Comments 107
Ага, мы читали про объективность исследований NSS Labs
IE8 — самый безопасный браузер? Никогда не поверю!
Почему?
Ну потому что у него репутация подмочена — уж больно много натерпелись дизайнеры с предыдущими версиями IE. А теперь чтобы вернуть доверие пользователей, нужно очень сильно стараться. Но вы движитесь в правильном направлении.
А какая связь между дизайном и безопасностью?
Никакой. Но я говорю об альтернативе использования IE8 или, например, Firefox 3.5. Пользователи уже давно не доверяют IE потому что он до недавнего времени был самым небезопасным браузером. Ну а вы, как евангелист Микрософт, естественно продвигаете IE8 как самый-самый. Но еще раз повторяю, что прошлое не так просто забыть как вам бы хотелось.
Безопасность — это не та область, где следует полагаться на стереотипы. Лучше всегда проверять.
FF тоже имеет защиту от XSS и фишинга.
Но у Microsoft есть группа Microsoft Online Security, и есть деньги на её работу, поэтому данные получаемые фильтрами фишинга актуальнее. Это, по сути, и проверяет тест от NSS. Как я понимаю.
А на счёт фильтра XSS — может он и есть, но не сработал же?
А на счёт фильтра XSS — может он и есть, но не сработал же?
Потому что надо было поставить No script и жить споконойно.
Javascript-а бояться — в интернет не ходить.
UFO just landed and posted this here
А вы ставили No script? Он не полностью блокирует JS.
Да. Но он ведь не решает всех проблем. Например, не защищает от подмены контента на сайте, занесенном в список доверенных. Ну и пользователи не слишком часто изучают JS-код сайта перед добавлением во whitelist.
Ну да, и ещё надо было антивирус поставить — они тоже аддоны ставят для браузера для схожих целей.
Комментарии к оригинальной статье говорят, что данная защита включается только аддонами и нету изначально — arstechnica.com/security/news/2009/09/ruby-on-rails-vulnerability-affects-twitter-ie8-immune.ars
«Every other browser vendor needs to add this functionality yesterday»
«Every other browser vendor needs to add this functionality yesterday»
FF это сам себе конструктор, собственно так и позиционируется.
Так никто и не спорит. Только объясните это пользователям, которым FF поставили добрые друзья, но не сказали, что теперь надо еще что-то ставить для защиты
>О себе: Microsoft Architect Evangelist
Ну я потратила некоторое количество времени объясняя людям, почему винду нельзя держать без антивируса… а то добрые люди из микрософт не сразу начали объяснять, «что теперь надо еще что-то ставить для защиты» ;)
Наверное придется потратить время для пиара No script =)
Ну я потратила некоторое количество времени объясняя людям, почему винду нельзя держать без антивируса… а то добрые люди из микрософт не сразу начали объяснять, «что теперь надо еще что-то ставить для защиты» ;)
Наверное придется потратить время для пиара No script =)
Держу «винду» без антивируса и фаервола, но с постоянными обновлениями и встроенными средствами секурности. Она сама со-всем прекрасно справляется… Во-времена Windows XP, Ваши слова может быть были актуальны, но сегодня становятся смешными :)
Ну почему же… Винда ХРюша и до сих пор тоже может нормально жить только с обновлениями системы.
Наверное =)
флешки с автораном я до сих пор людям чищу… я не в курсе обновление для этого выходило? А то люди обновляются… а я все чищу… =(
флешки с автораном я до сих пор людям чищу… я не в курсе обновление для этого выходило? А то люди обновляются… а я все чищу… =(
У меня например авторан отключен вообще.
И тут речь шла не про малограмотных юзеров (им и антивирус с фаерволом и обновлениями не помогут, если голова и руки не будут работать слаженно), а про advanced users, которые вполне могут себе отключить авторан вообще, еще при установке винды и не задумываться больше вообще о флешках и прочих девайсах с зараженными авторанами.
Продвинутые пользователи до сих пор могут и на голой винде жить, только с обновлениями и без фаервола и антивируса.
Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.
Без правильного использования /dev/hands напару с /dev/brain любая операционка — дыра полнейшая.
