[Imperator]

Zitat (Rika: 24.03.2004, 20:35)

Hab die Seite gerade aktualisiert. Wer will, darf klicken.     
http://www.inf.tu-dr...s9053014/hnh12/

Zwar kein Datenverlust, aber dafür funzt's komplett ohne JavaScript.

Rika,

Das ist das Zweite mal, dass du mich reingelegt hast. Das ist nicht mehr witzig.

[Rika]

Ach was denn - nur weil der IE nicht mal CSS2 mit Contextual Objects kann (aktuell ist die Spezifikation Version 3...), kann er den roten Text nicht ausblenden. Für den Absturz selber ist dann ein spezielles (aber ebenfalls 100%ig korrektes) Stylesheet, das in der Überschrift verwendet wird, schuld.

Wer jetzt ankommt und sagt "Moment mal, das ist doch nur für's IE-Crasher gut.", dem sei gesagt, daß das Stylesheet ursprünglich für eine ganz normale Seite als ganz normales Style verwendet werden sollte, was aber nicht ging, zu der Entdeckung dieses Bugs führte und nur mit ziemlich viel Fummelei und mehr (unnötigem) Code umgangen wurde.

Dieser Beitrag wurde von Rika bearbeitet: 24. März 2004 - 20:56

[G!ZMo]

rika:

find ich irgendwie lustig *ggggg*

zeigt mal wieder wie toll der ie doch ist...

Dieser Beitrag wurde von G!ZMo bearbeitet: 24. März 2004 - 21:00

[Rika]

Besondern krass ist ja das Valid-XHTML-1.0-Icon darunter, daß einem beim Anklicken auch noch offiziell bestätigt, daß die Seite 100%ig korrektes XHTML 1.0 Strict (!) ist. Schade ist nur, daß bei dem Bug seit dem letzten IE-Update dieser Standard-"Ich bin gecrasht"-Dialog erscheint, bei dem anderen (leider nicht so einfach ausnutzbaren) CSS-Bug hingegen stürzt er noch sauber ab.

[patrick888]

und wieder ein grund warum man den ie nicht benutzen sollte!!

haste keine anderen bilder mehr?

[Imperator]

Rika,

ich wette mit dir, dass in Firefox mindesten genauso viele Sicherheitslücken sind, wie im Internet Explorer.

[Rika]

Ich wette dagegen.

Grund #1: Erfahrung. Der IE wird vieleicht 10 mal öfter benutzt als Alternativbrowser, vielleicht 100fach mehr analysiert und 10mal mehr Leuten. Betrachte man, wie oft aber Sicherheitslücken gefunden wurden, und wie trivial die waren, und rechnet man nun mit reiner Statistik, so hat der IE etwas 5 mal mehr Sicherheitslücken auf dem gleichen effektiven Codeumfang.

Grund #2: Erfahrung mit dem Design vom IE. Er ist nämlich so gebaut, daß erstmal alles erlaubt ist und dann erst explizit verboten werden muss - bei Alternativbrowsern ist es umgekehrt. Microsoft hat schon oft bei bekanntem Fehler nur das Symptom behoben, und danach fand man oft ein anderes ausnutzbares Symptom für den genau den gleichen Ursachen-Fehler. Insecure by Design.

Grund #3: Microsoft hat kein Interesse am Patchen bekannter Lücken. Der derzeitige IE-Bug-Zähler steht auf 27, einige der Bugs sind seit Juli '03 bekannt. Im Dezember '03 hat Microsoft dann wohl öffentlich seine Trustworthy COmputing Initiative begraben. Die geplanten Änderungen für XP SP2 zielen auch nur auf Symptombekämpfung statt Ursachenbeseitigung ab.

Grund #4: Firefox ist ja sowieso ein ganz spezielles Design, besteht er doch nur aus einem großen Interpreter und dazu viel viel XUL (=XML) und JavaScript. Das schlimmste, was man bisher gesehen hat, waren einige Privilege Elevations mit JavaScript und ohnehin sehr kontroversen veralteten XUl-Objekten - und selbst wenn ein Bug den Interpreter betreffen würde, käme der Exploit wohl sicherlich nciht durch den XML-Transformationsprozess.

Nicht zuletzt: Selbst wenn es so wäre, Firefox hat mehr, bessere und nützlichere Features.

Dieser Beitrag wurde von Rika bearbeitet: 24. März 2004 - 21:36

[Dimension]

Zitat (Rika: 24.03.2004, 20:55)

Für den Absturz selber ist dann ein spezielles (aber ebenfalls 100%ig korrektes) Stylesheet, das in der Überschrift verwendet wird, schuld.

