Internet Explorer ohrožuje vážná chyba

Jsem pro změnu titulku pouze na "Internet Explorer"

Ale IE (či MSIE) by bylo kratší .

Z českých škol: „Internet je to modré e na ploše, po jehož spuštění se zobrazí Seznam internetu.“

Tak konecne se ukazalo ze z otazky bezpecnosti neni +- rozdil FF2a3 maj problem s tou chybou, Opera uz opravuje a najednou je pridal i IE. Jak uz tu nekdo psal kazdy prohlizec ma chyby je jen otazkou kdy se na ni prijde a kdo ji opravi.

Být vývojařema, tak EXPLORER dál nevyvíjím...

Stejně skoro každej používá Firefox nebo Opery

Jenže ty vývojář nejsi. Jsi úplně obyč nula, co tady rádoby chytře kafrá o něčem, čemu houby rozumí...

a ty jsi kdo??

Sem se teď hodí jedno androidí pořekadlo: 0011001100110011001100110011

to tady nemůžu napsat svůjnázor

Ty také určitě nejsi vývojář.

a kdo jsi ty. já jsem sice malý dvanáctiletý kluk, ale s takovými b*******y jako ty bych se nikdy nebavil. neumíš nic jiného než ponižovat ostatní. byl bych rád kdyby tě další účastníci diskuze ignorovali.

IE neodstranovat z windowsu cim byc si pak uzivatele stahovali FF a Operu.

ha ha ha.

Paradoxně nejméně problémů při vývoji mé první webové aplikace mi způsobil IE. Naopak, kvůli FF jsem musel spoustu věcí upravovat. Opera byla krom jedné záhady v provádění javascriptu poměrně slušná a chovala se stejně jako IE. Abych byl úplně korektní - IE mi přidělal práci kvůli obrázkům png, nicméně to je něco co se dá poměrně jednoduše vyřešit. FF naopak způsoboval nevysvětlitelné problémy při např. zarovnávání img a divu vedle sebe na vertical-align: middle. Bohužel jsem musel dělat poměrně velké harakiri, aby to FF zobrazil dobře...

To co teď napíšu se nevztahuje k žádnému konkrétnímu prohlížeči, ale je to myšleno všeobecně.

Poslední dobou mám pocit, že tady ty krytické bezpečnostní díry fungují na pryncipu:

Když bude uživatel vysoký 174,5 cm bez bot o váze 76 kg ve žlutém tričku sedět se židli natočenou doleva a myš bude držet dvěma prstama a klikne tady na té specifické stránce o v úterý ve 1247 SEČ doleva dolů 6px od spodu stránky, pak se projeví chyba, kterou jsme vytvořili... teda našli.

Neustále se objevují "krytické chyby", které jsou v prohlížečích už nějaký ten měsíc až rok a zatím to nikomu nevadilo.

PS: Kdo vlastně tady ty organisace platí?

Hele, a proč když jsem ještě měl Windows, tak jsem měl neustále plno spyware a samootevírajících se stránek? Nevím, jestli splňuji úplně všechny ty podmínky, které jsi uvedl

Protože jsi prase. Já mám Windows a nemám žádnej.

Protože jsi chodil na zavšivený gay porno stránky obsahující tisíce breberek, popřípadě jsi tahal jeden cracklej program za druhým.

mshaters.blogspot.com |

bod

Samozřejmě, že chyby se většinou objevují v méně obvyklých situacích... chybu typu "Prohlížeč zhavaruje při každém kliknutí na tlačítko Zpět" totiž najdou už vývojáři anebo testeři.

Každopádně z toho popisu je vidět, že tahle chyba nevyžaduje nějaké specifické uživatelské nastavení... a jakmile se povědomí o té chybě rozšíří, takže dokáže exploit napsat každý trouba co o programování nic neví, pokud si stáhne nějaký "l33t h4x0r snadno a rychle" prográmek, rozhodně bych se tak bezpečně necítil.

A to já zase jo. To by musela být echt díra, abych něco chytil.

Chyba este neobjavena sa da zneuzit len velmo tazko

A musim poznamenat, ze ma znacne pobavil sposob, akym bola tato informacia v clanku podana

No jak jsem to já pochopil, chyba se dá využít na každé stránce, která využívá IFRAME. To sice žádná solidní stránka nedělá, protože IFRAME je zastaralý a zavržený způsob, ale těch nesolidních nebo amatérsky zbastlených stránek je stále ještě plno (například živě.cz).

