Hlavní navigace

Vlákno názorů k článku Telefonní účty za několik tisíc?! od Ondrej Pokluda - Dotaz - z clanku jsem to nepochopil: Pri...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 10. 2000 14:20

    Ondrej Pokluda (neregistrovaný)
    Dotaz - z clanku jsem to nepochopil: Pri standardnim zabezpeceni IE je u podepsanych ActiveX prompt - zeptat se, zdali se maji spustit, nepodepsane nespoustet vubec.

    Cili mechanismus tohoto utoku je, 1. ze mi to podstrci nejakou komponentu, s jejiz spustenim musim souhlasit, anebo 2. to vyuzije na mem pocitaci existujici AX, kterou to jenom zaskriptuje (tam je to zabezpeceni slabsi) a muze se to dit bez vedomi uzivatele.

    V pripade 1. je uzivatel, mirne receno, pako, v pripade 2. je pako ten, kdo tu komponentu napsal a oznacil za bezpecnou pro skriptovani.

    Nebo je vsechno jinak?
  • 11. 10. 2000 21:21

    Dan Lukes (neregistrovaný)
    To hodne zalezi od konkretnich verzi nainstalovaneho software. V urcitych verzich lze vyuzit existujici AX komponentu, kterou se "jen" zmeni nastaveni urovne zabezpeceni - a pak uz se vas IE na nic nepta. S dovolenim, pouziji Vas vyraz - pako je uzivatel, ktery pripusti, ze se mu vubec jakakoliv komponenta spusti bez ptani (podepsana ci nepodepsana), dale je pako uzivatel, ktery souhlasi se spustenim jakekoliv komponenty, ackoliv si nevi co presne dela (to nevi skoro nikdy). Z toho nam plyne, ze "pako" je vetsina uzivatelu MSIE, procemz uzivatele NN chrani jen to, ze NN ActiveX neumi (uzivatele NN ohrozuje JavaScript, Java, Pluginy - to vsechno ma ale MSIE take). Nejde jen o prohlizece - uzivatele starsich verzi office mohou byt napadeni dokumentem se samospustitelnymi makry, u novejsich verzi se to take uz uzivatele zepta. U prohlizecu lze take pres Internet sledovat kdo otevrel jaky dokument (pravda, to neni prime ohrozeni). I tak nam vychazi, ze vetsina uzivatelu Internetu je "pako". Byt "pako" je tedy, zda se, prumerny, rekneme tedy normalni stav. Nojo, ale nejak mi unika co z toho plyne ?

    BTW, certifikat serveru od uznavane autority dokazu padelat pro kterykoliv .cz server a kteroukoliv CZ firmu (ale jen s trochou peclivosti to dokazu i pro jine evropske domeny a firmy) tak, ze s velmi vysokou pravepodobnosti nepoznate, ze ve skutecnosti stojim jako man-in-the-middle a monitoruji veskere vase browseni (vyjma pripadu, kdy je pouzit take personalni certifikat z vasi strany, to ale neni moc obvykle). Je zajimava otazka, jestli u certifikatu schopneho provest "code-signing" by to bylo padelani az o tolik slozitejsi (tohle jsem jeste nezkousel) - z vaseho dotazu jsem pochopil, ze vy applet certifikovany duveryhodnou autoritou spustite bez potvrzovani ...

  • 11. 10. 2000 23:48

    Ondrej Pokluda (neregistrovaný)
    Dekuji za odpoved. V tomto pripade je situace vaznejsi,nez kdyz se sirily exe soubory. Problem je, ze komponenta je v dnesni dobe skoro vsechno (trend Microsoftu je zcela jasny). Jinak na svou obranu chci uvest, ze zdaleka nespoustim kazdou komponentu, kterou mi nekdo nabidne, tvrdohlave odmitam napriklad Flash, byt je podepsany Macromedii. Asi jedina vec, kterou jsem instaloval bylo neco z MSDN online, a tam jsem se rozhodnul MS verit.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).