Luka w zabezpieczeniach Firefoksa 3

1. ... (autor: SlashBeast | data: 23/06/08 | godz.: 21:08)
   Ort w tytule newsa, albo 'Luka w zabezpieczeniach programu Firefox 3' albo 'Luka w zabezpieczeniach Firefoksa 3'.
   
   
2. nihil novi (autor: Takeya | data: 23/06/08 | godz.: 21:41)
   hmmm... jak zwykle?
   
   
3. heh, (autor: daver | data: 23/06/08 | godz.: 22:02)
   kazdy przepisuje te same bzdury a ludki jak Takeya lykaja. Ktos chcial zarobic na ZDI i dlatego jest "5h od premiery".
   
   
4. hahahah (autor: Remedy | data: 24/06/08 | godz.: 00:25)
   ....a ludki typu daver pieprzą trzy po trzy tak samo jak słuchacze stacji "ojca" R.
   
   
5. @Remedy (autor: daver | data: 24/06/08 | godz.: 00:39)
   Nawet nie smiem wymagac od ciebie zrozumienia tematu, wiec pozwole sobie wyjasnic to innym.
   
   - po pierwsze, TippingPoint nic nie wykryla (zostala poinformowana o luce i ja potwierdzila)
   - po drugie, luka nie zostala wykryta 5h po przemierze. 5h po premierze anonimowy gostek poprzez Zero Day Initiative zarobil kilka dolcow. Luke zapewne wykryl cho..ra wie kiedy i siedzial cicho.
   
   Jest roznica, prawda ?
   
   
6. Jest soft, są luki. (autor: agnus | data: 24/06/08 | godz.: 00:39)
   Doskonałe jest jedynie niedziałające oprogramowanie.
   
   
7. ... (autor: SlashBeast | data: 24/06/08 | godz.: 00:48)
   Zapomnieliście napisać, że błąd został odziedziczony po ff2, generalnie ten sam błąd występuje w ff2 i ff3.
   
   "atak mimo wszystko wymaga współpracy użytkownika (kliknięcie odpowiedniego hiperłącza)." -- Ya, rly? O tym jaki to jest błąd wie tylko TP i fundacja, to 'klikniecie odpowiedniego hiperlacza' to wyłącznie domysły.
   
   
8. @daver (autor: Takeya | data: 24/06/08 | godz.: 06:00)
   tylko nie "ludki jak Takeya"
   
   przepraszam, ze zapewne wchodze w butach na twoja ukochana przegladarke, ale z tego, co widze po raportach dziur, wcale nie ma takiej duzej roznicy miedzy ff, a ie
   
   
9. głośno już było o tym (autor: pit808 | data: 24/06/08 | godz.: 07:33)
   a koleś który znalazł tą lukę został zbesztany przez społeczność, właśnie za to że czekał cicho do premiery, a nie poinformował Mozilli o dziurze w żadnej RC.
   
   Chłopek chciał polecieć na fali rozgłosu, ale czuje że sławy to mu to nie przyniesie.
   
   Co do dziurek - każdy soft ją ma, nie łudzicie się.
   
   @Takeya może i FF nie różni się od IE pod względem dziur. Zależy jakie są to alerty bezpieczeństwa, krytyczne czy do olania, i jak szybko reaguje się na te "krytyczne". Tutaj MS nie rozpieszcza.
   
   Popularność przeglądarki pociąga za sobą oczywiście niebezpieczeństwo częstszych ataków i znajdywanie dziur i tyle. Fani Opery mówią, że ich przeglądarka nie ma ANI JEDNEJ (0) dziur. Śmieszy mnie ta pewność siebie. Po prostu nikt jej jeszcze nie znalazł.
   
   Tak samo będzie jak upowszechni się LINUX. Zawsze się znajdzie BLACK GATE i tyle. Im popularniejszy tym większe prawdopodobieństwo że jakiś magik coś znajdzie.
   
   Mozilla musi załatać i tyle.
   
   
10. ... (autor: daver | data: 24/06/08 | godz.: 08:04)
    @Takeya
    Nawet nie chce mi sie polemizowac, bo widze, ze nie zalapales.
    
    @pit808
    Nie do konca sie zgadzam, ze popularnosc = mniejsze bezpieczenstwo (jesli dobrze Cie zrozumialem). Kazdy otwarty projekt wrecz prosi sie o szukanie bledow (ich wylapywanie i poprawianie czyni go lepszym), a ich obecnosc jest niemal pewna we wszystkim co ma wiecej niz 100 linii kodu.
    Wazniejsza jest architektura softu. W niksach wykrywanych jest bardzo duzo bugow, wiecej par oczu zwroconych na kod to wiecej wykrywanych bugoli, ale daleki bylbym od stwierdzenia, ze przez to bedzie gorzej. Jestem wrecz przeciwnego zdania.
    
