33 + 3 buone ragioni per non usare Internet Explorer

[simulacron]

Originariamente inviato da Habanero
ripeto per l'ultima volta, dopo di che chiuderò definitivamente il thread, che qui si parla di sicurezza... non si parla di standard, non si parla di caratteristiche fornite dal software etc... questi ultimi argomenti sono già stati trattati abbondantemente nelle altre sezioni del forum.

O rimaniamo in tema o la discussione non ha più senso di esistere.

Guarda che, in questo caso, parlare di sicurezza e di standard ( in senso lato ) è la stessa cosa: se il rispetto degli standard fosse maggiore, ci sarebbero meno problemi anche nella sicurezza.
Oltre tutto se si fanno pratiche monopolistiche fregandosene degli utenti la sicurezza non migliora sicuramente....e non sto parlando della sicurezza o delle caratteristiche softvare ma in senso lato, appunto....

[flessciato]

Infatti Simulacron non ha tutti i torti neanche a dire che gli standard sono DIRETTAMENTE implicati nella sicurezza (io invece ho detto che lo sono per un motivo indiretto... v. sopra).

Proprio a conferma di quanto dice Simulacron, ricordo che tempo fa ci fu un problema su IE (non ricordo il nome del bug) che appunto andava a chiudere i tag propvocando problemi nel sistema operativo... l'interpretazione errata del codice lato utente permetteva ad esempio di eseguire codice nocivo tramite i forum anche se il forum parserizzavano i tag (chiaramente non chiudendoli non veniva rilevato lo script malevolo).

Questo è solo un esempio di come una non perfetta validazione ed interpretazione del codice porti a problemi anche gravi sui picci degli utenti

[Habanero]

Originariamente inviato da simulacron
Guarda che, in questo caso, parlare di sicurezza e di standard ( in senso lato ) è la stessa cosa: se il rispetto degli standard fosse maggiore, ci sarebbero meno problemi anche nella sicurezza.
Oltre tutto se si fanno pratiche monopolistiche fregandosene degli utenti la sicurezza non migliora sicuramente....e non sto parlando della sicurezza o delle caratteristiche softvare ma in senso lato, appunto....

Non mi sembra che il rispetto degli standard del W3C possa minimamente influenzare la sicurezza di un browser... il rispetto dello standard in questo caso determina unicamente come una pagina viene visualizzata.

[simulacron]

Originariamente inviato da Habanero
Non mi sembra che il rispetto degli standard del W3C possa minimamente influenzare la sicurezza di un browser... il rispetto dello standard in questo caso determina unicamente come una pagina viene visualizzata.

.....Nel caso di un browser normale,sì.....
Nel caso di IE, no....

Per un semplice motivo: un browser normale che segue gli standard internazionali la sicurezza dell'applicazione non ha nulla a che fare con il rispetto di questo o quello standard .... .
IE e gli altri prodotti di tipo simile, seguono solo gli standard propri e quelli internazionali quando tornano utile. E' molto più probabile che prima o poi si trovi una falla che verrà usata da qualcuno con intenzioni di varo tipo che, forse non sarebbero stati possibile con un rispetto maggiore delle disposizioni W3C....
Ovviamente questa non è l'unica ragione che fa variare la sicurezza; c'è il tipo di software (proprietario o altro), la destinazione, la creazione e altre ragioni che credo, siano un tantino OT in questa sede....

[Aleida]

Pur non sapendo così dettagliatamente i problemi di Internet Explorer è bastato un consiglio di un amico che mi ha detto non usarlo, non è riuscito a spiegarmi bene il perchè ma nn importa dal giorno uso sempre firefox...

[Shagrath666]

Semplice intuire perchè IE è soggetto a BUG di sicurezza a prescindere.
IE è integrato in Windows cioè è un componente del sistema stesso (vedi velocità di caricamento), quindi un BUG di IE è già un problema di Win.
Firefox è un programma quindi il suo "raggio d'azione" è circoscritto.
Esempio: pochi giorni fa è stato scoperto un bug ritenuto tra i più critici in assoluto degli ultimi anni. Riguarda i file .ANI per le animazioni dei cursori. (non vi annoio con i dettagli tecnici) ma tali file aprivano una falla all'esterno con codice eseguibile da remoto.
Risultato? Basta avere uno di questi file "corrotti" sul Desktop e l'operazione di refresh farebbe crashare in continuo Windows (grazie all'anteprima di IE).
Via mail? Outlook grazie all'anteprima automatica rinnova il problema.
Un sito con tale file? IE apriva una falla in Win.

Secunia ha dichiarato che gli unici browser immuni a tali attacchi sono FireFox ed Opera (consigliati da Secunia stessa finchè Microsoft non patcherà il prob.)
Symantec e Microsoft sono al lavoro ma fino alla patch IE è sconsigliatissimo.

