Názory k článku Nové nebezpečí pro nové browsery?

A jeste bych doplnil, ze uzivatele Firefoxu uz nejsou ti uplne nejprostsi uzivatele na internetu. Prece jenom uz rozeznaji rozdil mezi prohlizecem a strankou a vedi, ze existuje skodlivy kod nebo viry. Pokud nekdo nainstaluje Firefox na nejake stanice a tam ho potom lide budou pouzivat, urcit je nezbytne mit spravu nad instalovanim novych extensions..

GM je podle me trochu prefouknuta bublina. Skripty pro ni jsou povetsinou "kraviny". Cim vic extenzi ve Firefoxu, tim hur a GM je jedna z tech vetsich/narocnejsich. Myslim, ze se to ani nejak moc vseobecne nechytne a tudiz predpokladat, ze az bude mit Firefox treba 50% (coz se nikdy nestane), tak ze se pomoci GM, ktere se podle me nechyti, podari nejakemu skodlivemu skriptu na strance neco udelat... dost nepravdepodobny.

bezny uzivatel nevi, co to je adresni radek, natoz aby vedel, co to je "spyware"

Nejak se vas vetsina strefuje do toho, ze by musel uzivatel byt blbec, aby ... No a to je ono. Vetsina uzivatelu jsou blbci, kteri nainstaluji cokoliv, co jim bude jakymkoliv zpusobem nabidnuto. A je-li moznost takovym zpusobem podkopat bezpecnost prohlizece, pak to neni dobre a ten problem se driv nebo pozdeji urcite projevi.

Jestli se to chova opravdu tak jak pise FF, tak si dovolim tvrdit, ze se jedna o bepzecnostni problem. Ty skripty, ktere pojedou v tech extension (aj je jedno jeslti se tam dostanou nejakou bezp. dirou nebo si je uzivatel nainstaluje kdovijakym odklknutim) mohou pracovat na principu cross site scriptu. Uplne jednoduse by slo udelat script, ktery zkopiruje obsah prohlizene stranky a posle jej nekam "na zpracovani".

Nic proti běžným uživatelům, ale když si uvědomíte kolik z nich je schopno kliknou třeba na link ve SPAMu, tak asi tušíte kolik lidí si do počítače nechá nainstalovat věci o kterých netuší. Zvlášť poté co si je uživatel naprosto jist svou antivirovou ochranou. Zajímalo by mě kolik průměrných lidí zná rodíl například mezi virem a spyware. Jak se říká lidská blbost nezná hranice :)

Ale toto je chyba té extension, že něco takového jako zápis na disk dovolí. Nebo je to spíš chyba uživatele, který si takovouto nebezpečnou extension nainstaloval.

Bežný uživatel stěží zvládne nainstalovat Firefox. Někteří uživatelé možná zvládnou doinstalovat i nějakou tu extension. Několik pokročilých uživatelů zvládne i instalaci uživatelského scriptu pro GreaseMonkey.

Toto ale udělají jen pokud:
1) jim to někdo doporučí a
2) přinese jim to nějakou výhodu a
3) najdou návod jak to udělat a
4) mají to povolené

Takováto skupina uživatelů je velmi malá a dostatečně "gramotná" na to, aby se někomu vyplatilo jí "podstrčit" nějaký adware/spyware script...

... tos nemusel...


To davno vime :-)))

:-) a kdyz jsem rikal kamosovi (a to nejsem znaly na bezpecnost pc), tak se kdyzmi smal ze to je blbost, ze se toho da zneuzit :-D

Už se těším, pane kolego!
;-)

Rozhodně by chtělo nějka ten problém nastínit, neznám v js jedinou funkci, která by mě něco zapsala na disk (cookies vynechávám ;))

Nikoliv. Ta "zakerna extenze" se muze nainstalovat tim, ze uzivatel pouze navstivi stranku, kde je skript vyuzivajici bezpecnostni diru v jine extenzi a/nebo jejim skriptu!!

Sakra, my tady sušíme huby a on má takový kvalitní hulení a ani se nerozdelí :-((((

Řekl bych, že se mýlíte. Podmínky jsou totiž tyto:

• ve FF nemusí být bezpečnostní díra
• ve FF musí být nainstalován GM nebo podobná extenze
• do GM si uživatel může nainstalovat skript, který něco užitečného dělá, ale zároveň škodí, nebo může být v GM chyba, která dovolí instalaci skriptu bez vědomí uživatele

I skript v neprivilegovaném módu může napáchat neplechu - třeba může po Internetu posílat adresy stránek, které si prohlížíte, jejich obsah a dokonce i údaje, které do nich zadáváte.

