Vlákno názorů k článku Přikováni k modrému E od Pepak - Pri cteni te glosy se nabizeji otazky: 1a) Proc...

Pri cteni te glosy se nabizeji otazky:

1a) Proc je i ve svetle vsech tech utoku defaultni nastaveni IE takove, jake je?
1b) Proc ani zkuseni uzivatele nezmeni zabezpeceni sveho IE?

On totiz i IE muze byt bezpecny, pokud uzivatele dodrzuji standardni lehce paranoidni pristupy - dovolovat aplikacim jen to, co je nezbytne nutne potreba, a zakazovat vsechno ostatni. Konkretne u prohlizecu (nejen IE) je naprosty nesmysl browsovat se zapnutym javascriptem a vsemi ostatnimi "aktivnimi" technologiemi (ActiveX, Java, pluginy apod.). Mnoho stranek funguje uspokojive i bez techto technologii, ty, co nefunguji, casto maji kvalitnejsi ekvivalenty. Kdyz uz se aktivnimu obsahu nelze vypnout, je mozne ho povolit jen pro tu jednu konkretni stranku - samozrejme po provereni, ze je to bezpecne. Cokoliv mensiho mi pripada, jako kdybych se ovesil zlatymi retezy, nacpal kapsy penezi, prochazel se celou noc po Hlavnim nadrazi a utesoval se tim, ze "zatim se mi nic nestalo".

2) Proc si Opera/Mozilla a spol. nemohou otestovat stranku, jestli je validni, a pokud neni, zpristupnit ji i Microsofti speciality typu document.all?

Konkretne u prohlizecu (nejen IE) je naprosty nesmysl browsovat se zapnutym javascriptem...

Mám v Mozille zapnutý JavaScript neustále a nemám pocit, že bych dělal něco nesmyslného a ani nemám pocit ohrožení. Proč si myslíte, že by u jiných prohlížečů než MSIE mělo být brouzdání se zapnutým JavaScriptem nesmyslné?

Proc si Opera/Mozilla a spol. nemohou otestovat stranku, jestli je validni, a pokud neni, zpristupnit ji i Microsofti speciality typu document.all?

Validace dokumentu je náročná operace, nelze ji dělat pro každou zobrazenou stránku. Pro plnou implementaci document.all v Mozille neexistuje dostatek chuti (a v není divu, document.all je naprostý výmysl Microsoftu) ani dokumentace, přesto lze ve verzi 1.8 očekávat jistou formu podpory.

Jen pro úplnost, Adame (i ostatní) - syndromem "Document.All" pochopitelně nemyslím jen použití konkrétně téhle nestandardní "collection", ale jakékoli proprietární obludnosti, která má přitom funkční ekvivalent v DOM. A že jich je... Pan Dobrý výše to trefil přesně: ve frikulínském newspeaku se tomu říká "optimalizace" - v programátorské realitě je to lenost.

Proč si myslíte, že by u jiných prohlížečů než MSIE mělo být brouzdání se zapnutým JavaScriptem nesmyslné?

Protoze je nesmysl (nebo rekneme "neracionalni") zvysovat riziko, aniz by za to clovek dostaval odpovidajici protihodnotu.

Validace dokumentu je náročná operace, nelze ji dělat pro každou zobrazenou stránku

Browsery to stejne do jiste miry delaji, takze jim zadna zvlastni prace navic nepribyva. Nehlede na to, ze by uplne stacilo uzivatelske nastaveni (defaultne vypnute, at to tvurce webu aspon trochu nuti psat stranky rozumne), ze se maji zpracovavat i microsofti speciality, pokud je javascript pouziva.

Protoze je nesmysl (nebo rekneme "neracionalni") zvysovat riziko, aniz by za to clovek dostaval odpovidajici protihodnotu.

Na mnoha serverech mi ulehčují či zpříjemňují JavaScriptem život, aniž bych měl pocit, že se riziko zvýšilo.

