» Браузерные войны: 2005/2006 (Windows)

Zeroglif
Ок, по пунктам.


Цитата:

1. Листинг secunia по unpatched уязвимостям IE актуален на 100%

1. Он не актуален на 100%. Возможно, некоторые уязвимости из него будут исправлены в очередных обновлениях. Из них же мы обычно узнаём и о тех, которые в этом списке (пока) не присутствуют. Одно из стандартных правил: давать информацию об уязвимости лучше всего одновременно с линком на патч.


Цитата:

2. MS именно забил (ака плевать ему) на исправление

2. Заплату к дыре, появившейся в мае, делают в срочном порядке только в декабре. И озаботились лишь после публичного появления эксплойта. Как еще назвать подобное поведение, кроме как "забили" ?

Цитата:

3. MS всё пофигу пока нет публичного эксплойта.

3. См. пункт 2. Не всегда, но в данном случае именно так.

Цитата:

4. MS полгода вообще ничего не делал.

4. См. пункт 2. С июня по ноябрь включительно - как раз пол-года.

Цитата:

5. Баг не исправляли по причине того, что он не критичен.

5. См. пункт 2. Бросились фиксить только когда дыру стали реально использовать.

В общем, грустно, когда производитель софта не решает свои проблемы до тех пор, пока они не становятся проблемами пользователей. Камешек в огород MS.

P.S. Про баг, который "очень долго валил FF" не в курсе, в силу отсутствия интереса к FF. С интересом посмотрю, если дашь линк на описание.

abz, я себя никогда не считал, ни дауном, ни просто ламером. Однако пару лет назад я был-бы в вашем лагере, и тогда-же теми-же словами убеждал упертых альтернативщиков-оперистов что IE это единственный подходящий инструмент для безпроблемного серфа в сети. Что-же изменилось? Вроде головой не бился, наркотиков не употреблял. Однако почему-то сменил платформу. Как по вашему, почему?

Benchmark

Цитата:

дыре

Цитата:

дыру

попробуй вместо публицистического термина "дыра", использовать более технические термины "баг", "уязвимость", "эксплойт", и сам незаметно для себя поймёшь, почему даже где Major_Fox, которого вряд ли можно записать в пособники Майкрософт, видит полторы недели, ты видишь полгода, или ещё что-нибудь

Цитата:

В общем, грустно, когда производитель софта не решает свои проблемы

хммм ... беспокойство по поводу дел Майкрософта? Серъёзно? Ты их имел ввиду ???

Цитата:

хммм ... беспокойство по поводу дел Майкрософта? Серъёзно? Ты их имел ввиду ???

Ну похудей мой кошелек с 7500000000$ до 4500000000$ я-бы начал беспокоится. Это никак не катастрофа, и даже не грань катастрофы, но это уже проблема. Другое дело как решать проблему: качеством или колличеством.

artfavourites

Цитата:

попробуй вместо публицистического термина "дыра", использовать более технические термины "баг", "уязвимость", "эксплойт"

А что - от этого проблема решится сама собой, без патча от MS ?

Цитата:

хммм ... беспокойство по поводу дел Майкрософта? Серъёзно?

Дочитай предложение до самого конца, включая "пока они не становятся проблемами пользователей". И постарайся понять, о чем там сказано. Если не получится - увы, помочь ничем не могу.

Цитата:

баг, который "очень долго валил FF"

Интересно, о каком из них речь?
1. Межсайтовый скриптинг и выполнение произвольного кода в Mozilla Firefox (Firefox 1.0.3), судя по камментам, версия 1.0.4 была выпущена на следующий день.
2. Множественные уязвимости в Mozilla Firefox (Firefox 1.0PR, Thunderbird 0.8) - информация об уязвимостях была опубликована через год после выпуска уязвимой версии.
3. Переполнение буфера в URI обработчике в Mozilla Firefox (Mozilla Firefox 1.5 Beta1, Mozilla Firefox 1.0.6) - очень хорошо помню, на следующий день после сообщения об уязвимости был выпущен Firefox 1.0.7

Наверняка во всех продуктах, включая Opera есть некоторое колличество неизвесных уязвимостей. Другое дело, насколько оперативно разработчики реагируют на обнородование уязвимых мест. Если пользователи Opera и Firefox получают обновления буквально в считаные часы, для IE этот срок варьируется от недели до месяца (может и больше). В свете чего, говорить о том что IE был уязвим в течении полугода, не совсем честно. Но и 2 недели срок не малый.

