MS způsobuje nebezpečnou chybu ve Firefoxu

http://cordobo.com/878-uninstall-microsoft-net-fra mework-assistent/
963707

Vsade pindaju, aky je MS zas zly (tiez sa mi nepaci, ak sa bez mojho vedomia instaluju doplnky hocikam, nech je to od velkeho Billa alebo maleho Frantu), ale zatial nikto nenapisal, na co vobec sluzi. Ci bol do FF pridany, len aby sposoboval vyssie zmienenu chybu? Kazdy sa predbieha v jeho odstraneni, ale nikto nepise, co to robi.

ps: nestaci oznacit prve zatrzitko z Moznosti, aby sa mi nechcene nenainstalovala nejaka nechcena aplikacia?

Nestaci. Prave naopak, ked odskrtnes prve zaskrtavatko tak ta uz ani nebude upozornovat pred spustenim nejakej apliakcie :) Mozes ale ten doplnok zakazat.

A co když ho mám ve FF zakázaný ? To se taky něco děje ??

nedeje sa absolutne nič,len niekto spustil paniku kvôli tomu,že to pod obyčajným userom bez administrátorských práv nejde odinštalovať,jedine cez registre,pod admin účtami,pokial je systém v poriadku, to ide v prípade potreby odinštalovať ako každý iný doplnok,program,update,hotfix.

Ja som admin a tlacitko odinstalovat je sede. System mam vporiadku. FF3.0.1

Nic sa pravdepodobne nedeje, ani ked je povoleny.

"možnosti potichu nainstalovat nežádoucí software z webové stránky." - toto prebrali rozne stranky po celom svete, ale originalny zdroj, ktory popisuje detaily o tej bezpecnostej chybe som nikde nenasiel. Takze tomu neverim!

Hej, je zaujimavy ten preklad. A teda ostatne standardne instalacie su hlucne? Mne take nepridu.

Tak zaprvé, myslím že to od Microsoftu nebyl šťastný krok tam tu komponentu dát, což uznal i MS sám (na blogu autora extenze). Bylo samozřejmě správné ji dát per-system, ale to uživatelé Firefoxu, kteří zhusta nevědí, co je víc než jeden uživatel ve Windows, nepochopili. Není to od MS žádné spiknutí, prostě vývojáři dotnet frameworku žijí ve svém uzavřeném nereálném světě, že chce každý používat všechny jeho vymoženosti všude.

Teď k clickonce. (to je ta technologie co spouští lokální a vzdálené aplikace). Je to dost obskurní záležitost a přiznám se, že jsem o tom, že existuje nějaké clickonce, vůbec nevěděl. Nechci se nafukovat, ale když to nevím já, kolik z těch anti-MS-cokoliv lidí co kolem toho panikaří ví, o čem vůbec mluví?

ClickOnce

Internet Explorer se ptá, zda spustit clickonce aplikaci. 2laak, je ta možnost v tom Firefox doplňku zatržená jako výchozí volba nebo ne?

2laak, je ta možnost v tom Firefox doplňku zatržená jako výchozí volba nebo ne?

Nie.

Hm, to nezní dobře, ale chtělo by to vyzkoušet na nějaké clickonce aplikaci.

To co se ale píše na wikipedii je, že jde o technologii podobnou jako Java Web Start, a navíc

ClickOnce-deployed applications are considered 'low impact', in that they are installed per-user, not per-machine. No administrator privileges are required to install one of these applications. Each ClickOnce application is isolated from the other. This means one ClickOnce application is not able to 'break' another.

ClickOnce employs CAS (Code Access Security) to ensure that system functions cannot be called by a ClickOnce application from the web, ensuring the security of data and the client system in general.

takže reálné nebezpečí nehrozí.

Nehrozi keby tam neboli diery. Zo skusenosti ale vieme ze MS produkty a svajciarsky emental maju podobnu strukturu. Nechapem jak moze niekto verit MS dristom ze je nieco bezpecne.

NIC NENI BEZPECNE. Plati pre vsetko, nielen pre MS produkty. Niekto kto napise ze je jeho produkt bezpecny len ukazuje ze nema o bezpecnosti ani paru a taky produkt musi RYCHLO PREC.
A vseobecne cim viac sraciek (ktore navyse ani nechce) clovek ma, tym je vacsie riziko diery. MS by uz mal niekto fakt nakopat doprdele za taketo veci.

Vedel by mi niekto vysvetliť na čo sa ten plugin vlastne do FF inštaluje?

pretoze M$ rozmysla za teba a vie co potrebujes.
Mne skor nejde do hlavy, preco to ten Firefox povoluje a bez vedomia usera si necha do seba vlozit plugin.
Nastastie mne taketo praktiky uz nehrozia.

preco to ten Firefox povoluje a bez vedomia usera si necha do seba vlozit plugin

to není žádná novinka...

http://pc.poradna.net/f/view/309138-malware-tvaric i-se-jako-greasemonkey-ciluje-specialne-firefox?pa ge=r315807

LOL dobre ze som si to vtedy nevsimol :)
Ked je uz spusteny nejaky malware-program v PC tak ti posaha aj ten tvoj "superzabezpeceny" ementalny IE, kopec virov sa spusta s IE alebo je nejakym sposobom navesenych na IE. Moze ti posahat dalsich milion veci v PC a zavesit sa kam chce (user ucet to sice moze stazit, ale nezabrani vsetkemu). A dementne bezpecnostne zony IE su akurat tak na to aby mal MS marketing o com dristat mudre reci, inac je to uplne nahovno.

Ako prve ide o to nespustit si v PC sracku. Vtedy nema clovek ani ziaden malware-plugin. Clovek ked doveruje update tak spusti to co tam je, a ked nejake update mi nainstaluje plugin "spustaj z webu (!!!) sracku" tak to je uplne zasadny utok na hlavny ciel: "nespustit si v PC sracku". Bezpecnost a MS, to je fakt to posledne co k sebe ide.

A keby si aspon raz v zivote pouzil FF tak by si vedel ze doplnok do FF sa nenainstaluje potichu (ale len zasuvny modul), ale ze pri dalsom spusteni FF vyhlasi ze "bol nainstalovany novy doplnok" a otvori okno nastaveni s doplnkami.

Ja som si to pred casom vsimol ze mi to FF zahlasil kvoli tej MS sracke, ale reku serem na to nech to tam je, je u toho napisane len ze "podporuje to posielanie verzie NET frameworku serveru" a nie ze "spusta to sracky".

Na spouštění aplikací typu ClickOnce. Klid, taky jsem nevěděl co to je. Viz wikipedia. (Je to něco jako Java Web Start, budiž ji země lehká.)

Vdaka za upozornenie. Nie je to sice "zavazna chyba" ako sa pise v titulku, ale ked to spusta sracky tak hned to idem zabit.

Odkaz na opravu:

http://www.microsoft.com/downloads/details.aspx?Fa milyID=cecc62dc-96a7-4657-af91-6383ba034eab&displa ylang=en