XSS-exploitartikel te tendentieus

Ik ben het er niet mee eens dat iets 'opgelost' is louter vanwege het feit dat de feature die de fout in gaat uitgezet kan worden. Feit blijft dat honderden miljoenen pc's met standaardinstellingen kwetsbaar zijn voor deze exploit.

[ Voor 7% gewijzigd door Wouter Tinus op 22-05-2007 17:48 ]

Over of het tendensieus is kan ik niet oordelen, wel ben ik het 100% eens met

Het zou netjes zijn om in het artikel (alsnog) te vermelden hoe het kan worden uitgezet.

[ Voor 22% gewijzigd door Verwijderd op 22-05-2007 17:49 ]

De houding van MS is ronduit belachelijk, en dat probeert T.net duidelijk te maken. Er lopen hier best een paar mensen rond die echt wel weten hoe "gevaarlijk" cross-site scripting is. Als MS dan doet alsof het niet hun probleem is, dan is dat een achterlijke instelling van MS.

Vertrouw er maar op dat creatieve mensen met deze exploits hele websites in een keer plat kunnen bombarderen, op het moment dat er bijvoorbeeld een grote site is die deze "feature" toelaat.

Als je dit te tendentieus vind, heb je volgens mij geen idee van de impact van dergelijke beveiligingslekken.

Eens. Maar ik vind dan wel dat het artikel op de frontpage de "oplossing" (ja, ik weet het, geen echte oplossing) niet in een klein font moet zetten, onopvallend. Nu lijkt het wel wat tendentieus, zo van "kijk t.net eens goed zijn, deze bug is door ons gevonden!"

Zorg ervoor dat je ook een "fix" duidelijk maakt.

Volgens mij staat in de URL onder het allerlaatste woordje van het hele artikel (onder het plaatje) de """fix"""?

Verwijderd schreef op dinsdag 22 mei 2007 @ 17:35:
Echter: De bug/exploit is al opgelost. Immers, de bewust feature kan al uitgezet worden.

Pas vanaf SP2 in winXP, dus dat laat nog een groot aantal gebruikers over waarbij het uitzetten van deze 'feature' niet mogelijk is. Daarbij kan (en zal) het uitschakelen van deze feature of simpelweg het ophogen van je securitylevel ook andere nadelige gevolgen hebben.

Het is dus inderdaad zoals MS zegt, een (exploitable) feature, niet een bug.

Het is sowieso al een violation van de HTTP specificatie en in zoverre ongewenst gedrag dat ik het woord 'bug' wel degelijk toepasbaar vind. Andere browsers doen ook aan content-sniffing, maar doen dat alleen bij het ontbreken van een Content-Type header (conform RFC2616) of in ieder geval op zo'n manier dat een image/xxx niet ineens als een heel ander soort content (text/xxx bijvoorbeeld) wordt behandeld.

De enige echte 'fix' imo is dus ook gewoon een alternatieve browser gebruiken

Trouwens, misschien is het niet geheel ontopic, maar het heeft hier wel mee te maken.

Ik vind het persoonlijk fantastisch natuurlijk dat jullie dit gevonden hebben, maar veel andere site's waren jullie al voor. Natuurlijk is dit een nieuwswaardig item, maar nu wordt het nieuws gebracht alsof jullie de eerste zijn die dit hebben uitgevonden. Dit vind ik een beetje raar staan eigenlijk.

Op deze pagina, die ook de eerste hit bij google is als je zoekt op "IE mime sniffing risks", staat deze exploit ook. Dit artikel is gepubliceerd op 2007-04-29, iets eerder dus. Vreemd dat jullie dit dan ofwel niet daar gevonden hebben, ofwel dat deze site niet als bron wordt genoemd?

XplodingForce schreef op dinsdag 22 mei 2007 @ 19:52:
Op deze pagina, die ook de eerste hit bij google is als je zoekt op "IE mime sniffing risks", staat deze exploit ook. Dit artikel is gepubliceerd op 2007-04-29, iets eerder dus. Vreemd dat jullie dit dan ofwel niet daar gevonden hebben, ofwel dat deze site niet als bron wordt genoemd?

