Update für Internet Explorer schließt drei Sicherheitslücken
wahsaga
- browser
0 Bio0 Cheatah0 Thomas Luethi0 Henryk Plötz0 Cheatah
hi,
http://www.heise.de/newsticker/meldung/44268
u.a. ein fix gegen "URL-Spoofing".
"inhaber" von sog. @-Domains haben dadurch jetzt irgendwie probleme, denn der aufruf solcher wird nach dem patch nur noch mit einem "Invalid syntax error" quitiert ...
gruss,
wahsaga
Sup!
"inhaber" von sog. @-Domains haben dadurch jetzt irgendwie probleme, denn der aufruf solcher wird nach dem patch nur noch mit einem "Invalid syntax error" quitiert ...
Hoehoe... kommt davon, wenn man sich auf Microsoft verlaesst.
Wieviele kritische Fehler sind denn jetzt noch uebrig im IE?
Waren da nicht neulich noch 19 offen?
Gruesse,
Bio
Hi,
Wieviele kritische Fehler sind denn jetzt noch uebrig im IE?
keine Ahnung, mit großen Zahlen hab' ich immer Schwierigkeiten ... :-)
Weiß eigentlich jemand, ob Mozilla vorhat, den Support von @-URLs ebenfalls einzustellen? Oder Opera?
Cheatah
Hallo,
Weiß eigentlich jemand, ob Mozilla vorhat, den Support von @-URLs ebenfalls einzustellen? Oder Opera?
Opera warnt seit jeher bei @-URLs den Benutzer und fragt,
ob man wirklich auf diese Seite gehen wolle.
Das ist IMHO ein ausreichender Schutz.
Was die Entwickler von Mozilla und Opera planen,
weiss ich leider nicht.
Gruesse,
Thomas
der sich freut, dass den - gemaess HTTP "illegalen" - @-URLs
jetzt von MS IE der Garaus gemacht wird...
Zum Testen:
http://user:pass@www.example.com/
http://www.microsoft.com%01@www.heisec.de
(hier nicht verlinkbar;-)
Moin,
Weiß eigentlich jemand, ob Mozilla vorhat, den Support von @-URLs ebenfalls einzustellen? Oder Opera?
Opera warnt doch schon länger (oder nicht?) Aber dass Mozilla den Mist noch mitmacht wundert mich wirklich. Naja, die Kommentare zu des entsprechenden Bugs sind ja auch sprechend ("Verified BADIDEA"): http://bugzilla.mozilla.org/show_bug.cgi?id=232567.
Hi,
Opera warnt doch schon länger (oder nicht?) Aber dass Mozilla den Mist noch mitmacht wundert mich wirklich. Naja, die Kommentare zu des entsprechenden Bugs sind ja auch sprechend ("Verified BADIDEA"): http://bugzilla.mozilla.org/show_bug.cgi?id=232567.
wahr. Allerdings ignoriert all dies ein ganz grundlegendes Problem:
Nicht jeder Client kann mit @-URLs umgehen. Das Verhalten beim Antreffen einer solchen ist undefiniert.
Und solange @-URLs in gängigen Browsern[1] funktionieren, ist die Gefahr, sie irgendwo im Internet anzutreffen, imminent. Die User _eines_ Browsers (oder von mir aus von n Browsern) vor Problemen zu schützen, hilft den m-1 (m-n) Clients des Universums leider kaum.
Cheatah
[1] Die Eliminierung der Unterstützung im (leider) gängigsten Browser ist ein Riesenschritt nach vorne. An dieser Stelle herzlichen Dank[2] an Microsoft.
[2] Ehrlich gemeint.