Piccola osservazione personale: (puramente Off Topic)
Se io pago qualcosa essa dovrebbe dare più garanzie rispetto alla concorrenza gratuita ....
Se intuite quanto importante possa essere la sicurezza-stabilità dei vostri sistemi, perchè non dare una smossa alla pigrizia e cercare valide alternative? Linux è abbastanza sicuro rispetto a Win, offre tante alternative validissime in termini di software per gli sviluppatori e per gli utenti generici. Diversi Browser validi come FF, Konqueror, Opera ecc.

Ciao

[tognazzi]

Originariamente inviato da Shagrath666

Esempio: pochi giorni fa è stato scoperto un bug ritenuto tra i più critici in assoluto degli ultimi anni. Riguarda i file .ANI per le animazioni dei cursori.

Secunia ha dichiarato che gli unici browser immuni a tali attacchi sono FireFox ed Opera (consigliati da Secunia stessa finchè Microsoft non patcherà il prob.)
Symantec e Microsoft sono al lavoro ma fino alla patch IE è sconsigliatissimo.

Ciao

pensavo che avessero già patchato :master:
http://www.microsoft.com/technet/sec.../MS07-017.mspx
o questo non c'entra niente con il problema che ha descritto shagrat?

[Shagrath666]

... e no . Io mi riferivo ad un bug di gran lunga più pericoloso in termini di sicurezza e legato strettamente a questo topic, cioè l'uso o meno di IE in termini di sicurezza.

Controllate i seguenti link:

• http://punto-informatico.it/p.aspx?id=1943161 (c'è anche un link al filmato fatto da Symantec)
• http://www.avertlabs.com/research/blog/?p=233
• http://www.microsoft.com/technet/sec...ry/935423.mspx
• http://www.frsirt.com/english/advisories/2007/1151
• http://secunia.com/advisories/24659/ (guardate il livello... "Extremely critical")

Meditate gente. Meditate.

"Carpe Diem Trote Gnam"

[tognazzi]

Originariamente inviato da Shagrath666
... e no . Io mi riferivo ad un bug di gran lunga più pericoloso in termini di sicurezza e legato strettamente a questo topic, cioè l'uso o meno di IE in termini di sicurezza.

Controllate i seguenti link:

http://punto-informatico.it/p.aspx?id=1943161 (c'è anche un link al filmato fatto da Symantec)
http://www.avertlabs.com/research/blog/?p=233
http://www.microsoft.com/technet/sec...ry/935423.mspx
http://www.frsirt.com/english/advisories/2007/1151
http://secunia.com/advisories/24659/ (guardate il livello... "Extremely critical")


Meditate gente. Meditate.

"Carpe Diem Trote Gnam"

e io che pensavo che il bug di prima fosse pericoloso. al peggio non c'è mai fine

[Habanero]

Originariamente inviato da Shagrath666
... e no . Io mi riferivo ad un bug di gran lunga più pericoloso in termini di sicurezza e legato strettamente a questo topic, cioè l'uso o meno di IE in termini di sicurezza.

Controllate i seguenti link:

• http://punto-informatico.it/p.aspx?id=1943161 (c'è anche un link al filmato fatto da Symantec)
• http://www.avertlabs.com/research/blog/?p=233
• http://www.microsoft.com/technet/sec...ry/935423.mspx
• http://www.frsirt.com/english/advisories/2007/1151
• http://secunia.com/advisories/24659/ (guardate il livello... "Extremely critical")

Meditate gente. Meditate.

"Carpe Diem Trote Gnam"

Caro Shragath666, mi sembra che tu abbia le idee un po' confuse.
Quella vulnerabilità ERA una vulnerablità di windows non di IE. La vulnerabilità poteva essere richiamata da un file .ani (gestioni dei cursori animati) malformato se per la sua visualizzazione il browser usava le API di sistema. A quella vulnerabilità era soggetto anche Firefox visto che, per il rendering di un eventuale file .ani scaricato da internet, richiamava proprio l'api vulnerabile. Anzi, su Vista, un eventuale exploit per firefox avrebbe fatto più danni di quello per IE.
http://webnews.html.it/news/leggi/57...anche-firefox/

La vulnerabilità è stata "patchata" da Microsoft, in anticipo rispetto al mensile rilascio di patch, attraverso il bollettino indicato da Tognazzi.
http://www.microsoft.com/technet/sec.../MS07-017.mspx

Cerchiamo di dare informazioni corrette e di non lanciare una inutile caccia alle streghe. La vulnerabilità era indubbiamente grave ma era una vulnerabilità di windows.