Raff says he originally reported the IE flaw to Microsoft more than a year ago <...> Microsoft is taking the issue seriously. It released a security advisory on the problem late Friday, a sign that it may be working on a patch for the IE flaw.
Ну а теперь — самое интересное. Лишим наш броузер сферичности и предположим, что он называется Safari
1. SSL3/TLS — есть, причем Apple этим почему-то гордится, и выделяет в отдельную security-feature (это я придираюсь, извините, не удержался)
2. Деление сайтов на группы — нет
3. Фильтр исходящих запросов / анализатор контента — нет
С тем же успехом можно говорить «А в ⟨вставить название нелюбимой ОС⟩ пользователь может ⟨запустить вредоносную программу, выполнить rm -rf / или format c:, разослать 1000000 сообщений спама, нарушить чьи-то авторские права, ...⟩, и ОС ему позволит это сделать! Какая небезопасная ОС!».
Почему Safari должна заниматься чужими багами? Это примерно как схватка двух якодзун^W^Wантивируса и вируса, оба из которых исполняются с правами суперпользователя — лечение головной боли методом Гийотена.
Здравствуйте, Roman Odaisky, Вы писали:
RO>С тем же успехом можно говорить «А в ⟨вставить название нелюбимой ОС⟩ пользователь может ⟨запустить вредоносную программу, выполнить rm -rf / или format c:, разослать 1000000 сообщений спама, нарушить чьи-то авторские права, ...⟩, и ОС ему позволит это сделать! Какая небезопасная ОС!».
Надеюсь, не шокирую сказав, что ОСь, позволяющая непривилегированному пользователю выполнить с собой вышеперечисленные действия, таки-да — небезопасна?
RO>Почему Safari должна заниматься чужими багами?
Про "чужой баг", подробнее можно?
RO>Это примерно как схватка двух якодзун^W^Wантивируса и вируса, оба из которых исполняются с правами суперпользователя — лечение головной боли методом Гийотена.
В общем случае, когда "оба из которых исполняются с правами суперпользователя" антивирусы — извини, сосут. Но это-то тут причем?
Ну было бы оочень странно, если бы МС говорили "Используйте Safari под Windows вместо IE7"
Еще более странно и даже более того раздражает, когда кто-то (независимый) говорит использовать то, вместо этого. Я думаю у людей и у меня в частности есть голова на плечах, чтобы выбрать то, что мне подойдет и нравится. Я не против общих обзоров, они как раз таки очень полезны, просто увидеть, вон тот браузер обладает тем, а другой вот этим. Но когда, кто-то просто говорит используй то, а не это, у меня это вызывает отвращение.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
RO>>Почему Safari должна заниматься чужими багами?
KV>Про "чужой баг", подробнее можно?
It turns out that if this flaw is exploited in combination with a second unpatched bug in Internet Explorer...
For the attack to work, a victim must first visit a maliciously crafted Web page with the Safari browser, which in turn will trigger the carpet bombing attack and exploit the IE flaw.
Баг проявляется только в комбинации с багом Эксплорера
еще в апреле, теперь присоединилась и MS
Y>Но когда, кто-то просто говорит используй то, а не это, у меня это вызывает отвращение.
Ну так я вроде дал ссылку на место, где я не "просто говорю используй то, а не это", а вполне аргументированно на мой взгляд Или мне это еще и сюда стоило скопипастить?
Здравствуйте, Mamut, Вы писали:
RO>>>Почему Safari должна заниматься чужими багами?
KV>>Про "чужой баг", подробнее можно?
M>
M>It turns out that if this flaw is exploited in combination with a second unpatched bug in Internet Explorer...
M>For the attack to work, a victim must first visit a maliciously crafted Web page with the Safari browser, which in turn will trigger the carpet bombing attack and exploit the IE flaw.
M>Баг проявляется только в комбинации с багом Эксплорера
Вот выделенное — не совсем так. Баг в сафари (безо всяких "тандемов") позволяет втихую положить пользователю на рабочий стол любой (в т.ч. и исполняемый файл) с проивольным именем (например "Мой компьютер"). Это именно то, что яблоки не хотят признавать серьезной проблемой и обещают исправить "как-нибудь" в порядке живой релизной очереди.
Попутно же, существующий баг в IE позволяет еще и тихо запустить не менее тихо положенный на десктоп (благодаря сафари) файл.
Закрыть и тот и другой баг (IMHO) должны и MS и Apple, остается только ждать. И пока они там не определяться, лучше принять меры, чтобы обезопасить себя от этих обоих дыр. Только вот от использования IE отказаться не получится при всем желании (разве что только от винды целиком), в отличии от сафари, который хоть и с проблемами, но из винды таки-удаляется. Посему лично мне, представляется вполне разумным, пока не закрыты оба этих бага, советовать всем любителям сафари, либо отказаться от него, либо перейти на MacOS. А вовсе не из-за религиозных убеждений, как ту некоторые сразу же подумали.
Все три не имеют никакого отношения ни к IE ни к MS. А то, что один из них можно использовать гораздо шире, благодаря наличию уязвимости в IE — это второй вопрос, хоть чести MS и не делающий.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ну так я вроде дал ссылку на место, где я не "просто говорю используй то, а не это", а вполне аргументированно на мой взгляд Или мне это еще и сюда стоило скопипастить?
По ссылке не ходил, но:
Тема: "Не используйте сафари под виндой... (с) MS"
Сообщение: "К тому (точнее — к смыслу "того"), о чем я писал еще в апреле, теперь присоединилась и MS"
=> можно подумать, что ты писал о том, чтобы люди не использовали Сафари.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Когда вышел сафари под виндой и когда firefox?
