Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 134 reacties

Een zero day-beveiligingsprobleem in Internet Explorer raakt, anders dan gedacht, ook Internet Explorer 9. Bovendien zijn ook Windows Vista en Windows 7 getroffen. Naar een getroffen website surfen is voldoende voor besmetting.

Microsoft Internet Explorer 9 logo (90 pix)Het beveiligingsprobleem kwam maandag al naar buiten, maar toen was enkel nog duidelijk dat Internet Explorer 7 en 8 op Windows XP waren getroffen. Nu blijkt dat ook Internet Explorer 9, de nieuwste publieke versie van de browser, kwetsbaar is voor misbruik van het beveiligingsprobleem. Een zero day is een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

Bovendien manifesteert het probleem zichzelf niet alleen op Windows XP, maar ook op het beter beveiligde Windows Vista en Windows 7. Overigens is Internet Explorer 6 op XP eveneens kwetsbaar, maar gebruik van die versie is toch al af te raden. Internet Explorer 10, dat later dit jaar uitkomt en al in de release previews van Windows 8 zat, is niet getroffen.

Microsoft zegt het probleem in onderzoek te hebben en op de hoogte te zijn van misbruik van het beveiligingsprobleem. Het gaat om een probleem met de manier waarop Internet Explorer omgaat met objecten die zijn verwijderd of die op een verkeerde manier geheugen toegewezen krijgen. Een oplossing is nog niet beschikbaar, maar Microsoft raadt systeembeheerders aan om Active X-objecten standaard te blokkeren en de Enhanced mitigation experience toolkit uit te rollen.

Reacties (134)

Reactiefilter:-11340120+166+28+30
Moderatie-faq Wijzig weergave
Ik heb net even aan de slag gegaan met de nieuwe exploit en wanneer DEP (Data Execution Prevention) op een full patched Windows 7 staat ingeschakeld, vangt Internet Explorer 9 de exploit op en werkt deze niet.

Dit geeft misschien een beter gevoel van veiligheid voor alle paranoïde mensen die zeggen dat Internet Explorer poep is. In dit geval vangt hij het netjes op.
Als DEP een vereiste is dan vangt IE9 de exploit dus niet op maar DEP (in combinatie met het OS). Credit where credit is due!

DEP is bedoeld om fouten in brakke software op te vangen en te voorkomen dat ze als exploit gebruikt worden. De software wordt er niet op magische wijze intelligenter / foutlozer van.
Active-X componenten vertrouw ik sowieso nooit helemaal omdat het teveel rechten op je systeem krijgt. Bovendien keur ik applicaties af die deze techniek afdwingen (en dus afdwingen om Internet Explorer te gebruiken).
Alle plugins zijn in IE effectief ook active-x componenten (bv flash plugin) en die hebben niet meer rechten dan je browser proces. Meestal lager omdat ze in protected modus (sandbox) draaien.

[Reactie gewijzigd door hAl op 18 september 2012 10:36]

Da's makkelijk praten, maar als je het zakelijk gebruikt dan moet je het wel gebruiken.. kun jij het willen of niet..

Overigens gebruik ik al jaren IE met plezier.. het toont me wat ik wil zien.. en het zit er standaard bij (windows dan) , dus lekker makkelijk... :-)
Als je altijd een lada rijd en nooit een (gratis) ferari geprobeerd heb weet je ook niet wat je mist.
Ik hoop dat Microsoft er bovenop zit om dit te fixen!
Dit is al gebeurd. DEP zorgt ervoor dat de exploit niet werkt. Tenzij je DEP uit hebt staan natuurlijk.
Meer info: http://www.kb.cert.org/vuls/id/480095 . Maar ik begreep dat men ASLR al omzeild met spraying en voor DEP zijn ook truken beschikbaar.
Manifasteert het probleem zich ook als de UAC nog aan staat op win7? Of dan niet meer omdat msie dan in de sandbox draait?
Deze hele post is tot nu toe weer een domme discussie over IE vs AndereBrowsers™ geworden, en de werkelijke interessante discussie wordt inderdaad weer niet gevoerd.

Zoals ik het begrepen heb:
1) je moet langs een website gaan die gehacked is, of waar een advertentie staat die gehacked is.
2) via deze hack wordt een 'nep' Flash component gestart en gebruik gemaakt van een lek in Flash om kwaardaardige code te started. Alternatieven zijn een Java lek.
3) deze kwaadaardige code kan dan een 2e programma in jouw internet cache zetten
4) dit 2e programm kan dan uitgevoerd worden onder het user-account waarin je ingelogd bent.

Dit artikel gaat enkel over (3), maar de hele keten van 1 t/m 4 is nodig om jou te besmetten.

Dus als je UAC hebt aanstaan kan alleen jouw user-account besmet worden en zijn allerlei OS zaken buiten bereik van de kwaardaardige code.

Maar ook, als je Flash niet actief hebt op je PC of zodra Flash deze bug in hun code fixt, stop de keten ook.

Had je een virusscanner die dit 2e programma herkende (stap 4) was het ook geen probleem geweest. (Of als de virusscnanner de code van stap 3 herkent had, maar het lijtk erop dat geen enkele scanner dat vandaag de dag doet.)


Maar wellicht vergis ik me. Vul me dan gerust aan.


Ikzelf raad iedereen altijd het volgende aan:
- verwijder Flash van je computer. Kijk YouTube op je telefoon op Pad. Scheelt je ook nog eens X adds op websites.
- verwijder Java van je PC. Enkel bepaalde bedrijfs software heeft dat doorgaans nog nodig.
- verwijder of disable the Acrobat Reader plugin. Download the PDF en lees zo. Twee klikken meer.

