer, однако разработчики ПО и аналитики не рекомендуют ее устанавливать.

Уязвимость, о которой идет речь, позволяет IE показывать в поле адреса один URL, хотя отображаемая страница загружается совсем из другого места Сети. Это вынуждает пользователей опасаться махинаций типа выуживания банковских реквизитов, когда пользователю приходит письмо якобы из банка с просьбой кликнуть на ссылке, чтобы зайти на веб-сайт банка и «подтвердить» свои реквизиты. Грубые фальшивки такого рода распознать легко, так как в поле адреса указан URL, отличный от URL банка, но более изощренные схемы с использованием уязвимости IE делают подлог менее очевидным.

Несмотря на кажущуюся привлекательность загрузки поправки — эквивалента которой у Microsoft пока нет, аналитики не рекомендуют этого делать. Главный аналитик Ovum Грэм Титтерингтон с подозрением относится к патчу и рекомендует дождаться выхода официальной поправки, так как, даже если патч Openwares.org и работает, он может вызвать проблемы с установкой будущих обновлений от Microsoft. «У них нет доступа к исходному коду, а у Microsoft есть, — говорит Титтерингтон. — Даже если этот патч добросовестно выполнен и работает, в какой степени он совместим с будущими поправками Microsoft?».

Opensource.org, утверждает, что с момента публикации в прошлый понедельник патч загрузили около 1000 раз. Этот сайт публикует ПО, которое разрабатывают и присылают его читатели. Некоторые участники дискуссий среди программистов относятся к этой поправке с опаской, так как она отправляет адреса URL на серверы автора, что само по себе нечисто с точки зрения соблюдения privacy. Сторонники патча возражают на это, что переадресуются только подозрительные URL и без этого, возможно, не обойтись. К тому же Microsoft, признавшая наличие ошибки две недели назад, до сих пор так ничего и не предложила.

«Подождите, Microsoft выпустит патч, — уверяет Титтерингтон. — Информация об ошибке стала достоянием гласности без ведома Microsoft, поэтому компания не успела заблаговременно подготовиться».

