Microsoft van plan usernamemisbruik in te dammen

Microsoft gaat de mogelijkheid om het @-symbool te gebruiken in url's uit Internet Explorer halen, zo schrijft Netcraft. Tweakers.net berichtte hier al eerder over in december dat het mogelijk was voor spammers en hackers om mensen naar een vervalste url te lokken door in het eerste deel een bekende naam te zetten. Een voorbeeld daarvan zou http://www.google.com@213.239.154.35 zijn. In voorgaande link staat weliswaar google.com maar door het ip-adres erachter komt men bij Tweakers.net terecht. Deze mogelijkheid wordt vooral misbruikt door fraudeurs die klanten van banken naar een vervalste url willen lokken om daar op die manier accountgegevens van nietsvermoedende gebruikers te stelen.

Internet Explorer-logo De originele bedoeling van het @-symbool in url's was om gebruikersnamen op een bepaalde site aan te geven, zoals http://sir.tim.berners-lee@www.w3.org. Deze manier van aanmelden bij websites wordt echter zeer weinig gebruikt, op dit moment zelfs nagenoeg alleen door bovengenoemde fraudeurs. Door middel van een update voor Internet Explorer wil Microsoft deze bug nu oplossen: met de update zorgt het gebruik van een @ in de url-balk voor een "invalid syntax error" melding. Een iets andere vorm van internetfraude werd eerder al op Tweakers.net gemeld: toen ging het om vervalste e-mails die van de Postbank zouden komen waarmee gebruikers naar een vervalste Postbank-url werden gestuurd om daar hun accountgegevens prijs te geven.

Reacties (85)

Coffeemonster 29 januari 2004 09:48

Waarom laten ze niet gewoon een waarschuwing zien dat de URL verwijst naar een andere server dan wat je zou verwachten? Opera heeft dat al ingebouwd, dus waarom kan dat niet in Internet Explorer?

Verwijderd @Coffeemonster • 29 januari 2004 18:20

omdat meer als de helft het niet snapt en gewoon op "ok" klikt

Verwijderd 29 januari 2004 10:12

Als ik zo'n URL open met Opera krijg ik heel netjes een melding van:
Security warning: You are about to go to an address containing a username.
Username: www.google.com
Server: 213.239.154.35
Are you sure you want to go to this address?

Verwijderd @Verwijderd • 29 januari 2004 11:23

Security warning: You are about to go to an address containing a username.
Username: www.google.com
Server: 213.239.154.35

Dus ik ga naar het adres www.google.com Nou, dat gebeurt wel vaker dus dat is goed. Server is een computer dus ga maar door. Waarom krijg ik deze melding? Is toch niets aan de hand?

Zo redeneert de gebruiker zonder specifieke kennis(heb ik net met mijn cursisten uitgeprobeerd)

Deze meldingen zijn nuttig voor de gebruiker die weet wat het betekent. Voor de overige 97,5% niet!
Dus doet MS er HEEL GOED aan om deze mogelijkheid uit IE te halen.

mae-t.net @Verwijderd • 29 januari 2004 14:16

Lekker kortzichtig... Als MS een vet gedrukte knipperende waarschuwing zou neerzetten dat er fraude in het spel kan zijn (in plaats van voor de zoveelste keer een goed werkend protocol te verneuken), verdienen de gebruikers die alsnog doorklikken ook niets beters.

Verwijderd @Verwijderd • 29 januari 2004 10:17

Ja, en bergrijpt de gemiddelde computer gebruiker dat? Nee, natuurlijk niet. Weet hij veel wat het echt IP adres is van een Google server.

gridfox @Verwijderd • 29 januari 2004 10:29

Het gaat niet om begrijpen, het gaat om een adequate waarschuwing. Als je wil telebankieren en je krijgt zo'n melding, dan ga je toch eens nadenken.

mphilipp @gridfox • 29 januari 2004 11:09

Het gaat niet om begrijpen, het gaat om een adequate waarschuwing. Als je wil telebankieren en je krijgt zo'n melding, dan ga je toch eens nadenken.