Browsery to stejne do jiste miry delaji, takze jim zadna zvlastni prace navic nepribyva.

Vývojáři prohlížečů mají na náročnost překvapivě odlišný názor. Krom jiného slučujete práci parseru, který se snaží ve špatném kódu alespoň něco zachránít, a validátoru, který hledá v kódu prohřešky. Jistá část kódu by mohla být společná, ale opravdu velkou část validátoru by bylo potřeba napsat - a proč to dělat, když stejně chybí podpora document.all a když by uživatelé měli tuto vlastnost vypnutou?

Na mnoha serverech mi ulehčují či zpříjemňují JavaScriptem život, aniž bych měl pocit, že se riziko zvýšilo.

Prave pro tech "mnoho serveru" jsou urceny zony jako "Duveryhodne".

Mily Pepaku, to proto, protoze se zabezpeceny IE neda pouzivat. Nikdo nema nervy na odklikavani nekonecnych stupidnich varovani o tom, co ze to udajne nebude fungovat, kdyz "paranoidni" uzivatel vzal IE jeho oblibene (s)hracky jako je ActiveX nebo skriptovani.

Dalsim prikladem budiz bezpecny IE ve Windows 2003 Server. Ten je tak bezpecny, ze je mozna pri shode zvlaste priznivych okolnosti mozne jej pouzivat na prohlizeni lokalni dokumentace napsane v prostem HTML mozna s nejakymi obrazky. Pokud jej chces pouzivat na cokoliv jineho, musis bezpecnostni komponentu vypnout a razem je server deravy jako vrata. Opravdu uzasny pristup. :-(((

Mily Pepaku, to proto, protoze se zabezpeceny IE neda pouzivat.

Tak to jsem asi uchyl nebo mam zmutovane IE, protoze jsem si zadnych problemu pri pouzivani nevsiml (o hlasky o nepodpore ActiveX se postara protireklamni software, ktery uz je dnes skoro nutnosti...)

To nejste uchyl, to spis jen nevite ze updaty MSIE mmj. probihaji v ramci windows update.

Toho WindowsUpdate, co vypinam hned po nainstalovani Windows?

K té závorce - pro uživatele IE asi opravdu nutností bude ;-)

Pouzivam MS IE jen kdyz nezbytne neni zbyti na nejakych stupid webech, nastaveni je maximalne restriktivni co jde, abch byl vubec schopen prace v tech systemech, presto temer pokazde, co opustim tuto aplikaci a projedu pocitac na spyware & spol. zpravidla neco nevhodneho najdu (a odstranim)... - skutecne si myslite, ze je to v neznalosti uzivatelu a nebo zameru nezaplatovat ani zname problemy?

To je divne. Ja treba pouzivam IE porad, nic restriktivniho tam nastaveno nemam - proste vychozi nastaveni - a i pres fakt, ze casto kontroluju system spyware & spol, prakticky nic noveho nenalezam.

Ano. Skutecne poradne nastavenej (ne nezbytne updatovanej - plati to i pro SP1 bez jakyhokoliv dodatecnyho fixu, dost mozna i pro starsi verze) IE nepusti zadnej z dosud nalezenych exploitu, pritom zustava naprosto provozuschopnej.

Jiste, to "poradne nastaveni" Exploderu se dela jedinym kliknutim - takto:
V Pruzkumniku se klikne na soubor se jmenem FirefoxSetup-0.9.1-csCZ.exe
A JE TO!
Pepo, ty fakt znas jednodussi postup pro BFU?

To je otazka, co je jednodussi pro BFU - jestli se naucit novy prohlizec (jakkoliv se me zda skoro stejny, BFU se kupodivu ty rozdily zdaji dost velke) nebo si od spravce nechat zabezpecit ten stavajici.

Hlavne mi ale jde o to, ze tady se hazi tvrzenimi jako "IE neni bezpecny", ktera proste nejsou pravdiva - IE je bezpecny, pokud to clovek umi nastavit.