@patrick:
Der IE ist wirklich eine Shell.
Gib mal in der Adresszeile "C:\" ein. Und starte mal ein Programm.
Na, ist so ein Verhalten typisch für einen Browser? Nein.
Aber typisch für eine Shell.
Probier's mal in Alternativbrowsern, da sieht du, wie sich ein Browser verhalten würde.
Und dann weißt du auch, wie der IE konstruiert ist. Per Default wird erstmal alles zugelassen, und dann werden auf dieser absolut unsicheren Grundlage von oben herauf Restriktionen eingesetzt. Funktioniert wunderbar bei bekannten Sachen, scheitert an unbekannten Sachen.
Einmal war es sogar so, daß eEye eine Lücke entdeckt hat, Microsoft in dem Patch aber nicht die Ursache beseitigte, sondern nur den Exploit verbot. Was dann kam, konnte man sich ja denken: eEye fand einen anderen Exploit, aber für genau die gleiche Ursache. Der Patch hat also nicht geholfen.
Statt das Problem zu lösen, werden nur die Symptome bekämpft. Das scheitert nun mal an unbekannten Symptomen.
Die Alternativbrowser sind hingegen wirklich von unten nach oben aufgebaut, per Default geht gar nichts und die Grundlagen werden einzeln hinzugefügt.
Außerdem umgeht Microsoft offenbar gerne sehr sinnvolle Trennung. Beispiel sei der Zugriff mit JavaScript auf Java-Objekte. JavaScript kann so manche wichtige Sachen ermitteln, aber nicht die lokale IP des Rechners. Java wiederum kann die ermitteln, aber nicht einige andere wichtige Sachen.
JavaScript erlaubt mit Kenntnis der IP wiederum mächtige Sicherheitslücken. Umgekehrt kann Java dazu verwendet werden, um wichtige Einschränkungen bei Java zu umgehen.
Deshalb wurden im W3C-Entwurf beide Sprachen grudsätzlich voneinander getrennt. Und jeder alternative Browser setzt das auch korrekt um, indem halt nie eine solche Verknüpfung programmiert wurde.
Beim IE hingegen wurde die nicht nur programmiert, sondern ist auch per Default aktiviert. Scripting von Java-Applets heißt die Option uns sollte tunlichst deaktiviert werden!
Insofern ist der IE grundsätzlich unsicherer, viele seiner Fehler sind im Design begründet, und darin begründet sich ebenso auch Größe der Menge an unbekannten Lücken im IE.
Dieser Beitrag wurde von Rika bearbeitet: 01. März 2004 - 23:18