Is dit geen open deur?
Wisten we toch al lang?
Maar ja wat doen we er tegen.

Logisch. In Windows OS kan je dubbelklikken op een ".js" bestand, en raad eens wat er gebeurt....
Juist ja, het is "executable".

Ik ga er voor het gemak maar even vanuit dat het aanvallen gericht op Windows zijn via deze applicaties?

dus... de meeste aanvallen gebeuren via de meest gebruikte taal ? WOW... wie had dat gedacht...

Geheel juist, in tegenstelling tot Linux waar je eerst handmatig execute rechten aan een bestand moet geven. Dat kan dus nooit per ongeluk fout gaan...

Daarom is een van de eerste dingen die ik doe na een Windows installatie het associeren van de .js extensie met Notepad. Als je dan (al dan niet per ongeluk) dubbelclickt op een .js bestand krijg je de inhoud te zien en gebeurt er verder niets. Als je het toch wil uitvoeren kan dat ook, maar niet via een gedachteloze automatische dubbelclick

het meest gote probleem is dat klikken vaak niet eens nodig is bij sommige applicaties van MS. dat doen ze 'alvast voor je'. daarnaast zijn enkele oorspronkelijke 'schone' file formaten door feature-creep met scripting talen en active elementen nu zo goed als kansloos geworden. denk aan pdf die voorheen gewoon veilig waren is dat nu met acrobat en can of worms geworden.

Daarom is het zo raadzaam een goede scriptblokker te hebben, No Script of uMatrix.
Alhoewel je moet er een beetje mee kunnen omgaan, met het juist toggelen dan.

Maar 3rd party code en klikken op linkies, daar hoef je niet over na te denken, weg ermee, niet doen zonder denkmoment.
VoodooShield ook een leuke aanvuller om bepaalde executables niet automatisch te laten lopen

Dan is dit is nog een ouwe gouwe tip, altijd als "gewoon user" achter het toetsenbord en niet als admin,
dat is maar zelden nodig. En altijd volledig updaten en patchen van alles wat je gebruikt.

luntrus

Ook daar wil de gebruiker via een interface meteen op het bestand klikken en dat er vanzelf alles gebeurt. Het is de ux gebruikersverwachting dat alles eenvoudig moet geen techniek.
Ze zijn pas blij als het werkt.

Waarom dacht je dat dat klikken op links webpagina's volgens een door een leverancier aangegeven wijze als ideaal gezien wordt. Geen code vereist geen nerds betrokken.

Bij Linux werk je standaard met software uit een gecontroleerd software center. Bijlagen hebben geen standaard execute rechten.

"Ook daar wil de gebruiker via een interface meteen op het bestand klikken en dat er vanzelf alles gebeurt."


wil jij met je beperkte wereld beeld niet names alle gebruikers spreken? je formuleerd weer een persoonlijke mening als een aboluutheid en daar klopt dan niets meer van.

1) en installeer je als gebruiker niet zomaar iets omdat je eerst 'root' moet worden, hetzij door een 'su' hetzij
door een 'sudo' en in beide gevallen is er afdwingbaar (std ook ingesteld) een extra ww nodig.
2) alle packages uit de repo worden gesigneerd en geverifieerd voor installatie uit een vaste betrouwbare bron.
3) updates van de packages krijg je elk uur / elke dag zonder reboots, elle lange wacht op download en installatie intterupties vol automatisch binnen.
4) alles staat uit of op standje veilig bij start van gebruik vlak na installatie. een pakket installeren als test als admin kan vrij schadeloos, er staan niet meteen poorten open etc.
5) standaard bij installatie komt er een (of andere tool-du-jour om) iptables regel set die veilig is.

dit zijn allemaal meetbaar en controleerbare verschillen tussen de verschillende OSen en maatregelen die ik vind die security in het algemeen goed doen. of je nu wel of niet kiest nog eens daarnaast met scanners en andere 'achter de feiten aanloop' methoden te monitoren.

dit allemaal zorgt ervoor dat ik reeds 20j zonder een enkele mallware/virus/hack issue een toko in de lucht hou en mensen niet lastig val met onnodige 'downtime'. ik heb het daarbij over 400 servers en werkstations in 0.5 fte.

noot: voor die mensen die een stapje verder willen dan noscript etc. std op rhel, centos en fedora:

https://access.redhat.com/solutions/1578673 (lees over std confined plugins)
https://danwalsh.livejournal.com/72697.html (lees over extra sandboxing van apps)
https://dwalsh.fedorapeople.org/SELinux/Presentations/sandbox.pdf (lees over extra sandboxing van apps)

@luntrus,

Alle computerfabrikanten zouden zich verplicht moeten voelen dat wat je in de eerste zin van je laatste alinea schrijft met KOEIENLETTERS op elk nieuw werkstation te plakken.
Imaginair een waarschuwing van dezelfde soort: Als je in een ver verleden de verpakking van een Dual draaitafel opende je als eerste de waarschuwing las op een kartonnen strip in de lengte over de toonarm: Das Gerät nicht am Tonarm heben!

Leg dat maar eens uit aan een reguliere gebruiker. Vertel mij eens, waarom zou een JavaScript bestand uitvoerbaar moeten zijn buiten de browseromgeving? Er is geen goede reden te bedenken? En toch maakt Microsoft het executable by default? Niet erg security minded nietwaar?


Wat zou er dan moeten gebeuren als je op een JavaScript bestand (dubbel)klikt? Dat bestand is normaliter bedoeld om binnen de context van een browseromgeving te draaien. Niet erbuiten. Dus er is geen enkele reden om een dergelijk bestand executable by default te maken. Dat hebben ze bij Linux natuurlijk goed begrepen. Echter bij Windows natuurlijk weer niet. Nu kan ze wel zeggen dat Windows een besturingssysteem voor lichte consumententoepassingen is, maar dat wil nog niet zeggen dat je de consumenten aan dit soort ontwerpfouten moet blootstellen.


Als wat werkt? Wat zou zo'n JavaScript-bestand dan moeten doen bij uitvoering (buiten een browsercontext)?


Wartaal...

De beste oplossingen zijn altijd de meest simpele. Zoals deze.
Dank @hp-snl.

Dan heb je het verkoopverhaa van Steve Jobs nu Tim Cook net als wartaal bestempeld. De NSA was ook heel blij met Apple zombies.

SELinux is leuk maar alleen met MLS of strict policy heb je er veel aan.
Maar bijna niemand gebruikt dat voor een desktop.
Daarnaast zijn er genoeg distro's die weinig aan security doen.

In Windows is het precies het zelfde alleen de administrator kan dingen installeren, als Gentoo gebruiker is het naief om te denken dat je package manager kunt vertrouwen en dat devs alle packages checken op juiste checksum & juiste gpg key.
Maar meeste virussen of malware zijn te voorkomen door common sense en niet troep gebruiken zoals flash.

Javascript (ecma) is een open standaard om in browsers extra functionaliteit te stoppen. Open daar ben je toch gek op.
Met SAP Oracle Ibm komen vele producten mee die daarvan afhankelijk zijn en meteen van alles moeten door starten om de gewenste functionaliteit te krijgen.
Aangezien je dat niet een beseft of nooit gezien hebt wat is je ict basis kennis? Het is een van de uitdagingen waarom updaten release management zo lastig is.

Als je het redactie artikel even doorgelezen had dan had je gezien dat het verwijst naar een Microsoft verhaal Hoe je dit soort bekdnde zaken gewoon als beheerder grotendeels kan opvangen en de gebruikers kan helpen.
Best goed voor je algemene achtergrond ook microsoft artikelen te lezen. Wist je de ze Analytics aanbevelen? Ooit revolution analytics opgekocht nu github.

Ik heb het nodige in JS geprogrammeerd, maar nog nooit voor een browseromgeving. De widgets voor MacOS zijn b.v. in JS geschreven. Er zijn ook programmas waar je hele modules in JS kunt toevoegen.

Oorspronkelijk misschien wel voor browsers doorontwikkeld, maar zeker niet exclusief.

Het is geen, zoals door anderen al opgemerkt, JavaScript probleem maar een MS-Windows/MS-Edge probleem.
Windows heeft een verouderde beveiligingsstructuur. Heel internet, heel mobiel en telecom is Unix/Linux gebaseerd. En alle beveiliging is daarop gebaseerd.

In mij ogen is daarom de enige echt veilige manier om MS-Windows aan internet te verbinden, door Windows als virtuele machine op Linux te draaien.

Nu komen ze hier mee. Morgen weer met wat anders. MS-Windows is gewoon volledig door de tijd ingehaald.

"In Windows is het precies het zelfde alleen de administrator kan dingen installeren"

als ik een pc van dell of een laptop met win 10 krijg van de dynabyte oid, dan is hij klaar voor gebruik en als gebruiker mag ik alles zonder blikken of blozen klikken en installeren. dat iets kan in windows, maar effectief nergens gebruikt wordt / is, helpt niet veel dus...

[q]Heel internet[/q]Wow... groot spraak....