Op dat moment zijn het overweldigende deel van de exploits niet meer in staat jouw PC te besmetten zelfs al zou je onverhoopt op een foute website of add komen. Ik weet het niet voor iedereen mogelijk, maar ik denk voor meer gebruikers dan je denkt iets wat geen enkel probleem oplevert.

[Reactie gewijzigd door Armin op 18 september 2012 20:30]

Helaas is de volgende statement niet waar:

"Dus als je UAC hebt aanstaan kan alleen jouw user-account besmet worden en zijn allerlei OS zaken buiten bereik van de kwaardaardige code."

Dit heet privacy escalation en is, wanneer de kwaadaardige code op jouw machine staat, erg makkelijk om te verkrijgen. Vaak zullen exploits al een ingebouwde omzeiling van de rechten bevatten waardoor, via de exploit, bijna altijd administrator rechten zullen worden verleent.
Deze hele post is tot nu toe weer een domme discussie over IE vs AndereBrowsers™ geworden, en de werkelijke interessante discussie wordt inderdaad weer niet gevoerd.
Klopt. IE heeft fans (al begrijp ik dat zelf dan weer niet) en de andere browsers ook, maar de meeste van die voorkeuren zijn niet op feiten gebaseerd en slechts persoonlijk 'ik vind deze browser fijn en die andere niet'. Feit is wel dat het niet uit zou mogen maken maar helaas is de dominante browser degene die afwijkt.
Dit komt iedere keer terug en zal nooit veranderen.

Echter
Zoals ik het begrepen heb:
1) je moet langs een website gaan die gehacked is, of waar een advertentie staat die gehacked is.
Er zijn genoeg websites die recent hiermee te maken hadden. Feit is in ieder geval dat je er dus helaas van uit moet gaan dat iedere site malware kan serveren.
2) via deze hack wordt een 'nep' Flash component gestart en gebruik gemaakt van een lek in Flash om kwaardaardige code te started. Alternatieven zijn een Java lek.
Java is voor steeds minder websites noodzakelijk maar Flash zal voorlopig nog niet uitsterven. Feit is wel dat je in veel browsers met plugins Flash en Silverlight kunt blokkeren (in Opera heb je daar zelfs geen plugin voor nodig) en dus zal een besmetting al een stuk onwaarschijnlijker worden. Met Flashblock moet je dus al expliciet een Flash activeren, een niet zichtbaar exemplaar wordt dus niet uitgevoerd.
HTML5 is misschien veiliger maar daar kun je dergelijke elementen dus nog niet uitschakelen.
3) deze kwaadaardige code kan dan een 2e programma in jouw internet cache zetten
4) dit 2e programm kan dan uitgevoerd worden onder het user-account waarin je ingelogd bent.

Dit artikel gaat enkel over (3), maar de hele keten van 1 t/m 4 is nodig om jou te besmetten.
Dus als je UAC hebt aanstaan kan alleen jouw user-account besmet worden en zijn allerlei OS zaken buiten bereik van de kwaardaardige code.
Die hele keten komt vaak genoeg voor. UAC zou ik niet op vertrouwen, de meeste gebruikers klikken toch op OK, Yes of Ja omdat ze dat gewend zijn.

Doen ze dat niet dan wordt immers meestal de pagina niet goed weergegeven/uitgevoerd, of het bedoelde programma niet gestart en kunnen ze niet doen wat ze wilden of moeten doen.

Zelfs als ze zich realiseren dat er een beveiligingsrisico is (dat ze verder niet af kunnen vangen) dan zullen ze dus die keuze maken. Met beperkte accounts, bv in een bedrijfsomgeving zit je dan iets veiliger maar er zijn ook exploits voor user-elevation.
Maar ook, als je Flash niet actief hebt op je PC of zodra Flash deze bug in hun code fixt, stop de keten ook.

Had je een virusscanner die dit 2e programma herkende (stap 4) was het ook geen probleem geweest. (Of als de virusscnanner de code van stap 3 herkent had, maar het lijtk erop dat geen enkele scanner dat vandaag de dag doet.)
Virusscanner die werken op basis van signatures lopen altijd achter de feiten aan en heuristische scanners leveren een te hoge ratio false-positives op (bij mij thuis werkt de energiebesparingsmodus niet meer omdat Avast de Lenovo software als malware aanmerkte. Ook met meldingen betreffende false positives in de Clamwin en Immunet signature-files dezen ze niets. Na Antivir en AVG heb ik nu dus ook Avast afheschreven. )

In Flash worden in zo'n hoog tempo nieuwe kwetsbaarheden ontdekt dat ik daar maar niet teveel op zou rekenen. Ja het updatetempo van Flash ligt ook hoog maar je weet nooit wat er nog niet ontdekt is en malwaremakers, bedrijfs-spionnen en geheime diensten zullen nooit vrijgeven wat zij gevonden hebben.

