Veilige alternatieven voor IE? I rest my case.

Als iemand (met verstand van zaken) een alternatief zoekt,
zoekt hij met name een alternatief voor de klakkeloze
afhandeling van Java en ActiveX door IE.
FF is dan inderdaad een uitstekend alternatief omdat daar de
boel op een min of meer gebruikersvriendelijke manier,
geblokkeerd kan worden.
Tevens gebruiken mensen met verstand van zaken, eventueel
diverse plugins die extra beveiliging tot gevolg hebben....
(NoScript etc.)

Dit zijn allemaal extra services die IE niet eens kan bieden !!!
FF Rulez ! ;)

Sinds 8 februari 2008 is het probleem wat FireFox betreft in de versie
2.0.0.12 (zie het artikel op security.nl van die datum) opgelost.
Titel huidig artikel dekt niet de lading mijns inziens.

Als je de lekken van IE vergelijkt met die van FF of Opera
dan zou ik zeker durven zeggen dat ze een goed alternatief
zijn. Infecties via IE komen véél meer voor dan via FF of Opera

Volgensmij is nog steeds elke browser een veiliger
alternatief voor IE. Alleen al vanwege het feit dat je niet
tot "de doelgroep" behoort.

Daarnaast heb ik al jarenlang dezelfde dingen kunnen
constateren; vingers weg van IE bevordert de levensduur van
je windows installatie.
I also rest my case.

quote:
"Veilige alternatieven voor IE? I rest my case."

Als je aan trolling doet, doe het dan goed.
Wacht tot een lek bekend wordt die nog niet gepatched is in
de laatste <insert your favorite hated browser name here>.

Er is nog een punt met firefox merkte ik.

Als je in een weblog van een website kijkt dan zie je vanaf welke site de
bezoeker je benadert maar iig van firefox merkte ik ineens dat er ook
accountdata spontaan werd meegestuurd waardoor ik in mijn website
access logfiles ineens accountgegevens zag van die gebruiker die zich
daar geregistreerd had.

Dus niet enkel het ipnummer en van waar mijn website werd benaderd
maar ook de accountinfo van die gebruiker op die website wat een poging
tot onderzoek naar de gebruiker zijn echte naam weer wat makkelijker
maakt. Maar volgens mij niet de bedoeling is.

Langzamerhand blijkt toch dat Firefox zeer onveilig is.
Het ene probleem is nog niet opgelost of er is alweer een
ander probleem.
Dan maar weer terug naar IE ; die is kennelijk veiliger dan
Firefox.

Logisch toch.?

Als persoon Y is ingelogd op een Blog o.i.d. en dat blog
gebruikt daarvoor een URL als
http://www.webblogger.n**/blog/persoonY/68602hkwf979yyu0rg.html
en die persoon vertrekt daarvandaan direct naar jouw site
dan zie je vanzelfsprekend het vertrek URL incl. de data
"persoonY". Dat heeft NIETS met FF te maken maar wel met de
gebruiker die niet eerst heeft uitgelogd vanaf dat blog
waardoor het weer een standaard URL word zonder die gegevens.

Wellicht staat er nu in de logs van security.nl ergens een
regel:
http://www.mijndomein.com/administrator/index2.php?option=com_skreferer&task=all

Hier is dus duidelijk zichtbaar dat het om de administrator
gaat van dat domein. Voor de rest kan men daar weinig mee,
(het is het standaard admin adres van Joomla) behalve dat je
kan zien dat de admin op dat moment skrefferer open had
staan. Geen boeiende informatie.

Hopelijk verduidelijkt dat het e.e.a.

Kees Kaaskop

FF die automatisch en ongevraagt account info verzend? Moet
dat niet andersom zijn?

IE doet namelijk automagisch ntlm authenticatie als de
webserver daar om vraagt. Onder FF moet de site opgenomen
worden in network.automatic-ntlm-auth.trusted-uris wil dat
gebeuren.

O ja? Probeer dan maar eens een paar sites op te roepen die met Java
werken. Die doen het helemaal niet in FF, ook al voldoen ze volledig aan
W3C. Pas als je de IE-engine inschakelt, werkt het ook in FF.

Moet ik nog meer zeggen? Dacht het niet.

Nee, dat moet NIET andersom zijn! Heb je de laatste weken soms zitten
slapen? Dat was nou juist een van de veiligheidsproblemen van Firefox.

Er zijn steeds problemen met de weergave van websites zodra er Java op
is toegepast. Als je dan de engine van IE in Firefox inschakelt, werkt het
pas. Dus hoe goed is FF dan? Een rommeltje is het geworden, anders
kan ik het niet zeggen.