Dan moet ik helaas een illusie bij je wegnemen... Als je eens wist hoe makkelijk een simpele huisgebruiker dat soort dialoogjes wegklikt. Als ze het niet snappen, drukken ze gewoon op OK of YES. Weten zij veel... Pas als de computer aan gort is, bellen ze iemand op. Hij doet ineens zo raar...en ik deed niets... Pas als je ze 3 dagen gemarteld hebt, geven ze toe dat ze wel eens iets geks hebben gezien en de boodschap maar hebben weggeklikt.

Het is heel dom van die mensen, maar zij zien de PC als een gebruiksvoorwerp en willen dit soort dingen niet weten. Je zult iets moeten bedenken dat voorkomt dat een gebruiker dit soort keuzes moet maken.

Het weghalen van deze optie is geen enkel probleem omdat het nauwelijks gebruikt wordt. De meeste sites waar je in moet loggen, hebben een optie om username vast te houden met cookies enzo. Lijkt me genoeg.

Verwijderd @gridfox • 29 januari 2004 12:55

Ik heb een vriend die 50 spyware programma's op zijn computer had, + een x aantal dialers. "Wilt u Gator installeren?"....... eh ja, waarom niet?

Weten zij veel. Er wordt hier wel vaker vergeten dat de meeste mensen geen benul hebben van wat ze nou wel en niet kunnen doen met hun computer.

gridfox @gridfox • 29 januari 2004 11:14

Dan moet ik helaas een illusie bij je wegnemen...

Mag, maar ik had geen illusie hierover. No security by obscurity. Je beveiligt niet door zaken te verstoppen.Een gebruiker is altijd verantwoordelijk voor zijn/haar handelen.

Username onthouden en cookies zijn ook geen optie voor security.

StiGMaTa @gridfox • 29 januari 2004 12:15

cookies en sessions samen gebruiken vind ik toch al vrij veilig, zeker als de sessies opgeslagen zijn in een database. En de belangrijke sites gebruiken zeker een database ( anders zou beveiligen eerder onlogisch zijn toch?)

@mphilipp: Das waar, mensen gaan echt denken van: Ah, das goed beveiligd!!! Wat die "beveiliging" inhoud, daar snappen ze niks van, maar een security warning is voor hun eerder een bevestiging van de beveiliging dan een foutmelding!

maxxware @gridfox • 29 januari 2004 13:25

Je bent in ieder geval gewaarschuwd door Opera...

Verwijderd @gridfox • 29 januari 2004 14:10

Sorry hoor, maar dat is dan hartstikke jammer voor de domme gebruikers. Moet soms alle functionaliteit die potentieel gevaarlijk is verwijderd worden? Dan verwijderd MS waarschijnlijk binnenkort de optie om mail te versturen uit Outlook want daar kan je virussen mee versturen, en daarna verwijderen ze de mogelijkheid om bestanden op te slaan op je harde schijf, want daarmee kan je virussen, of nog erger illegale MP3's opslaan.
Natuurlijk moet de gebruiker soms tegen zichzelf beschermd worden; maar als die gebruiker een waarschuwing negeert of wegklikt is dat toch echt zijn eigen verantwoording en niet die van de software maker.

mphilipp @gridfox • 30 januari 2004 01:19

Mag, maar ik had geen illusie hierover. No security by obscurity. Je beveiligt niet door zaken te verstoppen.Een gebruiker is altijd verantwoordelijk voor zijn/haar handelen

Dat heeft er geen ros mee te maken. Je gaat nu een andere kant uit met je verhaal. Het is geen kwestie van verstoppen. Een computer is een gebruiksvoorwerp voor 80% (of meer) van de mensen. Die mensen hebben - of je het nou leuk vindt of niet - helemaal geen boodschap aan al die wazige dialoogjes. Ze snappen ze niet, lezen ze niet, en willen het ook helemaal niet begrijpen. Dát bedoel ik.

