[Nieuws] Opnieuw kritieke lekken in IE ontdekt

Tsja, da's weer typisch zo'n programma wat veel te snel op de markt moest komen omdat er geld in het laadje moest komen.
Testen zijn er blijkbaar nauwelijks uitgevoerd, gezien het aantal lekken wat er naderhand wordt gevonden waarvoor men dan maar weer een update moet downloaden.
Ik vind dat daar toch eens iets aan moet worden gedaan door de consumentenbond o.i.d., iedereen heeft recht op garantie, een product dient goed te zijn, dus waarom zou dat niet voor IE gelden (of voor Windows in het algemeen).

IE heeft de wind niet mee, maar ja.... 2-3 jaar geleden zijn ze gestopt me innoveren en sinds die tijd is de ondersteuning van standaarden om te huilen.

En dan ook nog de altijd opduikende fouten...

En het grootste probleem..dat vroeger een van de goede punten was trouwens..dat IE ZWAAR in het hart van windows verankert ligt! Daardoor is elke fout niet licht gevaarlijk..maar extreem gevaarlijk..want zodra een file binnen is kan hij zichzelf overal installeren!

IE moet ge-sandboxed worden .. en zulke verandering neemt tijd. Eigenlijk moeten er 2 IE's komen... een voor OS en programma's en een voor internet pagina's ! Die los van elkaar werken!

[half offtopic]
een product moet zijn geld waard zijn, het hoeft niet perfect te zijn. het moet zijn wat je er van kunt verwachten gezien de kosten.
als jij het het geld niet waard vindt (zoals ik) kun je overstappen op een ander alternatief (zoals linux of MacOS).
[/half offtopic]
* smokalot gaat vandaag maar eens een aantal huisgenoten op firefox overzetten.

we zitten hier met een paar duizend man op een studentennetwerk, walhalla voor virussen/wormen...

Als je tegenwoordig XP installeert hier moet je gewoon de updates op een CD branden en dan installeren, want zodra je de netwerkkabel erin prikt (om de updates op die manier binnen te krijgen) ben je gewoon besmet met van alles en nogwat.

[ Voor 4% gewijzigd door smokalot op 14-07-2004 11:46 . Reden: typo ]

Internet Explorer had er nooit moeten komen. Laat zoals Netscape en andere browser hun gang gaan. Dat IE gratis werd toendertijd in 1995 was leuk maar heeft zoveel nadelige gevolgen gehad. Ik geloof dat IE3/4 de meest veilige browser is maar wat daarna is gekomen is ook helemaal niets eigenlijk. IE6 crasht op alles waarop het maar kan crashen. Ik gebruik IE alleen omdat het snel is maar voor Java, flash en zo gebruik ik Netscape omdat het stabieler is.

smokalot schreef op 14 juli 2004 @ 11:18:
[half offtopic]
een product moet zijn geld waard zijn, het hoeft niet perfect te zijn. het moet zijn wat je er van kunt verwachten gezien de kosten.
als jij het het geld niet waard vindt (zoals ik) kun je overstappen op een ander alternatief (zoals linux of MacOS).
[/half offtopic]
* smokalot gaat vandaag maar eens een aantal huisgenoten op firefox overzetten.

we zitten hier met een paar duizend man op een studentennetwerk, walhalla voor virussen/wormen...

Als je tegenwoordig XP installeert hier moet je gewoon de updates op een CD branden en dan installeren, want zodra je de netwerkkabel erin prikt (om de updates op die manier binnen te krijgen) ben je gewoon besmet met van alles en nogwat.
[/half

Ik gebruik altijd eerst wat tooljes van GRC.com om de grootste gaten en fouten af te dichten voordat ik a.u.b. aan updaten denk!

Ik zie vaak veel kritiek op MS, maar waarom nu? Waarom wordt de schuld in de schoenen van MS gestoken? Het wordt tijd dat er eens wat mensen dat Linux en alles gaan kraken! Kijken hoe iedereen dan reageerd. Wat dat zie ik gebeuren, MS ontdekt een fout, maakt er een patch voor, en dan gaat iedereen klagen! Wees blij dat er een patch uit komt! En dan nog, als ik de skills had om Linux en alles te hacken, zou ik het zo doen, kijken hoe snel iedereen terug krabbelt naar MS.

Het klinkt misschien als onzin, maar iedereen moet eens inzien dat MS niet altijd zo slecht is. Elk nieuws dat er uit komt wordt negatief gezien. Dat er een patch uitkomt is toch juist positief nieuws?

