советы от Майкрософта

Jan. 29th, 2004 12:13 am
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2004-01-28 03:24 pm (UTC)
From: [identity profile] gmz.livejournal.com
С каких это пор совет не пользоваться Интернет-стандартом называется "поддерживает Интернет-стандарт"?

Скоро от Мелкомягких мир дождётся совета не пользоваться e-mail, а вместо этого писать письма на бумаге и отправлять по почте.

Date: 2004-01-28 03:53 pm (UTC)
From: [identity profile] dimrub.livejournal.com
Либо мы друг друга не поняли, либо у Вас рефлекс Microsoft bashing эээ... застит глаза. Я говорю о новом стандарте, по которому в Интернет-адресах могут быть буквы не только латинских алфавитов. А Вы о чем говорите?

Date: 2004-01-28 04:06 pm (UTC)
From: [identity profile] gmz.livejournal.com
Я говорю о совете не кликать на ссылки. Это как бы если мне вместо совета пользоваться seat belt присоветовали ходить пешком.

Date: 2004-01-28 04:25 pm (UTC)
From: [identity profile] dimrub.livejournal.com
Нет такого Интернет-стандарта "кликать/не кликать на линки". Пожалуйста, попробуйте внимательно прочитать эту статью. Она действительно может быть полезна пользователю Интернета.

Date: 2004-01-28 04:40 pm (UTC)
From: [identity profile] gmz.livejournal.com
Ну да, а ребята из w3 это (ркуаhttp://www.w3.org/TR/1998/REC-html40-19980424/struct/links.html#h-12.1.1) в шутку написали, от нечего делать:

12.1.1 Visiting a linked resource

The default behavior associated with a link is the retrieval of another Web resource. This behavior is commonly and implicitly obtained by selecting the link (e.g., by clicking, through keyboard input, etc.).

Date: 2004-01-28 04:46 pm (UTC)
From: [identity profile] dimrub.livejournal.com
1. Вы дали неправильный линк.
2. Если верить каждому слову w3c, то Нетскейп, первые разработавшие scripting language for browser, являются злостными нарушителями стандарта, поскольку при нажатии на линк, к которому подключен скрипт, another Web resource не загружается.
3. Сами же написали: through keyboard input
4. Хотите нажимать на линки - пожалуйста. Вы ведь Нетскейпом пользуетесь, ведь не Эксплорером же? Ну так вот, есть множество атак класса той, что приведена (в качестве примера!) в статье, от которых Нетскейп не защищен. Так что когда вместо сайта своего банка попадете на хакерский и Ваши данные попадут к хакерам - пеняйте на себя.

Re:

Date: 2004-01-29 03:02 am (UTC)
From: [identity profile] ex-inn903.livejournal.com
тогда попробуйте перенабрать в адресной строке вот этот URL (http://www.google.com.ru/search?q=%D1%82%D1%8B+%D0%BF%D1%80%D0%B0%D0%B2%D0%B4%D0%B0+%D0%B4%D1%83%D0%BC%D0%B0%D0%B5%D1%88%D1%8C%2C+%D1%87%D1%82%D0%BE+%D0%BF%D0%B5%D1%80%D0%B5%D0%BD%D0%B0%D0%B1%D0%B8%D1%80%D0%B0%D1%82%D1%8C+%D0%BA%D0%B0%D0%B6%D0%B4%D1%8B%D0%B9+%D1%80%D0%B0%D0%B7+URL+%D0%B2%D1%80%D1%83%D1%87%D0%BD%D1%83%D1%8E+-+%D1%8D%D1%82%D0%BE+%D0%A0%D0%90%D0%97%D0%A3%D0%9C%D0%9D%D0%9E%D0%95+%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B5+%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B%3F+%D0%B5%D1%81%D0%BB%D0%B8+%D0%B4%D0%B0%2C+%D1%82%D0%BE+%D1%82%D1%8B+%D0%BD%D0%B0%D0%B2%D0%B5%D1%80%D0%BD%D0%BE%D0%B5+%D1%82%D0%B0%D0%BA+%D0%B8+%D0%B4%D0%B5%D0%BB%D0%B0%D0%B5%D1%88%D1%8C%3F+%D0%BF%D1%80%D0%B0%D0%B2%D0%B4%D0%B0%3F&ie=UTF-8&oe=UTF-8&hl=ru&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=)