Вспоминая последнюю уязвимость оперы, пользователей windows она не коснулась, а на unix это было даже весело - друзей подкалывать. Впрочем с IE я сейчас развлекаюсь точно так-же, только почему-то народ вместо того что-бы поржать над внезапно взбзднувшим медиаплэйером, хватается за сердце и лезет на Windows Update.

Да я просто призываю многоуважаемый All отойти от стиля публицистических статей, который в силу специфики журналистской работы имеет явный паническо-сенсационный перекос.
Во первых, работа специалистов по безопасности направлена не на подготовтку материалов для сенсационных статей, а на общую безопасность.
Во-вторых тут уже и так полно примеров того, что получается, если отталкиваться не от преимуществ конкретного продукта, а от своего понимания недостатков других.
- Высказывания разительно быстро теряют всякую конструктивность.

Ок, действительно можно подвести небольшой итог.

Major_Fox

Цитата:

Наверняка во всех продуктах, включая Opera есть некоторое колличество неизвесных уязвимостей.

Безусловно есть. Ни IE, ни FF, ни Opera, ни любой другой браузер не являются "полностью безопасными". Не стоит забывать, что понятие безопасности - оно комплексное, и человеческий фактор играет одну из важнейших ролей. Это факт номер раз.

Факт номер два: не все уязвимости обнаруживаются фирмами, специализирующимся на безопасности данных. Ряд уязвимостей становится известен им (и производителю ПО) лишь после того, как появляются реальные рабочие эксплойты (вспоминаем code red, sasser и т.д.).

Время с момента публикации информации об уязвимости или публикации prove of concept и время, в течение которого эксплойт реально используется злонамеренными личностями - далеко не одно и то же.

Свежий пример: информация об эксплойте появилась в мае, публичный prove of concept - пару недель назад. Кто-нибудь может поручиться за то, что подобный код не был создан грамотным хакером, допустим, уже в начале июня, и пол-года безнаказанно использовался ? Вот в том-то и дело, что никто. Но бездействие Microsoft в самом деле непонятно.

Факт номер три: скорость устранения уязвимостей у Opera и FF выше, чем у IE, а количество известных неустраненных уязвимостей меньше. Что опять говорит не в пользу последнего.

В общем, каждый делает выводы для себя.

Major_Fox

Цитата:

судя по камментам, версия 1.0.4 была выпущена на следующий день.

Цитата:

очень хорошо помню, на следующий день после сообщения об уязвимости был выпущен Firefox 1.0.7

Это патчилось только в nightly билдах - релизы выходили несколько позже.

Internet Explorer: новый способ обворовать пользователя - CNews
Как из рогов изобилия!

Da_Neil
Гы - похоже фича IE подцеплять поведения через CSS тут явным образом расценивается как недостаток. Надо отметить, что данный недостаток широко применяется собственно на сайте майкрософта исключительно в мирных целях, и его описание открыто выложено на MSDN.
Непонятным остается, как недостаток IE могут пропатчить ребята из Google. Непонятным остаётся также, как заставить уязвимую программу (Google Desktop) со всеми её недостатками и достоинствами работать с другими браузерами, приобщая их к своим достоинствам, и, возможно, недостаткам.

Opera. Руль.
Глючит, но безобидно
Чего и вам желаю...

artfavourites

Цитата:

Непонятным остается, как недостаток IE могут пропатчить ребята из Google.

Вот так.


Цитата:

Непонятным остаётся также, как заставить уязвимую программу (Google Desktop) со всеми её недостатками и достоинствами работать с другими браузерами, приобщая их к своим достоинствам, и, возможно, недостаткам.

Как уязвимость IE может работать в О или Fx? Разве что MS скупит обоих.

Lomster

Цитата:

Если развить тему столь любимого вами БАГ РЕПОРТА, посчитать кол-во обращений туда с багами, выделить кол-во обращений пользователей Оперы и ФФ, вычесть их из всего кол-ва, получится что багов у пользователей ИЕ куда как больше.

Не будь голословным, подсчитай...

