News Erneut große Sicherheitslücke im IE

[BSDDaemon]

Wird da dann icht über Port 80 angegriffen?? Und der ist bei allen offen. Sonst währt ihr wohl kaum hier :-)

Ports werden zum Anbieten von Diensten benötigt, nicht für das Nutzen von Diensten. Wer eine Website ansurft stellt keinen Dienst zur Verfügung sondern nutzt den httpd des entsprechenden Hosters. Man kann surfen etc ohne einen einizgen Post 'offen zu haben. Wobei man bedenken muss das Ports niemals offen oder geschlossen sind.

Mal an die Web-Entwickler hier.
Man kann sich über den IE aufregen wie man will, aber solange die Masse der User den IE nutzt, hat der Entwickler sich drauf einzustellen.

Falsch, richtige Entwickler halten sich an Standards. Wenn es dann hier und da Fehler mit dem IE gibt weil dieser alles andere als Standardkonform ist nutzt man Workarounds. Aber man baut mit Sicherheit keine Fehler ein damit es im IE 'richtig' aussieht.

Und im Endeffekt passt ihr die Seiten doch an den IE an, weils z.B. der Chef halt so will. Oder weil halt 90% der Seitenaufrufe des Onlineshops der Firma mit dem IE erfolgen.

Meine Seiten sind alle valide (überwiegend xHtml1.1) und nicht an den MSIE angepasst. Und ich lasse mir von keinem Kunden vorschreiben wie ich etwas zu machen habe. Geht der Kunde nicht auf meinen Forderungen ein wird der Auftrag abgelehnt. So einfach kann das sein. Einziger Kompromiss ist das ich bei manchen Projekten auf png Grafiken verzichte weil der MSIE zu unfähig für selbige ist.

 

[Jack-Ryan]

Und ich lasse mir von keinem Kunden vorschreiben wie ich etwas zu machen habe. Geht der Kunde nicht auf meinen Forderungen ein wird der Auftrag abgelehnt.

Dann bete mal, das Du mit dieser Einstellung nie Geldverdienen musst.
Und seit wann stellt ein Entwickler Forderungen? Ich lach mich schlapp.
In was für einer Traumwelt lebst Du eigentlich?
Was hier für geistiger Dünnschiss gelabert wird, geht auf keine Kuhhaut.

Und nu her mit den kleinen roten Pünktchen.

 

[PCB]

Ports werden zum Anbieten von Diensten benötigt, nicht für das Nutzen von Diensten. Wer eine Website ansurft stellt keinen Dienst zur Verfügung sondern nutzt den httpd des entsprechenden Hosters. Man kann surfen etc ohne einen einizgen Post 'offen zu haben. Wobei man bedenken muss das Ports niemals offen oder geschlossen sind.

Hmm, und wie nutzt dein Browser den http-Dienst ? Er stellt einen Request auf Port 80, somit wird sehr wohl ein port geNUTZT, um eine Verbindung anzufragen.
Der Localpoint dieser Verbindung ist bei dir aber dann nicht 80, sondern z.B. 2956. Check mal deine Verbindungen in dem Moment, wo du den Request stellst. Du hast Recht, das du auf Port 80 von außen nicht sichtbar bist, aber in der kurzen Zeit der Verbindung zum Webserver bist du sehr wohl auf diesem speziellen Port sichtbar, du nimmst TCP entgegen und sendest deinerseits ACK's. Das fällt nur nicht auf, weil kein Mensch einen Port-Scan macht während er surft und die Verbindung nur für ein paar Sekunden besteht.

Die Verbindung ist afaik auch nicht einseitig, so wie du es darstellst, schließlich müssen die Daten dich auch erreichen, das geht nur über einen Rückkanal. Deine FW schlägt nur deswegen keinen Alarm, weil du 1. den Request mit einer bekannten Anwendung angestossen hast und 2. bei TCP eine Rückmeldung über den ordnungsgemäßen Empfang des Paketes zum Protokoll gehört. Die Antwort des Servers wird auf dem hohen lokalen Port empfangen und die FW ist ruhig.

PCB

 

[marcelcedric]

Dann bete mal, das Du mit dieser Einstellung nie Geldverdienen musst.

Er verdient schon lange Geld damit.

Und seit wann stellt ein Entwickler Forderungen? Ich lach mich schlapp.

