zavazna bezpecnostna a udajne neopravitelna chyba vo firefoxe?

Nechci být škodolibý, ale když jsem před lety říkal "Firefox nemá bezpečnostní zóny, počkejte až se budou zneužívat chyby ve skriptování a instalaci XUL extensions, poznáte, že FF nemá žádný bezpečnostní model jako IE", tak se mi všichni ti Tomešové smáli a říkali jak je FF bezpečný, chyby se opravují do druhého dne a žádné zóny nepotřebuje a že je potřebuje jen IE.

No, a teď to mají...

to vladimír: proč ie vůbec nepatří laikům do ruky?

zásadní rozdíl je že ie má activex, default zapnutý i v zóně internet
a že ie má zóny (jinak dobrá věc)? zeptej se běžných faking users - kde. mrchosoft nenaučil své uživatele je nastavovat, a tak jsou právě těm co dostávají a šíří spyware úplně k ničemu (viz stovky dotazů nejrůznější trotlů na živě).

stejně jako když byl v sp1 kdesi schovaný stavový firewall, default vypnutý. když ho nebohý uživatel našel, dočetl se že jde o udp/tcp filtr, zavřel to a už se k tomu nikdy nevrátil.
musel přijít až blaster, aby mrchosoft firewall v sp2 zapnul, začal kritické hotfixy výrazně odlišovat a řádově zpřehlednil popis na webu.

co se bude muset stát za boží zásah, aby ie nebyl po instalaci nejnebezpečnějším prohlížečem, použitelným jen pro firemní intranet?

Výchozí nastavení ve Windows XP SP2 je už relativně slušné (a ve Windows Server 2003 SP1 je IE skutečně fest zabezpečený). Problém je v tom, že typický luser ze živě

a) má Service Pack 1 a žádé hotfixy
b) tudíž má v IE díry za pět let nazpět
c) leze na stránky z warezem
d) instaluje trojany kteří mu nastavení IE změní případně si rovnou doinstalují pár set spyware
e) je zvyklý ještě z Windows 98 že Windows nemají zabezpečení a neví o tom že systém jde zabezpečit
f) je mu to úplně jedno že šíří viry, však on "na počítači nic důležitého nemá a pak stejně přeinstaluje"

Takový člověk přirozeně neví co jsou bezpečnostní zóny, protože je mu to úplně fuk.

ActiveX není špatná věc, špatná je jeho implementace v IE. To že je třeba Flash nebo PDF prohlížeč implementovaný jako ActiveX je průšvih, proto musí být zapnutý i v zóně Internet.

Ad boží zásah: ve Vistě běží IE se sníženými právy oproti uživateli který ho spustil, pokud chceš (přibližně) vidět jak se to bude chovat už teď v XP, spusť si IE přes Process Explorer, volba "Run As Limited User"

PS. připravuju pro Poradnu článek o step-by-step nastavení IE

s tymto suhlasim, ze ActiveX je dobra vec, ale pretoze ludia su taki ako su, ukazalo sa to ako chyba implementovat to aj do IE. malokto vie, preco vobec ActiveX vznikli. bolo to prave prepojenie VB s VC++, pretoze VB potreboval niektore komponenty, ktore bud mali bezat rychlo alebo ich nebolo mozne vo VB naimplementovat. MS siel potom dalej a implementoval ich aj do J++ a bolo mozne tieto jazyky navzajom prepajat. To sa ale nepacilo Sun-u a tak vieme ako to dopadlo s Javou od MS. preto sa "Bill" rozhodol urobit .NET framework, ktory by mal postupne uplne ActiveX vytlacit. preto postupom casu vo Viste uz o ActiveX nebudeme pocut.

Ako to dopadlo s Javou od MS?

vsak nesledujes IT dianie? MS prehral sud a musel odstranit podporu COM z Javy. nasledne sa na Javu vykaslal a nechcel, aby sa instalovala aj s windowsami a boli zase z toho sudne tahanice, pretoze SUN chcel, aby Java bolo default v instalacii windows. vsak to bola najvacsia IT show za posledne desatrocia.

tu som nasiel este clanok na zive, kde o tom tiez pisu.
AR.asp

jen drobná připomínka - xp1 pomalu vymírají
polovina laiků jde a koupí si pc spolu s oem xp - už dva roky pouze sp2
druhá polovina si nechá od známého instalatéra nainstalovat pc, dostane samozřejmě taky sp2 (jen by neměli zapínat automatické aktualizace)
a zprávy o barevnějších a zabezpečenějších sp2 snad dorazily i mezi mateřskou školku na živě.
spíš tipuju že sp1 můžou přežívat v malých firmách, ale to nejsou ti praví šiřitelé spyware

jinak mám pocit že pod sp2 jde v ie6 zjistit navíc jen seznam instalovaných bho, a přibylo blokování vyskakovacích oken. jiné změny v zabezpečení ie jsem nepostřehl.

ActiveX není špatná věc, špatná je jeho implementace v IE. To že je třeba Flash nebo PDF prohlížeč implementovaný jako ActiveX je průšvih, proto musí být zapnutý i v zóně Internet.

teď jsem to s tím flashem zkoušel a fak: nejede (w2000, ie6) - no to je síla, tak tím je význam bezpečnostních zón opravdu zdegenerován na nulu

proto se těším na tvůj článek (já nastavuju ie takto: brtnik.bloguje.cz/activex)

AR.asp

Asi by bolo dobré zmeniť aj titulok vlákna.

preco, vsak je to otazka. ako to s tou chybou skutocne je budem overovat z relevantnejsich zdrojov ako zo zive.sk alebo mozilla.org.
inac pisalo sa to uz aj tu: http://pc.poradna.net/question/view/62750-zavazna-c hyba-vo-firefoxe-vraj-nie-je-az-tak-zavazna

Hmm, tak vyřiďte pani Spiegelmockovi, že ten jeho vtípek pro pobavení publika (aspoň tak je to prezentováno v článku na živě) mě pohnul k "znovuodzkoušení" Opery.
Zatím jsem nenašel důvod, proč znova spouštět Firefox.

IMHO přesně tyhle ujeťárny patří do kategorie vtípků "máte na vrátnici návštěvu" atp.

Presne, mám pocit, že to stiahol preto, lebo mu za to niekto niečo ponúkol.

to je dost mozne a preto som aj napisal toto:

ako to s tou chybou skutocne je budem overovat z relevantnejsich zdrojov ako zo zive.sk alebo mozilla.org

ak sa to vsak ukaze ako kacica, tak urcite to dam vsetkym vediet.

Kazda chyba je opravitelna, takze slovo "neopravitelna" nie je moc namieste, otazka je len ze co treba pri jej oprave znefunkcnit Osobne by som bral radsej aby (aspon docasne) niektore dementne stranky nefungovali ako keby som mal mat v prehliadaci dzuru. ActiveX mam uz na FW blokovane (resp. pyta sa), tak si vypnem aj JS a nech webmasteri robia stranky kde ide o ich obsah a nie o javascriptove nezmysly ktore nikomu netreba.

ActiveX mam uz na FW blokovane (resp. pyta sa)

Jak tohle "blokování" technicky funguje? Jen mě to zajímá...

To netusim , ale v pravidlach FW (norton PF) si mozem povolit/zakazat activex pre urcite domeny, a pre ostatne v okamziku ked sa ma nacitat nejaky activex komponent opyta sa co s tym. Ak to nepovolim tak akokeby FW podstrcil nejaky prazdny activex komponent alebo co, nezobrazi sa mi ten komponent ani ked dam refresh (je to v cache prehliadaca, vtedy sa ma uz ani FW nic nepyta), ak ho potom predsa chcem (aby ta dementna webstranka fungovala) tak musim vyprazdnit cache prehliadaca, potom sa FW znova opyta a dam povolit pre tento pripad (mozem dat aj povolit vzdy pre tuto domenu - FW si vytvori potom nove pravidlo).
P.S. samozrejme pisem o aplikacnom FW, aj ked tato vec IMHO moc nema s aplikaciou spolocne (nie je to zavisle od prehliadaca ale od obsahu a od domeny/IP).

Aha, to mi skoro přijde jako by se ten "firewall" choval jako proxy, tj. stáhnul si stránku, vyndal z něho referenci na ActiveX a pak poslal prohlížeči (proto musíš vyprázdnit cache aby ti poslal novou stránku kde ten komponent už je vložený jak autor zamýšlel)

No ono vsetka sietova komunikacia ide IMHO cez firewall, takze ma moznost analyzovat co sa prenasa aj na vyssej urovni, nielen na urovni packetov. Tusim som to kedysi davno skumal, sa mi zda ze html bolo nezmenene, ale ten subor s activex komponentom alebo co to bolo na ktory sa v html odkazovalo bol relativne kratky, akokeby prazdny. Ale uz je to davno uz nepamatam...

P.S. odkedy to mam tak nastavene tak sa divim ze kolko stranok pouziva (zbytocne) activex, aj reklamy niektore su s activex. Skrabat sa pravou rukou pod lavym uchom je asi dnes dost oblubene