Firefox - luka w zabezpieczeniach

29.01.2008

22:16

[3]

Api15 [ dziwny człowiek... ]

sowinskiryjswinski - Dobrze hakierze, zachowaj sobie tą tajemnice. Tylko czemu ta Twoja przeglądarka nie obsługuje dużych liter? To też jakieś zabezpieczenie?

zbm [ I Herd U Liek Mudkipz? ]

Nie dużych, a WIELKICH;)

ale chyba ważniejsze, że Safari nijak nie obsługuje POLSKICH znaków:)

N|NJA [ Senator ]

Pierwszy zakłada umieszczenie na złośliwej stronie odnośnika do "zaufanego" serwisu wymagającego logowania

Przepraszam bardzo, czym jest "złośliwa strona"?


Drugi scenariusz przewiduje wysłanie do użytkownika (np. e-mailem) pliku graficznego, którego kliknięcie spowoduje przejście na stronę logowania (takim plikiem może być np. logo jakiegoś serwisu). Wtedy również zostanie wyświetlone pole logowania, a podane w nim informacje przejmą przestępcy.

Czy to wina firefoxa, czy też idioty, który bezwiednie kliknie w obrazek w mejlu nie sprawdzając wczesniej jego prawdziwości?



Nie wymyslono jeszcze zabezpieczenia przed ludzką głupotą i na to się nie zanosi.

Łysy Samson [ Konsul ]

Z tego wynika, że jeśli ktoś wejdzie do Firefoxa, wpisze adres swojej strony, do której się loguje, i zaloguje się, to nie ma szans, by ktoś wykradł hasła.... bez sensu - nikt nie powinien w ogóle odbierać wiadomości z nieznanego źródła - nawet niektóre banki internetowe informują, że nie wysyłają e-maili...

Ninja - złośliwa strona to po prostu strona, na której znajduje się złośliwy odnośnik:)

N|NJA [ Senator ]

Łysy-> A złośliwy odnośnik to jaki? Taki, który kradnie mi rolkę papieru z toalety, jak w niego kliknę?

30.01.2008

01:30

[8]

techi [ Kami ]

Yogh->Taki, który kasuje kolekcje hentai z Pedo Bear Approval;)

N|NJA [ Senator ]

Cholera, więc nic tylko przerzucić się na te tajemnicze uberl33t przeglądarki dla wybrańców, bo jeszcze będe na tyle głupi, ze kliknę w coś, co mi wyskoczy na ekranie ni z tego ni z owego.

30.01.2008

02:25

[10]

Loon [ Panicz ]

Taka jest cena popularności, wprawdzie nie wiem jak dziś wygląda statystyka korzystania z przegladarek internetowych, ale statystyki mojej strony www, ktora odwiedza +/- 80 000 w 55% (!) wskazuja na uzywanie FireFoxa, a Opera praktycznie sie nie liczy.

Podejrzewam, ze nie sa to w pelni wymierne wyniki, ale dzis to juz naprawde powinno sie strony pisac w pierwszej kolejnosci pod FF, a nie jak do tej pory pod IE i potem z dostosowaniem do alternatywy. Mam nadzieje, ze Mozilla poradzi sobie z dziurami, chociaz pewnie za jakis czas zbawi nas zupelnie nowa przegladarka od... no wlasnie, od kogo? Adobe? Apple? Kogos nieznanego :)?

Yogh, co o tym myslisz?

alpha_omega [ Senator ]

Czytam i czytam i dojść nie mogę, gdzie w tych 2 sposobach mowa o Firefoxie. Opisane tutaj sposoby ataków są znane od dawna i zupełnie niezależne od przeglądarki. WTF?

deTorquemada [ I Worship His Shadow ]

To ktoś jeszcze loguje się z linków przesyłanych via mail lub z odnośników ? LoLd ...

