| / news / view / 181 |
595 Pagehits |
 |
|
|
 |
Internet Explorer am robustesten |
|
Erstellt von jucker am 20.10.2004 11:01
|
Mit fehlerhaften HTML-Seiten lassen sich die meisten aktuellen Browser aus dem Tritt bringen -- mit Ausnahme des Internet Explorer, so das Ergebnis einer Untersuchung des renommierten Sicherheitsspezialisten Michael Zalewski. Ein von ihm programmiertes Tool erzeugte dazu systematisch fehlerhaften HTML-Code, den er dann in verschiedenen Browsern darstellen ließ. Zalewski beschränkte sich auf recht einfaches HTML, Scripte und Stylesheets kamen nicht zum Einsatz.
Mozilla, Netscape, Firefox, Opera und Lynx reagierten seinen Ergebnissen nach regelmäßig mit Abstürzen, Speicherzugriffsverletzungen, Buffer Overflows und manchmal mit einem mehrminütigen Stillstand des Systems. Microsofts Internet Explorer zeigte sich von diesen Tests hingegen unbeeindruckt -- weder stürzte er ab, noch blieb er stehen.
Zalewski hat einige der aufgetretenen Fehler analysiert und auch gleich die Ursachen ausgemacht. So erzeugen bestimmte Zeichenkombinationen hinter TEXTAREA-, INPUT-, FRAMESET- und IMG-Tags in Mozilla nachvollziehbar Pufferüberläufe. Diese ließen sich wahrscheinlich auch ausnutzen. Opera hingegen reagiert allergisch auf bestimmte Tabellen. Zalweski hat dann nach eigenen Angaben aufgrund der großen Zahl der Fehler schnell die Lust an weiteren Analysen verloren. Er habe einige der Hersteller jedoch über die bereits entdeckten Probleme informiert.
Weitere Gedanken machte er sich dennoch -- insbesondere über die Qualitätssicherung der Hersteller. Gerade die Browser, die sonst als sicher gelten, können seiner Ansicht nach in diesem Punkt nicht mit dem Internet Explorer mithalten. Offenbar sei nur der Microsoft-Browser systematischer Qualitätssicherung mit ähnlichen Tools unterzogen worden. Gleichwohl bedeute das nicht automatisch, dass der Internet Explorer sicherer sei. Microsofts Browser habe andere Lücken, deren Ursprung nicht zuletzt in der Architektur und seinen besonderen Funktionen liege.
Ein eingeschränkte Demonstration der fehlerhaften HTML-Seiten zeigt Zalweski auf Coredump.cx; das benutzte Programm, das den fehlerhaften HTML-Code erzeugt, stellt er für weitere Tests zum Download bereit.
|
|
|
| |
|
|
Du musst eingeloggt sein um Kommentare schreiben und Bewertungen abgeben zu können!
|
| Bewertung: |
 |
| Anzahl Bewertungen: |
0 |
| Anzahl Kommentare: |
3 |
|
| Erstellt von perry am 20.10.2004 11:03 |
Abgegebene Bewertung: |
Also gleich und gleich ergänzt sich gut heisst es doch...
Putter HTML-Code und SchrottExplorer sollten in dem Falles überhaupt keine Probleme haben |
| Erstellt von fmj am 22.10.2004 11:28 |
Abgegebene Bewertung: |
ahja, dafür kann dieses drecksteil von browser nicht mal vernünftiges css 2.0 und von transparenten png's fangen wir gar ned erst an zu reden  |
| Erstellt von spross am 24.10.2004 13:37 |
Abgegebene Bewertung: |
ein browser zu testen ohne javascript und vorallem css in die test einzuschliessen?! suuuper test....  |
|
|
www.heise.de
