Internet Explorer wieder unsicher - die 356ste ...

Pixelman

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
2.871
Renomée
31
Standort
rheinfelden.ch
Bereits mehrfach war der Internet Explorer wegen so genannter Spoofing-Sicherheitslücken negativ in den News. Dabei handelt es sich um Schwachstellen, die es einem Angreifer erleichtern, dem Anwender eine Internetseite mit einer falschen URL vorzugaukeln, und eine vermeintliche Vertrauenswürdigkeit vorzutäuschen. Andrew Hunter hat nun erneut eine Methode gefunden, wie man den Nutzern des Internet Explorer falsche Websites anzeigen kann, und zwar so dass die URL überhaupt nicht in der Adressleiste sichtbar ist. Dazu muss lediglich die Startseite des Browsers auf eine JavaScript-Funktion geändert werden, was der Angreifer z.B. über ein Programm realisieren kann, ähnlich wie es Spyware-Tools tun.

Verwendet man nun als Startseitenadresse einen Text, wie er <A HREF="http://www.heise.de/newsticker/meldung/52255" TARGET="b">auf dieser Seite</A> gezeigt wird, würde der Browser mit der enthaltenen Webseite starten, aber deren URL nicht in der Adressleiste anzeigen. Betroffen sind angeblich alle Windows-Versionen, einschließlich Windows XP mit Service Pack 2. Als einzige Möglichkeit zur Verhinderung des Missbrauchs muss man JavaScript deaktivieren, bis Microsoft es schafft, einen Patch bereitzustellen.
 
Zuletzt bearbeitet:
in der aktuellen c't ist eine gegenüberstellung von internet explorer und firefox.

und da sieht der ie ziemlich alt aus.

schade, dass so viele den ie immer noch aus bequemlichkeit (oder dummheit *noahnung*) nutzen.


mfg
cruger
 
Ja, ich denke der c't "Test" richtet sich direkt (oder auch nicht) gegen einen PcPro (Zdnet) Browser Test, bei welchem der IE die Konkurrenten deutlich abgehängt hat.
Hier
 
PC Pro erscheint schon lange nicht mehr bei ZDNet...
 
apropo wer noch IE nutzt. Meine ganze Verwandschaft in Berlin nutzt Firefox (teilweise auch Opera), und ich bin Araber. Das heisst die Verwandschaft ist gross (bei 5-10 Kinder pro Familie ;-). Sowie meine Freudne Firefox nutzen und die Internet-Cafes die ich betreue auch Firefix nutzen.
 
Original geschrieben von Araberboy
apropo wer noch IE nutzt. Meine ganze Verwandschaft in Berlin nutzt Firefox (teilweise auch Opera), und ich bin Araber. Das heisst die Verwandschaft ist gross (bei 5-10 Kinder pro Familie ;-). Sowie meine Freudne Firefox nutzen und die Internet-Cafes die ich betreue auch Firefix nutzen.

Und das sagt uns jetzt was ?
Aber ich denke ich bin deiner Meinung wenn ich sage das der IE nicht so der Bringer ist ;)
 
Wer bitte sehr nutzt noch den IE?
Hmmm, ca. 60% der Besucher meiner Homepage. Und das ist schon wenig.

@Topic: Die Sicherheitslücke ist IMHO weniger, dass man mit 100%-Frames spoofen kann (das ist bei 100%-Frames normal), sondern dass das Eingabefeld für die Startseite Javascript erlaubt.
 
Original geschrieben von Araberboy
apropo wer noch IE nutzt. Meine ganze Verwandschaft in Berlin nutzt Firefox (teilweise auch Opera), und ich bin Araber. Das heisst die Verwandschaft ist gross (bei 5-10 Kinder pro Familie ;-). Sowie meine Freudne Firefox nutzen und die Internet-Cafes die ich betreue auch Firefix nutzen.
Schön, aber selbst die größte Familie dürfte sich in der Browserstatistik nicht wesentlich niederschlagen ;)
 
PC Pro erscheint schon lange nicht mehr bei ZDNet...
Ich dachte die Ziff-Davis Group ist der Zeitschriften Verlag bei dem PcPro erscheint???
So oder so, der jenige, der diesen Test verbrochen hat gehört gehaun.
 
Also der IE ist halt in Sachen Kompatibilität noch ungeschlagen, habe schon alle anderen probiert. Viele Seiten werden halt nicht korrekt angezeigt.

P.S.: PC Pro wurde von VNU übernommen... :D
 
Original geschrieben von Peter1984
Viele Seiten werden halt nicht korrekt angezeigt.

das viele kannst du getrost streichen und durch wenige ersetzen ;)


mfg
cruger
 
Naja, dann hat sich das letzte halbe Jahr wohl viel getan! :D
 
Original geschrieben von KHAINE
Ja, ich denke der c't "Test" richtet sich direkt (oder auch nicht) gegen einen PcPro (Zdnet) Browser Test, bei welchem der IE die Konkurrenten deutlich abgehängt hat.
Hier

Dieser Test bezieht sich leider (fast) nur auf die Geschwindigkeit. Aber wenigstens wurde erwähnt, dass der IE Sicherheitsmängel aufweist.
Opera, laut Firmenslogan "The Fastest Browser on Earth", ist mit Abstand der langsamste Kandidat im Test.
Da haben sie Recht. Die Opera-user wollen das ja meistens nicht wahr haben :] Opera ist wirklich mit Abstand "The slowest browser on earth"!
 