30.01.2008

07:51

[13]

wysiak [ Generaďż˝ ]

Wlasnie zdalem sobie z czegos sprawe. Od lat IE byl przegladarka 'niebezpieczna', dla 'lamerow', itd, przynajmniej taki poglad byl propagowany przez uzytkownikow przegladarek 'alternatywnych'. A z tego watku zaczyna mi wygladac, ze sytuacja zaczyna sie odwracac - to FF zaczyna miec dominujaca pozycje na rynku, jego fani, nadal czujac sie haxorami, bagatelizuja jego bledy i dziury (ktorych IE nie ma, i przed phishingiem calkiem skutecznie potrafi chronic - zreszta MS od lat najszybciej zatykal znalezione dziury w swoich produktach), do tego w wiekszosci uparcie twierdza, ze funkcjonalnosc jest genialna, i 'nic innego im nie potrzeba', nie znajac mozliwosci alternatyw.
Calkiem jakbym sluchal 'ie-lamerow' sprzed kilku lat.

To kiedy do FF wyjdzie plugin, pokazujacy ile osob z internetu aktualnie przeglada twoj komputer?:)

N|NJA [ Senator ]

Loon-> Rano jest jeszcze, dopiero się obudziłem i ledwo na oczy widze, a ty mnie o opinie wszędzie pytasz? :)


Wysiu-> A tam, panike siejesz, ja z Mozilli zawsze byłem zadowolony, bo mi zawsze działała i miała opcje, których nie posiadał wówczas IE. I tak mi zostało. Kwestia przyzwyczajenia.
Natomiast kwestia zabezpieczen komputera, jak sam wiesz, nie zalezy od przeglądarki, a w 90% od samego użytkownika i jego common sense. Można mieć trzydzieści firewalli i browsera, o którym nikt nie słyszał, i co z tego, jeśli jest sie albo świeżakiem sieciowym, który nabiera się na proste zagrywki, albo kompletnym idiotą? :)

graf_0 [ Nożownik ]

oczywiście że przeglądarki, w tym również FF zawierają błędy i luki i należy używać ich ostrożnie.
Ale mam pytanie - kiedy ostatnio widzieliście stonę www, zwłaszcza zawierającą wrażliwe dane, zabezpieczoną httpauthem?

30.01.2008

11:54

[16]

wysiak [ Generaďż˝ ]

Ninja -->
"Natomiast kwestia zabezpieczen komputera, jak sam wiesz, nie zalezy od przeglądarki, a w 90% od samego użytkownika i jego common sense. Można mieć trzydzieści firewalli i browsera, o którym nikt nie słyszał, i co z tego, jeśli jest sie albo świeżakiem sieciowym, który nabiera się na proste zagrywki, albo kompletnym idiotą? :)"
No dokladnie, swietnie to wiem, i zawsze to powtarzalem:) To nie ja dzielilem przegladarki na 'bezpieczne' i 'niebezpieczne', to nie ja wymyslalem zarty, jak to "internet explorer sluzy do przegladania internetu z komputera, i odwrotnie", i to nie ja twierdzilem, ze jakas przegladarka jest dla lamerow i glupkow, a inna dla hackerow (jako przeciwienstwa lamerow) - bo przegladarka to tylko narzedzie, kwestia jak sie go uzywa. Wojny i fanatyzm przegladarkowy czy os'owy smiesza mnie niezmiernie, przypominaja stare dobre czasy commodorowcow i atarowcow:)
Dlatego pozwolilem sobie zazartowac z 'fanow' fajerfoksa (jak w ogole mozna byc fanem programu komputerowego?), ktorzy ten watek usilowali uparcie przemilczec, a jak sie nie dalo, to zbagatelizowac. Zaklad, ze ten watek wygladalby inaczej, i na pewno nie mialby zero odpowiedzi przez 3.5 tygodnia, gdyby tak powazna dziura zostala znaleziona w IE, a nie w FF?:)

alpha --> Dobrze, poprawie, programu uzytkowego.

alpha_omega [ Senator ]

wysiak -----------> Jak można być fanem programu komputerowego? A gry komputerowe?

alpha_omega [ Senator ]

Ja też poprawie: zastanów się ile jest cech wspólnych programu użytkowego i gry komputerowej. Mnóstwo. Np. interface. Grywalność jest czymś w rodzaju "poręczności" o jakiej mówi Heidegger w kontekście narzędzia, to samo tyczy się programów użytkowych, one też mają pewną grywalność. A to jest coś dla ludzi pierwszorzędnego, ta podatność na manipulację, ta jedność naszych działań i myśli z rozwiązaniami programowymi, ta podatność programu na zbieżność myśli z objawiającym się w interface'ie kodem.

