is MSIE echt zo lek als een mandje of niet?

[MaakUt]

ik kreeg net een link van iemand:
http://www.liquidwd.freeserve.co.uk/


als je daarheen gaat ....naja.. zie je wel wat er gebeurd... maar volgens mij kan je daar best sicko dingen mee doen.

[Cybernetic Dreams]

hij opent 'C:\WINDOWS\DOWNLOADED PROGRAM FILES\CMD.EXE'

en dat is een dospromptje


best eng inderdaad

[Dit bericht is aangepast door Cybernetic Dreams (20-02-2002).]

[Marc S]

Sheesh, en ik had alle patches geinstalleerd voor IE6 :/

Hmmz, als je JavaScript uitschakeld, werkt het niet meer... maar ja, als ik dat doe kan ik niet eens inloggen bij PBNA Interstudy, wat ik dus nodig heb en met geen enkele andere browser werkt

Na ja, surfen met Mozilla, enkele belangrijke dingen doen met IE :/

[Marc S]

Hmm, ik vraag me af hoe je parameters meegeeft

Dan wordt 'ie pas echt gevaarlijk...

[Marc S]

Code:

<html>
<body>
<OBJECT NAME='X' CLASSID='CLSID:11111111-1111-1111-1111-111111111111' CODEBASE='c:\winnt\explorer.exe' %1='d:' %2='r'></OBJECT>
</body>
</html>

Nu nog die parameters...

[Marc S]

Ook leuk, en bijna hetzelfde

[Marc S]

Internet Explorer zuigt echt :/

[Marc S]

Whahaha

Check the advisory

Workaround/Solution:
Disable Active Scripting and never turn it on.
Better, do not use IE in hostile environments such as the internet.

Wat een onnozel geflame weer.

Dringt het tot de heren anti-MSIE niet door dat *NIETS* veilig is? -- Overigens, die eerstgenoemde URL werkt bij mij niet eens. Goh, wat is het toch slecht allemaal. En nog een sappig detail: ik heb JavaScript INGESCHAKELD. MSIE versie 6.0.2600.

Nee, laten we dan de alternatieven eens bekijken. M.i. is er maar één browser die redelijk 'navigeert', en dat is Konqueror. En nog is dat maar heel zuinigjes aan.

Ik kan ook wel even naar SecurityFocus surfen en daar een zooi gaten in Unix/Linux opratelen. Pf, get real mensen.

[Marc S]

Citaat:

Dobermann schreef:
Ik kan ook wel even naar SecurityFocus surfen en daar een zooi gaten in Unix/Linux opratelen. Pf, get real mensen.

Motto: weinig features / lage systeembinding -> hoge security.

Wil je veilig browsen? Gebruik Opera of Netscape

En euhh, mijn IP is 213.10.55.124

Er staat Linux op, bewijs maar dat het niet veilig is

[Marc S]

Citaat:

Dobermann schreef:
Nee, laten we dan de alternatieven eens bekijken. M.i. is er maar één browser die redelijk 'navigeert', en dat is Konqueror. En nog is dat maar heel zuinigjes aan.

Opera is beter, hoewel Konqueror in KDE 3 beter wordt (vooral qua performance).

[Marc S]

Citaat:

Dobermann schreef:
Overigens, die eerstgenoemde URL werkt bij mij niet eens. Goh, wat is het toch slecht allemaal. En nog een sappig detail: ik heb JavaScript INGESCHAKELD. MSIE versie 6.0.2600.

Ik heb dezelfde versie, inclusief patches (Q316059) en toch werkt het. Systeem is Windows 2000 SP2...

Citaat:

Marc S schreef:
Motto: weinig features / lage systeembinding -> hoge security.

Wil je veilig browsen? Gebruik Opera of Netscape

En euhh, mijn IP is 213.10.55.124

Er staat Linux op, bewijs maar dat het niet veilig is

Ik kan je ook mijn IP geven met het verzoek me dan toch 's te hacken, hoor. Weinig kans.
Nog een saillant detail, de meeste échte hackers hebben totaal geen kaas gegeten van Windows systemen omdat ze het (deels ten onrechte) verachten, en dus niet gebruiken. Blijft de groep wannabe's over; en die kunnen alleen met trojans aan de gang. Met andere woorden, men installeert een virusscanner en misschien een firewall en knappe jongen die bij jou binnenkomt. Máár, degene *DIE* binnenkomt dan, was toch wel binnengekomen. Tot zover het relativeren van de zogenaamde 'hete hangijzers'.

Comfortabel browsen vind ik bovengeschikt aan veilig browsen. Zoals ik al zei; die exploit die boven genoemd werd deed het niet bij mij. Derhalve ga ik me dus totaal geen zorgen maken, en al helemaal niet met Netscape/Mozilla browsen.

Overigens, ik draai nu Windows 98SE.

Met 'weinig kans' bedoelde ik overigens de kans dat jij mij, met mijn 'brakke' Windows-systeem kan hacken. Mocht je dat ernstig in twijfel trekken, ga je gang op 213.46.82.6.

[Marc S]

Citaat:

Dobermann schreef:
Met 'weinig kans' bedoelde ik overigens de kans dat jij mij, met mijn 'brakke' Windows-systeem kan hacken. Mocht je dat ernstig in twijfel trekken, ga je gang op 213.46.82.6.

Ik heb inmiddels best veel over netwerken en veiligheid nagelezen en begrijp ook wel dat je van buiten af elk systeem waterdicht kunt maken (of simpel: geen poort open, geen hacker die binnenkomt). Je springt trouwens wel erg snel in de defensie wat 'brakke' Windows-systemen aangaat.

Ik vind Internet Explorer gewoon een gevaar wat de veiligheid aangaat, met Windows 2000 ben ik over het algemeen redelijk tevreden. Ook begrijp ik wel dat dit 'gevaar' afhankelijk is van het surfgedrag van de gebruiker, waarmee men tot de conclusie kan komen dat men bij het surfen op legitieme sites in principe gewoon veilig is.

[Marc S]

Citaat:

Dobermann schreef:
Nog een saillant detail, de meeste échte hackers hebben totaal geen kaas gegeten van Windows systemen omdat ze het (deels ten onrechte) verachten, en dus niet gebruiken.

Hier moet ik toch nog even op reageren

Ten eerste: het begrip hacker.
Een hacker is iemand die zoveel mogelijk leren wil en kennis heeft van zoveel mogelijk verschillende systemen en software. Dit is *niet* per definitie iemand die bij anderen inbreekt. Als ik morgen voor de lol meewerk aan opensource projecten en daar code voor schrijf, ben ik ook een hacker

Ten tweede: netwerkstandaards
Een goede hacker / cracker heeft diepere kennis van TCP/IP. Het gebruikte systeem maakt daarbij hartelijk weinig uit. Misbruik van exploits die voorkomen bij FTP, SMTP en DNS servers bijvoorbeeld, is op alle systemen even eenvoudig te bereiken.

(even toevoeging: bij een FTP server maakt het bijvoorbeeld dus weinig uit of dit een Windows of Linux machine is, hoe veilig deze machine is hangt af van de FTP daemon die deze service verleent)

Oftewel: Windows mag veilig zijn, IIS niet

De problemen met Internet Explorer hier, hebben in feite zeer weinig te maken met hacken / cracken. 't is gewoon lame scripts schrijven en misbruik maken van Microsoft's leuke features als VBScript en JavaScript

Groetjes,
Marc

[boejjuh]

?? ik heb gewoon winxp draaien, met de nieuwste patches, en bij mij komt er echt geen command prompt, ook die andere url's voeren niets uit bij mij hoor??

[razor-x]

Citaat:

boejjuh schreef:
?? ik heb gewoon winxp draaien, met de nieuwste patches, en bij mij komt er echt geen command prompt, ook die andere url's voeren niets uit bij mij hoor??

mooi toch?

