» »

Microsoft podučuje Firefox o varnosti

Mozillazine - [>:D], [:P] in [:'(] si verjetno že majejo roke in se pripravljajo na novo besedno vojno, a naj vas kar takoj pomirim: Microsoftov predstavnik v tem članku ne naklada, ampak daje nekaj konkretnih primerov, kje ga Firefox "lomi".

Microsoftov uslužbenec Peter Torr je tako na svojem spletnem dnevniku objavil članek o (ne)varnosti Firefoxa. Kritizira predvsem dejstvo, da niti namestitveni program Firefoxa niti razširitve niso digitalno podpisane. Tako lahko namestimo npr. razširitve, ki to v resnici sploh niso, pač pa poškodujejo naš sistem.

Vsekakor bomo z zanimanjem pričakali reakcije razvijalcev.

58 komentarjev

strani: « 1 2

krho ::

To je res. In če se prav spomnim, še celo polkna XP SP2 nekaj jokajo, ko ga hočeš namestiti.
Bomo preživeli.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

carota ::

To pomeni, da tudi on uporablja Firefox. :))

Lp,
Martin

RejZoR ::

Vbistvu sem videl že precej strani ki hočejo naložit plugine v Firefoxu...
RejZoR's Flock of Sheep @ rejzor.wordpress.com

gfighter ::

V bistvu moraš paziti, kaj klikaš tako v FF kot v IE ter v Operi :D
Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput saxum immane mittam

KoMar- ::

Zdrav pogled na stvar, jap. Vsaj en.

sverde21 ::

ma ne morš met blemov če veš kje te extensione dol vlečt. Vlečt jih morš tam iz uradne strani in tam k jih majo več na kupu :) drgje pa pč prekličeš vleko simpl k pasul
Our (wannabe) blog: http://randomplac.es/ :)
<?php echo `w`; ?>

overlord_tm ::

morš bit že mal nadarjen da dobiš tok erorjev:D
pa na blogu je posting moderated, verjetn se je folk preveč razpi...>:D

ahac ::

Firefox ne inštalira extensiona, če ni na "thrusted" site.
Očitno avtor tega ni opazil.
This post is awesome. I should get a medal.

mare_ ::

um, majejo si roke? kaj? :)

Trdi ::

Malo pretirava, bi rekel. Kako se je zapičil v to, da ima Firefox izbran gumb za install, IE pa za Cancel. :D Pa dobro, če si tko butast, da tega ne opaziš, potem boš pa namesto v 3 sekundah na netu, dobil virus v petih. Big deal. Lahko narediš še tako varen program, ampak dovolj varen za vso človeško neumnost pač ne moreš. 8-)
Trdota d.o.o.

|SNap| ::

In kaj potem če lahko inštaliraš extensione, ki so v resnici spyware in podobno? Pač paziš kaj namestiš, tako kot s progami. A to jih pa nič ne moti, da na na Windowsih lahko poženeš katerikoli executable hočeš? Zame je zadeva ista. Mogoče jih pa moti, da bo lahko kateri od FFjevih extensionov spremenil pravila Firewalla v SP2, kar itak lahko zgleda naredi že vsak program, ki se mu tako zahoče.

DFMax ::

Pa daj no... didgitalni podpis? Če mojemu sosedu kaj zajebe bo mi povedal, in če meni kaj zajebe, bom povedal. V odprtokodnem svetu pač ljudje niso vajeni paranoične varnosti. Mene to ne moti in mislim da vsaj 90% ostale populacije tudi ne.
Those who do not understand Unix are condemned to reinvent it, poorly. -- Henry Spencer

Vice ::

Mene to ne moti in mislim da vsaj 90% ostale populacije tudi ne.

Ja na žalost je 90% populacije računalniško nepismene in samo pritiska yes potem pa se joka po forumih kako je OS ali program v riti.

