Danke für den Tipp.

Grüße Marc

Es ist in diesem Fall nicht ganz so einfach. Laut dem Security Advisory müsste man "Active Scripting" ausschalten. Damit funktionieren ziemlich viele Webseiten einfach nicht mehr. Du müsstest also alle Deine Lieblingswebseiten in einer eigenen Sicherheitszone eintragen und dort die Einstellungen so ändern, dass Du sie benutzen kann.

Das dürfte eine ganze Menge Arbeit sein. In fünf Minuten ist das sicher nicht erledigt auch wenn man sich mit diesen Dingen sehr gut auskennt. Ein normaler Benutzer dürfte schon mit der Anweisung "Schalte Active Scripting aus" überfordert sein geschweige denn wissen, was danach alles NICHT mehr funktioniert.

Ich reiß das jetzt mal ganz dreist aus dem Zusammenhang und behaupte ganz frech: Stimmt, die richtige Umgehensweise mit dem IE ist: Nicht mehr nutzen, auf Firefox umsteigen ;)

Just my 2 cents!

Gruß

Matthias

Mal anders gefragt: Wenn du dir ein Auto kaufst mit zig Airbags und natürlich Sicherheitsgurten und so weiter - dann gehst du doch davon aus, daß alles einsatzbereit, korrekt montiert und vor allem SICHER ist? Oder prüfst du die Auslösemechanismen von Airbag und den Gurten erst?

Hi Bernd!
Das sehe ich anders.
Angesichts der Tatsache, dass einem der IE Praktisch rein garnichts mehr bringt, ist ein Umstieg nur angebrachter. Der IE hat eine total lahme Renderengine, die GUI wurde seit zig und aber mals zig Jahren nicht überholt (Tabbed Browsing, das fehlt, um nur einen Punkt zu nennen...) und ein allgemein schlechtes Programm-Design in hinblick auf Sicherheit.

Darüber hinaus fördert jeder - entschuldige bitte, aber es ist einfach so - Depp, der noch mit dem IE surft, dass man als Webdesigner immer noch auf Techniken aus der Steinzeit zurück greifen muss, weil der IE einfach nicht vernünftig parsen kann und man sich für wirkliches jedes fissels Webdesign extra für den IE immer ne Krone von Zahn brechen muss.

Karsten

Bitte lasst diesen Thread nicht zu einem MSIE vs. Firefox-Flamewar verkommen!

Es geht hier definitiv NICHT um ein GUI, tabbed browsing oder sonstige Features sondern um folgende Tatsachen:

• Sicherheitslücke seit Mai 2005 bekannt
• Lücke als nicht kritisch aber doch vorhanden eingestuft
• Mitte November wird ein Exploit für diese Lücke bekannt
• Lücke wird als sehr kritisch eingestuft

Die derzeit einzige Möglichkeit, einen Angriff über diese Lücke zu verhindern ist, Active Scripting auszuschalten.

Bei der Fülle von Webseiten, die man benutzen möchte und die auf JavaScript angewiesen sind ist es meiner Ansicht nach KEIN gangbarer Weg, die alle in eine Sicherheitszone zu stecken.

Noch böser hinterfragt:
In welche Zone soll ich sie denn geben?

Internet: dort nicht, weil dort muss ich ja Active Scripting abdrehen

Lokales Intranet: dort sicher auch nicht, das sind die Server in meiner Firma

Vertrauenswürdige Sites: Schwierig, weil dort eigentlich Sites drinstehen, wo SSL-Verschlüsselung verlangt wird. Normale Sites haben das nicht.

Eingeschränkte Sites: wäre eine Möglichkeit. Dort sind ja Sites drin, die als gefährlich eingestuft wurden und deshalb fast nichts mehr erlaubt ist. Diese Zone müsste man dann zweckentfremden und für die Sites mit JavaScript benutzen.

Aber (großes ABER)...

...leider verhindert das nicht die Angriffsmöglichkeit über einen gehackten Server oder über eingebettete Werbung, die vom gleichen Server kommt dem man gerade JavaScript erlaubt hat!

Um aus genau diesem Dilemma herauszukommen braucht man definitiv mehr als fünf Minuten Konfiguration durch den Benutzer.

Hi Alex,

es geht mir hier nicht um einen Flamewar .. und den anderen wohl auch nicht. Fakt ist aber, das dieses Problem den IE betrifft und definitiv nicht den Firefox. Daher wäre das zumindest eine überlegenswerte Alternative ... ohne viel am IE rumschrauben zu müssen. Oder?

Gruß

Matthias

Naja, dem kann ich zumindest für mich nicht zustimmen. Ich kann zwar auf die meisten Websites mit dem Firefox surfen (tue ich auch), aber einige Seiten verursachen bei dem Browser auch in der Version 1.5 einen CTD ohne weiteren Hinweis, manchmal fehlen auch einfach wichtige eingebettete Elemente. Ich kann jetzt gerade kein Beispiel geben, werde es aber ggf. nachreichen, wenn ich wieder sowas erlebe. Diese Seiten lassen sich dann eigentlich immer problemlos mit dem IE öffnen, so dass ich eben beide Browser nutzen muss.

Ich rede jetzt nicht von Microsoft-Seiten, die ich natürlich grundsätzlich mit dem IE ansurfe, um mögliche Probleme zu vermeiden.

Naja, nicht ganz.

Das Problem betrifft den MSIE. Richtig.

JEDER andere Browser (und/oder Betriebssystem) wäre eine Verbesserung. ;)

Leider werden die ganzen DLLs des MSIE auch für andere Zwecke benutzt, z.B. in Mailprogrammen oder eingebettet in HTML-Editoren. Dort werden diesselben Sicherheitseinstellungen benutzt und dort würde sich so eine Lücke in derselben Art und Weise auswirken.

Ich kritisiere schlicht und einfach die Reaktionszeit von Microsoft auf solche Warnungen.