image

Internet Explorer overtreft andere browsers

woensdag 20 oktober 2004, 10:26 door Redactie, 24 reacties

Internet Explorer heeft de laatste tijd veel kritiek vanuit de security gemeenschap gekregen. De browser van Microsoft zou spyware in de hand werken en door allerlei lekken ook nog eens gevaarlijk zijn om te gebruiken. Een onderzoek van Michal Zalewski naar mogelijk exploitbare lekken en DoS condities in verschillende populaire browsers, laat echter zien dat Internet Explorer als beste uit de bus komt. De andere browser blijken namelijk allemaal te crashen wanneer ze foutieve basis html-code te verwerken krijgen. (Slashdot)

Reacties (24)
20-10-2004, 10:43 door bork
Dit heeft niks met overtreven te maken. Het gaat namelijk om
een zeer beperkte test met zeer weinig browsers, niet alle
browsers zijn getest. Verder zijn er ook geen onderzoeken
gedaan naar bijvoorbeeld de werking van javascript,active-x
etc etc etc. Puur en alleen foutieve html code. Dus de kop
van dit artikel slaat als een tang op een varken.
20-10-2004, 10:48 door Anoniem
IE overtreft andere browsers op de punten die getest zijn.
De titel klopt dus gewoon als een bus!
20-10-2004, 10:49 door Anoniem
de HTML-PARSER van IE overtreft mischien de rest, maar in
effectief gebruik moettie toch compleet het onderspit delven . .
20-10-2004, 10:53 door Anoniem
OOk die "modelijk exploitbare lekken en DoS condities" is
schromelijk overdreven. Hij heeft foutieve HTML in browsers
gepropt, niets meer en niet minder.

Mooi "onderzoek".
20-10-2004, 11:00 door Anoniem
De basis van hacken komt natuurlijk wel uit dit soort fouten. En ik heb het
wel eens vaker gezegd ie wordt veel gebruikt dus veel getest en daardoor
minder fouten. De rest wordt niet zoveel gebruikt. Het probleem zit er alleen
in dat als er een fout in ee M$ product zit dat iedereen erbovenop springt.
20-10-2004, 11:19 door Anoniem
Dat IE slechte html schrijvers een handje helpt is algemeen bekend. Dit
wil echter niet zeggen dat het hiermee een goede browser is. Integendeel
naar mijn mening.
20-10-2004, 11:23 door G-Force
Klein vraagje: is het ondezoek van M.Zalewsky wel onafhankelijk?
20-10-2004, 11:26 door Walter
Door Anoniem
OOk die "modelijk exploitbare lekken en DoS condities" is
schromelijk overdreven. Hij heeft foutieve HTML in browsers
gepropt, niets meer en niet minder.

Mooi "onderzoek".

En juist IE heeft de minste moeite met het verwerken van
foutieve HTML code. omdat ze zich niet aan de standaarden
houden. En jah, dan is IE wel het beste, omdat de pagina nog
wel wordt weergegeven. Bij Firefox of opera gaat het dan al
heel anders......
20-10-2004, 11:36 door Sebastian
Sindskort is de *afhandeling* van MSIE kennelijk beter van
foutieve HTMLcode maar heb je het daar dan ook mee gezegt.
De welbekende gebrekige *ondersteuning* van technologiën is de
keerzijde van MSIE's medaille, waar andere aanzienlijk veel
jongere browsers overtreffend presteren.
Tevens is niet aangetoond dat in geval van een crash door
foutieve HTML er gegevens lekken danwel een mogelijkheid tot
compromitatie ontstaat. Bovendien, zo'n site met foutieve
code wordt dan toch niet meer bezocht. Het risiko is
minimaal dat je op zoiets stuit, tenzij het 'genre' site's
er naar is :)

<HTML>
<HEAD>
<MARQUEE>
<TABLE>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<MARQUEE HEIGHT=100000000>
<TBODY>
Attack of the marquees!
20-10-2004, 11:37 door Anoniem
Sinds wanneer is een browser slecht als deze foutieve code niet kan
verwerken ? En ik heb persoonlijk liever dat mijn browser "crashed"
en door het OS "gekilled" wordt dan dat deze mogelijk als "open
deur" gaat werken.

