Firefox 3.5 versus Internet Explorer 8: Který je bezpečnější?

Jen letmo sem to prolít a vidím u lišky (jo lišky) NoScript. Když pominu obecně známý fakt, že tyhle diskuse k ničemu nevedou :) (mám teď volnou chvilku) tak jsem se nad tím pozastavil a nechápu proč srovnává Fx + exts. Měl by srovnávat čistě jen základní instalaci. Možná si to nějak obhájil, třeba tak, že je to článek pro geeky, ale i tak IE8 vyšlo nedávno, takže nebyl čas přepsat/napsat rozšíření, která by uměla zvýšit bezpečnost.

Zadání je, že je třeba pochválit Firefox. Takže se vezme holý MSIE, Firefox s hromadou doplňků, a pak se ukáže, o kolik víc toho takový FF umí. A to samozřejmě přesto že MSIE má Protected Mode (tj. běží v sandboxu) a má Security Zones (tj umí například zakázat rozšíření browseru na vybrané doméně nebo povolit i nepodepsaná rozšíření na firemním intranetu), kdežto FF neumí ani jedno.

Me Lael vzdycky pobavi, jak zasvecene mluvi o vecech, o kterych nic nevi. :) Ale uz sem asi patri jako BLEKova porucha osobnosti…

A k věci?<nbsp>

Pokud se někde mýlím, rád se to dozvím. To ale těžko stane, pokud reakce na můj příspěvek není faktická a k věci.

Řeč je o zákazu běhu rozšíření při prohlížení dané domény. Spusťte si MSIE, poté dvojklik na text Internet v pravém rohu dolní status bary. Uvidíte 4 bezpečnostní zóny (Internet, Local Intranet, Trusted Sites, Restricted Sites). Pro každou z nich můžete nastavit pár desítek options typu „povolit skriptování“, „povolit skriptu přístup ke clipboardu“, „povolit download fontů“, „povolit běh ActiveX prvků bez dotazu“ atd. Ta nastavení jsou shrnuta do 5 defaultních profilů (high, medium high atd), a profily lze upravovat.
V důsledku toho může třeba intranetová aplikace používat typografické fonty, manipulovat s clipboardem a používat ve firmě napsané nepodepsané ActiveX rozšíření, ale na internetu jsou tyto věci zablokované.
Lokace odkud se rozšíření instaluje je nepodstatná. MS to řeší před digitální podpis, a instalovat se může odkudkoliv.

Ano, krom tisicu der, ktere to ve Windows uz zpusobilo (proste neco, co muze hrabat kamkoliv do systemu a delat v podstate cokoliv, absolutne nepatri do internetoveho prohlizece, konec debaty) a komickeho zpusobu „opravovani“ pres killbits („opravili“ jsme to tim, ze danou komponentu, kterou stejne nikdy nikdo nevyuzil k nicemu jinemu, nez je nabourani systemu, tak ji „vypneme“)

Ty tvoje zony jsou taky genialni… bohuzel se mi ani v IE7, ani v IE8 nepodarilo ani pres to, ze jsem nacpal Windows a Microsoft Update do one zazracne trusted zony docilit toho, aby na me nevyskakovala nahore lista o tom, jestli opravdu chci ten ActiveX spustit nebo ne. Takze MS to opet „zabezpecil“ tak, ze to je prakticky nepouzitelne (stejne jako onen genialni „bezpecny“ IE mod v serverovych Windows, kde se IE neda pouzit ani k prohlizeni lokalni dokumentace v HTML, proste uplne k hovnu)

Bohužel rozšíření browseru typu Adobe Flash prostě běží ve stejném kontextu, jako vlastní browser. A to bez ohledu na konkrétní browser. Ovšem ve Vistě (a při troše přemlouvání i v XP) běží celý MSIE v sandboxu, takže nemůže například zapisovat na FS. To je výrazné zvýšení bezpečnosti. Firefox to pokud jsem si všiml ještě pořád neumí.
Jak jinak byste „opravoval“ doplňky, které mají bezpečnostní chybu? Nejlépe přece tak, že je zakážete. A to přesně dělají killbits.
Zabezpečený mód MSIE na serveru má dobrý důvod. Jestli se vám nelíbí, tak si ho vypněte. Je směšné, že zastánci unixů na jedné straně často nechtějí na serveru ani GUI, a na druhé straně nadávají na defaultně příliš utaženou bezpečnost browseru. Svědčí to jen o tom, že se nelze zavděčit každému.

