A weboldalak átírásával védekezne a Microsoft

*7-10-ig

---Hová lettek 6-10ig a hozzászólások?
Csak nálam nem látszik?

de van rá, pl ráfekszel az enterre és akko végignyomja az összes okot ;Ð

Lehet, hogy elõitéletes vagyok a MS-tal, ettõl függetlenül azt is tudom, hogy az AJAX-ot nekik köszönhetjük. Az viszont tény, hogy akárhogy csûrik-csavarják, lehet majd kikerülõ megoldást találni, ez a JS sajátosságainak köszönhetõen garantált. Ezzel a módszerrel - még ha elõször valóban futtatásra kerül a kód is - annyit érhetünk el, hogy egy kicsit tovább tart, míg a kártékony kód elindul, viszont egyes alkalmazásokat tévesen fog veszélyesnek vélni.

Szvsz JS-ben a végtelen alerten és a szemetelésen kívül kevés igazán kártékony kód készíthetõ manapság, ezek ellen viszont már többnyire van védekezés (Operában pl. ezt nagyon szépen megoldották, mondjuk a többi böngészõben az elsõ megoldás ellen jelenleg nem érhetõ el védelem).

az a baj, hogy a userek nem fejlõdnek úgy, mint a technológia. az átlagos felhasználó még tûzfalat se húz, adminként netez, és ha egy biztonsági program, feature megnehezíti a munkáját, egyszerûen kikapcsolja azt.

esetleg félévente, amikor már rohadt lassú a gépe, akkor szól vmelyik informatikus ismerõsének, hogy ugyan jöjjön már át megnézni, mi lehet a baj.

olyan nagyon nem is lehet hibáztatni õket, hogy nem naprakészek, így viszont a legtöbbnek nagy veszélyben vannak az adatai.

Nem hiszem...

a php-t böngészõbõl nemigen temetik

Lehet pesszimista és maradi vagyok, de nekem megint az jutott eszembe, hogy ha nem MS technológiával készült az oldal, akkor nem, vagy csak részben jeleníti meg, csak most a biztonságra hivatkozik... Átéltünk már egy ilyet..

Így oldódik meg a PHP és FLASH eltemetése?

Figyusz, jó lenne ha kicsit visszafogottabb lennél MS ügyben. Az összes ilyen témájú hozzásólásodból süt az elõítélet. Nem kell szeretni õket, csak legyél már egy kicsit tárgyilagosabb.

Az MS segítette évek óta - és elsõnek - az AJAX fejlõdését. Az IE-ben már rég lehetett kliens oldali XSLT-t csinálni, amikor a Mozilla engine XML támogatása még csak pajkos álom volt. Az Operát pedig hagyjuk, igaz hogy végre a 9-esbe raktak támogatást, de hihetetlenül bugos. Amit írni akarok: az összes AJAX-os intranetes rendszer IE alapú, az MS nem fogja tökönszúrni magát azzal hogy keresztbetesz neki. A mindenki által istenített Opera amúgy is szopatta az AJAX programozókat évekig...

Az evalról meg annyit hogy ha csinálnak egy sandboxot (amit egyébként te is meg tudsz csinálni, ha beilleszted az IE kontrollt egy applikációba és elkapdosod az eventjeit), akkor mindent el tudsz kapni amit a script csinál. Én ezt IE-vel kb. 4 éve meg tudtam már csinálni.

Érdekelne, mit reagálna ez a szûrõ egy AJAX-szal letöltött számsorozatra, amit a kliens JS-kóddá alakít, végül egy eval-lal lefuttat. Ebbõl az életben nem fogja kiszûrni a káros kódot, tehát szerintem az alapötlet - függetlenül attól, hogy jó-e vagy sem - kikerülhetõ, így tehát értelmetlen.

Az ötlet jó, de nem értem hogy ez hol fogja megvédeni jobban a gépet, mint a már eddig is beépitett védelmi funkcioói az IE-nek.

Ilyen kritikus védelmi hibákkal az IE-t kellene foldozni nem a külsö réteget. Ha meg a javascripttel is lehet olyan méretû támadást inditani ami valamire való bajt is okoz akkor inkább javascript blokkert kéne kitalálni mert nem hiszem el hogy egy generikus modellt fel tudnak vázolni a javascriptben irt ilyen támado scriptekre.
De ismétlem magam, ha ilyen mértékû veszély lenne akkor azt IE-ben kellene integrálni, mert az belsö hiba. (Az hogy megenged ilyen dolgokat, mint régebben a java appletek és active x komponensek tulzott jogai voltak)

Én még nem látom mekkora haszna lesz ennek...