[q]In mij ogen is daarom de enige echt veilige manier om MS-Windows aan internet te verbinden, door Windows als virtuele machine op Linux te draaien.[/q]
Wat eigenlijk niets oplost.....

Unix en Linux is echt niet veiliger hoor.
Bugs zitten er in elk OS, veiligheid word bepaald door de gebruiker die het OS gebruikt.
Het is naïef om te denken dat Linux veiliger is.

Meeste malware/virussen zijn toch ransomware en spam shit en dat is niet interessant op Linux want niet veel desktop gebruikers.
APT malware & 0day exploits zijn er voor beide besturingssystemen wel te vinden.
Niets is 100% veilig maar met common sense kom je al een heel eind op beide besturingssystemen.

Als alle software fabrikanten nu eens zouden zorgen dat ze software geschreven voor MS Windows porteren naar OS X en Linux dan kan MS Windows voorgoed de prullenbak in.

Een nogal opvallende poging tot hijacking van een avatar.
Aan de inhoud kan je al zien dat het niet klopt
Aan de avatar had je beter je best moeten doen.

Leuk puberaal probeersel als phisingtest.
Niet iets voor een serieuze ict persoon.

Met NT is Windows geheel geredesigned in samenwerking met IBM waarbij IBM veel zaken heeft doorgevoerd uit het s360 gebeuren. Het is Unix linux wat compleet is achtergebleven met pleisterwerk rond Id-jes gids en allerlei rare beperkingen op maximaal aantal groepsmemberships en clustering.
Totaal onveilig by design zoals we bij IOT en webservers zoals Drupal zien.
Zit je toch weer in het puberale os bashing.

Een volwassen ict er zou zich meer bezig houden met informatieveiligheid. De link naar het ms artikel van de redactie gevolgd? Duidelijk niet, je bent inhoudelijk niet bij.

Wat een drukte om niks weer op deze site:

1. gmail laat verzenden noch ontvangen van .js files toe (net als voor .exe's trouwens).
2. Windows 10 voert .js files afkomstig uit e-mail niet meteen uit, maar waarschuwt dat de script "can potentially harm your computer. If you do not trust the source do not open this software". (k heb een Engelstalige windows, in het Nederlands komt een soortgelijke melding).

Je moet dus wel een volledige idioot zijn om getroffen te worden door een kwaadaardige Javascript.

hier ziten twee issues in :

1) of ene OS bugs heeft of niet zegt niets over de veiligheid, goedschiks of kwaadschiks. wat wel iets over de relatieve veiligheid zegt is hoe diep die bugs zitten maar vooral ook hoe lang het duurt voor de update er is en hoe eenvoudig die is te installeren. hierin verschillen de OSen enorm in.

2) omdat er geen desktops zijn is het niet meteen niet waard een OS als target te zien voor ransomware oid. de meeste data van comporates staan op een shar eoid. die share komt vaak van iets anders dan windows, maar het is de windows vector die steeds effectief blijkt te zijn om die files en data op bijv netapss etc. te encrypted. verder zijn unix/linux servers vaak ideale spam / bitcoin targets. denk maar niet dat fakeboek data geen target is. datzelfde geld ook voor goegel.

ik ben hier dus niet linux aan het verdedigen, ik ben hier de korte door de bocht vlug van de heup geschoten 'argumenten' aan het bekritiseren. dus in plaats van dit soort argumenten als doorslagegevend in een heel complex veld met meerdere krachten zonder verdere nuance te stellen, even de ogen en oren open zetten aub.

giegel... lachwekkend.... kijk hier eens hoe geweldig die NT kernel is tov de rest van de wereld op het monent:

https://en.wikipedia.org/wiki/Comparison_of_operating_system_kernels


je laat je leeftijd zien en niet je wijsheid :).

Als jij de redactie en de schrijvers van het gelinkte artikel belachelijk vind dan geeft dat wat over jou aan.

Uit je link https://en.m.wikipedia.org/wiki/Operating_system_advocacy
Het puberaal gedrag met flaming wordt aangehaald. Zoiets is niet volwassen al giegel de jeugd onderling wel.
Wel grappig om te zien hoe volledig wq0 intussen is en enkel de kolom rtc open laat. Met os/2 als basis zie je hoeveel er daarna nog veranderd is.

Met de kolom security zie je de chaos in Unix land. Een teken dat het niet in de kernel zit maar elders. Kijk eens naar de aparte Filesystem die het allemaal anders en op de eigen manier doen.

Mongo db s3 buckets Mirai vpn filter iot met vaste user/password combinaties. Het security die er niet is.
De s ontbreekt ook in naamsannduidongen.
Als je sn updates beschikbaar hebt zegt dat niets over hoe snel die uit te rollen zijn. Met een embedded os zal je er zelfs vanaf moeten blijven omdat je ander het geheel in gevaar kan brengen. (Medische apparatuur militair auto's generieke infrastructuur etc.)

Security is het gehele spelverdeler met de informatie overzien.
Met dat domme os flaming houd je je niet met informatieveiligheid bezig integendeel dsn loop je de boel saboteren.

Oké, dat kan best zo zijn en het valt ook onder gebruik in context (browser of andere omgeving). Maar is dat een reden waarom een .js script file by default uitgevoerd zou moeten worden als Windows executable? Nee.


Je snapt ook echt niks nietwaar? En je herhaalt het nota bene zelf: Javascript (ecma) is een open standaard om in browsers extra functionaliteit te stoppen.. In browsers! Dus niet buiten die browseromgeving! De rest van je 'betoog' is off-topic, doet niet ter zake en komt verward over, zoals altijd.


Ik heb het redactieartikel gelezen en ik heb het juist over dit Microsoft verhaal! Heb je slecht geslapen of zitten zuipen? Cocaïne?


Mongo DB, S3 buckets en IoT hebben niets met Linux te maken en de problemen zouden indien er Windows was gebruikt nog vele malen groter zijn! Slechte beheerders en fabrikanten die voor een dubbeltje op de eerste rang willen zitten. Je begint voorspelbaar slecht te worden in je betogen, karma4.


Dat geldt niet voor Windows, het besturingssysteem voor lichte consumententoepassingen! Microsoft zou de consument moeten beschermen maar is daarin nalatig. Uit commerciële overwegingen of om technische beperkingen (gebrekkige architektuur van Windows, spaghetticode, waardoor wijzigen op een bepaald moment onmogelijk wordt omdat de ene wijziging op een andere plek een nieuw probleem veroorzaakt).


Jij overziet helemaal niks! Dat maak je in elk van je betogen (over technische zaken) meer dan duidelijk!

"Met de kolom security zie je de chaos in Unix land."

kijk nog maar eens beter dan naar je het-kan-niet-fout-zijn-NT-kernel in dat stukje. diversiteit is niet hetzelfde als chaos! wel is overduidelijk dat die NT kernel op meerdere fronten niet meer zo innoverend is :). nogmaals ik verdedig unix niet, ik wijs je op je onzinnige NT kernel uitspraken!

wartaal die niet te ontcijferen is en dus als ONZIN geparkeerd gaat worden. geeft aan dat je emotioneel aan het worden bent wel...

Met JavaScript kan van alles, dat is tevens de allergrootste zwakte ervan.
luntrus

Wat jij doet is een typische reactie die ook voorkomt bijdehand haatzaauende voorgangers van geloven de ongelovigen slaan wartaal uit en het kerstenen voor de religie is heilig.

Jammer je onderbouwd de onzin van os flaming maar ziet niet je eifwn kwalijke rol.

Ik zeg dat het onzinnig is om enkel aam Windows bashing te doen als je daarmee een probleem hebt ben je linux aan het heilig verklaren.
Als je die wikipedia link doorwerkt kun je dat teruglezen.
Beantwoord maar eens de vraag waarom bij een artikel waarbij microsoft genoemd wordt de linux fanaten staan te roepen dat het het aan het is ligt. Zodra er een linux only of google cloud iot Aws iets is ze angstvallig stil blijven.
Als je iets over een linux desktop als Manjaro ziet dan kunnen ze fixes downloaden. Het toont een slaafs gebeuren.
Met informatieveiligheid moet je het geheel kunnen overzien en bij elk onderdeel de risico's en impact.

Het draait op linux en de security wordt afgedaan als niet nodig wat draait op linux. Kan door iedereen afgedaan worden met een gratis voor niets werkwijze. Ideaal voor beslissers met bezuinigingen. Niet goed voor informatieveiligheid gezien de grootste datalekken die we nu meegemaakt hebben.
Nogal voorspelbaar dat dat jou niet lekker zit.

De spaghetti aanpak is standaard in ilnuxland een ieder zijn eigen distro zij eigen Ideeën en de groot commerciëlen varen er wel bij. Ze hoeven geen verantwoordelijkheid te nemen voor een niet onderscheidend generiek iets.

Heb je het ms artikel doorgewerkt en ergens gezien dat JavaScript buiten de Browser (html/xml) gebruikt is.

