Website ontwikkelaars klagen over Microsoft patch
Verschillende website ontwikkelaars zijn niet blij met de patch die Microsoft onlangs online zette. De patch moet zwendelpraktijken voorkomen, maar zorgt er ook voor dat sommige applicaties, waar security niet belangrijk is, niet goed meer werken. "Microsoft mag dan legitieme redenen hebben om dit probleem te verhelpen, maar de manier waarop ze het gedaan hebben, door een industrie standaard zomaar uit te schakelen, is zeer vervelend," zo laat James Rosko, software programmeur, in dit artikel weten. Hij en andere programmeurs moesten vanwege de patch allerlei veranderingen aan websites doorbrengen. Microsoft reageerde door te zeggen dat ze het grote publiek hebben gegeven wat het wilde, namelijk meer veiligheid. Rosko erkent dat het niet slim is om een gebruikersnaam en wachtwoord in een URL te verwerken, maar onderstreept dat sommige applicaties geen security nodig hebben.
Reacties (22)
Door Anoniem
Jantje klaagt, Jantje klaagt...
Ja, en logisch: wederom een eenzijdig door MicrosoftJantje klaagt, Jantje klaagt...
uitgerangeerde standaard rfc onderdeel. Dit geintje kost
bedrijven over de hele wereld behoorlijk veel geld aan
reparatie en aanpas kosten. Dat is meer dan alleen
vervelend. Bewijst maar weer eens dat Microsoft geen enkel
oog heeft voor de buitenwereld en zelf denkt de beste
beslissingen te nemen die de rest maar moet volgen.
Gelukkig is er een oplossing:
[HKEY LOCAL MACHINESOFTWAREMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE]
"iexplore.exe"=dword:00000000
"explorer.exe"=dword:00000000
Maar wie kan er nu van de bezoekers en gebruikers verwachten
dat ze dit zelf maar gaan veranderen? Het had beter opgelost
kunnen worden met een waarschuwingbox en een keuze dat de
gebruiker dit via de internetopties kan instellen. Pruts werk.
Lijkt me duidelijk dat MS eerst een andere oplossing had (waar ze HEEL erg
lang over hebben gedaan), maar tijdens het testen bleek die patch niet te
werken. Om de wereld niet NOG langer te laten wachten slopen ze de
functionaliteit er maar uit...
ja, zo kan ik het ook.
lang over hebben gedaan), maar tijdens het testen bleek die patch niet te
werken. Om de wereld niet NOG langer te laten wachten slopen ze de
functionaliteit er maar uit...
ja, zo kan ik het ook.
Het verwijderen van de user:password@ funtie was helemaal niet nodig geweest
om het probleem op te lossen. Het enkel bannen van %00 en %01 karakters uit
een url was voldoende gewees. Daarnaat hadden ze een waarschuwings venster
kunnen tonen als zoals je dat bv krijgt door deze link aan te klikken als er een
verschil in doelsite wordt geconstateerd: javascript:alert("De werkelijke URL is:tt" + location.protocol + "//" + location.hostname + "/" + "nDe adres-URL is:tt" + location.href + "n" + "nAls de servernamen niet overeenkomen, kan dit een vervalste site zijn.");
om het probleem op te lossen. Het enkel bannen van %00 en %01 karakters uit
een url was voldoende gewees. Daarnaat hadden ze een waarschuwings venster
kunnen tonen als zoals je dat bv krijgt door deze link aan te klikken als er een
verschil in doelsite wordt geconstateerd: javascript:alert("De werkelijke URL is:tt" + location.protocol + "//" + location.hostname + "/" + "nDe adres-URL is:tt" + location.href + "n" + "nAls de servernamen niet overeenkomen, kan dit een vervalste site zijn.");
javascript:alert("De werkelijke URL is:tt" + location.protocol + "//" +
location.hostname + "/" + "nDe adres-URL is:tt" + location.href + "n" + "nAls de
servernamen niet overeenkomen, kan dit een vervalste site zijn.");
location.hostname + "/" + "nDe adres-URL is:tt" + location.href + "n" + "nAls de
servernamen niet overeenkomen, kan dit een vervalste site zijn.");
hmm de link wordt vervormd door board. Als je de bovenstaande quote tekst in
een snelkoppeling op je koppelingen balk plaatst werkt het prima.
