Názory k článku
Bezpečnostní rizika nových webových technologií

No 80% infikovaných webů jsou právě důvěryhodné servery. Je slušná pravděpodobnost, že právě na některém z mého seznamu "povolených" serverů někdo zapracuje. Infekce se na takových serverech sice nezdrží dlouho, ale o to je to zrádnější.

Další problém je, že na spoustě webů je třeba JS aspoň dočasně povolit, aby se na něm dalo vůbec pohybovat nebo odeslat formulář. Zdaleka přitom nejde jen o nějaké obskurní weby, ale i velké firemní.

Prave ze ano. Nosctipt totiz skripty snazici se posilat neco mimo povolene domeny blokuje.

No a pak si nějaký takový neškodný web načítá reklamu z reklamního systému do iframe, ten reklamní systém někdo hackne, šoupne tam k reklamě neviditelný iframe 1 x 1 bod s embedovaným PDF, Adobe Reader to zobrazí (neviditelně pro uživatele), v Readeru je chyba a šup ho - vir je zabydlen a ani o tom nevíte.

Třeba už ho dokonce máte, ale nijak to neumíte zjistit. :)

NoScript jen znefunkčňuje weby a přináší falešný pocit bezpečí.

No dobrý, akorát že NoScript umí blokovat i embedded PDF. A ten kdo má NoScript zajisté blokuje i reklamní systémy.

A když mám na PDF asociován Foxit Reader a externí otevírání, tak co? Stačí to na ochranu proti PDF virům?

Zatím ano. Pokud máš foxit buď dost starý (do verze 2.x), nebo naopak čertsvě updatovaný.

Noscript znefunkční pouze reklamu, zatím jse mi ještě nestalo, že bych ho musel vypínat kvůli zprovoznění něčeho co jsem chtěl vidět.
Ovšem je široce konfigurovatelný, pokud se v něm nějak povrtáte, znefunkčíte cokoliv.
A "falešný pocit bezpečí"? S jakoukoliv ochranou jste o něco bezpečnější než bez ní, úplné bezpečí na webu neexistuje. Noscript je vynikající pomocník

Další článek co jen straší lidi a nepřináší žádná řešení. Řešení se zablokováním javascriptu vypovídá o" ztechnologizovaném" a naivním pohledu autora. Je přeci jedno jestli nová technologie přináší 10, 100 nebo 1000 nových způsobů jak script vložit, důležité je jak ochránit data uživatelů od zneužití těmito scripty. A na to máme docela osvědčené řešení s iframe v jiné doméně a komunikaci prostřednictvím window.postMessage. Prosím přicházejme s články co vývojářům pomáhají postavit bezpečné stránky a ne s články co sice dobře popisují rizika, ale uživatelům navrhují naprosto nesmyslnou ochranu!

jsem tady vůbec ještě na lupě nebo na nějakém it-bravíčku? žasnu, kolik lidí se tu smířilo s tím, že díru v nastavení a software na našich pc chce řešit "domluvou" s majiteli serverů na internetu..

to je skutečně úžasně k popukání, jaké ovce se už i v IT objevují..

No ono před ně stačí dát zákaz vjezdu. ;-)
http://www.google.com/support/chrome/bin/answer.py?answer=99020

panebože..vždyť jste to otočil přesně naruby, právě opravené silnice = zabezpečné "mé" pc a ne spoléhání se na "cizí" servery (a asi naprosté vynechání používání služeb typu vyhledávání na google a s tím spojené návštěvy "neznámého"..zvrá­cenost..)

Vámi hledané "řešení pro lidi" = řešení pro bfú neschopné a neochotné pro svou vlastní bezpečnost na webu něco dělat? Pro takové lidi je velmi těžké až nemožné něco udělat.
Kdyby ale přece, znamenalo by to silně omezit aktivní webové technologie, zříct se většiny webových aplikací, zahodit geolokaci, html5 atd. atd. .. tedy dostat technologii do stavu, kdy není schopná nic moc dělat, takže neublíží ani úplnému laikovi. Já bych byl sice pro, ale je to bohužel naprosto nereálné. Nové technologie jsou vyvíjené jednoduše pod tlakem komerce, takže vyvíjeny stále budou a jejich hlavním cílem nebude nikdy bezpečnost, ale snaha vydělávat na internetovém obsahu.
A i kdyby se to nějak povedlo, laik tak pasivní že například dobrovolně používá IE, bude vždy ohrožen díky své pasivitě, i když jistě méně než dnes.

Spočívá v přístupu „co není povoleno, je zakázano“. Pak ani milion nových vlastností nenapáchají žádnou škodu...

To máte sice pravdu, ale jako proklamace je nám tato pravda houby platná. Když není v silách uživatele pc nebo tvůrce webu takový stav docílit, je to jen prázdná fráze.

pořád lepší než obracet se s modlidbami na správce serverů..

A není pak amatérem jeho vývojář? On ten požadavek, aby web fungoval i "z terminálu" má něco do sebe...

Sakra, to mělo bejt nahoru k NoScriptu...

>aby web fungoval i "z terminálu" ..< jo, má to něco do sebe, souhlasím. Podobně jako jiné sladké a marné sny ..