PC Ekspert Forum - View Single Post - Zašto smatram da je IE7 trenutno najmanje nesiguran moderan browser

horza · 21.08.2007., 13:54

Ovo je samo za ljude kojima je dosadno na godisnjem

... danas sam konačno odlučio donijeti mišljenje o firefoxovom defaultnom precachingu linkova, pa je ovo logičan slijed zaključaka:

postulati:
Moderan browser treba:
- imati po defaultu jednostavno integrirane tabove
- imati neku vrstu zaštite od poznatih malicioznih site-ova
- imati jednostavno integriran box za web-tražilicu s mogućnošću neograničenog dodavanja search engine-a (i postavljanja njihovih prioriteta)
- imati jednostavno integrirano praćenja RSS feedova
- imati W3C kompatibilan rendering engine
- imati mogućnost dodavanja pluginova
- imati mogućnost izrade custom pluginova (freeware API za pluginove)

razmišljanje:

na tržištu postoje trenutno 3 moderna browsera: Firefox, IE7 i Opera. Ostali nisu "moderni", ili su derivati navedenih (Opera po meni ne bi trebala uopće ulaziti u ovu kategoriju jer nije rađena po W3C-u, ali ulazi jer je svejedno W3C kompatibilna)

Otkad su najavili Firefox 2 i IE7, znalo se da će imati neki način obavještavanja korisnika o poznatim malicioznim site-ovima. Znamo da svaki browser ima neku svoju shemu za to (čak i podržavaju korištenje 3rd party baza podataka (IE7,FF2 - google).

Eh sad, već dosta dugo koristim sva tri browsera. Operu ću isključiti iz daljnjeg razmišljanja jer je za malu djecu i avantruriste koji svaki site žele vidjeti drugačije nego njihovi prijatelji

Dakle, FF2 provjerava SSL certifikate kada se pristupa nekom SSL site-u i ukoliko je certifikat valjan (manje od 5% svih certifikata na koje korisnik naiđe tijekom surfanja netom), FF2 izbaci notification dialog u kojem kaže nešto poput "jupi, certifikat je okej - želite li mu vjerovati?" ako korisnik klikne yes, pojavi se još jedan takav dialog u kojem kaže "želite li možda instalirati ovaj certifikat za koji ste mi već rekli da vam je okej?". i onda korisnik kaže - da, želim! barem ako se radi o nekome tko je tehnički potkovan. s obzirom da je tekst unutar tih dialoga pisan stručnije od tehničke potkovanosti prosječnog korisnika nekog npr. webmaila, korisnik samo klikeće "Yes" da bi čim prije došao do svog maila. Kada jednom to sve učini, više mu neće skakati notification za taj site. ali hoće za tu domenu. bez obzira što je isti certifikat.

ukoliko certifikat nije valjan, također će jedan za drugim poiskakati dialozi, manje-više isti kao oni koji skože kada certifikat nije valjan i korisnik će ih na potpuno isti način uspjeti otkazati, odnosno brzo doći do tražene adrese, iako certifikat nije ispravan.

IE7 je malo pametniji. Naime, on neće ništa izbaciti ako je certifikat valjan a korisnik ga je već prihvatio. Nadalje, IE7 nema bezlične dialog boxove u kojima nešto piše, nego otvori svoju bijelu stranicu na kojoj velikim slovima piše nešto poput "ovaj site nema ispravan certifikat. ako idete na njega, u ogromnoj ste opasnosti. ne preporučamo da idete na njega". i onda ispod toga ima malim slovima link "svejedno želim na traženi site". ovo ima daleko veći efekt na djelatnicu u banci ili policiji, nego fakin dialog boxovi koje jedva vide pročitati.

Nadalje, po pitanju zaštite od phishinga, smatram da je FF2 u prednosti. Uključivanje i isključivanje filtera, te odabir firefoxove ili google-ove baze i određivanje razine zaštite privatnosti je bolje. Za sada. No smatram da će Microsoft uskoro sklopiti još nekoliko jakih suradnji s npr. sophosom, trendmicrom, keriom, itd. i da će tako imati bolji phishing filter od ff-ovog ili google-ovog. onda će google morati nešto učiniti po tom pitanju jer ne žele da ih M$ gazi u bilo kojem pogledu, pa ćemo vidjeti hoće li napraviti nešto dobro. U svakom slučaju, kada taj trenutak dođe, više se neće moći oslanjati na community, odnosno na priglupe korisnike koji će im iz čistog mira za 0 novaca održavati bazu malicioznih site-ova.

