Hirdetés

Hozzászólok Aktív témák

  • csimmasz

    aktív tag

    Kellemetlen.
    Még jo hogy rég áttértem operára,pedig annak idején imádtam a tűzrókát. :)

    http://www.plasticcard.it http://plasztikkartyainfo.hu (Ha kártya kell)

  • h-yle

    őstag

    Nem kell minden noname baromságot letölteni. De ezt már eddig is tudtuk. Exploit, meg megesik néha a legjobb családokban is.

    Talent is over rated, get back to practice. - Jeremy Piven

  • julius666

    őstag

    pontosan.
    Igazából azt csodálom, hogy eddig nem volt ilyen (persze lehet hogy volt csak arról nem cikkeztek).

  • Narxis

    nagyúr

    Csak megjegyzem: a Firefox legnépszerűbb kiegészítőjét a userek kb. 5%-a használja, a cikkben említett pedig a 21. legnépszerűbb kiegészítő, kötve hiszem, hogy majd egyszer kiegészítők hibáit használva jutnak be a rendszerekbe.

    Arra mindenképp jó, hogy felhívja Mozilláék figyelmét a problémára, talán a 4-es verzióval és a Jetpack-kel változni fog a helyzet.

  • Penge_4

    veterán

    "A „Mozilla Sniffer” nevű kiegészítőt"

    Még véletlenül sem gyanús a neve, kicsit sem... ;] Ettől már csak a "Mozilla Keylogger" lett volna találóbb. Amúgy aki Sniffert használ az nyilván nem 1.0 user kategória, valamint kellően paranoiás ahhoz, hogy belenézzen a forrásba.

    (#2) Narxis: Ha ez nem is, de ez már inkább. Meg a Coolpreviews sebezhetőség is.

    Jó, nyilván a userJS is lehet keylogger, csak az a 4 nagy különbség, hogy
    1: Más a filozófia. A userJS-hez ha nem is sok, de minimális hozzáértés szükséges. Például mappát létrehozni, meg ilyesmi. Tehát nem tolják a nagymamától és Pistikéig mindenkinek az arcába.
    2: Épp a next-next-finish elv hiánya miatt többnyire a power user kategória használja. Én például minden userJS-be bele szoktam nézni, amit használok, (hála az 1 fájlos szerkezetnek és a TC összehasonlító funkciójának ez nem is tart sokáig még frissítésnél sem, mivel a változásokat kiemeli pirossal).
    3: Az Opera nem véletlenül nem csinál hivatalos userJS tárhelyet és az a válasz, hogy nincs rá kapacitás. A Unite Appokat és a widgeteket is átellenőrzik. Nincs olyan, hogy megbízható user. A third-party cucc mindig potenciálisan megbízhatatlan. Ha 5 évig nincs benne backdoor, lehet hogy a hatodik évben tesz bele a készítő. Ha biztonságról van szó, nem tesznek különbséget.
    4: A userJS-t egyszerűen tudod kontrollálni (@include, @exclude), valamint nem fér hozzá a böngésző funkcióihoz. Csak a weboldalakhoz azon belül is azokhoz, amiket engedélyeztél és alapból csak a HTTP oldalakon, a HTTPS-t is külön kell engedélyezni. Nem tudja manipulálni a böngészőt.

    A jelszavak pedig Operában fokozott biztonságban vannak. Egyrészt nem tudod egy kattintással megjeleníteni, másrészt nem tölti ki a mezőt, tehát ha az oldalt felnyomják, akkor nem szerezték meg a jelszavadat az oldalbetöltés pillanatában, csak ha elég hülye vagy hozzá, hogy belépj.

  • Narxis

    nagyúr

    Ez legyen a legnagyobb probléma, hogy az egyik kiegészítő letiltja a reklámok blokkolását a saját oldalán, vihar egy pohár vízben. Az ilyen dolgok amúgy is hamar kiderülnek, ahogy ez a példa is mutatja.

    "tehát ha az oldalt felnyomják, akkor nem szerezték meg a jelszavadat az oldalbetöltés pillanatában, csak ha elég hülye vagy hozzá, hogy belépj."

    Az átlag user belép.

    [ Szerkesztve ]

  • Penge_4

    veterán

    "Csak megjegyzem: a Firefox legnépszerűbb kiegészítőjét a userek kb. 5%-a használja"

    Ez csak azt bizonyítja, hogy az embereknek abszolút nincs igényük semmire csak egy ablakra és egy címsorra, nem pedig azt, hogy a statisztikában említett 5% a power usereket tenné ki.

