windows/ie beveiligingslek --> javascript uit?

Nou de beveiligingsfout zit hem in ActiveX. Ze proberen een Activex component in trusted zone te laden. Als je gewoon heel activex uitzet dan is het al goed. Waarschijnlijk alleen Activex aanzetten wat digitaal goedgekeurd is aanzetten, zodat windows update nog wel blijft draaien.

Maar Crisp had hier al een topic over gemaakt, alleen ging dat niet direct over windows update.

hier: Kwaadaardige javascript code?

[ Voor 8% gewijzigd door eghie op 27-06-2004 13:23 ]

spone schreef op 27 juni 2004 @ 13:27:
het is ook niet dat ik met een probleem zit hoor, maar ik vond het gewoon nogal scheef

Nee dat snap ik, maar het is juist scheef van Microsoft om te zeggen dat ze javascript uberhaubt al moeten uitzetten, omdat daar de fout niet zit. Dus eigenlijk dubbel zo scheef.

Ik heb via FA inderdaad wat kritische notes geplaatst bij de artikelen op de FP, voornamelijk omdat ik vind dat tezeer de nadruk wordt gelegd op het javascript stuk terwijl uiteindelijk lekken in IE en ActiveX de echte boosdoener zijn.
Het bevreemd mij nog steeds dat het javascript stuk zo uitgelicht wordt terwijl dat in het bronartikel helemaal niet het geval is. Ik vind het 1e artikel zoals geplaatst op Tnet dan ook verre van objectief, maar eerder populistisch en kort-door-de-bocht.

Hoe kan er nou sprake van zijn dat javascript zo kwaadaardig is als
1) hetzelfde script in andere browsers ook perfect uitgevoerd wordt maar geen gevaar oplevert
2) net zo goed VBScript had kunnen worden gebruikt om hetzelfde effect te genereren
?

Het advies van Microsoft om 'Active Scripting' (waar javascript dus onder valt) uit te zetten is natuurlijk quatsch - het halve internet werkt dan niet meer naar behoren waaronder inderdaad Windows Update en Tweakers.net zelf; je kan beter het probleem bij de bron aanpakken en ActiveX uitschakelen of een andere browser gebruiken (maar dat laatste zal Microsoft natuurlijk nooit zeggen).
Punt is echter dat het hele plugin-model in IE ook dmv ActiveX wordt afgehandeld, dus het uitschakelen van ActiveX betekent ook dat bijvoorbeeld Flash en Java niet meer werkt.

kan dit topic trouwens niet beter naar BV?

[ Voor 3% gewijzigd door crisp op 27-06-2004 15:50 ]

crisp schreef op 27 juni 2004 @ 15:49:
kan dit topic trouwens niet beter naar BV?

Imo beter naar de HK (of de trashcan, soortgelijk ). Ik zie totaal geen meerwaarde van dit topic behalve van: "kom, we duwen MS nog even wat verder grond in". Discussie what so ever wordt met zo'n topicstart nou niet echt uitgelokt . Want wat wil de TS'er nu precies met dit topic? Zijn stelling komt MEERDERE keren voor in het nieuwstopic op T.net en als je het technische aspect wilt bespreken op GoT kan je hopelijk een betere topicstart maken dan dit.

[ Voor 29% gewijzigd door We Are Borg op 27-06-2004 16:01 ]

Als je de smilies wegdenkt in de startpost heeft de topicstarter gewoon een serieus en valide punt. Ik ben het met je eens dat er verder weinig over te discusseren valt, en het risico op MS-bashing groot is, maar dat de stelling meermalen op de FP gemeld staat doet er niet echt toe; de FP is niet echt een discussie-medium, het forum is daar beter voor geschikt.

[ Voor 5% gewijzigd door crisp op 27-06-2004 16:11 ]

Het ActiveX model an sich lijkt me trouwens prima (zonder in details te treden) - het niet volledig kunnen scheiden van browser en OS is IMHO vervelender. Uit oogpunt van eenvoud en performance goed te begrijpen, vooralsnog en IMHO niet vanuit beveiligingsoogpunt.

Het ActiveX model is ook niets mis mee, net zomin als met het idee om verschillende zones te hanteren mbt privileges, alleen met de implementatie van laatstgenoemde gaat het regelmatig mis in IE - met wat simpele truukjes kan je de browser dusdanig foppen dat hij denkt in de local security zone te zitten, en vervolgens wordt er met scripting een dll, exe of ActiveX component (wat niet meer dan een package is met executables e.d.) in zo'n pagina aangeroepen en uitgevoerd.

Voor webbased applicaties is het natuurlijk heel handig om een component via de browser te laten interacten met dingen in de OS-laag (bijvoorbeeld het filesysteem - denk aan het gelijktijdig kunnen selecteren en uploaden van meerdere bestanden via een combobox). Voor Mozilla is er trouwens ook een ActiveX implementatie beschikbaar voor op windows systemen, en lokaal gebruik ik die ook wel eens voor experimenten - het is namelijk een uitkomst voor bepaalde intranet-applicaties.

Mwoa, voor specifieke zaken ActiveX + scripting + vele rechten nodig hebben kan ik niet vreemd vinden. Het zou heel onhandig worden als Windows- cq Officeupdate geen ActiveX + cilentside scripting zou gebruiken.

Beetje kromme vergelijking: als root gaan surfen onder Linux vindt ik niet echt handig, wordt ook zegmaar afgeraden. Maar toch doe ik wel su intikken als ik een install of update wil doen van het een of ander