И тут речь шла не про малограмотных юзеров (им и антивирус с фаерволом и обновлениями не помогут, если голова и руки не будут работать слаженно), а про advanced users, которые вполне могут себе отключить авторан вообще, еще при установке винды и не задумываться больше вообще о флешках и прочих девайсах с зараженными авторанами.
Продвинутые пользователи до сих пор могут и на голой винде жить, только с обновлениями и без фаервола и антивируса.
Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.
Без правильного использования /dev/hands напару с /dev/brain любая операционка — дыра полнейшая.
Я не системный администратор и времени на поход по знакомым и отключение авторана у меня нету =( Да и не умею я(тк самой не нужно было).
>Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.
Это не я написала. hannimed наверное разбирается в том, что говорит…
>Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.
Это не я написала. hannimed наверное разбирается в том, что говорит…
Ну и причем тут вы? Речь о том, что «МОЖЕТ ЖИТЬ», а не то, что для этого нужно сделать.
Ну вы написали «У меня например авторан отключен вообще.»
>Речь о том, что «МОЖЕТ ЖИТЬ», а не то, что для этого нужно сделать.
Не вы ли написали, что для этого надо быть продвинутым пользователем? Для того, чтобы им стать, делать наверное нужно много чего…
>Речь о том, что «МОЖЕТ ЖИТЬ», а не то, что для этого нужно сделать.
Не вы ли написали, что для этого надо быть продвинутым пользователем? Для того, чтобы им стать, делать наверное нужно много чего…
Если им не стать, то хоть будет куча помощников, всеравно обязательно все сламается, заразиться и т.д.
А вы поставьте своим знакомым Linux и спите спокойно. Только потом через год посчитайте количество просьб и вопросов, которые были при Windows и которые возникли при Linux'e :)
Увы, мои соображения по поводу Linux довольно затруднительно изложить в коротком комментарии… но миграция и использование Линукс в качестве рабочей системы — это две большие разницы. И если я вам сейчас поставлю задачу по миграции моей рабочей машины на ОС Виндовс, боюсь эта задача вам окажется не по силам =)
А для знакомых надо осуществлять именно миграцию. А в силу объективных причин миграция именно с виндовс — самый трудоемкий процесс (а потом микрософт обижается на свою репутацию) Как хрупкая девушка сможет столь сложный комплекс проблем разрешить то?
зы У сестры на ноутбуке Убунта(за 3 месяца 0 вопросов), но тут я для себя старалась, ибо поддерживать вин машинку в рабочем состоянии для меня очень трудно, в силу сложности ОС от Микрософт… А затраты на миграцию в данном конкретном случае были не особо велики.
А для знакомых надо осуществлять именно миграцию. А в силу объективных причин миграция именно с виндовс — самый трудоемкий процесс (а потом микрософт обижается на свою репутацию) Как хрупкая девушка сможет столь сложный комплекс проблем разрешить то?
зы У сестры на ноутбуке Убунта(за 3 месяца 0 вопросов), но тут я для себя старалась, ибо поддерживать вин машинку в рабочем состоянии для меня очень трудно, в силу сложности ОС от Микрософт… А затраты на миграцию в данном конкретном случае были не особо велики.
UFO just landed and posted this here
Ну вышеописанным, я занималась как раз во времена Windows XP и 98 =)
Как там теперь дела у микрософт, я без понятия… доверюсь вашим словам =)
зы про поводу «смешными», если вы обратите внимания, мой комментарий был адресован к «что теперь надо еще что-то ставить для защиты», а не к нынешней ситуации с защищенность альтернативной ОС.
Как там теперь дела у микрософт, я без понятия… доверюсь вашим словам =)
зы про поводу «смешными», если вы обратите внимания, мой комментарий был адресован к «что теперь надо еще что-то ставить для защиты», а не к нынешней ситуации с защищенность альтернативной ОС.
не очень умно этим кичится ;) попробуйте качнуть пару утилиток «троян ремуверов» с антивирусных сайтов, вы будете удивлены какой зоопарк в системе
Вот только не надо мне советовать утилитки для дошкольников. Я прекрасно всё вижу используя всего две: TcpView и ProcessExplorer. Обе маленькие и есть на сайте MS, но не сказал бы что я часто что-то нахожу. Под Vista и Win7 ничего не видел… Под 2к3 (т.к. юзаю его для расшарки инета) — бывает, но тоже редко.
