Názory k článku Bezpečnost prohlížečů ohrožují plug-iny, Mozilla chystá tvrdá opatření

Koukam, ze internetbanking KB se stava v IT svete pomalu legendarni. Jsem zvedav, zda se doziju toho, kdy to predelaji. Jsou snad jedina vetsi banka v CR, ktera ma tento problem.

že pokud uživatelům "bezpečných" prohlížečů nepojede 50% a něco navštívených stránek, tak si na počítači ponechají win XP s "bezpečnostně problémovými" prohlížeči, na kterých jim "internet" bude fungovat.

Chápu to dobře, že Vaše neschopnost zadat do vyhledávače "jak zakázat plug-in ve firefoxu" je důvodem k odmítnutí celého prohlížeče? Inu, inkvizice by z Vás měla radost.

To je zase plk, co? On se IE neumi aktualizovat pres M$ update? Hmm ...

původně se ten příspěvek měl jmenovat jen IE ale to zdejší systém pro diskuze neumožňuje

Není možné udělat pro pluginy nějakou virtualizační klícku, kde by si mohly dělat co chtěly, ale neměly by přístup ke zbytku počítače? Problém přece není v pluginech, ale ve škodlivém kódu, který využívá chyb v těch pluginech a jejich prostřednictvím napadá počítač... tak odřízněte pluginy od přístupu k počítači a nechte je, ať se třeba staví na hlavu.

Já mám pocit, že načítání certifikátu (ve skutečnosti je podstatný privátní klíč) Javou se děje z důvodu bezpečnosti. Certifikát s privátním klíčem je uložen v zaheslovaném PKCS12 úložišti (nebo něčem podobném), applet jej při přihlášení načte přičemž vždy požaduje heslo k úložišti. To je bezpečnější, respektive bylo době vzniku tohoto způsobu práce s klíčem, než kdyby byl privátní klíč naimportován přímo v prohlížeči.

A na jakem principu asi ten sandbox pracuje ? Takova chyba je tam zneuzitelna uplne stejne.

Tak to uz delam deset let a neni s tim jediny problem.

Jop a ted tu o pernikovy chaloupce ...

Až vám dojde, že nejste jediný člověk na světě (se všemi důsledky, co to přináší), tak bude váš život lepší.

A co to s tim ma spolecneho ? Jako ze neschopnost chapat technologii ma byt standardem ? No podle toho to tu i vypada, ano, to jsou ty dusledky.

Ano téma vlákna je: Kdo je větší pitomec. Blahopřeji.

Lze, kazdy proces (v tomto pripade prohlizec s nahranymi pluginy) muze jen to, co mu dovoli prava uzivatele pod kterym je spusten. Neni tedy nutne spolehat na nejake sandboxy, ktere se neohrabane snazi o totez.

Od Windows XP vyse neni problem pouzit Software Restriction Policy, spolecne s omezenym uctem. Pak zadny z procesu nemuze udelat prakticky nic a je jedno jestli je to plugin nebo neco jineho. Porad je to jen spusteny kod pod nejakym uzivatelem.

Podle mě je to naopak to jediné místo, kam to patří. Všechno nastavení má být na jednom místě! Naopak to, že v Tools/Addons je Get Add-ons, Extensions, Plugins a Appearance je úplně divné. No dobře, nakonec jste mi poradili a našel jsem to. Ale pořád je tam (teda aspoň u javy) jen enable/disable, nejsou tab výjimky pro stránky a ani možnost spustit jen na povolení.

by mne zajímalo jaký matroš berete :)

1) ve W8 je jednotná správa aplikací, byť jen pro metro, ale je vidět, že to jde

2) pokud máte důkazy o kradení sw, předejte je policii

3) distribuce sw je u MS stejně jako i u jiných velkých SW stejná - přehledná pro tvůrce, ale zmatená pro uživatele

4) ten konec o důvěře a o provizi: o čem si myslíte, že je Windows Store?

Víte s omezeným účtem pod windows měli problémy všichni. Dříve velké, postupně menší, ale bez problémů nebyl fakt nikdo.

Tak vy vidíte hodiny vpravo dole - no výborně. A umíte si bez práva měnit čas změnit časovou zónu (typické uživatelské nastavení)? Umíte si bez práva změnit čas zobrazit kalendář?

Jasné - vy jste prostě smířen, že v operačním systému není pro uživatele tak triviální věc jako je kalendář a používáte nějakou vlastní.
Nemusíte mne dál přesvědčovat, že vy nemáte problém drbat se levou rukou za pravým uchem, přesvědčil jste mne o tom už dříve.

Ano, jistě že můžete povolit uživateli měnit systémový čas - ale to je prostě nelogické a nesystémové. Hodně adminů to dělalo, protože to bylo nejjednodušší řešení problému a rizika toho kroku nejsou velká (ale ne nulová). Faktem je, že prvním OS od MS, kde mi překážky v práci pod uživatelským účtem neklade i MS samotný je Vista.