Was fuer Forderungen? Ich denke mal, wenn er einen Auftrag kriegt, und er ihn auf seine Art ausfuehrt und der Kunde damit nicht zufrieden ist, soll er sich einen anderen suchen. Er hat sich doch nur an die Std. gehalten... (Achja, MS legt nicht die Standards fest)

In was für einer Traumwelt lebst Du eigentlich?

Nichts Traumwelt, realitaet.

Was hier für geistiger Dünnschiss gelabert wird, geht auf keine Kuhhaut.

Der einzige, der hier geisten Duennschiss labert, bist DU, ganz allein DU, nicht er.
Es gibt naemlich auch Leute, wie er zB, die was drauf haben und sich es leisten koennen wenn 1 - 2 Kunden abspringen.

Und nu her mit den kleinen roten Pünktchen.

Danke, das gab deiner Argumentation das I-Tuepfelchen von allem. Das ist einfach laecherlich. Kannst du nicht anders wehren als so ? Ach stimmt ja, dir sind die Argumente ausgegangen.

Und wenn du dich jetzt fragst, woher ich das alles weiss? - Ich kenn ihn bereits seit fast mehr als 3 Jahren sehr gut.

Genug Offtopic fuer Heute.

mfg

 

[JediBiDchie]

Naja, ich glaube kaum, dass irgendein Produkt 100% sicher ist.
Die Frage ist nur, wie intensiv man nach Sicherheitsrisiken sucht! Selbst ein Stück Plastik ist gefährlich, wenn man das zum Schmelzen bringt und das dann anfässt.
Der Vorteil vom IE ist, das man alle Sicherheitslöcher nach und nach aufspürt und somit in der Lage ist diese zu schliessen. Andere Produkte fangen von vorne an und wenn jemand ein Loch sucht, wird er dieses auch finden.
Wer sicher gehen will, braucht eine unabhängige Firewall! Also SP2 mit Firewall halte ich als Quark, eine Lösung von einem Drittanbieter wie ZoneAlarm bietet erst einen recht guten Schutz.

 

[gugus999]

@54
Klar müssen sich die Webentwickler (bin ab und zu auch einer) ihre Seiten für den meist benutzten Browser auch zugänglich machen. Das ist keine Frage. Nur - die Webseiten werden in erster Linie nach den Standards erstellt. Damit kommen viele Browser recht gut zurecht. Derjenige Browser, der dann meistens ausschert ist der IE und ihm ist es zu verdanken, dass man einige Zeit länger am Design verbringt als eigentlich nötig.

Ich denke viele Webdesigner ärgern vor allem an der verlorenen Zeit, die Website vom eigentlichen Standard in Richtung IE zu verschieben. CSS schafft da etwas Abhilfe, aber auch das CSS muss ziemlich gebogen werden, um auch den IE zur Mitarbeit zu bewegen.

Ich selber nutze hauptsächlich den Firefox. Den IE kommt gelegentlich zum Einsatz, wenn eine Seite wiedereinmal nur auf den einen Browser zugeschnitten wurde und man keine Rücksicht auf andere Browser genommen hat.

P.S.: Wer den IE benutzt soll das - ist ja jeder für sich selbst verantwortlich :-)

 

[Jack-Ryan]

Was fuer Forderungen? Ich denke mal, wenn er einen Auftrag kriegt, und er ihn auf seine Art ausfuehrt und der Kunde damit nicht zufrieden ist, soll er sich einen anderen suchen. Er hat sich doch nur an die Std. gehalten... (Achja, MS legt nicht die Standards fest)

Die Art, auf die irgendwas ausgeführt wird, legt immernoch der Kunde fest. Gottseidank.
Damit so selbstherrliche "Entwickler", wie hier wohl einige unterwegs sind, nicht komplett dem Grössenwahn erliegen.

Vllt. enwtickelt er ja Webs für den Döner-Laden von neben an. Mag sein, das die sich solche Vorstellungen gefallen lassen.
Unsere Fa. hat schon 'zig Buden gefeuert (ohne Bezahlung wohlgemerkt), weils Dreck war, was die abgeliefert haben und jetzt beschäftigen wir eigene Leute, die GENAU das machen, was die GL vorgibt.
Wie sinnig oder unsinnig das auch sein mag. Aber der, der das Geld bezahlt, hat immer recht.