Wie zegt dat dat artikel eerder was dan (de informant van) Tweakers.net? Dit staat er in de nieuwspost:

Eind vorige maand werd Tweakers.net-ontwikkelaar Tino Zijdel door een bezoeker op een bug in Internet Explorer 6 en 7 gewezen die het mogelijk maakt een cross site scripting-exploit uit te voeren.

[ Voor 16% gewijzigd door Hahn op 22-05-2007 19:58 ]

Dit artikel uit februari heeft het er ook al over:

http://www.splitbrain.org...ates_cross_site_scripting

Hahn schreef op dinsdag 22 mei 2007 @ 19:57:
[...]

Wie zegt dat dat artikel eerder was dan (de informant van) Tweakers.net? Dit staat er in de nieuwspost:

[...]

Eind vorige maand werd dat artikel gepubliceerd, ze wisten het dus wss al wat eerder, aangezien het nu pas op tweakers.net wordt gepubliceerd. Zoals Wouter Tinus zegt, het was dus zelfs al veel eerder bekend (dat had ik helaas nog niet gezien).

Er wordt ook niet gezegd dat dit een zero-day exploit is of dat het nog helemaal niet bekend was. Dat IE's mimetype-sniffing een bron is van problemen is zelfs al vele jaren bekend.

Het feit dat deze specifieke bug de laatste tijd steeds meer exploited lijkt te worden is echter wel nieuwswaardig. Daarbij hebben wij Microsoft expliciet gevraagd om commentaar en krijgen we enkel 'dat is by design' te horen hetgeen in onze ogen nogal een frappante opmerking is wat het hele verhaal nog nieuwswaardiger maakt en we het nuttig achtten om hier als 'grotere' nieuwssite ook eens aandacht aan te besteden om het zodoende naar een grotere groep mensen bekendheid te geven; blijkbaar is dat de enige manier om grote logge monopolisten die ondermaatse software leveren eens iets te doen aan de kwaliteit van hun produkten (althans, dat hopen we dan maar)

Waarom IE een valide PNG-image met correcte Content-Type header bijvoorbeeld toch anders blijkt te interpreteren wanneer je er direct naar linkt is ons bijvoorbeeld een raadsel en zou ik zeker niet 'by design' willen noemen. MS geeft aan dat site-owners zelf verantwoordelijk zijn voor het 'sanitizen' van user-provided content, maar hoe kan je iets sanitizen dat in beginsel gewoon valide is? Hoe sanitize je ueberhaupt binaire content buiten het compleet afwijzen van het bestand? En wat moet je precies sanitizen? Waar staat precies gespecificieerd op basis waarvan IE besluit of iets een plaatje of een HTML bestand is? En waarom zou je als site-owner rekening moeten gaan houden met dergelijk bizar gedrag van 1 enkele browser waar andere browsers dergelijk gedrag niet vertonen?

Reden genoeg om dit eens aan de kaak te stellen lijkt me, zeker als MS aangeeft dit geen probleem te vinden en er pas op langere termijn (lees IE8) eens een keer naar te gaan kijken...

[ Voor 50% gewijzigd door crisp op 22-05-2007 21:25 ]

De reactie van MS is erg tekenend: "We willen het niet veranderen, want dan werken zoveel sites niet meer". Dat zou betekenen dat die sites in andere browsers, die wel volgens de http-specs wel volgen, niet werken

En als ze weten dat het een gevaar is, zet die functie dan default uit! Stel je voor dat een autofabrikant je airbags standaard uit zet en concludeert dat dat acceptabel is omdat de klant ze aan kan zetten als hij dat wil

Grrrrrene schreef op woensdag 23 mei 2007 @ 10:18:
De reactie van MS is erg tekenend: "We willen het niet veranderen, want dan werken zoveel sites niet meer". Dat zou betekenen dat die sites in andere browsers, die wel volgens de http-specs wel volgen, niet werken

Idd, het "don't break the web" argument van MS vertaalt zich in veel gevallen naar "keep the web broken (en dependant on Internet Explorer)"

En als ze weten dat het een gevaar is, zet die functie dan default uit! Stel je voor dat een autofabrikant je airbags standaard uit zet en concludeert dat dat acceptabel is omdat de klant ze aan kan zetten als hij dat wil

Dat is een ander uiterste; andere browsers doen ook mimesniffing op content-basis indien er geen (correcte) Content-Type header is opgegeven, en gezien het feit dat genoeg webservers niet correct geconfigureerd zijn in de praktijk is dat ook noodzaak. Waar het om gaat is dat de manier waarop IE het doet in sommige gevallen incorrecte resultaten oplevert en daardoor soms zelfs een potentieel gevaarlijk resultaat. Ze zullen hun methode dus moeten verbeteren en daarbij een betere afweging moeten maken tussen functionaliteit en veiligheid.