Je hebt niets door dat artikel over ml ofqel MachineLearning gaat. Als je zaken denkt te zien die er niet zijn weet ik dat het net gebruik van bepaalde middelen kan samenhangen. Ik heb er geen ervaring mee alleen uit waarneming kunnen vaststellen. Jij toont ervaringsdeskundigheid op dat gebied, dat is niet gezond.

Ach, ach, karma4... Ik vind het eigenlijk een beetje zielig voor je worden. Bijna...

@ THE FOSS,

Er zijn bepaalde problemen op Windows OS, die nog en ik zeg met nadruk nog steeds niet opgelost zijn. Het zogenaamde dubbel extensie probleem. Wanneer komt dat nu eens aan de beurt voor een patch en hoeveel gebruikers zijn daardoor over de jaren en jaren al besmet geraakt. Men gaat me toch niet vertellen dat dit een "feature" is?

Je denk te maken te hebben met een tekst document en de tweede daarachter zittende verborgen extensie (niet zichtbaar gemaakt) is een uitvoerbaar bestand (executable file), VoodooShield houdt je nog net tegen met een alert om het ineens te laten uitvoeren, want de executable is niet gesigneerd en je wordt gered bij de bel. Maar heb je niets om het tegen te houden of waarschuwen, dan ben je vaak echt in de aap gelogeerd of de pisang.

Waarom ruimt men zo'n onveiligheid niet op? Of hebben av-boeren er aandelen in? Natuurlijk niet, zul je zeggen, maar je zou het vanwege de onachtzaamheid van MS bijna gaan denken.

Javascript een onveilig samenraapsel in de browser, omdat het side-client language is. Met 133.000 websites met tenminste 1 javascript bibliotheek met een bekende kwetsbaarheid. Da's geen kattenpis, mensen: - 36,7 % jQuery, 40,1 % Angular, 86,6 % Handlebars, 87,3 % YUL inclusies met 9,7 % websites met wel 1 of 2 getroffen bibliotheken erop.

Het javascript bibliotheken landschap is complex, ongeorganiseerd en vrij "ad hoc", wat security betreft. Geen databases met kwetsbaarheden, die betrouwbaar zijn. Geen mailinglijsten. Er zit soms drie jaar tussen een oude afvoerbare bibliotheek en een meer recente veilger en er is veelal geen achterwaartse compatibiliteit. Code wijzigingen bij vele sites zijn gewenst, dus nog jaren werk voor 3rd party cold reconnaisance website security analisten en website foutenjagers, zoals

luntrus

Foss het is inderdaad nogal zielig zoals jij in je geloof vastzit en niet eens artikelen doorgrond. Het toont tevens een gemis in ervaring met ict.

Dat bedoelde ik niet karma4. Het zielige wat ik bedoelde zijn die betogen van jou, waarin je ageert tegen alles wat geen Microsoft software is. In een steeds zieliger wordende poging om te verbloemen wat iedereen al weet. Karma4, de Don Quichot van security.nl.

Enne: ik ben het niet die 'artikelen niet doorgrondT' en 'een gemis in ervaring met ict' zou hebben. Je projecteert je eigen beperkingen op een ander.

Luntrus zoiets met extensies valt niet meer op te ruimen.
De ux is nu standaard je klikt ergens op en het werkt. (Verkoop vergaal Apple). Gebruikers krijg je niet meer om. Dan zou je namelijk moeten gaan leren welke interpréter bij welk bestand hoort. Met dat alles er cool uit moet zijn heb je snel een ballast van vele libraries. Zoiets is os onafhankelijk.

Wat Windows nog wel heeft is indeling op herkomst van bestand Internet Intranet lokaal gezonder. Alleen lokale bestanden worden standaard vertrouwd. Je kunt zoiets uitgebreid inregeld als beheerder.

De applicaties moeten wel op de zo nering herkomst van bestanden Letten. Ms applicaties doen dat. Je kan het niet zo maar starten. Bij niet ms applicaties ontbreekt die controle nogal eens. Netwerkdrives vallen onder intranet niet onder local. Vandaar dat ik het ooit heb moeten uitzoeken.

Er zijn nog meer vele functies daarvoor beschikbaar. Het probleem is als je die gebruikt gaan gebruikers klagen dat niets werkt. Allemaalveel te lastig dat instellen en er over denken.

Met linux is het ergerlijker. Er is niets op dat vlak.
Ik heb wel eens vaker ds opmerking gemaakt dat je dan van linux beheer terugverwezen wordt omdat het er niet is maar naar Windows moet.

Omdat het dubbele extensie probleem eigenlijk niets oplost. Gebruikers snappen dit tocht niet. "Het icoontje klopt toch?". Dat er een .vbs of .js achter staat, dan snappen ze toch niet. De kans is aanwezig dat het juist veel meer problemen veroorzaakt, dan het mogelijk zal oplossen.
Het is dus niet "even" aan te passen, want de impact kan wel eens heel groot zijn.

Ok, handig van Microsoft. Leuk weetje.
Vervolgens zeg je dat het niet werkt omdat applicaties de "feature" niet gebruiken.
Als iets niet werkt heb je er niks aan, hoef je het ook niet te zeggen.

En dan zeg je dat Linux die "feature" niet heeft. Misschien omdat het niet werkt?
Daarnaast moet het helemaal niks uitmaken waar het bestand vandaan komt, het mag gewoon nooit executable zijn, mits aangegeven. En dat is wat elk OS heeft begrepen, op 1 na.

Dat gebruikers niet om te krijgen zouden zijn is een twijfelachtig argument. Het is in het verleden bijvoorbeeld volop gehanteerd als reden waarom een overgang van Windows naar Linux op de desktop een dure aangelegenheid zou zijn, mensen moesten dan opnieuw getraind worden. Toen Windows 8 de desktop-interface opeens helemaal omgooide en sommige desktopomgevingen op Linux meer op Windows leken dan Windows zelf hoorde je de mensen die zo bezorgd over de kosten van omschakelen waren opeens niet meer. Hetzelfde geldt voor de introductie van de ribbon in MS Office, Open/LibreOffice leek opeens meer op het MS Office dat gebruikers gewend waren dan MS Office zelf.

Dat maakt voor mij heel duidelijk dat rekening houden met waar gebruikers aan moeten wennen vooral een gelegenheidsargument is. Leveranciers hanteren het om concurrerende produkten eng te maken maar voeren zelf doodleuk veel grotere wijzigingen door als dat ze beter uitkomt, en het gemopper van gebruikers verstomt wel weer na een gewenningsperiode. Daarmee bewijzen ze ze dat het niet echt een argument is.

(Ik zie trouwens dat je meedoet aan de mode om mens-machineraakvlakken met "ux" aan te duiden. De "x" daarin staat voor "experience", wat vertaald kan worden als "beleving" of "ervaring". Hoe een gebruiker iets beleeft/ervaart wordt wel beïnvloed door het ontwerp, maar het is toch primair de reactie van de persoon op het ontwerp, de beleving is de inbreng van de gebruiker zelf in de interactie met de software. Die gebruiker is een mens en is niet ontworpen en geleverd door door de softwareleverancier. Die hele "ux"-term is een symptoom van de arrogantie waarmee de gebruiker als produkt wordt gezien. Geen term om over te nemen als je jezelf respecteert.)
Zoals ik al aangaf zijn er veel grotere wijzigingen doorgevoerd waar al die gebruikers mee leerden omgaan.

Maar je hebt gelijk dat het icoontje ook aangepakt moet worden, een onjuist icoon is even schadelijk als een onjuiste extensie. Wat nodig is is dat het bestandstype op een betrouwbare manier wordt weergegeven en dat daar niet mee kan worden gesjoemeld. Als je een typeaanduiding ziet (of dat nou in de vorm van een plaatje of tekst is) dan moet de gebruiker erop kunnen vertrouwen dat dat klopt. Met die opdracht zouden de ontwerpers terug moeten gaan naar de tekentafel en de eis dat wat de gebruiker ziet ook echt klopt zou zwaarder moeten wegen dan argumenten dat het dan niet meer werkt zoals hij gewend is of dat applicatiebouwers dan geen volledige vrijheid meer hebben om speels met icoontjes te strooien. Als een gebruiker kan vertrouwen wat hij ziet dan wordt een computer begrijpelijker. Dat is hoe je het ook wendt of keert een verbetering.

Wel, gelieve te werken zonder Administrator rechten.

Volgens mij refereer je nu aan de security zones van Internet Explorer. Dat is een feature van IE, niet van Windows. Microsoft heeft die benadering in Edge niet overgenomen.
En kennelijk is er sindsdien iets veranderd.
Zijn je ervaringen met Linux ook gedateerd aan het raken?

Eerder geen term om over te nemen als je de gebruiker respecteert...


Een probleem lost nooit iets op, daarom heet het een probleem en geen oplossing...


