Hlavní navigace

Nové nebezpečí pro nové browsery?

František Fuka 13. 6. 2005

Obávám se, že se schyluje k potenciálnímu vážnému globálnímu browserovému problému. Ale možná bych měl nejdřiv upozornit, že "globálním" ten problém bude pouze pokud a) většina návštěvníků Internetu bude používat Mozillu Firefox nebo b) většina browserů bude podporovat "uživatelské skripty".

Obávám se, že se schyluje k potenciálnímu vážnému globálnímu browserovému problému. Ale možná bych měl nejdřiv upozornit, že „globálním“ ten problém bude pouze pokud a) většina návštěvníků Internetu bude používat Mozillu Firefox nebo b) většina browserů bude podporovat "uživatelské skripty

O skvělé extenzi pro Firefox jménem GreaseMonkey (GM) už jsem se rozepisoval. Můžete si díky ní do počítače instalovat skripty, které se pak budou provádět po natažení stránky z Internetu a mohou ji libovolně modifikovat. Potenciál je obrovský.

Jeden z „defaultních“ skriptů pro GreaseMonkey se jmenuje „linkify“. Vyhledává na WWW stránce kusy textu, které vypadají jako internetové odkazy a mění je v „pravé“ odkazy. To je jistě záslužné. Ale pak si jistý člověk všiml, že jeho vlastní stránky, na kterých předvádí triky s DOM (Document object model), dělají psí kusy. A chvíli mu trvalo, než přišel na to, že za to může právě skript „linkify“, který došel k názoru (nesprávnému), že jisté části zdrojového textu na stránkách jsou internetové odkazy a podle toho se je snažil upravovat.

Tvůrce stránek zareagoval tak, že na své stránky přidal kratičký skript (viz odkaz výše), který na nich zablokoval funkčnost extenze GreaseMonkey (celé, nikoliv jen skriptu „linkify“). Pokud znáte Javscript, princip „zablokování“ vám bude jasný.

Podobným způsobem by se před GM mohli „bránit“ i tvůrci online reklamy nebo kdokoliv jiný. Nejnovější Firefox (a Opera) ovšem umožňují „obejít toto obejití“ a modifikovat zdrojový kód uživatelským skriptem dříve, než se dostane ke slovu jakýkoliv skript na původní stránce. Tím sice „uživatel vítězí“, ale vzniká potenciál pro velké problémy: totiž pro spyware, adware nebo dokonce pro klasické viry, dostávající se do vašeho počítače prostřednictvím extenzí browseru.

Uživatelský skript ve Firefoxu a Opeře má (resp. brzy bude mít) možnost jakkoliv měnit jakoukoliv stránku. Kromě toho může (už teď) stahovat data odkudkoliv a také je tam posílat. Kromě toho může zapisovat data na váš harddisk a číst z něj (jestli je zde nějaký sandboxing a jak snadno se dá obejít, to vám ovšem neřeknu).

Již dlouho je tu možnost, že někdo vytvoří extenzi, která se bude tvářit, že dělá něco užitečného, ale přitom páchá neplechu. S příchodem GM (a ekvivalentů) se ale situace stává mnohem nebezpečnější, protože uživatelské skripty se dají vytvářet mnohem snáze než extenze a jistě jich také bude k dispozici mnohem víc a nebudou „centralizovány“ tolik jako extenze pro Firefox. Kromě toho, v dosavadním bezpečnostním modelu „browser zajišťuje, aby extenze nenadělala neplechu“ se hledaly díry mnohem hůř, než v novém bezpečnostním modelu „browser zajišťuje, že extenze zajišťují, že jimi spouštěné uživatelské skripty nebudou dělat neplechu“.

CIF16

Když si představuji scénáře jako „zákeřná extenze napadne GM a upraví ji, aby se nedala standardně odinstalovat a dělala neplechu v dalších skritpech“, nebo „budete si muset instalovat antivirové extenze, abyste osdstraňovali virové extenze“, nebo dokonce „jistá WWW stránka dělá neplechu ve vašem počítači, protože využívá chybu v jistém oblíbeném uživatelském skriptu“ začíná mi to nebezpečně připomínat kritickou situaci, do které se browserová bezpečnost dostala díky Windows a Microsoft Internet Exploreru (MSIE).

Ale jak už jsem psal, ta „krize“ nastane ve chvíli, kdy se MSIE buď přestane používat, nebo bude nějak standardně podporovat uživatelské skripty. A do té doby třeba ještě někdo na něco přijde…

Našli jste v článku chybu?
Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje