Zašto smatram da je IE7 trenutno najmanje nesiguran moderan browser

[horza]

Ovo je samo za ljude kojima je dosadno na godisnjem
... danas sam konačno odlučio donijeti mišljenje o firefoxovom defaultnom precachingu linkova, pa je ovo logičan slijed zaključaka:

postulati:
Moderan browser treba:
- imati po defaultu jednostavno integrirane tabove
- imati neku vrstu zaštite od poznatih malicioznih site-ova
- imati jednostavno integriran box za web-tražilicu s mogućnošću neograničenog dodavanja search engine-a (i postavljanja njihovih prioriteta)
- imati jednostavno integrirano praćenja RSS feedova
- imati W3C kompatibilan rendering engine
- imati mogućnost dodavanja pluginova
- imati mogućnost izrade custom pluginova (freeware API za pluginove)

razmišljanje:

na tržištu postoje trenutno 3 moderna browsera: Firefox, IE7 i Opera. Ostali nisu "moderni", ili su derivati navedenih (Opera po meni ne bi trebala uopće ulaziti u ovu kategoriju jer nije rađena po W3C-u, ali ulazi jer je svejedno W3C kompatibilna)

Otkad su najavili Firefox 2 i IE7, znalo se da će imati neki način obavještavanja korisnika o poznatim malicioznim site-ovima. Znamo da svaki browser ima neku svoju shemu za to (čak i podržavaju korištenje 3rd party baza podataka (IE7,FF2 - google).

Eh sad, već dosta dugo koristim sva tri browsera. Operu ću isključiti iz daljnjeg razmišljanja jer je za malu djecu i avantruriste koji svaki site žele vidjeti drugačije nego njihovi prijatelji

Dakle, FF2 provjerava SSL certifikate kada se pristupa nekom SSL site-u i ukoliko je certifikat valjan (manje od 5% svih certifikata na koje korisnik naiđe tijekom surfanja netom), FF2 izbaci notification dialog u kojem kaže nešto poput "jupi, certifikat je okej - želite li mu vjerovati?" ako korisnik klikne yes, pojavi se još jedan takav dialog u kojem kaže "želite li možda instalirati ovaj certifikat za koji ste mi već rekli da vam je okej?". i onda korisnik kaže - da, želim! barem ako se radi o nekome tko je tehnički potkovan. s obzirom da je tekst unutar tih dialoga pisan stručnije od tehničke potkovanosti prosječnog korisnika nekog npr. webmaila, korisnik samo klikeće "Yes" da bi čim prije došao do svog maila. Kada jednom to sve učini, više mu neće skakati notification za taj site. ali hoće za tu domenu. bez obzira što je isti certifikat.

ukoliko certifikat nije valjan, također će jedan za drugim poiskakati dialozi, manje-više isti kao oni koji skože kada certifikat nije valjan i korisnik će ih na potpuno isti način uspjeti otkazati, odnosno brzo doći do tražene adrese, iako certifikat nije ispravan.

IE7 je malo pametniji. Naime, on neće ništa izbaciti ako je certifikat valjan a korisnik ga je već prihvatio. Nadalje, IE7 nema bezlične dialog boxove u kojima nešto piše, nego otvori svoju bijelu stranicu na kojoj velikim slovima piše nešto poput "ovaj site nema ispravan certifikat. ako idete na njega, u ogromnoj ste opasnosti. ne preporučamo da idete na njega". i onda ispod toga ima malim slovima link "svejedno želim na traženi site". ovo ima daleko veći efekt na djelatnicu u banci ili policiji, nego fakin dialog boxovi koje jedva vide pročitati.

Nadalje, po pitanju zaštite od phishinga, smatram da je FF2 u prednosti. Uključivanje i isključivanje filtera, te odabir firefoxove ili google-ove baze i određivanje razine zaštite privatnosti je bolje. Za sada. No smatram da će Microsoft uskoro sklopiti još nekoliko jakih suradnji s npr. sophosom, trendmicrom, keriom, itd. i da će tako imati bolji phishing filter od ff-ovog ili google-ovog. onda će google morati nešto učiniti po tom pitanju jer ne žele da ih M$ gazi u bilo kojem pogledu, pa ćemo vidjeti hoće li napraviti nešto dobro. U svakom slučaju, kada taj trenutak dođe, više se neće moći oslanjati na community, odnosno na priglupe korisnike koji će im iz čistog mira za 0 novaca održavati bazu malicioznih site-ova.