Vreemd onderzoek me dunkt.
20-10-2004, 12:00 door Sebastian
Door P.G.Verhoeven
Klein vraagje: is het ondezoek van M.Zalewsky wel
onafhankelijk?
Is dat relevant? Nee, dit is bruikbare informatie voor
betreffende ontwikkelaars.
Als je een gedraging tegen komt die niet wenselijk is, moet
je dat juist laten weten.
20-10-2004, 12:06 door Anoniem
ach selectieve tests om de een slechter uit de verf te laten
komen dan de ander, probeer
http://www.diplo.nildram.co.uk/crashie.html eens met je IE.
Die crasht gewoon keihard op valide html...
20-10-2004, 12:43 door Anoniem
Misschien moet je je IE eens updaten. De mijne crasht er
niet op.
20-10-2004, 12:44 door Sebastian
Door Anoniem
ach selectieve tests om de een slechter uit de verf te laten
komen dan de ander, probeer
http://www.diplo.nildram.co.uk/crashie.html eens
met je IE.
Die crasht gewoon keihard op valide html...
*LOL* Da's een ander verhaal dat MSIE wel crasht bij valid
code, daar de *ondersteuning* van technologiën gebrekig is.
Het ging er bij deze test nadrukkelijk om dat MSIE *foute*
HTMLcode *correct* afhandelt of denk ik te abstract? :)

<!DOCTYPE html PUBLIC "-//W3C//DTD html 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>ie6 crash on hover</title>
<style type="text/css">
a:hover { background-color:#f90; }
div.header { float:right; }
div.nav { float:left; width:100%; }
div.flybox { float:left; width:250px; }
</style>
</head>
<body>
<div></div>
<div class="header"></div>
<!-- if this comment is removed, ie does not crash -->
<div class="nav"></div>
<div><a href="">crash on hover</a></div>
<div><div class="flybox"></div></div>
</body>
</html>
20-10-2004, 12:45 door Anoniem
Door Anoniem
Sinds wanneer is een browser slecht als deze foutieve code
niet kan
verwerken ?

zoals hierboven al eens gezegd: dit is de basis van veel
exploits: die bevatten expres foutieve code.
Goede software checkt de geleverde input op fouten, en
reageert hierop met een foutmelding die de gebruiker vertelt
wat er aan de hand is, zonder informatie prijs te geven over
het eigen systeem.
crashen is een riskante vorm van foutafhandeling.
20-10-2004, 13:31 door Adam
Door Anoniem
dit is de basis van veel exploits: die bevatten expres
foutieve code.
De exploits bevatten geen fouten, de software bevat fouten
die de exploit gebruikt om zijn ding te doen.
20-10-2004, 13:40 door Anoniem
Ben blij dat ik niet crash bij het verwerken van foutieve NL-code. Dan kostte
het me bijna een dag om een thread te lezen!
Overigens gebruik ik al jaren IE en ik heb die andere meuk geprobeerd
maar dat is echt he-le-maal niks. Microsoft heerscht!
20-10-2004, 15:25 door Anoniem
http://lcamtuf.coredump.cx/mangleme/gallery/
Staat die code dan.

*Whatever* is mijn antwoord. Ik open die zooi in Mozilla en
er is niets aan de hand. Hij kapt gewoon met laden en geeft
het op ofzo, maar alles blijft gewoon functioneren. Kwestie
van die tab sluiten as usual en that's all.

En dat Lynx in een loop blijft gaan hoeft echt geen bug te
zijn. Het crashed dus niet!

Lijkt me een beetje lulkoek allemaal als ik het zo zie.
En besides, als hij echt "zo goed" gezocht heeft had hij
echt wel dingen gevonden waardoor IE crashed. Daar hoef ik
niet eens moeite voor te doen, lukt met normaal gebruik al
snel genoeg.

Maar goed, dat iedereen hier weer aan het flamen is zonder
ff met Mozilla die pagina te openen en te zien dat die hele
test 100% subjectief is gaat wel ver.
20-10-2004, 16:18 door Anoniem
Door Anoniem
http://lcamtuf.coredump.cx/mangleme/gallery/
Staat die code dan.