Já nepsal, že se neumí aktualizovat windows jako operační systém ale že se neumí aktualizovat IE jako samotný browser.

90% viny je na straně prohlížečů (u mě Firefox). Kdyby měli někde v menu/settings/pre­ferences/plugins (ne schované někde v advanced/more advanced/even more advanced) normální nastavení se seznamem pluginů, kde by šlo pro každý zvolit zakázat/povolit/na vyžádání/seznam výjimek pro stánky/aktualizovat (přiznám se, že teď jsem se k tomu na firefoxu 18.0.2
ani nedoklikal) a defaultně žádný plugin, tak je víceméně po problému. Zakazování je blbost, stačit umožnit jednoduše a přehledně nastavit.

Je to složité, jelikož jsem to (snad celkem logicky) hledal a nenašel v edit/preferences.

pro bezpečnost by bylo dobré aby i IE konečně umožňoval ideálně tiché aktualizace, ale toho se asi nikdy nedožijeme

Menu Tools | Add-ons -> Plugins. To je slozite ?

Tam to vubec nema co delat.

Aktualizace JAKEKOLI aplikace samostatne je nebetycna PITCHOVINA. O veskery aktualizace se ma starat prave system, aplikace mu ma max predat informaci odkud. Prave proto, ze pak v systemu bezej vsemozny deravy sluzby ktery lezou po netu a maj pravo zapisovat prakticky kamkoli a cokoli.

kdyby měl MS lépe vyřešená administrátorská práva a nenavykal desítky let uživatele dělat vše pod účtem administrátora s vypnutým UAC, tak stačí téměř jen pouštět prohlížeč z klasického uživatelského účtu a 99,99% mallwaru by bylo v píp píp

Já s tím také neměl žádné problémy, když jsem ještě měl windows ale mezi uživateli windows (zejména mezi těmi, kteří mají vlastní počítač) jsme jen statistická chybička v rozsahu promile

Cece, chorej mozek se da vetsinou lecit, ale ten vas ne ... co to placate o provizich.... to ze widle neco nemaj neznamene, ze je to dobre. Stejne jako ma kazdej tux moznost pridat externi zdroje balicku maj mit totez widle. Aplikace pak jednoduse zapise do seznamu adresu odkud se aktualizuje a M$ stim nema nic spolecnyho.

Je dobre ze vite, s cim maji ostatni problemy :-)))

Prave jsem prihlasen jako uzivatel s omezenymi pravy pod Windows XP a hodiny vidim. Tecka.

Jake datum bude pristi ctvrtek, od toho mam kalendarovou aplikaci. Pokud bych to vylozene chtel ve Windows XP kliknutim na hodiny, tak si to povolim v systemove politice. Opet hledate problem tam kde neni.

Kdyz si spustite proces s vyssimi pravy, uz to neni pod uzivatelskym uctem. Je jedno jak, jestli prelogovanim na admina, dalsim prihlasenim (Fast User Switching) jako admin, spustenim pres RunAs nebo povysenim prav pres UAC (ten mimochodem nepouzivam, protoze pak nelze snadno spustit treba Event Viewer s omezenymi pravy). Ve vsech techto pripadech je to uz nebezpecne a tedy nepracujete s danou aplikaci "pod omezenym uctem".

Nastesti nemam potrebu 20x za den "zkouset" nejaky, vetsinou zcela zbytecny, software. Takze vyssi prava potrebuji jen pro aktualizace.

To neni ani zdaleka jen o instalaci programu, spousta aplikaci pod beznym acc vubec nefunguje, co vic, nelze delat spoustu veci, ktere by uzivatel asi delat chtel a mel (bez hodin stravenych konfiguraci). A kdyz cloveku za hodinu podesaty vybehne, ze nema opravneni, a ma zase hodinu hledat na netu, kde co v registrech zmenit aby mel (protoze ac se M$ prsi ze na vsechno ma gui, tak casto i zcela trivialni zasahy je treba delat rucne v registrech ...)

A verte tomu, ze bych byl stastnej jak blecha kdyby se mi useri obesli bez admina, ale u nekterych musim holt trpet to, ze aby jim fungovalo co potrebujou k praci, tak musim co 1/4 roku reinstalovat, protoze s tim adminem samo rozjebou i zbytek systemu ...

A to nemluvim o situacich, kdy clovek ve widlich zjisti, ze neni admin jako admin, a ze ani user v administrators proste nemuze ... a tak zase resi, jak ziskat vyssi opravneni aby mohl.

UAC je naprosto vohowne. Zlatej tux. Nesetkal sem se s tim, ze by user acc nejak omezoval uzivatele a kdyz se lognu jako root, tak muzu naprosto VSE.

Popravdě moc nechápu proč řešíte IE, když v poslední době jsou bezpečností díry v produktech Adobe (Flash, Acrobat) a Javě. MS IE aktualizuje pomocí Windows update a že si aktualizace lidi vypínají je jejich problém. Kdyby MS zavedl to co Google v Chromu, tedy tiché aktualizace, tak byste byl nejspíše jedním z prvních kdo by řval, co si to MS dovoluje ho zbavovat možnosti "řídit" co se mu do počítače dostane.