De Microsoft-stijl arrogantie van de Microsoft adept... De oplossing is dat Microsoft bestanden niet default executable maakt. Een JavaScript bestand hoort niet executable te zijn buiten de context (meestal webbrowser) waarvoor het bedoeld is. Problemen worden juist veroorzaakt omdat Microsoft meent dat, tegen alle common sense in, toch te moeten doen.

En daar zitten we weer volop in het zwart-wit schema denken, voorlopig geen "verzoeningspogingen" tussen de standpunten te zien. Waar hebben we het hier over een ongeregeld zootje van een taal, die nog niet rijp was voor adaptatie aan Internet, JavaScript.

Sommige kleine mensjes zijn niet van die kleine keffertjes, gauw als ze de kans krijgen op je broekspijp pissen en dan gauw zich proberen te verschuilen achter de stevige benen van het baasje, nog een beetje gekef toe. Herken u dit gedrag ook bij enkele posters bij sommige opmerkingen? Dan zijn er ook nog (nog verwerpelijker) de platform schoothondjes ook met een krulletje en een rood strikje en een leuk lampje met de feestdagen om de hals. (iron.).

Toch zijn er met een taal als JavaScript hele leuke dingen te doe. Kijk naar Brendan Eich's browser Brave op windows en op android. Ik hoor hier niemand over Injector en website JavaScript injecties over de achtergronden van de overname van Github door Microsoft en meer van dit soort wetenswaardigheden in dit kader.

Eigenlijk zorgen de twee grote dinosaurussen, MS en Google, voor het opsluiten van de programmeurs, voor het verslaven en manipuleren van de eindgebruiker massa. Ik zou wel eens een echte SElinux android buiten Google om willen zien? Zal wel lang een niet te realiseren droom blijven. Waarom claimen de linux fans deze omgeving niet terug? Of is linux nooit zo "free as in free beer" geweest? github inmiddels dus nu ook niet meer. Zijn alle ontwikkelaars al gekneveld door de commercie, de schoorsteen moet immers roken en niet smeulen, dus verkoop je ziel en zaligheid maar aan de duvel en z'n ouwe moer voor wat pub- & ad-mob inkomsten.

Waarom hebben Microsoft en Google de massa bevrijd van hun plezier in het computeren en de Internet-beleving? Daar zou de discussie, vooral in deze wereld eens fundamenteel over moeten gaan. Microsoft, die meer dan een ontwikkelomgeving een marketing- en overname machine is.

Waarom lees ik hier niets over reguliere expressies en Javascript? Over aanvalsvectoren en JavaScript, Niets over Angular.js <div ng-init "some code here">? Waarom steeds meer op de client moet aflopen en steeds minder op een non-public uit het zicht gehouden https-server? Waarom een client belasten, die juist door de leek en ook vaak door de professional het minst veilig te houden is.

Je zou bijna denken als anoniem van 7:48 dat dit ook een doel dient. Het gaat namelijk om wat goed is voor MS en Google etc. en niet om wat goed is voor de (eind)gebruiker of de gebruikerservaring.

Ik zit nog steeds te worstelen met retirable code, met sinks en sources, met niet pre-gedefinieerd, met niet escaped, niet excluded en de meest geraffineerde methoden om mijn browser-ervaring te kunnen hijacken.

HijackThis, weet je nog ouwetje van het ASO-initiatief? ASO = Anti Spyware Offensief. Nu hebben we farbar en online getrainde qualified removers, die mensen verlossen van "rotzooi" op hundevice.. Als oude adept van f.r.a.v.i.a. en Stallman blijf ik me verbazen. U ook? Worden onze digitale middeleeuwen nog donkerder?

luntrus

Ook, maar ik had het heel bewust over jezelf respecteren omdat iedereen die met computers werkt daarmee per definitie ook gebruiker van die computers en een heleboel software is. Door terminologie te gebruiken die computergebruikers tot produkt reduceert reduceer je ook jezelf tot produkt, en respect voor anderen begint met zelfrespect.

Luntrus
Stallman heeft juist gezegd dat free software NIET uitgelegd moest worden als free in free beer.
Je moet de denkwijzes en algoritmes delen en daar ook voor voor willen betalen. Het gratis argument is een grote fout.

Met redhat ibm en anderen is er al lang sprake dat grote commerciëlen de dienst uitmaken.
Open source als niet onderscheidend iets waar niemand de verantwoording voor heeft.

Het rijrje is google Aws Facebook Apple daarna heb je redhat Ibm Oracle Microsoft sap en vele anderen.

Ook al krijgt ds gebruiker een hele reeks popups om de oren, kan een beheerder dat afsluiten. Er is geen spake dat een java script ineens een elf executable zou zijn.
Het is de typische linux nerd arrogantie om zaken te zoeken die er niet zijn voor eigen geloof promotie. Jammer dat is geen basis voor informatieveiligheid.


https://www.security.nl/posting/565429/Aanvallers+gebruiken+_IQY-bestanden+in+nieuwe+spamcampagne
Moet de hele waslijst van popups etc er telkens bij?
Dit redactieartikel ging over toepassing van ml machine learning.

Klopt, het gaat om vrijheid, niet om gratis zijn. Maar het is in de praktijk wel zo dat die vrijheid zo in elkaar zit dat de software in de praktijk gratis is. Als de maker er geld voor vraagt heeft de koper namelijk het recht om de sourcecode te ontvangen en die verder te verspreiden. Free as in beer is niet de essentie maar is wel moeilijk te vermijden.
Nee, Stallman zegt niet dat er betaald voor moet worden, hij maakt er geen bezwaar tegen.

Dat beweer je vaker en ik herhaal een antwoord dat ik je ruim een week geleden hierop heb gegeven, misschien had je dat gemist:

Nee, die ontlopen hun aansprakelijkheid niet. Ze zijn namelijk allemaal gebaat bij een stabiel platform om de producten waarmee ze zich wel onderscheiden op te laten draaien. Als de basis waarop ze hun software laten draaien troep is dan heeft de software waarmee ze zich willen onderscheiden daar volop last van. En dat weten ze.

Die bedrijven hebben geconcludeerd dat ze zich met een aantal zaken, zoals (de bulk van) het OS waarop ze hun software laten draaien, niet meer kunnen onderscheiden. Dat is de inspanning niet meer waard. Dan wordt het aantrekkelijk om die inspanning gezamenlijk te doen. Aardig genoeg blijkt juist die "virale" GPL heel geschikt daarvoor te zijn. De verplichting om de broncode van de verbeteringen die je aanbrengt ook aan je gebruikers beschikbaar te stellen is namelijk een juridische belemmering voor die bedrijven om wel mee te genieten van de verbeteringen die hun concurrenten beschikbaar maken maar de eigen verbeteringen voor die concurrenten verborgen te houden. Het heeft zich ontpopt als een uitstekend middel om de competitieve neigingen van die bedrijven in het gareel te houden en de samenwerking te laten werken. Om dit te laten werken is het ook heel belangrijk dat de samenwerkingen via nonprofitorganisaties lopen, zoals de Linux Foundation.

Dat beweert The FOSS ook niet, hij beweert dat het niet executable hoort te zijn, zonder het lidwoord "een", dat betekent niet uitvoerbaar. Scripts kunnen ook uitvoerbaar zijn, dat is niet beperkt tot binaire bestanden. Het OS zoekt dan de juiste interpreter erbij.

En dus heeft The FOSS wel degelijk een punt. In Windows is het de extensie van de bestandsnaam die bepaalt of iets uitvoerbaar is, In Linux en Unix is dat vastgelegd in rechten die niet, zoals de naam, met een download meegeleverd worden. Een aanvaller kan daardoor niet via zoiets simpels als de naam van een bestand regelen dat zijn aanvalscode uitvoerbaar is. Dat is, in al zijn eenvoud, uit beveiligingsoogpunt superieur aan het model waar in Windows voor is gekozen. Dat daar weer allerlei beschermingen omheen zijn gebouwd maakt Windows niet superieur op dit punt. Integendeel, het is (in ieder geval voor wat dit specifieke punt betreft) symptoombestrijding terwijl ook de oorzaak aangepakt had kunnen worden.

Het bedrijfsleven zelf maakt het onderscheid met bouwers voor de Frontend ook wel User eXperience met ux aanduiding en die voor de backend ofwel bouwers die met de data en data verwerking bezig zijn.
Met een scheiding van dat werk aparte kun je dat beter accepteren dat de arbeidsmarkt er zo insteekt.

Zeker in de Analytics bi hoek is dwh data en dat rapportje presenteren (dashboard) of model maken model in exploitatie etc gescheiden. Het is niet altijd goed maar zeker geen minachting voor gebruikers. Wie zijn de gebruikers?

Het zijn deze gebruikers die zelfstandig ict taken uitvoeren waar dat acceptatieprobleem zit. Ze moeten zelfstandig met een grote hoeveelheid data uit meerdere bronnen aan de slag. De meeste interfaces al is het traag veel handwerk doen het onder Windows. Een extra driver er bij op een enkele machine lukt ook nog door een windows beheerder.
De gebruikers zijn universitair geschoold schaal 11 of hoger. Ze willen niet te veel tijd met software en koppelingen kwijt zijn. Als ze hun werk maar kunnen doen. Daar heb je meteen een acceptatieprobleem met tools en interfaces.