Ik heb zowel Linux als MS, dus daar ligt het niet aan. En nee ik ben geen MS fan, maar ook geen Linux fan (zo draait de helft van mijn hardware niet, maar dat komt omdat het allemaal troep is wat ik in mijn PC heb aan hardware). Dus ga nu niet zeggen dat ik een MS fanboy ben, want ik scheld ook wele ens op MS (vaak zelfs).

Maar om nu dit bericht zó te bekritiseren, dat het bijna een flame is, nee, wordt volwassen...

itsalex schreef op 14 juli 2004 @ 11:23:

Internet Explorer had er nooit moeten komen.

Als IE er niet was geweest was Netscape ook nooit voorbij het ultiem brakke stadium gekomen waar ze een paar jaar geleden in zaten.

Er zijn ook nog andere reden voor de meerdere veiligheidsproblemen van IE. De computermarkt groeit snel en ook het aantal mensen met minder goede bedoelingen neemt toe. Zo zullen zij zoeken naar gaten in de beveiliging. Laten we er vanuitgaan dat er in Netscape en dergelijke (Mozilla etc) ook dergelijke veiligheidlekken zitten maar daar wordt minder aandacht op gevestigd omdat nog steeds een goeie 95% van het Internetbrower aandeel bij Microsoft ligt.

Edit: agree with Proller; mensen vinden het nou eenmaal leuk om Softwaregigant MS te viseren ;-)

[ Voor 10% gewijzigd door Nick The Heazk op 14-07-2004 11:30 ]

En daarnaast, is de inbreker fout of degene die per ongeluk zijn deur open laat staan?

Ik vind het persoonlijk wat belachelijk dat er altijd maar wordt afgegeven op IE.
Zo hebben andere, onpopulaire browsers ook hun fouten, echter minder mensen zoeken er naar want de doelgroep is veel kleiner. Wat kan een hacker nu doen met een lek in een browser waar nog geen procent van de internetgebruikers mee surft?
Kritiek geven op MS is gewoon gemakkelijk, en getuigt van weinig inzicht in het geheel.

En laat er nu nog lekken geconstateerd worden... hoevaak heb je er last van?? Hoevaak kom je op sites waar hackers je PC trachten over te nemen? Als dat daadwerkelijk gebeurt, dan zit je zelf op verkeerde sites te surfen, immers zo dingen ga je niet tegenkomen als je op "degelijke" sites ronddoolt.

Ik werk als web-developer, zit dus dagelijks op het net, en heb nog nooit enige last ondervonden van gevolgen van enig lek in IE. Go figure...

Alle kritiek is gewoon opgeblazen, en dat weet iedereen, linux-mensjes (hoop ik) ook...

[ Voor 17% gewijzigd door gill op 14-07-2004 12:57 ]

Dit topic past perfect in BV

SA > BV

Ik heb een half jaar lang, zonder Firewall, zonder AV scanner zonder Windows Updates, maar met Adaware, mijn PC gebruikt, er is nooit wat mee gebeurd, ik heb NAV2004 Trial gedownload, en laten scannen, en wat vind hij? Twee pieplullige bestandjes waar mogenlijk een virus in zit (wat achteraf niet eens zo erg blijkt te zijn). Ik kan het best zonder updates, maar het is gewoon altijd goed om te zien dat er patches zijn, voor net dat beetje extra bescherming.

Ik draai ook een AV-pakket op alle 4 m'n pcs, maar die heeft nog nooit in actie hoeven komen.

Ik gebruik uitsluitend IE, maar heb daar nog nooit last mee gehad.

Ik draai een firewall, maar zie daar nooit iets verdachts in voorkomen.

Ik draai al maanden een 2003 server in m'n DMZ, nergens last van.

Het wordt ook allemaal zo opgeblazen ook... Kwestie van opletten en nadenken mensen!

swampy schreef op 14 juli 2004 @ 11:24:
[...]


Ik gebruik altijd eerst wat tooljes van GRC.com om de grootste gaten en fouten af te dichten voordat ik a.u.b. aan updaten denk!

zelfs dat zou toch niet nodig moeten zijn, en je moet alsnog moeilijk doen met CDs, want via het netwerk KAN dus gewoon niet.

proller schreef op 14 juli 2004 @ 11:27:
Ik zie vaak veel kritiek op MS, maar waarom nu? Waarom wordt de schuld in de schoenen van MS gestoken? Het wordt tijd dat er eens wat mensen dat Linux en alles gaan kraken! Kijken hoe iedereen dan reageerd. Wat dat zie ik gebeuren, MS ontdekt een fout, maakt er een patch voor, en dan gaat iedereen klagen! Wees blij dat er een patch uit komt! En dan nog, als ik de skills had om Linux en alles te hacken, zou ik het zo doen, kijken hoe snel iedereen terug krabbelt naar MS.

