Zarazi me, ze mnoho prispevku se tu "vozi" po Telecomu ale ten preci neni autorem technologie ActiveX!Je to preci M$ a meli bysme se proto obratit k tomu, co tato technologie dela a ze v principu nema vubec co delat na Internetu.
To co se zde popisuje jiz asi pred 2 lety nasimulovala skupina hackeru z Nemecka, Chaos Group, ktera ale do toho sla v trochu vetsim kalibru.
Asi pred 2 leta udelali ActiveX, ktery byl dokonce podepsany, byl tedy autorizovan CA VeriSign a hackeri postupovali PRESNE podle doporuceni Microsoftu tak, aby tato technologie byla bezpecna (podle definice "bezpecnosti" v podani M$).
Komponenta byla rozsireni Flashe (ktery byl cracknuty a byl to wrappnuty COM objekt do jejich vlastniho ActiveX objektu). Ten pak sirili na sve strance, kam dali digitalizovane ruzne tehdy aktualni filmy a lidickove se jen hrnuli.A behem asi 5 mesicu meli panove kolem 1 milionu downloadu teto ActiveX komponety.A co bylo jejich funkcionalitou?TO je v principu uplne jedno, ptz ten kdo vi co to je ActiveX tak take vi ze takova komponenta ma pristup k UPLNE vsemu k cemu muze pristoupit dany uzivatel.Ale v tomto konkretnim pripade slo o to, ze komponenta se zaregistrovala a proletela disk a zmapovala vsechny .doc fajly a kde se nasel znak $ tak ti zpakovala odeslala panum autorum na jejich freemail.Panove timto ziskali i nektere dokumenty vyznamnych predstavitelu velkych firemn hlavne z Nemecka a UK ktere s radosti vystavili na Netu.Nema cenu rozebirat jak lze tuto metodu zneuzit,je to jen otazka napaditosti ale M$ technologie tyto podvody primo podporuji.
Proto je zasadni si uvedomit ze problem vznika a zanika s technologie, ktera na verejnem Internetu nema vubec co delat.Dokazu si ActiveXy predstavit tak v intranetu a to jeste omezenem oddeleni,ale poustet si ActiveXy z netu to muze jen hlupak, a to i kdyz jsou podepsane.
Ja uz jsem to tady prezentoval - je to totiz SPT Telecom (tedy samozrejme nikoli jen on, ale i jini ISP) kdo laickym uzivatelum tuto nebezpecnou technologii doporucuje (casto dokonce jako jedinou), ackoliv by to mel byt on, kdo jim nabidne sluzby na profesionalni urovni a tedy jim soucasne s prodavanou sluzbou poskytne "navod na pouziti" - ktery obsahuje i upozorneni nato, co se s novou, prave zakoupenou sluzbou delat neda, co se delat nema a co je nebezpecne.
A upozorneni CESKEHO TELECOMU na problemy s ActiveX na zaklade ktereho vznikl i tento clanek, nase webove stranky, tiskova zprava a moje ucast v tehle diskuzi je co?
To je chvalihodna (bez ironie) "pozde ale prece" aktivita. Mluvil jsem o zanedbani profesionalniho pristupu, cimz myslim, ze zretelne laicky zakaznik mel byt poucen o "pouzivani" internetu vcetne hrozicich nebezpeci v obecne rovine od sameho pocatku - a ne az o konkretnim nebezpeci a to teprve pomerne dlouho pote, co se toto nebezpeci objevi. To, ze pouzivani Exploreru laikem bez pouceni je (pro nej) nebezpecne jiste odbornici IOL vedeli o sameho pocatku a kdyz se z jakehokoliv duvodu rozhodli klientum tento software doporucit (davate ho na CD jako jediny - to ja povazuji za doporuceni), je povinnosti profesionala laika na tato nebezpeci (obecna nebezpeci) upozornit. A to se nestalo a proto tvrdim, ze SPT je na skodach spoluvinen neprofesionalnim pristupem k zakaznikovi. Ostatni ISP jsou na tom podobne (i kdyz ne vsichni doporucuji Explorer jako jedinny prohlizec), nepredpokladam ale, ze byste mi ale chtel odpovedet, ze SPT se ke klientum chova stejne neprofesionalne jako konkurence.
Rad bych rekl, ze se mi libi vse, na co jste v upozornil a obzvlaste jsem si vsiml vasi neobvykle viditelne aktivity v teto diskusi - to vsechno jsou jednoznacne pripsatelna plus pro SPT. Ja ale mluvil o zanedbani preventivni odborne pece, kterou ja povazuji za soucast profesionalniho pristupu (ono sepsat takovy navod s poucenim staci jednou a jen dat k dispozici - predpokladam, ze duvod, proc se nic takoveho nedeje je marketingovy (a nepredpokladam, ze je to proto, ze lide z IOL si teto nebezpecnosti vubec nevsimli - to by bylo dost vazne znameni) - a ohrozit bezpecnost zakaznikovych dat z margetingovych duvodu mi pripada neprofesionalni bez ohledu nato, ze jini to delaji take).
Jen pripominam, ze jsem rekl, ze primarni odpovednost ma samozrejme zakaznik sam, vase spoluodpovednost odpovednost za vzniklou skodu je tam ale take, protoze jste klienta, o kterem kazdy vi, ze si nebezpeci (myslim nebezpeci v konkretni rovine, ne konkretni pripad napadeni) neuvedomuje na tato nebezpeci, ackoliv vam byla jejich existence zrejma zamerne neupozornili.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