Probeer dat onder linux server based en je krijgt een fikse uitdaging. Koppelingen autorisaties monitoring is een grote issue. Gewoonlijk de belabberde performance als extra. Dat laatste omdat de machines niet opgezet worden voor het type werk van die gebruikers. Er wordt een standaard doos vanuit heel iets anders aangeboden. Dan krijg je de vraag doe maar Cloud want geen last meer van de ict jongens er bij.

Al die beheerders moeten natuurlijk ook geld verdienen. En dan zijn allerlei rare popups natuurlijk goed voor de portemonnee.


Dat zeg ik ook niet. Ik zeg dat een .js bestand wordt uitgevoerd als Windows executable. Dus in dezelfde context als een .com of .exe die je vanaf de desktop aanklikt. En ELF is Linux (Unix). Bij Windows heb je PE. https://en.wikipedia.org/wiki/Comparison_of_executable_file_formats. Maar dat wist je natuurlijk niet.


Klopt alleen als je in hierin linux nerd vervangt door karma4 (a.k.a. Windows slaaf).


Nee, het redactieartikel bij deze draad is getiteld Microsoft: Veel aanvallen via JavaScript en VBScript.

Het bedrijfsleven loopt als een kip zonder kop achter lege marketingtermen aan die weer door een ander deel van het bedrijfsleven worden bedacht. Je kan inderdaad moeilijk vermijden dat dit soort taal om je heen wordt overgenomen, maar je kan wel enige weerstand bieden tegen het overnemen van de zoveelste term voor iets dat al lang een naam heeft.

En dat UX is een kwalijke, iemand die zich User eXperience Designer durft te noemen zou door de grond moeten zakken van schaamte, die beweert dat hij meer ontwerpt dan de machinekant van een mens-machineraakvlak, die beweert dat hij wat de mens inbrengt ook ontwerpt. Die ontkent de autonomie van de mensen die het produkt gebruiken. Daar zit een arrogantie ingebouwd die je eerder moet bestrijden dan nonchalant overnemen. Ik denk niet dat die mensen beseffen wat ze zeggen, maar de woorden waaruit dit is samengesteld hebben betekenis, dit is geen neutraal labeltje.

@ karma4,

Juist "Doe mij maar een Cloudje" en dan denken als manager of CEO, dat dat de gouden greep is, die alle problemen van IT-land als bij toverstaf oplost. En als vervolgens dan "de Cloud" meerder oplossingen kent van - goedkoop "zeer oveilig" over tot - iets duurder "nog te onveilig" - naar twaalf keer zo duur - Israel Defence/Hamas sterkte, dan is dat Cloud-denken ook gelijk weer een betrekkelijk begrip met een gratis certificaat als root op de server tot security headers niet geset en geen HSTS pre-load, excessieve nameserver info proliferatie en noem een hele ris onveiligheden maar op. Nog een beetje onveilige jQuery bibliotheken erbij en een snufje XSS-DOM dreiging? Maar ja, "out of sight is out of mind", zoals dat heet. Oh, mijn subdomein is ineens het mijne niet meer en ik heb nog wel zo goedkoop een Nigeriaans top domein verworven.

Daarom een speciale manager aantrekken om dit soort gevaarlijke oplossingsmanagers te kunnen "neutraliseren" of "weg promoveren". Maar zoals jij altijd zegt, dozenschuivers en oplossingenfluisteraars hangen boven de markt en stellen de wet.

luntrus

Laat ik me er toch ook maar even mee bemoeien. Hoewel... Ik kan echt niet ontcijferen wat je hierboven bedoelt.


Juist bij gebruikers die alleen met (big) data werken kan je prima Linux desktops uitrollen. Neem CERN, de mother of big data.

https://cern.service-now.com/service-portal/service-element.do?name=linux-desktop


Hooggeschoolde zelf nadenkende gebruikers? Ik begin te snappen waar het wringt in het contact tussen jou en jouw omgeving.


Belabberde performantie van software onder Linux in vergelijking met Windows? Juist andersom natuurlijk! Ik herinner me nog wel de tijd dat ik onder Windows werkte en met name hoe traag het allemaal was in vergelijking met Linux.

Ik noemde dan ook hoe het werkveld Analytics bi door linux nerds door onbegrip gesaboteerd wordt.
Je kunt beweren dat de technische moglijkheden anders zijn. Dat klopt, dat geef ik ook aan.

Het veranderd de mismatch in de praktijk niet zolang er niet samengewerkt worst maar strijd gevoerd wordt.
Ga eens in het bedrijfsleven bij de grote organisaties langs.
Wat spelen in schoolse wetenschappelijke omgeving brengt niet dst inzicht.

Lees het gelinkte artikel en je ziet het machine learning verhaal.
Dat heb je kennelijk nog steeds niet gedaan.

Ik heb niets met microsoft het is bi analytics big data.
Je reactie toont nu net de mismatch van dat gebrek aan begrip.

Dat is geen antwoord en is in de werkelijke wereld helemaal niet het geval.


Windows is voor serieuze toepassingen inferieur.


Sommige mensen hebben altijd en overal ruzie.


Daarin doe ik mijn werk.


Ze spelen maar wat bij CERN? Jij schertsfiguur!

kijk als je stelt dat die NT kernel superieur is aan bijv unix/linux, en je wordt met de neus op de tegengestelde feiten gedrukt (want dat kun je zien op de wikipedia), dan moet je niet met zo een reactie komen. ik ben helemaal niet windows aan het bashen, ik heb problemen met je onzorgvuldige argumentatie en weerlegbare stellingen en daar spreek ik je op aan. get over it.

Ik lees geen artikelen van Microsoft en klik niet op links die met Microsoft te maken hebben. Voor je het weet word je ermee besmet. En dat gelinkte artikel is alleen achtergrondinformatie. De titel van het redactieartikel is duidelijk: Microsoft: Veel aanvallen via JavaScript en VBScript en de tekst laat ook weinig aan de verbeelding over.


Jij karma4 die iets met Microsoft heeft? WELNEE! Wie zou dat nu toch kunnen denken?


Wat staat hier in vredesnaam?

Als je met argumenten over Windows komt die complete achterhaald zijn en je ziet in de aangegeven link dat er geen hout van klopt accepteer dat nu eens. De tijd heeft niet stil gestaan.. Het acl model van Windows met AD is beter en meer consistent dam wat linux in al die tijd heeft opgeleverd.
Dat komt van de redhat mensen zelf die torvald betalen ism met IBM.


Jij werkt dus niet bij het CERN maar haalt het wel als voorbeeld aan? Dat heet een schertsvertoning.

Je zou in het bedrijfsleven grote organisaties werken en ziet niet de problematiek met dwh bi analytics big data?
Dat is een de tweede onzin die je bij elkaar in 1 post zet.

Het zijn afnemers gebruikers van linux doosjes en dat loopt vaak niet goed. De user experience is ondermaats.
Alsof een autoverkeer een klusjes en gezinsauto verkoopt en de gebruiker blijft constant met de problemen zitten dan verwijt je toch die gebruiker dat hij onkundig is geen hart voor het merk en beter zijn best moet doen om andere klanten aan te brengen.
Ooit van limux gehoord? Dat is nu net waar het mee stuk gegaan is. De burger kreeg niets falende ict naar buiten toe maar het lag nooit aan de doosjes. Hoe geloofwaardig is dat. . niet. Met die ongeloofwaardigheid zijn doosjes opgeofferd.

kijk jij maar deze documentaire eens voordat je verder iets gaat zeggen waar je achteraf spijt van gaat krijgen:

https://www.youtube.com/watch?v=_wGLS2rSQPQ

Ik heb in deze hele draad "nog geen draad" vernomen over hoe we nu toe moeten naar een veiliger gebruik van JavaScript.
Hoe krijgen we bedreigingen en anomaliteiten in beeld? Hoe ontwerpen we betere detectie regels om veiligheid te verhogen. Werken met reguliere expressies ter detectie en ook additionele veiligheidsmaatregelen aan de server kant (denk aan 3rd party scripting, die binnen het primaire domein mag aflopen bij voorbeeld).

Hoe gaan we om met inlined en dynamically loaded JavaScript? Met de hand de code doorlopen, frame busting snippets op het spoor komen is zeer moeilijk en tijdrovend, zeker als JavaScript geobfusceerd is om detectie van bekende exploits te verhullen. Javabased browser emulatoren kunen worden ingezet. Voor de-obfuscatie bestaan zekere tools.

Uitkijken op log-in pagina's en wachtwoord reset pagina's. Document.referers nalopen in framing tests. Cloaking kan veel onthullen waar Googlebot heel wat anders voorgeschoteld krijgt als google zelf. Client-side applicaties moeten veilig gesteld worden, de output naar de DOM moet correct zijn ge-escaped of sanitized.