I po meni jedan veeeeeliki minus za FF2: precaching linkova. Naime, FF2 ima po defaultu uključenu opciju da na prikazanoj stranici provjeri koji su linkovi najvjerojatnije sljedeća meta korisnika, odnosno što će sljedeće korisnik kliknuti. I to FF2 svojevoljno loada u pozadini kako bi korisnik dobio dojam da je ultra-brzo došao do stranice. Situacija: zdrava radna okolina u kojoj marica i štefica (djelatnice kreditnog ureda u jednoj banci) surfaju internetom. One na svom računalu, naravno, nemaju apsolutno ništa što bi ih štitio. Njihovi IT-evci su za 2 milijuna novaca kupili ultra-mamo***ne malware protection gatewaye s kojima skeniraju sve živo i neživo. Barica ode na Limun.hr / ekonomske analize na kojem postoji onaj lijepi javascript scroller. Taj scroller je netko prethodno exploit-ao da bi ubacio link do svoje stranice na kojoj je DOM exploit za firefox (koji u 2 godine nije pokrpan) i može uredno iz firefoxa skinuti i izvršiti ardamax keylogger na baricinom kompu, a da corporate proxy/gateway misli da je to firefox update... ili još bolje, excell sa limun.hr . Bez da je itko išta vidio i čuo. Uključujući i debilne 2-milijunske skenere koji ni na koji način ne uspijevaju otkriti ardamax kao keylogger iako ga uredno odskeniraju i propuste.

Kod IE7 se to ne može dogoditi jer ne učitava stranice na koje korisnik nije kliknuo. Osim ako su microsoftove. onda ih i update-a

heto... nešto za razmišljanje oko softvera koji ćete stavljati klijentima... po meni -
windows + firefox + corporate proxy/gateway solution = bad idea
windows + firefox + izrazito heurističan lokalni antivirus = bad solution (zbog troškova necentraliziranog upravljanja)
windows + IE7 + sve navedeno = blah?
što preostaje? linux? fuj