Door Anoniem
<knip>
Door Anoniem
Jantje klaagt, Jantje klaagt...
Ja, en logischJantje klaagt, Jantje klaagt...
<knip>
Ben benieuwd of de anonieme poster van de eerste posting nog iets zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
Ik lees hier werkelijk nooit wat over hoe bedrijven hun beveiliging zouden moeten
organiseren binnen de realiteit van deze MS-wereld. Er wordt hier alleen maar
geschopt tegen MS en er worden suggesties geopperd hoe ze het allemaal wel
niet beter hadden kunnen doen. Heeft iemand Uberhaupt iets aan dit gelul, los
van het gevoel dat we lekker met z'n allen aan het kankeren zijn? Praat liever over
hoe je als organisatie het beste om zou kunnen gaan met de bestaande
problemen. Maar ja, dat is een stuk lastiger natuurlijk.
Jeroen
organiseren binnen de realiteit van deze MS-wereld. Er wordt hier alleen maar
geschopt tegen MS en er worden suggesties geopperd hoe ze het allemaal wel
niet beter hadden kunnen doen. Heeft iemand Uberhaupt iets aan dit gelul, los
van het gevoel dat we lekker met z'n allen aan het kankeren zijn? Praat liever over
hoe je als organisatie het beste om zou kunnen gaan met de bestaande
problemen. Maar ja, dat is een stuk lastiger natuurlijk.
Jeroen
Sorry hoor jeroen maar hier valt niets meer op te lossen voor bedrijven.
Dat heeft MS al gedaan door een standaard weg te gooien.
Het enige dat bedrijven zelf nog kunnen doen is een workaround vinden voor het
probleem dat nu door MS is gecreerd.
Dat er volgens you 'alleen maar geschopt wordt tegen MS' komt omdat er
tussen MS en de rest van de wereld nauwelijks overleg plaats vindt. En dat ligt niet
aan de rest van de wereld.
Natuurlijk komen er ook een hoop mooie dingen bij MS vandaan. Maar helaas
zelden zonder fouten.
Dat heeft MS al gedaan door een standaard weg te gooien.
Het enige dat bedrijven zelf nog kunnen doen is een workaround vinden voor het
probleem dat nu door MS is gecreerd.
Dat er volgens you 'alleen maar geschopt wordt tegen MS' komt omdat er
tussen MS en de rest van de wereld nauwelijks overleg plaats vindt. En dat ligt niet
aan de rest van de wereld.
Natuurlijk komen er ook een hoop mooie dingen bij MS vandaan. Maar helaas
zelden zonder fouten.
Er is een veel makkelijkere oplossing die microsoft kan
doen om dit hele probleem te voorkomen. Het probleem is
namelijk dat de username/password die in de url opgenomen
kan worden misbruikt wordt om mensen te laten denken dat ze
op een andere url zijn dan dat ze zijn.
Als microsoft gewoon de username/password voor de gui
interface niet in de url stopt maar in 2 losse invul velden
(kan password ook nog afgeschermd worden voor meekijkers)
dan ziet de gebruiker altijd de "echte" url in de adres balk.
Het enige wat voor deze oplossing gedaan hoeft te worden bij
url parsering username/password eruit te halen en in die
apparte boxjes zetten. En bij uitvoering van http protocol
deze weer terug te zetten.
doen om dit hele probleem te voorkomen. Het probleem is
namelijk dat de username/password die in de url opgenomen
kan worden misbruikt wordt om mensen te laten denken dat ze
op een andere url zijn dan dat ze zijn.
Als microsoft gewoon de username/password voor de gui
interface niet in de url stopt maar in 2 losse invul velden
(kan password ook nog afgeschermd worden voor meekijkers)
dan ziet de gebruiker altijd de "echte" url in de adres balk.
Het enige wat voor deze oplossing gedaan hoeft te worden bij
url parsering username/password eruit te halen en in die
apparte boxjes zetten. En bij uitvoering van http protocol
deze weer terug te zetten.