Da_Neil
В том-то и дело - прочитай что там написано
Попасть в масс-медиа, написав о уязвимости приложения вроде Google Desktop вряд-ли удастся, IE - другое дело. Ведутся рассуждения без привязки даже к конкренным версиям IE, Операционной системы (!?). Ну а рассужденя о том, что в движке обработки CSS присутствует возможность использовать javascript функциональность, так это с версии 5.5 появилось. Подобная функциональность общем-то и другим браузерам была бы только на пользу.

А Google Desktop заработает с другими браузерами лишь когда этого захочет Google, Google этого захочет лишь когда этого будет нужно пользователю ... Насчет компетентности Google в своей сфере, думаю, пояснять излишне.

Цитата:

Как уязвимость IE может работать в О или Fx? Разве что MS скупит обоих.

Никак. Основное достоинство, и одновременно основной недостаток IE - интеграция в систему. Я вижу в этом недостаток, и именно поэтому поддерживаю альтернативные браузеры (к слову, я очень не люблю оперу, но с моей позиции она выглядит наилучшим образом). Однако, многие здесь сидят за крепким фаерволом, регулярно обновляя Windows. Соответственно и подход другой. Для них использование IE не выглядит столь чудовищно безрассудно, а недостаток функционала с лихвой компенсируется надстройками.

rasdol

Цитата:

Не будь голословным, подсчитай...

Разбежался, пущай господин abz считает, он ведь приводит БАГ РЕПОРТ как пример глючности Оперы, я же, всего-навсего указал на бедовость этой затеи, т.к. БАГ РЕПОРТ это место, куда пишут о проблемах с форумом, а не с браузером. Так что голословным считайте вышеупомянутого господина, т.к. это он не приводит никаких доказательств, а те что приводит, притянуты за уши и не выдерживают никакой критики.

abz

Цитата:

Прошу. Плизз.

Цитата:

потрудитесь объяснить, что именно в этом бредового?

----

Цитата:

Как уязвимость IE может работать в О или Fx?

В том-то и дело, из-за позиции ИЕ "вне стандартов", приходится все точить под него, эта уязвимость очень показательна и вины Google в этом никакой нет.

Цитата:

из-за позиции ИЕ "вне стандартов"

Тут выяснился забавный финт: IE с помощью DOCTYPE можно указать, каким следовать стандартам: W3C или Netscape/Microsoft*. Другое дело что W3C поддерживается на довольно слабом уровне, и без дополнительных ухищерений, в стиле DXImageTransform нереально добиться того-же что делается остальных браузерах при помощи html. Опять-таки эти ухищерения, повторюсь, гробятся уже при минимальном уровне безопасности.
Взгляд на браузерные войны со стороны вэбмастеренга вырисовывает картинку когда еле стоящий на ногах, но воинственный ИЕ, из последних сил поддерживается под руки вэб-мастерами, ибо отпусти его - он рухнет придавив собой 88,2% не в чем не повнных пользователей.
А что пользователи? Пользователи видят, что все отображается корректно, таблички не разъезжаются, кнопки меню отбрасывают тень на бэкграунд, видят как автоматически качаются обновления для их программ, и воздают хвалу microsoft. За что?
--------------------------
* Речь идет о догековском нетскейпе

Цитата:

Major_Fox

Цитата:

Взгляд на браузерные войны со стороны вэбмастеренга вырисовывает картинку когда еле стоящий на ногах, но воинственный ИЕ, из последних сил поддерживается под руки вэб-мастерами, ибо отпусти его - он рухнет придавив собой 88,2% не в чем не повнных пользователей.

То есть вебмастер сделал одолжение браузеру и подогнал под него свой код? В смысле, не хотел изменить своим жёстким W3C принципам, но добрый характер и природная скромность не позволили послать заказчика нах вместе с его 88-ью процентами тупых клиентов? Лол..., где курица, где яйца...

Цитата:

W3C поддерживается на довольно слабом уровне, и без дополнительных ухищерений, в стиле DXImageTransform нереально добиться того-же что делается остальных браузерах при помощи html.

Ну, допустим, он (IE) будет 200-400% стандартов поддерживать. От этого на lib.ru начнут тексты всплывать из левого угла, подмигивать и тихо вползать в твой правый глаз? Или ты бросишь серенький руборд и прикипишь к форуму, где всё такое прозрачное, с тенями и на css исключительно?