I po meni jedan veeeeeliki minus za FF2: precaching linkova. Naime, FF2 ima po defaultu uključenu opciju da na prikazanoj stranici provjeri koji su linkovi najvjerojatnije sljedeća meta korisnika, odnosno što će sljedeće korisnik kliknuti. I to FF2 svojevoljno loada u pozadini kako bi korisnik dobio dojam da je ultra-brzo došao do stranice. Situacija: zdrava radna okolina u kojoj marica i štefica (djelatnice kreditnog ureda u jednoj banci) surfaju internetom. One na svom računalu, naravno, nemaju apsolutno ništa što bi ih štitio. Njihovi IT-evci su za 2 milijuna novaca kupili ultra-mamo***ne malware protection gatewaye s kojima skeniraju sve živo i neživo. Barica ode na Limun.hr / ekonomske analize na kojem postoji onaj lijepi javascript scroller. Taj scroller je netko prethodno exploit-ao da bi ubacio link do svoje stranice na kojoj je DOM exploit za firefox (koji u 2 godine nije pokrpan) i može uredno iz firefoxa skinuti i izvršiti ardamax keylogger na baricinom kompu, a da corporate proxy/gateway misli da je to firefox update... ili još bolje, excell sa limun.hr . Bez da je itko išta vidio i čuo. Uključujući i debilne 2-milijunske skenere koji ni na koji način ne uspijevaju otkriti ardamax kao keylogger iako ga uredno odskeniraju i propuste.

Kod IE7 se to ne može dogoditi jer ne učitava stranice na koje korisnik nije kliknuo. Osim ako su microsoftove. onda ih i update-a

heto... nešto za razmišljanje oko softvera koji ćete stavljati klijentima... po meni -
windows + firefox + corporate proxy/gateway solution = bad idea
windows + firefox + izrazito heurističan lokalni antivirus = bad solution (zbog troškova necentraliziranog upravljanja)
windows + IE7 + sve navedeno = blah?
što preostaje? linux? fuj

[rams]

Citiraj:

Operu ću isključiti iz daljnjeg razmišljanja jer je za malu djecu i avantruriste koji svaki site žele vidjeti drugačije nego njihovi prijatelji

Zasto?

[devil_kc]

sto preostaje? surfaj sa lynxom:P
imam linux i boli me kita

[Hamm]

kako se Vaš browser ponaša kada naleti na site čiji mu je certifikat nepoznat možete probati na ovom sajtu

https://vbebank.volksbank.hr (ne reklamiram..samo dajem kao primjer)

certifikat i site je 100% siguran

imho IE se puno bolje ponaša od mozille. jer mozilla nudi da prihvatiš certifikat bez da si joj dao neki certificate authoritie..

ako želiš da te prestane zahebavati i da ti vjeruje sajtu morat ces dignuti cert.authoritie
eto tolko od mene

[Codiac]

meni je malo smijesno sto po meni browseri kao alati kasne sa razvojem naspram sveg ostaloga onak gro...

ajde hvala Bogu da je FF dosao (iako meni ide na ****c sa svojim debilnim dodavanjem tabova... AKO netko zna ikakav plugin koji ce cim ja napisem adresu u adress baru i stisnem enter to otvoriti u novom tabu vjecno cu mu biti zahvalan.. i da da odma odgovorim NE nezelim drzati alt, nezelim nista zelim samo stisnuti enter u adress baru tnx)
jer da nije dosao mislim da bi ie bio kakav je i bio prije godinu dana dakle nis novo nema tabova and stuff...

FF je dobra ideja i sve to al mi se cini da im manjka love da ga ucine puno boljim, dok ms je na tom podruciju potkovan za narednih 100 godina.
Sto se tice opere ima nekih fora stvari ali po meni ima premalo opcija koje se daju namjestiti.

[rams]

Citiraj:

Autor Hamm

kako se Vaš browser ponaša kada naleti na site čiji mu je certifikat nepoznat možete probati na ovom sajtu

https://vbebank.volksbank.hr (ne reklamiram..samo dajem kao primjer)

certifikat i site je 100% siguran

imho IE se puno bolje ponaša od mozille. jer mozilla nudi da prihvatiš certifikat bez da si joj dao neki certificate authoritie..

ako želiš da te prestane zahebavati i da ti vjeruje sajtu morat ces dignuti cert.authoritie
eto tolko od mene

Opera, jedan Accept i kasnije vise nepita.

Bojim se da ovaj thread nebi zapoceo zustru raspravu kome je koji browser bolji, meni Opera, nevolim ni vidit Firefox, a kamoli IE7, tako mi je odvratan i nepraktican, IMHO.