21.08.2007., 13:54	#1
horza ono ispred konpjuktora Moj komp Datum registracije: Apr 2003 Lokacija: zagreb Postovi: 3,659	Zašto smatram da je IE7 trenutno najmanje nesiguran moderan browser Ovo je samo za ljude kojima je dosadno na godisnjem ... danas sam konačno odlučio donijeti mišljenje o firefoxovom defaultnom precachingu linkova, pa je ovo logičan slijed zaključaka: postulati: Moderan browser treba: - imati po defaultu jednostavno integrirane tabove - imati neku vrstu zaštite od poznatih malicioznih site-ova - imati jednostavno integriran box za web-tražilicu s mogućnošću neograničenog dodavanja search engine-a (i postavljanja njihovih prioriteta) - imati jednostavno integrirano praćenja RSS feedova - imati W3C kompatibilan rendering engine - imati mogućnost dodavanja pluginova - imati mogućnost izrade custom pluginova (freeware API za pluginove) razmišljanje: na tržištu postoje trenutno 3 moderna browsera: Firefox, IE7 i Opera. Ostali nisu "moderni", ili su derivati navedenih (Opera po meni ne bi trebala uopće ulaziti u ovu kategoriju jer nije rađena po W3C-u, ali ulazi jer je svejedno W3C kompatibilna) Otkad su najavili Firefox 2 i IE7, znalo se da će imati neki način obavještavanja korisnika o poznatim malicioznim site-ovima. Znamo da svaki browser ima neku svoju shemu za to (čak i podržavaju korištenje 3rd party baza podataka (IE7,FF2 - google). Eh sad, već dosta dugo koristim sva tri browsera. Operu ću isključiti iz daljnjeg razmišljanja jer je za malu djecu i avantruriste koji svaki site žele vidjeti drugačije nego njihovi prijatelji Dakle, FF2 provjerava SSL certifikate kada se pristupa nekom SSL site-u i ukoliko je certifikat valjan (manje od 5% svih certifikata na koje korisnik naiđe tijekom surfanja netom), FF2 izbaci notification dialog u kojem kaže nešto poput "jupi, certifikat je okej - želite li mu vjerovati?" ako korisnik klikne yes, pojavi se još jedan takav dialog u kojem kaže "želite li možda instalirati ovaj certifikat za koji ste mi već rekli da vam je okej?". i onda korisnik kaže - da, želim! barem ako se radi o nekome tko je tehnički potkovan. s obzirom da je tekst unutar tih dialoga pisan stručnije od tehničke potkovanosti prosječnog korisnika nekog npr. webmaila, korisnik samo klikeće "Yes" da bi čim prije došao do svog maila. Kada jednom to sve učini, više mu neće skakati notification za taj site. ali hoće za tu domenu. bez obzira što je isti certifikat. ukoliko certifikat nije valjan, također će jedan za drugim poiskakati dialozi, manje-više isti kao oni koji skože kada certifikat nije valjan i korisnik će ih na potpuno isti način uspjeti otkazati, odnosno brzo doći do tražene adrese, iako certifikat nije ispravan. IE7 je malo pametniji. Naime, on neće ništa izbaciti ako je certifikat valjan a korisnik ga je već prihvatio. Nadalje, IE7 nema bezlične dialog boxove u kojima nešto piše, nego otvori svoju bijelu stranicu na kojoj velikim slovima piše nešto poput "ovaj site nema ispravan certifikat. ako idete na njega, u ogromnoj ste opasnosti. ne preporučamo da idete na njega". i onda ispod toga ima malim slovima link "svejedno želim na traženi site". ovo ima daleko veći efekt na djelatnicu u banci ili policiji, nego fakin dialog boxovi koje jedva vide pročitati. Nadalje, po pitanju zaštite od phishinga, smatram da je FF2 u prednosti. Uključivanje i isključivanje filtera, te odabir firefoxove ili google-ove baze i određivanje razine zaštite privatnosti je bolje. Za sada. No smatram da će Microsoft uskoro sklopiti još nekoliko jakih suradnji s npr. sophosom, trendmicrom, keriom, itd. i da će tako imati bolji phishing filter od ff-ovog ili google-ovog. onda će google morati nešto učiniti po tom pitanju jer ne žele da ih M$ gazi u bilo kojem pogledu, pa ćemo vidjeti hoće li napraviti nešto dobro. U svakom slučaju, kada taj trenutak dođe, više se neće moći oslanjati na community, odnosno na priglupe korisnike koji će im iz čistog mira za 0 novaca održavati bazu malicioznih site-ova. I po meni jedan veeeeeliki minus za FF2: precaching linkova. Naime, FF2 ima po defaultu uključenu opciju da na prikazanoj stranici provjeri koji su linkovi najvjerojatnije sljedeća meta korisnika, odnosno što će sljedeće korisnik kliknuti. I to FF2 svojevoljno loada u pozadini kako bi korisnik dobio dojam da je ultra-brzo došao do stranice. Situacija: zdrava radna okolina u kojoj marica i štefica (djelatnice kreditnog ureda u jednoj banci) surfaju internetom. One na svom računalu, naravno, nemaju apsolutno ništa što bi ih štitio. Njihovi IT-evci su za 2 milijuna novaca kupili ultra-mamo***ne malware protection gatewaye s kojima skeniraju sve živo i neživo. Barica ode na Limun.hr / ekonomske analize na kojem postoji onaj lijepi javascript scroller. Taj scroller je netko prethodno exploit-ao da bi ubacio link do svoje stranice na kojoj je DOM exploit za firefox (koji u 2 godine nije pokrpan) i može uredno iz firefoxa skinuti i izvršiti ardamax keylogger na baricinom kompu, a da corporate proxy/gateway misli da je to firefox update... ili još bolje, excell sa limun.hr . Bez da je itko išta vidio i čuo. Uključujući i debilne 2-milijunske skenere koji ni na koji način ne uspijevaju otkriti ardamax kao keylogger iako ga uredno odskeniraju i propuste. Kod IE7 se to ne može dogoditi jer ne učitava stranice na koje korisnik nije kliknuo. Osim ako su microsoftove. onda ih i update-a heto... nešto za razmišljanje oko softvera koji ćete stavljati klijentima... po meni - windows + firefox + corporate proxy/gateway solution = bad idea windows + firefox + izrazito heurističan lokalni antivirus = bad solution (zbog troškova necentraliziranog upravljanja) windows + IE7 + sve navedeno = blah? što preostaje? linux? fuj __________________