Zitat:
Original geschrieben von Karsten Krispin
Der IE hat eine total lahme Renderengine, die GUI wurde seit zig und aber mals zig Jahren nicht überholt (Tabbed Browsing, das fehlt, um nur einen Punkt zu nennen...) und ein allgemein schlechtes Programm-Design in hinblick auf Sicherheit.
|
Bitte lasst diesen Thread nicht zu einem MSIE vs. Firefox-Flamewar verkommen!
Es geht hier definitiv NICHT um ein GUI, tabbed browsing oder sonstige Features sondern um folgende Tatsachen:
- Sicherheitslücke seit Mai 2005 bekannt
- Lücke als nicht kritisch aber doch vorhanden eingestuft
- Mitte November wird ein Exploit für diese Lücke bekannt
- Lücke wird als sehr kritisch eingestuft
Die derzeit einzige Möglichkeit, einen Angriff über diese Lücke zu verhindern ist, Active Scripting auszuschalten.
Bei der Fülle von Webseiten, die man benutzen möchte und die auf JavaScript angewiesen sind ist es meiner Ansicht nach KEIN gangbarer Weg, die alle in eine Sicherheitszone zu stecken.
Noch böser hinterfragt:
In welche Zone soll ich sie denn geben?
Internet: dort nicht, weil dort muss ich ja Active Scripting abdrehen
Lokales Intranet: dort sicher auch nicht, das sind die Server in meiner Firma
Vertrauenswürdige Sites: Schwierig, weil dort eigentlich Sites drinstehen, wo SSL-Verschlüsselung verlangt wird. Normale Sites haben das nicht.
Eingeschränkte Sites: wäre eine Möglichkeit. Dort sind ja Sites drin, die als gefährlich eingestuft wurden und deshalb fast nichts mehr erlaubt ist. Diese Zone müsste man dann zweckentfremden und für die Sites mit JavaScript benutzen.
Aber (großes ABER)...
...leider verhindert das nicht die Angriffsmöglichkeit über einen gehackten Server oder über eingebettete Werbung, die vom gleichen Server kommt dem man gerade JavaScript erlaubt hat!
Um aus genau diesem Dilemma herauszukommen braucht man definitiv mehr als fünf Minuten Konfiguration durch den Benutzer.