En jij weet kennelijk niks van IE, anders had je geweten dat er helemaal geen ActiveX "klakkeloos" wordt gestart. Ze kunnen verder op een heel wat gebruiksvriendelijker manier worden in- of uitgeschakeld dan in Firefox. En zoals ik al zei: Java kan al helemaal niet zonder aanpassingen aan te brengen. Dus als je commentaar hebt, stel je dan eerst eens op de hoogte van de feiten voordat je gaat mekkeren.

IE doet dat "by design". Voor FF is er een exploit nodig plus nog wat randvoorwaarden. M.b.v. die exploit komt je username ook echt niet in je weblog terecht (waar deze anonieme poster het over had). Tevens is er terecht opgemerkt dat de "referer" bar weinig met FF te maken heeft, IE en elke andere browser vertonen exact hetzelfde gedrag.

Verwar je hier niet Java met Javascript? En is het ook niet heel goed mogelijk dat die site specifiek gemaakt is voor IE?
Ik gebruik echt al jaren Firefox en ik heb nog nooit een probleem met een site gehad die Java gebruikte.

Ja, noem een site.

Een signed Active-X control wordt (standaard) ongevraagd gedownload en uitgevoerd.
Name one.

ophouden met lul vergelijkingen. infecties komen meer voor op IE omdat
dit meer gebruikt wordt en dus interresanter is voor hackers.

Het is ook niet de bedoeling om met oude software te werken
als dat niet nodig is.

Nelis Nesquick

Zonder te vloeken kan ik je meedelen dat in het nabije verleden er
verschillende vergelijkingen zijn gepubliceerd waaruit bleek dat Firefox
TWEE KEER zoveel lekken had als IE. Maar met oogkleppen op zie je dat
natuurlijk niet.

Nou, kijk maar eens of je http://www.flightsimkid.be/pages/f104_starfighterpag.html
kunt zien. Die is NIET specifiek voor IE gemaakt hoor! Sterker nog, die is van een officiële betatester voor Firefox. Moet ik nog meer zeggen?

Da's allemaal javascript. Javascript heeft, behalve de naam,
helemaal niets met Java te maken.

Als je dat verschil al niet eens kent neem ik de rest van je
opmerkingen ook niet al te serieus meer.

@ SirDice: wat ik probeerde aan te geven is dat 'account
info' soms in het refferer url is opgenomen en dan kan dat
zichtbaar zijn voor een siteadmin.
Vergelijkbaar met de zoekopdracht van Google die je terug
kan vinden in het referrer url. Zie het ook wel vaker in
mijn sitelogs voorbijkomen.

Ik gebruik in FF de RefControl plugin waarmee ik naar
willekeur een referrer url kan invullen/blokkeren voor
verschillende domeinen.
Het kan ook direct in FF worden ingesteld maar omdat ik voor
verschillende doelen verschillende referrer info gebruik is
dat een handige plugin.

Nelis Nesquick

@ Nomen Nescio: ik zou gebruik gaan maken van die 1040
lesuren waar je recht op hebt..... (en klaarblijkelijk ook
hard nodig hebt !)

Nelis Nesquick

Oke Kees,

Bedankt voor de toelichting!

Niet lullig bedoeld: Je zou het dus in feite als volgt kunnen vertalen:

Dus in feite moeten de gebruikers van zo'n blog als ze een link aanklikken
hiervan bewust gemaakt worden?

Klopt. Er zit een check in. Deze kijkt of je IE hebt of iets anders. Als je iets anders hebt gaat er iets mis. De fout zit in de site en niet in FF (de functie InitNS() bestaat namelijk niet waar door de boel mis loopt).

De andere site die je in eerste instantie noemde maakt gebruik van document methods die alleen door IE worden ondersteund. Ligt dus ook aan die site en niet aan FF.

Heb je nog meer sites die niet werken en waarvan je de schuld bij FF in de schoenen wil schuiven?

Klopt maar IE en elke willekeurige andere browser doet dat ook.

Ik heb een bankkluis die niemand kraken kan.....alleen ikzelf
(ha,ha)

Nou, die moet dan nog een hele boel leren over het
ontwikkelen van webpagina's. Met SirDice over de fout in
JavaSCRIPT, iets wat compleet anders is dan Java. Verder is
het handig om ervoor te zorgen dat websites ook zonder
javaSCRIPT werken, zodat je dan niet enkel een leeg scherm
te zien krijgt, maar een goed functionerende website
(waarbij eventueel de melding gegeven wordt dat javascript
uitgeschakeld is). Omdat ik javascript standaard blokkeer,
zou ie bij mij sowieso niet werken.

Bedoel je een kluis die in je bank verstopt zit of zit die juist in de kluis.