Ik snap overigens niet waar de opwinding over gaat, want volgens het artikel wordt deze optie praktisch niet gebruikt. Dus wat is nu het grote probleem? Een paar twiekertjes die het wél gebruiken? Nou, die zijn vast wel slim genoeg om daar iets op te verzinnen. Kan ik met een gerust hart mijn oude moeder weer het internet op sturen...

kodak @Verwijderd • 29 januari 2004 10:41

Lijkt mij inderdaad een veel beter idee. Maar dan wel als optie op het standaard blokkeren van het @ gebruik in adressen.
MS besluit hier eenzijdig om een deel van een protocol omzeep te helpen als het niet meer mogelijk is om usernames in een url te gebruiken. De fout zit echter helemaal niet in het protocol, maar in de wijze waarop MS het aan de gebruikers presenteerd en hoe die gebruikers het herkennen. De huis tuin en keuken gebruiker zal er weinig gebruik van maken, maar compleet niet meer toestaan is wel een erg kortzichtige actie om een probleem op te lossen.

bbr 29 januari 2004 09:30

hoe log je dan in op ftp urls?
jansmit:password@ftp.google.nl ?

Tjah, login scherm blijft wel komen, maar dan haal je een beetje het nut van de directe url weg....

De @ uit ftp adressen halen is zoiets als Nummers uit email adressen halen... je raakt een hoop spammers. maar ook een aantal andere mensen.

MandersOnline @bbr • 29 januari 2004 09:32

Die functie ben je dan kwijt, dus zul je de gegevens los moeten invoeren. Je logt dan annoniem in en met de rechtermuisknop kan je kiesen om aan te melden als. Of je gebruikt een FTP programma

bbr @MandersOnline • 29 januari 2004 09:35

*kuch*

was altijd lekker makkelijk om gewoon een lijst van 100 files direct te linken naar een secure ftp.. als je dan nu voor ieder van die 100 files ff moet inloggen.... lekker dan...

JeroenB @bbr • 29 januari 2004 09:40

IE support nog steeds sessies, dus als je gewoon ff naar de ftp-dir surft en inlogt, kun je ze daarna stuk voor stuk aanklikken zonder steeds in te hoeven loggen.

Sowieso zijn de verschillende downloadtools veel beter geschikt voor dat soort acties (aangezien IE ook vaag omgaat met resumes

)

MacD @bbr • 29 januari 2004 17:44

*uhge-uhge* maar ik kon je wel een mailtje sturen, ge-pgp'd danwel te verstaan, met een linkje erin dat je kon copy/pasten...nu kan dat niet meer.
Dus ipv dat MS hun bug fix'd, halen ze gewoon functionaliteit weg.

TeeDee @bbr • 29 januari 2004 10:46

*kuch*

Dat is juist de bedoeling van FXP: non - secure ftp servers

oegaoega @bbr • 30 januari 2004 16:04

*kuch*..
jullie lijken wel een stelletje kippen wel..(een oost aziatische dan wel!)

Q-collective

@bbr • 29 januari 2004 09:34

Door een andere browser te gebruiken

Maar zonder dollen, er zijn zat andere manieren om te ftp'en, het zij via een gespecialiseerd ftp proggie hetzij via een alternatieve browser.

De wereld vergaat niet hoor

bbr @Q-collective • 29 januari 2004 09:37

tjah, Mozilla blijft een mooi proggie ^^
Jammer dat de stabiliteit nog op het zelfde nivo zit als IE.

Safari is nog verre van 100% functioneel.. en opera heb ik nog nieteens geprobeert..

bbr @bbr • 29 januari 2004 13:27

meer gebruiken, als IE crashed, start je em gewoon opnieuw, no problem.

als ik Mozilla crash, dan kan ik mn computer opnieuw starten.

veldmuis @bbr • 29 januari 2004 09:49

Waarom zou je Mozilla instabieler willen hebben dan?

.

Ok, flauw. Maar ik gebruik al zeker een jaar mozilla, sinds een half jaar Firebird, en de crashes worden steeds minder. Eigelijk zelfs geen meer. Een jaar geleden was het nog 2x per dag oid dat-ie crashte, maar het is nu zeker al weken geleden. 't programma'tje wordt echt harstikke goed doorontwikkeld

Q-collective

@bbr • 29 januari 2004 14:17

@ bbr
Ok, pardon, moet ik toch even op reageren.
Wat een lariekoek namelijk, andersom is eerder het geval omdat IE een volledig geintergreerd deel van Windows is en daardoor een onderste kaart een kaartenhuis.

Mozilla is gewoon een losse applicatie en kan als zodanig niet (vlug) windows laten crashen (ik hou zoals je ziet een slag om de arm... met windows weet je het namelijk nooit).

