Názory k článku
Nové nebezpečí pro nové browsery?
N/A (neregistrovaný)
13. 6. 2005 7:42
Nový
zápis dat na disk
celé vlákno
Může tu někdo znalý popsat, jak pomocí javascriptu zapíšu data na disk uživatele? Třeba pomocí GM, to je jedno, ale bez ActiveX. (PS: Tvrzení Franty Fuky nezpochybňuju, opravdu mě to zajímá.)
Never Mind (neregistrovaný)
13. 6. 2005 8:09
Nový
Re: zápis dat na disk
celé vlákno
Klid, Fuka se sjel a plácá
lukas (neregistrovaný)
13. 6. 2005 13:25
Nový
Re: zápis dat na disk
celé vlákno
Ocenil bych, kdybyste k takovym postum alespon pripojil nejakou trosku relevantni informaci.
Frantisek Fuka (neregistrovaný)
13. 6. 2005 10:38
Nový
Re: zápis dat na disk
celé vlákno
Podivejte se napr. na zdrojak extenze QuickNote.
N/A (neregistrovaný)
13. 6. 2005 13:06
Nový
Re: zápis dat na disk
celé vlákno
QuickNote je rozšíření (extension), což je imho jiný případ, než "běžný javascript" na stránce... A GM by měl spouštět scripty asi v kontextu stránky, ne?
(Btw. mám dojem, že rozšíření mohou ukládat data jen do nějakého konkrétního adresáře. Neplatí pro ně ještě nějaká zajímavější restrikce, která by bránila potenciálně škodlivé činnosti?)
(Btw. mám dojem, že rozšíření mohou ukládat data jen do nějakého konkrétního adresáře. Neplatí pro ně ještě nějaká zajímavější restrikce, která by bránila potenciálně škodlivé činnosti?)
Frantisek Fuka (neregistrovaný)
13. 6. 2005 13:30
Nový
Re: zápis dat na disk
celé vlákno
No ale o tom do znacne miry ta glosa je. Ze extenze na disk ukladat muzou, tudiz se ted navic musi clovek strachovat, jestli v nejake extenzi (napr. v GM) neni chyba, ktera umoznuje, aby nejake "malicious" user skripty te extenze ukladaly (diky chybe v te extenzi) na disk. Pribyva cela jedna "vrstva" potencialni nebezpecnosti.
petrme (neregistrovaný)
14. 6. 2005 4:25
Nový
Re: zápis dat na disk
celé vlákno
Ale toto je chyba té extension, že něco takového jako zápis na disk dovolí. Nebo je to spíš chyba uživatele, který si takovouto nebezpečnou extension nainstaloval.
Petr (neregistrovaný)
13. 6. 2005 16:01
Nový
Re: zápis dat na disk
celé vlákno
Rozhodně by chtělo nějka ten problém nastínit, neznám v js jedinou funkci, která by mě něco zapsala na disk (cookies vynechávám ;))
fs (neregistrovaný)
13. 6. 2005 7:47
Nový
...
celé vlákno
Abych řekl pravdu GM neznám, jenom jsem o něm četl, ale to je tak všechno co sem s nim kdy chtěl mít, nic převratného jako vy v něm nevidím. Nevím jestli se dá zrovna předpokládat, že by se extenze tohoto typu dostala mezi lidi do takové míry aby byla i pro spyware zajímavá. Možné to je, ale zatím jsem o GM četl jenom od Vás :)
MaaGor (neregistrovaný)
13. 6. 2005 11:11
Nový
Re: ...
celé vlákno
Mam presne stejny pocit,ze se dela bubak z neceho co sotva kdo zna.Mam silny pocit ze autorovi lezi FireFox hodnr v zaludku.
lukas (neregistrovaný)
13. 6. 2005 13:27
Nový
Re: ...
celé vlákno
To tezko, vzhledem k tomu, ze tu napsal clanek nadepsany necim jako "Proc bude Firefox vzdycky lepsi nez Opera".
Frantisek Fuka (neregistrovaný)
13. 6. 2005 13:32
Nový
Re: ...
celé vlákno
Firefox mi jiste dost lezi v zaludku, vzhledem k tomu, ze uz par let zadny jiny browser nepouzivam...
Roj (neregistrovaný)
13. 6. 2005 22:23
Nový
Re: ...
celé vlákno
... tos nemusel...
To davno vime :-)))
To davno vime :-)))
J (neregistrovaný)
13. 6. 2005 9:41
Nový
spousteni SW
celé vlákno
No jasne, ale je tu jeste daleko vetsi nebezbeci, on ten uzivatel totiz dokonce vetsinou muze spoustet programy. To bude teprv katastrofa az prijde na to, kolik se jich naprosto decentralizovane da po netu stahnout. A kupodivu, jdou mezi nimi i programy zovouci se viry, trojske kone a dalsi ...
Hmm, autore, trochu predcasna uroda okurek, nemyslite ?