[MaakUt]

Citaat:

boejjuh schreef:
?? ik heb gewoon winxp draaien, met de nieuwste patches, en bij mij komt er echt geen command prompt, ook die andere url's voeren niets uit bij mij hoor??

heb ik ook ;P en tog werkt het

[Conan the Librarian]

Citaat:

Dobermann schreef:
Overigens, ik draai nu Windows 98SE.

Er stond dat het voor 2000 / XP was.

[source] '***windows/system32/cmd.exe',
'***winnt/system32/cmd.exe',
'***cmd.exe'
[/source]

98 heeft COMMAND.COM toch?

[Dit bericht is aangepast door Conan the Librarian (20-02-2002).]

[lupus]

Citaat:

Conan the Librarian schreef:
98 heeft COMMAND.COM toch?

Ja inderdaad

[Conan the Librarian]

Citaat:

Marc S schreef:
Nu nog die parameters...

Deltree /Y ?
(ookal werkt dat niet meer onder 2k/XP)

[lupus]

Met andere woorden: Dobermann is waarschijnlijk net zo vulnerable als de rest, maar het programma werkte niet omdat cmd.exe niet bestaat onder Win98...

[Conan the Librarian]

Citaat:

lupus schreef:
Met andere woorden: Dobermann is waarschijnlijk net zo vulnerable als de rest, maar het programma werkte niet omdat cmd.exe niet bestaat onder Win98...

Daar lijkt het op...

Misschien dat in 2k of XP de IE's nog wat meer mogelijkheden hebben dan in 9x?

De optie om per site te beslissen of je JS aan wilt hebben zal wel niet bestaan, of wel?

IIS is niet veilig. Vast niet. Maar, hoeveel exploits zullen er wel niet zijn voor Apache? -- Alles is in principe te hacken. Kun jij je poortjes allemaal dichtgooien; wanneer een kwaadwillend iemand fysiek toegang heeft tot jouw bakkie, ben je alsnog de pisang.

Overigens ben ik bekend met het begrip 'hackers', dus voor mij had je die uitleg niet hoeven geven. Ik bedoelde ook mensen die bijvoorbeeld bij Hit2000 zitten.

Feit is ook dat MSIE veruit de meest gebruikte browser is. Stel dat iedereen MSIE overstapt op Netscape. Hoe snel denk je dat daar koeien van gaten ineens blijken te zitten? -- Ik ben overigens niet pro-MS. Wel anti clueless MS-gezeur.

[Marc S]

Citaat:

Dobermann schreef:
IIS is niet veilig. Vast niet. Maar, hoeveel exploits zullen er wel niet zijn voor Apache?

Apache op zich is veilig. Buffer overflows en dergelijke zijn opgelost. Het enigste waarmee je gevaar loopt, zijn je eigen programma's (te denken valt vooral aan cgi).

Citaat:

Alles is in principe te hacken. Kun jij je poortjes allemaal dichtgooien; wanneer een kwaadwillend iemand fysiek toegang heeft tot jouw bakkie, ben je alsnog de pisang.

We spreken hier niet over fysieke toegang. Bij fysieke toegang ben je zowiezo de pineut.

Citaat:

Feit is ook dat MSIE veruit de meest gebruikte browser is. Stel dat iedereen MSIE overstapt op Netscape. Hoe snel denk je dat daar koeien van gaten ineens blijken te zitten? -- Ik ben overigens niet pro-MS. Wel anti clueless MS-gezeur.

Het probleem bij uitstek van IE is de systeembinding. De browser op zich werkt best fijn, maar systeem en internet zijn niet duidelijk gescheiden. Dit ging al fout bij de release van 4.0 met ActiveX. Alles wat je embed of via scripts activeerd, is een shellobject. En daarbij bestaat *altijd* de kans fouten / exploits te vinden.

Ik ben daan ook geen voorstander van de webdesktop. Want ik zie het nu al fout gaan, ook bij Linux. Als ik me aan 1 ding irriteren kan, dan is het dat alles via 1 programma loopt. Dat vormt qua veiligheid altijd een probleem. Daarbij maakt het dan weinig uit of we over de Explorer, Konqueror of Nautilus spreken. Ik mag ze in principe alledrie niet.

