Názory k článku
Firefox 3.5 versus Internet Explorer 8: Který je bezpečnější?

Pokud se někde mýlím, rád se to dozvím. To ale těžko stane, pokud reakce na můj příspěvek není faktická a k věci.

Až bude Firefox umět povolit/zákazat rozšíření na doménu, tak se to bude na Rootu prezentovat jako ohromná feature :).

Řeč je o zákazu běhu rozšíření při prohlížení dané domény. Spusťte si MSIE, poté dvojklik na text Internet v pravém rohu dolní status bary. Uvidíte 4 bezpečnostní zóny (Internet, Local Intranet, Trusted Sites, Restricted Sites). Pro každou z nich můžete nastavit pár desítek options typu „povolit skriptování“, „povolit skriptu přístup ke clipboardu“, „povolit download fontů“, „povolit běh ActiveX prvků bez dotazu“ atd. Ta nastavení jsou shrnuta do 5 defaultních profilů (high, medium high atd), a profily lze upravovat.
V důsledku toho může třeba intranetová aplikace používat typografické fonty, manipulovat s clipboardem a používat ve firmě napsané nepodepsané ActiveX rozšíření, ale na internetu jsou tyto věci zablokované.
Lokace odkud se rozšíření instaluje je nepodstatná. MS to řeší před digitální podpis, a instalovat se může odkudkoliv.

Ano, krom tisicu der, ktere to ve Windows uz zpusobilo (proste neco, co muze hrabat kamkoliv do systemu a delat v podstate cokoliv, absolutne nepatri do internetoveho prohlizece, konec debaty) a komickeho zpusobu „opravovani“ pres killbits („opravili“ jsme to tim, ze danou komponentu, kterou stejne nikdy nikdo nevyuzil k nicemu jinemu, nez je nabourani systemu, tak ji „vypneme“)

Ty tvoje zony jsou taky genialni… bohuzel se mi ani v IE7, ani v IE8 nepodarilo ani pres to, ze jsem nacpal Windows a Microsoft Update do one zazracne trusted zony docilit toho, aby na me nevyskakovala nahore lista o tom, jestli opravdu chci ten ActiveX spustit nebo ne. Takze MS to opet „zabezpecil“ tak, ze to je prakticky nepouzitelne (stejne jako onen genialni „bezpecny“ IE mod v serverovych Windows, kde se IE neda pouzit ani k prohlizeni lokalni dokumentace v HTML, proste uplne k hovnu)

Bohužel rozšíření browseru typu Adobe Flash prostě běží ve stejném kontextu, jako vlastní browser. A to bez ohledu na konkrétní browser. Ovšem ve Vistě (a při troše přemlouvání i v XP) běží celý MSIE v sandboxu, takže nemůže například zapisovat na FS. To je výrazné zvýšení bezpečnosti. Firefox to pokud jsem si všiml ještě pořád neumí.
Jak jinak byste „opravoval“ doplňky, které mají bezpečnostní chybu? Nejlépe přece tak, že je zakážete. A to přesně dělají killbits.
Zabezpečený mód MSIE na serveru má dobrý důvod. Jestli se vám nelíbí, tak si ho vypněte. Je směšné, že zastánci unixů na jedné straně často nechtějí na serveru ani GUI, a na druhé straně nadávají na defaultně příliš utaženou bezpečnost browseru. Svědčí to jen o tom, že se nelze zavděčit každému.

Ano, chybi opravim tim, ze zakazu vykonavani kodu. To je opravdu genialni reseni. Takze podle teto logiky napr. motor automobilu, ze ktereho tece olej, nejlepe opravim tim, ze ho vymontuju. Pak uz nebude zadny problem s vytekanim oleje. Auto sice nepojede, ale to je v poradku. :-D

Zabezpeceny mod na serveru je uplne k hovnu, protoze jak jiz bylo receno cini ten prohlizec zcela nepouzitelnym i k prohlizeci proste lokalni dokumentace v HTML. Takove zabezpeceni je uplne nesmyslne a je typickym odrazem kvality programovani ve firme MS. Tim, ze neco ucinim nepouzitelnym, to nijak nezabezpecim, to tam ten prohlizec vubec nemusim davat.

Za SW zneprovozněný killbity zpravidla není odpovědný Microsoft. A co má MS dělat, když se objeví řekněme díra v prohlížečce panoramatických snímků? Má to MS opravovat, nebo nechat uživatele čekat na patch od klidně dávno mrtvé) firmy? Kdepak. Řekne se, že konkrétní verze ActiveX prvku se nesmí používat. Samozřejmě pokud máte jinou verzi daného SW, tak není problém.
Zabezpečený mód MSIE umí interpretovat HTML, a spoustu dalších věcí blokuje. Local host a lokální help jsou v Trusted Zone. Pokud nechcete Enhanced Security Mode, tak si ho vypněte. Asi jste také postřehl, že se tento mód týká jen administrátorů a power userů.

Za SW zneprovozněný killbity zpravidla není odpovědný Microsoft.

Aha, jasne… On za to nemuze nikdo. Nicmene clovece ty snad neumis cist, viz napr. posledni dira v tom krapu zvanem ActiveX, kdy oficialni zduvodneni bylo, at si to lidi klidne vypnou, ze to stejne nic dalsiho nepouziva. Proc tam takova nesmyslna komponenta vubec je? Co to ma co delat ve webovem prohlizeci? Proc se MS nevenuje necemu uzitecnejsimu nez programovani deravych blbosti v ActiveX, ktere nikdo nepouziva?

A to, ze kdyz tu komponentu „vypnu“, tak ji stejne tak dobre muze nekdo dalsi (napr. pres nejakou dalsi diru v dalsi nesmyslne komponente) zase zapnout, takze se zadna dira ve skutecnosti neopravi ani nezmizi, ale porad tam sedi a ceka na to, az ji zase nekdo zneuzije, to vas asi na tom marketingovem skoleni v MS neucili, co?

Zabezpečený mód MSIE umí interpretovat HTML, a spoustu dalších věcí blokuje. Local host a lokální help jsou v Trusted Zone. Pokud nechcete Enhanced Security Mode, tak si ho vypněte. Asi jste také postřehl, že se tento mód týká jen administrátorů a power userů.

Ano, evidentne vidim, zes to nikdy nezkusil ani pouzit, protoze ono proste nefunguje spravne ani to pitome prohlizeni lokalni dokumentace (coz bude patrne souviset s tim, ze cele slavne „trusted zones“ jsou uplne rozbite, jak jsem jiz vyse zminil na prikladu neustale vyskakujici zadosti o povoleni ActiveX na webu Microsoft Update.

A ne, tenhle mod se netyka jen administratoru a power useru, zkus se nekdy podivat do Windows Components wizard, je tam samozrejme i pro vsechny ostatni skupiny uzivatelu (klikni na cudlik Details).

Která poslední díra? Nějaká díra v ActiveX komponentě? Třeba ve Flashi?

„kdyz tu komponentu „vypnu“, tak ji stejne tak dobre muze nekdo dalsi (napr. pres nejakou dalsi diru v dalsi nesmyslne komponente) zase zapnout“ – co je to za blbost? Když máte v systému díru, tak vám do něj útočník může nahrát cokoliv. Ano, mimo jiné může povolit zakázanou komponentu. Ale daleko víc by mě zajímalo, že může nainstalovat trojana, číst, modifikovat a mazat dokumenty apod.

By default je Enhanced Security Configuration zapnutá pro power users a adminy. Pak je tam nějaký dotaz při instalaci Terminal Services, a samozřejmě si můžete nastavit cokoliv chcete. Jestli máte lokální dokumentaci závislou na uzamčených featurách, je to váš problém.

To je security by obscurity a ne reseni. Prijde vam normalni „ve jmenu bezpecnosti“ znemoznit prohlizeni lokalni dokumentace k OS?

To se týká maximálně admina (a podle mě nápovědu Windows prohlížet může). Mimochodem vám přijde normální, že admini unixů se bojí spustit browser pod rootem? A jestli vám to přijde normální, tak co vám přijde divné na přístupu MS?

OMG, ty marketingova duta hlavo, rec byla o HTML dokumentaci a ne napovede Windows. Proc si to nezkusis sam, jak skvele je to „pouzitelne“? Mimochodem M$ opravuje diry tak genialne, ze kdyz si budu treba ve W2003 prohlizet napovedu, tak budu mit systemovy log zaplaven stovkami „varovani“ pochazejicimi z jedne takto „opravene“ diry ve zpracovani CHM souboru, kdy se taky neco „vyplo“, a tim oprava skoncila. Takze napoveda Windows zasira log hovadinama, neda se to vypnout, ale je to „zabezpecene“­. Tupci.

HTML dokumentace, kterou používám já, je v pohodě.

Tak mě napadá… Nemáte, pane expert, soubory zablokované? Zkuste pravou myš na soubor, a jesti na tabu General budete mít tlačítko Unblok, tak je chyba ve vaší neznalosti produktu.

MSIE se rozšiřuje pomocí ActiveX/COM. Proč byste chtěl mít víc možností rozšiřování browseru?
Netscape plugin může běžet v libovolné aplikaci? Skvěle. Já teď otevřel stránku s flashovou hrou, zabral jsem do výběru ten Flash, a copy-and-paste ho dostal do Wordu. Flash mi běží ve Wordu. Pochopitelně můžu z makra ve Wordu vytvořit instanci objektu Adobe Flashe, Adobe Acrobat Readeru, XML Parseru, a řady dalších věcí.
MSIE je složený z komponent. Mimo jiné ho můžete výrazně rozšířit (IE7 Pro), nebo z těch komponent postavit úplně jiný browser (Avant Browser, WinAmp Browser, Lunascape, Microsoft Compiled HTML Help, Maxthon, TomeRaider atd). Firefox je proti tomu velký binární blob s omezenými možnostmi rozšíření. To je technický fakt.

Ano, vlozeni flashe do Wordu, to je killer feature. Pripomina mi to negramotne sekretarky, ktere obrazky zasadne distribuuji tak, ze je vlozi do Wordu, cimz se z JPEGu o velikosti 100kB stane binarni zrudnost o velikosti 20× vetsi. Skvele, bez toho nemohu zit! :P

Bez vkládání Flashe do Wordu asi žít můžete, stejně jako nakonec bez počítače. Ale možnost používat ty samé komponenty v browseru i v běžných aplikacích je zjevná výhoda.
Word už nějakou dobu nepřevádí obrázky na formát BMP ;)

Jaký je zásadní rozdíl, pokud je děravý Flash coby ActiveX prvek, rozšíření Firefoxu, nebo jakékolliv jiné rozšíření browseru? Zásadní rozdíl je v tom, že když je to děravý ActiveX prvek, tak je to chyba ActiveX, protože MS je špatný a ošklivý. Jinak je to vždycky chyba výrobce daného SW. A ne? :)

Tyhle diskuse mě vždycky pobaví :) Tentokrát se ale neudržím a přispěju. Stejně tak jako nechápu mrhání časem v nesmyslných diskusích ještě taky nechápu, proč má někdo problém s tím, že si MS integruje IE do Windows. Ať si výrobci konkurenčních browserů vyrobí svůj OS a do něj si můžou svůj browser integrovat dle libosti (vyjma Googlu, který se touto cestou už vydal).