Resursā Hack in the Box ievietota informācija par SP2 noklusētajiem paradumiem. Kā zināms, SP2 pievieno lielāku drošību jeb vairāk dialoglogus lietotāja paglābšanai (apmulsināšanai) pret tīkla lapu saturu, kurā ietverts kāds ActiveX vai Javascript kods (iespējams, arī nekaitīgs). Izrādās, ka SP2 tomēr neatšķir šīs lapas no parastām html lapām un mierīgi var likt rādīt visus (ne)kaitīgos kodus arī bez visādām apstiprināšanām.
SP2 drošības modelis šobrīd itkā balstās uz to, ka tīkla lapas saturā tiks atrasts kods no Javascript vai ActiveX. Atrodot šo kodu, infopanelī tiks parādīta jauna poga, kas atļaus pārlādēt lapu palaižot šo kodu. Tikmēr ir atklāts, ka ‘jaunā un visvarenā’ drošības sistēma atkāpjas komentāra priekšā.
Lapas pārlāde, visdrīzāk, norisinās neielādējot vēlreiz lapu no interneta, bet nolasot lapu no IE atmiņas. Atmiņā lapa tiek saglabāta ar IE standartu – ievadot pirms pirmā komentāra tipa ierakstu. Ja lapā jau tīklā eksistē šāds komentārs, IE ar visu savu SP2 saprot, ka nu tā jau ir tā lapa, ko lietotājs vēlas ielādēt vēlreiz.
Avots: Hack in the Box