Onder opensuse klappen Firefox en Opera er uit op
Java-sites. Gelukkig doet Konqueror het wel. Internet
Explorer nog niet geprobeerd :)

ja geef eens wat meer voorbeelden Nomen Nescio, toen je nog
Itsmeman was kwam je ook altijd met dit soort opmerkingen en
nooit met enig bewijs.

Kom op, laten we niet elkaar zo maar beschuldigen van
onwetendheid. SirDice kennende, weet hij wel waar hij het
over heeft. Jij zo te zien wat minder, aangezien je
JavaScript an JAVA verward. Op zich kan dat voorkomen, dus
daar wil ik je niet meteen op aanvallen.

Maar JAVA is platform onafhankelijk. JAVA zelf werkt met een
plugin en werkt voor alle browsers hetzelfde. Dus JAVA is
sowieso niet anders in FF als in IE.

Daarnaast bedoel jij JavaScript, wat ook al is genoemd. Dit
is echter toch wel een wezenlijk verschil. Waarom denk je
dat Internet Explorer JavaScript goed ondersteund en de rest
van de browsers minder. Waarom kan het niet andersom zijn?
De meeste ontwikkelaar ontwikkelen alleen maar voor IE (de
laatste jaren gelukkig niet meer) omdat ze denken dat de
meeste mensen IE gebruiken. Daarom laten ze het werken op IE
en niet op de rest van de browsers. Sites zoals de volgende
zijn er ook niet voor niets?
http://www.devarticles.com/c/a/HTML/Internet-Explorer-6-Hacks-And-Holes-Exposed/
http://www.positioniseverything.net/ie-primer.html
http://www.quirksmode.org/blog/archives/2006/04/ie_7_and_javasc.html
http://www.webstandards.org/

Het komt erop neer, dat je zelf niet echt weet waar je het
over hebt. Geeft niet, maar veroordeel dan ook niet andere
mensen die dat na jouw mening ook doen. Ga mensen ook niet
veroordelen over "fanboyisme", want wat je over IE en
Microsoft doet, is eigenlijk hetzelfde.

Het gaat niet om het aantal, het gaat om
het gevaar. Hoe gevaarlijk zijn ze. Als het een bug is die
in een race condition je cursor verplaatst, of 1 die het
mogelijk maakt om software te installeren op je PC, dat is
nogal een verschil.

Waarom is Firefox over het algemeen veiliger om te gebruiken. Het zit niet zo geintegreerd in je besturingssysteem als IE6. Heeft geen ActiveX ondersteuning, dus voert het sowieso niet uit. Heeft verschillende addons om de beveiliging uit te bereiden. FireFox 3 is meer op beveiliging gericht en is dus over beveiliging nagedacht. Daarnaast, wat SirDice ook zegt, stuurt IE gewoon NTLM authenticatie gewoon door als erom gevraagd wordt, terwijl Firefox dat alleen doet bij toegestane websites. IE heeft wel meer gevaarlijkere bugs gehad.

Je bedoelt: ik heb de cijfercode van mijn bankkluis!

Dat is dus niet kraken...

Ook dat is grote onzin. Firefox kwam onlangs nog in opspraak omdat het al
langere tijd een enorm lek had dat niet in Internet Explorer aanwezig was
omdat juist Internet Explorer in een beschermde omgeving draaide en
Firefox niet. Is duidelijk gesignaleerd door security.nl.

Lees voortaan eerst eens de berichten hier voordat je onzin gaat lopen
verkondigen.

Nogmaals, dit keer door een andere bezoeker;
Geef eens wat meer voorbeelden Nomen Nescio, toen je nog
Itsmeman was kwam je ook altijd met dit soort opmerkingen en
nooit met enig bewijs.
Dus URL, op zijn minst !?
En anders zou ik willen zeggen; Lees voortaan eerst eens de
berichten hier voordat je onzin gaat lopen verkondigen.
;)

PS: Als het allemaal zo'n grote onzin is hoe is het dan
mogelijk dat ik al ruim 9 jaar over het Internet zwalk
zonder anti-virus en zonder enig probleem, terwijl kennissen
die braaf fOutlooken en Internet Exploderen, hun systemen
iedere 2 (of 3, of 6) maanden opnieuw mogen installeren !?
;)
Dit is gewoon een stukje praktijk ervaring, die
hoogstwaarschijnlijk iedereen heeft, die wel het onderscheid
wil waarnemen.

Maar, wat jij daar zegt is geen antwoord op dat stukje wat
je quote.