Komt dit en meer allemaal aan bod voor degene die met JavaScript werken en degenen, die ons tegen de gevolgen van mogelijk en werkelijk gevaarlijk JavaScript moeten (gaan) beschermen? "Too little, too late" vaak.

Laten we de discussie daar over voeren i.p.v. het zoveelste spelletje - windows boe, linux bah.

luntrus

Waarom? Zijn de feiten over gebruik van Linux bij CERN afhankelijk van mijn wel of niet werken daar?

Jouw gebrekkige argumentatie geeft perfect weer hoe jouw denkwijze werkt. Je demonstreert voor de zoveelste keer een totaal gebrek aan analytisch vermogen.

Vandaag 21:27 BUMP

Wat gaat Microsoft doen met github, hetzelfde wat het deed met -
(code omarmen, vervolgens even onderhouden en daarna voorgoed laten verdwijnen)
Re: Trust van developers?
Javascript 5 (embrace) -> Typescript and Class syntax to Javascript 6 (extend) -> JS (extinguish) with WebASM.
Atom/Electron (embrace) -> Atom fork named "VSCode" (extend) -> Atom (extinguish) as it was developbed by Github company.
NodeJS (embrace) -> incompatible Node Windows fork with IE/Edge JS engine "Chakra" (extend) -> NodeJS (extinguish soon) with chaos of Typescript, Javascript 6 and Github.
"R" lang (embrace) -> incompatible SQL Server 2016 R lang extension (extend) -> R lang (extinguish soon).
Android -> CyanogenMod (embrace) -> CyanogenMod (extinguish) as M$ "sponsored" Cyanogen Inc to destroy CyanogenMod
Linux (prejudge) -> sponsors RedHat, Debian, SuSE, Alpine and Canonical/Ubuntu (embrace), forces unstable backdoored "systemd" -> Linux (extinguish soon) info credits reactie in Microsoft will "lose developers for a generation if it stuffs up Github, posting op the Reg. Info credits go to: Anonymous Coward.

Microsoft is een soort van woekerplant, dat alles wat het overgroeit doet verwelken.

luntrus

Het is die houding van linux Nerds tegenover hun afnemers die linux kapot maakt. Heb jullie het niet door.? De wal keert het schip.

JavaScript op zich kan niet heel veel kwaad want zit in een kooi. Zonder een exploit in de onderliggende browser- of het besturingssysteem of een gebruikersactie blijft het in die kooi. Echter:

Unfortunately, once a .JS file has been saved to your hard disk, Windows will run it by default outside your browser, using a system component called WSH, short for Windows Script Host.

https://heimdalsecurity.com/blog/javascript-malware-explained/

Waarbij we toch weer bij de Windows Script Host idioterie als primaire attack vector uitkomen.

Goeie opmerking Luntrus. Het achtergrond artikel heeft het over patroonherkenning big data dat in de aanvallen opgesloten zit.
Juist de achterliggende datastructuur van de aanvallen en wat er als model uitgerold is is het interessantste.
Dat is helaas wat mist in her artikel. Zelfs gebruikte data bronnen missen.
Het verlaat het pad van signatures en details in code en werkt meer op de manier zoal jij denkt en voorstel als mens.

Nee. Het achtergrondartikel is een lachwekkend reclameverhaal voor Microsoft's AI. Terwijl de root cause en aanvalsvector Windows Script Host heet. Als ze dat eens zouden aanpakken bij Microsoft. Kunnen ze meteen dat extensieprobleem meenemen.

Je typeerde CERN als "wat spelen in schoolse wetenschappelijke omgeving". De LHC produceert in bedrijf 35 gigabytes aan metingen per seconde, en ze hebben een voorraad metingen van 200 petabytes opgebouwd die gemiddeld met 10 petabytes per maand groeit. Ze hebben meer dan 12000 wetenschappelijke gebruikers wereldwijd, wat resulteert in 2 mijoen jobs per dag die op de data worden losgelaten.

Natuurlijk is Google nog een stuk groter, maar dit kan je al lang niet meer klein noemen. Die omgeving is niet schools, die vergt professionaliteit op topniveau, op IT-gebied en nog een veelheid aan andere gebieden. En dat doen ze met Linux.

Je hebt het over de houding van Linux nerds. Er lopen echt wel fanbois rond waar wat op aan te merken is, maar de manier waarop jij consequent denigrerend doet over voorbeelden van professionele inzet van Linux laat zien dat er aan jouw houding ook wel wat schort.

Ik weet dat je niet gaat vertellen waar je werkt, maar kan je wat ruwe kengetallen geven? Hoeveel data verwerkt jouw organisatie per seconde? Hoe groot is de hoeveelheid data die jullie opslaan? Hoeveel gebruikers laten analyses los op die data? Welke besturingssystemen gebruiken jullie daarvoor? Als dat aanzienlijk groter is dan CERN, kan je aangeven bij welke grootte het ophoudt spelen te zijn en professioneel wordt, en waarom?

Waarmee je aangeeft niets van bi analytics te begrijpen en die toepassing en niet als van hoge waarde voor jouw gebruikers te zien. Dank je voor de herhaalde bevestiging van die mismatch.

Ik noem het een schoolse omgeving omdat er met de door jou genoemde data geen privacy gevoelige gegevens bij zitten.
Een en ander strak gerigeeseerd zit in uitbesteding met voorspelbare gelijksoortige verwerkingen.

Breng het eens naar privacy gevoelige zaken waar je met teradatas aan data werkt. Ik heb vaak genoeg de grootste Nederlandse organisaties genoemd. Dan heb je het over alle bekende platvorm van Desktops midrange naar mainframes met honderden van dat soort gebruikers.

Het wordt al professioneel met een paar handjes vol van dat soort gebruikers. De voorwaarde is het bezig zijn met gevoelige data. Dat is iets waar je behoorlijk voorzichtig mee moet zijn.
Ik noem niet voor niets vaak informatieveiligheid als een belangrijk hiaat.

Ah, je verandert het onderwerp van de discussie om te doen alsof je de hele tijd al een argument had. Maar je ziet zelfs daarbij over het hoofd dat ze een wereldwijd netwerk van een fors aantal gebruikers hebben en dat privacybescherming er ook bij CERN toe doet.
https://home.cern/cern-people/opinion/2017/06/your-privacy-matters

proton mail komt uit die hoek:

https://en.wikipedia.org/wiki/ProtonMail

en als ervaringsdeskundige met het computational grid van CERN en nationale instituten en zelf een PhD in die richting hebbende, weet ik wat voor een soort mensen daar rondlopen van eerste hand. dat zijn de Einsteins, de 't hooft -en enzomeer en die draaien rondjes hinkelend op een been met een blinddoek op onder invloed van drank om jou karma!

Ik verander het onderwerp niet. Dat moet je neerleggen bij de linux fanbois die op elk topic waar microsoft genoemd wordt dat willen aangrijpen in een os campagne.
Het topic onderwerp is machine learning.

Je grote hoeveelheid data uit sensors is niet veelzeggend. Een klassiek iets uit meet en regeltechniek. Het eindresultaat van een run is ja/nee ofwel 1 bit. Dat zelfde verhaal kun je ook voor de dat verwerking g in een auto ophangen.

Waar je aan voorbij gaat... commerciële uitbesteding.
https://www.t-systems.com/de/en/about-t-systems/company/newsroom/news/news/cern-second-development-stage-653860
https://home.cern/about/updates/2013/02/cern-and-oracle-celebrate-30-years-collaboration
http://ais.web.cern.ch/ais/apps/hr/


https://home.cern/cern-people/updates/2017/05/computer-security-attack-more-security

Je ziet de zelfde commerciële software telkens terugkomen ook bij het CERN. Deze kerel niet sap als hr Tool ik zag sap Hana bij ze wel weer langs komen evenals andere bekende Tools. Daarmee kom je nu op het vlak waarvan ik weet dat er behoorlijke problemen zijn. Je kunt het niet leuk vinden, dat veranderd de constatering niet. Pas na het erkennen van het probleem kan er wat aan gedaan worden.

@ L.S.

Voorbeeld hieronder werd aangetroffen via een scan op https://urlscan.io/result/scan/ (niet door mij, maar ik heb wel even toen ik het onder ogen kreeg de scanresultaten even nagelopen).

Wat denk je van dit voorbeeld hier? Een gevaarlijke jQuery bibliotheek met het kwetsbare sizzle.js: op
-restaurantzumkloster.com/js/jquery-1.9.1.js Zie de achtergrondsdiscussie hier: https://github.com/jquery/jquery/issues/2432

Wat vinden we binnen dit script op onderhavige Zwitserse website

Goed dat dit soort zaken er uit worden gehaald en de code zo snel mogelijk afgevoerd, nog voor er een "miner script" zich over "ontfermt", in kwaadaardige zin dan wel te verstaan. Kijk deze issues in het geval van website scripting security, daar hebben we het dan over.

