MozillaPL.org - polskie centrum Mozilli

[zwierz]

Faktem jest, że nie są znane żadne błędy bezpieczeństwa Opery 8.

Obsługa CSS, sposób zliczania ilości pobrań Firefoksa czy dyskusja na temat operowego M2 mają się nijak do tego wątku. Następne takie posty polecą do /dev/null.

[Źrubek]

Zacząłem używać FireFoxa od grudnia ubiegłego roku ulegająć intensywnej reklamie jako bezpiecznej przeglądarki. Przypominam marketingowe zaklęcia (obecny jeszcze na ttp://www.mozillapl.org/centrum_informacyjne/o/firefox/):

"Firefox pozwoli Ci przeglądać strony www szybciej, bezpieczniej i wygodniej niż inne przeglądarki internetowe."

"Specjaliści od bezpieczeństwa uważają Mozillę Firefox za przeglądarkę znacznie bezpieczniejszą niż wiodąca przeglądarka konkurencyjnego producenta."

I co ? Nagle się okazuje, że FireFox ma również dziury i jest podatny na atak. Ale zakochani i zaślepieni w FF mówią teraz, że każda przeglądarka ma dziury, tylko trzeba ich poszukać. Więc obraz rzeczywistości nie jest czarno-biały (tzn. IE jest do dupu, FF jest wspaniały), ale ma też inne szare odcienie. Obraz FireFoxa niestety się pogarsza.

I myślę sobie czytając to forum, że za chwilę zaczną sie znowu narzekania, że kolejna wersja 1.0.4 a może i 1.0.5:

- zawiesza się (bo rozszerzenia są niaktualne),
- że nie znika znacznik nowej wersji,
- ma idiotyczny moduł aktualizacji

itd.

W moich oczach obraz Firefox-a niestety zdecydowanie się pogarsza.

[lazik]

Faktem jest, że nie są znane żadne błędy bezpieczeństwa Opery 8.

Obsługa CSS, sposób zliczania ilości pobrań Firefoksa czy dyskusja na temat operowego M2 mają się nijak do tego wątku. Następne takie posty polecą do /dev/null.

Bo błędy secunii to tylko i wyłącznie bezpieczeństwo widziane z zewnątrz. Jest jeszcze coś takiego jak wewnętrzne a tutaj BSODY, zwisy neta mogą zagrażac twoim danym i nie trzeba luk w oprogramowaniu a wystarczy jego niepoprawne działanie.
No ale to tak SOT - oczywiście o bugach więcej nie będzie.

[TomekQ]

Jakoś nikt nie wspomina, więc chyba ja będę musiał - chyba jest jeszcze jedno obejście - dodawanie witryny do zaufanych tylko na czas instalacji i czyszczenie listy zaufanych po pobraniu interesującego was rozszerzenia.

Jest mi przykro również dlatego, że prestiż bezpiecznych alternatywnych w stosunku do MSIE przeglądarek ucierpiał dramatycznie i nie zmieni tego fakt, że Opera, członek koalicji anty-MSIE, nie posiada żadnego znanego niezałatanego błędu z dziedziny bezpieczeństwa.

I to niestety jest efekt wcześniejszej nagonki na dziury w IE - Firefox swoja kampanie opierał też o zapewnienia o bezpieczeństwie.

Choć ciekawi mnie, czy autor tego wątku przesiądzie się z Opery przy pierwszej wykrytej dziurze bezpieczeństwa. To musi być straszne tak zmieniać przeglądarkę przy każdym zagrożeniu, system operacyjny też zmieniacie przy każdej luce, a samochód przy pierwszej informacji o kradzieży takiego samego modelu?

"Specjaliści od bezpieczeństwa uważają Mozillę Firefox za przeglądarkę znacznie bezpieczniejszą niż wiodąca przeglądarka konkurencyjnego producenta."

To ciągle jest prawdą

[ot]

Hehe społeczność użytkowników przeglądarek alternatywnych dla IE przypomina polską prawicę: wszyscy żrą się ze wszystkimi:) użytkownicy FF mają alergię na Operę i chyba odwrotnie.
i cała reszta...

Absolutna prawda (patrz niżej)

ps - może założymy podforum - "żale operowców" ?? albo kryptoreklama operowców"?

