zavazna bezpecnostna a udajne neopravitelna chyba vo firefoxe?

Další zdroj:
18626

nj, dírka sem, dírka tam - my uživatelé M$ produktů jsme zvyklí.
Předpokládám, že chyba by mohla být odstraněna ve FF 2 (když už do něj implementovali tu podporu pro JS 1.7).

na to by som sa moc nespoliehal, ze zacali implemnetovat JS 1.7 rovno od zelenej luky. najskor len vylepsili stavajuci javascript.

Jejda, nestrašte ! Mám si vypnúť js ?

zatial som este o ziadnom exploite zneuzivajuci tutu chybu nepocul, ale to neznamena, ze nie je. vypnutie javascriptu je riesenie, ale na druhej strane 75% webu bez javascriptu je nepouzitelneho. nerad to hovorim, ale ak je to skutocne pravda a zacnu sa robit exploity, tak riesenie je uninstall.

Nechci být škodolibý, ale když jsem před lety říkal "Firefox nemá bezpečnostní zóny, počkejte až se budou zneužívat chyby ve skriptování a instalaci XUL extensions, poznáte, že FF nemá žádný bezpečnostní model jako IE", tak se mi všichni ti Tomešové smáli a říkali jak je FF bezpečný, chyby se opravují do druhého dne a žádné zóny nepotřebuje a že je potřebuje jen IE.

No, a teď to mají...

O tm jsem se kdysi hádal s Hostem. Stačí jedno vhodně napsané a podstrčené rozšíření a můžu si s počítačem dělat cokliv.

myslím (nikde tu aktuální Firefox nemám) že pro instalaci extensions už existují nějaké nedokonalé pseudozóny, tedy že "trusted" jsou jenom servery mozilly, ale jist si tím nejsem. Nicméně k jakékoliv jiné možnosti vykonání kódu přistupuje Firefox naprosto bohorovně - všechny zdroje posuzuje stejně.

A vypnout javaskript jde pokud vím pouze přes rozšíření a globálně.

Kdepak. Instalovat muzes z jakehokoliv serveru ze seznamu. Ten seznam muzes rozsirovat (muze jej tedy rozsirovat i rozsireni)
Pomoci rozsireni MrTech Local instal nainstalujes cokoliv odkudkoliv
Pomoci lokalniho souboru nainstalujes jakekoliv rozsireni

Platí to aj o PSPade? Nechcem vŕtať, len pre zaujímavosť.

Tohle je téma o FireFoxu.

PSPad umoznuje rozsireni pomoci JScriptu nebo VB scriptu s vyzitim WSH (Windows Scripting Host)
Tam ma autor k dipozici cely operacni system, vcetne SHELL objektu, pripojeni k databazi atd.

Rozsireni se dodavaji jako zdrojove kody, ne jako nejake cerne skrinky (XPI), takze kdokoliv vi, co rozsireni dela.

to vladimír: proč ie vůbec nepatří laikům do ruky?

zásadní rozdíl je že ie má activex, default zapnutý i v zóně internet
a že ie má zóny (jinak dobrá věc)? zeptej se běžných faking users - kde. mrchosoft nenaučil své uživatele je nastavovat, a tak jsou právě těm co dostávají a šíří spyware úplně k ničemu (viz stovky dotazů nejrůznější trotlů na živě).

stejně jako když byl v sp1 kdesi schovaný stavový firewall, default vypnutý. když ho nebohý uživatel našel, dočetl se že jde o udp/tcp filtr, zavřel to a už se k tomu nikdy nevrátil.
musel přijít až blaster, aby mrchosoft firewall v sp2 zapnul, začal kritické hotfixy výrazně odlišovat a řádově zpřehlednil popis na webu.

co se bude muset stát za boží zásah, aby ie nebyl po instalaci nejnebezpečnějším prohlížečem, použitelným jen pro firemní intranet?

Výchozí nastavení ve Windows XP SP2 je už relativně slušné (a ve Windows Server 2003 SP1 je IE skutečně fest zabezpečený). Problém je v tom, že typický luser ze živě

a) má Service Pack 1 a žádé hotfixy
b) tudíž má v IE díry za pět let nazpět
c) leze na stránky z warezem
d) instaluje trojany kteří mu nastavení IE změní případně si rovnou doinstalují pár set spyware
e) je zvyklý ještě z Windows 98 že Windows nemají zabezpečení a neví o tom že systém jde zabezpečit
f) je mu to úplně jedno že šíří viry, však on "na počítači nic důležitého nemá a pak stejně přeinstaluje"

Takový člověk přirozeně neví co jsou bezpečnostní zóny, protože je mu to úplně fuk.

ActiveX není špatná věc, špatná je jeho implementace v IE. To že je třeba Flash nebo PDF prohlížeč implementovaný jako ActiveX je průšvih, proto musí být zapnutý i v zóně Internet.

Ad boží zásah: ve Vistě běží IE se sníženými právy oproti uživateli který ho spustil, pokud chceš (přibližně) vidět jak se to bude chovat už teď v XP, spusť si IE přes Process Explorer, volba "Run As Limited User"

PS. připravuju pro Poradnu článek o step-by-step nastavení IE

s tymto suhlasim, ze ActiveX je dobra vec, ale pretoze ludia su taki ako su, ukazalo sa to ako chyba implementovat to aj do IE. malokto vie, preco vobec ActiveX vznikli. bolo to prave prepojenie VB s VC++, pretoze VB potreboval niektore komponenty, ktore bud mali bezat rychlo alebo ich nebolo mozne vo VB naimplementovat. MS siel potom dalej a implementoval ich aj do J++ a bolo mozne tieto jazyky navzajom prepajat. To sa ale nepacilo Sun-u a tak vieme ako to dopadlo s Javou od MS. preto sa "Bill" rozhodol urobit .NET framework, ktory by mal postupne uplne ActiveX vytlacit. preto postupom casu vo Viste uz o ActiveX nebudeme pocut.

Ako to dopadlo s Javou od MS?

vsak nesledujes IT dianie? MS prehral sud a musel odstranit podporu COM z Javy. nasledne sa na Javu vykaslal a nechcel, aby sa instalovala aj s windowsami a boli zase z toho sudne tahanice, pretoze SUN chcel, aby Java bolo default v instalacii windows. vsak to bola najvacsia IT show za posledne desatrocia.

tu som nasiel este clanok na zive, kde o tom tiez pisu.
AR.asp

jen drobná připomínka - xp1 pomalu vymírají
polovina laiků jde a koupí si pc spolu s oem xp - už dva roky pouze sp2
druhá polovina si nechá od známého instalatéra nainstalovat pc, dostane samozřejmě taky sp2 (jen by neměli zapínat automatické aktualizace)
a zprávy o barevnějších a zabezpečenějších sp2 snad dorazily i mezi mateřskou školku na živě.
spíš tipuju že sp1 můžou přežívat v malých firmách, ale to nejsou ti praví šiřitelé spyware

jinak mám pocit že pod sp2 jde v ie6 zjistit navíc jen seznam instalovaných bho, a přibylo blokování vyskakovacích oken. jiné změny v zabezpečení ie jsem nepostřehl.

ActiveX není špatná věc, špatná je jeho implementace v IE. To že je třeba Flash nebo PDF prohlížeč implementovaný jako ActiveX je průšvih, proto musí být zapnutý i v zóně Internet.

teď jsem to s tím flashem zkoušel a fak: nejede (w2000, ie6) - no to je síla, tak tím je význam bezpečnostních zón opravdu zdegenerován na nulu

proto se těším na tvůj článek (já nastavuju ie takto: brtnik.bloguje.cz/activex)

Pomoze v tomto pripade execute disable bit (tak nejako sa to vola u Intelu)? Myslim ze to suvisi s pretecenim zasobnika. FF pouzivam iba obcas ak sa nieco nekorektne zobrazi v Opere.

s procesorom to podla mna nema nic spolocne. ale ked budem vediet nove informacie, dam vediet

Mal som na mysli ze ak dojde k preteceniu zasobnika tak procesor ktory ma execute disable bit (u AMD sa to vola inak) tak v spolupraci s OS zabrani spusteniu tohto kodu. Tu je odkaz http://www.webopedia.com/TERM/E/Execute_Disable_Bit .html Nie som si isty ci to nieco pomoze i v tomto pripade preto by som bol rad keby sa k tomu vyjadril niekto kto tomu rozumie.

ono sa este o tej chybe moc detailne nevie. takze si myslim, ze ti zatial nikto neporadi. zatial ani este nie je znamy exploit, takze na chvilu je este cas.

zatial ani este nie je znamy exploit

aby pak nebylo pozdě... A místo executable atd. neprobíhal format C:

A místo executable atd. neprobíhal format C:

To je věčné téma. Pokud svému prohlížeči (a prohlížeče jsou aplikace které stáhnou a vykonají téměř jakýkoliv kód jim kdo podstrčí, aplikace by design nebezpečné - ať je to IE, Opera nebo Firefox) dovolíš být adminem, připrav se nést následky...

Ale s tím je na lidi jako hazet hrách na zeď.

ano, s tymto suhlasim. cim bezi program s mensimy pravami, tym je to pre uzivatela lepsie. v tomto pripade bude asi najlepsie, ked nebude bezat vobec.

Jj. Minulý týden jsme stavěli pro jednoho cucače komp (docela silný, cca 35 000,- s DPH). "Hlavně, ať se přihlašuju jako Admin, aby mi všechno chodilo!" Inu, náš zákazník... Vsázeli jsme se, jestli mu to vydrží alespoň měsíc. Dneska ráno stál před firmou už brzo ráno, ještě než jsme otevřeli. Nesmírně se divil, že odvšivení není záruční servis a musí to zaplatit .

ale ked si podnikatel, tak takyto zakaznik je najlepsi.