[knip]

het is geen toeval dat jij de skills niet hebt om Linux te kraken

het is ook geen toeval dat de maker van Sasser een jongen van 18 was, onervaren enzo.

MS heeft onder het mom van gebruikersvriendelijkheid dingen bedacht als ActiveX, en het automatisch openen van mail enzo. Nu blijkt dat door deze gebruikersvriendelijkheid gebruikers nogal wat acties moeten ondernemen om de boel een beetje veilig te houden.

Verwijderd schreef op 14 juli 2004 @ 11:31:
En daarnaast, is de inbreker fout of degene die per ongeluk zijn deur open laat staan?

iemand die zijn PC open laat staan is onverantwoordelijk bezig, deze kan namelijk misbruikt worden tegen andere PCs. in jouw analogie: iemand die de deur van zijn huis laat openstaan, waar ook een geladen geweer in ligt.

Verwijderd schreef op 14 juli 2004 @ 11:48:
Ik draai een firewall, maar zie daar nooit iets verdachts in voorkomen.

Tijd om je flink zorgen te gaan maken.

Ik ken ook syteembeheerders die zeggen dat ze nog nooit gehacked zijn.
Ik heb meer vertrouwen in sysadmins die zeggen enkele keren gehacked te zijn. Die letten tenminste op.

Nouja, nooit, af en toe een poortscan maar niet echt iets om je zorgen over te maken. En ik let zeker wel op, dat is mijn beroep zelfs. Maar ik vertel anderen ook op te letten.

Mijn vriendin, die in principe weinig van pc's weet, weet wel dat ze 'rare' mail ongelezen en ongeopend weg moet knikkeren. Dat ze rare pop-ups op websites altijd met nee moet beantwoorden, of wegklikken. Of even komen vragen wat het is. Ze gebruikt al tijden Outlook Express, nooit een probleem mee gehad. En nee, dat is geen naiviteit - dat weet ik zeker.

proller schreef op 14 juli 2004 @ 11:27:
Wat dat zie ik gebeuren, MS ontdekt een fout, maakt er een patch voor, en dan gaat iedereen klagen! Wees blij dat er een patch uit komt!

Hmmm, misschien even 't bericht lezen:

Omdat er voor geen van de problemen een patch voorhanden is (Secunia meldt niet of Microsoft al van deze nieuwe lekken op de hoogte is) adviseert de beveiligingssite om de optie 'active scripting' in de browser uit te schakelen.

En begin nou niet over 'ja maar er komt zeer binnenkort wel een patch voor' want ten eerste is de patchdag net geweest, en ten tweede zijn er nog tig bugs in IE die nog niet gefixt zijn (bron).

proller schreef op 14 juli 2004 @ 11:42:
Ik heb een half jaar lang, zonder Firewall, zonder AV scanner zonder Windows Updates, maar met Adaware, mijn PC gebruikt, er is nooit wat mee gebeurd, ik heb NAV2004 Trial gedownload, en laten scannen, en wat vind hij? Twee pieplullige bestandjes waar mogenlijk een virus in zit (wat achteraf niet eens zo erg blijkt te zijn). Ik kan het best zonder updates, maar het is gewoon altijd goed om te zien dat er patches zijn, voor net dat beetje extra bescherming.

Haal dan op z'n minst meerdere AV's over je systeem heen. NAV vind ik nou niet echt representatief.

@al die mensen die vinden dat de kritiek op MS/IE onterecht is.

De patches van gisteren losten o.a. 2 lekken op die 6-7 maanden geleden zijn ontdekt. Dit is absoluut niet normaal. deze, en nog veel meer, lekken in IE worden al maanden lang misbruikt door malware.
Nu komt MS met patches die een paar problemen oplossen, maar er zijn sinds een half jaar geleden al weer tig andere zeer kritieke lekken in IE ontdekt.
Gaat MS die dan eind 2004, begin 2005 dichten?

Het is dwijlen met de kraan open op het moment met IE. MS heeft belooft om binnen 48 uur met patches te komen. (weet niet of dat voor al hun producten zou moeten gelden, dus correct me if I'm wrong). Een half jaar om wat lekken in je browser te dichten is echt te gortig.

En als ze dan met een fix komen (ADODB.stream) dan is het maar gedeeltelijk opgelost, en is het met een kleine modificatie te omzeilen.

Kijk voor de gein eens in dit forum (en andere fora) hoeveel mensen steen en been klagen over spyware die ze niet verwijdert krijgen. 99% van die spyware installeert zich zonder gebruikers interventie omdat MS lekken in IE niet dicht.

