Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 91 reacties
Bron: News.com

Microsoft heeft besloten om een uitzondering te maken op de regel dat er maar één Internet Explorer patch per maand uitkomt, zo meldt News.com. In deze patch worden drie bugs verholpen. De eerste bug maakte het mogelijk om code uit te voeren op een pc als deze bepaalde websites bezocht. De tweede verpletterde bug zorgde voor het bekende probleem dat niet alle url's volledig werden weergeven in de adresbalk. De eerdere oplossing van Microsoft, gebruikers kregen het advies om niet meer op links te klikken, was blijkbaar niet robuust genoeg. De derde fout zorgde ervoor dat er ongevraagd een bestand werd gedownload als er op een speciaal ontworpen link werd geklikt. Volgens Stephen Toulouse, de manager van Microsofts Security Response Center, is het erg belangrijk om deze patch te installeren en zal in de toekomst het aantal onverwachte patches zoveel mogelijk beperkt worden:

Internet Explorer-logo"We do believe very much in sticking to the once-a-month thing--our customers like the predictability," he said. "But we have always said that if we have to go out of the cycle to protect our customers we would do that."
Moderatie-faq Wijzig weergave

Reacties (91)

Mag ik daar op klikken of moet ik het intypen in de adresbalk? ;)
Moet je voor de gein is proberen een Windows update te krijgen zonder Internet Explorer (via de website) :(
Moet je voor de gein eens op de eerste link van -Alex- klikken. Daar staat de direct download van de patch, werkt met elke browser :)
Zonder IE moet je die patches natuurlijk ook niet hebben ... voor de gein.
gelukkig kun je (na wat zoekwerk) vinden hoe je het uit kunt zetten:

To disable the new default behavior in Windows Explorer and Internet Explorer, create iexplore.exe and explorer.exe DWORD values in one of the following registry keys and set their value data to 0:

For all users:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

For the current user only:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Ik heb hier even geen systeem waarop ik dit kan testen, maar: als je dit doet, is dan de bug op zich nog steeds verholpen? Of krijg je allen je inlog-functionaliteit terug maar toont hij netjes je username in de addresbar?
Hier getest en werkt hier niet. Vraag me sterk af waar deze informatie vandaan komt en of iemand het met de nieuwe patch al werkende heeft gehad?
Nvidiot,mede tweakers, graag een reactie of iemand het al werkende heeft gekregen.

edit:

Goed, na wat zoeken kan er inderdaad het volgende gevonden worden:
http://support.microsoft.com/?kbid=834489
Moeten we MS nu een draai om de oren geven dat het niet werkt?
hier de link naar het KB artikel:
http://support.microsoft.com/default.aspx?scid=kb;en-us;834489

eh, kodak, als jij papagaai lijk ik wel overbodig
Sorry arnob, had je reactie niet in beeld toen ik zelf de link had gevonden. Maar bedankt. Heb jij het wel werkend gekregen?
HKLM geprobeert en gereboot. werkt hoor.
probeer maar ftp://anonymous:test@ftp.cisco.com na het inloggen wordt de user en pwd niet meer in de url getoond maar binnen is binnen.
met ftp://anon:test@ftp.cisco.com krijg je een popup met de vraag voor een correcte user + pwd
Maar het ftp-protocol was ook niet veranderd, alleen het http en het https-protocol
Dus dat dat nog werkt is ook niet zo gek
Echter, de registry-key werkt niet, na een reboot zijn links als http(s)://user@domain.com nog steeds niet toegankelijk
Leuk dat ze het een "Feature" noemen.
Zou je het volgende release in de instellingen kunnen disablen?
Er zat al een update bij WindowsUpdate vandaag, daar werd alleen niet gesproken over deze bug (dat deze opgelost zou worden)

Heb het nog niet getest, want moet eerst rebooten.
(daar moeten ze ook dringend eens wat aan doen)
dat rebooten is al veel verminderd...

vroeger moest je rebooten op elke patch... IE is een systeemkritisch onderdeedl, dus vermoedelijk dat je daarvoor moet rebooten (en bij het installen van een soundcard niet meer)
Nog altijd very weird dat een stomme browser systeemkritisch is (in tegenstelling tot elke component in linux is vervangbaar zonder rebooten behalve de kernel)
O/T:
Da's steeds irritanter onder linux; verander je dingen aan je config, maar zonder te rebooten. Moet je een keer rebooten, vanwege hardware upgrade (ja, ide harddisks zijn nog niet hotswappable op mijn servertje), blijkt dat na booten alles niet meer werkt zoals eerst -- omdat het bootprocess niet getest is.... En de laatste keer booten daarvoor is vaak al gauw een paar weken of maanden terug, dus wat ik in al die tijd dan veranderd heb (modules laden etcetc)....
su
less /root/.bash_history
om daar weer achter te komen...
:D
in tegenstelling tot elke component in linux is vervangbaar zonder rebooten behalve de kernel
Ik heb zojuist glibc geupdate, welk process moet ik restarten? :+


(...voor newbies: glibc is de c-library die door alles gebruikt wordt.)
En zelfs dat valt wel mee, want ik heb voor het spelen van Freelancer eindleijk toch maar eens DirectX 9 op m'n systeempje gezet, gewoon geklikt dat ie het dak op kon met z'n reboot, en drie weken na dato loopt alles prima, freelancer hebben we al lang en breed uitgespeeld, en alle spellen vinden dat er directX 9 op de PC staat.