Ano, chybi opravim tim, ze zakazu vykonavani kodu. To je opravdu genialni reseni. Takze podle teto logiky napr. motor automobilu, ze ktereho tece olej, nejlepe opravim tim, ze ho vymontuju. Pak uz nebude zadny problem s vytekanim oleje. Auto sice nepojede, ale to je v poradku. :-D

Zabezpeceny mod na serveru je uplne k hovnu, protoze jak jiz bylo receno cini ten prohlizec zcela nepouzitelnym i k prohlizeci proste lokalni dokumentace v HTML. Takove zabezpeceni je uplne nesmyslne a je typickym odrazem kvality programovani ve firme MS. Tim, ze neco ucinim nepouzitelnym, to nijak nezabezpecim, to tam ten prohlizec vubec nemusim davat.

Za SW zneprovozněný killbity zpravidla není odpovědný Microsoft.

Aha, jasne… On za to nemuze nikdo. Nicmene clovece ty snad neumis cist, viz napr. posledni dira v tom krapu zvanem ActiveX, kdy oficialni zduvodneni bylo, at si to lidi klidne vypnou, ze to stejne nic dalsiho nepouziva. Proc tam takova nesmyslna komponenta vubec je? Co to ma co delat ve webovem prohlizeci? Proc se MS nevenuje necemu uzitecnejsimu nez programovani deravych blbosti v ActiveX, ktere nikdo nepouziva?

A to, ze kdyz tu komponentu „vypnu“, tak ji stejne tak dobre muze nekdo dalsi (napr. pres nejakou dalsi diru v dalsi nesmyslne komponente) zase zapnout, takze se zadna dira ve skutecnosti neopravi ani nezmizi, ale porad tam sedi a ceka na to, az ji zase nekdo zneuzije, to vas asi na tom marketingovem skoleni v MS neucili, co?

Zabezpečený mód MSIE umí interpretovat HTML, a spoustu dalších věcí blokuje. Local host a lokální help jsou v Trusted Zone. Pokud nechcete Enhanced Security Mode, tak si ho vypněte. Asi jste také postřehl, že se tento mód týká jen administrátorů a power userů.

Ano, evidentne vidim, zes to nikdy nezkusil ani pouzit, protoze ono proste nefunguje spravne ani to pitome prohlizeni lokalni dokumentace (coz bude patrne souviset s tim, ze cele slavne „trusted zones“ jsou uplne rozbite, jak jsem jiz vyse zminil na prikladu neustale vyskakujici zadosti o povoleni ActiveX na webu Microsoft Update.

A ne, tenhle mod se netyka jen administratoru a power useru, zkus se nekdy podivat do Windows Components wizard, je tam samozrejme i pro vsechny ostatni skupiny uzivatelu (klikni na cudlik Details).

To je security by obscurity a ne reseni. Prijde vam normalni „ve jmenu bezpecnosti“ znemoznit prohlizeni lokalni dokumentace k OS?

OMG, ty marketingova duta hlavo, rec byla o HTML dokumentaci a ne napovede Windows. Proc si to nezkusis sam, jak skvele je to „pouzitelne“? Mimochodem M$ opravuje diry tak genialne, ze kdyz si budu treba ve W2003 prohlizet napovedu, tak budu mit systemovy log zaplaven stovkami „varovani“ pochazejicimi z jedne takto „opravene“ diry ve zpracovani CHM souboru, kdy se taky neco „vyplo“, a tim oprava skoncila. Takze napoveda Windows zasira log hovadinama, neda se to vypnout, ale je to „zabezpecene“­. Tupci.

Vás ještě nikdo z lítosti nezastřelil??

ActiveX prvky jsou napřílad Adobe Flash, Java, Apple QuickTime, MS XML Parser atd. Ty samé děravé rozšíření máte i ve Firefoxu, jen je nemáte jako ActiveX (což je ale špatně, protože ActiveX prvky lze použít i mimo browser – třeba Flash nebo MSXML v MS Wordu, zkuste si to představit na Linuxu s OOo).
Firefox je v tomhle prostě velmi pozadu.

Zásadní rozdíl je v tom, že pro IE je ActiveX jediná možnost rozšíření, zatímco Netscape Plugin pro Firefox ne. A ano, Netscape Plugin také může běžet úplně kdekoliv a v libovolné aplikaci, rozhraní je veřejně zdokumentované a pokud se vám nechce implementovat, můžete použít nspluginviewer z KDE nebo nspluginwrapper od Firefoxu.

Internet Explorer je v tomhle hodně hodně pozadu.

Ano, vlozeni flashe do Wordu, to je killer feature. Pripomina mi to negramotne sekretarky, ktere obrazky zasadne distribuuji tak, ze je vlozi do Wordu, cimz se z JPEGu o velikosti 100kB stane binarni zrudnost o velikosti 20× vetsi. Skvele, bez toho nemohu zit! :P

First Zero Day Exploit for Firefox 3.5

Firefox 3.5 Vulnerability

http://blog.mozilla.com/…-firefox-35/