Pure onzin dus en ik zou je flaimen als iuk niet al gereageerd zou hebben.
(nou is mijn reactie natuurlijk ook een flamebait maar onzin moet toch maar even gecorrigeerd worden

)

eamelink @bbr • 29 januari 2004 16:19

Toch heeft hij wel gelijk, ik heb ook wel eens dat een IE windowtje hangt, maar die kan je killen, en meteen weer een nieuwe opstarten.

_Als_ mozilla hangt, dan heb ik soms moeite om die computersessie nog een mozilla op de been te krijgen

Maar het gebeurt mij eigenlijk vrijwel nooit dat 1 van deze browsers crasht...

Verwijderd @bbr • 29 januari 2004 09:49

Bij mij ligt de stabiliteit van Firebird hoger dan die van IE. Na een half uurtje surfen wordt IE ongelooflijk traag ofwel loopt hij vast.
Bij Firebird nog nooit één vastloper gehad (noch in Win2k, nog in MDK9.2).

it0 @bbr • 29 januari 2004 09:58

tjah, Mozilla blijft een mooi proggie ^^
Jammer dat de stabilitiet nog op het zelfde nivo zit als IE.

Wat een troll zeg, sinds moz1.0 of firebird heb ik geen crashes gezien, nightly's tellen niet mee.

IE is veel makkelijker down te krijgen...

Olaf van der Spek @bbr • 29 januari 2004 09:36

Misschien dat de restrictie alleen geldt voor http en https URLs.
Of voor alle URLs behalve ftp.

ferdivaneeten @Olaf van der Spek • 29 januari 2004 10:18

Het geldt inderdaad alleen voor het http en https protocol.
Microsoft stelt voor om hiervoor in de plaats cookies te gaan gebruiken

mae-t.net @Olaf van der Spek • 29 januari 2004 14:10

Laat ik, en met mij toch wel veel anderen, nu net een loginnaam met wachtwoord aan een http pagina gehangen hebben... Way to go Microsoft!

Verwijderd @bbr • 29 januari 2004 09:46

ik denk dat Microsoft ook wel zo slim is om het een beetje slimmer te programmeren, zodat het nog wel mogelijk is met ftp URL's of met een gebruikers naam met een : tussen gebruikers naam en wachtwoord.
Ooit een DNS naam gezien met een : erin?

mjtdevries @Verwijderd • 30 januari 2004 13:58

Dit is geen kwestie van slimmer programmeren.

Dit is doodgewoon een normale feature die misbruikt wordt. De enige oplossing is het verwijderen van de feature. Met slimmer programmeren kan je dit niet oplossen.

Verwijderd @mjtdevries • 2 februari 2004 17:12

onzin.

Het probleem zit em niet in de ik@mijnsite.nl maar in de %00 en %01 in de string. Die worden niet goed verwerkt bij het parsen (op 2 verschillende manieren namelijk, bij het weergeven als string-einde, bij het gebruiks als url wordt ie weggefilterd als ongeldig character).

En als het niet kan, waarom kan het dan in mozilla/opera/etc. wel?

ToAoM @bbr • 29 januari 2004 10:54

Als je de Advisory van Microsoft mag geloven heb je de volgende opties:
* Gebruik geen gebruikersnaam:wachtwoord@ meer in urls op je website
* Meldt je gebruikers dat ze geen gebruikersnaam:wachtwoord@ moeten gebruiken op je website

Dat hebben ze namelijk volgens MS helemaal niet nodig, want je kan ook het save password feature van Microsoft gebruiken...

Beetje jammer...
http://support.microsoft.com/default.aspx?scid=kb;%5bLN%5d;834489

Verwijderd 29 januari 2004 09:32

Helemaal het @ als optie weg halen is wel kort door de bocht.

Op diverse sites word er gebruik gemaakt van dit soort links om naar een ftp site te gaan waar een wachtwoord op zit.

Had de oplossing niet iets 'slimmer' gemaakt kunnen worden?

edit:
Dubbelpost is logisch mensen...Deze reactie werd getypt toen er nog geen enkele reactie stond.....

Verwijderd @Verwijderd • 29 januari 2004 14:46

Op het eerste gezicht lijkt het inderdaad kort door de bocht. Maar het probleem is dat de adressen op het Internet niet altijd "makkelijk" hoeven te zijn voor mensen, zoals met de DNS namen. IPv4 dotted quads, of zelfs gewoon bitstrings zijn ook toegestaan. De gewone gebruiker zal nooit snappen wat die cijfertjes voorstellen.
Aangezien je verder niet de beperking kan opleggen dat een username geen punten mag bevatten, of niet mag lijken op een URL, blijft er niets anders over dan de hele mogelijkheid er maar uit te slopen.
Er is hier dan ook geen sprake van een bug, maar een feature die, helaas, bijna alleen maar tot misbruik leidt. Tja, eigenlijk zouden al die domme mensen die het niet zien natuurlijk van het Internet geschopt moeten worden, maar dat is weer wat draconisch. Dit is dus gezien de omstandigheden een goede oplossing...

Verder is het ook niet zo dat alleen IE "last" heeft van dit gedrag, Mozilla (en ik neem aan dus ook andere browsers) reageert namelijk exact hetzelfde.

/Edit:
on second thought, er is eigenlijk wel een andere oplossing, maar of die wél acceptabel is... Alles voor een @ wordt gescand en er wordt een threat level aan toegekend. Als het lijkt op een gespoofde URL, zoals http://www.google.com@213.239.154.35, dan krijgt de gebruiker een pop-up "Weet je het zeker". Het probleem van de domme mens blijft echter bestaan, want hier zal men gewoon doorklikken "Natuurlijk wil ik naar Google!"....

jvdmeer @Verwijderd • 29 januari 2004 22:38

Makkelijkere oplossing zou zijn dat http://www.google.com@213.239.154.35
alleen maar werkt als http://213.239.154.35 bij de vertrouwde websites staat.

Makkelijke oplossing...

mjtdevries @jvdmeer • 30 januari 2004 14:01

En dan moet MS een lijst gaan maken van vertrouwde websites?

Moet je dan eens de reacties hier horen: "MS wil gaan bepalen welke websites betrouwbaar zijn", "MS pleegt censuur" MS dit, MS dat. Iedereen zou weer zitten te klagen hoe slecht MS wel niet is.

Geen makkelijke oplossing dus.

Verwijderd @jvdmeer • 2 februari 2004 17:18

nee, niet de door MS vertrouwde sites, de lijst "trusted sites" in je internet options, die kan je zelf instellen

Niet alles is een poging tot een MS flame te komen hoor

Verwijderd @Verwijderd • 2 februari 2004 17:17

nogmaals, het probleem zit em niet in de @ maar in de %00. DAAR moet wat aan gedaan worden. Dat een gebruiker niet snapt dat http://akhorahil.ownz@tweakers.net een adres wat wijst naar tweakers.net voorstelt is ZIJN probleem. Dan kunnen we beschrijvingen in links ook wel afschaffen : zo van
Ga hier naar de site van Apple <img src=g/s/wink.gif width=15 height= 15>

Goof2000 @Verwijderd • 29 januari 2004 09:44

Misschien hadden deze mensen iets beter rekening moeten houden dat IE geen ftp programma is.

ATS @Goof2000 • 29 januari 2004 10:00

Dat heeft er niets mee te maken: als Microsoft het FTP protocol niet meer wil ondersteunen in IE, prima. Dat wil nog niet zeggen dat je zo'n URL niet meer kan gebruiken met een andere client.

Ik vind het onmogelijk maken van de @ een nogal domme 'oplossing' eigenlijk. Waarom repareren ze niet gewoon de bug dat je het stuk achter het @ teken niet ziet? Daar zit het probleem.

jurriaan

@ATS • 29 januari 2004 17:23

Waarom repareren ze niet gewoon de bug dat je het stuk achter het @ teken niet ziet? Daar zit het probleem

in het voorbeeld http://www.google.com@213.239.154.35 zou dat betekenen dat je 213.239.154.35 gewoon weglaat...... ik denk dat je andersom bedoelt, het stuk voor de @

Rotterdammertje 29 januari 2004 11:22

Volgens RFC 1738, nog opgesteld door meneer T. Berners-Lee himself, is het meegeven van een username en password in de URL (dus username:password@host) helemaal niet toegestaan bij het http-schema. Dus eigenlijk zijn al die standards-compliant browsers heel erg in overtreding.
Het probleem bij IE wordt vooral veroorzaakt doordat je het gedeelte vanaf het apestaartje kan verbergen in de adresbalk door een '0x01' karakter op te nemen in de URL; de gebruiker heeft dan helemaal geen idee dat-ie naar een nepsite wordt geloodst.
Mijn voorkeur zou ook uitgaan naar een melding a la Opera (en een fix zodat gewoon de hele URL getoond wordt in de adresbalk - hoe moeilijk kan dat nou zijn?!)

Verwijderd @Rotterdammertje • 29 januari 2004 14:02

Inderdaad, in RFC178 staat

No user name or password is allowed.

Echter, RFC2396 is een update van deze RFC en daar is dit veranderd:

Some URL schemes use the format "user:password" in the userinfo field. This practice is NOT RECOMMENDED, because the passing of authentication information in clear text (such as URI) has proven to be a security risk in almost every case where it has been used.

Het wordt dus nog steeds niet aangeraden, maar is niet tegen de standaard.

Verwijderd 29 januari 2004 09:57

Typisch weer Microsoft, om in het kader van 'wij zijn zo vriendelijk voor de consument' de baby met het badwater weg te gooien...

Hoewel ik normaal voorstander ben problemen op te laten lossen i.p.v. weg te moffelen lijkt me dit toch meer iets voor de MS afdeling marketing: laat IE gewoon z'n werk doen en timmer MSN explorer helemaal dicht zodat dat foolproof wordt...
Hebben ze nog een kans dat er eindelijk eens iemand MSN explorer gaat gebruiken...
Ze je in de 'home' ed van longhorn MSN standaard 'aan' en in de 'prof' IE.
Of ben ik dan te simpel??

Skaah 29 januari 2004 10:02

Da's balen voor www.@home.nl!

steit 29 januari 2004 10:08

Ja handig, laten we dan daarna de '.' uit de URL's verbannen je kan nl ook nog:

http://www.google.com.tweakers.net gaan gebruiken !

Verwijderd 29 januari 2004 10:18

Ongetwijfeld staat het gebruik van het @ teken in een RFC/standaard beschreven. Dan wordt dit dus weer de zoveelste standaard die MS niet volgt en dat alleen door hun eigen incompetentie.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 29 januari 2004 11:39

Ongetwijfeld staat het gebruik van het @ teken in een RFC/standaard beschreven. Dan wordt dit dus weer de zoveelste standaard die MS niet volgt en dat alleen door hun eigen incompetentie.

Als het in een RFC zou staan lijkt het me dat vrijwel elke browser last van deze "fout" zou moeten hebben en niet alleen Internet Explorer.

Verwijderd @Bor • 29 januari 2004 14:40

Als je http://www.tweakers.net/nieuws/30068 even leest zie je dat de @ het probleem nu niet bepaald is maar de \001 die erin voor kan komen! Dat staat overigens niet in dit artikel vermeld

Verwijderd @Bor • 29 januari 2004 14:57

De in dit artikel besproken spoofing mogelijkheid werkt dan ook in iedere browser. Opera geeft een waarschuwing, maar daar zal de gemiddelde gebruiker zich ook weinig van aantrekken.
De enige reden waarom IE dit op zijn dak krijgt is omdat er nog niet genoeg domme mensen gebruik maken van Mozilla... Dus domme mensen, (ohnee, tweakers zijn niet dom

.............)

arjenk|IA @Verwijderd • 30 januari 2004 14:21

Mozilla - ja, ik ben ook dom

- heeft geen last van de IE bug, je krijgt gewoon de volledige URL te zien, inclusief %0x01.

Kwai_gon_jinn @Verwijderd • 29 januari 2004 10:30

Over standaarden gesproken. Word dit de enige fix die ze gaan implementeren? Of gaan ze eindelijk die andere "standaarden" ook nog toepassen in de update.

machuidel @Kwai_gon_jinn • 29 januari 2004 10:45

Dat klinkt lekker dan.

