Firefox ievainojamību pamatcēlonis – «kreisie» spraudņi

[samurajs]

[imgl]https://notepad.lv/userpix/28_rsl_1.jpg[/imgl]Konferencē “SecurityByte & OWASP AppSec” drošības eksperti Roberto Suggi Liverani un Nick Freeman demonstrēja, kā pašdarbnieku programmētie pārlūka Firefox papildinājumi jeb spraudņi spēj izveidot kritiskus drošības caurumus. Galvenā problēma ir tā, ka nav efektīva drošības mehānisma; respektīvi Firefox akli uzticas ekstensijām. Iespējama arī situācija, kad viens spraudnis spēj izmainīt cita spraudņa darbības shēmu.

Pilnīgi reāls ir arī variants, kad kāds iefiltrē kaitīgo kodu Firefox spraudnī, lai iegūtu kontroli pār visu lietotāja sistēmu. Ne velti nesen interneta drošības firma Cenzic publicēja datus, ka puse no visām 2009. 1.pusgada pārlūku ievainojamībām attiecas tieši uz Firefox.

Konferencē konkrēti apskatīja ekstensiju Sage 1.4.3, InfoRSS 1.1.4.2 un Yoono 6.1.1 drošības problēmas, bet protams, ka tās noteikti nav vienīgās. Tāpēc visiem Firefox cienītājiem var ieteikt nekādā gadījumā neinstalēt visu, kas pagadās, bet izvēlēties tikai pārbaudītus spraudņus no recommended sērijas.

[img]https://notepad.lv/userpix/28_sageoday_1.jpg[/img]

[img]https://notepad.lv/userpix/28_inforssoday_1.jpg[/img]

[img]https://notepad.lv/userpix/28_yoonoday_1.jpg[/img]

Avots

[Loading]

Skarbi!

[Wuu]

Tas tak jebkuram skaidrs ka visu pēc kārtas nevar instalēt uz Windows 🙂

[drunk_lizard]

muhhh

kad es sjito saku, tad mani visi lamaa..

jociigi..

plopesol, pie kaajas! tavus spraudnjus te nepamatoti apbizjo!

:>

[Professor35]

drunk lizard

tu jau pats esi abižots tev ķurķī noteikti iespraustu

[drunk_lizard]

plopesol, luudzu runaasim par teemu!

te tiek apspriests pasaulee labaakais paarluuks un tavi spraudnji(plugins), nevis tavas sleeptaas seksuaalaas fantaazijas.

[nevertell]

Te jau atkal runa iet par līkrocību, nevis par reālu ievainojamību. Click here to get the suped-dee-duper plugin that makes your firefox super-dee-duper.

[Imhoteps]

Professor35 wrote:

drunk lizard

tu jau pats esi abižots tev ķurķī noteikti iespraustu

Cietumā pēc šāda paziņojuma arestants, par kuru esi ko tādu apgalvojis, Tevi sistu. nebūtu nozīmes, vai esi liels vai kārns – pārējie kameras biedri palīdzētu tikt ar Tevi galā. Tas būtu tikai sākums – pirmā brīža “satisfakcija”. Nepamatota “sodīšana ar p.mpi” gan izmeklēšanas cietumos, gan zonā jau daudzus gadus ir aizliegta, tāpēc pēc piekaušanas kameras “vecākais” zeks (“смотрящий”) tev noliktu laiku, līdz kuram Tev nāktos savākt pierādījumus savam agalvojumam – vai pats esi bijis klāt un redzējis, ka arestants stājies homoseksuālajos sakaros, vai, varbūt kāds cits to var apliecināt – tam Tev nāktos izmantot “дорогу” – iekšējo cietuma “pastu”, lai sazinātos starp kamerām vai pat ar ārpasauli. Iespējams, nāktos lūgt palīdzību uzraugiem. Ja noliktajā laikā Tu nevarēsi pierādīt, ka Tevis minētais arestants patiešam ir “petuhs”, Tu pats par tādu tiksi padarīts un dzīvosi pie “parašas”. Š o negodu vairs nomazgāt nevarēsi nedz ieslodzījuma vietā, nedz brīvībā. Un, jā, visdrīzāk, Tev ar varu tiks ietetovēts apkaunojošs “petuhu” tetovējums, lai visiem būtu zināms, par ko esi kļuvis. Pat čefīru Tu nesaņemtu – vārītu jau divas-trīs reizes izlietotus tējas biezumus. Secinājums: uzmanīgāk ar paziņojumiem, it īpaši ieslodzījumā – tur kkatrs vārds ir jāpamato!