Door Anoniem
uitgerangeerde standaard rfc onderdeel.
<knip rant>
Pruts werk.
Door Anoniem
Jantje klaagt, Jantje klaagt...
Ja, en logisch: wederom een eenzijdig door MicrosoftJantje klaagt, Jantje klaagt...
uitgerangeerde standaard rfc onderdeel.
<knip rant>
Pruts werk.
Het is geen RFC-onderdeel. Hierdoor houdt Microsoft
zich zelfs beter aan de standaard, zie bijvoorbeeld: de
URI-spec van W3 (waar geen mogelijkheid voor
username/password in http-adressen wordt gegeven)
http://www.w3.org/Addressing/URL/uri-spec.html.
Of zie RFC 1738:
An HTTP URL takes the form:
http://<host>:<port>/<path>?<searchpart>
where and are as described in Section 3.1. If :<port>
is omitted, the port defaults to 80. No user name or
password is
allowed.
Kortom, je opmerking raakt kant noch wal.
Ben benieuwd of de anonieme poster van de eerste posting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
gelukkig heb JIJ ook een uitermate inhoudsvolle reactie geplaatst. pot verwijt zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een oplossing voor
een simpel probleempje, en dan nog komen ze niet met een goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar niet goed.
Door Anoniem
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een oplossing voor
een simpel probleempje, en dan nog komen ze niet met een goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar niet goed.
Ben benieuwd of de anonieme poster van de eerste posting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
gelukkig heb JIJ ook een uitermate inhoudsvolle reactie geplaatst. pot verwijt zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een oplossing voor
een simpel probleempje, en dan nog komen ze niet met een goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar niet goed.
Hoe zorgen jullie er nou voor dat je je bedrijfsnetwerk toch veilig houdt ondanks
alle problemen die Microsoft veroorzaakt? Daar gaat het toch om? Het is toch
volkomen zinloos om hier te klagen over MS terwijl wij er geen reet aan kunnen
veranderen hier.
Hoe houden jullie je systemen up to date qua patching? Testen jullie patches
voordat je ze installeert? Wat als een patch instabiliteit veroorzaakt? Hou
bescherm je jezelf tegen de 'domme' gebruikers van je bedrijfsnetwerk?
Jeroen
Jeroen
Jeroen,
Vooral via bronnen als Intranet je gebruikers up-to date houden en uiteleg van
bepaalde zaken geven. Ja natuurlijk testen we alle patches voor we ze uitrollen
(SMS). Door met GPO's te werken en zoveel mogelijk dat af te schermen wat
gewone gebruikers niet nodig hebben kan je je al een aardig eindje
tegen 'domme ' gebruikers beschermen. Voorts je hele internet ontsluiting
meerlaags te beveiligen..ISA proxy en firewall van een niet nader te noemen grote
speler...Intrusion Detection....Geen open NAT van binnen naar buiten...geen P2P
of MSN programma's / protocollen toestaan...puf puf...ga zo verder.
Bas
Vooral via bronnen als Intranet je gebruikers up-to date houden en uiteleg van
bepaalde zaken geven. Ja natuurlijk testen we alle patches voor we ze uitrollen
(SMS). Door met GPO's te werken en zoveel mogelijk dat af te schermen wat
gewone gebruikers niet nodig hebben kan je je al een aardig eindje
tegen 'domme ' gebruikers beschermen. Voorts je hele internet ontsluiting
meerlaags te beveiligen..ISA proxy en firewall van een niet nader te noemen grote
speler...Intrusion Detection....Geen open NAT van binnen naar buiten...geen P2P
of MSN programma's / protocollen toestaan...puf puf...ga zo verder.
Bas
Door Anoniem
Jeroen,
Vooral via bronnen als Intranet je gebruikers up-to date houden en uiteleg van
bepaalde zaken geven. Ja natuurlijk testen we alle patches voor we ze uitrollen
(SMS). Door met GPO's te werken en zoveel mogelijk dat af te schermen wat
gewone gebruikers niet nodig hebben kan je je al een aardig eindje
tegen 'domme ' gebruikers beschermen. Voorts je hele internet ontsluiting
meerlaags te beveiligen..ISA proxy en firewall van een niet nader te noemen grote
speler...Intrusion Detection....Geen open NAT van binnen naar buiten...geen P2P
of MSN programma's / protocollen toestaan...puf puf...ga zo verder.