[dystopia]

Dobermann: het geile van o.a. Linux (waar je dus een paal van krijgt) is dat het ontzettend buigzaa is. Ik patch die kolerekernel met wat security patches enzo en wanneer er dan een exploit uitkomt ben ik secure, of heb ik kans dat ik eer secure ben. Ik vind een systeem als: Debian, FreeBSD, OpenBSD makkelijker secure te houden dan een systee als Windows ME of Windows XP of QNX

Openwall en GrSecurity zijn 2 goede patches maar er is nog veel meer..

Marc_S:

True, ik ben ook geen voorstander van het feit dat IE zo verweven zit in Windows. Maar hoe je 't draait of keert; alles wat door mensenhanden is gemaakt kan worden nagemaakt, en vaak nog beter ook. Je zult altijd houden dat software niet 100% dicht is. Altijd. Dat MSIE 'fraude'-gevoeliger is weet ik. Maar MSIE daarop aanpakken vind ik niet fair vanwege het feit dat het een kwestie was/is van vraag en aanbod. De grijze massa wil snel & simpel, en dat gaat ten koste (in dit geval) van een iets minder (relatief) veilig systeem. Echter, het moet niet zo zijn dat mensen het idee hebben dat IE per definitie een bak vol met gaten is, en daar de enige in is.

Overigens ben ik ook van mening dat de algehele kwaliteit van MSIE tot nu toe dusdanig is, dat er geen sprake van serieuze concurrentie is. M.i. zijn er geen fatsoenlijke alternatieven voor IE. En ik heb ze zelf geprobeerd hoor, Mozilla, Netscape, Opera. Maar niets kan tippen aan IE. -- En ik zal daar vast niet de enige in zijn die daar zo over denkt.

[pietje63]

IE is denk ik niet veel minder veilig dan andere browsers, alleen meer aangevallen

[Marc S]

@Dobermann:
Grotere gevoeligheid voor misbruik door verweven te zijn met het systeem, spreekt dus ervoor dat alternatieven veiliger zijn.

Je hebt wel gelijk wat de gebruikersvriendelijkheid en 'smoothness' aangaat van de browser. Daarmee is IE wel de beste.

Citaat:

pietje63 schreef:
IE is denk ik niet veel minder veilig dan andere browsers, alleen meer aangevallen

Eh, ik denk dat wanneer de verhouding van gebruikte browser op internet 50/50 zou zijn met Netscape en MSIE, dat je met MSIE toch meer 'risico' loopt. Dat MS-produkten veel vaker aangevallen worden, door personen die hun leven wijden aan het onderzoeken van gaten in MS-produkten uit haat jegens hen, komt door de soms walgelijke houding van MS en haar monopolie-gedrag.


Marc S:
Alternatieven kunnen veiliger zijn, maar kwalitatief is het om te huilen. Stabiliteit vind ik ook redelijk belangrijk.
PS. Op IRC geweest lately? -- Je plaatst een @ voor m'n naam? (Na zoveel quasiserieus gezeur mag het bést even offtopic, ja!)

[Marc S]

Citaat:

Dobermann schreef:
Alternatieven kunnen veiliger zijn, maar kwalitatief is het om te huilen. Stabiliteit vind ik ook redelijk belangrijk.

Oh, het is niet zozeer de stabiliteit. Die vind ik bij de alternatieven nog redelijk meevallen. Het zijn gewoon de kleine verschillen laten we zeggen...

Citaat:

PS. Op IRC geweest lately? -- Je plaatst een @ voor m'n naam? (Na zoveel quasiserieus gezeur mag het bést even offtopic, ja!)

Ghehe

Ik kom wel eens op IRC ja. Dat met die @ heb ik echter uit een discussie op Slashdot waar ik aan mee deed. Die hele thread werd echt een zooitje