    
11. @daver (autor: pit808 | data: 24/06/08 | godz.: 09:29)
    dobrze mnie zrozumiałeś i ja też się zgadzam z twoją tezą. Ale ten przykład wskazuje, że takie "zakały" zamiast wspierać dany projekt, czekają żeby tylko narobić dymu. A mógł koleś przy RC1 wysłać emaila do Mozilli i pewnie w FINALu było by już po dziurce ;)
    
    Jak widzisz kij ma dwa końce. Faktem jest, że otwarte projekty mają większe szanse na szybszą ewolucje. Takie było założenie. Nie uważam, że soft przez to będzie gorszy. Wręczy przeciwne, przyklasnę Ci. To że wykryto więcej dziur wynika też z tego że więcej ludzi pracuje nad danym projektem, i ten kto przeoczy coś jest korygowane przez kolejnego programistę.
    
    Ale z samego równania prawdopodobieństwa moje stwierdzenie "popularność = częstsze wykrywanie niedociągnięć softwaru" jest prawdziwe, nie prawda ? Nie mówię tu że jest mniej bezpieczne. Nawet wysunę tezę, że będzie leprze, bo szybciej wykryje się dziury.
    
    Oby tylko ludzie pracowali nad rozwojem tego softu a nie siali popeliny.
    
    
12. @nonsensowna dyskusyja (autor: sol4rlag | data: 24/06/08 | godz.: 09:37)
    Panowie! Ale o co chodzi? Że jest dziura polegająca na tym, że musisz świadomie autoryzować próbę ataku? Trochę jak w nowej Futuramie - banner "Make money watching porn". Zawsze się znajdzie idiota, który kliknie. Co do wzrostu bezpieczeństwa wraz ze wzrostem popularności, to też bym nie był optymistą. Owszem więcej ludzi będzie klikać, natomiast spoglądaczy na kod wcale tak wielu nie przybędzie. Chyba, że windowsiarzy i innych tylkomyszkowców nauczysz używać klawiatury... WĄTPIE. Opera ma mało bugów - owszem. Możliwe, że z powodu małej popularności. "nie opłaca się pisać haków na statystycznie pomijalnego usera" z jednej strony, z drugiej natomiast opera jest monolityczna, nie ma pluginów adonów, więc łatwiej ogarnąć cały kod i zadbać o bezpieczeństwo. Stąd Opera>FF>>>>>Ie :)
    
    
13. Luka Skywalkera? (autor: MayheM | data: 24/06/08 | godz.: 11:59)
    czy jak?
    
    
14. hahahah x2 (autor: Remedy | data: 24/06/08 | godz.: 13:24)
    Oczywiście fanatykom FF umyka fakt, że dziura istnieje od wersji 2.x!!!!!! To pokazuje jaką bandą pajaców jest Mozilla Foundation i jej "sztab" programistów. Kretyni jak zwykle wypuszczają podziurawioną padaczkę i mają czelność mówić, że to bezpieczna przeglądarka. Oczywiście błąd jest znany tylko Mozilli i kilku ludziom, ale Wam nie przeszkadza mądrować się na temat tego jak bardzo niegroźna ona jest. Jest KRYTYCZNA. Face it.
    
    żal.burkina faso
    
    
15. Remedy (autor: J@rek | data: 24/06/08 | godz.: 14:16)
    za to Ty jesteś pojedynczym pajacem. Inne pajace pewnie nie zrzeszyły by się z Tobą.
    
    
16. @Remedy (autor: pit808 | data: 24/06/08 | godz.: 14:21)
    proszę cię zamilcz "pajacu jeden". Cholera myślałem że się ktoś tobą wreszcie zajmie.
    
    GDZIE TU JEST MODERATOR !!!!!!!!!!!!!!!
    
    Mam dla Ciebie Remedy propozycje, będe używał FF przez 2 miesiące i zaatakuj mój komp - PAJACU.
    
    
17. postuluje (autor: pit808 | data: 24/06/08 | godz.: 14:30)
    za wstawianiem INFO o używanym SOFCIE przez userów tego forum, coś na styl z dobreprogramy.pl. Zobaczymy kto czego używa.
    