Omdat WebDAV in WinXP niet meer volgens de specificaties werkt (verkeerde encodings) is het direct opgeven van "user credentials" in de URL de enigste work-around om in te kunnen loggen:

Om in te loggen op WebDAV doe ik bijv. dit:
[url="https://gebruiker:wachtwoord"]https://gebruiker:wachtwoord[/url]@webfolder.domain.com

Met de oplossing van MS kan ik weer problemen op mijn werk verwachten.

Nu vraag ik me dus af waarom ze het probleem niet bij de oorzaak aanpakken, of misschien klopt dit verhaal niet.

arjenk|IA @Verwijderd • 29 januari 2004 12:02

Standaard? Dat is maar de vraag (zie hieronder de reactie van @Rotterdammertje).

Incompetentie? Dan heb je toch niet helemaal begrepen waar het om gaat. Deze 'feature' kan veel te gemakkelijk misbruikt worden - dat kan je ook uit de reacties hier makkelijk opmaken. Omdat het ook weinig gebruikt wordt, is verwijderen een goed idee.

* 786562 arjenk

Verwijderd @arjenk|IA • 29 januari 2004 13:06

Ik denk dat jij diegene bent die niet helemaal begrijpt waar het omgaat. De fout die in IE zit is dat IE het tweede gedeelte van de URL niet laat zien als er een bepaald tekentje inzit (0x01). Dus wel degelijk een fout van MS.

De waardering van m'n post is van een +3 naar een flamebait gegaan.

Ik wordt een beetje moe van die MS n00bs die denken omdat ze in een GUI kunnen klikken dat ze er verstand van hebben en MS zo fantastisch is.

arjenk|IA @Verwijderd • 30 januari 2004 12:36

*zucht*

bug: 0x01 in URL waardoor je deel van de URL niet te zien krijgt.

feature die nu door MS wordt verwijderd: username en password in de URL (http://username:password@etc).

Voor de beslissing van MS om deze feature te verwijderen is de bug dan misschien wel de aanleiding, maar niet de oorzaak.

Moderatie: had wel degelijk flamebait of troll moeten zijn. Je roept wat, en onderbouwd dat niet met een argument (welke RFC?), maar een onjuiste kreet over de competentie van MS.

Ik word dus heel moe van iedereen die telkens weer de kans meent te moeten grijpen even lekker tegen MS aan te schoppen. Niemand zal beweren dat MS software perfect is en geen bugs bevat. Maar als het echt zo slecht was zou niemand het gebruiken. Als jij het niet wat vindt, ok (ik ben ook geen grote MS fan). Maar ga dan wat beters maken in plaats van lopen schelden.

Je moet ook een beetje oppassen met je uitspraken over mensen die het toevallig niet met je eens zijn (ja, dat kan, heus), en al helemaal als je insinueert dat die geen verstand van computers hebben.

Hoe dan ook, je post staat nu weer op een niet verdiende +2 (lees ook eens de reacties van anderen op je 'inzichtvolle' post).

mae-t.net @arjenk|IA • 29 januari 2004 14:24

Het is een feature die al sinds het prille begin (toen zelfs meer dan nu, omdat cookies en session management minder populair waren, meer moeite kosten om te coden enz.) gebruikt wordt voor sites waar niet zomaar iedereen op moet kunnen, maar dan wel zonder al te veel gedoe. Dat MS nog niet van het internet gehoord had, toen deze standaard werd neergezet, kan ik ook niet helpen, en heeft niets met MS-Bashing te maken...

XthinkZ 29 januari 2004 10:39

Ja handig, laten we dan daarna de '.' uit de URL's verbannen je kan nl ook nog:

http://www.google.com.tweakers.net gaan gebruiken !

Het probleem doet zich voor bij web based links.

<a href=http://www.google.com@213.239.154.35>www.google.com</a>.

Dan valt het dus amper op!

Verwijderd @XthinkZ • 29 januari 2004 13:04

Nog simpeler: <a href=http://213.239.154.35>www.uwbetrouwbarebank.nl</a

Je kan voor 213.239.154.35 natuurlijk ook je eigen fop-bank url gebruiken.

Zonder apenstaarten en punten toch fijn frauderen!

Op dit item kan niet meer gereageerd worden.

Microsoft van plan usernamemisbruik in te dammen

Lees meer

Reacties (85)

Sorteer op:

Weergave: