Internet Explorer 7: Wie steht es um die Sicherheit?

Windows Seit gestern Abend ist die lang erwartete Internet Explorer 7 Beta 2 Preview öffentlich verfügbar. Wir von WinFuture haben die Freigabe dieser Preview als Anlass gesehen, den neuen Internet Explorer genauer unter die Lupe zu nehmen und in Sachen ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
danke fürs bearbeiten. so macht mein kommentar ja noch weniger sinn als eure "sicherheitstest" einer BETA software.
 
@stadtschreiber: die auf dem kern des ie 6 basiert! - wenn der ie sicher werden soll, dann müsste er von grund auf neu geschrieben werden ...
 
Eigentlich ein guter Moment fürs Produktbashing. Aber wir bleiben fair. Der IE ist noch in der Betaphase. Und Microsoft kann ja nachpatchen, so wie in der Vergangenheit auch.
 
IBTD: Die Lücke mit dem Reference-Caching dürfte eine Überarbeitung von ca. 40 des gesamten Codes erfolgen und ist offensichtlich nicht erfolgt.
 
@einsteinchen: ACK. Bei mir läuft die IE7 beta2 saugut. Das ist der
erste "MS-Ex", der mir gefällt, flott und chic. Eine echte Alternative
zum SeaMonkey 1.0, meiner Referenz :)
 
Für die Unternehmen sind BETA Perioden zwar von Vorteil, da sie Feedback brauchen. Aber ich halte Software die noch nicht die BETA Phase hinter sich hat, für Mist! MfG Raul
 
Wer oder was ist ein Feuerfuchs? "Ailurus fulgens" würde den Autor jetzt sicher beißen!
 
@TobWen: was hat denn ein fuchs mit einem panda zu tun? Feuerfuchs = Firefox
 
@renegade98: Firefox=roter Panda, siehe http://de.wikipedia.org/wiki/Firefox
 
@Alirion: man lernt ebend nie aus - thx
 
"Bei dem Exploit, dass dem neuen Internet Explorer noch zu schaffen macht, handelt es sich um ein Javascript, das durch unsachgemäßen und vielfachen Aufruf der Funktion einen Absturz des Browsers herbeiführt. " Da kann Microsoft sich ja noch vor der Fertigstellung beim Firefox-Team inspirieren lassen. Der Firefox fragt bei solchen Skripten, ob das gewünscht ist, oder ob es gestoppt werden soll. Warum habt ihr das Cross-Site-Scripting nicht gestestet?
 
Macht der IE ebenfalls. Das ist ja der Grund, warum es überhaupt als DoS gezählt wird. Außerdem stürzt der IE wirklich ab, d.h. es ist nicht möglich, einfach nur abzuwarten und die Seite wieder zu schließen.
 
@Rika: Das verstehe ich nicht ganz. Er fragt also nach, stürzt aber trotzdem ab?
 
@sp4rkle: Ja, wie Rika schon sagt, der IE stürtzt nicht ab. Er kommt mit einer Meldung, die von einem "stack overflow" berichtet. Diese Meldung enthält allerdings nur einen OK-Button und kommt aber unendlich. Daher stürtzt der IE zwar nicht wortgemäß ab, aber er lässt sich auch nicht mehr verwenden, weshalb ein Taskkill erfolgen muss.
 
Nein, normalerweise fragt er nach und stürzt nicht ab. Oder er fragt nicht nach, reagiert 'ne Weile lang nicht, stürzt aber nicht ab. :hups, die Kommentarfunktion spinnt:
 
@Rika: Weisst du näheres in Sachen Cross-Site-Scripting?
 
http://www.drorshalev.com/SafeCenter/crosszone/ie/SaveRef.htm, http://www.securityfocus.com/archive/1/301945
 
Interessanter Test. Hoffentlich habt ihr euer Testresultat an Microsoft mitgeteilt. Wie reagiert der FF auf euren Spoofing-Test?
 
@jackattack: Ich wollte es absichtlich nicht in der News nennen, damit der Browserkrieg nicht weitergeht. Aber Firefox hat sie brav erkannt und uns den echten Link angezeigt. Wir konnten ihm nichts unterjubeln, echt traurig. ;-)
 
Was ist jetzt das Problem mit dem Spoofing? Wo habt ihr da ein Spoofing erkannt? Man kann doch noch immer den Text für ein Link selbst angeben, genauso den Statuszeilentext ändern, um den Nutzer z.B. zu sagen, dass die Seite in einem neuen Fenster geöffnet wird etc. Auf eurem Screenshot sieht man aber eindeutig, das der IE7 bei der geöffneten Seite die WinFuture-Addresse anzeigt und nicht "http://www.microsoft.com". Insofern verstehe ich Eure Kritik nicht, weil sich der Explorer wie erwartet/gewünscht verhält.
 
@yagee: Also wo du Recht hast hast du Recht. Der Screenshot allein beweist überhaupt nichts! Vielleicht solltet ihr mal die unkenntlich gemachte URL veröffentlichen, damit es andere IE7 Beta2 Preview Tester direkt nachvollziehen können ... oder halt mal den Quellcode dieser Page im Forum veröffentlichen.
 
Man kann den Statuszeilentext nicht ändern, wenn JavaScript deaktiviert ist und der Zugriffs auf window.status und window.defaultStatus anderwaltig (Filter, Policies) unterbunden ist. Daher funktioniert das ganze auch bei Outlook. Das benannte Problem ist aber erst der Anfang des Hacks: Die neue Webseite kann man ohne Adressleiste öffnen und diese mit einem geeigneten Script hervorragend nachstellen. Eigenschaften-Dialog und Titelleiste kann man ebenfalls manipulieren, die Statusleiste wird ebenfalls durch ein Script emuliert.
 
Ansich bestimmt ein intressanter test aber das war ja so klar das sowas wieder kommt was mich mehr intressiehrt ist.Wie sieht es mit der css unterstüzung aus ?
 
"Zuerst standen Denial of Service-Attacken (DoS-Attacken) auf dem Testprogramm. Hier zeigte sich der neue Internet Explorer ziemlich stabil und nur eine Attacke brachte den Browser zum Absturz."
Tja, die Frage ist, ob er wirklich wegen der DOS-Attacke abgestürzt ist. Ich hab die Beta wieder runtergenommen, soviel Browserabstürze hatte ich seit Jahren nicht...
 
Auch der Firefox ist nicht perfekt in Punkto Sicherheit. Im Moment existiert gerade eine Lücke, die genau das beweist + hierbei geht es sogar um sensible Daten, die auch mit der neuen Version 1.5.0.1 noch besteht: http://www.heise.de/newsticker/meldung/69159

Also am besten setzt jeder den Browser ein, der sein Favorit ist + gut ist !
Kommentar abgeben Netiquette beachten!