Hmm, autore, trochu predcasna uroda okurek, nemyslite ?
Frantisek Fuka (neregistrovaný)
13. 6. 2005 10:40
Nový
Re: spousteni SW
celé vlákno
Mirny rozdil mezi "Uzivatel muze spoustet programy" a "browser mu sam od sebe spousti programy", nemyslite? Ackoliv, pokud pouzivate MSIE, ten rozdil vam pravdepodobne unika...
vrabcak (neregistrovaný)
13. 6. 2005 11:19
Nový
Re: spousteni SW
celé vlákno
Browser sam od sebe programy (ani extenze) nespousti, nejdriv si je musite do browseru nainstalovat. A opravdu nevidim rozdil mezi tim, kdyz si nekdo o vlastni vuli nainstaluje skodlivy .exe nebo skodlivy .js. Teda vlastne vidim, u toho .js se muzete alespon podivat do zdrojaku.
J (neregistrovaný)
13. 6. 2005 12:08
Nový
Re: spousteni SW
celé vlákno
Asi tak nejak. Nevsim jsem si ze by si FF sam o vlastni vuli stahoval extenze a to nich scripty.
lukas (neregistrovaný)
13. 6. 2005 13:28
Nový
Re: spousteni SW
celé vlákno
>> Browser sam od sebe programy (ani extenze) nespousti
A jak to souvisi s GM?
A jak to souvisi s GM?
Honza (neregistrovaný)
13. 6. 2005 13:37
Nový
Re: spousteni SW
celé vlákno
Opravdu scestny clanek.. K pripadnemu nebezpeci musi byt splneny nasledujici podminky:
- ve FF musi byt bezpecnostni dira
- ve FF musi byt nainstalovan GM
- do GM musi uzivatel sam o sve vuli nainstalovat skodlivy skript, ktery bude bezpecnostni chybu vyuzivat
Porad je bezpecnejsi instalovat skript, ktery se spousti v neprivilegovanem modu, nez instalovat extesion. A pokud je nekdo schopen stahnout ze stranek www.virus.com extension, tak s tim uz nikdo nic nenadela.
- ve FF musi byt bezpecnostni dira
- ve FF musi byt nainstalovan GM
- do GM musi uzivatel sam o sve vuli nainstalovat skodlivy skript, ktery bude bezpecnostni chybu vyuzivat
Porad je bezpecnejsi instalovat skript, ktery se spousti v neprivilegovanem modu, nez instalovat extesion. A pokud je nekdo schopen stahnout ze stranek www.virus.com extension, tak s tim uz nikdo nic nenadela.
Jakub Vrána (neregistrovaný)
13. 6. 2005 14:52
Nový
Re: spousteni SW
celé vláknoŘekl bych, že se mýlíte. Podmínky jsou totiž tyto:
- ve FF nemusí být bezpečnostní díra
- ve FF musí být nainstalován GM nebo podobná extenze
- do GM si uživatel může nainstalovat skript, který něco užitečného dělá, ale zároveň škodí, nebo může být v GM chyba, která dovolí instalaci skriptu bez vědomí uživatele
I skript v neprivilegovaném módu může napáchat neplechu - třeba může po Internetu posílat adresy stránek, které si prohlížíte, jejich obsah a dokonce i údaje, které do nich zadáváte.
washeck (neregistrovaný)
13. 6. 2005 10:25
Nový
at zije GM!
celé vlákno
Myslite ze pan Fuka letos napise jeste nejakou glosu o necem jinem nez GM?
Frantisek Fuka (neregistrovaný)
13. 6. 2005 10:41
Nový
Re: at zije GM!
celé vlákno
Klid, priste bude zase neco o bloggerech.
Pachollini (neregistrovaný)
13. 6. 2005 16:16
Nový
Re: at zije GM!
celé vlákno
Už se těším, pane kolego!
;-)
;-)
Honza (neregistrovaný)
13. 6. 2005 13:44
Nový
Zakerna extense
celé vlákno
"zákeřná extenze napadne GM a upraví ji, aby se nedala standardně odinstalovat a dělala neplechu v dalších skritpech"
To si uzivatel tu zakernou extenzi musi nejdriv nainstalovat! A kdyz uz si nekdo nainataluje zakernou extensi, proc by nedelala neplechu rovnou misto slozite upravy nejakeho pripadne jine extense GM.
To si uzivatel tu zakernou extenzi musi nejdriv nainstalovat! A kdyz uz si nekdo nainataluje zakernou extensi, proc by nedelala neplechu rovnou misto slozite upravy nejakeho pripadne jine extense GM.
Frantisek Fuka (neregistrovaný)
13. 6. 2005 15:14
Nový
Re: Zakerna extense
celé vlákno
Nikoliv. Ta "zakerna extenze" se muze nainstalovat tim, ze uzivatel pouze navstivi stranku, kde je skript vyuzivajici bezpecnostni diru v jine extenzi a/nebo jejim skriptu!!