Nu gaan er verhalen dat er bewust achterdeurtjes ingebouwd worden speciaal voor de Amerikaanse geheime diensten, die anderen dan weer af doen als absurd. Uit te sluiten dat dit niet het geval is, is het echter niet. Zelfs de backdoor in de BSD-network-stack werd pas meer dan 10 jaar na dato ontdekt. Recentelijk werd zelfs ontdekt dat er in hardware heel eenvoudig backdoors ingebouwd kunnen worden.
Maar wellicht vergis ik me. Vul me dan gerust aan.
Bij deze dus
Ikzelf raad iedereen altijd het volgende aan:
- verwijder Flash van je computer. Kijk YouTube op je telefoon op Pad. Scheelt je ook nog eens X adds op websites.
Ik gebruik Flashblock tot grote tevredenheid. Mijn telefoon draait geen Flash. Op mijn tablet vindt ik het niet stabiel genoeg, gebruik ik liever de ingeboude Youtube-app.
- verwijder Java van je PC. Enkel bepaalde bedrijfs software heeft dat doorgaans nog nodig.
Na een tijd er niet op gehad te hebben (laatste LibreOffice-installatie bewust zonder gedaan) het er nu weer op gezet omdat de VPN met mijn werk het anders niet doet.
- verwijder of disable the Acrobat Reader plugin. Download the PDF en lees zo. Twee klikken meer.
Doe ik al jaren. Ten tijde van firefox 1,5 ontdekte ik al dat op mijn Celeron 466 en Duron 850 IE bleeft hangen op die plugin terwijl FF en Opera (waarvoor er toen nog geen plugin was) gewoon de Reader openden. In die tijd schakelde ik overigens ook over op Foxit Reader die bij mij nu weer een paar jaar vervangen is door SumatraPDF. Laatste gebruik ik nu naast Adobe Reader X vanwege het niet juist weergeven van sommige handleidingen.
Op dat moment zijn het overweldigende deel van de exploits niet meer in staat jouw PC te besmetten zelfs al zou je onverhoopt op een foute website of add komen. Ik weet het niet voor iedereen mogelijk, maar ik denk voor meer gebruikers dan je denkt iets wat geen enkel probleem oplevert.
Er zijn altijd nog andere beveiligingsgaten, met name die in de browsers zelf. Als we echter kijken naar welke browsers deze gemiddeld het snelst patchen dan heeft IE niet zo'n best track-record ook al is het aantal ontdekte kwetsbaarheden in FF iets hoger. Voor mij is er echter niet één browser die op alle punten maximaal scoort. Daarom gebruik ik er op dit moment drie* door elkaar (eigenlijk 4 maar twee zijn chromium-based, dus vrijwel gelijk) en houdt ik er nog een paar in de gaten.

*Zelf vind ik over-all Opera het fijnst maar daar is het printen zwak en mis ik enkele plugins. Firefox/Pale Moon print het best en heeft de beste plugins (o.a. de onmisbare Plainoldfavorites en Preserve Download Modification Timestamp) maar vind ik sinds versie 2.0 traag (is sindsdien wel verbeterd) en gaat sinds versie 12 weer achteruit. Chromium heeft ook positieve kanten maar mist genoemde plugins en het elke tab een eigen proces draait niet lekker met heel veel tabs open. K-Meleon zitet er dan weer ouderwets uit en de knoppen zijn weer net iets te klein.
Dat is best een pittig beveiligingsgat! Gelukkig is Microsoft tegenwoordig wel erg snel met het dichten van dit soort gaten. Het feit dat het echter zoveel versies en besturingssystemen raakt is zorgwekkend.
Heeft iemand IE 10 al getest? Het lijkt alsof dit een probleem is wat redelijk in de 'core' van het programma zit.
Non-Affected Software
Internet Explorer 10

http://technet.microsoft.com/en-us/security/advisory/2757760

[Reactie gewijzigd door djeck op 18 september 2012 10:26]

Dat zei Microsoft eerder ook al over Internet Explorer 9. Dus hoe betrouwbaar dat is...
Dat zei Microsoft eerder ook al over Internet Explorer 9.
Volgens mij verzin je dat. Microsoft heeft hiervoor nog helemaal geen reactie gegeven.
Geef anders maar eens een bron

[Reactie gewijzigd door hAl op 18 september 2012 10:40]

Volgens mij vergiste hij zich alleen maar.
Het vorige item (https://tweakers.net/nieu...rdt-actief-misbruikt.html) zei nadrukkelijk dat het probleem in IE9 niet bestaat.

Aangezien Microsoft het probleem nu pas gevonden lijkt te hebben, lijkt het me geen onlogische vraag of IE10 ook getroffen is, zelfs als MS zegt dat dat niet zo is. Dan zouden ze het namelijk "per ongeluk" opgelost moeten hebben (kan best, door vervangingen van delen van de engine), of het verzuimd moeten hebben de fix te backporten.

Ik ben eerlijk gezegd benieuwd.
Al zou het onbetrouwbaar zijn, veel meer heb je niet. Of wilde je zelf alle exploits voor IE6/7/8/9 ook op IE10 gaan testen :?
Er had gisteren al iemand IE9 getest en de exploit werkte daar niet op. Ook niet op IE8 op Windows7.
Kan natuurlijk zijn dat de vunerability er ook wel inzit maar dat de betreffende exploit niet geschikt is om die te exploiteren.
Testen op IE10 heeft dus weinig zin tenzij er al specifiek een exploit voor geschreven is

[Reactie gewijzigd door hAl op 18 september 2012 10:25]

Tja, en als je het artikel moet geloven dan zou IE9 dezelfde exploit hebben en ook onder Windows 7 het probleem zich voordoen..

Dus de vraag dan is, klopt het artikel wel of is het de zoveelste BS die gewoon rechtstreeks overgenomen is van andere newssites zonder het zelf eerst te controleren..
Ja, is al getest ( lijkt me uit onderstaande zin uit het artikel ).
Internet Explorer 10, dat later dit jaar uitkomt en al in de release previews van Windows 8 zat, is niet getroffen.
Zo groot is het gat helemaal niet. In het ergste geval krijgt malware toegang tot hetzelfde security niveau als de user. In het geval van Vista en W7 betekent dat dus per definitie 'user-level' security, en niet admin level. Betekent dat de malware nauwelijks iets gevaarlijks kan doen.
Eigenlijk dus alleen voor XP gebruikers met admin rechten een probleem.
Helaas zijn er ook onder Vista en W7 nog vrij veel gebruikers die op admin-level werken (waaronder naar schatting zo'n 75% van de tweakers die die versies van Windows gebruiken ;) ).
ik zou niet weten welke ........ *relogged even snel naar user* standaard onder het admin account werkt.