Als zaterdag de stroom niet uit was gevallen in Nowhere Centrum dan was er nog steeds niet herstart, en had alles toch gewoon gewerkt. Daarom mijn advies voor diegenen die graag een beetje uptime uit hun machine halen: negeer het reboot gezeur, en reboot pas als je zelf merkt dat dingen niet meer willen.
Als je wel moet rebooten (waarschijnlijk om een bestand dat ingebruik is te vervangen door een nieuwe versie) geeft hij dat aan. Als dit niet het geval is krijg je ook geen melding dat je moet rebooten.

Jij werkt dus waarschijnlijk gewoon met een aantal system files die outdated zijn en dus een aantal bugs niet verholpen zijn totdat je reboot. Rebooten heeft dus wel degelijk zijn.
@Scooper: percies dit is Micosofts manier om een bug op te lossen, de hele functie er maar uithalen. Een bedrijf waar de beste programeurs van de werled werken voor het beste salaris ter wereld kunnen niet hun eigen fouten oplossen. Ik sta hier echt van te kijken.
Wat nog vreemder is is dat een andere afdeling een paar dagen eerder de meest rare Knowledge base article heeft geschreven (nieuws: Microsoft: niet meer op links klikken voor veiliger internet). Blijkbaar weet de ene afdeling niet wat de andere doet, want waarom zo'n rare KBA schrijven als de "patch" er aan komt?
Zoals andere al hebben opgemerkt zijn er alternative voor IE.
@muts: het bleek dat de feature op zich al een securityprobleem was. Daarom is de hele feature gedisabled. Heeft niets te maken met de capaciteiten van het IE team.

Een leek weet niet dat hij met deze link niet naar google gaat:

http://www.google.com@1.2.3.4

Of de bug nu werd opgelost of niet, dit zal altijd een probleem blijven. Heel verstandig om deze feature standaard uit te zetten.
Maar er zijn veel elegantere oplossingen dan alleen 'och zet maar uit'. Dat laat imho juist zien hoe kortzichtig er daar wordt gedacht. Het is natuurlijk ook erg handig waneer je de grootste bent. Je kunt gewoon op eigen houtje beslissen om een onderdeel van de standaard te verwijderen en iedereen moet er vervolgens maar rekening mee houden. Als opera op eigen houtje deze feature had verwijderd, dan was het niet de doodssteek van de feature, maar van opera geweest.

Opera heeft het trouwens veel netter opgelost. Zodra er een url met een @ wordt geopend wordt er een waarschuwings venster gegeven met de melding:"U gaat nu naar de site www.spoof.com met als inlognaam www.echt.com. Weet u dit zeker?" Met een help knopje waarin van alles over de gevaren wordt uitgelegd. Het kan dus ook netjes worden opgelost zonder een standaard te verkrachten.
Ik ben het met je eens dat het een teken van zwakte is dat je de feature er maar uit sloopt wanneer er een bug in zit, maar:
Je kunt gewoon op eigen houtje beslissen om een onderdeel van de standaard te verwijderen en iedereen moet er vervolgens maar rekening mee houden.
het is geen standaard.
Zie RFC 1738
3.3. HTTP

The HTTP URL scheme is used to designate Internet resources
accessible using HTTP (HyperText Transfer Protocol).

The HTTP protocol is specified elsewhere. This specification only
describes the syntax of HTTP URLs.

An HTTP URL takes the form:

http :// <host> :<port>/<path>?<searchpart>

where <host> and <port> are as described in Section 3.1. If :<port>
is omitted, the port defaults to 80. No user name or password is
allowed. <path> is an HTTP selector, and <searchpart> is a query
string. The <path> is optional, as is the <searchpart> and its
preceding "?". If neither <path> nor <searchpart> is present, the "/"
may also be omitted.

Within the <path> and <searchpart> components, "/", ";", "?" are
reserved. The "/" character may be used within HTTP to designate a
hierarchical structure.
Een HTTP URL mag officieel dus geen username en password bevatten.