Ein Crash mehr, den es erst ab IE6 gibt ...

Angehängte Miniaturbilder

• 

[Imperator]

Ja es ist noch nicht aller Tageabend, dass mit Servers Pack 2 kann noch keiner sagen, vielleicht kriegen so noch die Kurve und sie Eliminieren einen Teil der Sicherheitslücken aus dem Internet Explorer.

Überleg mal wenn jetzt mehr Firefox nutzen würden, dann würden bestimmt auch mehr Fehler gefunden und du willst mir doch nicht weiß machen, Firefox der Perfekten Browser ist, das wäre reine Utopie.

Interessant wäre es mal zusehen, wie sich ein Link der Firefox zum Absturz bringt beim Internet Explorer auswirkt.

[Rika]

Wie ich aber schon sagte, an der Statistik würde das nix ändern. Betrachtet man entdeckte Lücken und die wahrscheinlichste Anzahl an unentdekcten Lücken, ist der IE weitaus fehlerbehafteter.

Das mit dem SP2 kann man schon sagen, schau dir doch nur mal MS' Pläne an. IE noch weiter integrierer, ActiveX ausbauen, weiterhin nur mit Authenticode schützen, viele Webseiten werden wegen Beschränkungen nicht mehr richtig funzen -> Zwang zum Abschalten der Sicherheitsfeatures durch den User, und vor allem: viele der Maßnahmen gehen an den bisherigen Exploits völlig vorbei.

Das mit dem Link, der Firefox abstürzen lässt - ist das Wunschdenken, eine Anspielung auf den WMP-Plugin-Bug (der aber von Microsoft verbrochen wurde), oder auf meine HTML Decompression Bomb, die Firefox mit Mühe und Not noch überlebt, den IE aber voll crasht?

[Imperator]

Zitat (Rika: 24.03.2004, 22:30)

Wie ich aber schon sagte, an der Statistik würde das nix ändern. Betrachtet man entdeckte Lücken und die wahrscheinlichste Anzahl an unentdekcten Lücken, ist der IE weitaus fehlerbehafteter.

Das mit dem SP2 kann man schon sagen, schau dir doch nur mal MS' Pläne an. IE noch weiter integrierer, ActiveX ausbauen, weiterhin nur mit Authenticode schützen, viele Webseiten werden wegen Beschränkungen nicht mehr richtig funzen -> Zwang zum Abschalten der Sicherheitsfeatures durch den User, und vor allem: viele der Maßnahmen gehen an den bisherigen Exploits völlig vorbei.

Das mit dem Link, der Firefox abstürzen lässt - ist das Wunschdenken, eine Anspielung auf den WMP-Plugin-Bug (der aber von Microsoft verbrochen wurde), oder auf meine HTML Decompression Bomb, die Firefox mit Mühe und Not noch überlebt, den IE aber voll crasht?

Das ist keine Rosige Zukunft für den Internet Explorer. Vielleicht schaffen sie es bei Longhorn einen Sichern Internet Explorer zu programmieren. Das sollt aber jetzt kein Anlass sein, dass sich Mozilla und Co auf den Lorbeeren ausruhen.

[Stulle]

Zitat (Imperator: 24.03.2004, 23:03)

Vielleicht schaffen sie es bei Longhorn einen Sichern Internet Explorer zu programmieren. Das sollt aber  jetzt kein Anlass sein, dass sich Mozilla und Co auf den Lorbeeren ausruhen.

Das ist reines Wunschdenken. Solange sich an der Funtionsweise des selbigen nix ändert, wird er auch nicht sicherer.

Aber zu Ricka's Link zurück. Beim Firefox war nix zu merken. Gib mal beim nächsten Mal bitte mit an, mit welchem Browser der geöffnet werden sollte. (sonst verpasst man ja alles)

Dieser Beitrag wurde von Stulle bearbeitet: 24. März 2004 - 23:27

[wiz]

Zitat

Das ist reines Wunschdenken. Solange sich an der Funtionsweise des selbigen nix ändert, wird er auch nicht sicherer.

eben, die müssten den browser von grund auf neu schreiben...

[EDragon]

Zitat (wiz: 24.03.2004, 23:40)

eben, die müssten den browser von grund auf neu schreiben...

Quatsch, ausgliedern/auslagern aus dem OS, oder nicht?!