Biti pametnjakovič ni problem, razložiti dejstva IT neizobraženim je pa znanost, je to tako težko dojeti? :\

Bistri007 ::

In kritiki se spremenijo v apologete...

darkolord ::

Jah ko bo nekdo začel zlorabljat take stvari, bo pa mal drugač... Meni se podpis zdi fina stvar, ker te noben ne more opeharit glede tega...
spamtrap@hokej.si
spamtrap@gettymobile.si

CCfly ::

V odprtokodnem svetu pač ljudje niso vajeni paranoične varnosti.

Ravno obratno. Večina boljših in popularnejših distribucij ima podpisane vse paketke (MD5 hash koda in GPG ključ), uporaba gnupg za osebno komunikacije pa je tudi kar pogosta.
"My goodness, we forgot generics!" -- Danny Kalev

doublemp ::

Žal je ta članek Micro$oftovca povsem neutemeljen.

1) Če avtor ne zaupa mirrorju, potem naj tudi Mozilli.org ne, saj je Mozilla sama avtorizirala link; sploh pa gre za univerzitetni URL.

2) Unspecified error - model ima problem z Zipom, ne pa s FF.

3) Tudi prazno vprašanje je problem prošča v enem izmed McAfeejevih programov.

4) Install Now se pokaže samo pri Mozillini strani, pri drugih se na vrhu strani pojavi obvestilo: "Firefox prevented this page from installing software"

5) Extensions se da odinštalirati preko Tools > Extensions

6) If a bad guy can persuade you to run his program on your computer, it's not your computer any more >> Bad Guy = Bill Gates

7) Mozilla javno objavi vse buge in jih v zelo kratkem času tudi popravi.

Jaffa ::

Hja, problem je, da res 90% folka klika vse, kar mu pride pod kazalec. Pa če bi pisalo, da bodo prenesli virus, bi večina to storila. Da bi pa ker prebral - to je pa že problem... Pa tudi če je v slovenščini, je za večino "težko prebrat" tisti stavek. Potem pa poslušaš; ja, se mi je nek okvirček pojavil... in potem ti na vprašanje o njegovi vsebini ve povedat le: ne vem... 8-O

darkolord ::

1) Če nekdo enostavno domeno preusmeri na drug IP (al pa recimo na tvoji kišti popravi hosts datoteko), pol naenkrat ni več tako

5) Avtorja je zanimalo, kje lahko extension onemogoči in ne odinstalira

7) Kako pa to veš?
spamtrap@hokej.si
spamtrap@gettymobile.si

Trdi ::

Ja, Jaffa, tako kot sem rekel:
Lahko narediš še tako varen program, ampak dovolj varen za vso človeško neumnost pač ne moreš.

Na netu je ogromen procent uporabnikov, ki so neosveščeni in jih ne bo nikoli srečala gospa Pamet. Kljub pričakovani vse večji web pismenosti, pa zaradi vse večje dostopnosti interneta nanj prihajajo ljudje, ki ne znajo mikrovalovko sami prižgat - na net pa s pomočjo vsemogočnih wizardov uspejo priti. :D
Trdota d.o.o.

Pithlit ::

Sicer ne vem koliko je to bistveno, toda osebno ne zaupam nikomur ki ni sposoben spravit skupaj spletne strani kot se gre. ;((

W3C validator results

Že res da mogoče človek dela za Mikrosoft... sam če bi bil jest njegov šef bi ga zbrcal.

Edit: mimogrede... a Windows pride z digitalnim certifikatom? (resno vprašanje)
Life is as complicated as we make it...

darkolord ::

toda osebno ne zaupam nikomur ki ni sposoben spravit...
Takega človeka še pogledaš ne, ane....

"PFEJ, prit nazaj ko boš znal narest stran, ki jo uni čudn W3 validator prebavi. Prej se ne pogovarjam s tabo"
spamtrap@hokej.si
spamtrap@gettymobile.si

darkolord ::

a Windows pride z digitalnim certifikatom?
Windows je 'rahlo' več kot en sam executable...
spamtrap@hokej.si
spamtrap@gettymobile.si

gazda ::