простите, Мастер
просто не все ещё научились расшифровывать код матрицы на лету ;)
приходится юзать утилитки для дошкольников, чтоб найти руткиты
просто не все ещё научились расшифровывать код матрицы на лету ;)
приходится юзать утилитки для дошкольников, чтоб найти руткиты
UFO just landed and posted this here
Интересно, сколько комментариев вида «ИЕ — говно, тест — фигня» соберет этот топик?
Интересно, о чем это говорит?
Это говорит о том, что большинство не умеют или не хотят мыслить объективно (даже на хабре отличающемся сообществом с более продвинутым мышлением, чем остальная масса Интернета).
О том, что среди около ITшного люда, репутация ИЕ, гм… мягко говоря несколько низковата =)
Об объективных причинах, почему такая репутация сформировалась все вроде в курсе…
Об объективных причинах, почему такая репутация сформировалась все вроде в курсе…
Гм. Заслужили потому что. Как известно, первое впечатление — оно устойчиво.
И если безопасность действительно могли подкачать до более-менее адекватного уровня, за что ручаться, кстати, я бы не стал; то постоянные проблемы с версткой и производительностью по-прежнему делают браузер рядовым куском дерьма с точки зрения веб-разработчиков.
И если безопасность действительно могли подкачать до более-менее адекватного уровня, за что ручаться, кстати, я бы не стал; то постоянные проблемы с версткой и производительностью по-прежнему делают браузер рядовым куском дерьма с точки зрения веб-разработчиков.
при всей моей давней и горячей любви к firefox'у, мне нравится что IE развивается, становится лучше после стольких лет спячки( а он реально стал лучше, и способен «поиграть мускулами», только уж больно у него репутация подмочена, поэтому многие и не замечают).
Как нравится и появление хрома, хотя и не пользуюсь обоими.
Появилась таки наконец живая конкуренция, и это заставляет команды браузеров быстрее развиваться.
как редко ещё недавно выходили версии. а теперь смотрите. что не день то новости, и измерение размеров, у кого jsдлиннее быстрее / css корректнее / кто безопасней.
Как нравится и появление хрома, хотя и не пользуюсь обоими.
Появилась таки наконец живая конкуренция, и это заставляет команды браузеров быстрее развиваться.
как редко ещё недавно выходили версии. а теперь смотрите. что не день то новости, и измерение размеров, у кого js
Да ну! Возможно одну уязвимость ie8 и смог отфильтровать, но это не значит, что он отфильтрует и все остальные. Хотелось бы видеть результат работы уязвимости на других браузерах разных версий с какого-нибудь обьективного источника, который не боготворит Microsoft (и соответственно не боготворит другие браузеры). Да и вообще, как только ie8 отловил одну уязвимость, его сразу тут начали боготворить. Ну не поверят многие в то что это безопасный браузер еще долго-долго. ie8 последователь ie6 и перебрал всю его репутацию себе и еще должно пройти очень много времени чтобы к этому браузеру относились нормально все, а не только поклонники Microsoft.
P.S. может я и перегнул насчет того, что браузер «боготворят», но именно так это и выглядит, взгляните хотя бы на заголовок поста.
P.S. может я и перегнул насчет того, что браузер «боготворят», но именно так это и выглядит, взгляните хотя бы на заголовок поста.
UFO just landed and posted this here
Про винду я ничего не говорю. Win7 я считаю первой удачной ихней ОС, которая достойна внимания, но браузер IE я не любил, не люблю и врятли когда-либо полюблю. Слишком много мне пришлось промучатся при разработке сайтов в этим браузером. Не отрицаю, IE8 стал соблюдать некоторые веб-стандарты, но его безопасность кажется мне весьма сомнительной.
Эти «странные» люди — возможно, один из важнейших факторов взаимодействия между потребителями и крупными корпорациями.
Потому что именно они заставляют таких монстров, как Майкрософт, беспокоитсья о своём имидже.