De hele denktrant rond onverenigbare en af te voeren jQuery bibliotheken 'omkrijgen', de onveilige trend doorbreken door bewustwording, door voortdurend er aandacht voor te vragen, lijkt een einde- en moedeloos initiatief, maar elke web admin en developer die er oog voor krijgt en rekening mee houdt is er 1 & toch even fijn meegenomen. Ergens ligt het draaipunt en verandert het denken. Dat hoop ik tenminste dan maar.

Security is meer een soort houding dan wat anders dan ook. Laten we dat even vaststellen, op welk platform en in welke configuratie dat mag zijn.

luntrus

Opgeschaald naar cern niveau, waar karma4 en zijn kompaan-opponent het over hebben, en zeker nu ook al reeds kritisch (voor onder meer Mainland China) :
https://blog.trendmicro.com/trendlabs-security-intelligence/attack-vectors-in-orbit-need-for-satellite-security-in-5g-iot/

Security moet dan ook mee "opgeschaald" worden, anders gaat het een keer gigantisch mis op de cyber-infrastructuur, of houdt men het hier bij facebook sharer in Ierland al in de gaten? -> https://urlscan.io/result/fcd145b0-5228-4ddd-8dba-5b8c0ee4b79b

Ondanks waar je je allemaal over verbazen kan, leven we zeker in interessante dagen. Hetzelfde is de verwensing van de Chinees, een zeer beleefde maar wel pijnlijk snijdende: "Ik hoop dat u in interessante tijden mag komen te leven'.
Opletten dus, folks, in het jaar van de hond. Heb je geen hond, loop je ook geen gevaar! ;)-

luntrus

Dubbel..

Even verder over cern...
https://security.web.cern.ch/security/recommendations/en/index.shtml

Wat je ziet is het hele riedeltje gangbare voorschriften van grote organisaties.
https://security.web.cern.ch/security/rules/en/afs.shtml
Web afs dfs, als je die op de eerdere gangbare cots paketten heen legt met php phyton en web gebruik dan loop je vast in de problemen.

Wat opvalt is dat cern geen strict CSO met een monitoring unit gebruikt maar van alles doorzet naar de gebruiker.
De gebruiker zien ze het zelfde als de data eigenaar. Die zie terug als "de lijn moet het oplossen" de sponsor / top manager moet de soll tekenen.

Ze geven bij het CERN zelf aan dat gedegen security lastig door te voeren is en bieden daarvoor aan de academici onderzoekers aparte cursussen.
Dat hele gebeuren is nu net dat wat ik hier ook vaak post. Omdat ik linux niet heilig verklaar is dat hier een probleem maar als het cern dat zelfde zegt is het wel goed?

Als je wat verder de linkjes cern gevolgd heb kom je Fireeye tooling tegen. Dat is een klassieker uit de big data wereld met "on target". Wat Fireeye doet is niet het standaard signature endpoint checking maar machine learning met verwerkingsgedrag. Daarmee zijn we bij onderwerp van het redactieartikel terug.

"Omdat ik linux niet heilig verklaar is dat hier een probleem maar als het cern dat zelfde zegt is het wel goed?"

joh het is je vaker gemeld, daar gaat het de meeste niet om, het gaat om je manier van posten en onzin verkondigen alsof het de waarheid is. steeds doe je een abolute stelling die daarna vanwege je gebrekkige inzicht in techniek en analytisch denk vermogen terrecht onderuit gehaald wordt met feiten. als reactie daarop spring jij in de 'je bent zelluf linux nerd' mode en de hele draad wordt dan daarme verpest en gaat off topic. besef nu eens dat een groot gedeelte van de missery die je toe geschoven krijgt daadwerkelijk door jezelf uitgelokt wordt! laat die absolute baude uitspraken gewoon, en mocht je ze toch doen en je wordt daarna fijtelijk ergens op gewezen, begin dan niet een ver pis wedstrijd en laat het eens iemand tot linux nerd te betitelen als reflex. kijk eens hoe zen alles gaat worden!

Een PhD is geen garantie voor een beschaafde menselijke houding. Dat heb je vat bewezen. Vindicat heeft er ook problemen mee.
Universitair PhD is gwoonlijk een eis tot management functie in grotere organisaties. Ik heb ze ook als mijn klanten ' gebruikers beschreven. Vadaar die security gap op data.
Als je echt als ervaringsdeskundige met cern te maken gehad hebt zouden de bovenstaande security guidelines van cern je bekend moeten voorkomen.

Iets waar je zelf enthousiast aan meedoet, door erop te reageren en zelf weer nieuwe zijsporen in te slaan. In een zijspoor over de term "ux" begon jij over gebruikers die "zelfstandig met een grote hoeveelheid data uit meerdere bronnen aan de slag" moeten, waarbij je stelde dat de meeste interfaces het onder Windows doen en "probeer dat onder linux server based en je krijgt een fikse uitdaging".

Op dat moment heb jij het onderwerp verlegd naar de geschiktheid van verschillende besturingssystemen voor het zelfstandig verwerken van grote hoeveelheden data, door "universitair geschoolde" gebruikers, en gesteld dat Linux daar minder geschikt voor is dan Windows.

Daarop reageerde Krakatau met CERN als voorbeeld, een organisatie waar universitair geschoolde gebruikers zelfstandig grote hoeveelheden data verwerken (precies waar jij het onderwerp naar verlegde) en waar gek genoeg Linux wordt gebruikt. Jij doet dat vervolgens af als een "schoolse wetenschappelijke omgeving", en als ik je daarop aanspreek maak jij er opeens van dat slaat op dat daar "geen privacy gevoelige gegevens bij zitten". Zijn grote hoeveelheden data pas groot als ze privacygevoelig zijn? Dat is de verandering van onderwerp waar ik het over had, en daar spreek ik je niet op aan omdat niemand hier van onderwerp verandert maar omdat je het doet om de schijn te wekken dat je een argument hebt. Het raakt alleen kant noch wal.

Wil jij werkelijk de LHC, een installatie van kilometers groot met zalenvullende batterijen hypergespecialiseerde maatwerksensoren vergelijken met wat je in een auto aantreft? Wil je werkelijk wetenschappelijke analyses op de grens van het menselijke kunnen op een stroom data van 10 petabytes per maand vergelijken met klassieke meet- en regeltechniek waar simpele ja/nee-uitkomsten uitkomen?

Gefeliciteerd, je hebt nu een niveau van absurditeit weten te halen dat maar zelden bereikt wordt. Lees het terug en geniet er zelf van, zou ik zeggen. En beledig de intelligentie van de mensen met wie je discussieert én je eigen intelligentie niet met dit soort onzin.

Waar de meeste mensen hier op reageren is niet dat je Linux niet heilig verklaart maar dat je doet alsof het ongeschikt voor professioneel gebruik is en dat tot in het absurde blijft doen wanneer je indrukwekkende voorbeelden van professioneel gebruik worden voorgehouden. En als mensen jou daarop aanspreken ga je als een gek naar dingen zoeken om je gelijk mee te onderbouwen, en je schroomt er niet voor van onderwerp te veranderen om je gelijk maar vol te kunnen houden. En terwijl perfectie claimen ook voor Linux onzin zou zijn haal je ook de sterke kanten van de voorbeelden die je voorgehouden worden onderuit met absurde argumenten.

Waar mensen over vallen is dat je ten ene male incapabel lijkt te zijn om toe te geven dat jij niet altijd in alles de waarheid in pacht hebt en dat een ander ook wel eens iets zinnigs te melden heeft. Het lijkt bij jou er niet om te gaan om te leren van elkaars kennis en ervaring maar om koste wat het koste het debat te "winnen".

Ken je de Roos van Leary? Die gaat over menselijke interacties en modelleert die met een vertikale as die van "boven" naar "onder" loopt en een horizontale die van "tegen" naar "samen" loopt. Over het algemeen roept boven-gedrag onder-gedrag bij de ander op, en onder-gedrag roept boven-gedrag op. Op de horizontale as roept tegen-gedrag bij de ander tegen-gedrag op, en samen-gedrag roept samen-gedrag op. Geen van de uitersten levert goede communicatie op als je erin blijft hangen, bij een produktieve dialoog is je plek in het kwadrant geen constante maar iets wat van moment tot moment verandert, je danst met je gesprekspartner door de hele roos heen. De kunst van goed communiceren is om deze effecten te herkennen en te weten hoe je jezelf kan corrigeren om het gesprek in goede banen te leiden, omdat je eigen gedrag effect heeft op het gedrag van je gesprekspartner.

Op online-fora heb je er nog mee te maken dat lichaamstaal ontbreekt, wat enerzijds een bron van misverstanden kan zijn (dat maakt zorgvuldig en helder formuleren belangrijk) en wat anderzijds het makkelijker maakt om op boven-gedrag niet met onder-gedrag te reageren maar er boven-gedrag tegenover te zetten. Mijn persoonlijke indruk is dat het daardoor meer een tegen-reactie dan een onder-reactie oproept. Misschien verklaart dat wel dat er online zo veel meer gekibbeld wordt dan wanneer mensen elkaar in levende lijve meemaken.