Kann ich so nicht bestätigen. Ich bin zwar auch Firefox-Fan, aber Opera 7.5 lief bei mir mit Abstand am schnellsten, als ich ihn vor einigen Monaten ausprobiert hatte.
 
Original geschrieben von Peter1984
Naja, dann hat sich das letzte halbe Jahr wohl viel getan! :D

na gut, wollen wir mal vorsichtig sein.

ich kenne natürlich deine surf-gewohnheiten nicht.

ich persönlich komme auch noch nicht 100% ohne den ie aus. allerdings hat das zumindest bei mir wirklich seltenheitswert.

natürlich gibt es immer noch optimierte ie-(quasi)only seiten.


nur, dass mit steigender verbreitung sich viele seiten (speziell natürlich kommerzielle) es sich kaum noch leisten können, firefox nicht zu berücksichtigen.

wenn man sich mal den erfolg des 1.0 preview release anschaut, dazu noch die mehr oder weniger direkten empfehlungen z.b. des bsi oder des fbi zur nutzung von alternativen browsern anschaut, dann zeigt sich doch, dass der firefox inzwischen mehr als nur eine alternative zum ie6 ist.


mfg
cruger
 
Original geschrieben von TiKu
Kann ich so nicht bestätigen. Ich bin zwar auch Firefox-Fan, aber Opera 7.5 lief bei mir mit Abstand am schnellsten, als ich ihn vor einigen Monaten ausprobiert hatte.

ich probiere ja aus interesse meistens neue opera-versionen.

ich finde, dass opera sich immer mehr zu dem entwickelt, wovon sich mozilla mit den einzel-programmen entfernen will.

nämlich zu einer immer aufgeblähteren browser-suite.

opera war früher, so zu zeiten der 5er version ziemlich fix.

ich finde, dass vom einstigen "fastest browser on earth" inwzischen nur noch der mythos übrig geblieben ist.


mfg
cruger
 
nämlich zu einer immer aufgeblähteren browser-suite.

Nun ja, das kann man sehen wie man will. Ich verwende nur noch Opera und habe Mozilla/Firefox als Backup auf meinem System. Opera ist aber als Suite immerhin im Download um satte 1,5 MB kleiner als Firefox als Standalone Browser! Und weniger HD-Speicher belegt er auch.

Bei meinem System (SS7 mit K6-III) ist übrigens Opera immer noch der schnellste Browser, da er die wenigsten Ressourcen beansprucht. Mozilla/Firefox zwingt jedes Mal meinen Rechner in die Knie, wenn er startet. Dann läuft aber auch er problemlos.

Bei meiner Freundin (2500er Barton) spielt es übrigens keine Rolle, welchen Browser man nimmt:
Opera und Mozilla/Firefox starten nahezu gleich schnell (Opera ist nach ca. 2 Sek. geladen, FF nach ca. 3 Sek.). Und die Lade- und Redering-Zeit ist ebenfalls nahezu identisch. Allerdings hängt sie mit 11MBit WLAN am Uni-Server; kann sein dass da eher das System der Falschenhals ist und daher die Browser identisch laden? Ich kann mit der Stoppuhr jedenfalls keinen Unterschied feststellen.

Aber wichtig ist eins:
Immer mehr erkennen - oder haben bereits erkannt - dass der IE zu nichts mehr taugt. "Seitenkompatiblität" ist auch kein Argument mehr. Ich habe zumindest bisher (war vor 2 Jahren wirklich noch anders) kein einziges Mal mehr eine Seite gehabt, die nicht mit Opera funktioniert hätte. Auch Online-Banking usw. ist kein Problem!

Interessant wird es spätestns wenn Longhorn draussen ist und MS die IE-Updates und weiteren IE-Versionen für 2000/XP nicht mehr anbieten wird. Wenn das wirklich passiert, wird dann jeder sein XP wegwerfen, nur um immer einen aktuellen IE zu haben? Was meint Ihr?

Ciao, Eisbär
 
Ich selber verwende auch noch den IE. Man sollte auch bedenken, dass Microsoft wohl das Ziel Nummer eins für jeden Übeltäter ist. Mir fehlt gerade ein Oberbegriff für Leute die Viren schreiben, Hacker usw.

Ich kann mich natürlich irren aber ich denke, dass es viel mehr Bösewichte auf Microsoft abgesehen haben und Schwachstellen suchen als es bei anderen Produkten der Fall ist. Demzufolge werden dort auch viel mehr Sicherheitslücken entdeckt.

