Hee, ik zie IE 6.0 voor de afwisseling een keer niet staan. Chapeau!

IE ondersteund geen IDN en is daardoor niet gevoelig voor
het lek. Een IE plugin voor IDN support bevat echter
hetzelfde lek.

Dat komt doordat IE geen IDN implementatie heeft.

omdat ie geen IDN ondersteunt. Met een plugin daarvoor is ie
net zo kwetsbaar

Ben ik ff blij dat ik Microsoft Windows met Microsoft Internet Explorer en
Micrsoft AntiSpyware gebruik. Ik ben safe!!

Whahahaha...

Lolbroek :) Je bent momenteel aanzienlijk kwetsbaarder dan
iemand met IDN ;)

"Gebruikers wordt aangeraden om geen links van onbetrouwbare
bronnen te volgen en de URL handmatig in de adresbalk te
typen"...
Als ik weer ga surfen op het web, zal ik alle url's netjes
overkloppen in de adresbalk.
Ik heb het altijd al gezegt dat de kwaliteit van hobbie
software niet kan tippen an de kwaliteit van commerciele
software.
Hehehe

Blijf maar lekker doordromen ;)

Ie is niet onveilig

We wachten gewoon een paar dagen op een patch en dan is dit
weer snel vergeten. Dit in tegenstelling tot IE waar je een
half jaar op moet wachten....lol

GateHawk

haha maar weer overstappen op IE:D

Nee inderdaad, zolang je er niet mee op het www surft, is ie
niet onveilig.

Kom boys..(& girls),

Verzand nou niet steeds in het welles/nietes spelletje tussen de
"open source" en M$ kampen. Feit is dat alle software fouten
bevat, dan zien we maar weer eens. Feit is wel dat keer op keer
komt vast te staan dat de "open source" behoorlijk minder fouten
heeft dan wat uit Redmond komt.

Fix:

type "about:config" als URL
Ga naar "network.enableIDN" en dubbelklik erop. Hij staat nu
op "false"

Je bent weer secure!

;) Had dat even stil gehouden, ik vond het net zo leuk om
pro-M$ gebruikers zoals gebruikelijk overmoedig te zien worden.

Inderdaad, MSIE voldoet nog niet eens aan
de geldende aanbevelingen en normen maar is overpopulair bij
hobbyisten met hun my-first-homepage.

Open source voldoet daarnaast toonbaar
beter aan normen en aanbevelingen, en is meer up to date.

Slecht nieuws voor de anti-pro-M$ gebruikers...


Dat dacht ik ook ja, je was me net voor met posten. Maar bij
het even verder lezen op internet zag ik [color=red]dat dit
slechts werkt tot je Firefox afsluit en weer
opstart[/color]. In about:config staat
network.enableIDN dan nog steeds op false! Nog
een paar bugs dus :(

Bron:
http://lists.netsys.com/pipermail/full-disclosure/2005-February/031483.html
en volgende.

Aan de andere kant, ik noem een browser bug pas kritisch als
je een remote webpage opent, waarna zonder dat je er iets
tegen kunt doen, code (exe/hta/bat etc.) op je PC wordt
geschreven en (evt. na reboot) automatisch wordt gestart,
iets wat we bij MSIE veel te vaak hebben gezien. Wat niet
wegneemt dat deze spoofing bugs wel gefixed moeten worden.

En als ze toch bezig zijn: op http://www.mikx.de/
staan er nog een paar, incl. een drietal nieuwe van maandag
7 feb. Zie ook (Duits)
http://www.heise.de/security/news/meldung/56140

Erik van Straten

Wat 'vreemd' dan dat we je dat niet horen zeggen als er weer
de zoveelste bug in commerciele software gevonden is.
Blijkbaar komt deze bug je eerder goed uit om het eens te
kunnen roepen ipv dat het je goed uitkomt om de waarheid te
verkondigen.

Overigens is dit niet zozeer een lek in de browsers. Zelfs
niet als MS van IDN gebruik maakte. Het komt omdat het IDN
protocol geen eenduidige afhandeling kent van gelijksoortige
domeinnamen. De browsers werken dus volgend het protocol en
daarom gaat het mis.

Inderdaad, eindelijk een nuchtere reactie, dit is geen foute
code. Dus geen gezanik over welke browser beter is!

Bedankt voor de fix! Ik ben weer secure :)

Onder welk O.S. ondervind je
dat? Dat het de waarden in all.js en prefs.js negeert bij
het opstarten? Dat moeten we dan even aanpassen.
Werkt
alleen onder Windows + Flash + Java

Erik, bij mijn installatie blijft ie gewoon staan hoor.. Als
ik de browser afsluit en weer opstart (ik heb vandaag zelfs
de computer uitegehad), de instelling staat nog steeds op
false. Jij zegt overigens "dan staat In about:config staat
network.enableIDN dan nog steeds op false!"
=>> ben ik nu gek of: Hij hoort toch ook op false te staan??

Bij mij na een reboot staat ie nog steeds netjes op false..
niks aan het handje.

