image

Microsoft: Spoofing in IE is geen security lek

woensdag 3 november 2004, 12:41 door Redactie, 7 reacties

Vorige week verscheen het bericht dat er een spoofing lek in Internet Explorer ontdekt was. Volgens Microsoft is dit echer helemaal geen lek. Een woordvoerder van de softwaregigant liet weten: "Microsoft is op de hoogte van het security probleem dat vorige week bekend gemaakt werd, waardoor de URL die een gebruiker in de statusbalk ziet gespoofed kan worden. Gebruikers kunnen een URL in de statusbalk zien als de muis over een link op een webpagina wordt gehouden, maar klikt men op de link, dan gaat men naar een andere URL toe. Ons onderzoek heeft aangetoond dat dit echter geen security lek is". (Zdnet.

Reacties (7)
03-11-2004, 14:03 door Anoniem
Nee, het is een feature :S
03-11-2004, 15:50 door Anoniem
Ik vind de reactie van MS slap en ondoordacht en weglopen
voor verantwoordelijkheid. De enige reden die ze geven dat
het geen security probleem is is omdat hun onderzoek heeft
aangetoont dat zelfs als het toegepast zou worden het niet
door de gebruikers opgevat wordt als een link naar een site.
Gebruikers zouden wel weten dat de statusbalk te manipuleren
is en er dus niet op vertrouwd kan worden. MS gebruikt dus
zn eigen fouten om het goed te praten.
03-11-2004, 16:26 door Anoniem
ik herhaal maar weer: WAAROM WORDEN DIE LUI NOG SERIEUS GENOMEN
03-11-2004, 16:55 door SirDice
Door Anoniem
Nee, het is een feature :S
Yep. "By design" waarschijnlijk ook nog eens...

Aan de andere kant....je kan deze "truuk" ook simpel doen met onmouseover="window.status....." enzo. Dat status venster kan van alles bevatten. Als je javascript uitzet dan werkt deze truuk niet maar die van vorige week wel want die heeft geen javascript nodig.
04-11-2004, 12:05 door Wouter van Vliet
Aan de andere kant....je kan deze "truuk" ook simpel
doen met onmouseover="window.status....." enzo. Dat status
venster kan van alles bevatten. Als je javascript uitzet dan
werkt deze truuk niet maar die van vorige week wel want die
heeft geen javascript nodig.
Ja, maar het grote verschil tussen die manier en het twee
keer gebruiken van het href attribuut is dat je zulke
javascript acties kan uitschakelen, zoals mijn voorganger al schreef. Is naar mijn idee het verschil tussen "by design" en een onvolkomenheid (aka bug).

Anyway, wat IE zou moeten doen (en iedere andere browser
ook) is heel hard een foutmelding op de plaats van de link
zetten. Het is immers niet toegestaan, volgens de specs van
W3C (http://www.w3.org/TR/REC-html40/sgml/dtd.html)

Zou het ver gaan te vragen om bij invalid (X)HTML de hele
pagina te laten bouncen?
04-11-2004, 13:01 door SirDice
Een extra (security) switch zou wel mooi zijn. Zodat je de keuze kan maken
tussen strict of transitional html, zou dat wat zijn?
04-11-2004, 20:53 door Anoniem
Een feature, een security bug, etc. etc. Verzin een leuke benaming.

Hadden die onderzoekers soms str*nt in hun ogen??? Of hebben ze er
een kleuterklas er naar laten kijken.

Ik vind het echt te gek voor worden dat Microsoft het nu gaat weerleggen. Ik
vraag me af of ze niets beters te doen hebben dan dit soort persberichten
de wereld in de schoppen. Laten ze eens een aantal echte en
onafhankelijke ervaren gasten naar kijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.