Vlákno názorů k článku Děravá Java je široce zneužívána pro útoky od Jarda Kuba - V háji nejsou jen klienti KB.... při odesílání...

Díky, naštěstí to nemusím řešit, od KB už jsem dávno pryč.

Zaostalý a zakomplexovaný linuxář.. klasika.. Stydím se za nás.. Kdybys vylezl z tý svojí díry, možná bys zjistil, že existuje taky něco jinýho než Linux.. Pak by ses mohl možná nezaujatě podívat a porovnat.. Tohle tlachání zbytečně poukazuje na fanatizmus linuxářů a je mi to z duše líto..

Jistě. Hlavně primárně nepoužívá Javu do Oraclu, ale http://openjdk.java.net/ Prd tomu rozumím, co tam píšou o co vůbec jde, ale ať tak nebo tak na Linuxích webech nepíšou, že by se v tomto směru něco dělo.

Nema.

Tak konkrétně. Mám v Ubuntu jenom jeden účet a píšou, že jsem správce. Takže škodník mi může číst klávesnici když se přihlašuju do banky a pak to někam odeslat?

Baszom teremtete. Ničemu se nedá věřit.

Priprava utoku je daleko slozitejsi, neni o nem dost informaci. Pro typicky buffer overflow utok je treba znat adresu na ktere se dany EXE/DLL nachazi v ramci virtualniho adresoveho prostoru. Diky DEP a ASLR je toto vyrazne tezsi az nemozne. Pokud nekdo DEP vypina (protoze nektere zprasene aplikace s nim nefunguji), tak je to obdoba toho pracovat trvale pod uctem administratora nebo nezamykat auto protoze "je to opruz". Pak neni pomoci ...

Ano, pokud mám práva uživatele (respektive přístup k jeho X serveru - tedy klidně můžu být pod jiným uživatelem nebo na jiném stroji spuštěný přes ssh -X), můžu si chytat eventy (stisky kláves), kreslit na obrazovku a posílat libovolné eventy ostatním X klientům.

K většině škodlivých činností, které chcete na desktopu dělat (krást data, posílat spam, vydírat uživatele (Česká republik policie)), admina/roota nepotřebujete.

Ale potrebujete, protoze pri spravnem nastaveni Software Restiction Policy (Windows XP SP1+) nespusite cokoli odjinud nez z ProgramFiles a Windows adresare (ani script), a pro zapis tam potrebujete vyssi prava.

Od kdy jsou uživatelé Linuxu milionáři, výrobci zbraní, že potřebují do banky lézt přes linku nejlépe červeného telefonu ?!? Podobně by se mohla kritizovat bezpečnost mobilních aplikací. Kdyby to bylo skutečně tak riskantní a děravý, nikdo by to nepoužíval a těch zneužitých a okradených by bylo mraky. A ani jedno jsem nezaznamenal - internetové bankovnictví už tu s námi pěknou řádku let je.

Ten vopruz u auta obnasi zabouchnuti dveri + maximalne zmacknuti cudliku na dalkaci. V pripade widli to pak znamena, ze na usera neustale vyskakujou hlaseni jestli chce to ci ono, ze to musi potvrdit, pripadne se prihlasit jako admin (hromada veci nefunguje ani s runas), coz znamena v naprosto nejlepsim pripade 1/2 hodiny casu ...

Nadto ve widlich ani admin neni admin ... a pokud chce clovek sestrelit nejakej bordel, musi hledat zpusob, jak ziskat local system account.

Konkretni priklad? Proc si kurva user nemuze pridat sitovou tiskarnu, na kterou ma navrch prava? ... ze se instalujou nejaky drivery ho prece vubec nezajima ...

Souhlas. Ultimátní bezpečnost je hezká věc, ale když se pak několikrát ročně člověk nedovede dostat k bankovnictví, je to na nic. Kdysi jsem o javě a KB napsal u sebe na webu a teď podle návštěvnosti toho článku přesně vidím, kdy mají lidé problémy s přihlášením :-)

Jak přesně chrání "Unikátní certifikát, ověřovací sms při loginu"? Jediné účinné opatření z tohoto je ta SMS při zadávání platby (pokud obsahuje částku a číslo cílového účtu).

Jů, já už mám reverzní záznam! :-D

Vážně? Ještě že na widlích nedělám :-) Tohle nastavení je podle mě použitelné opravdu jen pro nějaké cvičené opice, které si v práci vystačí s několika firmou povolenými aplikacemi.

Ano, jako cvicena opice si na svem vlastnim pocitaci vystacim s nekolika aplikacemi :-)

Ještě by bylo potřeba, aby karta zobrazovala, co podepisuje - jinak si útočník může nechat podepsat, co chce.

Nevím, jak vypadá úložiště Windows, ale opravdu se nedá zařídit podpis vlastní transakce, když mám moc nad desktopovým prostředím?

Dejme tomu, že to tak je. Softu nerozumím, ale píšou, že přes tu díru se cosi nainstaluje. A jde to nainstalovat i do Linuxu aby to v něm fungovalo, když je to úplně jiný OS?

http://support.mozilla.org/cs/kb/blokovani-doplnku

V Linuxu to funguje úplně stejně, jmenuje se to SELinux/AppArmor.

Ještě, že na Linuxu nedělám :-) Tohle nastavení je podle mě použitelné opravdu jen pro nějaké cvičené opice, které si v práci vystačí s několika firmou povolenými aplikacemi.

A klienti Komerčky jsou s bankovnictvím zase v háji. I přesto na něm stále banka trvá - https://www.facebook.com/komercni.banka/posts/193006344177430

Tak si v prohlizeci nastavte, aby se vecne derava Java aktivovala jen pro domenu Komercni banky.

To je pravda, Linux je naprosto bezpečný a třeba ani odkazovaná chyba v Javě se jej netýká! Počkat…

Až si zjistíš na čem jeli SMEP, SAPI, výrobky Zbrojovky Brno, pokud se jejich OS vůbec nějak jmenovaly, ručně psané OS, CP/M, a z novějších, o kterých bys mohl už něco od dědečka slyšet řekněme různé DOSy, OS/2 Warp, wokna 3.0 až do Visty, a včil Linux. Akorát jsem neokusil Jabko. A pán nezaostalý v díře porovnává s čím prosím???

Naprosto bezne ma.

Vy woknaři jste dobří šílenci lézt z woken do banky. Aspoň tu banku kdybyste dělali přes Linux. Pak zjistíte, že na web jedině přes Linux a ve finále už jenom Linux.