Edit: dat was HTTP 1.0, HTTP 1.1 beschreven in RFC 2616 zegt overigens ook dat username en password niet in een URL mogen voorkomen.
In zekere zin zegt de manier waarop de het als bugfix gepresenteerd wordt wel degelijk iets over het IE team. De bug was nl niet dat mensen niet goed kijken, maar dat de domeinnaam niet overeen kwam met de site waar men op zat. Dat is een heel ander punt van onveiligheid, maar toch voeren ze het op als dat dit de fix is voor het eerste probleem. Maar dat hadden ze directer kunnen oplossen door de input url beter te filteren op foute karakters.
Het wordt door het team dus verkeerd gebracht en dat geeft de indruk alsof ze niet goed in staat zijn de problemen te scheiden of ze zelfs gescheiden op te lossen. Komt nog bij dat ze het hebben weten te presteren om een uitweg voor diegenen te bieden die wel nog van de normale rfc standaard van inloggen gebruikt te maken die duidelijk niet werkt. (Zie ms oplossing gevonden door nvidiot)

Een feature noem ik overigens een extra optie in de software die (nog) niet standaard of gewoon te noemen is, en dat is hier niet het geval. MS trekt hier de plug uit een deel van een heel normale erkende standaard die door heel veel bedrijven gebruikt wordt.
Dan blijft het nog steeds een slappe actie. Ze hadden ook net kunnen doen als Opera en de gebruiker even waarschuwen als zhij naar zo'n 'verdachte' site surft.

En begin er niet over dat gebruikers zo'n dialoogboxje niet lezen, dat is dan gewoon hun eigen verantwoordelijkheid.

Een gewone en gebruikte feature uit een protocol slopen omdat oma met haar outlookwormverspreidende pctje het misschien wel eens niet zou kunnen snappen is nog kwalijker dan zo'n suffe bug niet kunnen oplossen. Voed dat mens dan gewoon op!
Gebruikers die weten wat er mis is met zo'n url zijn ook slim genoeg om een andere browser te pakken. De rest van de mensen heeft denk ik dat stukje functionaliteit niet nodig...
En begin er niet over dat gebruikers zo'n dialoogboxje niet lezen, dat is dan gewoon hun eigen verantwoordelijkheid.
Ja, zo ken ik er nog wel een paar.

Het is gewoon een feit dat een heleboel gebruikers vage dialoogvensters zo snel mogelijk proberen weg te klikken, of jij dat nu leuk/verstandig vind of niet.
Het is gewoon een feit dat een heleboel gebruikers vage dialoogvensters zo snel mogelijk proberen weg te klikken, of jij dat nu leuk/verstandig vind of niet.

Dat vind ik niet leuk en ik vind het ook niet verstandig. Het lijkt mij alleen slimmer om die gebruikers te leren wat beter op te letten in plaats van het internet de debiliseren.

Het eerder genoemde Opera laat zien dat het best mogelijk is om tegelijkertijd de functionaliteit te behouden en toch gebruikersvriendelijk te zijn. Je gaat me niet wijsmaken dat simpel surfen ingewikkelder hoeft te zijn dan bijvoorbeeld een parkeerautomaat bedienen.
Ik vind zo'n regel ook maar een raar iets. Predictability ok, maar stel je voor dat bijvoorbeeld de vogelgriep hier rond zou dwalen en de autoriteiten hadden zoiets van 'nee één keer per maand medicijnen is goed genoeg, want onze kipjes houden van voorspelbaarheid'...
deze regel is ook maar verzonnen als excuus als ze te lang over doen om een patch te maken
Ik denk dat het eerder een beslissing door een of andere gare M$-manager zal zijn geweest. :(
Lijkt me logisch dat ze ff van hun eens per maand regel afzien. Dergelijke bugs zijn hilarisch, iig voor een zichzelf respecterend softwarebedrijf als Microsoft
Die vervelende scroll-bug lijkt ook verholpen. Hij springt nu niet meer 2 'pagina's' verder/terug, als je op je scrollbar klikt.
Verhip ja, je hebt gelijk aan die bug irriteerde ik me het nog het meest eig :)

Hoe zit het eig met die dir bug? dat je zip bestandje download met naar het lijkt een dir er in, maar dit was dan een exe file die ineens dingen ging lopen runnen, stond tijdje terug nog sample op tw. Dat zal zeker wel niet omdat het niet met IE te maken heeft.
Lekker irritant dat je nu niet meer direct kan inloggen op http sites. Dan geeft hij zo'n syntax error. Zo moeilijk is het toch niet om een url te laten valideren of het een inlogpoging is of een 'hack'-poging... jammer. Handige functie weggehaald uit IE
@Webster4077 Nee IE had een bug
zie: http://www.microsoft.com%01%00@secunia.com/internet_explorer_address_bar_spoofing_test/
Met IE zag je dan alleen www.microsft.com, alle andere browsers laten de hele URL zien en dus zag je dat er iest niet klopte.
Blijft het dus raar dat Microsoft een bug oplost door de hele functionaiteit eruit sloopt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True