Mozilla potwierdziła obecność krytycznej luki w Firefoksie 3.6 (miesiąc po utworzeniu exploitu)
- Dodano: 20 marca 2010
- Wprowadził: hcsl.pl
- Komentarze: 132
Evgeny Legerov, rosyjski ekspert ds. bezpieczeństwa oraz założyciel firmy Intevydis, informował już miesiąc temu o powstaniu nowego exploitu wykorzystującego nieznaną do tej pory, krytyczną lukę w otwartej przeglądarce internetowej Mozilla Firefox 3.6. Kod exploitu nie został przez Legerova upubliczniony, lecz rzekomo włączony w skład komercyjnego oprogramowania do przeprowadzania zautomatyzowanych testów penetracyjnych Immunity Canvas. Wielu ekspertów powątpiewało w wiarygodność Rosjanina, tymczasem Mozilla przyznała w końcu, że luka jednak istnieje. Oznacza to, że już od ponad miesiąca, wszyscy użytkownicy Firefoksa 3.6, przeglądając strony internetowe z systemów operacyjnych Windows, są narażeni na wykonanie w ich systemie dowolnego złośliwego kodu…
Mozilla potwierdziła obecność luki, publikując ostrzeżenie w ramach Mozilla Security Blog. Błąd jest niezwykle poważny i pozwala potencjalnym intruzom na wykonania dowolnego kodu w systemie ofiary. Problem zostanie rozwiązany poprzez wydanie Firefoksa 3.6.2, które to zostało zaplanowane na 30. marca. Użytkownikom, którzy już teraz chcieliby zabezpieczyć własne systemy, Mozilla proponuje zainstalowanie przeglądarki w wersji 3.6.2 Beta. Oczywiście można również rozważyć tymczasową zmianę przeglądarki internetowej.
Wygląda na to, że wizerunek Firefoksa jako bezpiecznej przeglądarki internetowej legł ostatecznie w gruzach. Nie chodzi oczywiście o sam fakt odnalezienia krytycznej luki, bo tego typu błędy znajdują się praktycznie w dowolnym oprogramowaniu. Chodzi o to, że jak przyznają (wbrew wcześniejszym oświadczeniom) sami twórcy tej popularnej przeglądarki, Legerov przekazał im wszystkie niezbędne informacje dotyczące błędu, tymczasem musiał upłynąć ponad miesiąc do czasu opublikowania oficjalnego ostrzeżenia o błędzie!
Mozilla was contacted by Evgeny Legerov, the security researcher who discovered the bug referenced in the Secunia report, with sufficient details to reproduce and analyze the issue. The vulnerability was determined to be critical and could result in remote code execution by an attacker.
Upłynął wiec już miesiąc od czasu utworzenia exploitu Zero Day zdolnego do wykorzystania luki. W tym czasie użytkownicy przeglądarki nie mieli szans na obronę przed nieznanym rodzajem ataku, ponieważ Mozilla nie potwierdziła aż do teraz istnienia błędu, ani nie zaproponowała żadnych tymczasowych rozwiązań naprawczych…
Więcej informacji: http://www.hcsl.pl/2010/03/mozilla-potwi...cznej.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
132 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Co to za maniera zapisywania rosyjskich imion i nazwisk w zangielszczonej formie?
Pewnie news jest inspirowany tekstem angielskim a autor nie pomyślał, że tłumaczenie powinno być konsekwentne.
A ja (na postawie doświadczenia) przypuszczam, że autor nawet nie zdaje sobie sprawy, że istnieje coś takiego jak transkrypcja lub, co najwyżej, jest to dla niego pusty termin.
Lepiej po angielsku niż cyrylicą.
"A mógł zabić!"
Dlaczego?
Pisownia zangielszczona ma w Polsce sens tylko np. w bibliografiach, gdzie cudzoziemiec może faktycznie nie domyśleć się, że np. Tschaykovsky'ego ma szukać pod literą "C". W innych przypadkach nie ma to kompletnie sensu i jest tylko zaśmiecaniem języka.
Pisownia angielska ma odzwierciedlać prawidłową wymowę nazw własnych… ale dla Anglosasa. "Jewgienij [ew. Eugeniusz] Legerow" całkowicie załatwia sprawę po polsku.
Jakie informacje na temat błędu udostępnił autor rzekomego eksploida? Z tego, co kojarzę, to Mozilla miała problemy z nawiązaniem kontaktu z tym gościem, a exploid też nie był dostępny.
Exploit jest dostępny od ponad miesiąca w ramach Immunity Canvas. http://www.hcsl.pl/2010/02/nowy-exploit-zero-day-…
Co to jest "exploid"?
Coś, co się wzoruje – lub jest wzorowane – na "explu". Analogicznie, jak naśladowca Urbana to "urbanoid", Michnika – "michnikoid" itd.
To taka łagodna forma "explode"
…czyli nie wybuch – tylko takie lekkie pierdnięcie?
Ludzie nie byli narażeni od czasu wykrycia i zatajenia informacji o błędzie(co ciekawsze – przez samego odkrywcę), lecz od czasu wprowadzenia/powstania tego błędu.
[część wypowiedzi usunięta ze względu na użycie pogardliwych epitetów -- michuk]
Internet Explorer ma luki nie załatane po kilka lat, a normalnym trybem jest oczekiwanie na łatkę od 1 o 2 miesięcy: potwierdzenie + łatanie + oczekiwanie łatki na wtorek (rotfl). To jest dopiero żałosna firma totalnie olewająca klienta.
Poza tym Firefox jest w tej chwili jedyną bardzo bezpieczną przeglądarką prawidłowo wyświetlającą strony.
Opera obsługuje najwięcej standardów, ale co z tego, gdy ma błędy w kilku podstawowych tagach, css i nie wspiera ważnych elementów DOM, które używane są na 50%+ stron? O kant d*py taka przeglądarka, która może i przejdzie ACID3, ale gdyby zmieniono trochę ACID2, a może nawet ACID1, to by go oblała. Prawie jak IE – podejście medialne, a nie techniczne.
Chrome trochę podobnie jak Opera, ale oni widać, że chcą to zmienić. Z wersji na wersję robią ogromne postępy. Opera od kilku lat stoi w miejscu z powyższym.
Przeczytałeś cytat w newsie? Tekst pochodzi z Mozilla Security Blog:
Mozilla dostała więc wszystkie informacje od Legerova. Wiedziała o istnieniu exploitu już co najmniej od miesiąca (nawet jeśli nie mieli licencji na Immunity Canvas, to z pewnością przy tej okazji zakupili). Wniosek jest taki, że tak czy siak dopiero po około miesiącu oficjalnie ostrzegli użytkowników o obecności błędu Zero Day w FF 3.6…
Hmm… Z jednej strony masz racje, *ale* na blogu nie widze informacji o tym _kiedy_ Legerov sie z nimi skontaktowal. Rownie dobrze mogl to zrobic miesiac po upublicznieniu luki, a Mozilla zalatala to w ciagu jednego dnia. (;
W każdym bądź razie już miesiąc temu na pewno zobaczyli działający exploit. Nie mógł go zobaczyć każdy, bo wszedł w skład bardzo drogiego pakietu komercyjnego, ale chyba nikt mi nie powie, że Mozilla się nim nie zainteresowała, nawet jeśli musiała wykupić licencję? Skoro więc już miesiąc temu wiedzieli o luce, to nawet jeśli nie mieli jeszcze wtedy dokładnych informacji od Legerova, to już wtedy powinno się ukazać oficjalne ostrzeżenie dla użytkowników przed luką Zero Day i ewentualnie jakieś zalecenia/tymczasowe narzędzia naprawcze?
1500 dolców (licencja na 10 stanowisk)to nie jest dużo wręcz przeciwnie – bardzo tanio.
Ostatnio kolega usuwał stukanie przekładni kierowniczej w firmowej Skodzie Fabii i zapłacił podobną kwotę.
Więc kwota jak na Mozille i jak wagę problemu jest śmiesznie niska.
I tak już szczyt popularności FF ma zasobą, teraz będą tylko tracić na rzecz konkurencyjnych przeglądarek m.in. dzieki opcji wyboru przeglądarki w Windows Seven. Opera już zanotowała ponad 200% wzrost pobrań z Polski.
@aix_Wolna_Głupota co ciekawe ta wybierałka mi się pobrała w aktualizacji, ale już się nie pokazała. Może jeśli domyślna przeglądarką nie jest IE to ten ekran już się nie wyświetla?
@hcsl.pl: Mam poczucie, ze jestes bardzo uprzedzony do Mozilli, kazdy Twoj news na temat bledow bezpieczenstwa w tej przegladarce :/
Z tego co wiem od moich kolegow z zespolu bezpieczenstwa (gdybys chcial ich zapytac, ot tak wiesz, dziennikarska zasada poznawania opinii obu stron, to zapraszam na irc.mozilla.org#security) to Evgeny skontaktowal sie z nimi kilka dni temu natomiast pakiet o ktorym mowimy nie zawieral informacji o luce o ktorej mowimy. Jesli dobrze rozumiem "to" bylo sprzedawane oddzielnie.
Wierze, ze Twoje oskarzenia o kompromitujacy brak reakcji sa nieprawdziwe, niezasluzone i wynikaja ze zlej woli.
@aix: problem polega na tym, ze model ktory proponuje Evgeny to zwykly szantaz. "Przekaze informacje jak zaplacicie". Dzis to 1500, ale jesli ktos na to pojdzie, nastepnym razem moze byc 1,5 mln. Ile warte jest bezpieczenstwo uzytkownikow dla fundacji ktora bezpieczenstwo ma wpisane w manifest? Wszystko co maja?
Po drugie, czy masz jakies dane ktore by wskazywaly na to co twierdzisz, czy to myslenie zyczeniowe? Opera zanotowala wzrosty, ale czy widzisz jakies szczegolne wzrosty w udziale rynku? Wyzsze od tych ktore odnotowuje Chrome czy Firefox?
@marcin: tak, ekran wyboru pojawia sie tym ktorzy nie wybrali swiadomie zadnej przegladarki.
ucielo: "kazdy Twoj news na temat bledow bezpieczenstwa w tej przegladarce jest bardzo agresywny i mowi o kompromitacji Mozilli" :/
@Zbigniew Braniecki:
Za 1500 dostaje się 3 miesięczą subskrybcje. Jeżeli podnieśliby cenę na 1.5 mln$(?!) to proponuje nie nabywać kolejnej licencji. I nie jest to żaden szantaż – rozumiem, że zjadasz ciastko zamin załacisz. Tak się sprzedaje informacje – po jej opublikowaniu wartość spada do zera. Nie wszystkie firmy utrzymują, się z datków czy wolontariatu tylko działaja na typowo rynkowych zasadach i trudno, żeby projekty OO były przez nie traktowane na specjalnych warunkach.
Co do popularności to niedawno na osnews.pl były publikowane informacje, z których jasno wynikało, że FF traci (od kilku miesięcy ) na rzecz konkurencyjnych przeglądarek (Opera i Chrom).
Zresztą trudno jest się temu dziwić ponieważ i Opera i Chom są bdb. przeglądarkami.
@Zbigniew Braniecki:
> ucielo: “kazdy Twoj news na temat bledow bezpieczenstwa w tej
> przegladarce jest bardzo agresywny i mowi o kompromitacji Mozilli” :/
Tu masz dwa inne jego newsy o FF, wskaz o czym mowisz:
http://osnews.pl/nowe-exploity-zero-day-dla-ie8-o… http://osnews.pl/kolejny-dos-exploit-dla-firefoks…
> gdybys chcial ich zapytac, ot tak wiesz, dziennikarska zasada
> poznawania opinii obu stron, to zapraszam na irc.mozilla.org#security
Gdybys tak ot wiesz, ze zwyklej rzetelnosci chcial choc uruchomic
google zanim posadzisz kogos o permanentna agresje?
@aix: ale chodzi o to, aby bezpieczenstwo nie bylo rynkiem dla szantazystow…
wrt. statystyk. Polecam samemu przegladac je. Mysle, ze ludzie lubia nowosci i ciesza sie gdy udany produkt podbija rynek, dlatego nakreca sie spirala przekonania o tym jak to Firefox traci, a Chrome zyskuje. Ale nie znam zadnej firmy statystycznej ktora pokazywalaby jakies powazne straty Firefoksa, albo powaazne zyski Opery. Chrome zyskuje najszybciej teraz, ale kosztem IE, a nie Fx czy Opery. Opera zas stoi w miejscu od dosc dawna na swiecie, a w Polsce ma stabilny kurs w gore, tyle ze powoli.
@jarek:
a.d. masz racje, wskazane przez Ciebie newsy nie potwierdzaja moich oskarzen. Musze znalezc te ktore zwrocily moja uwage. Na razie odwoluje i przepraszam.
co do "google" – wybacz, nie rozumiem o czym piszesz. Google moge uruchomic… i? Rozumiem, ze chciales zasugerowac, ze o czyms nie wiem, ale niestety nie wiem o czym. Ja pisalem o tym, ze jesli czegos o bezpieczenswie Mozilli nie wiadomo, to najlepiej zapytac u zrodel, zwlaszcza, ze Mozilla w odroznieniu od innych producentow przegladarek jest latwo "dostepna" jako projekt. Caly team jest na IRCu i odpowie na pytania.
@Zbigniew Braniecki: może napisz artykuł o strukturze zespołu Mozilli, o tym czym się każdy zajmuje, jak działa itp?
@Zbigniew Braniecki
Chleba za 2,50 zł też nie kupujesz, bo wredny kapitalista może podnieść cenę na 2500 i szantażować ludzi, że będą chodzili głodni?
Teraz skup się: rynek tak nie działa.
Że pozwolę sobie wtrącić:
aix_Wolna_Głupota 20 marca 2010 o godz 21:11 napisał:
"rozumiem, że zjadasz ciastko zamin załacisz."
A "zjadasz".. Zanoszę kod kreskowy wraz z pozostałościami ciastek i jakoś nikt mi nic nie zrobił.. ;p
@gotar: rynek dziala na zasadzie popyt-podaaz, prawda?
Wiec teraz tak. Ja kupujac chleb wytwarzam na niego popyt, ktory zaspokaja piekarz produkujac nastepny. Si?
W tym wypadku motywacja "piekarza" bylo wytworzenie "chleba" nie po to, aby mnie nakarmic, ale po to, aby sprzedac go innym, ktorzy w ten sposob beda zarabiali krzywdzac innych. Piekarz pozwala mi kupic kota w worku i potencjalnie uniknac tego, ale tego, czy w tym worku jest kot, jaki to kot, nie wiem a "piekarz" odmawia kontaktu ze mna i wspolpracy.
Jesli "kupie" ten "chleb" to umozliwie powstanie rynku na ktorym ludzie beda szukac bledow bezpieczenstwa nie po to, aby je minimalizowac, a po to, aby sprzedawac to nie majacym wyboru producentom. To sytuacja chora, w ktorej handluje sie ryzykiem dla milionow ludzi i mysle, ze dla nas wszystkich lepiej bedzie, jesli ten akurat rynek nie powstanie.
Jestem jak zawsze zaskoczony liczba osob, ktore zaczynaja dyskusje z poziomu "jestes kretynem i nie masz pojecia o niczym" :/
@gotar: lol- a co ma rynek do tego? Nie ma żadnej analogii- może byś się sam skupił zanim coś palniesz.
@Tomasz Woźniak – jeśli sądzisz, że nie istnieje rynek, na którym handluje się takimi usługami, jeśli sądzisz, że informacja nie kosztuje – to szczerze zazdroszczę życia w takim (własnym jak rozumiem) świecie. W moim niestety za wszystko trzeba płacić.
@Zbigniew Braniecki – to, czy ty kupisz czy nie, nikogo nie obchodzi, wierz mi. Ważne jest to, że u tego piekarza kupuje cała okolica.
Zatem jeśli jest dostępna jakaś usługa, która się przyjęła, to ignorowanie jej pogarsza sytuację tylko i wyłącznie ignorującego.
Przez analogię: nie mam konta na NK (jak zapewne więcej osób tutaj) – wszystkich, którzy mają, średnio to obchodzi, ja jak muszę kogoś 'przebadać', to mam problem (brak łatwego dostępu do tej wywiadowni). Ktoś nie ma konta na gadu – jak wyżej, to on ma problem z komunikacją z innymi znajomymi, którzy specjalnie dla niego innego komunikatora instalować nie będą. Spróbuj w dzisiejszych czasach w ogóle nie mieć e-maila – wychodzisz na tym tak, jak kiedyś firma bez faksu. Oczywiście niektóre z tych skutków ubocznych są znacznie mniej dotkliwe niż inne i można z nimi żyć, jak we wszystkim ważny jest rachunek zysków i strat.
W tym konkretnym przypadku – fundacja mająca miliony instalacji oprogramowania, z czego setki tysięcy prawdopodobnie jest narażonych na krytyczną lukę, nie chce wydać 1500$ na jej poznanie (co jest kwotą zaledwie trzykrotnie większą od standardowo proponowanych 500$). Po stronie strat mamy więc 1500$ (z pewnością wśród użytkowników znalazłoby się 1500, którzy daliby po dolcu), po stronie zysków: informacja o 0 day. Biorąc pod uwagę, iż owa informacja jest na rynku dostępnym powszechnie (każdy kto zapłaci odpowiednią kwotę dostaje gotowe narzędzie do wykorzystania dziury) jej ignorowanie świadczyć może jedynie o tym, że ktoś ba mocno w dupie sporą grupę ludzi.
Dokładnie tak samo, jak mają w dupie użytkowników Linuksa, pod którym Fx chodzi ślamazarnie (o czym przekonałem się ponownie wczoraj, gdy na chwilę włączyłem galeona).
@gotar:
<blockguote>z pewnością wśród użytkowników znalazłoby się 1500, którzy daliby po dolcu</blockguote>
To samo powiesz, gdy trzeba ich będzie 15 tys., 150 tys. czy 1,5mln? Jest jakaś granica, powyżej której "już się nie opłaca"? A jeśli tak, to jak ją określić? Może lepiej w ogóle nie wchodzić w układy z szantażystami? To trochę tak, jakby sprytny włamywacz złożył Ci ofertę, że powie Ci jak naprawić/ulepszyć Twoje zamki. Jednocześnie sugerując, że jego kumple też już oglądają te plany, więc zegar tyka… Poszedłbyś na taki układ? Ja nie.
Ten rynek już istnieje.
@Sparrow1 – jeśli chleb będzie kosztował 2500 zł to co powiesz? Granicę określa RYNEK. Szantaż od oferty różni się tym, że oferta kierowana jest do ogółu.
I wyobraź sobie, że ten przykład z zamkami to jest obecnie stosowany schemat… Są zamki tańsze (rozpracowane), są i droższe (słabiej rozpracowane). Więc to nie żaden 'sprytny włamywacz' mi ofertę składać może, tylko ślusarz czy inny budowlaniec. Oprócz tego są systemy alarmowe oraz monitoring (uwaga: płatny). Czyżbyś należał do tych śmiesznych ludzi, którzy uważają że każda z tych branży jest w zmowie z włamywaczami?
@Sparrow1 – jeszcze jedno: opisana sytuacja z zamkami przypomina przysłowiowe 'kopanie się z koniem'. Oczywiście można bardzo długo żyć pod prąd, ale w pewnym momencie zaczynasz zarabiać samemu na życie i wiesz, że lepiej wydać 1000 zł na dobry zamek, bo za cenę tę dostajesz w pakiecie 'święty spokój'.
Oczywiście wcześniej sprawdza się opinie i renomę danego rozwiązania, ale w tym konkretnym przypadku o błędzie w Fx nie mówił jakiś chłystek spod budki z piwem, tylko ktoś, kogo można podejrzewać o kompetencje.
Co do ceny – wspomniałem już, rynek. Gdyby taki błąd na czarnym rynku był wart 150 tys., to nie miałbyś go w pakiecie za 1500$, a CO ZA TYM IDZIE: nie byłby powszechny. A błąd, który nie jest powszechnie znany, nie jest tak groźny i kółko się zamyka.
TEN konkretny błąd był bardzo groźny, gdyż był dostępny relatywnie tanio na otwartym rynku. Zatem właśnie dlatego, że był tani, powinien zostać 'zakupiony'. Zrozumcie proszę, że mnie jako użytkownika nie obchodzą błędy znane 5 osobom na świecie, bo takie osoby nie będą kierowały tak groźnej broni (bo drogiej) przeciwko mnie. Z tego samego powodu średnio mnie interesuje polityka dostępności dla obywatela laserów bojowych czy czołgów, bo nawet jak będzie nabywca, to nie będzie celował we mnie, ale już o dostępności zwykłej broni można toczyć zacięte dyskusje.
@gotar: to ja podziwiam twój świat- taki prawie dwukolorowy. Żyję trochę na tym świecie by wiedzieć, że szarość to najczęściej spotykana odmiana bieli i czerni.
Co do rynku- nadal nie widzę analogii. Rynek powstaje gdy jest podaż i popyt (co tłumaczył ci gandalf). Nie dotarło do Ciebie, więc chyba i moje tłumaczenie nie dotrze. Nierealność twojego porównania jest taka, jak twierdzenie, że mamy rynek na porwania dla okupu czy terroryzm. Nie, nie mamy- pan Braniecki ma rację, ale i tak nie chcesz nawet postarać się zrozumieć o czym pisze. Bo po co. Ważne, że można mu dokopać- no nie?
@Tomasz Woźniak:
1. dwukolorowy świat to właśnie masz ty ('nie kupię, bo to jest evil'), mój świat pozwala zważyć zyski i staty i wybrać lepsze rozwiązanie,
2. nie widzę żadnej wypowiedzi podpisanej 'gandalf', nie umiem się więc odnieść. Być może była aż tak oczywiście głupia, że ją wymoderowano?
I wybacz, ale nie będę dyskutował z kimś, kto pisze 'nie dociera do ciebie' zamiast argumentów – tak samo mogę odpowiedzieć, że do ciebie nie dociera, że ten konkretny rynek istnieje, zatem z mojej strony EOT (bo wiesz, ktoś z boku by nie zauważył różnicy).
@gotar: Po pierwsze- gandalf to pan Braniecki. Wydawało mi się, że to jasne.
Po kolei- ty masz tendencję do polaryzacji dwukolorowej, jak każdy zresztą. Samo wspomnienie o rynku- dość niefortunne- było totalnie nietrafione i banalne na tyle, by po głębszym przemyśleniu samemu dojść do jego nietrafności i np. o zgrozo… przyznać się do gafy!
Może jednak spróbuję wyjaśnić- wiem, że handluje się lukami i dociera to do mnie. Rynek (tym bardziej WOLNY RYNEK) jednak ma tu jednak mało wspólnego. Np. sama podaż… Że niby co? Firmy produkujące oprogramowanie chcą kupować wykryte luki? Zawsze żyłem w świadomości, iż takie firmy dążą do pisania oprogramowania jak najbardziej bezawaryjnego. Sama luka jest więc wskazaniem ich błędu w sztuce. Tu pojawia się marketing i zły PR. Większość bowiem luk jest bardzo trudna w zastosowaniu i wykorzystaniu, więc samo nagłośnienie zagrożenia jest podobnym zabiegiem jak straszenie ludzi świńską grypą. Owszem jest groźna i śmiertelna- ale czy globalnie? Wracając do rynku- jest też sprzedawca luk. Jemu zależy by daną lukę sprzedać jak najdrożej. Tylko, że to jest tak- programiści teoretycznie zaczynają pisać coraz lepszy kod, który jest jak widać coraz gorszym materiałem do odnajdowania dziur. Teoretycznie ten rynek jest więc rynkiem zamierającym. Co więcej- czas działa na niekorzyść sprzedającego zwiększając prawdopodobieństwo wykrycia przez zespoły testowe czy wolontariuszy. Dlatego dochodzi to nadużywania technik PR- głoszenia zagrożenia (często niewspółmiernego) i szantaż- czasami marketingowy, czasami dosłowny. Wiec jak mówimy o porównaniu do rynku- dziwna jest i podaż- bo firmom zależy aby to ich zespoły te błędy wykrywały i do tego dążą, ale i popyt- coraz trudniej takie coś sprzedać, czynnik czasu i czas życia oprogramowania (w tej chwili to często miesiące). To znowu komplikuje porównanie do czegokolwiek. Natomiast dla ciebie jest to oczywiste na tyle by powiedzieć:
skoro tak jedziesz po zgodności Opery ze standardami to ja nadal czekam, aż w FF będzie można nadać kolor checkboxowi – toż to CSS1 jest!
Przecież ich oficjalną odpowiedzią na to jest 'element UI – wygląd ustawiany przez system'.
Konkretnie – jakie to tagi i jakie elementy?
http://www.webdevout.net/browser-support
Miłej lektury.
Z tego co tam można wyczytać, wsparcie nie jest dużo gorsze niż FF, a chwilami nawet lepsze ('print properties' przy CSS 2.1)
Nie mówiąc już o tym, że owe zestawienie jest po prostu stare… gdzie jest tam choćby Opera 10.10 (bo na 10.50 nie liczę)? Chrome? Safari? IE 8?
BTW. Nie ma to jak Iceweasel
Stronniczy ten news, czytając mam wrażenie, że autor układa zdania do obrony z góry założonej tezy. Stara szkoła Trybuny Ludu i Gaz. Wyb.
zapomniałeś o Rzepie i Gościu Niedzielnym -uczyli się od najlepszych
@tow: To jednak troche inna liga; Gazeta Wyborcza raczej nie posuwa sie do porownywania osob o "niewlasciwych pogladach" do nazistow.
@trasz: widzę panie Edwardzie, że nie zawsze czyta pan rzeczy do jakich się odnosi. Proponuję przeczytanie wspominanego artykułu GN- dostępny online i wyrobienie własnego zdania, kto do nazistów jest porównany (podpowiem, że na pewno nie A-1000).
Wspomniana przez pana GW porównuje każdego niewygodnego do oszołoma, fanatyka i antysemity. Szastanie słowami nazizm i neofaszyzm też zachodzi dość łatwo. Przynajmniej w artykulikach, które ja czytuję od czasu do czasu.
@Tomasz Woźniak: Tak sie sklada, ze temat oszczerstw i pomowien Alicji Tysiac w wykonaniu Marka Gancarczyka (ktory, btw, jest jedna z niewielu osob w Polsce, o ktorych moge z czystym sercem powiedziec "parszywy kundel") i Goscia Niedzielnego zostal jakis czas temu rozstrzygniety przez sad. Ale oczywiscie wiesz lepiej i zaraz wyjedziesz z teoria spiskowa, prawda? ;->
@trasz: panie Edwardzie- sądy w naszej umęczonej Rzeczpospolitej dbają o przestrzeganie prawa a nie o sprawiedliwość, ale to pan na pewno wie. Wie pan także o wniosku o kasację wyroku, która opiera się na ANALIZIE LOGICZNEJ TEKSTU. Czas pokaże jak to się ostatecznie rozstrzygnie.
Osobiście dla mnie to smutne, że nie można w katolickiej gazecie napisać że kobieta dokonująca aborcji to zabójczyni- ale widocznie takie czasy i taka wolność wyznania.
Co do teorii spiskowej- ja je cytuje, bo się bardzo nimi interesuję. Wiem jednak, że prawie nigdy się nie sprawdzają- częściej działa teoria bałaganu. Niemniej teorie same w sobie są ciekawe i dające sporo do przemyślenia.
to FAKT.
Autor notki w wyraźny sposób nie interesuje się błędem, a próbą pogrążenia fundacji, to niemiłe.
Z tego, co pamiętam, jeszcze niedawno sam pisał:
"Zgodnie ze swym niedawnym oświadczeniem, Legerov nie zamierza przekazać szczegółów dotyczących nowej luki twórcom Firefoksa. W związku z tym Mozilla na chwilę obecną nie jest w stanie naprawić wspomnianej podatności.". Jeżeli Mozilli udało się w końcu z nim dogadać, to raczej dobrze.
Brak ostrzeżenia rzeczywiście może dziwić, aczkolwiek wiele serwisów zrobiło to równolegle do cichych działań Mozilli.
A ja nadal naiwnie wierzę, że NoScript mnie obroni…
A teraz jeszcze daje wszystkim minusy, z góry na dół.
tobie też dał
dodać można, że każdy może zawołać:
"Słuchajcie znalazłem jebitną dziurę w Windows, słoń się zmieści, jednak jestem tak dumny ze swego odkrycia, że nie powiem jaką".
Microsoft na pewno nie postawi nawet swoich programistów na baczność po taki oświadczeniu. Natmiast dumny łowca dziur gdy tylko usłyszy, że jakąś wykryto głośno zawoła: "Oto jest! moja dziuuura!"
tia, http://www.haxite.org/index.php3?site=newsy&n… – czyli na początku NIE CHCIAŁ przekazać informacji.
No tak, ale nawet gdy już przekazał, to ani słowem o tym Mozilla nie poinformowała…
@hcsl.pl: nadal oskarzasz poslugujac sie teza ktorej nie udowadniasz. Ile, Twoim zdaniem, minelo czasu miedzy momentem w ktorym autor luki przekazal informacje a wpisem na blogu na temat bledu?
I, ile czasu maksymalnie, mogloby minac, zebys uznal, ze myliles sie oskarzajac i ze Twoje oskarzenie jest niesluszne?
Nie jestem uprzedzony do żadnego z rozwiązań i sam używam między innymi FF. Jeśli chodzi o przeglądarki, to pisałem już o błędach w IE, Chrome, Operze, Firefoksie. Jeszcze raz powtórzę, exploit istnieje od miesiąca, nie wierzę, by nikt z Mozilli go w tym czasie nie zobaczył – ponieważ wszedł w skład znanego środowiska do przeprowadzania testów penetracyjnych. Brak oficjalnego stanowiska w tej sprawie przez ponad miesiąc, w obliczu obecności krytycznej luki w bardzo popularnej przeglądarce, ja uznaję za kompromitację… i nie jestem raczej odosobniony.
W związku z brakiem reakcji ze strony Mozilli, pomimo dość głośnych pogłosek o tej luce, wielu użytkowników, a nawet specjalistów ds. bezpieczeństwa nie dało im wiary. Uważali po prostu, że skoro Mozilla nie zareagowała, to znaczy że to tylko plotki…
Jeśli chodzi o tego typu lukę o której mówimy, to moim zdaniem 1 dzień zwłoki od momentu potwierdzenia informacji o obecności luki w FF (nie mówiąc już o momencie otrzymania wszystkich szczegółów technicznych), to już za dużo…
Wpis na blogu Mozilla Security Blog ukazał się 18. marca, nie powiesz mi chyba, że dopiero tego dnia istnienie błędu zostało przez Mozillę potwierdzone? Natomiast jeśli ktokolwiek związany z Mozillą chciałby bym dorzucił do wpisów w HCSL i OSNEWS komentarz do całej sprawy z punktu widzenia fundacji lub Mozilla Corporation, to nie ma sprawy. Proszę tylko przesłać treść.
Skąd masz tę pewność, że test został zawarty w tym środowisku/pakiecie?
Informował o tym sam odkrywca błędu https://forum.immunityinc.com/board/thread/1161/v…. Pisały o tym "poważne" serwisy: http://www.theregister.co.uk/2010/02/18/firefox_z…. Nie jestem w stanie potwierdzać newsa poprzez zakup licencji za 1500 USD :> Jeśli tylko jestem w stanie to o czym piszę potwierdzić poprzez własne testy praktyczne, to tak robię. W tym przypadku jednak była to rola Mozilli by wejść w posiadanie tego exploitu (nawet jeśli trzeba było za niego zapłacić parę USD), przetestować jego działania w imieniu użytkowników którzy nie mieli szans tego zrobić (nie byli w stanie wydać 1500 USD by sprawdzić, czy używana przez nich przeglądarka rzeczywiście ma poważną lukę) i poinformować wszystkich jak najszybciej o wynikach.
Niestety kupowanie informacji o lukach stało się już standardem i z pewnością ten trend się utrzyma. Przykładowo Google już sam z siebie oferuje pieniądze za info o lukach.
Ja zas podejrzewam, ze tak wlasnie bylo.
Tak, sadze, ze w okolicach 16-18 marca potwierdzono wystepowanie bledu. Nie jestem czlonkiem grupy bezpieczenstwa, ale w poniedzialek bede sie widzial z nimi w siedzibie fundacji, moge zapytac, jesli Cie to interesuje.
Moje doswiadczenie wskazuje, ze taka wspolpraca z mediami nie dziala. To nie jest tak, ze Ty mozesz napisac cokolwiek a naszym zadaniem jest znalezc to i wysylac maile ze sprostowaniami. Jesli chcesz rzetelnie informowac, to dowiaduj sie u zrodel kiedy masz okazje. Rozumiem, ze odpowiedz o teamu bezpieczenstwa MS moze byc trudna do zdobycia, ale ztcw. od Opery, Mozilli czy Chrome nie powinno byc problemow. W przypadku Mozilli wskazalem miejsce. Poza nim mozna tez wyslac mail na security@mozilla.com albo zapytac we wpisie na blogu (jak zauwazyles dwoch czlonkow zespolu – Lukas i Daniel – odpisuje tam).
Jeśli po dość głośnych informacjach o odkryciu luki i utworzeniu exploitu (http://www.theregister.co.uk/2010/02/18/firefox_zero_day_report/) nikt z Mozilli nie pofatygował się (nawet jeśli było to związane z wydaniem 1500 USD) by zweryfikować te bardzo prawdopodobne (Legerov jest znanym specjalistą, m.in. Google kupował już od niego info o dziurach) informacje, to jest to niebywałe zignorowanie zagrożenia. Efekt był taki, że użytkownicy FF 3.6 przy braku potwierdzenia zagrożenia przez Mozillę wzięli całą sprawę za plotkę rozsiewaną przez Legerova i spokojnie dalej używali swojego FF "wyposażonego" w krytyczną lukę…
Reasumując, jeśli Mozilla nie sprawdziła przez miesiąc, czy exploit rzeczywiście działa, czy nie, to jest to porażka. Jeśli natomiast sprawdziła, ale dopiero teraz ostrzegła swych użytkowników, to również porażka. Pytanie tylko, jaka jest prawda i który z tych przypadków świadczy o większym ignorowaniu bezpieczeństwa swych użytkowników?
Zasłanianie się tym, że sprzedawanie informacji o lukach to szantaż i następnym razem Legerov będzie chciał 1,5 miliona USD nie do końca nie przekonuje. "Handel dziurami" staje się coraz powszechniejszy i wszystko wskazuje na to, że w tę stronę zmierzają zarówno producenci oprogramowania jak i "łowcy dziur" , wiele firm (np. Google) otwarcie proponuje pieniądze lub jakieś nagrody za tego typu informacje. Cenami będzie natomiast (miejmy nadzieję) sterował wolny rynek…
Jeszcze jedno pytanie: kiedy pakiet z błędem został udostępniony? Tuż po nagłośnieniu sprawy ze znalezieniem błędu?
Cała dyskusja sprowadza się do zakupu pewnej licencji(niby). Ja Ci tylko napisze, że w przypadku wielkich organizacji, to nie jest tak hop-siup. Najpierw zakup licencji musi ocenić dział prawny(w końcu licencja jest umową). Samo zastanawianie się działu prawnego nad konsekwencjami podpisania licencji może trochę zająć. Gdyby odkrywca zaproponował Mozilli zakup samych informacji o błędzie, to by chyba nie było problemu. Jednak twórca chciał zwyczajnie kosztem Mozilli zrobić sobie reklamę, a pewności, iż ich pakiet ma te test, nikt nie miał.
Jak pisalem, nie znam sprawy zbyt blisko. Widzialem dyskusje n/t temat gdy tylko autor zapowiedzial swoj "pakiet" na twitterze. Wiem, ze ludzie probowali skontaktowac sie z nim, troche odlamkow trafilo potem do prasy.
Obawiam sie, ze ignnorujesz moje slowa. Kilka razy zaznaczylem, ze Mozilla usilowala uzyskac informacje i sprawdzala kod potencjalnie odpowiedzialny za luke na podstawie informacji ktore otrzymala. Natomiast nie, nie zakupila licencji (z tego co wiem). I pisalem dlaczego.
Usilnie budujesz rzeczywistosc w ktorej sa dwa, przewidziane przez Ciebie i ocenione, scenariusze. Wydaje mi sie, ze to troche tendencyjne.
Zastanawiam sie czy masz swiadomosc, ze zasugerowany przez Ciebie projekt Google placenia za wykryte luki dziala w Mozilli od dobrych 4 lat… :/
Mysle, ze sie mylisz. Istnieje fundamentalna roznica miedzy wynagradzaniem znalazcy za jego prace, a sprzedawaniem komukolwiek informacji stwarzajacych zagrozenie dla uzytkownikow.
Jest to roznica na poziomie etycznym, ale tez biznesowym. Nie sadze, aby ktorykolwiek z producentow przegladarek wspiral tworzenie sie takiego rynku i nie sadze, aby w tych warunkach mial on okazje sie rozrastac.
Przeczytaj sobie i porównaj z tym co piszesz: http://secunia.com/blog/90/
oczywiscie czytalem ten wpis, interesuje sie w koncu tematem. Czemu zakladasz, ze tego nie zrobilem?
Nie pracuje w zespole security Mozilli, wiec informacje mam podobne do tych, ktore moze znalezc hcsl.pl, ale poniewaz wyraznie stara sie on kompromitowac Mozille i z nieukrywana satysfakcja pisze o wizerunku Mozilli ktory legnie w gruzach, opisze gdzie jestesmy:
– blad zostal ujawniony najpierw na twitterze.
– autor nie chcial wspolpracowac i dawal jasno do zrozumienia, ze jesli jestesmy zainteresowani luka, to nam ja sprzeda. Nie mamy nic do placenia za znalezione bledy (ba! robimy to! za kazdy blad bezpieczenstwa placimy 500 USD) i pewnie jestesmy w stanie zaplacic i wiecej, natomiast jesli ktos szantazuje, to przystanie na jego zasady gry grozi eskalacja zadan.
– nie udalo nam sie potwierdzic bledu na podstawie ogolnych opisow ani nie dostalismy informacji o zadnym udanym wlamaniu z jego uzyciem
– w zwiazku z tym skupilismy sie na analizie kodu wokol strefy w ktorej zekomo mial znajdowac sie exploit.
– informacje o luce dostalismy od autora kilka dni temu, chyba 16tego, ale nie wiem tego dokladnie
– luka nie zagraza 3.0.x ani 3.5.x ani 3.7.x, dotyczy wylacznie 3.6.x (ktore stanowi teraz okolo 50-60% naszych uzytkownikow)
– luka zostala poprawiona w wydaniu 3.6.2 beta
– Mozilla analizuje potencjalne zagrozenie i rozwaza probe skrocenia fazy beta, by dostarczyc poprawke wczesniej.
To tyle. Przykro mi, ze taka luka zostala znaleziona, mam nadzieje, ze forma jej rozprowadzania zminimalizuje zagrozenie, ale tez nie sadze, aby poza zachowaniem odkrywcy luki bylo to bardzo "specyficzne" zdarzenie w porownaniu z innymi bledami bezpieczenstwa w dowolnej przegladarce.
update: Lucas Adamski potwierdzil, ze wydanie finalne wyjdzie najpewniej wczesniej jesli tylko testy Bety (ktora nazwal jednoczesnie RC i stwierdzil, ze prawdopodobnie to bedzie finalna) przebiegna pomyslnie.
Mam prośbę. Jak coś cytujesz to stosuj tag blockquote
przykład:
Bo inaczej można dostać oczopląsu i ciężko odgadnąć czy to jest cytat czy nie.
Jak zrobisz literówkę w tagu to zgubi tekst.. Ogólnie to lipa z tym system komentarzy.. IMHO: Tagi html powinny być wyświetlane jako tekst, a do formatowania tekstu powinny być użyte te z wiki lub bbc. Np. [q]quoted text[/q]
Aha, czyli żądanie ceny od Mozilla Corporation za własny produkt (w tym przypadku analizę błędu bezpieczeństwa) to ,,szantaż''. Za frytki też płacisz tyle ile uważasz, a 2,40 to już ,,szantaż''…
Aż dziw, że koleś chciał z Wami w ogóle rozmawiać zamiast sprzedać informację gdzieś indziej.
Ciekawa teoria, to dam przykład przychodzi do Ciebie obcy człowiek i mówi: w twoim domu jest usterka, która w pewnych przypadkach narazi Pana i rodzinę na utratę zdrowia lub życia i daje do zrozumienia, że oczekuje za to pieniędzy. Ty nic nie wiesz o takiej usterce, ba ten człowiek uzależnia podanie jakichkolwiek informacji uwiarygodniających występowanie tej usterki od zapłacenia kasy – w dalszym ciągu uważasz to za analizę stanu bezpieczeństwa własnego domu, czy za szantaż?
Warto byłoby się zastanowić, gdyby w domu mieszkało tylu ludzi ilu użytkowników ma FF.
To, że dziś dochodzi to tego typu szantażu wcale mnie nie dziwi. Jeśli spodziewamy się, że ludzie będą wykorzystywać swoją wiedzę tylko zgodnie z naszymi oczekiwaniami to prędzej czy później się zawiedziemy. I nie zależnie od wszystkiego użytkownicy FF są narażeni.
Eksperci do spraw bezpieczeństwa postrzegają sprawy inaczej niż zwykli użytkownicy. Osobiście wcale się nie dziwię hcsl.pl za jego ostre słowa.
PS. Opera też chyba nie załatała luki o której kiedyś pisał hcsl, więc też nie jest zbyt bezpieczna.
@vires:
Zgodzilbym sie z Toba, gdyby takie zdarzenia jak to byly jedyna metoda znajdowania bledow. Przypominam, ze mamy spora spolecznosc zajmujaca sie bezpieczenstwem, zatrudnionych specjalistow ktorzy ich szukaja, firmy partnerskie ktore szukaja i placimy wolontariuszom za znalezione bledy. Oprocz tego masa automatycznych testow.
Taka sytuacja wystapila pierwszy raz i nie sadze, aby miala wystepowac czesciej.
Natomiast z tego co mi wiadomo, nie ma zadnego przypadku udanego wlamania z jej wykorzystaniem, a wydanie poprawione ukaze sie prawdopodobnie w przyszlym tygodniu. Nie jest tak dramatycznie i sadze, ze nasze systemy bezpieczenstwa dzialaja calkiem sprawnie.
Nie krytykuję tu działań Mozilli. tez uważam, że to właściwa droga. Ale potrafię też spojrzeć na tą kwestię z punktu widzenia osoby zajmującej się zabezpieczeniami. Oni mają inne priorytety.
"Taka sytuacja wystapila pierwszy raz i nie sadze, aby miala wystepowac czesciej."
To zależy od tego na ile zacznie się opłacać wykorzystywanie błędów w przeglądarkach.
Przykro mi. Po co zamieszczać błąd specyficzny dla jednej przeglądarki i jednego wydania tej przeglądarki we własnym produkcie? Przecież i tak ten błąd zaraz zniknie, nie będzie go, gdy Mozilla kupi zezwolenie na użycie tego produktu, racja(chociaż nie, bo coś do testów penetracyjnych nie zawiera konkretnych informacji).
W każdym razie, to dołączanie informacji specyficznej/użytecznej tylko dla Mozilli dla swojego pakietu, zamiast zezwolić na osobne negocjowanie ceny za informacje o błędzie już na coś złego w intencjach znalazcy luki wskazuje(żadna firma nie robi tego Microsoftowi, bo zwyczajnie mieliby problem w sądzie, tylko po cichu sprzedają samą informację). Odnoszę wrażenie, że odkrywca chciał wykorzystać Mozillę do zrobienia sobie reklamy. Co ciekawe, to ta reklama dotyczy produktu, który w chwili pojawienia się informacji o istnieniu błędu(i na długo po tym) nie zawierał tych testów. Zwrócę uwagę, że działania fundacji raczej są jawne, więc w przypadku dokonania takiego zakupu licencji, to Mozilla najpewniej napisałaby o tym na swoim blogu. Byłby to jednak zakup pozbawiony sensu.
szantazem nazywam to ze wzgledu na pozycje relacji miedzy sprzedajacym a kupujacym. Nie jest to dla nas wolny wybor czy chcemy kupic dany produkt czy nie. Od tego czy kupie frytki nie zalezy bezpieczenstwo ludzi.
To troche tak, jakby lekarz informowal Cie, ze za dana cene poinformuje Cie jakie antidotum uratuje Ci zycie.
I nie mowie, ze on nie ma do tego prawa, mowie tylko, ze jest to niebezpieczne rozumowanie i potencjalnie prowadzi do budowania rynku, na ktorym ludzie szantazuja firmy znalezionymi lukami – w koncu rownie dobrze moglby zamiast kasy zarzadac np. dodania jego nazwiska do nazwy produktu, albo zatrudnienia go – a co? nie?
W krotkim terminie, w przypadku tego konkretnego bledu, kwota jest absolutnie racjonalna, ale sposob komunikacji jest moim zdaniem grozny tak samo jak przelewanie kasy na konto szantazysty tworzy rynek na ktorym eskaluje sie liczba szantazy.
Andreq: ,,W tym kodzie są znane błędy logiczne, niespójność z zasadami panującymi na danej platformie i problem z wydajnością. Aby przedstawić pełną analizę będę potrzebował zamówienia na N dni pracy po stawce dziennej X.'' To się nazywa konsulting i jest normalną praktyką biznesową. W przypadku domu działa to dokładnie tak samo. Szantaż wymaga groźby.
Zbysiu: idź do normalnego lekarza (czyt. w prywatnym szpitalu/przychodni) — zapłacisz nie tylko za informację nt. odtrutki ale samą możliwość porozmawiania z lekarzem. Witaj w rzeczywistości.
A firmy produkujące kiepski kod: no przykro mi bardzo, trzeba było wyłapać lukę w procesie produkcji. Nie mam zamiaru roztkliwiać się nad firmą tylko dlatego że ma w nazwie ,,Mozilla'' — jak ja coś spieprzę to moi kliencie mają do mnie pretensje (łącznie z finansowymi). Nie do konsultanta którego zatrudnili do audytu.
Jeszcze jedno. Nie twierdzę, że należy płacić/zgadzać się na dowolne warunki (zamieszczenie nazwiska w nazwie). W przypadku domu po prostu posłałbym takiego człowieka do diabła. Mało mnie interesują ,,luki'' bez dowodu na istnienie niebezpieczeństwa.
Ale na litość $DEITY nie nazywajmy negocjacji szantażem bo budzi to odrazę. Jeśli jedna ze stron posługuje się nieprawdziwymi informacjami (co, jak rozumiem w danym przypadku nie zaszło) to jest do próba wyłudzenia. Ale nie szantaż.
Zbigniew: przez Twoje wypowiedzi Mozilla Fundation/Corpo jawi się mi jako coraz bardzie odrażający podmiot.
Całość pewnie można było załatwić elegancko. Podpisać umowę która gwarantowałaby MoCo, że luka jest rzeczywista a Eugeniuszowi jego pieniądze. Ale zamiast tego wyszedł jakiś koszmarek. I Wojciech ma rację, że nadszarpnął mocno wizerunek Moziili i FF.
1) bede wdzieczny jesli nie bedziesz zwracal sie do mnie familiarnie. Z tego co wiem, nie jestesmy na takiej stopie.
Caly czas wszystko rozbija sie o warunki brzegowe. Czy jesli nie zaplace, to dostane informacje czy nie? Czy place, bo chce wesprzec i oplacic prace znalazcy luki, czy dlatego, ze zmusza mnie on do tego pod grozba wystawienia na zagrozenie uzytkownikow?
Tym odrozniam zdrowa relacje ktora dziala od lat od szantazu.
Obawiam sie, ze jesli uznajesz, ze implikacja znalezienia luki jest to, ze autorzy napisali "kiepski kod", to nigdy nie zajmowales sie blizej strona analityczna bledow oprogramowania. Bledy sa cecha immanentna kazdego zlozonego oprogramownia, jedyne czego mozna unikac to wykrywania ich i ludzic sie, ze napisalo sie kod "bezpieczny".
Nikt nie wymaga od Ciebie rotkliwiania sie, ani tego nie oczekuje. Opisuje tylko czego chcemy uniknac. Z podobnych powodow nie placi sie szantazystom, choc przeciez oni tez wykonali jakas prace ktora ustawila ich w pozycji ktora pozwala im dyktowac rodzaj i wysokosc gratyfikacji za ktora "klient" uniknie nieprzyjemnych konsekwencji. Po prostu tworzenie rynku dla szantazystow nie jest zbyt atrakcyjne w dlugim dystansie.
Naprawde nie wiem co mam Ci na to odpowiedziec. Czy chcesz rozmawiac przez argumenty czy emocje? Czy moze po prostu kazdy z kim roznisz sie w opinii staje sie dla Ciebie odrazajacy?
Zaprawde, powyzsze zdanie swietnie buduje atmosfere dyskusji i szacunku do rozmowcy. Gratuluje
Jesli interesowales sie informacjami n/t tego wydarzenia to wiesz zapewne, ze znalazca luki zignorowal wielokrotne proby kontaktu i publicznie o tym mowil.
Wiem, wiem, i generalnei jestes obrzydzony, zniesmaczony… czekam na opis wymiotow. Nie wiem jak mam rozmawiac na takim poziomie, po prostu nie umiem. Zastanawiam sie czy zawsze kiedy rozmowca pisze cos z czym sie nie zgadzasz dochodzisz do punktu w ktorym zaczynasz tak pisac.
Błędy umożliwiające w aplikacji zdalne wykonanie dowolnego kodu są problemem rozwiązanym całkowicie ponad dekadę temu. Nikt Wam nie każe używać C++ do pisania przeglądarki (w taki niskopoziomowy sposób). No, ale ponieważ wszyscy w tym piszą i wszystkie przeglądarki miewały tego typu błędy… no to o co chodzi?
Wnioskiem ze znalezienia luki przez stronę trzecią jest to, że firma wyprodukowała kiepski kod. Co oznacza, że autorzy napisali kiepski kod a później żaden z testów go nie wykrył. Jeśli za ,,zajmowaniem się bliżej analityczną stroną błędów oprogramowania'' masz zamiar ukryć błąd w procesie produkcji (pisania, testów, kontroli itp.) to, owszem, masz się czego obawiać.
Płacisz bo chcesz coś uzyskać (kupić!). W tym przypadku informację o błędzie. Tak trudno zrozumieć transakcję? Kogo obchodzi jakie są Twoje motywacje — albo chcesz coś kupić albo nie. Rozumiem, że stoisz na stanowisku, że analizy tego błędu nie należało kupować. Taki sygnał poszedł w Świat.
Szacunek to nie jest coś co dostajesz z marszu jak tylko zdecydujesz się dotknąć klawiatury i opublikować coś w Sieci.
V2: tym razem mam nadzieję poprawnie (Michuk: podgląd!).
Obawiam sie, ze w Twoim podejsciu kazde oprogramowanie jest slabo napisane, tlyko w niektorych wypadkach jeszcze nie wykryto luk.
Zalozenie, ze nie rozumiem ideii tranzakcji utrudnia Ci zrozumienie tego co pisze
Uwazam, ze nie nalezalo jej kupowac w tej sytuacji i przy takich intencjach autora. Nie wiem co wydarzylo sie od tego czasu, moze autor uznal, ze nie sprzedaje mu sie ten pakiet i zaczal wspolpracowac, a moze ktos namowil go do wspolpracy.
I nie sadze, aby pozostal bez gratyfikacji…
Jesli nie masz nic przeciwko, to na tym skoncze nasza rozmowe. Patrzymy na swiat krancowo roznie i obawiam sie, ze negatywnie odbija sie to na mnie. Dla mnie na szacunek zasluguje kazdy czlowiek na tej planecie i tak podchodze do kazdego rozmowcy tak dlugo jak dlugo dam rade. Ty zas wyraznie zaczynasz od braku szacunku i kazdesz mi sobie na niego zaslugiwac, a poki tego nie zrobie raczysz mnie tonem i traktowaniem ktore mi uwlacza.
Nie jest wazne dla mnie czy podejscie ktoregos z nas jest "lepsze" lub "gorsze", ale skorzystam z prawa do nieprowadzenia rozmowy z kims kto rozmawia ze mna w sposob ktory mi bardzo nie odpowiada.
Witamy w internecie. :
A nie jest?
Popatrz sobie na to jak się projektuje i testuje hardware. W tamtejszych kategoriach testowanie większości softu, w tym przeglądarek, można zaklasyfikować jako "brak testowania".
Kiedy ostatnio przeprowadziliście jakikolwiek dowód poprawności istotnych fragmentów Waszego kodu?
Nie mam pojecia. Ale ostatnio wlasnie komus wreczalem "Sztuka Programowania" Dijsktry ze slowami "popatrz, jak sie kiedys pisalo oprogramowanie"
Jezus Maria Ramanaja!
Jeżeli zgubi mi się kochany psiak i rozkleję wszędzie plakaty o jego zaginięciu z proponowaną nagrodą 500$ i zadzwoni telefon:
- Słuchaj stary, mam twojego psa.
- Ej, to fajnie. Kiedy mi go oddasz?
- Słuchaj, 500$ to za mało, chcę 5000$.
- Ej, to chociaż udowodnij mi, że go masz?
- Udowodnię jak zapłacisz 1500$.
- No to się chyba nie dogadamy, papa.
Mija miesiąc i koleś nie może nic z psiakiem zrobić, bo nie udało się mnie zastraszyć. W końcu oddaje mi go za darmo.
Występują:
- Właściciel psa – Mozilla
- Nieuczciwy znalazca – Legerov
- Psiak – Luka w kodzie
- 500$ – nagroda dla wolontariusza
- 5000$ – losowo wybrana suma > 500$
- 1500$ – jakiś przypuszczalny koszt licencji za pakiet Legerova
I nie wiem, być może taką sytuację można nazwać negocjacjami, ale jak dla mnie to zwykła polityka zastraszania, która tym razem, chwała Bogu, nie odniosła skutku. @bies – lubiłem Twoje poprzednie komentarze, tym razem "zniesmaczyłeś mnie".
Kto ku kogo zastrasza? I kto się kogo boi? Bo ja widzę negocjacje.
myślę, że barczyści panowie biorący pieniądze za tzw. ochronę, też tylko widzą negocjacje…
Właśnie, nikt się nie boi. Na szczęście.
Przeczytałem dokładnie Twoją wypowiedź i jestem coraz bardziej zniesmaczony. Przykro Ci że ,,taka luka została znaleziona''?! Zdalne wykonanie kodu i Tobie jest przykro, że została znaleziona? Ja się bardzo cieszę, że została znaleziona!
Może powinno Ci być przykro, że wprowadziliście taką lukę do FF, co?
Czy moglibysmy jednak rozmawiac na argumenty i wymieniac opinie i poglady.
Wykazujesz bardzo duzo poetyckiej emocjonalnosci ktora kojarzy mi sie ze wszystkim poza merytoryczna rozmowa.
Masz oczywiscie racje, niefortunne uzycie slowa. Jak pewnie wiesz, jesli interesujesz sie tematem, Mozilla od zawsze wychodzi z zalozenia, ze luki powinny byc wykrywane i poprawiane, a nie ukrywane.
http://diary.braniecki.net/2009/04/23/mierzmy-to-…
@Zbigniew Braniecki: A teraz pomysl, co byloby, gdyby w ten sposob tlumaczyl sie ktos z Microsoftu.
@trasz: no właśnie- oświeć mnie…
+1, Świat się kończy…
eee… wczoraj rozmawialem o tym z "kims z Microsoftu" i zgadzamy sie. Obawiam sie, ze probujesz wpisac mnie we flamewar, w ktorym nie biore udzialu. Wspolpracuje z wieloma osobami z MS, mam paru znajomych w teamie pracujacym nad W7 (W8) i IE9… Jesli spodziewasz sie, ze powiem o nich cos zlego, to sie przeliczysz.