Maar zelfs als dat al niet zo is is dit erg genoeg,
er zijn zat standaard hacks om van user permissions naar admin permissions te komen (ervan uitgaande dat de gebruiker OOK een admin account heeft\gebruikt)
Naast dat je dus alle documenten van die gebruiker kunt benaderen (en zijn cookie store en weet ik veel wat) is het vervolgens mogelijk om met een tweede exploit verder te komen. Ik weet dat beheerders voornamelijk remote exploits fixen en local exploits veelal later gepatched worden (onder het mom: dan moet alles opnieuw getest worden).
Poeh, dat zeg jij. Hier bij ons (financiele sector) werden ze helemaal geflipt van weer de zoveelste open deur in IE. Dit gat is echt een zeer serieus probleem.
Omdat dit nu net een paar keer te vaak gebeurd is heeft de CIO nu eindelijk de knoop doorgehakt, IE wordt gedisabled op alle PCs (geen idee hoe ze dat doen, wellicht policies of zo). Alle interne websites die nu nog IE vereisen worden in hoog tempo vervangen (zelfs een paar die net nieuw zijn) en zijn in de tussentijd alleen nog via terminal server te benaderen, dat was al tijden geleden aangeraden door ons team (archicture). Had overigens liever gehad dat ze voor de Xen Virtual desktop optie waren gegaan, dan hadden we tenminste hardened systemen kunnen gebruiken voor de belangrijkste applicaties.

[Reactie gewijzigd door loetje6 op 18 september 2012 13:10]

wie gebruikt er nog IE :X zet me maar in de - maar is toch een onlogische browserkeuze? En IE-only websites zie je heden dag nauwelijks nog. Ook ontwikkelaars en uitgevers zien dat platform/browser onafhankelijke oplossingen de toekomst zijn.
Een oplossing is nog niet beschikbaar, maar Microsoft raadt systeembeheerders aan om Active X-objecten standaard te blokkeren en de Enchanced mitigation experience toolkit uit te rollen.
ofwel, wederom active-x wat het probleem geeft :N
En waarop baseer je je bevinding,?
5000 werkplekken

technische onderbouwing:
- vervallen van bookmarks en verwijzingen vanuit het register
- crappy update systeem; afhankelijk wanneer MS een patch uitbrengt, moet gebruiker die installeren. Gebruikers klikken niet op update knopjes - duurt het alleen maar langer
- Active-x :r verder geen toelichting nodig
- do not track, niet volgens de afspraken
- MS hanteerd nog altijd hun eigen protocollen en richtlijnen, w3c anyone?
- Diverse instanties en beveilginsbedrijven adviseren anders
- Duitse overheid raadt gebruik IE sterk af, en adviseert haar burgers FF/Chrom/Opera te gebruiken
- printer problemen, aansturing of wijzingen worden niet kloppend overgenomen
- verkeerd update model, kijk eens naar je concurenten, gebruiker ervaart dit neit als hinderlijk.
- blijft propriëtaire meuk :+ maar dat zal ook nooit wijzigen
- etc. etc.

en als jouw bank jou opdring 1 bepaalde browser te gebruiken, stinkt het gewoon naar amateurisme. laatste dat ik daar me geld zou stallen

[Reactie gewijzigd door himlims_ op 18 september 2012 11:15]

Wat een vraag. Het aandeel IE is heel hoog. En met IE10 in W8 RTM heeft MS naar mijn ervaring weer de beste browser. Daardoor juist een logische keuze.
En denk maar eens aan webkit en wat voor geneuzel daar onlangs mee was.
Een perfect browser is er niet, maar op dit moment is IE10 onder W8 RTM de beste browser voor mij. Misschien ook eens proberen?
Het is een goede browser ja, en sinds lange tijd staat hij bij mij ook terug als standaard browser in de Windows 8 interface (al gebruik ik nog regelmatig Chrome ernaast).
Ik blijf wel kleine zaken missen, filmpjes op websites werken niet altijd goed (zelfs embedded Youtube wil hij soms gewoon niet tonen) doordat er maar beperkte Flash ondersteuning is (zelfs de iPad speelt ze af, waarom IE10 dan niet?).
En Adblock plus is toch een plugin die ik mis voor sommige websites, maar dat is de ramp niet. Het meest dwaze is dat de filmpjes wel afspelen in de desktop versie van de browser.
En op de site xbox.com krijg je doodleuk de melding: "The site live.xbox.com uses add-ons that require Internet Explorer on the desktop". Dat is wat raar voor een site van Microsoft zelf die dus eigenlijk zegt "de 'Metro' browser is (voorlopig?) slechts een basisbrowser, voor een volledige internet ervaring moet je een andere openen. Hij staat dus zeker nog niet op punt, voor de gebreken gebruik ik dus Chrome.
Omdat je YouTube niet op HTML5 hebt staan, waarschijnlijk. En voor Adblockers, klik op het tandwieltje > Go to Pinned Sites. Daar klik je op Traceerbeveiliging-lijsten en je kiest er eentje uit (beter schakel je over naar de Engelse site als je op de Nederlandstalige zit). Deze TPL werken als Adblockers en doen hun werk meer dan uitstekend.
Ik kan het alleen maar met je eens zijn. Nouja, niet dat IE10 de beste browser voor mij is, want dat zal Opera nog altijd zijn, maar het werkt lekker handig. Ook met de Windows 8 interface waar je het makkelijk en snel kunt opstarten. Dit is misschien één van de weinige W8 applicaties die ik zo gebruik.