Inna sprawa, że często ktoś coś gdzieś przeczyta jakieś nic nie warte wypociny, że to zabezpieczone to jest, że cool jest i daje +4 do lansu i... staje się "fanem". Jest to wtedy przykład czystego snobizmu.

N|NJA [ Senator ]

Wysiu> Od kiedy to przejmujesz się opiniami czternastoletnich hakierów którzy uwazają się z l33tmastahów, bo używają linuksa i opery? :)

Każdego zdrowego człowieka bawią wojny sprzętowe, które istniały od zawsze. Atarowcy vs Komodziarze, Macowcy konta Pecetowcy, fanboje sony przeciw fanbojom Ikspudła... I tak dalej, i tak dalej. To tylko fanboje, których nikt normalny nie bierze na poważnie :)

alpha_omega [ Senator ]

Dam jeszcze cytat, bo myśl jest warta rozpatrzenia w kontekście jej zbieżności z grami komputerowymi ("grywalność" jest też pewnym byciem-w-sobie gry komputerowej) i w ogóle programami komputerowymi. Może ktoś się pokusi i napisze naprawdę głęboki tekst, który podejmie tematykę poruszaną często w 'myślach nieprzemyślanych', ale ujmie ją naprawdę głęboko.

Zawsze dopasowany do narzędzia obchód, na gruncie którego (i tylko jego) narzędzie to może się prawdziwie ukazać w swym byciu (np. wbijanie gwoździ młotkiem), nie ujmuje tematycznie tego bytu jako istniejącej rzeczy, a używanie narzędzia nie zawiera wiedzy o strukturze narzędzia jako takiej. Wbijanie gwoździ nie tylko ma wiedzę o narzędziowym charakterze młotka, ale przyswoiło sobie to narzędzie najlepiej, jak tylko można. W takim użytkowym obchodzie zatroskanie poddaje się konstytutywnemu dla każdego narzędzia "ażeby"; im mniej tylko się przyglądamy młotkowi-rzeczy, im sprawniej go używamy, tym bardziej źródłowy staje się stosunek do niego, tym bardziej bez osłony spotykamy młotek jako to, czym jest, jako narzędzie. Wbijanie gwoździ samo odkrywa specyficzną "dogodność" młotka. Sposób bycia narzędzia w którym ujawnia się ono samo z siebie, nazywamy poręcznością. Tylko dlatego, że narzędzie ma to "bycie-w-sobie", a nie jedynie istnieje, jest ono w najszerszym sensie dogodne i do dyspozycji. Nawet najbardziej przenikliwe zaledwie-tylko-spoglądanie na tak a tak uposażony "wygląd" rzeczy nie potrafi odkryć niczego poręcznego. "Teoretycznemu" jedynie spojrzeniu na rzeczy brak rozumienia poręczności.

M. Heidegger, Bycie i czas, przeł. Bogdan Baran, Warszawa 2004, str. 88-89

wysiak [ Generaďż˝ ]

