Re: Bezpieczenstwo przegladarek internetowych - raport CERT Polska.

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Bezpieczeństwo przeglądarek internetowych - raport CERT Polska. › Re: Bezpieczenstwo przegladarek internetowych - raport CERT Polska.

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.onet.pl!newsfeed.tpinternet.pl!
atlantis.news.tpi.pl!news.tpi.pl!not-for-mail
From: "yamma" <y...@w...pl>
Newsgroups: pl.biznes.banki
Subject: Re: Bezpieczenstwo przegladarek internetowych - raport CERT Polska.
Date: Mon, 24 Jan 2005 13:29:06 +0100
Organization: tp.internet - http://www.tpi.pl/
Lines: 54
Message-ID: <ct2pue$dhk$1@nemesis.news.tpi.pl>
References: <csvp7j$q0a$1@nemesis.news.tpi.pl> <ct07to$kfh$1@inews.gazeta.pl>
<c...@b...kjonca.bogus> <ct0a5c$saj$1@inews.gazeta.pl>
<c...@b...kjonca.bogus> <ct0coi$8ce$1@inews.gazeta.pl>
<ct0fdq$un8$1@srv.cyf-kr.edu.pl> <ct2j3h$db7$1@nemesis.news.tpi.pl>
<3...@4...com>
<ct2lqo$slo$1@atlantis.news.tpi.pl>
<i...@4...com>
NNTP-Posting-Host: s0cfpi.pkobp.pl
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Trace: nemesis.news.tpi.pl 1106569998 13876 194.242.62.14 (24 Jan 2005 12:33:18
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Mon, 24 Jan 2005 12:33:18 +0000 (UTC)
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Xref: news-archive.icm.edu.pl pl.biznes.banki:334215
[ ukryj nagłówki ]

Użytkownik "Adam Płaszczyca" <t...@o...org.pl> napisał w
wiadomości news:ifn9v098g4fgkgoqp19q6sm4f41o98k2cu@4ax.com...
> On Mon, 24 Jan 2005 12:22:23 +0100, "yamma" <y...@w...pl> wrote:
>
>>Kolega przede wszystkim nie ma zielonego pojęcia o tym jak działa Windows a
>>wypowiada się co najmniej tonem jakiegoś guru. Po pierwsze MSIE nie jest
>>częścią
>>systemu operacyjnego tak jak kernel czy shell - mało tego można go sobie
>
> Owszem, jest. Ta sama funkcjonalnośc jest używana w graficznej powłoce
> do prezentowania plików i folderów.

Powtarzam jeszcze raz: MSIE _nie_ pracuje w trybie jądra. Wspólpracuje z
systemem ale nie jest jego elementem co oznacza, że nie da się rozwalić systemu
(wywołać BSODa) przy jego pomocy na ograniczonym koncie (tak jak w przypadku np.
sterowników).

>>odinstalować a system się nie posypie (poszukaj np. programu XPLite). Po
>>drugie
>>MSIE nie pracuje w trybie jądra i zdanie "Jego złamanie oznacza przeważnie
>>możliwość dostania się do samego systemu i wszelkich jego składników" jest po
>>prostu kompletną bzdurą,
>
> System, to nie jądro. Jądro, to jeden z elementów systemu.

Tiaaa...Powiedz to linuksiarzowi...:-)

> Nie każdy, a tylko ten, kóry ma odpowiednie fragmenty kodu, lub może
> wykonac kod obcy. Wypisz-wymaluj IE.

Tak, tak...A poza tym poprzednia wersja Gadu-Gadu, starsze wersje FireFoxa i
wiele, wiele innych programów. Wiesz, pod Windowsa napisano wiele aplikacji,
które potrafią wykonać obcy fragment kodu. Poczytaj sobie o "buffer overflow" -
wierz mi, to nie jest wyłącznie domena MSIE.

>>Po czwarte w końcu właśnie jedną z funkcjonalności MSIE jest możliwość
>>dostania się do kontrolek ActiveX. Po to właśnie te kontrolki zostały
>>stworzone
>>ażeby dowolny kontener COM mógł je osadzić wewnątrz siebie.
>
> To, że jedną z funkcjonalności IE jest szeroka brama do instalowanai
> wirusów wiemy. ALe to naprawde nei jest nic chwalebnego.

Chwalebne jest, że MSIE posiada taką funkcjonalność bo łatwiej się tworzy
interfejsy dla użytkowników. Możliwość osadzenia dokumentu Worda czy Excela w
przeglądarce jako frontend dla raportów jest nie do przecenienia i chyba nigdy
nie będzie osiągalne u konkurentów. To nie jest nic chwalebnego jeśli ktoś
posiada pełne zaufanie do treści stron w Internecie i ustawia poziom
zabezpieczeń na niski. Jeśli zezwolisz MSIE na instalowanie wszystkich
ActiveX-ów jakie hulają po sieci, to się potem nie dziw, że Twój komp rozsyła
spamy po świecie.
yamma