Alle browsers hebben zo hun zwakke punten en geen één is perfect. Hoe meer een browser wordt gebruikt, hoe interessanter het is om deze te misbruiken. Chrome is pas geleden ook 3 keer op één dag gekraakt tijdens zo'n wedstrijd terwijl ze zeggen dat dit een veiligere browser zou zijn omdat deze in een sandbox draait. Het beste zou zijn als browser makers niet van de daken zouden schreeuwen dat ze de best beveiligde browser hebben. Dan wordt het alleen maar uitdagender om deze beveiliging toch te omzeilen. Helaas is dat markttechnisch wat minder slim.
Ik kon de synchronisatiefunctie van iexplore en de extensie Adblock niet echt makkelijk vinden...
En waarop baseer je je bevinding, dat het een onlogische browserkeuze is? Is dat je emotionele gevoel dat spreekt, of kan je het ook technisch toelichten?

IE only websites heb je nog wel degelijk. Ik hoef alleen maar naar een ABN bankpakket te kijken, dat in veel bedrijven gebruikt wordt. En dan heb ik het topje van de ijsberg nog niet eens te pakken. En vergeet niet dat veel bedrijven IE draaien, vanwege GPO en het beheer een stuk vergemakkelijkt.

Daarnaast vind ik persoonlijk IE9 aangenaam werken. Maar net als Chrome en Firefox zijn dat persoonlijke voorkeuren.
http://support.google.com...pic=1064262&ctx=topic
GPO voor Chrome

[Reactie gewijzigd door Rinzwind op 18 september 2012 10:45]

Die GPO werkt inderdaad heel netjes. Deze GPO gebruiken wij ook op alle werkplekken (500 medewerkers). De developers maken gebruik van FireFox/IE/Crome. Maar natuurlijk firefox/chrome als standaard. ( IE omdat het moet )
Ik heb hem al draaien. Maar dat doet niets af aan het punt, dat het voor veel systeembeheerders een pluspunt is om IE te draaien om GPO redenen :)
En voor gebruikers zijn beheerders met GPOs vreselijk. Moet je een website testen kun je geen self-signed certs gebruiken en mag je ook niet de setting aanpassen om dit toch te doen...
En voor veel gebruikers is het gebruik van self-signed certificaten geheel niet belangrijk.
Dat je het niet eens bent me je beheerder hoeft geen nadeel te zijn van de technologie ;)
Meer nog, het feit dat je aangeeft dat de policy werrkt en niet te omzeielen blijkt, is juist "by design"
Het feit dat je aangeeft dat de policy werrkt en niet te omzeielen blijkt, is juist "by design"
Dat kan een zegen zijn of een vloek. Feit is dat het hele systeem van policies werkt met templates waardoor je niet gemakkelijk één beperking kunt invoeren maar een pakket moet selecteren en (eventueel) aanpassen. Dat betekent dat er al gauw te veel geblokkeerd wordt.

Gebruikers die internet-apps gebruiken doen dat vaak ook om verschillende redenen. De ene zoekt alleen telefoonnummers en adressen op, de andere maakt doet betalingen, houd de boekhouding bij (is tegenwoordig ook vaak online, dan kan de accountant er makkelijk bij, vaak werkt men zelfs op de server van de accountant) en doet aangiftes bij de belastingdienst (omzetbelasting moet meestal maandelijks).

Beide voorbeelden hebben een totaal verschillende behoefte aan veiligheid en mogelijkheden.

De meeste werknemers vallen dan misschien wel binnen de default-profielen, er zijn altijd uitzonderingen. Met name bij grote bedrijven is er vaak sprake van een mismatch daartussen omdat iets over diverse managementlagen heen goedkeuring moet krijgen. Die managers moeten dus ergens de noodzaak van inzien en hebben meestal al tijd tekort.
Haha, ja laten we totaal geen GPO, EMET, AV of Firewall, etc gebruiken, omdat er gebruikers zijn die dat irritant vinden. Als je iets wil wat niet toegestaan is volgens GP, dan vraag je een aanpassing aan bij je systeembeheer voor jouw specifieke OU. Grapjas :)
Dan mag je op een gegeven moment voor iedere werknemer een OU aanmaken.
En dan moet je die gebruikers wel verrekte goed kennen als je voor hen de policies gaat instellen. Pietje weet wel wat hij doet maar keesje klikt op alles wat hij tegenkomt, met voorkeur de van bekenden binnenkomende grappige e-mails en dus ook de door wormen verstuurde troep.
IE9 loopt nog steeds achter. CSS3 animaties werken niet waardoor veel informatie/product sliders niet goed werken. Dit is een belemmering in de vooruitgang, want de performance van dusdanige sliders is op mobiele apparaten veel beter dan volledige Jquery varianten.

Voorbeeld:
http://demo.tutorialzine.com/2012/02/css3-product-showcase/

Zeker voor mensen met Webshops zoals ik, voegen dergelijke animaties erg veel toe.
IE10 komt vermoedelijk in oktober uit en dan loopt die weer voor.
Laten we even aannemen dat IE 10 voorloopt bij uitkomen. Dan is dat na drie dagen weer voorbij, omdat Microsoft nooit iets toevoegt, behalve beveiligingspatches.
Zolang Microsoft deze idiote niet-updaten-politiek blijft hanteren, blijft IE per definitie een blok aan het been.
Ik draai hier IE10 op Windows 8 en kan je iig zeggen dat er geen animatie zit als ik de bovenstaande URL inlaadt.