mm12:
1. ocitno rabis malo vec znanja, kaj vse se da naresti, ampak ti je ze darklord ogovoril na tole
2. problem je ker mu je download prekinilo in ni bil cel file ali je bil file corruptan ze na strezniku
3. nima instaliranega mcaffe-ja - pove v reply-u, error (oziroma warning ali karkoli ze je prazno okno) dejansko je od firefoxa
4. zanimivo extentione lahko instalarim iz kjerkoli z latest verzijo? (hmm? to mi ni jasno :))
5. govoril je sicer za plugine, ne extentione. Ja je razlika. Se je pa tudi zmotil, tudi plugine se da disable-at.
6. ni vredno komentarja
7. ko bi ljudje brali kaj clanke.Copy paste z mozilline strani (http://www.mozilla.org/projects/securit...
* Full information about security bugs will be restricted to a known group of people, using the Bugzilla access control restrictions described above. However that group can and will be expanded as necessary and appropriate.
* As noted above, information about security bugs can be held confidential for some period of time; there is no pre-determined limit on how long that time period might be. However this is offset by the fact that the person reporting a bug has visibility into the activities (if any) being taken to address the bug, and has the power to open the bug report for public scrutiny.

Torej NE objavlja javno buge, ce mislijo da je tako boljse.

Pithlit: avtor je sicer ze razlozil, da je problem v blogu in niti ne v njegovi strani (nisem sel preverjati)

Avtor clanka je sicer zacel malce navaden flame war, ampak kot uporabnik firefox-a se strinjam, da nebi skodovalo, da bi bili windows binary-i digitalno podpisani, ker dejansko, to ni velik strosek, je pa velika razlika v varnosti.

Pithlit ::

toda osebno ne zaupam nikomur ki ni sposoben spravit...

Takega človeka še pogledaš ne, ane....


Niti ne. Z ljudmi se da čist normalno pogovarjat. Da me bo pa nekdo ki enih preprostih html tagov ne zna zaključit poučeval o varnosti/nevarnosti njemu konkurenčnega izdelka... no ja presodi sam. A bi ti zaupal mehaniku k te prepriča da je BMW bolš od Mercedesa, pa pol opaziš de se je do tebe prpeljal v avtu s prazno gumo? Al pa (prazna guma se prehitro opazi) pokvarjeno lučjo?

Pri pisanju html kode naj bi se uporabljali neki standardi. Validatorji pa so na voljo zato da preveriš če neka stran upošteva te standarde. Včasih je bil naše vodilo YUS, potem DIN in sedaj ISO. Te stvari odstajajo z razlogom. Osebno jim pač sledim, zato ker hočem da moji izelki delujejo pri čim več uporabnikih. Za vse ostale pa... vi kr uporabljajte IE tage... sam ne se čudit če bo folk pi**l da pol stvari ne dela. Pa nimam nič proti IE. V "odgovornih rokah" je tudi IE lahko povsem v redu.
Life is as complicated as we make it...

DFMax ::

Narobe ste me razumeli.. mogoče sem se napačno izrazil. Hočem povedati, da so o večini stvari ljudje v odprtokodnem svetu odkriti, ker sodelujejo pri razvoju.
Those who do not understand Unix are condemned to reinvent it, poorly. -- Henry Spencer

necromncr ::

Vse je ze lepo agrumentiral mm12, jaz bi dodal le se to, da avtor ocitno za svoje neznanje obtužuje Firefox (hey, kaj ni to klasika pri M$?)

Looooooka ::

jst sam opazam da se zdele uporabniki firefoxa branite na najbolj butast nacin z najbolj neumnimi argumenti.
npr:vsak programer mora obvladati html kode(seek professional help)
a je tko tezko lepo rect da bi blo fino ce bi blo vse digitalno podpisano?
ce bi bil vsaj smrdljiv md5 hash.al pa karkol zravn.A res tok zaupate mozilli da ste lahko 10000% prepricani da ne bo njihova stran nikol ownana.Tok se ne da zaupat nobenmu.In tista o "stvari downloadamo samo z uradne strani"...zzz aaa yaaawn.Vecina ljudi downloada vse kar se jim zdi fancy.in za take idiote je pac treba poskrbet :>

gfighter ::

jst sam opazam da se zdele uporabniki firefoxa branite na najbolj butast nacin z najbolj neumnimi argumenti.
npr:vsak programer mora obvladati html kode(seek professional help)
a je tko tezko lepo rect da bi blo fino ce bi blo vse digitalno podpisano?
ce bi bil vsaj smrdljiv md5 hash.al pa karkol zravn.A res tok zaupate mozilli da ste lahko 10000% prepricani da ne bo njihova stran nikol ownana.Tok se ne da zaupat nobenmu.In tista o "stvari downloadamo samo z uradne strani"...zzz aaa yaaawn.Vecina ljudi downloada vse kar se jim zdi fancy.in za take idiote je pac treba poskrbet :>