Verwijderd schreef op woensdag 23 mei 2007 @ 14:26:
Deze laatste alinea van crisp is precies hou het artikel op de frontpage had moeten zijn...

Niet dat MS geen bug wil patchen... Maar dat de afweging wanneer noodzakelijk maar potentieel gevaarlijke features gebruikt worden bij MS niet in orde is.

In het artikel staat anders dat ze niet van plan zijn om deze bug te patchen:

quote: artikel

Opvallend genoeg verklaarde Microsoft tegenover Zijdel dat het gedrag van Internet Explorer als dusdanig bedoeld is en dat het bedrijf dan ook niet van plan is hier een patch voor te schrijven. Wel zal er bij een volgende IE-versie aandacht aan het probleem besteed worden.

Verwijderd schreef op woensdag 23 mei 2007 @ 14:26:
Deze laatste alinea van crisp is precies hou het artikel op de frontpage had moeten zijn...

Niet dat MS geen bug wil patchen... Maar dat de afweging wanneer noodzakelijk maar potentieel gevaarlijke features gebruikt worden bij MS niet in orde is.

Een valide PNG met correcte mimetype niet als plaatje laten zien is imo toch gewoon een bug; content-sniffing zou helemaal niet aan de orde moeten zijn als de data gewoon matched met de opgegeven content-type. Het is op zich al een beetje vreemd dat ze onderscheid maken tussen embedded en direct-linked.

Verder bagatelliseert Microsoft het probleem gewoon en wentelt het (zoals gewoonlijk weer eens) af op siteontwikkelaars en da's een kwalijke zaak.

crisp schreef op donderdag 24 mei 2007 @ 00:03:
[...]

Een valide PNG met correcte mimetype niet als plaatje laten zien is imo toch gewoon een bug;

Het eerste geval valt via een bepaalde logica nog wel wat voor te zeggen. De issue mbt PNG is inderdaad een duidelijk ander verhaal.

Alle twee de issues behoren gefixt te worden imo, maar voor de tweede issue zijn er geen excuses.

/me is blei dat MS de PE loader niet zo heeft gemaakt.

Verwijderd schreef op donderdag 24 mei 2007 @ 00:14:
[...]

Het eerste geval valt via een bepaalde logica nog wel wat voor te zeggen. De issue mbt PNG is inderdaad een duidelijk ander verhaal.

Alle twee de issues behoren gefixt te worden imo, maar voor de tweede issue zijn er geen excuses.

idd

Mijn mening is: als je op dergelijk fundamenteel niveau RFC's wenst te negeren dan moet je dat
a) aankaarten bij het IETF/W3C/whatever om aan te geven waarom de RFC niet voldoet en met voorstellen komen om de RFC's aan te passen en/of te verbeteren (waarbij automagisch dus al een toetsing plaats vind en eventuele problemen op voorhand al gelokaliseerd en opgelost kunnen worden)
en b) publiekelijke uitgebreide documentatie beschikbaar stellen over de eigen implementatie (http://msdn2.microsoft.com/en-us/library/ms775147.aspx zegt namelijk nog niet veel) zodat ontwikkelaars daarop in kunnen spelen en er rekening mee kunnen houden

Op dit moment blijft MS software op fundamentele zaken (zoals HTTP) eigenlijk gewoon een Pandora's box en blijf je als siteontwikkelaar bezig om MS' troep op te ruimen terwijl MS het vrolijk af blijft doen als 'by design'. Het lijkt er elke keer weer op dat er eerst een kalf moet verdrinken voordat er iets gedaan wordt. (en ondertussen kan er wel een complete flash-tegenhanger worden geintroduceerd terwijl de DOM en CSS-support in IE nog steeds om te janken is )