Kan natuurlijk ook aan de code liggen dat ie deze bij IE niet laadt...
Nee dan loopt ie bijna gelijk.
Hahahahahahahaha, zucht. Jij bent toch een ongelooflijke Microsoft fanboy. Waarom zou iemand jou geloven, jij zult toch nooit iets objectiefs over MS melden. Laat staan negatief.

IE die ergens mee voor loopt, de gedachte al.

Ik ben bezig met een applicatie in Wicket, ik heb een bepaalde property van een textarea nodig. Zit al tijden in chrome en Firefox maar in IE pas vanaf versie 9, die is alleen niet beschikbaar voor xp gebruikers.
Erg vermoeiend dat IE.

[Reactie gewijzigd door erikdenv op 18 september 2012 22:34]

Als ik die CSS door de W3C validator haal zegt ie dat het geen valide CSS3 is. Dus het verbaast me daarom niet echt dat het er in IE anders uitziet dan in FF of Chrome.
De W3C validator is al jaren een richtlijn en geen bewijs voor wat dan ook. Ik durf te wedden dat meer dan 90% van alle websites die je bezoekt niet door de validator heen komt.

Het inzetten van het oordeel van de validator als een staving van je "goede code" is een enorm verouderd excuus. Daar komt bij dat CSS3 regels vaak nog lang niet gestandaardiseerd zijn, en dus al helemaal niet "valid".
IE only websites heb je nog wel degelijk. Ik hoef alleen maar naar een ABN bankpakket te kijken, dat in veel bedrijven gebruikt wordt.
Ik hoop van harte dat je hier een grapje maakt. Het kan toch niet serieus zo zijn dat een pakket van een bank als ABN/Amro maar op 1 specifieke browser werkt. Als het je aan webstandaarden houden al te moeilijk is voor de bank dan zet ik vraagtekens bij de rest van de automatisering.

Ik zit zelf bij een andere bank maar dit klinkt als broodje aap of als grove incompetentie, ik gok (en hoop) het eerste.

P.S. maar een kwart van de tweakers gebruikt IE. En op Windows 7 maar 1/3 volgens het niet onafhankelijke Microsoft.
SAP anyone? Zelfs IE heeft het moeiljk met wat SAP-weboplossingen uitbraken en dan hebben we het nog niet over 't feit dat het totaal niet werkt in FF.
Ik denk niet dat een softwarepakket dat teert op overbetaalde consultancy een referentie is :).
sterker nog, als je steam gebruikt, gebruik je ook internet explorer.
de build in steam browser gaat lekker via IE :/
Recent gebruikt deze nu Webkit : http://en.wikipedia.org/wiki/Trident_(layout_engine) (ergens onderaan)
Mijn vader gebruikt alleen maar IE, moet van geen andere browser weten. Mensen die weinig weten van computers gebruiken gewoon de standaard browser die in Windows zit. Ze nemen gewoon de moeite niet om een andere browser te installeren. En zo'n mensen zijn er genoeg.

Ik ben het er ook wel mee eens dat MS zijn updatemodel van IE moet veranderen en dat van FF en Chrome gebruiken, anders lopen ze veel te ver achter.

[Reactie gewijzigd door Fredi op 19 september 2012 00:40]

Daarnaast vind ik persoonlijk IE9 aangenaam werken. Maar net als Chrome en Firefox zijn dat persoonlijke voorkeuren.
Ik gebruik behalve FF ook ipv IE Maxthon 3 gebruikt ook de IE engine.Werkt snel en er is een mobiele versie van.
IE is in de laatste versies een degelijke browser geworden, niets mis mee. En elke browser heeft vroeg of laat te maken met bugs die gevaarlijk kunnen zijn.
Iedere software heeft bugs, dat is het probleem ook niet. Dat zit hem meer in de kunstmatig uitgerekte life cycle van de MS browsers.

Als Microsoft simpelweg z'n browser automatisch had geupdatet en vaker releases had gedaan, hadden dit soort beveiligingsproblemen veel minder impact gehad. Maar nu zijn veel gebruikers afhankelijk van de grillen van MS en systeembeheerders, die up hun beurt weer bang zijn voor crappy software die stuk gaat bij een upgrade.
Tuurlijk, MS moet gebruikers dwingen om naar de laatste versie te gaan. De wereld (en alle rechtbanken) zouden te klein zijn als ze dat zouden doen...
Hoezo dat? Zeg dat het om beveiligingsredenen is en niemand klaagt.

De enige reden dat de wereld te klein zou zijn is voor het grote feest van web-programmeurs wereldwijd als ie6 t/m 8 verdwijnen.
Dat deden ze toen ze aankondigde dat IE zich automatisch zou gaan updates (terwijl Firefox en Chrome dat al langer deden) en van toen kon ik mij zinnen herinneren zoals deze, hier op Tweakers:

"F*ck of M$, ik bepaal zelf wel welke versie ik gebruik!"

En ik mag er toch wel van uitgaan dat degene die dit soort dingen zeggen maar toch op Tweakers zitten wel weten dat het ook om beveiliging gaat.
Het ligt niet aan MS dat mensen nog met oude versie van IE werken. Dat ligt echt puur en alleen aan de gebruikers/systeembeheerders.
Probeer maar IE9 op Windows XP te installeren, dat gaat niet. We gaan niet om IE al onze stations voorzien van Win7. Ondertussen raad ik onze gebruikers af om IE te gebruiken (behalve voor specifieke software die plugins hebben gemaakt voor IE).
Ik kom trouwens, tot mijn ongenoegen, vaak genoeg sites tegen die het best werken met IE (DELL, Autodesk, etc).
Installeer eerst maar eens de laatste Chrome op een 11 jaar oude RedHat en dan praten we weer verder ...