Jah, če te pa tolk paranoja daje, pa stavim, da ne updejtaš winsow, sej konec koncev, tut microsoft stran lohk en "poowna"... Za idiote naj pa kr skrbijo uni, ki so plačani za to... bom meu vsaj dodatnih 5K SIT od vsakega takega "idiota" ki mu spucam računalnik... In, kaj misliš, a da če bo takemu "idiotu" pisalo, certified by MD5 al pa Certified by M$, al pa Satan certified, al pa jestnevemkwa, pol bo pa kr naenkrat vse v redu ... nikoli, rajš bo kliknu next, brez da bi sploh kej bral, al pa bo pizdil, ne dela! Pač, tako je, pa naj bo to linux, winsi, macOS, OS2, Nokia Operating System , FF, IE, Opera, MyIE al pa Konqueror. Zdej pa pejte kej resnega delat :D
Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput saxum immane mittam

mspiller ::

Looooooka:
npr:vsak programer mora obvladati html kode(seek professional help)

niti ne... da pa posljes cez validator pa tudi ni treba ravno obvladati html, prej browzanje >:D
lahko ti tudi sam popravi recmo tale tool: http://www.w3.org/People/Raggett/tidy/
Se pa pozna, da je slo firmam vedno bl v interesu, da se stran pravilno prikaze tudi v ostalih browzerjih.

a je tko tezko lepo rect da bi blo fino ce bi blo vse digitalno podpisano?

hm ... http://trillian.cc.gatech.edu/pub/mozil... je vse lepo podpisano (koncnica .asc), ce pa ne znas instalirat katerokoli program, ki podpira openPGP standard ... http://www.ietf.org/rfc/rfc2440.txt (oddelek detached signature)

Ti mi pa pokazi mi po katerem standardu MS vkljucuje signature? Al microsoft ne uporablja standardov, oz se jih ne drzi >:D >:D >:D V kaksni obliki je shranjen v exe, kako vem da je res podpisana celotna zadeva. Glede na to da je signatura v samem fajlu, ne more biti podpisan celoten fajl, tako da me zanima kaj tocno je sploh podpisano. Glede na to da se gremo security je to dokaj pomembna informacija. Ker security through obscurity ne pali vedno.

Peace, Matej

gazda ::

pithlit: btw, po html standardu NI potrebno vseh html tagov zakluciti >:D

mspiller: tole je blog, poleg tega je tip program manager ce se ne motim, zakaj bi ze moral znati html?

poleg tega, kdo pravi da microsoft nima objavljenega standarda kaj podpisuje? Sicer je zadeva tole.


Nekje na strani so objavljeni tudi policy-i za podpis (corporate in individual), nisem jih pa nasel :D

in glej ga zlomka, zadeva je cross platform in tudi na Unix sistemih >:D (oz. pise da je namen portati, ce so ze, ali se bodo pa ne vem).

In grem pogledat tale .asc podpis. Vidim notri ugibam da samo hash. Kdo je pa to podpisal? Kaj mi preprecuje da dam gor pokvarjen file, naredim podpis in dam svoj asc file gor?

---------------------
skrajsal sem ti link -P.

link_up ::

firefox je ql, ie ni ql trenutno...upam, da jim bodo krekercki nehal skakat po glavi...:D
In and Out

darkolord ::

@Pithlit
Tisto glede mehanika je malo drugače... Tvoj prvi primer je bil v stilu "Ali bi ti zaupal, človeku, ki ti bluzi o varnosti tvojega avta, če ne zna skuhat pasulja?"