Цитата:

То есть вебмастер сделал одолжение браузеру и подогнал под него свой код? В смысле, не хотел изменить своим жёстким W3C принципам

Сделал одолжение - да. Но принципы тут не причем. Принципы - для одержимых. Дело только в том, потрачено-ли рабочее время на написание дополнительного кода (который еще может браузер клиента заблокировать как подозрительный). Так одна строчка превращается в 15.
Библиотека Мошкова и Руборд тоже сюда не вписываются: эти ресурсы несут не рекламную нагрузку, а информацию. И ru-board.com и lib.ru прекрасно выглядят даже в lynx, честь им и хвала за это. Но если сайт рекламный, тут надо посетителя удивлять именно прозрачностью, тенями и css. А еще требуется что-бы это увидел клиент у которого наверняка IE.

Major_Fox

Цитата:

Так одна строчка превращается в 15.

Несколькими постами выше упоминалась способность IE подцеплять поведения через CSS.
Разительно сокращает количество повторяемого кода путём вынесения его через CSS в htc. Кроме того сокращает объём страницы, что для клиента означает, что она загрузится гораздо быстрее.
Так что то, что для IE надо больше кода писать - восприятие не слишком объективное.


Цитата:

надо посетителя удивлять именно прозрачностью, тенями и css. А еще требуется что-бы это увидел клиент у которого наверняка IE.

А что если изначально, сразу писать не для себя, а для клиента?
Тогда его ещё и раскрашеными скроллбарами можно развечь

Цитата:

Так что то, что для IE надо больше кода писать - восприятие не слишком объективное.

Но все-равно IE пофигу объем блокируемого кода. Или есть способ сделать так что-бы IE доверял коду?

Добавлено:

Цитата:

А что если изначально, сразу писать не для себя, а для клиента?

В нашем случае код пишется для всех.

artfavourites

Цитата:

Попасть в масс-медиа, написав о уязвимости приложения вроде Google Desktop вряд-ли удастся, IE - другое дело.

Во-первых, цитирую:
Цитата:

In order to exploit GDS an attacker must first have a valid key to access the GDS web server. As I mentioned earlier, the key appears in a link on Google's web sites so naturally, this is where the key can be grabbed by the attacker using the CSSXSS attack. Due to Google's design, grabbing the "Desktop" link isn't possible on most of their search sites. However, after some trial and error I discovered the link can be returned using this attack on the Google News site, news.google.com, by injecting curly braces into a query. Then it's only a simple matter of extracting the key using a regular expression and doing a CSS import on the URL of the local web server with the chosen query. I also add a "{" character to the query so the results will be visible in the "cssText" property after CSS parsing. This character is ignored by the search engine and doesn't change the results.

Налицо XS (кросс-сайт) эксплойт.
Во-вторых (повторяюсь), почему уязвимость IE работает только в IE?


Цитата:

А Google Desktop заработает с другими браузерами лишь когда этого захочет Google

Что значит заработает? Ты вообще им хоть раз пользовался?


Цитата:

Так что то, что для IE надо больше кода писать - восприятие не слишком объективное.

Есть стандарты W3C, а есть — MS-corrupted. Разве не очевидно, что для поддержки второго нужен лишний код?

Major_Fox

Цитата:

Так одна строчка превращается в 15.

Da_Neil

Цитата:

Есть стандарты W3C, а есть — MS-corrupted. Разве не очевидно, что для поддержки второго нужен лишний код?

Лишний код и в идеальных условиях частый гость. Одну и ту же задачу народ решает 1-ой строкой или 10-тью, и при этом всё в рамках стандартов. Если представить себе на секунду, что в сети останется один IE, разом вымрут всякие нехорошие человеки, и сеть станет доброй пушистой локалкой, то писать под старый IE, используя все его возможности сегодняшнего дня, легче, понятнее и результативнее. Есть узкие неразрешимые места, но по большому счёту, результат будет прелестный. Не подумайте, что я за отмену конкуренции, это так, к слову.

Da_Neil
По порядку
Из приведённой тобою-же цитаты:
Цитата:

In order to exploit GDS

С той-же страницы:
Цитата:

Following the publication of the exploit, Google patched their sites to prevent the exploitation of this vulnerability. Therefore, the proof of concept no longer works.

Далее...

Цитата:

Что значит заработает?

Значит версию от производителя данного софта, работающую в комплексе с другими браузерами. Не удивлюсь, если таковые появятся.

Цитата:

Ты вообще им хоть раз пользовался?