Takže ne IE sux, ale Flash sux a hlavně Java sux, protože používání Javy na webu je blbost.

K tomu mi staci se docasne prihlasit jako admin, stejne tak kdyz potrebuju neco nainstalovat. Stale to ale neni duvod byt TRVALE prihlasen pod uctem s vyssimi pravy a pouzivat pod nim z principu nebezpecne aplikace, ktere zpracovavaji data stahovana z Internetu. Je to tak tezke pochopit ?

Zkratka nekomu prijde zbytecne "slozite" zamykat auto (pak se divi ze mu ho ukradnou), nekomu ne.

Jo a díky tomu, že systém otravuje s aktuatizací každí píčoviny, kterou uživatel ani nepoužívá ho to po pár dnech zašne otravovat tak, že aktualizace vypne a pak má děravý systém komplet.
Jelikož browser je nejobvyklejší brána pro napadení systému, tak je IMHO lepší, když se aktualizauje extra než vůbec.

Navíc aby se o veškeré aktualizace staral systém je v případě MS Windows nereálné. Windows nemají jednotný systém pro správu aplikací, dlouholetou tradici kradení sw a velice roztříštěnou a divokou distribuci sw. Navíc, díky tomu, že MS v konkurenčním boji používá také dosti pohybné taktiky hodně tvůrců sw by MS možná nedůvěřovali, jak pokud by mu měli svěřit diostribuci svého produktu, tak pokud by MS měl jejich sw aktualizovat. Navíc nevím, zda by na druhé straně byl také MS ochotný se strat za rozumnou provizi o produkty tisíců rlůzných vývojářů, z nichž velké procento by vytvářelo produkty, které by byly konkurencí jejich vlastním produktům.

K čemu proboha banka potřebuje Javu v IB? mBank má funkční IB i bez Javy. :-)

Proč mluvíte o neschopnosti chápat technologii?
Vy píšete, že už deset let používáte omezený účet a nemáte s tím jediný problém.
Já se vám snažím ukázat, že jsou na světě i jiný lidé - a ti jiní lidé s tím mají problémy velké.

Ale píšu to jenom tak - nejspíš jste totiž kecal. Nejspíš jste člověk, co má (a hlavně měl) s omezeným účtem spoustu problémů (jako každý), ale prostě jste je snášel a trpěl jako cenu za vyšší bezpečnost - ale teď nám tady věšíte bulíky na nos, že žádné problémy nemáte.

Vždyť ještě Windows XP neuměly zobrazit hodiny a kalendář, když uživatel neměl oprávnění měnit systémový čas (což v logicky nastaveném systému uživatel pochopitelně nesmí), takže se to řešilo různýma hodina a kalendářema na ploše, nebo jako nepraktické samostatné kalendářové aplikace. Anebo se uživatelům tohle právo dalo - vždyť o moc nejde.
Ale jistě - masochista by mohl říct - žádný problém :-D

Děkuji vám, že jste potvrdil můj tip, že jste kecal. Nejsem žádný odborník na odhadování lidí, byl to jenom tip, ale i tak mne to těší.

Prostě jste člověk, který když se chce podívat jaké datum bude příští pondělí a čtvrtek, tak neváhá se přihlásit jako jiný uživatel a ztratit tak okamžitý přístup do všech otevřených dokumentů, kde to datum potřebujete. A přesto tvrdí, že nemá žádný problém.

Je tak těžké pochopit, že já neobhajuji trvalé přihlášení pod administrátorským účtem - já jenom píši, že to na windows dříve znamenalo velké nepohodlí a komplikace. Že to prostě nebylo bez problémů. Bez problému je to až dneska když:
-Máte Windows Vista se SP1 nebo novější,
-můžete si volit aplikace, které budete používat
-nebo máte štěstí, že ty které používat musíte berou po těch letech v úvahu situaci, že jejich uživatelé pracují pod omezenými účty.

U prvního odstavce bohužel nechápu, proč mi to píšete.

U druhého odstavce taktéž nemám tušení, proč mi to píšete. Ale aspoň vám tady mohu doporučit, abyste se vrátil na začátek naší diskuze.
Začal jsem vám psát proto, abych vám vysvětlil, že to, že zrovna VY nemáte žádný problém (tedy vlastně "žádný problém", ale to už je jedno) neznamená, že NIKDO nemá žádný problém.
Pokud máte pocit, že někdo potřebuje administrátorská práva, aby 20x za den zkoušel nějaký zbytečný software, tak máte prostě malou představivost a malou zkušenost jak fungují nejrůznější programy, jejichž autoři si s právy moc nelámali hlavu.
Ale vlastně proč to píši. Když vy takové programy nepoužíváte, tak je jistě nemusí používat nikdo, že? Hezký večer.