Microsoft: Spoofing in IE is geen security lek
Vorige week verscheen het bericht dat er een spoofing lek in Internet Explorer ontdekt was. Volgens Microsoft is dit echer helemaal geen lek. Een woordvoerder van de softwaregigant liet weten: "Microsoft is op de hoogte van het security probleem dat vorige week bekend gemaakt werd, waardoor de URL die een gebruiker in de statusbalk ziet gespoofed kan worden. Gebruikers kunnen een URL in de statusbalk zien als de muis over een link op een webpagina wordt gehouden, maar klikt men op de link, dan gaat men naar een andere URL toe. Ons onderzoek heeft aangetoond dat dit echter geen security lek is". (Zdnet.
voor verantwoordelijkheid. De enige reden die ze geven dat
het geen security probleem is is omdat hun onderzoek heeft
aangetoont dat zelfs als het toegepast zou worden het niet
door de gebruikers opgevat wordt als een link naar een site.
Gebruikers zouden wel weten dat de statusbalk te manipuleren
is en er dus niet op vertrouwd kan worden. MS gebruikt dus
zn eigen fouten om het goed te praten.
Nee, het is een feature :S
Aan de andere kant....je kan deze "truuk" ook simpel doen met onmouseover="window.status....." enzo. Dat status venster kan van alles bevatten. Als je javascript uitzet dan werkt deze truuk niet maar die van vorige week wel want die heeft geen javascript nodig.
doen met onmouseover="window.status....." enzo. Dat status
venster kan van alles bevatten. Als je javascript uitzet dan
werkt deze truuk niet maar die van vorige week wel want die
heeft geen javascript nodig.
keer gebruiken van het href attribuut is dat je zulke
javascript acties kan uitschakelen, zoals mijn voorganger al schreef. Is naar mijn idee het verschil tussen "by design" en een onvolkomenheid (aka bug).
Anyway, wat IE zou moeten doen (en iedere andere browser
ook) is heel hard een foutmelding op de plaats van de link
zetten. Het is immers niet toegestaan, volgens de specs van
W3C (http://www.w3.org/TR/REC-html40/sgml/dtd.html)
Zou het ver gaan te vragen om bij invalid (X)HTML de hele
pagina te laten bouncen?
tussen strict of transitional html, zou dat wat zijn?
Hadden die onderzoekers soms str*nt in hun ogen??? Of hebben ze er
een kleuterklas er naar laten kijken.
Ik vind het echt te gek voor worden dat Microsoft het nu gaat weerleggen. Ik
vraag me af of ze niets beters te doen hebben dan dit soort persberichten
de wereld in de schoppen. Laten ze eens een aantal echte en
onafhankelijke ervaren gasten naar kijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