Praktijk is dat fouten in firefox net zo lang open staan dan in ie. Sommige
gaten zitten er al een paar maanden in (secunia). Dus de illusie dat je
veiliger bent met firefox moet toch doorbroken worden. Er is maar 1
conclusie: firefox en ie bevatten beiden fouten. Voor het oplossen van de
fouten maakt het geen fuck uit. Dus kies die browser die je leuk vindt.

Rob schreef:

Inderdaad. Maar het probleem is dat ie dan NIET meer werkt,
d.w.z. bij mij en anderen op internet. Je kunt nooit
uitsluiten dat bijv. de windows versie, taal en de locatie
van bestanden hier invloed op heeft, en het bij jou wel
werkt. Laat je 't hier even weten?

Uitleg: je hebt hem zelf op false gezet. Tijdens die
sessie van Firefox had dat het gewenste effect, als je naar
de Secunia demo ging werd de fake paypal site geblokkeerd.

Echter, als je vervolgens alle Firefox windows sluit en er
dan weer eentje opent, en daarmee opnieuw naar de Secunia
site gaat, verschijnt de fake paypal site weer WEL! Terwijl,
zoals je zelf opmerkt, de instelling (in prefs.js)
niet veranderd is.

Dus, los van het feit of het tonen van een site met
"moeilijke" karakters wel of geen bug is, het is ZEKER een
bug dat een browserinstelling (in prefs.js) fout (of geheel
niet) geinterpreteerd wordt na een herstart van die
browser. Ik vind dit echter geen kritische bug, want
er is absoluut geen sprake van remote code execution o.i.d.

N.B. de oorspronkelijke demo
(http://www.shmoo.com/idn/) lijkt uit de lucht te
zijn gehaald; Paypal zal het misbruik van z'n naam wel
hebben aangevochten. Vooral de demo met slotje, gele URL
balk en geldig certificaat (doch afwijkende hostname) was
erg overtuigend.

Mocht mijn vorige post suggereren dat het tonen van de
spoofed paypal site een browserbug is, al dan niet met
slotje en certificaat, dan neem ik die bij deze terug. In
tegenstelling tot de MSIE procent 001 bug, is dit "probleem"
eerder vergelijkbaar met het verschil tussen whitehouse.com
en whitehouse.gov, resp. slashdot.net en slashdot.org. Het
is hooguit een windows bug als bepaalde karakters niet of
anders worden getoond dan zou moeten.

Probleem is wel dat onervaren surfers zo makkelijk misleid
kunnen worden, vergelijkbaar met kleine lettertjes in een
koop- en verzekeringsaktes, of een dief die liegt dat ie
meteropnemer is. In webbrowsers kunnen we mogelijkerwijs
technische maatregelen verzinnen die het probleem
verzachten, maar die blijken in de praktijk vaak makkelijk
te omzeilen.

In elk geval zullen we gebruikers nog beter moeten opvoeden:
vertrouw niet blind op het slotje in je browser. Er zijn,
ook in IE, meerdere truuks bekend (o.a. met overlappende
plaatjes) die je kunnen foppen. Bekijk ALTIJD het
certificaat voordat je een creditcard nummer of een
belangrijk password etc. invult op een website!

Erik van Straten

In feite is dit gewoon zoeken naar slechte publiciteit. 'de
url typen ipv klikken'.. als je websites bezoekt die niet te
vertrouwen zijn ben je zobiezo al verkeerd bezig, laat staan
dat je een idn naam in je adresbalk krijgt. Gewoon typen of
je history/startpagina brengt verder geen problemen op :)

umz ik krijg alleen maar host not found op die voorbeeldpagina

Overigens is dit 'probleem' al jarenlang bekend en de grote
reden dat veel registries geen IDN ondersteunen, of maar
voor bepaalde tekens. Daarnaast kun je nog wel grotere
problemen krijgen als je alle tekens ooit gaat ondersteunen.
Komt nog bij dat dit gewoon een variant is van bijv een
domeinnaam als 'www.miccrosoft.com' dus eigenlijk zijn alle
browsers in dat opzicht lek.

Een reactie die ik op http://www.mozbrowser.nl heb gevonden.

Ik heb de oplossing.... dit las ik op het officiele engelse
firefox forum!
Effe Engels:

A simpler way of fixing this is as follows :-

1. Install the Adblock Firefox extension.
https://update.mozilla.org/extensions/moreinfo.php?application=firefox&version=1.0&os=Windows&id=10

2. Look at the Adblock 'Preferences' and go to 'Adblock Options'

3. Tick 'Site Blocking'

4. Add the following filter :-
/[^x20-xFF]/

This will block any URL that uses characters outside the
normal ASCII range.

Grappig is dat je enkel naar zoiets als
dit kijkt maar verder volkomen de functie van applicaties
vergeet. Firefox voldoet goeddeels aan de normen en
aanbevelingen. MSIE voldoet nauwelijks aan normen of
aanbevelingen en ligt zelfs een decennium achter.
Je moet altijd critisch blijven.

Niet op mijn computer!

Idioot!!!
Precies met de programma's die jij opnoemt ben je NOOIT SAFE