Ich würde es auch sehr begrüßen, wenn MS schneller reagieren würde aber ich glaube bei einer solchen Firmengröße ist das nicht mehr möglich. Durch die Verwaltung sind die einfach zu träge geworden.
 
Die "bösen Übeltäter" können bei Firefox jedoch im Quelltext nach Sicherheitslücken suchen und nicht nur per "Zufall".

Microsoft soll mal den IE-Quelltext rausrücken, dann kann man mal schauen wieviele Lücken da entdeckt werden.
 
Quelle : Heise Online News vom 20.10.2004

http://www.heise.de/newsticker/meldung/52317


Internet Explorer am robustesten

Mit fehlerhaften HTML-Seiten lassen sich die meisten aktuellen Browser aus dem Tritt bringen -- mit Ausnahme des Internet Explorer, so das Ergebnis einer Untersuchung des renommierten Sicherheitsspezialisten Michael Zalewski. Ein von ihm programmiertes Tool erzeugte dazu systematisch fehlerhaften HTML-Code, den er dann in verschiedenen Browsern darstellen ließ. Zalewski beschränkte sich auf recht einfaches HTML, Scripte und Stylesheets kamen nicht zum Einsatz.

Mozilla, Netscape, Firefox, Opera und Lynx reagierten seinen Ergebnissen nach regelmäßig mit Abstürzen, Speicherzugriffsverletzungen, Buffer Overflows und manchmal mit einem mehrminütigen Stillstand des Systems. Microsofts Internet Explorer zeigte sich von diesen Tests hingegen unbeeindruckt -- weder stürzte er ab, noch blieb er stehen.

Zalewski hat einige der aufgetretenen Fehler analysiert und auch gleich die Ursachen ausgemacht. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen. Opera hingegen reagiert allergisch auf bestimmte Tabellen. Zalweski hat dann nach eigenen Angaben aufgrund der großen Zahl der Fehler schnell die Lust an weiteren Analysen verloren. Er habe einige der Hersteller jedoch über die bereits entdeckten Probleme informiert.

Weitere Gedanken machte er sich dennoch -- insbesondere über die Qualitätssicherung der Hersteller. Gerade die Browser, die sonst als sicher gelten, können seiner Ansicht nach in diesem Punkt nicht mit dem Internet Explorer mithalten. Offenbar sei nur der Microsoft-Browser systematischer Qualitätssicherung mit ähnlichen Tools unterzogen worden. Gleichwohl bedeute das nicht automatisch, dass der Internet Explorer sicherer sei. Microsofts Browser habe andere Lücken, deren Ursprung nicht zuletzt in der Architektur und seinen besonderen Funktionen liege.

Ein eingeschränkte Demonstration der fehlerhaften HTML-Seiten zeigt Zalweski auf Coredump.cx; das benutzte Programm, das den fehlerhaften HTML-Code erzeugt, stellt er für weitere Tests zum Download bereit.

Siehe dazu auch:
 
Firefox scheint der Test nicht zu stören?!?

Also mit was für Versionen hat der Werte Herr denn da überhaupt getestet?
 
Original geschrieben von i_hasser
Firefox scheint der Test nicht zu stören?!?

ich hab mit firefox auch keine probleme *noahnung*

Original geschrieben von i_hasser

Also mit was für Versionen hat der Werte Herr denn da überhaupt getestet?

offensichtlich nicht den aktuellen release candidate 1.0


mfg
cruger
 
Ich benutz noch die Preview - die hat noch so einige Bugs, kommt aber eben mit den Seiten auch problemlos zurrecht.

Mal gucken... also der Typ hat das als Skript realisiert, dass immer andere fehlerhafte Seiten ausspuckt.

Hab ca. 20mal getestet, Firefox hat keine Probleme gemacht...

...mein Mozilla 1.7 hat sich auch wacker geschlagen, nicht ein Patzer...

... Opera 7.5 hat auch alles gefressen ohne rumzumurren...

... Konquerer hats erwischt (KDE 3.3). Hat sich bei der 2. Seite verabschiedet.

Lynx hab ich jetzt keine Lust auf testen, müsste erst die Env Variable für den HTTP Proxy setzen (und weis deren Namen gerade net).


Abschließend ist das, was der werte Herr Michael Zalewski da veranstaltet eine Riesensauerrei!
Bei mir hat es nur Konquerer, der auch nicht wirklich Webbrowser ist (dazu fehlt zB. schon an vielen Enden der CSS Support) erwischt! (Konquerer ist zB. ein viel besserer Filebrowser, außerdem soll wohl mal die Gecko Engine als Plugin Einzug halten)

Aber man kann ja erstmal alle alternativen Browser verdächtigen 8-(.


Solche Leute gehören auf den Mond geschossen... ach nein, gibt ja Besiedelungspläne dafür - dann schieben wir das Problem wieder nur vor uns her.

Also dann doch in die Sonne 8).
 
Zurück
Oben Unten