    I za banowaniem Remediego z jakiegokolwiek postu o przeglądarkach. Bo chłop potrafi wyprowadzić z równowago.
    
    A teraz szczekaj. Już włączyłem FF i zostawię na noc włączonego, żeby Ci łatwiej było.
    
    
18. @Remedy (autor: SlashBeast | data: 24/06/08 | godz.: 14:39)
    Widze, że Twoja inteligencja dorównuje średnio rozgarnietej paprotce
    
    
19. yawn (autor: daver | data: 24/06/08 | godz.: 15:35)
    @sol4rlag, o co chodzi? chodzi o fakty i o to co jest kopiowane z vortalu na vortal.
    
    BTW. Ile mozna?, kazda nowoczesna przegladarka uzywa pluginow. Na ostanim CanSecWest Vista padla wlasnie dzieki popularnemu pluginowi. Nie chce mi sie znow klepac tematu, wiec odsylam do watku, w ktorym jednemu asowi staralismy sie wytlumaczyc roznice miedzy pluginem a extensionem. http://twojepc.pl/news16941.html
    
    MayheM, hyhy, damn, myslalem, ze nikt nie zauwazy ;>
    
    
20. zbiorczo (autor: Remedy | data: 24/06/08 | godz.: 15:57)
    @ J@rek, pit808 - skoro takich 2 kretynów nadal ma możliwość wypowiadania się i naskakiwania na innych to widać wolność słowa jest tutaj spora. Mnie pasuje.
    
    @SlashBeast - rozumiem, że gdybym pochwalił twórców FF za tworzenie wiecznie goniącego w ilości dziur (a może nawet liderującego?) IE durszlaka, to byłbym wielkim intelektualistom takim jak Ty dzięki swojemu postowi... rzeczywiście potęga.
    
    
21. Remedy (autor: J@rek | data: 24/06/08 | godz.: 16:08)
    coraz lepiej pokazujesz kim jesteś... nie chce mi się nawet tłumaczyć czego nie rozumiesz. Zwykły ignore i po sprawie... trolluj dalej.
    
    
22. owszem, trzeba kliknac w link (autor: Takeya | data: 24/06/08 | godz.: 17:17)
    czyli teoretycznie szansa na wiruska mala, ale nie zapominajmy, ze zyjemy w czasach, gdy dosyc popularne sa stronki jak tnij, tinyurl, czy glupie udawane linki (nazwa linku sugrujaca werscie w miejsce xxx, a link prawdziwy przekierywujacy na strone yyy)
    
    pozatym - internautow NALEZY traktowac jak idiotow - kiedys na lekcji mikroprocesorow zdziwiony bylem, ze zastalem avasta. okazalo sie, ze nauczyciel "wierzyl" w inteligencje uczniow. tego dnia stracilem bezpowrotnie adres email
    
    
23. J@rek (autor: Remedy | data: 24/06/08 | godz.: 18:55)
    Dzięki. :*
    
    
24. @Remedy - ale czego chcesz od FF? (autor: Master/Pentium | data: 25/06/08 | godz.: 10:59)
    1. Jak mieli usunąć błąd o którym nie wiedzieli? TERAZ wiemy, iż był on też w wersjach 2.0.x. Swego czasu MS usuwał błąd w XP powstały w czasach NT 4 (coś z RPC).
    2. Nie ma softu bezbłędnego, ważne, że wykryte dziury są szybko usuwane (patrz Secunia). Czego nie można powiedzieć o IE (teraz jest i tak o wieeele lepiej). A IE 6 był o wiele prymitywniejszy od FF 2.
    3. Słownictwo. O co ta wojna? Na jakiej podstawie wyzywasz ludzi?
    
    Tak więc czekam na 3.0.1 z łatami, (... a potem 3.0.2 itd.). Takie czasy.
    
    http://secunia.com/product/12434/
    Jak widać nie jest dobrze.Nie ma opisu dla FF 3.
    http://secunia.com/product/12366/
    IE ma więcej niezałatanych dziur, ale mniej krytycznych. Interesująca sytuacja.
    http://secunia.com/product/10615/
    Opera jak zwykle wygrywa. To trzeba im przyznać, bezpieczeństwo mają dobrze opracowane.
    http://secunia.com/product/3166/
    I używana przeze mnie przeglądarka z KDE. Niezły wynik.
    
    
25. Master/Pentium (autor: Remedy | data: 25/06/08 | godz.: 13:42)
    Na jakiej podstawie wyzywam ludzi? Na podstawie mojżeszowej zasady "oko za oko, ząb za ząb" lub jak kto woli według "jak Kuba Bogu, tak Bóg Kubie".
    