    Én például nem használok Firefoxot, de ha használnék a legtöbb dolgot user.js, userChrome.css és userContent.css szerkesztéssel intéznék el és csak olyasmire telepítenék addonokat, amire feltétlenül szükséges.

    "talán a 4-es verzióval és a Jetpack-kel változni fog a helyzet."

    Igen, megváltozhat a Chrome irányába is, hogy buta addonok lesznek, amik egy userJS funkcionalitásával bírnak, csak x megával többet zabálnak és még trükkel sem lehet működésre bírni őket belső lapokon és HTTPS oldalakon.

    Pedig egyszerű. Ha hatalmat adsz a harmadik fél kezébe, hogy manipulálja a böngészőt, akkor mindig ott lesz a lehetősége, hogy csúnya dolgokat műveljen vele, ha pedig korlátozod, akkor a felhasználókat is szivatod. B*szni és szűznek maradni egyszerre nem lehet.

    A sandbox sem nyújt teljes védelmet, mert ha kénytelen vagy engedni a homokozón belül futó folyamatot hozzáférni a homokozón kívüli folyamathoz, akkor kockáztatnod kell.

    Annyi, hogy nagyobb kontrollt ad a kezedbe, mert alapból tilt és csak a feltétlenül szükséges esetekben kérdez, de ezáltal többször kell döntened és azt a userek nem szeretnek.

    "Ez legyen a legnagyobb probléma, hogy az egyik kiegészítő letiltja a reklámok blokkolását a saját oldalán, vihar egy pohár vízben."

    Ne legyél már ennyire egysíkú. ;] Itt a lehetőség adottsága és az ok volt a lényeg, nem az okozat.

    Pénz kellett neki? -> Igen (ez volt az ok)
    Meg tudta tenni? -> Igen (ez volt a lehetőség)

    Az, hogy mit tett az már nem lényeg. Ugyanennyi lett volna banki adatokat lopó kódot csempészni bele. Elvégre pénzre volt szüksége. Ráadásul kétszer is megtette egymás után.

    "Az átlag user belép."

    Hülyeség ellen semmi nem véd, de ha például felnyomják valamelyik oldalt és látom, hogy nem úgy néz ki már alapból, ahogy kell neki, vagy elkészítették a másolatát, de valami mégsem stimmel, akkor nem lépek be. De ha ezt látom, akkor onnantól már megszívtam Firefoxban/Chrome-ban/IE-ben, mert a jelszavam és a nevem már lehet, hogy ott van náluk. Nem nehéz egy ilyen scriptet összehozni, lásd: Google Suggestion-> Minden billentyűleütést elküld a szervernek. A behelyettesítéssel elküldött minden adatot.

    "hanem, hogy a kiegészítőket(az összeset), mennyien használják. Már ha azon akarunk vitatkozni, hogy van-e létjogosultságuk."

    1: Attól függ. Ami a többiben alapfunkció azokat mégsem kéne számolni.
    2: Ha a legnépszerűbbet ennyien használják, akkor a többit már csak kevesebben használhatják. Főleg ha azt is hozzáveszed, hogy hányan használják az IE-t és azon belül is még az IE6-ot.

    [ Szerkesztve ]

  • Narxis

    nagyúr

    Ez csak azt bizonyítja, hogy az embereknek abszolút nincs igényük semmire csak egy ablakra és egy címsorra, nem pedig azt, hogy a statisztikában említett 5% a power usereket tenné ki.

    Nem, a kiegészítőkre van igény, nem azt kell nézni, hogy a legnépszerűbbet mennyien használják, hanem, hogy a kiegészítőket(az összeset), mennyien használják. Már ha azon akarunk vitatkozni, hogy van-e létjogosultságuk.

    A sandbox csak egy védelmi vonal a sok közül, én még ezt is ajánlom, pont hasonló esetekre találták ki: Keyscramble

    [ Szerkesztve ]

  • puttputt

    őstag

    A Cool-t én is használgattam egy ideig, aztán elkezdett idegesíteni, hogy lassan töltött nálam..., úgyhogy élből tiltottam is, rövid időn belül. :)
    Fura látni, hogy erre is "képes".
    Egyébként nem meglepő, hogy ott még a több hiba, ahol több a munka...
    Igaz, hogy ezek általánosságban megingatják a Mozilla-kiegészítőkbe vetett bizalmat, de ha mennyiségi/minőségi alapon vizsgáljuk a dolgot... És ugye eleve ingyenesen és önként...

