IE6 tip

[Gość: JP]

Swego czasu Microsoft wprowadzil blokade uzywania nazwy uzytkownika i hasla w
adresie strony. Zrobiono to po to aby uniemozliwic m.in. hackerom tzw
spoofing adresu strony czyli przekierowania na inny adres. Wielu ludzi jednak
narzeka na ta niedogodnosc w IE. Inne przgladarki tej blokady nie posiadaja.
MS co prawda w artytule support.microsoft.com/default.aspx?kbid=834489
wyjasnia po co to zrobil i jak zmienic to domysle ustawienie ale nie wszyscy
o tym wiedza.

Wystarczy jedynie w rejestrze:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
zmienic wartosc tego klucza tzn explorer.exe i iexplorer.exe na "0"

1 blokuje - 0 odblokowuje.

[oo]

Warto dodać, że inne przeglądarki tej "blokady" nie posiadają, ponieważ nie są dziurawe i spoofing przy użyciu tej funkcji jest w nich niemożliwy. Microsoft w swojej przeglądarce Internet Explorer zablokował tę funkcję, ponieważ nie potrafił jej naprawić.

Odblokowanie tej funkcji w Internet Explorerze obniża poziom bezpieczeństwa i naraża użytkownika na ataki internetowych oszustów.

W pozostałych przeglądarkach (Opera, Mozilla, FireFox) funkcja ta jest całkowicie bezpieczna.

[Gość: JP]

To nieprawda. Kazda przeglarka umozliwiajaca wpisywanie np nazwy uzytkownika i
hasla przed wlasciwym adresem strony jest narazona na spoofing czyli w tym
przypadku przekierowanie. W Opera, Mozilla, FireFox po klinieciu na taki adres
pojawia sie informacja o tym niebezpieczenstwie. Roznica jedynie polega na tym
ze uzytkownik tam sam decyduje czy taki adres otworzyc czy nie. Nie musi
uciekac sie do zmian w rejestrach.
MS widac uznalo ze taka skladnia adresu jest malo przydatna a poniewaz naraza
uzytkownika na nieswiadome przesylanie swoich danych osobowych (nazwy
uzytkownika i hasla) na inne strony, postanowil wprowadzic to ustawienie jako
domyslne.
Poza tym mowienie dzisiaj o dziurawym IE jezeli w tym roku wykryto wiecej dziur
w Mozilla niz w IE jest smieszne.

[Gość: ja]

> To nieprawda. Kazda przeglarka umozliwiajaca wpisywanie np nazwy uzytkownika i
> hasla przed wlasciwym adresem strony jest narazona na spoofing czyli w tym
> przypadku przekierowanie. W Opera, Mozilla, FireFox po klinieciu na taki adres
> pojawia sie informacja o tym niebezpieczenstwie. Roznica jedynie polega na tym
> ze uzytkownik tam sam decyduje czy taki adres otworzyc czy nie.
Roznica jest jeszcze taka, ze Mozilla, Firefox wyswietla prawdziwy adres strony,
a nie falszywy jak IE
secunia.com/internet_explorer_address_bar_spoofing_test/
> MS widac uznalo ze taka skladnia adresu jest malo przydatna
Szkoda, ze uzytkownicy mysla inaczej...

> a poniewaz naraza
> uzytkownika na nieswiadome przesylanie swoich danych osobowych (nazwy
> uzytkownika i hasla)
Narazony jest tylko uzytkownik IE, w Mozilli, Firefoxie w status barze, jak i w
pasku adresu bedzie wyswietlony prawdziwy adres strony.

> Poza tym mowienie dzisiaj o dziurawym IE jezeli w tym roku wykryto wiecej dziur
> w Mozilla niz w IE jest smieszne.
SP2 wszystko "naprawi" :)

[oo]

> Poza tym mowienie dzisiaj o dziurawym IE jezeli w tym roku wykryto wiecej
> dziur w Mozilla niz w IE jest smieszne.

Znowu mydlisz ludziom oczy. Odsyłam do źródeł:


Internet Explorer 6
secunia.com/product/11/
58 dziur wykrytych, 18 NIE ZAŁATANYCH, 14% dziur określono jako skrajnie krytyczne.


Opera 7.x
secunia.com/product/761/
28 dziur wykrytych, WSZYTKIE ZAŁATANE, 4% dziur określono jako skrajnie krytyczne.


Mozilla Firefox 0.x
secunia.com/product/3256/
11 dziur wykrytych, 2 NIE ZAŁATANE, 0% dziur określono jako skrajnie krytyczne.


Statystyki nie kłamią. Tylko ludzie czasem.

[Gość: JP]

Oczywiscie ludzie klamia.
Dla IE6 podajesz liczbe dziur z dwoch lat (2003, 2004) a dla Mozilla FireFox
tylko z roku (2004).

oo = ja = gray.
Podpierasz sie wlasnymi wypowiedziami wystepujac pod roznymi nickami?
I pomyslec ze takiemu cwaniakowi i kretaczowi powierza sie moderowanie forum.

[Gość: ja]

> oo = ja = gray.
Lecz sie.

> Dla IE6 podajesz liczbe dziur z dwoch lat (2003, 2004) a dla Mozilla FireFox
> tylko z roku (2004).
A czy dla ciebie jest problemem poszukanie informacji o roku 2004?
IE - 2004 - 18 Secunia Advisories
Currently, 18 out of 58 Secunia advisories, is marked as "Unpatched" in the
Secunia database.
(czesc niezalatanych dziur pochodzi z 2003 roku)
Firefox - 2004 - 11 Secunia Advisories
Currently, 2 out of 11 Secunia advisories, is marked as "Unpatched" in the
Secunia database.

[oo]

> Dla IE6 podajesz liczbe dziur z dwoch lat (2003, 2004) a dla Mozilla FireFox
> tylko z roku (2004).

Miło, że zwróciłeś na to uwagę. Przyczyna jest prosta - w 2003 roku nie wykryto w przeglądarce FireFox/FireBird żadnej dziury. IE miał w poprzednim roku 24 dziury, część z nich do dziś nie została załatana.

Co do 2004 - możesz sobie sprawdzić statystyki dla tego roku. Oczywiście również w nim Internet Explorer ma najwięcej dziur (18, ale rok się jeszcze nie skończył). Najgorsze jednak jest to, że WIĘKSZOŚĆ z nich jest niezałatana, a PONAD POŁOWA została określona jako wysoce lub skrajnie krytyczna.


> oo = ja = gray.
> Podpierasz sie wlasnymi wypowiedziami wystepujac pod roznymi nickami?
> I pomyslec ze takiemu cwaniakowi i kretaczowi powierza sie moderowanie forum.

Paranoję MOŻNA leczyć, nie martw się.

[gray]

rotfl :DDD

czułem, że jak tu zajrzę to przeczytam coś zabawnego :D

panie JP, nie zmieniaj tematu myśląc, że nikt nie zauważy, że napisałeś bzdury :D