потом расскажете насколько это эффективно

Re:

Date: 2004-01-29 03:06 am (UTC)
From: [identity profile] dimrub.livejournal.com
*вздыхает* Разумеется, подразумеваются не все адреса. В частности, разумеется, не адреса поиска на Гугле. Какие адреса подразумеваются? Ну, допустим, Вам пришел мейл, якобы от Вашего банка, в котором Вам предлагается зайти на свой счет и что-то там подтвердить. И дается линк - на якобы сайт банка. Вот такой адрес лучше набирать ручками, или держать в закладках, или пользоваться autocompletion, иначе данные Вашего счета могут попасть не по адресу. Чуть-чуть здравого смысла, а?

Re:

Date: 2004-01-29 03:33 am (UTC)
From: [identity profile] ex-inn903.livejournal.com
>Чуть-чуть здравого смысла, а?

мне не понятно почему вы считаете, что в этом совете здравого смысла больше чем в исправлении ошибки в IE, а вместо этого гениального во всех отношениях совета не написать например "Самый эффективный способ защиты от опасных гиперссылок — это установить вот _этот_ патч"?

Re:

Date: 2004-01-29 07:05 am (UTC)
From: [identity profile] dimrub.livejournal.com
Мне кажется, ответ следующий: Ранее Майкрософт выпускала множество пэтчей, за что бывала (справедливо) бита по голове специалистами по безопасности, ибо:

1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо
2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.

Поэтому пэтч и не выходит немедленно, а проходит основательное тестирование, и пэтч выпускается не на каждую небольшую проблему (а эта проблема с точки безопасности не ОЧЕНЬ серьезная: по крайней мере есть несколько способов ее обойти), а на несколько сразу.

Это во-первых. Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.

В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.

Re:

Date: 2004-01-29 07:47 am (UTC)
From: [identity profile] ex-inn903.livejournal.com
>1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо

в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com (http://windowsupdate.microsoft.com) которая полностью решает проблему "сложно разобраться"

>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.

а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)

>Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.

а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча

>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.

ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча

Re:

Date: 2004-01-29 08:12 am (UTC)
From: [identity profile] dimrub.livejournal.com
в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com которая полностью решает проблему "сложно разобраться"

Разумеется, она сильно облегчает жизнь, но никак не полностью решает проблему. Да заяви Майкрософт, что windowsupdate полностью решает какую-либо проблему, среди тех, кто со мной сейчас спорит такой вой поднимется! Разумеется, все еще остается проблема различий в конфигурациях. Чем больше патчей, тем больше вероятность, что произойдет конфликт между новоприбывшим патчем и чем-то, что уже стоит на машине.

>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.

а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)

Нет, не замечал, буду благодарен за ссылку с такой информацией. Пока что я посмотрел вот здесь: http://www.cert.org/advisories/
Создается впечатление, что 3 продукта, у которых больше всего "повторных" vulnerabilities - это PHP, Sendmail, OpenSSL (хотя возможно, что многочисленные проблемы, найденные в этих продуктах, не связаны между собой).

а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча

Нет, Вы невнимательно прочитали статью. Конкретная проблема (а именно, то, что после %00 в status bar ничего не видно) является лишь одним проявлением целого класса проблем, подпадающих под категорию "malicious hyperlinks". В частности, точно того же эффекта можно добиться при помощи JavaScript, и еще миллионом способов, от которых никакой патч, повторяю, не спасет, а меры, указанные в статье (из которых ручной ввод - далеко не единственная) - спасут.

>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.

ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча

Еще одно голословное утверждение. Сколько, по-Вашему, длится сертификация в различных организациях и сколько, по-Вашему, предстоит дожидаться патча? Насколько мне известно, на первый вопрос однозначный ответ найти непросто, а на второй - невозможно (по крайней мере, ничего на эту тему объявлено не было).
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

avva: (Default)
avva
Website

January 2026

S M T W T F S
    1 2 3
45678910
11121314151617
18192021222324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 3rd, 2026 09:38 am
Powered by Dreamwidth Studios