Omdat XP zo'n ontzettend goed OS was dat mensen vandaag de dag het nog gebruiken, is moeilijk als argument tegen Microsoft te gebruiken. Microsoft moet dus perse hun IE9 maar aanpassen en ondersteunen op XP?

Als je XP gebruikt is dat op eigen risico. Ik heb zelf overigens ook nog een XP machine, dus ik snap heel goed waarom mensen het niet nodig vinden om te upgraden, maar ik ga dan niet mekkeren dat ik daardoor enkel IE8 kan installeren op die PC met alle gevolgen (veiligheid/compatibiliteit) van dien.
Misschien moet je ook geen 11 jaar oud OS blijven gebruiken...
Je zou verbaasd zijn hoeveel bedrijven nog met XP werken. Ik doe zelf migraties en schrik me echt dood wat voor oude meuk er gebruikt wordt bij sommige multinationals. Windows95 machine waar 1 applicatie op gehost wordt is helaas geen uitzondering. Windows NT en server 2000 kom ik ook nog regelmatig tegen. Het probleem is dan vaak dat dit business critical applicaties zijn waarvan de uitgever allang niet meer bestaat, niemand weet hoe het in elkaar zit en ze niet geschikt zijn voor (bijvoorbeeld) windows7 of hogere browsers dan IE6.
ik gebruik met groot plezier altijd al IE, en na jou post heb ik geen enkele reden gekregen om ineens over te stappen op chrome of FF. je post zou misschien zinvoller geweest zijn als je ook werkelijk wat meer onderbouwing zou hebben toegevoegd.
Of ik het leuk vind of niet, ik heb voor een bepaalde ERP applicatie op mijn werk Internet Explorer nodig.
Natuurlijk heb ik andere browsers ook geprobeerd, maar het kreng is zo krakkemikkig geprogrammeerd dat die andere browsers het niet doen. Sterker nog: IE doet het ook alleen in compatibility mode (het was oorspronkelijk voor IE6 geschreven).
Mag ik je dan een TerminalServer/Winframe/whatever oplossing aanraden? Dat is een redelijk eenvoudige workaround en verwijderd de dependencies op werkstation nivo. Systeembeheerders kunnen dan eindelijk normaal gaan patchen op de PCs
- crappy update systeem; afhankelijk wanneer MS een patch uitbrengt, moet gebruiker die installeren. Gebruikers klikken niet op update knopjes - duurt het alleen maar langer
Dan heb je het updaten van Windows in je bedrijfsnetwerk gewoon niet goed voor elkaar.
- do not track, niet volgens de afspraken
Wat niet in alle versies van IE beschikbaar is, daarnaast: wat heeft dit te maken met het 0-day lek?
- MS hanteerd nog altijd hun eigen protocollen en richtlijnen, w3c anyone?
w3c is ook niets anders dan recommendations het geeft geen vaste standaarden uit, het is niet heilig.
- Duitse overheid raadt gebruik IE sterk af, en adviseert haar burgers FF/Chrom/Opera te gebruiken
Point being? Leuk dat zij dat adviseren, betekend niet dat IE gewoon 'standaard' aanwezig is op een PC, zodra je Windows geïnstalelerd hebt en is het alsnog makkelijk om een dergelijk 0-day lek te misbruiken.
- printer problemen, aansturing of wijzingen worden niet kloppend overgenomen
- verkeerd update model, kijk eens naar je concurenten, gebruiker ervaart dit neit als hinderlijk.
- blijft propriëtaire meuk :+ maar dat zal ook nooit wijzigen
- etc. etc.
Veel gebash, weinig inhoudelijks; mijn advies: stap over op Linux, dan heb je al dit gedoe niet, krijg je er wellicht wel anderen bij, maar hoef jij niets meer te maken hebben met Microsoft, zou zeggen, overweeg het.
en als jouw bank jou opdring 1 bepaalde browser te gebruiken, stinkt het gewoon naar amateurisme. laatste dat ik daar me geld zou stallen
Ookd it heeft inhoudelijk niets te maken dit lek, je slaat de plank compleet mis in ieder geval.

[Reactie gewijzigd door CptChaos op 18 september 2012 12:26]

Wat een onzin zeg, elke browser heeft zn eigen problemen, geen browser is perfect of 100% veilig, zodra je dat denkt ben je echt heel erg naief..

Pleurt toch op met je zogenaamde 'technische onderbouwing':
-Active-x: niets mis mee als men dat wil gebruiken, overige browsers hebben andere technieken die net zo bagger zijn.
-do not track: WEL volgens de afspraken, maar NIET zoals de designer het bedoeld had (maar wat meneer bedoelt en wat meneer in de specificaties zet zijn 2 compleet verschillende dingen).
-w3c: ELKE! browser manufacterer bedenkt hun eigen protocollen, en w3c zijn richtlijnen, en die zijn niet goed gedocumenteerd want ze laten ook ruimte voor verschillende interpretaties (wat dus ook zo is bij de DNT).
-welke printer problemen? nog nooit problemen gehad met printen vanuit IE.
-hoezo verkeerd update model?

Je lult gewoon zwaar uit je nek en bent zelf zo blind en naief, want 'tja anderen zeggen dat chrome beter is, en ik ben een schaap en kan niet zelf goed rondkijken'.

