Microsoft: Spoofing in IE is geen security lek
Vorige week verscheen het bericht dat er een spoofing lek in Internet Explorer ontdekt was. Volgens Microsoft is dit echer helemaal geen lek. Een woordvoerder van de softwaregigant liet weten: "Microsoft is op de hoogte van het security probleem dat vorige week bekend gemaakt werd, waardoor de URL die een gebruiker in de statusbalk ziet gespoofed kan worden. Gebruikers kunnen een URL in de statusbalk zien als de muis over een link op een webpagina wordt gehouden, maar klikt men op de link, dan gaat men naar een andere URL toe. Ons onderzoek heeft aangetoond dat dit echter geen security lek is". (Zdnet.
voor verantwoordelijkheid. De enige reden die ze geven dat
het geen security probleem is is omdat hun onderzoek heeft
aangetoont dat zelfs als het toegepast zou worden het niet
door de gebruikers opgevat wordt als een link naar een site.
Gebruikers zouden wel weten dat de statusbalk te manipuleren
is en er dus niet op vertrouwd kan worden. MS gebruikt dus
zn eigen fouten om het goed te praten.
Nee, het is een feature :S
Aan de andere kant....je kan deze "truuk" ook simpel doen met onmouseover="window.status....." enzo. Dat status venster kan van alles bevatten. Als je javascript uitzet dan werkt deze truuk niet maar die van vorige week wel want die heeft geen javascript nodig.
doen met onmouseover="window.status....." enzo. Dat status
venster kan van alles bevatten. Als je javascript uitzet dan
werkt deze truuk niet maar die van vorige week wel want die
heeft geen javascript nodig.
keer gebruiken van het href attribuut is dat je zulke
javascript acties kan uitschakelen, zoals mijn voorganger al schreef. Is naar mijn idee het verschil tussen "by design" en een onvolkomenheid (aka bug).
Anyway, wat IE zou moeten doen (en iedere andere browser
ook) is heel hard een foutmelding op de plaats van de link
zetten. Het is immers niet toegestaan, volgens de specs van
W3C (http://www.w3.org/TR/REC-html40/sgml/dtd.html)
Zou het ver gaan te vragen om bij invalid (X)HTML de hele
pagina te laten bouncen?
tussen strict of transitional html, zou dat wat zijn?
Hadden die onderzoekers soms str*nt in hun ogen??? Of hebben ze er
een kleuterklas er naar laten kijken.
Ik vind het echt te gek voor worden dat Microsoft het nu gaat weerleggen. Ik
vraag me af of ze niets beters te doen hebben dan dit soort persberichten
de wereld in de schoppen. Laten ze eens een aantal echte en
onafhankelijke ervaren gasten naar kijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.