*Whatever* is mijn antwoord. Ik open die zooi in Mozilla en
er is niets aan de hand. Hij kapt gewoon met laden en geeft
het op ofzo, maar alles blijft gewoon functioneren. Kwestie
van die tab sluiten as usual en that's all.
Mijn firefox 1.0 PR crasht op alle 3 die sides:
http://lcamtuf.coredump.cx/mangleme/gallery/mozilla_die1.html
http://lcamtuf.coredump.cx/mangleme/gallery/mozilla_die2.html
http://lcamtuf.coredump.cx/mangleme/gallery/mozilla_die3.html

En dat Lynx in een loop blijft gaan hoeft echt geen bug te
zijn. Het crashed dus niet!
lynx blijft bij mij toch volledig hangen, hoor.

links crasht helemaal en dumpt zelfs een backtrace:
$ links
http://lcamtuf.coredump.cx/mangleme/gallery/links_die1.html
ERROR at memory.c:26: Out of memory (calloc returned NULL):
retry #1, I still exercise my patience and retry tirelessly.

ERROR at memory.c:26: Out of memory (calloc returned NULL):
retry #2, I still exercise my patience and retry tirelessly.

ERROR at memory.c:38: Out of memory (calloc returned NULL)
after 3 tries, I give up and try to continue. Pray for me,
please.
20-10-2004, 16:39 door Anoniem
Door Anoniem
http://lcamtuf.coredump.cx/mangleme/gallery/
Staat die code dan.

*Whatever* is mijn antwoord. Ik open die zooi in Mozilla en
er is niets aan de hand. Hij kapt gewoon met laden en geeft
het op ofzo, maar alles blijft gewoon functioneren. Kwestie
van die tab sluiten as usual en that's all.
Raar, de Mozilla ontwikkelaars zijn er volop patches voor
aan het maken.
https://bugzilla.mozilla.org/show_bug.cgi?id=264956
https://bugzilla.mozilla.org/show_bug.cgi?id=264944
...

En dat Lynx in een loop blijft gaan hoeft echt geen bug te
zijn. Het crashed dus niet!
Al eens met ``top'' bekeken hoeveel CPU en geheugen lynx
verbruikt na die URL geladen te hebben? Als dit toch geen
bug is, waarom hebben de lynx developers dan een patch gemaakt?
http://lists.gnu.org/archive/html/lynx-dev/2004-10/msg00079.html
20-10-2004, 16:42 door Anoniem
Door Anoniem
links crasht helemaal en dumpt zelfs een backtrace:
$ links
http://lcamtuf.coredump.cx/mangleme/gallery/links_die1.html
ERROR at memory.c:26: Out of memory (calloc returned NULL):
retry #1, I still exercise my patience and retry tirelessly.

ERROR at memory.c:26: Out of memory (calloc returned NULL):
retry #2, I still exercise my patience and retry tirelessly.

ERROR at memory.c:38: Out of memory (calloc returned NULL)
after 3 tries, I give up and try to continue. Pray for me,
please.
Links probeert het tenminste :)
20-10-2004, 17:44 door Anoniem
Ja ach, blijkbaar zijn alle browsers slecht zo blijkt nu :)

10:26 Internet Explorer overtreft andere browsers
16:26 Zeer kritieke lekken in Internet Explorer 6 ontdekt
21-10-2004, 07:02 door Sebastian
Resumerend overtreft MSIE andere browsers in de correcte
afhandeling van foute code alsmede in de foutieve
afhandeling van correcte code waarbij het tevens uitblinkt
in de traagheid waarmee fixes worden gemaakt voor bekende
fouten ten gunste van exploits

Mozilla en andere browsers blinken uit in de correcte
afhandeling en ondersteuning van correcte code en gaan er
direct mee aan de slag wanneer onverhoopt een fout is gevonden.
21-10-2004, 09:09 door Anoniem
Mijn browser crasht er niet op (Firefox-0.9.3 op win2k).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.