@gfighter
Microsoftovo stran lahko kdo owna, sam vseeno stvari, ki bi ti jih hotli zlonamerneži podtaknit, ne bi bile podpisane
spamtrap@hokej.si
spamtrap@gettymobile.si

gfighter ::

Ja, in "idiotski" uporabnik bo to seveda takoj vedel. Saj najbrž sam veš, kaj lahko naredi ena tajnica z računalnikom. Moj "rekord" je okoli 15 trojancev, 100 dialerjev, pa še okoli 500 raznih data minerjev z Ad-Awarom (na okroglo). Pa tukaj ti noben podpis ne pomaga... Sej bi lahko še bluzil pa rajši ne bom :) . Še vedno pa je moje mnenje tako, da je to, kako ti sistem deluje, stvar uporabnika, in ne browserja.
Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput saxum immane mittam

BSD-jas ::

Če je pred časom neki forum turbokapitalistov lahko razpredal o sociali ipd., je bilo le še vprašanje časa, kdaj bo tudi M$ začel pometati pred tujimi pragovi. Sedaj čakamo le še, da bin Laden pove kaj o svetovnem miru ali Bush o topli gredi in mednarodnem pravu...
Vprašanje Radiu Erevan: Ali lahko ženska tudi po treh zakonih ostane devica?
Radio Erevan: Načelno da. Če je bil prvi mož iz Černobila, drugi operni
pevec in tretji zaposlen pri Microsoftu.

gazda ::

gfighter: nek "idiotski" uporabnik kot si rekel, mogoce ne bo razlocil, ti pa mogoce bos. Sej poanta je v tem: ce nekdo shacka stran od mozille in da gor svojo pohackano verzijo firefoxa, ti reces uuu.. upgrade, downloadas in instaliras, se ti ne bo sanjalo da zadeva ni od mozille. Ce bi bilo podpisano bi pa videl, da bi bil ali podpis neveljaven, ali pa bi bil podpisnik napacen. To je uporabno tudi za napredne uporabnike.

gfighter ::

Nič ne rečem, glede tega imaš prav, ampak isto se ti lahko naredi z katerikoli programom, ki ga potegneš z neta. Pa se ti je to že kdaj zgodilo? Meni še ne. "Napredni uporabnik" je pa tudi ponavadi v najkrajšem možnem času obveščen o takih napadih, saj bere Slo-Tech ter podobne strani :D. Res pa je, da bi bilo boljše če bi se to uredilo s podpisom. Brez kritik (četudi so nekatere malo "bose", kot npr. install gumb) pa tudi izboljšav ne bo. Tako da, go on...
Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput saxum immane mittam

mspiller ::

gazda:
Se vedno govoris kakor da ni podpisano. Zadeva je podpisana in lahko tudi preveris.
V asc je podpis. Zadeva deluje zelo podobno kakor podpisovanje od msja, samo da imas tam podpis v samem exetu in sicer nekje skrit v reserved del (detailov pa nisem nasel iz tvojega linka). Se ena razlika je v tem, da je pri MSju zravn includan tudi certifikat, medtem ko v tem asc fajlu ga ni. Anyway iz mozilline strani si pretoci certifikat, instaliri katerikoli program, ki podpira openpgp in preveri podpis. Se pa strinjam da ni tako user friendly kakor MSjeva resitev (unix implementacije nisem nasel, nekaj pa res obljubjajo v faqju). Deluje pa povsod in vedno in je ze zelo preverjena. Pgp je bil releasan v public uporabo leta 1991, kar je zelo dolga doba v primerjavi z MSjem. Tako da guess again, kateremu podpisu bolj zaupam.

lp, Matej

Mavrik ::

Kar me moti je samo to, da se tip obeša na napake, katere so zelo redke oz. jaz še nikoli nisem videl, niti nihče ki ga poznam.
The truth is rarely pure and never simple.

hruske ::

Kar se pa meni zdi trapasto pri microsoftu (in kar le še bolj poneumlja folk, da samo klika next), je tisti njihov driver signature. Itak moraš vedno kliknt continue anyway.