Alle kritiek is dus zeer zeker wel terecht. IE is zo lek als een mandje, elke week worden er nieuwe (kritieke) lekken ontdekt (en dan hebben we het nog niet eens over lekken die nog niet ontdekt zijn, maar wel worden gebruikt door blackhats die voor spyware fabrikanten werken b.v.).
IE is fundamenteel verkeerd opgebouwd,: cross zone vuls b.v., activex implementatie, keihard geintegreerd met het OS, waardoor elk IE lek meteen zeer gevaarlijk wordt.

Maar goed, er zullen altijd MS fans blijven die vinden dat alle kritiek onterecht is.
IK gebruik zelf ook MS, ik verkoop MS, ik support MS, maar ook opensource.
Dit is geen rant of wat dan ook, maar gewoon een realistische uiteenzetting.

[OT] De nieuwste phrack www.phrack.org gaat trouwens grotendeels over windows exploits/shellcodes/backdoors/ect. Leuk leesvoer.

De kritiek op MS en IE is op veel punten best terecht. Dat hiermee het einde van de wereld in zicht zou zijn zoals vaak n.a.v. dit soort berichten wordt beweert, is vaak wat overtrokken.

Je ziet altijd maar weer dat de beste stuurlui aan wal staan.. of was iemand de shell: exploit in alle Mozilla distributies alweer vergeten omdat het niet een product van Microsoft is Ik kon zomaar een format c: doen als ik wilde.

Er is momenteel gewoon een heksenjacht op het vinden van bugs en het behalen van zoveel mogelijk publiciteit voor je bedrijf, want het is nu eenmaal zo dat als er in één zin het woord "bug" en "msie" staan de hele wereld aan de voeten ligt van de bron zonder na te gaan op welke manier de exploit te gebruiken is. En de bron gniffelt, ... zijn bedrijf is zonder alteveel effort in het nieuws... wereldwijd.

[ Voor 6% gewijzigd door Verwijderd op 14-07-2004 12:33 ]

Verwijderd schreef op 14 juli 2004 @ 12:31:
Je ziet altijd maar weer dat de beste stuurlui aan wal staan.. of was iemand de shell: exploit in alle Mozilla distributies alweer vergeten omdat het niet een product van Microsoft is Ik kon zomaar een format c: doen als ik wilde.

Gordijnstok je vergeet ook te melden dat Mozilla organisatie op de dag dat de exploit bekend werd gemaakt al een update en patch had klaarstaan. Microsoft heeft gisteren dus lekken gedicht die al een x aantal maanden bestonden.

Mijn punt van kritiek op microsoft is, een open source community het wel kan m.b.t. tot veiligheid en continu verder ontwikkelen van een producten.

Verwijderd schreef op 14 juli 2004 @ 12:31:
Je ziet altijd maar weer dat de beste stuurlui aan wal staan.. of was iemand de shell: exploit in alle Mozilla distributies alweer vergeten omdat het niet een product van Microsoft is Ik kon zomaar een format c: doen als ik wilde.

Er is momenteel gewoon een heksenjacht op het vinden van bugs en het behalen van zoveel mogelijk publiciteit voor je bedrijf, want het is nu eenmaal zo dat als er in één zin het woord "bug" en "msie" staan de hele wereld aan de voeten ligt van de bron zonder na te gaan op welke manier de exploit te gebruiken is. En de bron gniffelt, ... zijn bedrijf is zonder alteveel effort in het nieuws... wereldwijd.

Dan ben je toch verkeerd ingelicht over deze bug want deze deed zich alleen voor op WINDOWS systemen dus wie is er dan fout ??
En volgens mij was er 7 uur later een patch daar kan microsoft iets van leren !!!!!

lordgandalf schreef op 14 juli 2004 @ 14:09:
[...]


Dan ben je toch verkeerd ingelicht over deze bug want deze deed zich alleen voor op WINDOWS systemen dus wie is er dan fout ??
En volgens mij was er 7 uur later een patch daar kan microsoft iets van leren !!!!!

Euh, als je iets beter leest zie je dat hij zijn windows dankzij mozilla heeft mogen herinstalleren...

nee hij zij dat hij format c: kon uitvoeren maar het is bewezen dat deze "feature" zich alleen maar voordoet op mozilla browsers op het windows platform en dat dit dus in feite niet door mozilla komt maar door een "feature" van de heren uit redmond.

Ik kon zomaar een format c: doen als ik wilde

Maar mozilla had toch binnen 7 uur een tijdelijke patch en nu zelfs al een nieuwe release voor de windows gebruikers dus dat vindt ik dan iets beter dan een paar maanden wachten op oude patches.