Geen 1 browser is perfect, niet chrome, niet firefox, niet opera en niet IE, allemaal hebben ze hun eigen veiligheidsproblemen of incompatibiliteits problemen.. En zodra jij denkt dat 1 bepaalde browser wel heel veilig is, en jij een systeembeheerder bent, dan moet je je echt kapot schamen over hoe naief je wel niet bent..
Je vergeet dat IE geïntegreerd is in het OS dus ook al mag je een andere fanboy zijn onbewust blijf je IE gebruiken tenzij je een ander OS gebruikt..
De IE webbrowser is helemaal niet geintregreerd.
Sommige delen van het OS gebruiken wel de IE render engine voor het laten zien van opgemaakte tekst.
wie gebruikt er nog IE :X
Wie niet? IE als losse browser gebruiken we misschien niet, maar er zijn genoeg applicaties waar IE als component wordt ingesloten. Bijvoorbeeld FeedDemon.
Als je 5000 werkplekken ondersteunt dan weet je toch ook wel dat je zakelijk niet onder ActiveX uit komt?

Op mijn werk heb ik wel een stuk of 4 pakketten die ik dagelijks gebruik die met ActiveX werken. Een (zeer bekend) CRM pakket, een telefooncentrale beheer systeem van een A-merk bijvoorbeeld. En daar zijn geen alternatieven voor. Leg maar eens aan de directeur uit dat de hele organisatie moet migreren naar een ander CRM pakket voor vele miljoenen omdat ActiveX geen fijne techniek is.

Ik weet het, op internet is het niet fijn omdat je eigenlijk gewoon binaries op je client draait maar in een groot bedrijf ontkom je er niet aan. En voor intranet toepassingen kan je er mooie dingen mee doen, al is het nut wat minder groot geworden sinds AJAX-achtige technieken uitgevonden zijn.
Je gaat er hier vooralsnog vanuit dat veel mensen voor een andere browser kiezen.
Voor alles wat niets met powerusen te maken heeft voldoet Internet Explorer nog steeds. Daarnaast kom ik het incidenteel nog steeds tegen dat een website een fout bevat op Chrome, Safari, Opera of FF. Dus dan 'moet' ik voor het gemak wel even IE gebruiken.

Daarnaast wordt IE nog steeds standaard op je Windows bak geleverd, en de eerste keer dat je een andere browser wil zul je toch, inderdaad, gebruik moeten maken van IE.
Tuurlijk, de kans dat iemand in dat kleine kader gebruik gaat maken van de exploit op jouw bak is klein maar nog steeds aanwezig.

En ondanks dat ik mijn default browser allang heb gewijzigd wil Windows voor veel dingen toch hun eigen IE gebruiken. Vervelend, maar toch.
Zoveel onzin in één post. Applaus voor de MS-basher.

Even enkele punten aanhalen: het update systeem werkt gewoon en hij update samen met Windows (updates voor IE worden altijd automatisch geïnstalleerd, nieuwe versies van IE worden in sommige landen en voor gebruikers met IE10 automatisch geïnstalleerd). DNT is in Internet Explorer gewoon volgens de afspraken, waar klaag je over? Microsoft gebruikt geen eigen protocollen en volgt beter als een ander de richtlijnen van het W3C, in IE9/10 zul je niet meer zo makkelijk functies zien die nog tot standaard moeten worden verheven, bij Chrome en Firefox wél. Linken naar 3 keer hetzelfde artikel op een andere website, ja amai. Weet jij toevallig hoevaak Firefox/Chrome/Opera/Safari met dit soort problemen kampt?
Ook wij hebben het advies van Microsoft uitgerold en de Active X-objecten automatisch laten blokkeren door de policy, jammer want krijg nu een hoop gebruikersvragen..

Hopen dat er snel een oplossing komt!

[Reactie gewijzigd door thomasjuuu op 18 september 2012 10:22]

Ik ben eigenlijk best benieuwd waarom dit vragen oproept. Zijn er veel gebruikers dit deze feature nodig hebben of willen gebruiken?

Ik had het idee dat ActiveX in de browser behoorlijk in onbruik geraakt is vanwege de veiligheidsproblemen, de alternatieven via JS en vanwege de diversificatie van de browsers.
Websites van enkele leveranciers werken jammer genoeg nog met ActiveX
Zijn de Flash en Java plugins niet ook gewoon ActiveX componenten?

(Ik kan het niet checken... geen Windows bij de hand.)
Zou een systeembeheerder niet altijd Active-X objecten moeten blokkeren? Kan me niet voorstellen dat het iets toevoegt anders dan een lange geschiedenis van beveiligingsproblemen.
En dan zit je met software zoals HP Quality Center die ActiveX gebruikt :/

http://en.wikipedia.org/wiki/HP_Quality_Center
De gepubliceerde exploit gebruikte flash (die ook als active-x embed is).
toen dit gister in het nieuws kwam leek het meer een probleem van flash te zijn, is dat nu veranderd in bug binnen IE?
De exploit lijkt flash te gebruiken om ASLR te omzeilen om zo op meer platformen de IE exploit te laten werken.
Lijkt me genoeg aanleiding voor een tussentijdse update buiten de normale maandelijkse cyclus om die net vorige week was. Mooie testcase voor Microsoft om te zien hoe serieus ze het oppakken.
Micrsoft monitort over het algemeen actief het internet om aanvallen te detecteren (o.a ook voor hun anti-malware software) en zal een beslissing vermoedelijke af laten hangen van hoe veel deze exploits gebruikt worden en hoeveel risico gebruikers lopen om een vervroegde update te doen.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Mobiele besturingssystemen

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True