alpha --> Jedna PODSTAWOWA roznica, niwelujaca wszelkie twoje podobienstwa - cel. Podstawowym celem programu rozrywkowego jest dostarczenie rozrywki, i wszystko tam jest temu podporzadkowane. Celem programu uzytkowego jest sprawne wykonywanie zadania, do ktorego zostal stworzony, czy to wyswietlanie stron www, czy operowanie na plikach, czy wykonywanie obliczen, tworzenie i edycja dokumentow, itd.
Rozrywka jest sprawa calkowicie niezmierzalna, subiektywna, kazdemu radosc moze sprawiac co innego, jedni wola fps, inni hack&slash, a jeszcze inni strategie. Nie da sie obiektywnie stwierdzic czy Cywilizacja jest lepsza czy gorsza od Diablo lub System Shocka. Programy uzytkowe mozna natomiast obiektywnie ocenic pod wzgledem sprawnosci wykonywania przez nie zadanych celow. Program moze byc obiektywnie szybszy lub wolniejszy, bardzej lub mniej wygodny/intuicyjny, itd. Owszem, kazdy moze miec wlasne preferencje co do uzywanych programow, wynikajace np z przyzwyczajen i nawykow. Ale nie jest to to samo, co bycie fanem gry.
Fanbojstwo przegladarkowe ma tyle samo sensu, co np windows explorer kontra total commander, irfan view vs acdsee, czy foobar vs winamp. Mozna miec wlasne preferencje, jak najbardziej mozna zachwalac swoj wybor, mozna probowac przekonywac innych do uzywania 'naszego' programu - ale nie ma tu miejsca na emocje, budowanie jakichs obozow, czy nazywanie kogos, kto dokonal innego wyboru 'lamerem':)
Normalny czlowiek moze w kazdej chwili zaczac uzywac innej przegladarki obrazkow, czy edytora txt, jesli np pojawi sie nowa wersja 'wrogiego' programu, majaca wieksze mozliwosci, czy zwyczajnie wygodniejsza od tego, czego zwykl uzywac. Gustu do gier tak latwo sie nie zmieni, zaden fan CSa nie zacznie nagle grac w FIFA2006, "bo nowa wersja fify ma lepszy interfejs, i gra sie wygodniej i poreczniej". Jesli ktos ma jednak emocjonalny problem ze zmiana uzywanego kalkulatora, playera filmow, czy przegladarki www, to chyba ogolnie ma ze soba jakis problem:)

alpha_omega [ Senator ]

wysiak ----------->

Ależ ta różnica nie niweluje w żaden sposób podobieństw. Możesz co najwyżej twierdzić, że bycie fanboy'em, ażeby było sensowne, musi dotyczyć innego poziomu, lub zupełnie innej przestrzeni zjawisk. I właśnie to w zasadzie twierdzisz i ja się z tym zgadzam.

A jednak czasami trudno jest kogoś przekonać, że Opera np. zapewnia interface przerastający wszystkie inne - przynajmniej mi znane - przeglądarki czyste (bez pluginów i dokonania konfiguracji). Wtedy dobrze jest zarzucić parę podobieństw między grą, a przeglądarką.

Właściwie jednak się droczę. Doskonale rozumiem Twoje racje - czuję i w wielu płaszczyznach rozumiem różnice. Cytat jaki zapodałem miał raczej na celu przywołanie pewnej myśli, pewnego sposobu ujmowania rzeczywistości wirtualnej (która przecież dla Heideggera nie była znana), który może zaowocować naprawdę ciekawymi artykułami na GOL-u. Zresztą nie chodzi tylko o ten sposób, ale o możliwość odniesienia refleksji o programach komputerowych i grach w szczególności do refleksji innych dyskursów: filozoficznych, psychologicznych, kulturoznawczych etc.

Musi się ktoś tylko tego podjąć, a w tym wątku widzę sporo osób zdolnych do takiego działania. Osobiście nie mogę w najbliższym czasie poświęcić się tego typu zagadnieniu, bo muszę napisać pracę magisterską i tak już opóźnioną o rok i tak napawającą mnie niechęcią, więc nie chcę się demobilizować w dużej mierze poboczną tematyką.

Czy jednak pewna "filozofia" programów z punktu widzenia ich użytkownika nie jest tematem fascynującym. Moglibyśmy taką myśl wypromować właśnie na GOL-u. Ciekawe czy z tego jakiś nurt na polskich serwisach by się wyrodził.