Bas
Jeroen,
Vooral via bronnen als Intranet je gebruikers up-to date houden en uiteleg van
bepaalde zaken geven. Ja natuurlijk testen we alle patches voor we ze uitrollen
(SMS). Door met GPO's te werken en zoveel mogelijk dat af te schermen wat
gewone gebruikers niet nodig hebben kan je je al een aardig eindje
tegen 'domme ' gebruikers beschermen. Voorts je hele internet ontsluiting
meerlaags te beveiligen..ISA proxy en firewall van een niet nader te noemen grote
speler...Intrusion Detection....Geen open NAT van binnen naar buiten...geen P2P
of MSN programma's / protocollen toestaan...puf puf...ga zo verder.
Bas
Bas,
Ik weet dit wel. Mijn punt is alleen dat het hier op dit forum er nooit over gaat. Dat
bedoel ik met inhoudsloos. Volgende issue:
Je hebt 50 servers staan. Verschillende configuraties (groot bedrijf). Nu nog
steeds alle patches testen? Hoe dan? Ben je wel ff mee bezig. En hoe bescherm
je jezelf in je ongepatchte periode? Ik zie je geen content scanning noemen, URL
filtering, Intrusion Prevention...
Het is geen RFC-onderdeel. Hierdoor houdt Microsoft zich zelfs beter aan
de standaard, zie bijvoorbeeld: de URI-spec van W3 (waar geen mogelijkheid voor
username/password in http-adressen wordt gegeven)
http://www.w3.org/Addressing/URL/uri-spec.html. [/quite]
Huh ??
Kijk nog een goed op de link die je zelf al geeft. Daar staat toch echt :
login
[ user [ : password ] @ ] hostport
hostport
host [ : port ]
host
hostname | hostnumber
de standaard, zie bijvoorbeeld: de URI-spec van W3 (waar geen mogelijkheid voor
username/password in http-adressen wordt gegeven)
http://www.w3.org/Addressing/URL/uri-spec.html. [/quite]
Huh ??
Kijk nog een goed op de link die je zelf al geeft. Daar staat toch echt :
login
[ user [ : password ] @ ] hostport
hostport
host [ : port ]
host
hostname | hostnumber
Door Anoniem
Hoe zorgen jullie er nou voor dat je je bedrijfsnetwerk toch
veilig houdt ondanks
alle problemen die Microsoft veroorzaakt? Daar gaat het toch
om? Het is toch
volkomen zinloos om hier te klagen over MS terwijl wij er
geen reet aan kunnen
veranderen hier.
Hoe houden jullie je systemen up to date qua patching?
Testen jullie patches
voordat je ze installeert? Wat als een patch instabiliteit
veroorzaakt? Hou
bescherm je jezelf tegen de 'domme' gebruikers van je
bedrijfsnetwerk?
Jeroen
Jeroen
Door Anoniem
geplaatst. pot verwijt
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt
doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een
oplossing voor
een simpel probleempje, en dan nog komen ze niet met een
goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch
het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar
niet goed.
Ben benieuwd of de anonieme poster van de eerste
posting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal
inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op
gereageerd wordt.
gelukkig heb JIJ ook een uitermate inhoudsvolle reactieposting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal
inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op
gereageerd wordt.
geplaatst. pot verwijt
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt
doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een
oplossing voor
een simpel probleempje, en dan nog komen ze niet met een
goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch
het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar
niet goed.
Hoe zorgen jullie er nou voor dat je je bedrijfsnetwerk toch
veilig houdt ondanks
alle problemen die Microsoft veroorzaakt? Daar gaat het toch
om? Het is toch
volkomen zinloos om hier te klagen over MS terwijl wij er
geen reet aan kunnen
veranderen hier.
Hoe houden jullie je systemen up to date qua patching?