Первое сообщение об ошибке в Safari датировано: 09 декабря, 2003
Первое сообщение об ошибке в Firefox датировано: 09 июля, 2004
KV>Один только совет — не ходи на секлаб в поисках уязвимостей. В нете полно уважаемых (а главное — более полных и достоверных) ресурсов на эту тему
Буду рад ссылкам на уважаемые и полные ресурсы.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
Здравствуйте, yumi, Вы писали:
Y>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Когда вышел сафари под виндой и когда firefox?
Y>Первое сообщение об ошибке в Safari датировано: 09 декабря, 2003 Y>Первое сообщение об ошибке в Firefox датировано: 09 июля, 2004
Ok, даже не буду спорить о том, что обсуждаемая здесь уязвимость является платформо-зависимой, а сафари появился на винде в божеском виде только в этом году, в отличии от фокса, который отродясь был в том числе и там. И о популярности сафари, который хакерюгам нахрен не сдался, пока не появился на винде — тоже не буду, ибо это на мой взгляд — очевидно. Между прочим, поиск по lynx, там же, дает еще меньше результатов (всего 19)
Поговорим о другом...
В фоксе нашли аж 97 уязвимостей супротив 56 в сафари. И что это значит? А значит это (согласно твоей логике), что либо сафари безопаснее фокса, т.к. вот искали в нем баги, искали — и не нашли нифига, ибо он весь из себя такой надежный и секьюрный. Либо что фокс безопаснее сафари, т.к. вона сколько багов в нем уже найдено и пофиксено, в отличии от его сырого яблочного брата, производители которого забили на его безопасность еще на этапе разработки его архитектуры. Иными словами, ты предлагаешь считать количество обнаруженных уязвимостей, метрикой безопасности/качества кода этих продуктов...
"Борис, ты не прав" (с), т.к. данной метрикой может служить разве что только количество еще не обнаруженных уязвимостей в обоих броузерах, а еще лучше — сумма и тех и других. Но прикидывать эту величину даже на глаз — занятие неблагодарное, утомительное и в целом — бесполезное, по понятным причинам.
Поэтому твое заявление, что ты решил остаться на сафари, исключительно из этих соображений, звучит по меньшей мере странно, т.к. в их основе лежит ложное представление о том, что принято считать показателем безопасности кода и продукта, а что нет.
Если без иронии — то дело не в количестве уязвимостей, в т.ч. и необнаруженных. Поверь, их уже достаточно в обоих броузерах чтобы хватило на ближайшие пару лет. А с новыми версиями в них появляются новые уязвимости, посему наш брат (ну... мой брат) без хлеба точно не останется А с такой политикой наплевательского отношения к вопросам безопаности, сафари в суровых условиях "окружающей винды" долго не протянет, т.к. будет порван и ослом и лисой за милую душу. Это было IMO.
KV>>Один только совет — не ходи на секлаб в поисках уязвимостей. В нете полно уважаемых (а главное — более полных и достоверных) ресурсов на эту тему
Y>Буду рад ссылкам на уважаемые и полные ресурсы.
А секлаб, с некоторых пор, не более чем помойка из понадерганного (в том числе и с вышеперечисленных сайтов) контента + комменты на все подряд в стиле завсегдатаев ЛОРа При всем моем уважении к ребятам из Positive Technologies
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Поэтому твое заявление, что ты решил остаться на сафари, исключительно из этих соображений, звучит по меньшей мере странно, т.к. в их основе лежит ложное представление о том, что принято считать показателем безопасности кода и продукта, а что нет.
А что принято считать показателем безопасности кода продукта?
KV>Если без иронии — то дело не в количестве уязвимостей, в т.ч. и необнаруженных. Поверь, их уже достаточно в обоих броузерах чтобы хватило на ближайшие пару лет. А с новыми версиями в них появляются новые уязвимости, посему наш брат (ну... мой брат) без хлеба точно не останется А с такой политикой наплевательского отношения к вопросам безопаности, сафари в суровых условиях "окружающей винды" долго не протянет, т.к. будет порван и ослом и лисой за милую душу. Это было IMO.
Верить на слово никому не буду, если будут достоверные факты, проверю и возьму на заметку, а так, на слово извини, для меня это бла-бла.
KV>securityfocus.com KV>secunia.com KV>securityvulns.[com|ru] (3APA3е — привет, пользуясь случаем ) KV>багтрак, в конце-концов...
За ссылки спасибо.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
kochetkov.vladimir пишет: > Ok, даже не буду спорить о том, что обсуждаемая здесь уязвимость > является платформо-зависимой, а сафари появился на винде в божеском виде > только в этом году, в отличии от фокса, который ...
... в божеском виде на Mac OS X так и не появился
--
ISO/IEC 8652:1995/Amd 1:2007
Posted via RSDN NNTP Server 2.1 beta
Re[10]: Не используйте сафари под виндой... (с) MS
Здравствуйте, OCTAGRAM, Вы писали:
OCT>kochetkov.vladimir пишет: >> Ok, даже не буду спорить о том, что обсуждаемая здесь уязвимость >> является платформо-зависимой, а сафари появился на винде в божеском виде >> только в этом году, в отличии от фокса, который ...
OCT>... в божеском виде на Mac OS X так и не появился
Или мне это еще и сюда стоило скопипастить?
При всем моем уважении к ребятам из Positive Technologies 
