Примите к сведению

[FatCat]

После установки критческого "Обновления системы безопасности для Internet Explorer 6 с пакетом обновления 1 (SP1) (KB832894)" перестали работать ряд фич программулины, которую мне приходиться юзать (перестали передаваться логин и пароль при открытии из неё https:// ...). Вылечилось сносом этого апдейта. При ближайшем рассмотрении Microsoft Security Bulletin MS04-004 к этому обновлению оказалось ни много ни мало:

This Internet Explorer cumulative update also includes a change to the functionality of a Basic Authentication feature in Internet Explorer. The update removes support for handling user names and passwords in HTTP and HTTP with Secure Sockets Layer (SSL) or HTTPS URLs in Microsoft Internet Explorer. The following URL syntax is no longer supported in Internet Explorer or Windows Explorer after you install this software update:

http(s)://username:password@server/resource.ext

О как!

[tinich]

дык а зачем тебе так то

http(s)://username:password@server/

если можно просто https://server , а потом в окошко вводи логин с паролей. Вроде. (не уверен)

[FatCat]

1: tinich
Программа (клиент) так открывает вспомогательные страницы на своём рабочем сайте. Поэтому после установки этогот апдейта вместо открытия страницы IE мгновенно показывает "Невозможно отобразить страницу" и усё. Из эксплорера - да, открыть можно.

Меня поразило, что синтаксис вида http(s)://username:password@server/resource.ext MicroSoft-ом вот просто так, апдейтом, без махания флагами и дудения в трубу был взят ... и отменён.

Разработчики того клиента сейчас, как я понял, сидят и задумчиво чешут рэпу...

UPD. Знатоки сообщают, что

Такой тип авторизации не регламентирован протоколом HTTP и теперь его
просто-напросто отключили, т.к. возникало много проблем с безопасностью.

[tinich]

мдя........... =)

[FatCat]

Хотя конечно, когда видишь в адресной строке (а то и в заголовке окна) при открытии таким способом этим клиентом страниц для зарегистрированных пользователей буковками написанный свой логин и (!) пароль - довольно забавно.

[BadBlock]

Основная проблема с безопасностью – вот она:
http://www.sarov.info/index.php?ch=hard ... ew=summary

Кстати, у установивших апдейт сразу же перестал работать "Саровский городской чат".
Примерно час назад я внёс необходимые исправления, чтобы работало при любом раскладе.

[FatCat]

5: BadBlock
Понятно. А насколько "критичным" представляется этот апдейт? Я хотел бы с ним теперь погодить, по крайней мере до тех пор, пока новацией проникнется подавляющее большинство админов и разработчиков клиентского софта.

[BadBlock]

Два с половиной месяца с момента обнаружения дырки микрософту было положить.
Мне, честно говоря, тоже.
Критичность, думаю, может заключаться только в том, что гражданам могут подсунуть фальшивый сайт и выманиить логины/пароли.
Если предпринять некие простые предосторожности, то всё будет в порядке и без апдейта.

[FatCat]

Microsoft перелатала последний патч
10 февраля 2004 года, 12:04

Около недели назад софтверный гигант сообщил о выпуске четвертого в нынешнем году бюллетеня безопасности. Пользователям предлагалось при первой же возможности установить заплатку, устраняющую несколько критических ошибок в браузере Internet Explorer. В частности, одна из дыр позволяла злоумышленнику отобразить в адресной или статусной строке браузера поддельный URL, не соответствующий реальному. Для этого достаточно лишь сформировать адрес, содержащий имя пользователя, отделенное от названия сайта символом @.

Однако после инсталляции обновления владельцы ПК и поставщики онлайновых услуг столкнулись с серьезной проблемой. Доступ зарегистрированных клиентов к сетевым ресурсам, использующим при аутентификации URL типа username:password@host.com, оказался просто-напросто закрыт. В результате, многие компании были вынуждены в срочном порядке переделывать свои компьютерные системы, а пользователи - искать альтернативные способы доступа на любимые сайты. Что касается Microsoft, то представители корпорации лишь отметили, что запрет на использование знака @ в веб-адресах лишь повышает безопасность, которой так хотели потребители.

Тем не менее, в конце прошлой недели софтверный гигант без лишней шумихи и громких заявлений выложил на своем сайте три обновления для обработчика языка разметки XML третьей версии (Microsoft XML Parser) - Service Pack 2, Service Pack 3, и Service Pack 4. Сервис-паки предлагается установить пользователям ОС Windows 2000, Windows NT, Windows Server 2003 и Windows XP, после чего работоспособность системы аутентификации посредством URL будет полностью восстановлена.

http://www.compulenta.ru/2004/2/10/45000/

[FatCat]

> три обновления для обработчика языка
> разметки XML третьей версии (Microsoft XML Parser) - Service Pack 2, Service
> Pack 3, и Service Pack 4. Сервис-паки предлагается установить пользователям
> ОС Windows 2000, Windows NT, Windows Server 2003 и Windows XP, после чего работоспособность
> системы аутентификации посредством URL будет полностью восстановлена.
>
> http://www.compulenta.ru/2004/2/10/45000/

Я только не пойму, надо все 3 servicepack-а ставить последовательно (2,3,4) или только последний (Service Pack 4)? Они все от одной даты...