    [ Szerkesztve ]

    :LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////

  • dajkopali

    HÁZIGAZDA

    voltak már hasonló ügyek, de nem érintettek sok embert, és a Mozilla gyorsan lépett

    "fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

  • Penge_4

    veterán

    "de ha mennyiségi/minőségi alapon vizsgáljuk a dolgot... És ugye eleve ingyenesen és önként..."

    Ezt úgy értsem, hogy 100-ból 2-3 a minőségi? Mert sajnos ez van.

    "És ugye eleve ingyenesen és önként..."

    És ez feljogosítja bármelyiket, hogy backdoor-t építsen az addonjába?

    "Egyébként nem meglepő, hogy ott még a több hiba, ahol több a munka..."

    Milyen munka? Miközben például az Opera mindent mindennel letesztel és nagyon ügyel a biztonságra, ha 1-2 bug be is csúszik a hülye versenyszellem miatt addig a Mozilla mit csinál? Ül a seggén évekig, foltozgatja a Geckto-t, ami már lassan muzeális darab, magasról tesz olyanokra, mint Acid3, sebesség és emellett(!) az addonok jelentik a böngésző alapkövét. Nélkülük mondhatni egy sima keretrendszer az egész. Mégis ennyire elhanyagolják a biztonságot. Mikor már a Microsoft is ezerrel ráfeküdt erre a témára, addig a Mozillánál az jelenti a biztonságot, hogy
    1: Letiltja az addonokat a fejlesztői verziókban, hogy még csak le se tudd őket tölteni a hivatalos oldalról, mert regisztráció nélkül nincs "Mégis letöltöm" (ezt már megoldották egy ideje szerencsére).
    2: Hülye vírusellenőrző, ami nem ismert milyen adatbázist használ, nem ismert semmi, csak az, hogy 10 másodpercig "Virus scanning" és soha nem talál semmit.
    3: Sitecheck, ami megint értelmetlen és annyiban nyilvánul meg, hogy az urlclassifier3.sqlite töredezik, mint állat és tekeri a vinyót, miközben írja/olvassa a fájlt.

  • puttputt

    őstag

    Nem voltam eléggé nyilvánvaló és nem is látok bele ennyire...
    Kb. 20 valóban hasznos kiegészítőt telepítettem eddig, elvagyok velük.. :)
    5-10-et használok rendszeresen.
    Nincs szükségem többre. Ez is sok, magánfelhasználásra.
    Annyit látni, hogy tízezrek töltenek 1-1 alkalmazást, ezek közül igen kis százalékot érdekel, mi van a fájlban pontosan (kódolás).
    Nem jogos? Aminek "sniff" van a nevében, miért kell telepíteni?
    Valószínűleg, aki használgatta vagy el sem olvasta mit szed le, vagy valami "csúnyaságot" akart művelni.
    Erre mondják sztereotip, hogy aki normális keretek között internetezik, nincs szüksége vírusvédelemre. Persze ez így önmagában nem indok de jó kiindulópont.
    Mellesleg egy idő után úgy lehet nálam is FF-ből Chrome, mint nemrég a sokáig dédelgetett Vistából 7. Lassan tényleg csak idő kérdése. :U
    Kiegészítés:
    Nem is a "Mozilla Team" dolgozik a kiegészítőkkel, hanem a feltöltőik/fejlesztőik.
    És nyilván megoszlik, ki milyen munkát végez, honnan veszi az infókat hozzá, mennyire igényes és van mögötte felkészültség, háttér, milyen szándékok mozgatják...
    Sokak ezt a "munkát" kiugrásnak, ujjgyakorlatnak tekintik... Más kérdés, hogy a "főoldalnak" nem ártana néha mögéjük néznie, kiket "támogat". Viszont itt tényleg jön a "mennyiségi" kérdés.
    A "minőség" alatt azt értettem, ami bár messze nem tökéletes, hasznos és működik.
    (És persze nincs a címben említett cucchoz hasonló nyavalyája.)

    [ Szerkesztve ]

    :LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////

Hozzászólok Aktív témák