Ведь однажды потеряв доверие этих «странных» людей, можно ещё долго не отмыться.
А если бы таких людей небыло, Майкрософт бы продолжал выпускать говнопродукты, ведь «пипл — хавает».
Так что, ИМХО, Майкрософт заслужил стереотипы типа «винда — мастдай».
И пусть это уже не соответствует действительности (лично я от Вин 7 — в положительном шоке), но ещё слишком рано прощать Майкрософту прошлые грехи — пускай ещё попотеют и поотмываются, чтобы неповадно было.
Потому что именно они заставляют таких монстров, как Майкрософт, беспокоитсья о своём имидже.
Ведь однажды потеряв доверие этих «странных» людей, можно ещё долго не отмыться.
А если бы таких людей небыло, Майкрософт бы продолжал выпускать говнопродукты, ведь «пипл — хавает».
Так что, ИМХО, Майкрософт заслужил стереотипы типа «винда — мастдай».
И пусть это уже не соответствует действительности (лично я от Вин 7 — в положительном шоке), но ещё слишком рано прощать Майкрософту прошлые грехи — пускай ещё попотеют и поотмываются, чтобы неповадно было.
Создайте уже новый блог «Microsoft — мы пиаримся на Хабре», зачем стесняться.
Если вам нужен пиар от Microsoft, то для этого есть официальный сайт с пресс-релизами — www.microsoft.com/rus/news.
В блог по Internet Explorer я пишу новости про Internet Explorer. Это неправильно?
В блог по Internet Explorer я пишу новости про Internet Explorer. Это неправильно?
То есть вы хотите сказать, что этот пост ни разу не пиарит Microsoft и IE в частности? Новость заключается в предоставлении аудитории объективной информации для сравнения и анализа.
Какая информация в данном посте является необъективной?
Информация в посте является субъективной, не приписывайте мне слова, которых я не говорил. Это следует из того, что нет информации по другим браузерам и этой уязвимости. О них даже не упоминается почему-то.
Очень забавно, что мне еще и карму заминусовали. Те, кто это сделал: вы таким образом компенсируете отсутствие аргументов? Скажу, чтобы вы не сомневались — меня это совершенно не задело. Быть адекватным человеком гораздо лучше, чем пытаться самоутвердиться таким смешным способом, как это делаете вы.
Я приписывал какие-то слова? Вы что-то путаете.
Я пишу новость про IE8 со ссылкой на источник информации. Если хотите написать про другие браузеры — напишите, по-моему будет очень интересно.
Я пишу новость про IE8 со ссылкой на источник информации. Если хотите написать про другие браузеры — напишите, по-моему будет очень интересно.
Поймите же, наконец: у меня и в мыслях не было учить вас, как нужно писать. Я намекал на то, что Хабр — сообщество людей думающих, которым было бы гораздо интереснее читать объективную аналитику, а не голословные утверждения.
Я считаю, если в источнике информации не хватает данных, их следует найти, проанализировать самому и только после этого писать новость. В противном случае лучше не писать вовсе.
Я считаю, если в источнике информации не хватает данных, их следует найти, проанализировать самому и только после этого писать новость. В противном случае лучше не писать вовсе.
UFO just landed and posted this here
Описание своих сильных сторон словами «по результатам недавнего исследования NSS Labs Internet Explorer 8 является самым безопасным браузером в области защиты от вредоносных программ и фишинга», конечно, заслуживает улыбки.
Подозреваю, что сообществу интересно знать как обстоят дела именно с уязвимостью в Ruby в других браузерах, а не то, какой IE весь хороший. Или вы будете утверждать, что львиная доля Хабра использует IE?
И «орут», кстати, на рынке. Я выразил свою точку зрения без эмоций, не более.
Подозреваю, что сообществу интересно знать как обстоят дела именно с уязвимостью в Ruby в других браузерах, а не то, какой IE весь хороший. Или вы будете утверждать, что львиная доля Хабра использует IE?
И «орут», кстати, на рынке. Я выразил свою точку зрения без эмоций, не более.
Мгм, как насчет того что любая информация априори субъективна?