Testen jullie patches
voordat je ze installeert? Wat als een patch instabiliteit
veroorzaakt? Hou
bescherm je jezelf tegen de 'domme' gebruikers van je
bedrijfsnetwerk?
Jeroen
Jeroen
Jeroen,
Mijn bedrijfsnetwerk heeft geen domme gebruikers, hoewel
iedereen uiteraard wel eens een vergissing kan maken.
Door Anoniem
de ketel...
<knip>
Ben benieuwd of de anonieme poster van de eerste posting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
gelukkig heb JIJ ook een uitermate inhoudsvolle reactie geplaatst. pot verwijt zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op gereageerd wordt.
de ketel...
<knip>
Ik zal er in het vervolg aan denken.
Door Anoniem
Jeroen,
Mijn bedrijfsnetwerk heeft geen domme gebruikers, hoewel
iedereen uiteraard wel eens een vergissing kan maken.
Door Anoniem
Hoe zorgen jullie er nou voor dat je je bedrijfsnetwerk toch
veilig houdt ondanks
alle problemen die Microsoft veroorzaakt? Daar gaat het toch
om? Het is toch
volkomen zinloos om hier te klagen over MS terwijl wij er
geen reet aan kunnen
veranderen hier.
Hoe houden jullie je systemen up to date qua patching?
Testen jullie patches
voordat je ze installeert? Wat als een patch instabiliteit
veroorzaakt? Hou
bescherm je jezelf tegen de 'domme' gebruikers van je
bedrijfsnetwerk?
Jeroen
Jeroen
Door Anoniem
geplaatst. pot verwijt
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt
doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een
oplossing voor
een simpel probleempje, en dan nog komen ze niet met een
goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch
het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar
niet goed.
Ben benieuwd of de anonieme poster van de eerste
posting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal
inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op
gereageerd wordt.
gelukkig heb JIJ ook een uitermate inhoudsvolle reactieposting nog iets
zinnigs heeft
te zeggen over de reactie erop. "Jantje klaagt" is nogal
inhoudsloos. Wat dat
betreft vind ik het wel weer knap dat er dan zinnig op
gereageerd wordt.
geplaatst. pot verwijt
de ketel...
on topic, de reden dat MS steeds weer wordt aangevallen komt
doordat ze bij
deze vulnerability 2 maanden (!) bezig zijn geweest aan een
oplossing voor
een simpel probleempje, en dan nog komen ze niet met een
goede patch.
vraag me af hoe lang het gaat duren totdat ze met een patch
het versturen
van attachements gaan stoppen, want dat krijgen ze ook maar
niet goed.
Hoe zorgen jullie er nou voor dat je je bedrijfsnetwerk toch
veilig houdt ondanks
alle problemen die Microsoft veroorzaakt? Daar gaat het toch
om? Het is toch
volkomen zinloos om hier te klagen over MS terwijl wij er
geen reet aan kunnen
veranderen hier.
Hoe houden jullie je systemen up to date qua patching?
Testen jullie patches
voordat je ze installeert? Wat als een patch instabiliteit
veroorzaakt? Hou
bescherm je jezelf tegen de 'domme' gebruikers van je
bedrijfsnetwerk?
Jeroen
Jeroen
Jeroen,
Mijn bedrijfsnetwerk heeft geen domme gebruikers, hoewel
iedereen uiteraard wel eens een vergissing kan maken.
Hoe heb je ze dan slim gemaakt?
Eindelijk een slimme actie van Microsoft.
Als in sommige situaties security niet belangrijk is, waarom gebruik je dan
een userID en password in de URL ??
Volgens mij is security altijd belangrijk. Zelfs op een intranet site.
De web ontwikkelaars moeten niet zeuren. Gewoon goed ontwikkelen, dan
is er niets aan de hand.
Arjan
Als in sommige situaties security niet belangrijk is, waarom gebruik je dan
een userID en password in de URL ??
Volgens mij is security altijd belangrijk. Zelfs op een intranet site.
De web ontwikkelaars moeten niet zeuren. Gewoon goed ontwikkelen, dan
is er niets aan de hand.
Arjan
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