В Microsoft не смогли прокомментировать ход дел по созданию поправки или дать какую-либо рекомендацию относительно использования патча open-source; однако на веб-сайте технической поддержки Knowledge Base компании в числе прочих решений пользователям советуют, прежде чем кликать на ссылках, скопировать их в notepad, чтобы увидеть реальный адрес назначения. Если в URL содержатся символы "%00", "%01" или "@", это подозрительно, если нет, то его можно смело открывать. В альтернативных браузерах, таких как Mozilla и Opera, такой проблемы не существует. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	Shadow 23 Dec 2003 1:14 PM
MS - импотенты.
	Bosch 23 Dec 2003 1:28 PM
Ну, это , скажем так, слишком резкое и глубоко необоснованное заявление...
	Shadow 23 Dec 2003 2:03 PM
Ок, просто устали :)))
	Black Sh.* 23 Dec 2003 3:51 PM
ну с каждым это может случиться. может и послать группу ВИА "ГРА"?
	Yuri Abele - yuriabelehotmail.com 23 Dec 2003 7:49 PM
Странно, что так долго Microsoft делает поправку. Ведь, на сколько я понял, весь прикол этой "покалеченной" ссылки в URL, в том, что в роли адресной строки служит обычный TextBox. И используется тот эфект, что в однострочном режиме работы все НЕ первые строчки уходят вниз и не отображаются. Сдесь же символ разрыва строки стоит в тексте подставляемого имени пользователя или пароля, благополучно пропускаемый браузером. Т.е. все что надо - в процедуре форматирования строки адреса (она срабатывает до реальной отправки запроса - к примеру пробелы заменяет на %20) заменять эти символы разрыва строки на те же URLEncode символы
	Chkaloff 23 Dec 2003 10:17 PM
>Странно, что так долго Microsoft делает поправку. Выпустят наверное скоро. Они же теперь поправки раз в месяц выпускают.
	bvp 24 Dec 2003 3:42 AM
-Shadow- Виагру пьешь?
	добрый 24 Dec 2003 10:26 AM
кстати, об импотентах ... был дефейс microsoft.com 19-го или это утка?
	Wintermute - devnul.ru 24 Dec 2003 2:02 PM
2 добрый: Во сколько?
	nenin 24 Dec 2003 5:42 PM
Re:[24 декабря, 2003, 10:26 - добрый] не дефейс это был, а эта самая глюковина. Про нее на ы=форуме iXBT писали. Файербёрда не цепляло, а ИЕ колбасило 8)
	Cheetah 24 Dec 2003 10:15 PM
На самом деле, при всем желании невозможно написать код объемом как в IE, в котором бы не было ни одного "скрытого дефекта". Коды вообще не для того пишутся, чтобы соответствовать неким идеальным нормам. Зато потом, при желании, можно в любом коде найти столько узких мест, что их годами исправлять... Было бы желание. И заинтересованные лица :-(
	Shadow 24 Dec 2003 10:16 PM
2bvp: Х..ми померяемся? :)
	Cheetah 24 Dec 2003 11:03 PM
2 nenin: > Плеер гунявый, форматы собственной разработки- вообще жуть. Готов поспорить, что еще года три назад ты ничего не имел против плеера, равно как и форматов. Впрочем как и все остальные ничего не имели против. Что же изменилось? Да просто это называется "психология толпы". На самом деле, если хорошо подумать, то никаких особых претензий к плееру, например, нет. Но думать и не надо, ведь если все говорят: плейер - отстой, фуфло и т.п., то наверное так оно и есть! И сразу находится масса недостатков. И ведь главное, что удобно - самостоятельно думать не надо! Отечественные совки (2 nenin: не о вас :-)) тем и славятся, что хронически, в тяжелой форме страдают синдромом толпы. Оттого случилась и Великая Октябрьская революция, и переворот начала 90-х... Думать не надо. Оттого выиграна Великая Отечественная. И построен социализм в СССР. Оттого сейчас Владимир Владимирыч - ну прямо царь батюшка, надежда и опора, свет в оконце, и портретики его в разных позах и с мудрым выражением лица висят чуть ли не над каждым начальственным креслом даже в самых малых фирмах. Оттого и МС пару лет назад был еще Wow, а теперь, извините, - sux. Оттого что не думать самостоятельно - легче и удобнее, чем думать.
	Cheetah 24 Dec 2003 11:20 PM
> В альтернативных браузерах, таких как Mozilla и Opera, такой проблемы не существует Вопрос в том, что еще не взялись за проблемы этих браузеров... Легче всего кричать, что МС и ее продукты - "отстой", и не думать о том, что это не более чем пляска под дудку конкурентов МС. -- В интересную тему меня занесло сегодня ;-))
	Cheetah 24 Dec 2003 11:43 PM
Shadow: > просто устали Устанешь тут, если подмял под себя практически весь рынок, расслабился, и тут вдруг как наехали со всех сторон... Только успевай уворачиваться от тухлых яиц ;-))
	Shadow 25 Dec 2003 7:51 PM
LOL! btw, плеер - что попало. zoom player рулит!
	Shadow 25 Dec 2003 7:55 PM
ВЕРНИТЕ MS ЕГО MOJO!!! =)))
	Cheetah 25 Dec 2003 10:32 PM
2 Shadow: :)))
	73137 4 Jan 2004 4:33 PM
2Cheetah А зачем писать код объемом как в ИЕ? Почему тот же фаерберд обходится несколькими метрами? Почему Опера без Явы вообще весит около 4М? Я всегда был противником лишнего кода. Хочешь улучшить функциональность - сделай базовый продукт расширяемым, модульным, а потом уже вешай на него всякие примочки. Я вообще, если бы писал браузер, все бы нафиг поразделял. Хочешь видеть голый текст без тегов? С тегами? С цветным выделением? С форматированием? С таблицами? С реальными адресами ссылок? Все, что можно, нужно отдать в руки юзера. О безопасности JS и говорить не хочется. И убрать нахрен все эти предупреждения об отключенных элементах - если я их отключил, значит так надо! Работа браузера должна быть полностью предсказуема. Если я "иду на сайт", браузер грузит по HTTP HTML документ и рендерит его. Редирект? Или автоматический, или подтверждаемый, причем для этого достаточно одного клика в настройках. И кнопки на панели, настраиваемой, как в офисе. У МС единственное, за что можно их браузер признавать - рендеринг. Поэтому и популярны надстройки типа AvantBrowser, MyIE, NetCaptor.