"zákeřná extenze napadne GM a upraví ji, aby se nedala standardně odinstalovat a dělala neplechu v dalších skritpech"

To si uzivatel tu zakernou extenzi musi nejdriv nainstalovat! A kdyz uz si nekdo nainataluje zakernou extensi, proc by nedelala neplechu rovnou misto slozite upravy nejakeho pripadne jine extense GM.

Opravdu scestny clanek.. K pripadnemu nebezpeci musi byt splneny nasledujici podminky:
- ve FF musi byt bezpecnostni dira
- ve FF musi byt nainstalovan GM
- do GM musi uzivatel sam o sve vuli nainstalovat skodlivy skript, ktery bude bezpecnostni chybu vyuzivat

Porad je bezpecnejsi instalovat skript, ktery se spousti v neprivilegovanem modu, nez instalovat extesion. A pokud je nekdo schopen stahnout ze stranek www.virus.com extension, tak s tim uz nikdo nic nenadela.

Firefox mi jiste dost lezi v zaludku, vzhledem k tomu, ze uz par let zadny jiny browser nepouzivam...

No ale o tom do znacne miry ta glosa je. Ze extenze na disk ukladat muzou, tudiz se ted navic musi clovek strachovat, jestli v nejake extenzi (napr. v GM) neni chyba, ktera umoznuje, aby nejake "malicious" user skripty te extenze ukladaly (diky chybe v te extenzi) na disk. Pribyva cela jedna "vrstva" potencialni nebezpecnosti.

>> Browser sam od sebe programy (ani extenze) nespousti

A jak to souvisi s GM?

To tezko, vzhledem k tomu, ze tu napsal clanek nadepsany necim jako "Proc bude Firefox vzdycky lepsi nez Opera".

Ocenil bych, kdybyste k takovym postum alespon pripojil nejakou trosku relevantni informaci.

QuickNote je rozšíření (extension), což je imho jiný případ, než "běžný javascript" na stránce... A GM by měl spouštět scripty asi v kontextu stránky, ne?

(Btw. mám dojem, že rozšíření mohou ukládat data jen do nějakého konkrétního adresáře. Neplatí pro ně ještě nějaká zajímavější restrikce, která by bránila potenciálně škodlivé činnosti?)

Asi tak nejak. Nevsim jsem si ze by si FF sam o vlastni vuli stahoval extenze a to nich scripty.

Browser sam od sebe programy (ani extenze) nespousti, nejdriv si je musite do browseru nainstalovat. A opravdu nevidim rozdil mezi tim, kdyz si nekdo o vlastni vuli nainstaluje skodlivy .exe nebo skodlivy .js. Teda vlastne vidim, u toho .js se muzete alespon podivat do zdrojaku.

Mam presne stejny pocit,ze se dela bubak z neceho co sotva kdo zna.Mam silny pocit ze autorovi lezi FireFox hodnr v zaludku.

Klid, priste bude zase neco o bloggerech.

Mirny rozdil mezi "Uzivatel muze spoustet programy" a "browser mu sam od sebe spousti programy", nemyslite? Ackoliv, pokud pouzivate MSIE, ten rozdil vam pravdepodobne unika...

Podivejte se napr. na zdrojak extenze QuickNote.

Myslite ze pan Fuka letos napise jeste nejakou glosu o necem jinem nez GM?

No jasne, ale je tu jeste daleko vetsi nebezbeci, on ten uzivatel totiz dokonce vetsinou muze spoustet programy. To bude teprv katastrofa az prijde na to, kolik se jich naprosto decentralizovane da po netu stahnout. A kupodivu, jdou mezi nimi i programy zovouci se viry, trojske kone a dalsi ...


Hmm, autore, trochu predcasna uroda okurek, nemyslite ?

Klid, Fuka se sjel a plácá

Abych řekl pravdu GM neznám, jenom jsem o něm četl, ale to je tak všechno co sem s nim kdy chtěl mít, nic převratného jako vy v něm nevidím. Nevím jestli se dá zrovna předpokládat, že by se extenze tohoto typu dostala mezi lidi do takové míry aby byla i pro spyware zajímavá. Možné to je, ale zatím jsem o GM četl jenom od Vás :)

Může tu někdo znalý popsat, jak pomocí javascriptu zapíšu data na disk uživatele? Třeba pomocí GM, to je jedno, ale bez ActiveX. (PS: Tvrzení Franty Fuky nezpochybňuju, opravdu mě to zajímá.)