Tipnu si, v každém prohlížeči nyní existuje možná ještě tak 10 kritických chyb. Některé třeba nikdy nikdy neobjeví. Chyba, o které se zatím neví, nikoho neohrožuje. Nejnebezpečnější je chyba, o které se ví, ví se jak jí zneužít a neexistuje na ní záplata. Například FF má také v aktuálních verzích 2.x a 3.x kritickou chybu, ale kromě pár lidí o ní zatím nikdo neví, takže uživatele (zatím) neohrožuje. Přesto by měli s tou opravou pohnout, už to je poměrně dlouho od tý doby, co to zveřejnili, a je jenom otázkou času, kdy tu chybu objeví nějakej špatňák.

>> protože IFRAME je zastaralý a zavržený způsob

Z pohledu standardů ano. Z pohledu technologií to zas tak špatná věc není, když se využívá správně.

Napriklad k comu?

Např. k tomu, že se k dynamickému obsahu nemusí intenzivně využívat metody AJAXu. Typický příklad vhodného použití FRAME a IFRAME je MSDN Library. Stejnětak načítání reklamních bannerů skrz IFRAME má svůj smysl, neboť velmi pevně oddělí stránku od obsahu načítaného z vnějšího zdroje. Z principu mi to nepřijde jako špatná věc - ale jak bylo zmíněno, můžeme ji v klidu považovat za (potenciálně) mrtvou.

Nuz, ja som poznal len tri vyuzitia framesetu/iframu. Klasicke strankove menu, to ale dnes plne zastupi jeden DIV a Ajaxove nacitanie, "browser v browseri" pri zazrakoch typu YouOS (.com) a moja vlastna webova RSS citacka, ktora pouzivala malu listu s tlacikom na prechod k dalsej neprecitanej sprave (zbytocnost.)

Pokial ide o reklamne pruzky, dost casto ich zlikviduje nespravne pochopena velkost - cast pruzku potom zabere scrollbar.

Nuz a najneprijemnejsia vlastnost oboch metod sa ukaze u tlacitka refresh (alebo back, ale to len u jedneho prehliadaca) - ak aj uzivatel pod (I)FRAMOM presiel na inu stranku, po back/refresh sa mu nacita povodna. Mozno prave preto skoncili zavrhnute.

Mno s tím vším se dá souhlasit.

Mně přijde AJAX někdy zbytečně složitý vůči jednoduchosti koncepce (I)FRAMů.

I na tom nieco bude. Pokial si k tej menu clovek nechce prirobit blikajuci napis "cakajte," frameset mu bude stacit.

Ale na reklamne pruzky je to zle, velmo zle.

>> Ale na reklamne pruzky je to zle, velmo zle.

Z jakého důvodu myslíte? Já ve IFRAME vidím potenciál oddělit jeho obsah kompletně od nadřazené stránky, tj. potenciálně jednodušší zabezpečení. Prdnu do stránky IFRAME a nemusím mít strach, co se do něj načte. (že aktuální praxe je jiná, ale potenciál jsem v IFRAME viděl větší než v DIV+AJAX).

Jenže jak vidíte, praxe je zcela opačná. Dáte si na stránky IFRAME a v podstatě tím připravíte útočníkovi živnou půdu. Může do Vaší stránky strčit svůj obsah a kód a uživateli to bude připadat, že to je jedna a tatáž stránka. Navíc pokud se nepletu, tak tahle díra v IFRAMEu není zdaleka první.

Opera tuším ve verzi 7 nebo 8 při výchozim nastavení přímo blokovala zobrazení IFRAMEů, protože to byla bezpečnostní hrozba.

Prostě to nejjednodušší řešení, který mi jako první padne do rány, není obvykle to nejlepší.

Tak, pokial ide o zabezpecenie, tento clanok je jeho vybornym prikladom

Ale tych dovodov sa najde viac: hlavnym by mohli byt uz spominane scrollbary. Dalej, ak autor reklamneho pruzku s niecim takym nerata, moze sa po kliknuti na pruzok natiahnut stranka priamo do iframu. A ak s tym rata, cele zabezpecenie padne na "window.parent.neco()." Za dalsie, pri nacitavani pruzku do iframu sa natiahne este aspon jeden HTML subor naviac. Nech by bol akokolvek maly, nacitanie stranky sa spomali.

Ostatne, bezne dustupne reklamne pruzky su obycajne GIF obrazky alebo SWF animacie, tie su pre stranku neskodne.

Asi uz jsem se s tim nejak szil ze explorer je plny kritickych chyb a neslednych kritickych zaplat