[ Voor 15% gewijzigd door lordgandalf op 14-07-2004 14:40 ]

Zoals ik al eerder schreef, het al dan niet nodig hebben van patches hangt af van de gebruiker...

gill schreef op 14 juli 2004 @ 11:36:
Kritiek geven op MS is gewoon gemakkelijk, en getuigt van weinig inzicht in het geheel.

Och, kritiek geven is niets mis mee, als het maar gefundeerd wordt gedaan.
Kritisch blijven lijkt me beter dan alles maar voor waar aannemen.

En laat er nu nog lekken geconstateerd worden... hoevaak heb je er last van?? Hoevaak kom je op sites waar hackers je PC trachten over te nemen? Als dat daadwerkelijk gebeurt, dan zit je zelf op verkeerde sites te surfen, immers zo dingen ga je niet tegenkomen als je op "degelijke" sites ronddoolt.

Hmmm, herinner je deze nog: http://www.cnn.com/2004/T...rnet.attack.ap/index.html
en precies hoe ga jij onderscheid maken tussen 'degelijke' sites en 'verkeerde' sites?

Ik werk als web-developer, zit dus dagelijks op het net, en heb nog nooit enige last ondervonden van gevolgen van enig lek in IE. Go figure...

Dus dat jij er toevallig geen last van hebt (hoe weet je dat overigens?) is de kritiek onzin? En hoe ga je dat vertellen aan de grote groep mensen die last van spyware hebben (bron).

lordgandalf schreef op 14 juli 2004 @ 14:38:
nee hij zij dat hij format c: kon uitvoeren maar het is bewezen dat deze "feature" zich alleen maar voordoet op mozilla browsers op het windows platform en dat dit dus in feite niet door mozilla komt maar door een "feature" van de heren uit redmond.
[...]

Maar mozilla had toch binnen 7 uur een tijdelijke patch en nu zelfs al een nieuwe release voor de windows gebruikers dus dat vindt ik dan iets beter dan een paar maanden wachten op oude patches.

idd, het feit dat de gebruiker waaronder IE draait (een gewone user dus) zonder problemen een format c: uit kan voeren is al vreemd, onnodig en onverantwoordelijk.

smokalot schreef op 14 juli 2004 @ 15:36:
[...]

idd, het feit dat de gebruiker waaronder IE draait (een gewone user dus) zonder problemen een format c: uit kan voeren is al vreemd, onnodig en onverantwoordelijk.

Ja schandalig dat 90% van de Windows gebruikers standaard met Administrator inlogt. Want dat is lekker makkelijk, nooit meer gezeur over permissies.

Volgende loze uitspraak graag...

Verwijderd schreef op 14 juli 2004 @ 15:43:
[...]


Ja schandalig dat 90% van de Windows gebruikers standaard met Administrator inlogt. Want dat is lekker makkelijk, nooit meer gezeur over permissies.

Volgende loze uitspraak graag...

geef mij een niet-administrator account op jouw XP-systeem en ik zorg binnen een half uur dat ie niet meer wil booten.

blackd schreef op 14 juli 2004 @ 14:56:
[...]

Och, kritiek geven is niets mis mee, als het maar gefundeerd wordt gedaan.
Kritisch blijven lijkt me beter dan alles maar voor waar aannemen.

[...]

Hmmm, herinner je deze nog: http://www.cnn.com/2004/T...rnet.attack.ap/index.html
en precies hoe ga jij onderscheid maken tussen 'degelijke' sites en 'verkeerde' sites?
Ligt vnl aan de serversoftware.
[...]

Dus dat jij er toevallig geen last van hebt (hoe weet je dat overigens?) is de kritiek onzin? En hoe ga je dat vertellen aan de grote groep mensen die last van spyware hebben (bron).
Wel, persoonlijk heb ik nog nooit maar één stukje spyware gehad, is er nog nooit één pc van me gehacked geweest... Zeg jij me eerst hoeveel percent van de gebruikers er wel last van heeft? En ja spyware... als de gebruiker niet zo naïef was, kwam er helemaal geen spyware op zijn/haar pc, en hadden we ook geen last van aanvallen. En weerom hetzelfde punt geldt: waarom lekken in non-IE browsers gaan exploiten als er amper een percent van alle gebruikers ze gebruikt... Je gaat toch ook niet voor zo'n kleine "markt" zoveel moeite doen?

[ Voor 5% gewijzigd door gill op 14-07-2004 15:57 ]

Ligt vnl aan de serversoftware.

En geef nu eens antwoord op mijn vraag?

Zeg jij me eerst hoeveel percent van de gebruikers er wel last van heeft?

Lees mijn bron eens?