Aha, baromi jó lesz, ha a 4-5k soros AJAX alkalmazásokat valami gány jól megnyírbálja. Így is minden negyedik sor valami IE hackelés, még külön jó lesz, ha ezekbõl elõre nem látható módon - és a szûrõ "fejlettségétõl" függõen - még véletlenszerûen ki is maradnak sorok. Talán egyszerûbb lenne kerülõ megoldás helyett a böngészõkben megfelelõen szabályozni, hogy mi mihez férhet hozzá.

Webkettõzni próbáltok? Na majd adunk nektek nem desktop szoftvert használni!

ismét egy totál idióta ötlet és ezért még fizetnek is valakinek pff de én drukolok nekik, remélem a végén az explorerben már csak a karakterek megjelenítését engedik majd és csak ötszöri kattintással lehetlesz majd csak a képet is megnézni :D

JavaScript :) , Ket gonosz dolgot lehet csinalni .js -el egy "normalis" rendszeren:
1. "Vegtelen", messagedlg boxot dobni, ami miatt csak kulso kill,(alt-ctrl-del) el lehet bazarni az oldalt, ill. bongeszot, meglepo, de ez az ocska szivatas meg mindig muxik.
2. Masik olyan scriptet irni ami, sok procit eszik ezert lassu lesz a geped meg az oldalon, de manapsag a bongeszok rinyalnak, ha ilyet talalnak es felajajak, hogy lealitjak.

Tud valaki mas gonosz dolgot ? (Az mondja el, kiprobalom megeszi-e rendszerem, ha lehet kodreszlettel is szolgaljon)

Mellesleg mi volt az 8 biztonsagi javitas, milyen merteku volt az okozhato kar. Csak az IE volt erintve .js sebezhetoseg teren?

Egyes "tuzfalak" a reklam jelegu dolgokat kiszurik (ill. kartevo jelleg) pl. Kerio, ha jol emlekszem, helyukre tesznek egy filtered matricat. Akkor mi az uj dolog ?

Mik azok az XML adathalaszok, mar ilyenek is vannak vagy csak urban legend. Egy kurva bongeszo miert adna ki adatokat onket es dalolva? Es ez a shield milyen uj modszerrel venne eszre, ha nem ismert a modszer.

Sokkal egyszerubb a bongeszo jogkoret lefaragni, es akkor nem is nyulhat ahhoz, amihez semmi koze, igy nem banthatja a rendszert, es kesz.

Kukk! :) Kerio tûzfal is átírkafirkálja a kódot /ha beállítjuk/, de csókolomcsókolom ezálltal lassul ám a weblapok letöltése úgy 30-40%-al.

Az ötlet maga jó. A Norton IIS is ezt teszi a reklámokkal, és gyakorlatilag nulla idõkiesést produkál letöltéskor (persze könnyû a dolga, elég az URL-eket figyelni).

Szerintem azzal lesz a probléma, hogy hogy állapítja meg valamilyen scriptrõl hogy az vírus / trójai. Én mondjuk egy pár óra munkával olyan dinamikus JS obfuszkátort írok PHP/JSP/ASP/ASPX-ben, amit szerintem nem nagyon fog tudni felismerni futtatás nélkül, az meg baromi lassú, plusz veszélyes (ha csak nem csinál neki külön homokozót, ami meg még lassabb).

Szóval szerintem jó ötlet, de gyakorlatikag kivitelezhetetlen viszonylag nagy teljesítmény vesztés nélkül.

mindig neki sikerül :D

eszed=teszed

Eszed is rendesen!!!4
Sajnállak, szerez magadnak egy srácot vagy lányt ahogy tetszik és akkor talán megnyugszol!

Hát valahogy mégis neked sikerült összehozni a legaljább hsz-t...

És tudja valaki hova lett a Vista RC1 teszttel kapcsolatos cikk???

Oké, te nyertél...

"Húha, feltalálták a spanyolviaszt!"

Konkrétan hol volt már ez megvalósítva?

"Eddig is írhattál magadnak ilyet"

Ezt ugye nem gondolod komolyan?
Bármit írhatnáttál voln a magadnak. De nem írtál, mert nem neked jutott eszedbe, pont.

Ezt sem fogom használni :)

És kurtára idegelne, hogy megírok egy weblapot, de az IE akármit csinálok nem jeleníti meg rendesen, mert öntudatra ébred a böngészõ, és átírja a forrást:))
Remélem ez a "beteg, nem megvalósítható" projecktek között marad:)

Húha, feltalálták a spanyolviaszt! :D Eddig is írhattál magadnak ilyet, de az a jó, hogy most már ezt is megkapod official...

Bár a kételkedek a hatékonyságában és a használhatóságában.