    Pewnie, że nie ma w dzisiejszych czsach wolnego od luk oprogramowania. To z czym się nie zgodzę to to, że niby Mozilla łata dziury szybko. Gówno prawda. Wiecznie mają bardziej lub mniej poważne luki. Nie było jeszcze w historii tej firmy tak żeby udało im się załatać FF w całości - przynajmniej na jakiś czas. Zanim poradzą sobie z jednym już pojawia się 10 nowych problemów. Nędza.
    
    
26. Remedy (autor: Master/Pentium | data: 25/06/08 | godz.: 14:17)
    1. OK, ale dlaczego zespół FF? Akurat oni cię nie wyzywali.
    2. IHMO to dziury łatają szybko, inna sprawa, iż nowe okrywane są bardzo szybko (tu masz rację) i wyścig trwa. IE nie jest tu lepsze, wręcz przeciwnie. Ale to cena popularności, złożoności projektu i dostępności kodu.
    3. Ogólnie trzeba jednak przyznać, iż FF nie jest tak bezpieczny jak kiedyś.
    
    
27. Master/Pentium (autor: Remedy | data: 25/06/08 | godz.: 20:00)
    Dlaczego zespół FF? Bo za wszelką cenę starają się wmówić ludziom, że to super-hiper bezpieczna przeglądarka. Bo ośmieszają siebie i całe oprogramowanie open source. Dlaczego? Bo mając "taką armię" programistów jak sami twierdzą, bo mając "wsparcie milionów użytkowników" (znowu ich słowa) wydają naprawdę biednie zabezpieczony program. Przeglądarka z założenia musi być bezpieczna a patrząc na ich sposób pracy nad FF można odnieść wrażenie, że oni sami nie wiedzą co powinni zrobić.
    Gdzie jest ta przewaga "otwartości" kodu? Widzę tylko same minusy. OK, między innymi dzięki temu jest mnóstwo dodatków. Minusem znowu jest to, że niemal każdy z tych dodatków jest potencjalną furtką do nowych ataków między innymi dzięki tak silnej integracji dodatków z przeglądarką.
    
    
28. Traktujesz to chyba zbyt poważnie (autor: Master/Pentium | data: 26/06/08 | godz.: 08:27)
    1. FF aktualnie jest bardziej bezpieczną przeglądarką od IE bo dziury żyją krótko czyli "podziemie" ma mało czasu na ich wykorzystanie. Inna sprawa, że ciągle jakieś są. Pozatym nie ma przeglądarek idealnych, na bezmyślność użytkownika nie ma lekarstwa. Dużo daje praca na koncie zwykłego user'a co dla mnie jest rzeczą elementarna ale przez userów Windy powszechnie olewaną.
    Potwierdzam jednak spadek bezpieczeństwa związany choćby ze wzrostem popularności. Tak więc w pewnej części masz rację.
    Do porównania IE ma bez porównania większy zespół i bazę userów i jakoś nie grzeszy bezpieczeństwem ;). Tutaj Opera jest jak na razie the best :) ale na głupotę usera nie ma lekarstwa, jak ktoś sam sobie ściągnie i odpali wirusa to ma pecha.
    2. Nie ma czegoś takiego jak ogólna przewaga otwartości kodu. Jak zawsze jest coś za coś. Np. Lame jest zdecydowanie lepszy od komercyjnych kodeków mp3, ale kodeki video z http://xiph.org/ są poprostu cieniutkie. Otwartość kodu nic ci nie gwarantuje (podobnie jak jego zamkniętość). Daje pewne możliwości, ich wykorzystanie to inna bajka. Teoretycznie otwartość kodu umożliwia kontynuację zarzuconego projektu ale dobrze znamy bezpotomnie zakończone użyteczne projekty Open Source. Cobian Backup 8 wyszedł jako Open Source ale zdechł bo nikt nie chciał pomagać. 9 z powrotem jest kodem zamkniętym.
    
    Co do dziur w dodatkach to masz rację, każdy nowy kod to nowe potencjalne dziury, taki świat. Albo mocno zabezpieczasz główny kod przed pluginami ale wtedy tracisz mnóstwo na efektywności i możliwości pluginów. Coś za coś.
    
    Podsumowując: Zwolennikom bezpieczeństwa polecam Operę, osobiście używam wielu przeglądarek (w tym dużo FF 3) pamiętając o używaniu szarych komórek.