En ja spyware... als de gebruiker niet zo naïef was, kwam er helemaal geen spyware op zijn/haar pc, en hadden we ook geen last van aanvallen.

Je doelt zeker op het 'Yes' klikken bij ActiveX waarschuwingen...
En wat nou als er een exploit gebruikt wordt? Want daar hebben we het tenslotte over. Hoe ga je dat tegenhouden? (NB: zonder updates)

En weerom hetzelfde punt geldt: waarom lekken in non-IE browsers gaan exploiten als er amper een percent van alle gebruikers ze gebruikt... Je gaat toch ook niet voor zo'n kleine "markt" zoveel moeite doen?

waar heeft dit nou mee te maken

[ Voor 4% gewijzigd door blackd op 14-07-2004 16:22 ]

blackd schreef op 14 juli 2004 @ 16:16:
[...]

En geef nu eens antwoord op mijn vraag?

[...]

Lees mijn bron eens?

[...]

Je doelt zeker op het 'Yes' klikken bij ActiveX waarschuwingen...
En wat nou als er een exploit gebruikt wordt? Want daar hebben we het tenslotte over. Hoe ga je dat tegenhouden? (NB: zonder updates)

[...]

waar heeft dit nou mee te maken

Zoals al geschreven, als "de user" niet zo naïef was, zou alle rommel niet op zijn pc komen.
Eenmaal dat "je alternatieveling van een browser" 95% marktaandeel heeft, gaat men op zoek naar lekken daarin (zullen ze heus wel vinden ) en de rollen worden omgekeerd... Als je wat van software development kent, weet je dat geen software hackproof is. Alles kan uitgebuit worden, ook alternatieve browsers. Dat dit momenteel (nog) niet gebeurt, hangt gewoon samen met het feit dat het gaat om "alternatieve" (lees: niet veel gebruikte) browsers. Of wat denk je hiervan?

[ Voor 4% gewijzigd door gill op 15-07-2004 11:22 ]

gill schreef op 15 juli 2004 @ 10:15:
Zoals al geschreven, als "de user" niet zo naïef was, zou alle rommel niet op zijn pc komen.

Ook als er geen updates geinstalleerd zijn bedoel je?

Leuk dat je over alternatieve browsers begint, maar het gaat hier over Internet Explorer, ik heb het helemaal niet over alternatieve browsers.

Jij geeft aan dat de mate van patchen afhangt van de gebruiker (en wel hier). Nou, je kan nog zo slim zijn, in alle wijsheid houd je een exploit niet tegen die op een bekende site (zie de IIS vuln.) staat, of een willekeurige andere ActiveX exploit (waarbij dus geen bevestiging wordt gevraagd of het component geinstalleerd moet worden) tegen. Jij suggereert dus dat een slimme gebruiker zonder patches kan. M.i. is dat complete onzin.

Er staan overigens nog wat vragen open in mijn vorige berichten.

Zoals al geschreven, als "de user" niet zo naïef was, zou alle rommel niet op zijn pc komen.

Heb je zijn post wel gelezen?
Ook 'trusted' sites kunnen compromised raken. Lees het stuk over globale IIS hacks nog eens.

Of is het naïef van iemand als hij bij de Rabobank ipv. de ABN-AMRO zit?
Of bij marktplaats kijkt ipv. Ebay?

_{Disclaimer: Ik heb slechts wat random voorbeelden gepakt.}

blackd schreef op 15 juli 2004 @ 11:07:
[...]

Ook als er geen updates geinstalleerd zijn bedoel je?

Leuk dat je over alternatieve browsers begint, maar het gaat hier over Internet Explorer, ik heb het helemaal niet over alternatieve browsers.

Jij geeft aan dat de mate van patchen afhangt van de gebruiker (en wel hier). Nou, je kan nog zo slim zijn, in alle wijsheid houd je een exploit niet tegen die op een bekende site (zie de IIS vuln.) staat, of een willekeurige andere ActiveX exploit (waarbij dus geen bevestiging wordt gevraagd of het component geinstalleerd moet worden) tegen. Jij suggereert dus dat een slimme gebruiker zonder patches kan. M.i. is dat complete onzin.

Er staan overigens nog wat vragen open in mijn vorige berichten.

Yep, ook zonder updates...
Heb zelf op één PC nooit updates gedaan, na een jaar elke dag erop werken en constante internetverbinding nooit een probleem gehad. (en ja, ik weet zelf ook wel dat je "moet" updaten...)

Degelijke sites: op die IIS vulnerability na denk ik wel dat je moet toegeven dat wanneer je op "normale" sites blijft, je weinig last gaat hebben. Als je naar porno en andere rommel zoekt, vraag je er gewoon om. En die IIS vuln. is de verantwoordelijkheid van de serveradmin (dat je er zelf slachtoffer van kan worden, is andere koek, maar niet je eigen fout).
Nog vragen?
Trouwens ook graag een antwoord op mijn stelling...