Вы не можете провести эксперимент не повлияв на его результат.
А блог об IE, а не всех браузерах вообще.
Вы не можете провести эксперимент не повлияв на его результат.
А блог об IE, а не всех браузерах вообще.
Да, любая информация субъективна, не отрицаю. Разница только в том, что есть беспристрастная оценка фактов о происходящем и, как противоположность, замкнутое само в себя восхваление своих же взглядов на действительность. Причем замкнутое настолько, что любая другая точка зрения трактуется как инакомыслие и карается соответственно, с фанатизмом.
И повторю еще раз: если новость об уязвимости в Ruby, которая затрагивает все браузеры, почему она не в блоге информационная безопасность? Там же и про IE можно было упомянуть, кстати.
И повторю еще раз: если новость об уязвимости в Ruby, которая затрагивает все браузеры, почему она не в блоге информационная безопасность? Там же и про IE можно было упомянуть, кстати.
И, кстати, вы путаете новости и аналитические отчеты :)
Для сравнения и анализа используют как раз последние :)
Для сравнения и анализа используют как раз последние :)
Если кто-то пишет новость, это не значит, что он может писать первое пришедшее в голову. В данном случае новость заключается в наличии бага в Ruby, все остальное в топике автора — псевдоаналитика и реклама xss-фильтра в «самом безопасном» IE.
Другими словами, я за то, чтобы называть вещи своими именами, поэтому и написал про создание отдельного блога.
Другими словами, я за то, чтобы называть вещи своими именами, поэтому и написал про создание отдельного блога.
Безопасность это, конечно, замечательно, но можете мне объяснить по какой причине новую пустую вкладку IE8 открывает ужасно долго? И на новом компе (Windows 7) и на древнем ноуте (XP). Видимо что-то безопасит…
Возможно она открывается в новом процессе, как в Chrome.
Естественно. И я даже могу понять почему это медленно на древнем ноуте, но почему это тормозит на Core2Duo + 4 Gb оперативы — как-то не понимаю…
Вот многое хорошо сделано в IE (ускорители вообще здорово придумали), но пока вкладку открываешь — забываешь зачем это делал…
Вот многое хорошо сделано в IE (ускорители вообще здорово придумали), но пока вкладку открываешь — забываешь зачем это делал…
А какая у вас ОС стоит?
Я же написал — на компе W7 RC. На ноуте XP SP3
Ой, извините, не заметил. А точнее 32 или 64? Просто у 32 разрядной винды проблема с использованием всех 4 Gb памяти, но это скорей всего не тот случай.
Какая там проблема с 4ГБ памяти? Я год прожил на Vista 32, всё в порядке.
То есть 2,7 ГБ оперативки будет мало для быстрого создания новой вкладки в IE8?))))
Я попробовал юзать IE8 как основной браузер (даже единственный), но получилось только пару дней. Как-то всё работало слишком медленно по сравнению с третьим огнелисом. И иногда всё ломалось) Но ослик стал действительно гораздо лучше по сравнению с IE7.
Я попробовал юзать IE8 как основной браузер (даже единственный), но получилось только пару дней. Как-то всё работало слишком медленно по сравнению с третьим огнелисом. И иногда всё ломалось) Но ослик стал действительно гораздо лучше по сравнению с IE7.
Чаще всего проблема в аддонах — плагинах или тулбарах. Попробуйте отключить и попробуйте еще раз.
Да, изначально была проблема в Java Plugin SSV Helper, но я это даже в рассмотрение не беру — в случае его включения вкладка открывалась 40 (СОРОК) секунд. Сейчас еще раз проверил, с отключенной данной надстройкой новая вкладка открывается 3 секунды — ну я не знаю, что такое можно 3 секунды делать для открытия пустой вкладки
Конечно IE8 это рывок относительно IE6, но как подметили многие «осадок то остался» и этого осадка хватит еще на долго…
А по поводу скорости это вообще отдельный разговор, хоть убей но не вижу я этой дикой скорости в IE8, сам сижу на Chrom-е. IE8 открываю только для проверки сайтов которые делаю и всегда он проигрывает во всем. Скорость открытия окна/табов, скорость рендеринга, скорость js. А уж сколько раз лазая по инету хром выкидывает сообщение «Этот сайт может нанести вред вашему компьютеру» и ты сразу понимаешь с сайтом что-то не то.