'kompleks kompleksu Opery' lub 'kompleks kompleksu Firefoxa' najlepiej by oddawał sens;), choć wątpię, czy uda się uzyskać zgodę dotyczącą 'prawdziwszej' nazwy;)

Wystarczyłoby usunąć możliwość pisania z Opery na kontach Gość. Anonimowi ewangelizujący krzykacze to to co Operator robi na codzień.

Jeśli dodacie do forum listę ignorowanych to zapewne wiele osób się zarejestruje tylko po to, żeby nie czytać trollowania niektórych

[pepe11]

Hehe społeczność użytkowników przeglądarek alternatywnych dla IE przypomina polską prawicę: wszyscy żrą się ze wszystkimi:)

A uzytkownicy IE i tak maja to w d....[/quote]

[J81]

I to niestety jest efekt wcześniejszej nagonki na dziury w IE - Firefox swoja kampanie opierał też o zapewnienia o bezpieczeństwie.

Dokładnie. Winni są tu po równo użytkownicyFirefoksa i Opery.

Owszem, IE jest mniej bezpieczny, ale prawda jest taka, że zarówno tu (mozillapl) jak i tam (my.opera) każdy, nawet najdrobniejszy błąd MSIE był traktowany jakby był 10x groźniejszy niż w rzeczywistości i nagłaśniany do granicy absurdu. A błędy w alternatywnych przeglądarkach, nawet te potencjalnie bardzo groźne, często są w wypowiedziach bagatelizowane. Czysta hipokryzja niestety i myślę, że wkrótce obróci się to przeciw alternatywnym przeglądarkom (już się obraca).

[zwierz]

A błędy w alternatywnych przeglądarkach, nawet te potencjalnie bardzo groźne, często są w wypowiedziach bagatelizowane.

To nie tak. Po prostu tak poważnego błędu w produktach Mozilli nigdy wcześniej nie znaleziono, a Operze taka wpadka przydarzyła się chyba tylko raz (dwa lata temu). Dla porównania: tylko w zeszłym roku w IE aż pięć razy wykryto podobnie niebezpieczne błędy (pozwalające na wykonanie kodu na komputerze ofiary).

[J81]

I Opera i produkty Mozilli miały bardzo poważne dziury, wystarczy dokładniej przyjrzeć się changelogom.

To, że nie były nagłaśniane i że nie znalazły się w Secunii i innych serwisach, to inna sprawa. W IE każda załatana dziura jest na świeczniku, bo w Windows Update widnieje czarno na białym jako oddzielna łata. W przypadku Firefoksa i Opery po prostu ściąga się nową wersję (małym druczkiem jest napisane, że zawiera poprawki bezpieczeństwa).

[zwierz]

I Opera i produkty Mozilli miały bardzo poważne dziury, wystarczy dokładniej przyjrzeć się changelogom.

Sprawdziłem. Zgadza się. Secunia nie nazywała niektórych "Extremely critical", prawdopodobnie dlatego, że w momencie upublicznienia tych błędów była dostępna nowa wersja danej przeglądarki.

To, że nie były nagłaśniane i że nie znalazły się w Secunii i innych serwisach, to inna sprawa.

To też sprawdziłem. Secunia publikuje również informacje o błędzie/błędach również wtedy gdy zostaje wypuszczona nowa wersja. Tak było chociażby po ukazaniu się Firefoksa 1.0.3.

[Pinokio]

Buhahaha Ja tam nic nie wyłączam w opcjach bo nie mam takiej potrzeby oraz dlatego że mi sie nie chce

[Ludwik]

I co ? Nagle się okazuje, że FireFox ma również dziury i jest podatny na atak.

Nikt poważny na tym forum nie twierdził, ze w Firefoksie nie znajdzie się żadna dziura. To by była totalna bzdura. Wiele razy czytałem tu wypowiedzi różnych osób piszące o tym, że każde oprogramowanie ma dziury.
To co staraliśmy się podkreślać to szybkośc ich naprawiania przez mozilla.org. I to się sprawdziło w 100%! Mozilla.org doskonale zdaje egzamin.
To co jest najgorsze w Internet Explorerze o nie to, że znajduje się jakieś dziury. Problemem jest to, że nie są one łatane miesiącami. Ktoś obliczył, że Internet Explorer w zeszłym roku tylko w sumie przez 7 dni mial opublikowane poprawki na wszystkie powazne dziury bezpieczeństwa. To oznacza, że przez całą resztę roku można się było bez problemu włamać poprzez przeglądarkę każdego użytkownika IE, nawet tego posiadającego najnowsze aktualizacje.

- zawiesza się (bo rozszerzenia są niaktualne),

Między wersjami poprawkowymi API dla rozszerzeń raczej nie ulega zmianie.

- że nie znika znacznik nowej wersji,
- ma idiotyczny moduł aktualizacji

Tu masz całkowita rację. Automatyczna aktualizacja sux. Programiści widzą problem i obecnie bardzo mocno się do niego przykładają wkładając w poprawienie go bardzo dużo energii. Efekt zostanie opublikowany w Firefoksie 1.1. Aktualizacja powinna być wtedy dopracowana, a na pewno pobierane będą tylko niewielkie pliki z poprawkami, a nie całe instalacje programu.

[Olhado/256]

Pozwoliłem sobie oczyścić wątek z postów niezwiązanych z tematem (a w szczególności związanych z innym tematem, czyli Fx vs. Opera) - przeniosłem je na razie na podforum Inne. Zakładam, że ktoś, kto przychodzi tu dowiedzieć się czegoś o najnowszej dziurze, niekoniecznie musi chcieć czytać o kompleksach niektórych użytkowników Fx i O.

[TomekQ]

Czy planujecie zmienić tymczasowo adres polskiej bazy rozszerzeń, żeby polscy użytkownicy nie byli narażeni na ten atak?

[zwierz]

Czy planujecie zmienić tymczasowo adres polskiej bazy rozszerzeń, żeby polscy użytkownicy nie byli narażeni na ten atak?

W tym wypadku, żeby to było skuteczne, trzeba by przenieść bazę... pod inną domenę.

[Ludwik]

Czy planujecie zmienić tymczasowo adres polskiej bazy rozszerzeń, żeby polscy użytkownicy nie byli narażeni na ten atak?

Polska baza nie jest domyślnie na białej liście, więc mało prawdopodobne żeby ktoś robił atak posługując się jej adresem.

[J81]

Wręcz przeciwnie, jest to całkiem realne zagrożenie.
A wie ktoś jak wygląda sprawa z http://www.extensionsmirror.nl/ ?

[J81]

Nieważne, już wiem. Wygląda na to, że *każda* strona na białej liście może posłużyć jako furtka do ataku?

[Ludwik]

Nieważne, już wiem. Wygląda na to, że *każda* strona na białej liście może posłużyć jako furtka do ataku?

Tak, ale atakujący musi wiedzieć, że ofiara ma tę stronę na białej liście. Strony domyślnie istniejące na tej liście są już zabezpieczone i nie można ich wykorzystać, a co do innych stron atakujący nie może wiedzieć, ze sa na Twojej liście o ile nie jest Twoim znajomym.

[TomekQ]

Nieważne, już wiem. Wygląda na to, że *każda* strona na białej liście może posłużyć jako furtka do ataku?

Tak, ale atakujący musi wiedzieć, że ofiara ma tę stronę na białej liście. Strony domyślnie istniejące na tej liście są już zabezpieczone i nie można ich wykorzystać, a co do innych stron atakujący nie może wiedzieć, ze sa na Twojej liście o ile nie jest Twoim znajomym.

Atakujący pochodzący z terenu Polski może spokojnie założyć, że PBR jest na białej liście. Choć to oczywiście wasza wola.

[lazik]

Nieważne, już wiem. Wygląda na to, że *każda* strona na białej liście może posłużyć jako furtka do ataku?

Tak, ale atakujący musi wiedzieć, że ofiara ma tę stronę na białej liście. Strony domyślnie istniejące na tej liście są już zabezpieczone i nie można ich wykorzystać, a co do innych stron atakujący nie może wiedzieć, ze sa na Twojej liście o ile nie jest Twoim znajomym.

Atakujący pochodzący z terenu Polski może spokojnie założyć, że PBR jest na białej liście. Choć to oczywiście wasza wola.

Czekałem aż ten argument padnie. Jestem z pl użytkownikiem FF a polskiej bazy nie mam i co teraz? Czy takie ataki są wykrywane przez np Firewalle itp....? Może bazę szkodników zrobię?