[ Voor 19% gewijzigd door gill op 15-07-2004 11:25 ]

Dan heb je imho meer geluk dan wijsheid gehad dat je niet langs een minder aardige site met wat ActiveX bent gekomen.

proller schreef op 14 juli 2004 @ 11:42:
Ik heb een half jaar lang, zonder Firewall, zonder AV scanner zonder Windows Updates, maar met Adaware, mijn PC gebruikt, er is nooit wat mee gebeurd, ik heb NAV2004 Trial gedownload, en laten scannen, en wat vind hij? Twee pieplullige bestandjes waar mogenlijk een virus in zit (wat achteraf niet eens zo erg blijkt te zijn). Ik kan het best zonder updates, maar het is gewoon altijd goed om te zien dat er patches zijn, voor net dat beetje extra bescherming.

gill schreef op 15 juli 2004 @ 11:13:
Yep, ook zonder updates...
Heb zelf op één PC nooit updates gedaan, na een jaar elke dag erop werken en constante internetverbinding nooit een probleem gehad. (en ja, ik weet zelf ook wel dat je "moet" updaten...)

Fijn, da's 1 pc, 1 user. Take the big picture, kijk naar de hoeveelheid spyware die aanwezig is. Zo'n stelling kan je dan nooit waarmaken.

Degelijke sites: op die IIS vulnerability na denk ik wel dat je moet toegeven dat wanneer je op "normale" sites blijft, je weinig last gaat hebben.

'gaat hebben' spreekt over de toekomst. Wie weet worden er wel meer van dit soort vulnerabilities gevonden. Dan heb je toch echt een patch nodig hoor. Ofwel clientside, of serverside.

Als je naar porno en andere rommel zoekt, vraag je er gewoon om.

Nou nee, het is algemeen bekend dat het troepgehalte daar wat hoger is, maar of ik daar nou om vraag, dat lijkt me niet.

En die IIS vuln. is de verantwoordelijkheid van de serveradmin (dat je er zelf slachtoffer van kan worden, is andere koek, maar niet je eigen fout).

Niet je eigen fout? Een up to date antivirus kan het tegenhouden, en op http://www.microsoft.com/...cident/download_ject.mspx zie ik ook een zooi clientside acties staan waar je misselijk van wordt. Hoezo ligt deze verantwoordelijkheid alleen bij de serveradmin?

Ik zeg niet dat je geen up-to-date virusscanner moet hebben...
Antwoord op mijn stelling please?

Yep, ook zonder updates...
Heb zelf op één PC nooit updates gedaan, na een jaar elke dag erop werken en constante internetverbinding nooit een probleem gehad. (en ja, ik weet zelf ook wel dat je "moet" updaten...)

Met of zonder firewall ertussen?

Degelijke sites: op die IIS vulnerability na denk ik wel dat je moet toegeven dat wanneer je op "normale" sites blijft, je weinig last gaat hebben.

Precies wat geeft je te denken dat dit niet nog vaker gaat gebeuren?
Geen idee of je de trends mbt. security volgt, maar we mogen aannemen dat het er niet bepaald minder op gaat worden.

Als je stelling de volgende is:

Zoals ik al eerder schreef, het al dan niet nodig hebben van patches hangt af van de gebruiker...

Dat zou dan aangeven dat je de ontwikkelingen op internet van de laatste driekwart jaar negeert...nofi maar zo'n stelling is gewoon niet serieus te nemen.

gill schreef op 15 juli 2004 @ 11:35:
Ik zeg niet dat je geen up-to-date virusscanner moet hebben...

Sorry hoor, maar wat is dat nou voor antwoord? De vraag is:
Hoezo ligt deze verantwoordelijkheid alleen bij de serveradmin?
en dan kom jij met het punt dat je het niet over een virusscanner hebt?
Er zijn meer mogelijkheden om je te wapenen tegen die exploit. Virusscanner is niet de enige mogelijkheid. Ik noem dit om aan te geven dat de problemen zowel client als serverside voorkomen kunnen worden. Daarom vraag ik me af, als er aan beide kanten wat aan te doen is, waarom het alleen de verantwoordelijkheid is van de serveradmin, want dat geef jij aan:

en die IIS vuln. is de verantwoordelijkheid van de serveradmin

gill schreef op 15 juli 2004 @ 11:35:
Antwoord op mijn stelling please?