DreamsKeeper (neregistrovaný)
14. 6. 2005 9:03
Nový
Re: Zakerna extense
celé vlákno
Nic proti běžným uživatelům, ale když si uvědomíte kolik z nich je schopno kliknou třeba na link ve SPAMu, tak asi tušíte kolik lidí si do počítače nechá nainstalovat věci o kterých netuší. Zvlášť poté co si je uživatel naprosto jist svou antivirovou ochranou. Zajímalo by mě kolik průměrných lidí zná rodíl například mezi virem a spyware. Jak se říká lidská blbost nezná hranice :)
lukas (neregistrovaný)
14. 6. 2005 23:56
Nový
Re: Zakerna extense
celé vlákno
bezny uzivatel nevi, co to je adresni radek, natoz aby vedel, co to je "spyware"
:-) (neregistrovaný)
13. 6. 2005 14:57
Nový
Je to lakomec!!
celé vlákno
Sakra, my tady sušíme huby a on má takový kvalitní hulení a ani se nerozdelí :-((((
tomas.kimi (neregistrovaný)
13. 6. 2005 21:16
Nový
Kamos nemel pravdu
celé vlákno
:-) a kdyz jsem rikal kamosovi (a to nejsem znaly na bezpecnost pc), tak se kdyzmi smal ze to je blbost, ze se toho da zneuzit :-D
petrme (neregistrovaný)
14. 6. 2005 3:55
Nový
motivace
celé vlákno
Bežný uživatel stěží zvládne nainstalovat Firefox. Někteří uživatelé možná zvládnou doinstalovat i nějakou tu extension. Několik pokročilých uživatelů zvládne i instalaci uživatelského scriptu pro GreaseMonkey.
Toto ale udělají jen pokud:
1) jim to někdo doporučí a
2) přinese jim to nějakou výhodu a
3) najdou návod jak to udělat a
4) mají to povolené
Takováto skupina uživatelů je velmi malá a dostatečně "gramotná" na to, aby se někomu vyplatilo jí "podstrčit" nějaký adware/spyware script...
Toto ale udělají jen pokud:
1) jim to někdo doporučí a
2) přinese jim to nějakou výhodu a
3) najdou návod jak to udělat a
4) mají to povolené
Takováto skupina uživatelů je velmi malá a dostatečně "gramotná" na to, aby se někomu vyplatilo jí "podstrčit" nějaký adware/spyware script...
Roman Dagi Pichlik (neregistrovaný)
14. 6. 2005 12:52
Nový
Potencialni security bug
celé vlákno
Jestli se to chova opravdu tak jak pise FF, tak si dovolim tvrdit, ze se jedna o bepzecnostni problem. Ty skripty, ktere pojedou v tech extension (aj je jedno jeslti se tam dostanou nejakou bezp. dirou nebo si je uzivatel nainstaluje kdovijakym odklknutim) mohou pracovat na principu cross site scriptu. Uplne jednoduse by slo udelat script, ktery zkopiruje obsah prohlizene stranky a posle jej nekam "na zpracovani".
PM (neregistrovaný)
14. 6. 2005 17:31
Nový
Ale co kdyby jo?
celé vlákno
Nejak se vas vetsina strefuje do toho, ze by musel uzivatel byt blbec, aby ... No a to je ono. Vetsina uzivatelu jsou blbci, kteri nainstaluji cokoliv, co jim bude jakymkoliv zpusobem nabidnuto. A je-li moznost takovym zpusobem podkopat bezpecnost prohlizece, pak to neni dobre a ten problem se driv nebo pozdeji urcite projevi.
Vaclav (neregistrovaný)
15. 6. 2005 12:12
Nový
dost nepravdepodobne
celé vlákno
GM je podle me trochu prefouknuta bublina. Skripty pro ni jsou povetsinou "kraviny". Cim vic extenzi ve Firefoxu, tim hur a GM je jedna z tech vetsich/narocnejsich. Myslim, ze se to ani nejak moc vseobecne nechytne a tudiz predpokladat, ze az bude mit Firefox treba 50% (coz se nikdy nestane), tak ze se pomoci GM, ktere se podle me nechyti, podari nejakemu skodlivemu skriptu na strance neco udelat... dost nepravdepodobny.
Vaclav (neregistrovaný)
15. 6. 2005 12:17
Nový
Re: dost nepravdepodobne
celé vlákno
A jeste bych doplnil, ze uzivatele Firefoxu uz nejsou ti uplne nejprostsi uzivatele na internetu. Prece jenom uz rozeznaji rozdil mezi prohlizecem a strankou a vedi, ze existuje skodlivy kod nebo viry. Pokud nekdo nainstaluje Firefox na nejake stanice a tam ho potom lide budou pouzivat, urcit je nezbytne mit spravu nad instalovanim novych extensions..