Natomiast jesli sadzisz, ze oni maja odmienne ode mnie zdanie na temat wplywu IE i MS na rynek przegladarek w ostatnich 10 latach to rowniez sie przeliczysz
@Zbigniew Braniecki: Nie probuje, nie spodziewam sie, i nie sadze. Po prostu probuje naklonic cie do wyobrazenia sobie, co by sie tu dzialo, gdyby problem dotyczyl MSIE, a nie Firefoksa.
A co do wplywu Microsoftu i MSIE na rynek przegladarek w ostatnich 10 latach – wiesz, w ostatnich 10 latach Microsoftu rynek przegladarek kompletnie nie obchodzil, wiec wyszlo, jak wyszlo. Dopiero ostatnio im sie odwidzialo, w sumie nie wiem po co.
dzis na spotkaniu calego projektu (19:00 czasu CET, http://air.mozilla.com w kazdy poniedzialek, jakby ktos mial ochote), security team mowil o luce.
Wazne info, chca wydac 3.6.2 dzis lub jutro.
Onet jest tam ===>
Plus ode mnie. Autorowi niusa polecam lekturę regulaminu pisania niusów.
To FAKT
Czy w iceweasel 3.6, swifox lub icecat 3.6 też występuje ta luka , czy oni łatają pod ich wersje lepiej od firefoxa?
Jak nie mają informacji o luce to jak mają łatać? Tzn. co i w którym miejscu? Jeżeli znajdą jakąś przy okazji swoich modyfikacji to i tak mozilla ma dostęp chociażby kod źródłowy jak nie więcej.
A Iceweasel 3.6 w ogóle istnieje?
Niech każdy clearasilowy troll dobrze zapamięta tą historię na wypadek, gdyby przyszło mu do głowy krytykować politykę fixów innych firm na tle perfekcyjnego OS.
a który to ten perfekcyjny OS ?
Linux.
OS – Open Source
@Maciek Stawski: przecież Linux jest OS.
ja pochodzę jeszcze ze starej szkoły i OS kojarzy mi się z Operating System
.
Wciąż szukam tego perfekcyjnego systemu operacyjnego – na razie nie znalazłem, dlatego mam trochę Linuksa, a trochę Windowsa w wirtualizatorze.
"Wygląda na to, że wizerunek Firefoksa jako bezpiecznej przeglądarki internetowej legł ostatecznie w gruzach."
Dla mnie (to tylko moje zdanie) nigdy nie była bezpieczną przeglądarką. Sama możliwość instalowania wtyczek tworzonych przez użytkowników, wtyczek tak na prawdę niesprawdzonych… i ja mam się logować np. na konto bankowe za pomocą programu modyfikowanego przez wielu ludzi (poprzez pluginy które oczywiscie sam zainstalowałem) ?
Oczywiście nikt nic mi nie każde instalować. Ale Mozilla celowo spopularyzowała instalowanie wtyczek, zachęca do tego, poza tym większość użytkowników widząc dostępne rozszerzenia programu na oficjalnej stronie uzna je za bezpieczne.
Przykładowo Opera (tak jak twórcy sami kiedyś podkreślali myśleli głównie o bezpieczeństwie) nie ma możliwości instalacji wtyczek zmieniających działanie przeglądarki.
IE również umożliwia instalację ActiveX, które oczywiscie sa bardzo czesto ogrmona luka…
Wtyczki to tylko jeden z aspektów bezpieczeństwa, ale ładnie obrazuje w której przeglądarce bezpieczeństwo jest priorytetem.
@marko:
1) Zwroc uwage, ze instalujesz oprogramowanie na komputerze, ktore rowniez nie zostalo sprawdzone przez Twojego dostawce systemu operacyjnego. Nie ma powodu by program nie odczytal hasel Firefoksa, tak samo jak moze to zrobic rozszerzenie. Czy zatem nie drazni Cie, ze system pozwala instalowac programy ktore moga odczytac wszystkie dane z Twojego komputera (no, profilu)?
2) Terminem o ktory Ci chodzi sa "rozszerzenia" – "wtyczki" to polskie tlumaczenie slowa "plugin" np. flash, java itp.
3) Rozumiem ze twierdzisz, ze Opera nie wprowadzila rozszerzen ze wzgledow bezpieczenstwa, zas Mozilla wprowadzila je w celu jego zmniejszenia? To dosc daleko posuniete oskarzenie :/
Ah, przy okazji, moze mowmy o faktach a nie wyobrazeniach. Czy mozesz podac jakies dowody ktore potwierdzalyby, ze Firefox jest mniej bezpieczny od przytoczonej przez Ciebie Opery ze wzgledu na to, ze ma rozszerzenia?
Tak trochę przesadziłem, wiem. W większości pewnie masz rację, ale coś w mojej poprzedniej wypowiedzi też jest.
Dlatego właśnie napisałem, że wizerunek (a nie bezpieczeństwo) bezpiecznej przeglądarki legł w gruzach. FF oczywiście nie jest bezpieczny, ale praktycznie żadna przeglądarka nie zapewnia nam obecnie jakiegoś wyjątkowego bezpieczeństwa.
przeglądając Internet z systemów operacyjnych Windows
niezwykle ważna uwaga, szczególnie że to news publikowany na portalu z "linuksem" w nazwie
Open Source to nie tylko linux..
1) news trafił na linuxnews
2) OSNews to nie Open Source News tylko Obywatelski Serwis Newsów
Cała sprawa ma wg mnie wyłącznie podłoże reklamowe przez rozdmuchanie sprawy przez niejakiego Legerova. Nikt nic nie widział, nikt nie może potwierdzić, ale to z pewnością jest to! Marsjanie istnieją!
Gdyby sprawa dotyczyła IE Microsoftu, to dział prawniczy tegoż zażądał by kosmicznego odszkodowania za 0-day, a tym bardziej za jego sprzedaż.
Pozostaje tylko zadać pytanie, czy Mozilla powinna zrobić to samo co zwykle czyni Microsoft?
Oho, antymicrosoftowe bajkopisarstwo nadal kwitnie. Gdzies ty widzial przypadek, gdy Microsoft zazadal od kogos odszkodowania za znalezienie dziury?
Och, wtedy gdy spotkałem przypadki publicznej sprzedaży exploitów 0-day dla produktów Microsoftu. Z naciskiem na *publiczną sprzedaż*. Odpowiedź jest zatem oczywista.
Nie trzeba wiele, by się domyśleć, że Legerov kręci biznes na mąceniu wody, gdyż nikt nie potwierdził ponad wszelką wątpliwość istnienia błędu do czasu ogłoszenia Mozilli w ostatnich dniach. Bardzo ciekawy jest raport Secuni, który enigmatycznie stwierdza:
"The vulnerability is caused due to an unspecified error"
Co więcej, poprawiony FX wyszedł po 4 dniach od potwierdzenia błędu przez Mozillę.
@Kenjiro: Innymi slowy, postanowiles zelgac liczac na to, ze nikt nie zauwazy.
Nie masz argumentów, szukasz ad personam? Jeśli tak, to daruj sobie, trollowe zagrywki słabo działają.
"Wielu ekspertów powątpiewało w wiarygodność Rosjanina"
Eh… to zdanie brzmi beznadziejnie.
Gdzieś powyżej przeczytałem o luce w Operze opisanej przez hcsl.pl, znalazłem tylko jeden news (http://osnews.pl/kolejny-dos-exploit-dla-firefoksa-3-6-oraz-opery-10-10/).
News jest z 3 marca, ale 2 marca została wydana Opera 10.50 na którą ta luka już nie działa. Wtedy nie chciało mi się logować aby odpowiadać ale teraz się skusiłem
P.S. Dzisiaj wyszła Opera 10.51, doczekała się jeszcze kilku poprawek i optymalizacji, więcej można poczytać na blogu developerów Opery.
http://my.opera.com/desktopteam/
I am impressed, I will need to say. Definitely hardly actually do I encounter a weblog that may be both educative and entertaining, and allow me to inform you, you’ve got hit the nail around the head. Your assumed is outstanding; the situation is a thing that not sufficient persons are speaking intelligently about. I’m rather blissful that I stumbled all through this in my search for a person factor referring to this