Welke stelling bedoel je nou? Aangezien ik m.i. op al jouw punten reageer, maar jij op meer dan de helft van mijn punten niet reageert, laat ik het hier maar bij.

Edit: als dit je stelling is:

Zoals ik al eerder schreef, het al dan niet nodig hebben van patches hangt af van de gebruiker...

moet je dit nog maar even doorlezen: [rml]gill in "[ Nieuws] Opnieuw kritieke lekken in IE o..."[/rml]

[ Voor 73% gewijzigd door blackd op 15-07-2004 11:51 ]

Stelling:

Eenmaal dat "je alternatieveling van een browser" 95% marktaandeel heeft, gaat men op zoek naar lekken daarin (zullen ze heus wel vinden ) en de rollen worden omgekeerd... Als je wat van software development kent, weet je dat geen software hackproof is. Alles kan uitgebuit worden, ook alternatieve browsers. Dat dit momenteel (nog) niet gebeurt, hangt gewoon samen met het feit dat het gaat om "alternatieve" (lees: niet veel gebruikte) browsers. Of wat denk je hiervan?

en de rollen worden omgekeerd...

Wie weet... ik weet het nog zo net niet. Heeft mozilla / firefox / opera de integratie met het OS zoals IE die heeft? Wat voor impact kan een exploit (maximaal) hebben? Aan de andere kant, we zullen het niet weten tot het gebeurt.

[ Voor 23% gewijzigd door blackd op 15-07-2004 12:28 ]

blackd schreef op 15 juli 2004 @ 12:28:
[...]

Wie weet... ik weet het nog zo net niet. Heeft mozilla / firefox / opera de integratie met het OS zoals IE die heeft? Wat voor impact kan een exploit (maximaal) hebben? Aan de andere kant, we zullen het niet weten tot het gebeurt.

Blij dat je dat erkent.

gill schreef op 15 juli 2004 @ 12:29:
Blij dat je dat erkent.

Ik was aan het editen, maar de telefoon ging

Even m'n post afmaken:
Ik kan het dus niet helemaal met jouw stelling eens zijn, namelijk heb ik de verwachting dat het met de alternatieve browsers minder storm zal lopen qua impact van exploits, omdat ze niet dusdanig geintegreerd zitten in Windows, als IE dat is. Echter, dit blijft speculeren.

Wat ik wel erken is dat wanneer bijv. Firefox mainstream wordt, dat voor FF de meeste exploits gezocht gaan worden, en dat de software heus bugs zal bevatten.

En juist omdat die bugs aanwezig kunnen zijn, en ook omdat mensen niet feilloos zijn en alle risico's goed kunnen inschatten (al naar gelang hun kennisniveau) is het nodig up-to-date te blijven.
En op deze stelling heb ik van jou kant eigenlijk nauwelijks concrete antwoorden gehad.

Volgens mij zal het met IE ook minder erg worden één keer dat beveiligingen ingebouwd worden (zoals met SP2, met updates dus ). Ook de beveiligingen die in processors mee ingebouwd worden zullen meer beschermen tegen overruns.
Ik ben niet tegen het installeren van updates, maar heb het zelf nooit vaak gedaan, omdat er ook nooit enig probleem zich heeft voorgedaan (soms heb je pas problemen bij het installeren van updates). Ik ben zelf consultant voor MS partners in België, en ik zie op veel plaatsen dat auto-updates zelfs in bedrijven niet aanstaan.

IMO worden veel sec.issues overblazen om MS in slecht daglicht te plaatsen. Dat er probs zijn erken ik graag. Maar op zich is het slachtoffer van zijn eigen succes.

gill schreef op 15 juli 2004 @ 12:47:
Ik ben niet tegen het installeren van updates, maar heb het zelf nooit vaak gedaan, omdat er ook nooit enig probleem zich heeft voorgedaan (soms heb je pas problemen bij het installeren van updates).

Waarom zou malware zich noodzakelijk moeten manifesteren als 'last'?
Het is big business om tegenwoordig niet op te vallen.

IMO worden veel sec.issues overblazen om MS in slecht daglicht te plaatsen. Dat er probs zijn erken ik graag. Maar op zich is het slachtoffer van zijn eigen succes.

Once again: volg het (security)nieuws eens.
Heb je _enig_ idee wat er zich heeft afgespeeld in de maand juni?

Inderdaad, mensen moeten zich maar eens gaan abboneren op de mailing lijsten zoals Full Disclosure, en (NT)bugtraq.
Als je ziet wat daar voorbij komt, en hoe sommige IE patches weer onderuit worden gehaald door hackers (MS patched het symptoom, maar niet de oorzaak, en via een andere manier is het nog te exploiten), dan verander je misschien van gedachten.