Ik wil overigens niet beweren dat Firefox geen gevaarlijke
lekken kent. Ik weet ook wel, dat Firefox zat gevaarlijke
lekken heeft gekend. Dit heeft elke browser. Maar als je in
veiligheid gaat vergelijken, vergelijk dan niet in aantal,
maar in het gevaar van de lekken en daarin misschien weer
het aantal.

Overigens ga niet lopen overdrijven met dat iedereen maar
onzin loopt uit te kramen als ze iets anders zeggen. Het is
zeker geen onzin wat ik zeg. Overigens ik ben bekend met het
nieuws rond beveiliging.

Eghie

Ik heb voorbeelden gegeven. En maak jezelf eens bekend, Anoniem,
voordat je anderen op hun naam aanvalt.

Treurig geval.....

Nogmaals, (door weer een andere anoniem)
Geef eens wat voorbeelden XXX, toen je nog XXX was kwam je
ook altijd met dit soort opmerkingen en ook nooit met enig
bewijs.
Dus URL, op zijn minst !?
En anders zou ook ik willen zeggen; Lees voortaan eerst eens
de berichten hier voordat je onzin gaat lopen verkondigen en
niet alleen over naam-aanvallen !?!

Zeg treurig anoniem geval, ik HEB voorbeelden gegeven! Maar dan moet ik
nog meer voorbeelden geven. En nog meer. Dat is gewoon kinderlijk
dwingen: jij wilt gelijk hebben. Nou, dan heb je gelijk. Ik stop hiermee. Je
mag hier nou eenmaal geen Windowsgebruiker zijn, want dan ben je dom
en zo. Zoek het verder maar uit.

@Nomen Nescio: nou zit ik dus nog steeds te wachten op 'n
voorbeeld van 'n site met Java (en dus geen JavaScript) die
niet werkt in Firefox en wel in Internet Explorer.
Alsjeblieft, laat me niet langer in deze martelende
onzekerheid leven, jij kent er heel veel begrijp ik. Kun je
er 'n paar hier neerzetten? Gewoon, wat kennis delen? Omdat
je eigenlijk best aardig bent voor niet-Windows-gebruikers?

@Nomen Nescio

Malware maakt maar weinig gebruik van fouten, dus alle
drukte is misschien al teveel van het goede. Jij als man van
feiten roept hier dat in het nabije verleden er
verschillende vergelijkingen zijn gepubliceerd waaruit bleek
dat Firefox TWEE KEER zoveel lekken had als IE. Jammer
dat je er niet een paar linkjes bijgezet hebt.

Daarom hier maar weer eens de cijfers van Secunia van vandaag:
FF 2.x heeft 4 ongepatchte lekken, op een totaal van 21.
(http://secunia.com/product/12434/?task=statistics)
IE 6.x heeft 21 van 124 lekken nog niet gepatched, en
(http://secunia.com/product/11/?task=statistics)
IE 7.x heeft er 7 van de 22 open staan.
(http://secunia.com/product/12366/?task=statistics)
De ernstigste van FF is met 'less crititcal' minder ernstig
dan het 'moderately critical' van beide IE's.
Deze cijfers zijn de laatste weken nauwelijks veranderd.
Vorige week had FF zelfs nog evenveel fouten als IE 7, nu 1
minder.
Dus Nomen, welke browser biedt de meeste mogelijkheden om
fouten te misbruiken?

Om kwetsbaar te zijn voor fouten in IE, hoef je niet perse
aan het internetten te zijn. Genoeg andere toepassingen
gebruiken IE onderwater.
Dus beste Nomen, wat zegt dat over de kansen dat je machine
aangevallen wordt?

Jij zegt dat het niet waar is dat malware zich vooral richt
op IE en Windows. Als jij gelijk hebt, zou er veel meer
*IX-malware moeten zijn dan voor Windows. Bij de grote
antivirus-bedrijven vind ik echter bedroevend weinig info
over *IX-malware, en bergen info over Windows-malware. De
aantallen voor Windows lopen uiteen van tienduizenden tot
honderdduizenden, voor *IX ten hoogste enkele tientallen.
Het lijkt mij dat jij dit als professional ook moet weten en
dus ook zelf moet kunnen bedenken dat je hier ongelijk hebt.

Vergelijk meteen even de update-perikelen van IE en FF.
Dus Nomen, als ook de update-perikelen van beide browsers
vergelijkt en dan het hele plaatje overziet, met welke
browser loop je dan de meeste kans op problemen?


Off topic:

Dat laatste lijkt mij ook het beste.

je voorbeelden kloppen niet, ze worden zo onder uitgehaald.
je kan blijven zeggen dat je gelijk hebt door al die
voorbeelden, maar als die niet kloppen dan heb je dus
helemaal geen gelijk.