Hec pa je, da se ti to pojavi celo pri Microsoftovem gonilniku, mislim da je Loopback driver, nisem pa prepričan.
Errarum humane est.

Matev ::

Kdaj se ti pojavi okno in pritisneš NO in se ti virus instalira
ali pa pritisneš CANCEL ali X in se ti tudi nesnaga instalira.

Pač uporabljajo grafiko namesto gumba in ti klikneš NO pa si pečen.

darkolord ::

Če govoriš o IE, se ti ne more nič inštalirat ko klikneš na slikco
spamtrap@hokej.si
spamtrap@gettymobile.si

hruske ::

Mnja. :D
Pr kšnih GDI luknjah sploh klikat ni treba na slikce :D.

Mah... sj lukne so itak povsod.
Errarum humane est.

MrStein ::

Kako podpis poveča varnost :
- uporabnik obišče eno stran
- pojavi se dialog "Dovoliš ta-in-ta plugin ?"
- uporabnik je zaveden in klikne NE
- čez minuto se spet pojavi isti dialog, uporabnik spet klikne NE
- in spet, uporabnik išče gumb "Always NO" ampak ga ne najde, klikne NE
- in spet, uporabnik pogleda lastnika certifikata : "Microsoft Corp."
- OK, pol plahko YES kliknem
- uporabnikov sistem je okužen

Resno, koliko promilov uporabnikov prebere vsaj ime certifikata, kaj šele kake detajle ?

Pa tudi ko se odloči, da tega res ne bo instaliral, kaj naj naredi , če ga vpraša vsakih 10 sekund ? Je kje opcija proti temu v IE ? Jaz nisem našel.
Teštiram če delaž - umlaut dela: ä ?

darkolord ::

- uporabnikov sistem je okužen

e?? Do tukaj blo vse jasno, tole pa ne več :D
spamtrap@hokej.si
spamtrap@gettymobile.si

HairyFotr ::

KLIK NA LASTNO ODGOVORNOST:
http://www.azlyrics.us/69573

No v FF se ne zgodi nič (spljoh), v Operi antivirus zbriše en fajl, v IE se pa pojav en čudn fade effect(in strani ne morš normaln vidt) in navodila kako naložiš nek "plug-in".... pol pa antivirus zbriše un fajl.

matic ::

Hahahaa.... evo vse IE userje je po teli strani dol zmetal in jih ni vec nazaj! 8-)

FF rox! Itaq! Dej nehite z bucami s temi podpisi k je vec pizdarij z njimi kot pa dobrot v IE.
-----------------------------------------
podpis: _____________

MrStein ::

darkolord :

- uporabnikov sistem je okužen

e?? Do tukaj blo vse jasno, tole pa ne več

Web stran, ki poskuša instalirat zlonamerni plugin. Nobena znanstvena fantastika.

Ti si najbrž prava oseba za odgovor: Kako se ga znebim ? Razen seveda nenehnega klikanja na NO ?
Teštiram če delaž - umlaut dela: ä ?

darkolord ::

Web stran, ki poskuša instalirat zlonamerni plugin. Nobena znanstvena fantastika.
Ja ja, to že.. samo če je signed by ms (tko kot si zgoraj napisal) to ni zlonamerni plugin =)

Glede tega da skenslaš to da te skozi sprašuje pa mislim da se ne da tko... lahko pa daš stran v restricted zone pa se ti ne bo več pojavljalo...
spamtrap@hokej.si
spamtrap@gettymobile.si
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft popravil površni generator naključnosti

Oddelek: Novice / Varnost
343802 (1975) cryptozaver

keri brskalnik ?

Oddelek: Omrežja in internet
25831 (526) OmegaBlue
»

Microsoft podučuje Firefox o varnosti (strani: 1 2 )

Oddelek: Novice / Brskalniki
583821 (3201) Gundolf
»

Miguel de Icaza o Longhornu

Oddelek: Novice / Ostala programska oprema
91377 (1377) lunamit
»

MikeRoweSoft.com proti Microsoftu: epilog

Oddelek: Novice / Ostala programska oprema
161688 (1688) Freelancer

Več podobnih tem