Из сервисов Google пользуюсь Gmail, который со времени своего запуска значительно расширил список браузеров, с которыми его функциональность отрабатывает корректно. Ну ещё включаю Google Toolbar иногда, чтобы посмотреть Page Rank цитируемых источников, компетентность которых вызывает сомнения

artfavourites

Цитата:

Following the publication of the exploit, Google patched their sites to prevent the exploitation of this vulnerability. Therefore, the proof of concept no longer works.

То есть по-твоему, Гугл виноват в том, что 3rd-party сайт через XSCSS-уязвимость в IE может получить доступ к личным данным их (Google) пользователей? Вот как ИЕшники выворачивают истину наизнанку.


Цитата:

Значит версию от производителя данного софта, работающую в комплексе с другими браузерами. Не удивлюсь, если таковые появятся.

А для какого браузера тебе нужен GDS: для Konqueror, Epiphany, Safari? Уж извините, с 3 основными браузерами (а других на win вроде и нет) продукт Google совместим.

Zeroglif

Цитата:

писать под старый IE, используя все его возможности сегодняшнего дня, легче, понятнее и результативнее. Есть узкие неразрешимые места, но по большому счёту, результат будет прелестный

На сегодняшний день IE в свете современной технологии занимает ту же роль, что и некогда похороненный Netscape версии эдак четвёртой. Если в том Netscape невозможным было совместить графику из разных фреймов, например, то в современном IE фактически невозможно уйти от использования таблиц при макетировании страницы. Как результат - отделение содержания от оформления буксует, а вместе с ним буксует и адаптация веб-контента под пока немногочисленные недесктоп-клиенты для веба.

Добавлено:
Da_Neil
Просветился насчёт GDS,
да, случай тут действительно непростой
вместо привычного ActiveX тут наворотили целый сервис на локалхосте, наподобие документации для Eclipse

Так тем более, выбирая именно такое решение из всех других, ответственность взяли они на себя немаленькую

artfavourites

Я не согласен с твоим сравнением совершенно. В принципе и по пунктам. \"Свет современной технологии\" никак не ассоциируется у меня в душе с макетом страницы.

Zeroglif

Цитата:

Свет современной технологии никак не ассоциируется у меня в душе с макетом страницы

и ни у кого не ассоциируется,
а ассоциируется с отделением содержания от оформления

как пример - варианты одного и того же форума под web и wap
отображение RSS через web и через RSS клиент
сервисы MSN, отдающие информацию о погоде эксплореру MSN, да и всем остальным, кто из них эту информацию вытянуть сможет (включая боковушку MyIE)

что имеем на сегодня - инструменты разработки самих сервисов, включая тот же .NET, уже давно к этому готовы, а на стороне клиента картина почти та же, что и в 1998-м году

вот и получается, что пишутся отдельные интерфейсы на мертворожденном wap (попробуйте заставить им пользоваться того, кто хоть раз попробовал пускай искорёженый, но настоящий web, на своём смартфоне ), на браузере XSLT трансформацию никто не делает даже по минимуму (а вдруг зайдут Oper-ой, которая любезно покажет зашедшему море тэгов?), да что там разные интерфейсы - в обычном web с разными User Agent посетитель получает чуть ли не разные сайты, вместо того, чтобы просто тащить разные стили

конечно, удивительного в этом мало - всё движется по самому трудному пути, зато с соблюдением обратной совместимости

в инструментах разработки от этого научились отказываться - новые версии Java не имеют полной обратной совместимоти со старыми, .NET вообще имеет сходство с предшественниками разве что по синтаксису исходников, да даже в глубинах Netscape когда-то писали прототипы Gecko и XUL, имеющих мало отношения к их предшественникам

Цитата:

Если представить себе на секунду, что в сети останется один IE, разом вымрут всякие нехорошие человеки, и сеть станет доброй пушистой локалкой, то писать под старый IE, используя все его возможности сегодняшнего дня, легче, понятнее и результативнее.

В том-то и дело, что то что написано под IE прекрасно смотрится другими браузерами (за достаточно редким исключением - все-таки как не крути MS лидер рынка, и под него надо постраиваться). А вот если-бы более менее графически навороченные сайты вдруг стали писаться без подстановки костылей для IE... Мдя. Но никто этого делать не станет, клиенты вэб студиям пока еще нужны.

Добавлено:

Цитата:

вымрут всякие нехорошие человеки

Вот это не помешало-бы при любом браузере