Wat opvalt aan dialogen waar jij aan deelneemt, karma4, is dat jij voortdurend in de boven-tegen-hoek zit en daar niet uit te krijgen bent. Jij reageert op een dosis boven-gedrag met nog veel meer boven-gedrag, en je reageert op samen-gedrag vaak op een manier die weliswaar qua toon ook samen-gedrag is maar die helaas meteen boven-samen-gedrag is (je doet uit de hoogte) en ook nog vaak de inhoud van wat de ander beweerde verdraait tot iets anders dan bedoeld was, en dan roep je daarmee weer tegen-gedrag op.

Als je een trol bent die geniet van dit soort gekibbel dan ben je goed bezig, maar anders zou je er goed aan doen je eens te verdiepen in de dynamiek van menselijke interacties en op je eigen rol in hoe die verlopen. De kunst van goed communiceren is namelijk om het gedrag van je gesprekspartners te beïnvloeden door je eigen gedrag aan te passen. Zit iemand alleen maar in de boven-hoek? Geef hem een dosis boven-gedrag van jouw kant, de meeste mensen schuiven dan naar het midden (dit is iets waar jij nogal uitzonderlijk op reageert door alleen maar meer in de boven-hoek te gaan zitten). Zit iemand alleen maar in de tegen-hoek? Zet er samen-gedrag tegenover en de meeste mensen reagen door een stuk schappelijker te worden. Is iemand alleen maar onderdanig? Dat kan je doorbreken door zelf in die rol te kruipen. Is iemand het alleen maar heel volgzaam overal mee eens? Dan is een stootje tegen-gedrag om hem uit te lokken op zijn plaats. Het doel van die beïnvloeding is niet om een ander te manipuleren maar om de communicatie vlot te trekken wanneer die vastloopt.

Er zijn onder de mensen die hier commentaren plaatsen een paar die een overdreven perfect beeld van Linux neerzetten. Die terechtwijzen is volkomen terecht (maar respecteer hun enthousiasme, je hoeft niet te ontkennen dat dat echt is en een legitieme basis heeft). Maar als je dat enkel in een boven-tegen-stijl doet, zoals jij, dan ga je die nergens van overtuigen, dan roep je namelijk alleen maar tegen-gedrag op. En aangezien je daar zelf weer heel sterk met tegen-gedrag op reageert beland je voortdurend in kibbelpartijen die nergens meer over gaan.

Beter kunnen we terugkeren tot de vraagstelling in de aanvang van het topic,
namelijk met welke typen van machine learning we aanvallen via JavaScript
vroegtijdig kan gaan detecteren en navenant blokkeren.

Welke "best practices" betreft dit zowel aan server en ook aan de client-zijde?

Wat kan de rol zijn van online interactieve JavaScript cheat-sheets? Vgl.: http://htmlcheatsheet.com/js/
Het gebruik van Snyk beperkt zich tenslotte tot de ingegeven regels. Of kan het ook een beter coderingsinzicht bewerkstelligen. Discussie op Strack-Overflow volg ik geregeld.

Script blokkering vooral van 3rd party script die aflopen op het hoofddomein,
kan effectief zijn, maar de uitvoering op de client is afhankelijk van de relevante kennis van de eindgebruiker
en die ontbreekt bij heel veel gebruikers helaas of is onvoldoende aangeleerd.. (NoScript, uMatrix) .

Nog een andere benadering is script laten runnen binnen een browser sandbox of VM,
die na een sessie leeg gekieperd kan worden.

Nemen we het voorbeeld hier:
Alle JavaScript anomaliteiten, potentiele en werkelijke kwetsbaarheden en kwaadaardigheid
moeten we vaststellen in relatie tot de omgeving, in engere zin hier bootstrap en de ruimnere omgeving,
waarin dit veilig of minder veilig is.


Wie geeft hier de te behandelen wegen aan. Moeten we blijven morrelen aan de interne code veiligheid
of code onveiligheid van de gebruikte JavaScript code?
Daar waar deze bijvoorbeeld wringt met HTML of anderszins errors veroorzaakt,
of moeten we JavaScript beveiligen op het niveau van
o.a. SSL, HTST-ssl, security headers, SRI, etc. , cookie beveiliging, clickjacking protectie etc.?

Als website fouten jager en website security analist ben ik ten zeerste hierin geïnteresseerd
en hoor ik graag goede ideeen.

luntrus

Het enthousiasme met zakken verbeteren zou een positieve insteek zijn. Het is het enthousiasme met wij hebben gelijk en Windows is het kwaad dat besteden moet worden.
Je hoeft enkel het begin van deze draad door te lopen.
Als er weerwoord komt dat het niet klopt worden de reacties van kwaad tot erger. Je preek kun je voor die linux "supporters" houden. Om te proberen het tegengeluid te stoppen dat heeft een naam ... .

Die absurditeit met het in de praktijk vervelende gebrek aan informatieveiligheid juist met big data en gevoelige gegevens is een absurde situatie. Die samen willen verbeteren leeft niet als je in doosjes opgesloten blijft. Erger zonder tegengeluid wordt aangenomen dat zoiets normaal is en veranderd er zeker niets.
Het is geen absurd argument.

Een verwijzing naar een f1 circus is niet op zijn plaats als we een transportdienst met massavervoer doen. Een fyra zal door max verstappen en Bull ook geen succes worden.

Bij asp pages kun je ook script injecties voorkomen door HTML coderen, dit liever nog dan de methode van serverside HTML encoding. Injecties scripts kunnen nog wel worden geplaatst, alleen wordt het script niet meer uitgevoerd.

Als de website developers dus netjes waar script injecties kunnen plaatsvinden dit met behulp van HTML handler encode
beveiligen, is er al heel wat gewonnen. Voor < =&lt en > is &gt bij voorbeeld. Aanval gemitigeerd komma punt uit..

luntrus

Met ml microsoft zit je vermoedelijk met een model waarbij deze omgeving gebruikt is: https://docs.microsoft.com/en-us/machine-learning-server/what-is-machine-learning-server Let even op de revo aanduidingen. Ooit is revolution analytics door ms opgekocht.

Een model als eindresultaat is niet veel meer dan een formule die een kans opleverd (geen binaire waarde) uit een aantal variabelen. Met de aanname dat het om een model losgelaten op een mail is. Neem iets wat luntrus gebruikt.
Een aantal beschrijvende eigenschappen.
Bijvoorbeeld de grootste 10 scripts 5 attachments naam bron herkomst type opmaak en wat je verder allemaal nog kan herleiden en wat mogelijk zinvol was.
Uit een grote massa praktijkvoorbeelden met een bekende uitkomst krijg je een indicatie over nieuwe gevallen.
Een signature herkenning vind niet plaats het gaat om een bepaalde structuren en werkwijzen.

Bij de onderzoeksfase welke gegevens relevant zijn heb je de leuke beschrijvende gevallen over bijvoorbeeld wat voor type bestanden vaak gebruikt worden. Die informatie geeft aan dat dat naar het model door gerold is.

https://cloudblogs.microsoft.com/microsoftsecure/2017/12/04/windows-defender-atp-machine-learning-and-amsi-unearthing-script-based-attacks-that-live-off-the-land/Beschrijft bronnen voor het model. Geen statische source analyse maar informatie uit geactiveerde interfaces.De jscript vbscript engine levert de data. Als niet elke interface data afleverd is er meteen een bias in de beschrijving van gebruikte interfaces.

Het hele verhaal krijgt meer houvast in het data science jargon. met https://cloudblogs.microsoft.com/microsoftsecure/2018/05/10/enhancing-office-365-advanced-threat-protection-with-detonation-based-heuristics-and-machine-learning/
Het is nu een generiek verhaal.

Wat ik niet zie is een uitwerking per land en de mogelijkheid eigen data modellen (doelgroep grote organisaties) op te nemen.
Weliswaar in het Windows os gebeuren maar je kan het zo porten naar andere machine omgevingen.
Qradar is ids dan w ed Fireeye zitten op andere delen.

De aanpak is een echt andere dan die van singatures of d es bekends stommiteiten van open services vaste users/wachtwoorden documenteren van geheim bedoelde sleutels.

Nee? Je bent er zo eentje die bij elk afleidend reclameverhaal over een niet ter zake doende zoemwoord toepassing overstag gaat. Als Microsoft er maar bij betrokken is nietwaar? Nou, ik heb nieuws voor je:tijdige en goede beveiligingsupdates voor Windows uitbrengen en ontwerpfouten als dubbele extensies en Windows Script Host verbeteren is alles wat Microsoft zou moeten doen! Natuurlijk willen ze geld gaan verdienen met machine learning toepassingen.

Microsoft Build goes gaga for AI
https://www.zdnet.com/article/at-microsoft-build-ai-azure-machine-learning-and-cosmos-db-go-big/

Echter dat is niet in het belang van de Windows gebruiker!


Waar heb je het over nitwit.