[Sid]

+1 nevertell, man ir 3 addoni un es īpaši par ievainojamībām/citiem sūdiem nestresoju ;>

d_l, cik daudz Tavā praksē Ff addons ir bijis pie vainas, ka klientam jānes kompi pie Tevis? 😀

[Professor35]

Paldies Samurajam par rakstu, gribu par to izteikt domas

1)lasot ikdienas ziņas par hakeru uzbrukumiem, datoru zombēšanu, Dos uzbrukumiem, par nozagtiem kredītkaršu datiem nekur neredzam ka tas būtu saistīts ar Firefox caurumiem,

2)drošības eksperti vienmēr par kaut ko brīdina jo tad viņu pakalpojumi tie pieprasīti,

3)drunk lizard nekad neko analoģisku rakstā teiktajam nav rakstījis, viņš tikai nekonkrēti lamā FF

un tā spraudņus, bet viņam nevar ticēt jo viņš lamā arī acīmredzami labas lietas piem. ob1,

[drunk_lizard]

ff man ir pietiekosji pabeidzis nervus gan ar addoniem, gan ar gljukiem.

peedeejo pusotru gadu klientiem iesaku operu un neviens nav neapmierinaats :>

ak taa, manu klientu lokaa neietilpst punkjaini geimeri :>

upd. plopesolam

“3)drunk lizard nekad neko analoģisku rakstā teiktajam nav rakstījis, viņš tikai nekonkrēti lamā FF”

pameegjinaasju nociteet kaadu no maniem “neesosjajiem” raksta gabaliem.

katrs mudaks, kursj sevi iedomaajas par izcilu programmeri, raksta tam meeslam addonus, citi taadi pat mudaki tos lieto un peec tam tauree pa visu pasauli, ka neiet tas un sjitas.

par sjo lietu es saaku briidinaat tikko addoni kljuva pieejami. mneatceros, kura meesla versijaa tas bija, ibo nelietoju.

taa luuk, plopesol. spriezju, ka tavi addoni ievietojas meeslu pirmajaas rindaas :>

[Professor35]

Imhoteps

neņem ļaunā bet par Latvijas cietumiem tava informācija pa daļai ir novecojusi un kāpēc tu domā ka attiecībā uz drunk lizard būtu kaut kas jāpierāda.

[Professor35]

drunk lizard

par augstāk minētajiem addoniem es pirmo reizi uzzināju šeit, starp citu viens no viņiem vispār ir eksperimentāls un zini man kaut kā brīvdienās slinkums meklēt tavus komentārus par FF spraudņiem varbūt tu pats ko nocitēsi pašam tak labāk jāzina kur ko rakstīji.

[Imhoteps]

Professor35 wrote:

..un kāpēc tu domā ka attiecībā uz drunk lizard būtu kaut kas jāpierāda..

Tāpēc, ka, ja Tu reiz kaut ko apgalvo, Tev savi vārdi IR jāpamato un arī jāatbild par sekām, ja tie nav patiesi. Citādi tavi vārdi ir tukša d1ršana, bet pats esi pakaļa un bāba. Ieslodzījuma vietās Latvijā un arī citur daudz kas ir mainījies, bet manis aprakstītais notikumu scenārijs ir vistuvāk īstenībai. Neviena, pat vismazākā un, šķietami nevainīgākā replika ieslodzījumā nepaliks nepamanīta. Brīvībā 99% cilvēku nedomā ko runā. Bet vajadzētu!

[Sid]

Quote:

ak taa, manu klientu lokaa neietilpst punkjaini geimeri :>

Tad es vairs neko nesaprotu, jo tā cilvēku pasuga by default ir ar visām problēmām.

[robcixx]

FF esmu lietojis, joprojam lietoju un turpinasu lietot, Operai protams ari nav ne vainas, bet ta nav mans favorits… tomer tam Firefoxam piemit kaut kas, kas nelauj no ta atteikties 🙂

[Wuu]

drunk_lizard wrote:

ff man ir pietiekosji pabeidzis nervus gan ar addoniem, gan ar gljukiem.

peedeejo pusotru gadu klientiem iesaku operu un neviens nav neapmierinaats :>

ak taa, manu klientu lokaa neietilpst punkjaini geimeri :>

upd. plopesolam

“3)drunk lizard nekad neko analoģisku rakstā teiktajam nav rakstījis, viņš tikai nekonkrēti lamā FF”

pameegjinaasju nociteet kaadu no maniem “neesosjajiem” raksta gabaliem.

katrs mudaks, kursj sevi iedomaajas par izcilu programmeri, raksta tam meeslam addonus, citi taadi pat mudaki tos lieto un peec tam tauree pa visu pasauli, ka neiet tas un sjitas.

par sjo lietu es saaku briidinaat tikko addoni kljuva pieejami. mneatceros, kura meesla versijaa tas bija, ibo nelietoju.

taa luuk, plopesol. spriezju, ka tavi addoni ievietojas meeslu pirmajaas rindaas :>

Emo nomierinies, tak skaidri rakstīts izvēlēties tikai pārbaudītus spraudņus no recommended sērijas

[Gakh]

@ Imhoteps, kāds te sakars ar cietumiem, ka tu tik traki te mēģini skaidrot… neizskatās ka rakstā būtu kautkas par kautko tādu minēts…

[_Mo3_]

atkal sākās krāniņu mērīšanās 😀 pēdējā, laikā komentārus lasu tikai tāpēc, lai pasmietos, jo šitas cirks ir vnk smieklīgs 😀

[rajah]

paldies Dievam Operai tādu spraudņu nav (ir tikai protams javaskripti), bet tad kad foksisti kā ķerti sāk džinkstēt ka Operai nav tas un šis, viņiem foksam ir tādi un šitādi ekstenšeni, atliek vienīgi šķībi smīnēt.

[Autors]

Ieraksti