Und wenn sich dein Kumpel die Kunden aussuchen kann (was ich nicht mal im Ansatz glaube in der heutigen Zeit) dann hat er richtig "Schwein gehabt". Oder halt nur Deppen als Kunden.

Aber das gleitet schon wiedermal derbst vom Topic ab.

Ich denke, die Mod's sollten das hier abschliessen.

Und generell:
Weil die Browser-MS-WindowsvsLinux-etc-News grundsätzlich nicht, aber auch rein garnichts Kontruktives in den dazugehörigen Kommentaren bringen, würde ich empfehlen, dass die Kommentar/Foren-Funktion gleich geschlossen wird.
Nur mal so ein Gedanke am Rande.

 

[BSDDaemon]

Dann bete mal, das Du mit dieser Einstellung nie Geldverdienen musst.
Und seit wann stellt ein Entwickler Forderungen? Ich lach mich schlapp.
In was für einer Traumwelt lebst Du eigentlich?
Was hier für geistiger Dünnschiss gelabert wird, geht auf keine Kuhhaut.

Danke, ich verdiene damit bereits seit vielen Jahren in vielen Bereichen sehr gut. Wer eine gewisse Qualität vorzuweisen hat kann auch Forderungen stellen und/oder sich Kunden aussuchen.

Wenn du als Netzwerkbetreuer problemlos zusiehst wie unsichere Lösungen geschaffen werden oder Firmenportale nicht valide und somit nicht Barrierefrei geschaffen werden ist das für dich ok. Nicht für mich. Wenn sowas rauskommt und mal schief geht geht das nicht auf die Verantwortlichen zurück sondern auf die Entwickler, auch wenn die sich gegen die fehlerhafte Lösung ausgesprochen haben. Das wirst du sicher später im Berufsleben auch noch lernen. Natürlich ist es einfacher zu den Ideen des Vorstandes 'Ja' und 'Amen' zu sagen, aber vorprogrammierte Fehler kommen dann immer wieder auf dich zurück und schon bald heisst es 'Wer hat denn den inkompetenten Deppen eingestellt... entlassen.' Tja, ich bin noch nicht entlassen worden also scheint meine Art korrekt zu sein.

Hmm, und wie nutzt dein Browser den http-Dienst ? Er stellt einen Request auf Port 80, somit wird sehr wohl ein port geNUTZT,

Es wird nur der Port 80 des Hosters genutzt. Mein Port 80 hier ist absolut ungenutzt und es werden auch keinerlei Verbindungen auf Port 80 aufgezeichnet.

Du hast Recht, das du auf Port 80 von außen nicht sichtbar bist, aber in der kurzen Zeit der Verbindung zum Webserver bist du sehr wohl auf diesem speziellen Port sichtbar, du nimmst TCP entgegen und sendest deinerseits ACK's.

Da besteht aber ein kleiner Unterschied. Mein Request kommt über einen x-beliebigen Port der aber von niemanden sonst nutzbar ist. Ein Port der von einem Daemon genutzt wird ist permanent verfügbar und nutzbar. Dieser nur für Requests und auch nur von der Anwendung die den Request erwartet.

Das fällt nur nicht auf, weil kein Mensch einen Port-Scan macht während er surft und die Verbindung nur für ein paar Sekunden besteht.

Ich logge alle Verbindungen mit.

Die Verbindung ist afaik auch nicht einseitig, so wie du es darstellst, schließlich müssen die Daten dich auch erreichen, das geht nur über einen Rückkanal.

Rückkanal != Port - geht über IP/ID. Das sind die 'well known ports'.

Deine FW schlägt nur deswegen keinen Alarm, weil du 1. den Request mit einer bekannten Anwendung angestossen hast

Nope, mein Firewall Konzept ist auf einem extra Rechner realisiert der alles aufzeichnet, auch Requests.

und 2. bei TCP eine Rückmeldung über den ordnungsgemäßen Empfang des Paketes zum Protokoll gehört. Die Antwort des Servers wird auf dem hohen lokalen Port empfangen und die FW ist ruhig.

PCB

Und deswegen wird beim surfen kein Dienst vom Surfer angeboten sondern nur ein Port für den Request bereitgestellt was ein massiver Unterschied zum Bereitsstellen eines Dienstes ist.

 

[The Prophet]

Ich mach hier jetzt auch Schluss, das denn jede News die was mit Sicherheit von Windows zu tun hat so ausartet und vom Thema abweicht...