Jistě. Takových pár a uživějí nás sami. Však jeme mu to ani moc nevymlouvali.

A nejpeknejsi byva kdyz tam takovemu nainstalujes treba firewall. Pak k nemu prijdes, protoze ma zase "pokazeny" pc a zjistis ze to ma zavsivene odshora dolu. Pry ho to (firewall) porad obtezovalo nejakymi hlaskami, tak na vsechno automaticky klikal "allow". Lidi jsou fakt z tech Windows uplne zblbli. Uz by konecne ve skolach, misto toho jak psat ve wordu, meli zacit ucit alespon neco o bezpecnosti.

Pry ho to (firewall) porad obtezovalo nejakymi hlaskami, tak na vsechno automaticky klikal "allow".

Já to říkám pořád, že aplikační firewall je zlo.

© & ® Vladimir 2005-2006 Tady nejsme na Živě! (anarchist) (Vladimir)

AR.asp

Asi by bolo dobré zmeniť aj titulok vlákna.

preco, vsak je to otazka. ako to s tou chybou skutocne je budem overovat z relevantnejsich zdrojov ako zo zive.sk alebo mozilla.org.
inac pisalo sa to uz aj tu: http://pc.poradna.net/question/view/62750-zavazna-c hyba-vo-firefoxe-vraj-nie-je-az-tak-zavazna

Hmm, tak vyřiďte pani Spiegelmockovi, že ten jeho vtípek pro pobavení publika (aspoň tak je to prezentováno v článku na živě) mě pohnul k "znovuodzkoušení" Opery.
Zatím jsem nenašel důvod, proč znova spouštět Firefox.

IMHO přesně tyhle ujeťárny patří do kategorie vtípků "máte na vrátnici návštěvu" atp.

Presne, mám pocit, že to stiahol preto, lebo mu za to niekto niečo ponúkol.

to je dost mozne a preto som aj napisal toto:

ako to s tou chybou skutocne je budem overovat z relevantnejsich zdrojov ako zo zive.sk alebo mozilla.org

ak sa to vsak ukaze ako kacica, tak urcite to dam vsetkym vediet.

Kazda chyba je opravitelna, takze slovo "neopravitelna" nie je moc namieste, otazka je len ze co treba pri jej oprave znefunkcnit Osobne by som bral radsej aby (aspon docasne) niektore dementne stranky nefungovali ako keby som mal mat v prehliadaci dzuru. ActiveX mam uz na FW blokovane (resp. pyta sa), tak si vypnem aj JS a nech webmasteri robia stranky kde ide o ich obsah a nie o javascriptove nezmysly ktore nikomu netreba.

ActiveX mam uz na FW blokovane (resp. pyta sa)

Jak tohle "blokování" technicky funguje? Jen mě to zajímá...

To netusim , ale v pravidlach FW (norton PF) si mozem povolit/zakazat activex pre urcite domeny, a pre ostatne v okamziku ked sa ma nacitat nejaky activex komponent opyta sa co s tym. Ak to nepovolim tak akokeby FW podstrcil nejaky prazdny activex komponent alebo co, nezobrazi sa mi ten komponent ani ked dam refresh (je to v cache prehliadaca, vtedy sa ma uz ani FW nic nepyta), ak ho potom predsa chcem (aby ta dementna webstranka fungovala) tak musim vyprazdnit cache prehliadaca, potom sa FW znova opyta a dam povolit pre tento pripad (mozem dat aj povolit vzdy pre tuto domenu - FW si vytvori potom nove pravidlo).
P.S. samozrejme pisem o aplikacnom FW, aj ked tato vec IMHO moc nema s aplikaciou spolocne (nie je to zavisle od prehliadaca ale od obsahu a od domeny/IP).

Aha, to mi skoro přijde jako by se ten "firewall" choval jako proxy, tj. stáhnul si stránku, vyndal z něho referenci na ActiveX a pak poslal prohlížeči (proto musíš vyprázdnit cache aby ti poslal novou stránku kde ten komponent už je vložený jak autor zamýšlel)

No ono vsetka sietova komunikacia ide IMHO cez firewall, takze ma moznost analyzovat co sa prenasa aj na vyssej urovni, nielen na urovni packetov. Tusim som to kedysi davno skumal, sa mi zda ze html bolo nezmenene, ale ten subor s activex komponentom alebo co to bolo na ktory sa v html odkazovalo bol relativne kratky, akokeby prazdny. Ale uz je to davno uz nepamatam...

P.S. odkedy to mam tak nastavene tak sa divim ze kolko stranok pouziva (zbytocne) activex, aj reklamy niektore su s activex. Skrabat sa pravou rukou pod lavym uchom je asi dnes dost oblubene