[SRV]

Citiraj:

Autor Hamm

kako se Vaš browser ponaša kada naleti na site čiji mu je certifikat nepoznat možete probati na ovom sajtu

https://vbebank.volksbank.hr (ne reklamiram..samo dajem kao primjer)

certifikat i site je 100% siguran

imho IE se puno bolje ponaša od mozille. jer mozilla nudi da prihvatiš certifikat bez da si joj dao neki certificate authoritie..

ako želiš da te prestane zahebavati i da ti vjeruje sajtu morat ces dignuti cert.authoritie
eto tolko od mene

Bas sam evo probao, i FF2 i IE7 traze potvrdu u vezi certifikata.

[fairy]

Citiraj:

Autor Codiac

AKO netko zna ikakav plugin koji ce cim ja napisem adresu u adress baru i stisnem enter to otvoriti u novom tabu vjecno cu mu biti zahvalan.. i da da odma odgovorim NE nezelim drzati alt, nezelim nista zelim samo stisnuti enter u adress baru tnx)

tab mix plus?

[tutix]

Dok ne riješe ove dvije stvari nema me na FF-u - Memory leak, i ultrabrzi startup. Još ovo drugo mogu pregrmit, ali koliko im treba da srede to curenje memorije.

Dugo sam koristio FF2, al ovo je doista iritantno. I Opera ima iritantnih featchura, nema autocomplete-a npr., onda ne otvara slike u popup prozorima normalno. Kad klikneš npr. neki thumbnail da ti otvori veću sliku, on ti ju otvori skroz u pravoj rezi (ne fita za screen) pa ti skrolaj rođo moj - gore-dolje, lijevo-desno.

IE7 sam koristio u školi onak 10 min možda. I reko zaj..., kakvo ti je to mutavo sučelje i bok.

E sad ovo gore sam napisao jer nisam skužio prvi post, oko tih certifikata i toga. Ali nijedan browser nije komletan. FF2 je dosta blizu, da srede taj leak već jednom i to ubersporo startanje sve bi bilo ok.

[horza]

ppl, profulali ste poantu. svi pitaju za certifikat, ali je bitno i na koji način pitaju. inače je pitanje nepotrebno. napredni korisnik zna pregledati certifikat i bez browserove pomoći vidjeti dali je valjan. problem je u Marici i Barici koje ne trebaju imati pojma o certifikatima, a browser im treba na odgovarajuć način reći koje su posljedice neprihvaćanja upozorenja koje im je iskočilo.

Operu sam izbacio jer ne prikazuje stranice po W3C-u. sorry, ali browser koji već godinama ne zna čitati css kako treba, a developeri uporno ignoriraju to kao problem, nije za ozbiljnu upotrebu. baš sam neki dan rekao Jelcu da bih danas prešao na operu da isprave samo taj problem. da, Opera je super i full upotrebljiva i user-friendly. daleko više nego FF i IE, ali to ne znači apsolutno ništa ako ne radi dobro svoju osnovnu svrhu - prikazivanje stranica onako kako su napisane.

codiac - tab mix plus. jedina dostojna zamjena za Sakurin tabbroser extension.

[Jelc]

Kad se pročita ovo kaj je Horza napisao dobije se dojam da Opera ispravno prikaže možda 5% stranica a da ostalo ne liči na ništa...

A to je bogme daleko od istine.
Koristim Operu godinama i jako sam dobro upoznat sa "ne prikazuje stranice ispravano" problemom, to je možda prije i bio problem ali u zadnje vrijeme izrazito rijetko možeš naletiti na takvu stranicu.


bdw-kad si se već dotaknuo sigurnosti-baš si mogao onda i Operu uzeti u razmatranje, čisto da vidimo kako to na njoj šljaka

[gog]

Citiraj:

Autor horza

Operu sam izbacio jer ne prikazuje stranice po W3C-u. sorry, ali browser koji već godinama ne zna čitati css kako treba, a developeri uporno ignoriraju to kao problem, nije za ozbiljnu upotrebu.

?!?!?!? Da nisi malo pobrkao lončiće i zamijenio Operu i IE?

Opera prolazi Acid2 test koji još uvijek ni najnovija inačica Firefoxa ne prolazi.

http://www.webdevout.net/browser-support-summary

[rams]

OMFG, na sto lici Acid2 u IE6-ici, katastrofa, u Operi je smjesko bas krasan , FF nemam instaliran...