XHTMLforum

XHTMLforum (http://xhtmlforum.de/index.php)
-   Offtopic (http://xhtmlforum.de/forumdisplay.php?f=75)
-   -   Internet Explorer am robustesten (http://xhtmlforum.de/showthread.php?t=33466)

Anonymous 20.10.2004 16:53

Internet Explorer am robustesten
 
Mit fehlerhaften HTML-Seiten lassen sich die meisten aktuellen Browser aus dem Tritt bringen -- mit Ausnahme des Internet Explorer, so das Ergebnis einer Untersuchung des renommierten Sicherheitsspezialisten Michal Zalewski. Ein von ihm programmiertes Tool erzeugte dazu systematisch fehlerhaften HTML-Code, den er dann in verschiedenen Browsern darstellen ließ. Zalewski beschränkte sich auf recht einfaches HTML, Scripte und Stylesheets kamen nicht zum Einsatz.


Mozilla, Netscape, Firefox, Opera und Lynx reagierten seinen Ergebnissen nach regelmäßig mit Abstürzen, Speicherzugriffsverletzungen, Buffer Overflows und manchmal mit einem mehrminütigen Stillstand des Systems. Microsofts Internet Explorer zeigte sich von diesen Tests hingegen unbeeindruckt -- weder stürzte er ab, noch blieb er stehen.

Zalewski hat einige der aufgetretenen Fehler analysiert und auch gleich die Ursachen ausgemacht. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen. Opera hingegen reagiert allergisch auf bestimmte Tabellen. Zalewski hat dann nach eigenen Angaben aufgrund der großen Zahl der Fehler schnell die Lust an weiteren Analysen verloren. Er habe einige der Hersteller jedoch über die bereits entdeckten Probleme informiert.

Weitere Gedanken machte er sich dennoch -- insbesondere über die Qualitätssicherung der Hersteller. Gerade die Browser, die sonst als sicher gelten, können seiner Ansicht nach in diesem Punkt nicht mit dem Internet Explorer mithalten. Offenbar sei nur der Microsoft-Browser systematischer Qualitätssicherung mit ähnlichen Tools unterzogen worden. Gleichwohl bedeute das nicht automatisch, dass der Internet Explorer sicherer sei. Microsofts Browser habe andere Lücken, deren Ursprung nicht zuletzt in der Architektur und seinen besonderen Funktionen liege.

Ein eingeschränkte Demonstration der fehlerhaften HTML-Seiten zeigt Zalewski auf Coredump.cx; das benutzte Programm, das den fehlerhaften HTML-Code erzeugt, stellt er für weitere Tests zum Download bereit.

quelle

so schlecht is er doch garnicht. ;) und eigentlich sicherer als die anderen browser. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen.

SimonWpt 20.10.2004 17:05

Re: Internet Explorer am robustesten
 
Zitat:

Zitat von legman
so schlecht is er doch garnicht. ;) und eigentlich sicherer als die anderen browser. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen.

Das kann man sehen, wie man will:

1. Der Absturz der Browser ist keine Sicherheitslücke. Man kann das Verhalten nicht ausnutzen.
2. Die Fehlertoleranz des IE führt dazu, dass Millionen von Webseiten für anderen Browser nicht sichtbar sind.

Ich erwarte von einer Software Sicherheit und Einhaltung von Standards. Sie muss aber nicht grob fahrlässige Fehler in unerwünschte Features umwandeln.

Nur meine 2 Cents...


Bertram

Boris 20.10.2004 17:17

Man müsste auch Fragen, was man will:

1. Einen Browser, der die Standards nicht sehr gut unterstützt, aber keine Probleme mit fehlerhaftem HTML-Code hat

2. Einen Browser, der die Standards sehr gut unterszützt und Probleme mit fehlerhaften Code hat (der nicht dem Standard entspricht).

Ich wähl Nummer 2 ... :roll:


Alle Zeitangaben in WEZ +2. Es ist jetzt 18:12 Uhr.

Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.

© Dirk H. 2003 - 2023