А canvas?! Ну где он, для чего ждать пока все разработчики начнуть кричать на каждом углу «хочу канвас», «дайте канвас».
Продолжаем… png, да именно PNG!!! сколько крови выпили эти 3 буковки и все благодаря IE6 потом подпил IE7, IE8 продолжает славные традиции (добавьте opacity к png24).
И это еще не конец! filter:alpha(opacity=50)… Вот скажите мне зачем? Зачем нужно это свойство, почему не быть как все и сделать «opacity: 0.5». И почему с IE6 до сих пор не исправлен баг, если к блоку с текстом добавить прозрачность напрочь корявится текст!
Фух, продолжаем. фреймы (используются в админке modx), написал модуль. Запустил и что?! в IE8 белый экран, 2 часа искал ошибку не нашел, что это? Безопасность? (Проблема пока не решена если кто нибудь знает, хоть примерно напишите плз).
Спасибо за внимание. Пока IE8 с моем личном рейтинге на последнем месте, IE6-IE7 в нем вообще нет :-)
А по поводу скорости это вообще отдельный разговор, хоть убей но не вижу я этой дикой скорости в IE8, сам сижу на Chrom-е. IE8 открываю только для проверки сайтов которые делаю и всегда он проигрывает во всем. Скорость открытия окна/табов, скорость рендеринга, скорость js. А уж сколько раз лазая по инету хром выкидывает сообщение «Этот сайт может нанести вред вашему компьютеру» и ты сразу понимаешь с сайтом что-то не то.
А canvas?! Ну где он, для чего ждать пока все разработчики начнуть кричать на каждом углу «хочу канвас», «дайте канвас».
Продолжаем… png, да именно PNG!!! сколько крови выпили эти 3 буковки и все благодаря IE6 потом подпил IE7, IE8 продолжает славные традиции (добавьте opacity к png24).
И это еще не конец! filter:alpha(opacity=50)… Вот скажите мне зачем? Зачем нужно это свойство, почему не быть как все и сделать «opacity: 0.5». И почему с IE6 до сих пор не исправлен баг, если к блоку с текстом добавить прозрачность напрочь корявится текст!
Фух, продолжаем. фреймы (используются в админке modx), написал модуль. Запустил и что?! в IE8 белый экран, 2 часа искал ошибку не нашел, что это? Безопасность? (Проблема пока не решена если кто нибудь знает, хоть примерно напишите плз).
Спасибо за внимание. Пока IE8 с моем личном рейтинге на последнем месте, IE6-IE7 в нем вообще нет :-)
UFO just landed and posted this here
Да задело то что MS пиарит свой «встроенный XSS-фильтр» хотя остальное все далеко не сказочно. Это все равно что автоваз начнет рекламировать супер-прочные ремни безопасности.
UFO just landed and posted this here
Посмотрел, ничего впечатляющего в блоге Internet Explorer нет, в отличии от блога Google Chrome, где много полезного можно прочитать.
Евангелисты MS, пожалуйста, в следующий раз пишите такие PR-тексты менее пафосным голосом. Мы же прекрасно понимаем, как часто пользователи IE неделями остаются без патча с гуляющими по сети экспойтами (и вирусами их эксплуатирующими).
Хабрахабр — это не Ваша PR-газета (хоть Вы и его спонсор), рассказали бы вместо PR’а механизмы защиты и подробности уязвимости — тогда статья была бы интересна.
Хабрахабр — это не Ваша PR-газета (хоть Вы и его спонсор), рассказали бы вместо PR’а механизмы защиты и подробности уязвимости — тогда статья была бы интересна.
Я так и не понял, статья «об уязвимости в популярном движке веб-разработки Ruby On Rails» или о том что «IE8 имеет целый набор средств для безопасности и надежности» и "… встроенный XSS-фильтр"?
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Sign up to leave a comment.
Уязвимость в RubyOnRails затронула Twitter, но не пользователей IE8