MozillaPL.org - polskie centrum Mozilli

[TomekQ]

Czekałem aż ten argument padnie. Jestem z pl użytkownikiem FF a polskiej bazy nie mam i co teraz? Czy takie ataki są wykrywane przez np Firewalle itp....? Może bazę szkodników zrobię?

Bezpieczeństwo Twojego komputera mało mnie interesuje (choć zapewne jakąś dodatkową bazę rozszerzeń masz dodaną ).
To co mnie interesuje to bezpieczeństwo komputerów tych moich znajomych, którzy mają firefoxa i PBR dodaną do zaufanych (u niektórych sam jestem odpowiedzialny za oba zjawiska ). Równocześnie mam pewne obawy, czy do wszstkich dotrze kolejność wyłączenia instalowania programów przez witryny.
Nie wiem, czy takie ataki są wykrywane przez firewalle, ale uwzględniając fakt, że wszystko wygląda na normalne połączenie (strona+ramka) to raczej nie, może antywirusy będą w stanie zabezpieczyć przed praktycznym wykorzystaniem tej dziury.

[lazik]

choć zapewne jakąś dodatkową bazę rozszerzeń masz dodaną

Dzięki za link tego akurat jeszcze nigdy nie widziałem.

To co mnie interesuje to bezpieczeństwo komputerów tych moich znajomych, którzy mają firefoxa i PBR dodaną do zaufanych

Bezpieczeństwo komputerów twoich znajomych mało mnie interesuje

ps. są inne metody instalacji rozszerzeń po raz drugi

[Olhado/256]

Wyjaśnijcie mi jedną rzecz, bo nijak tego pojąć nie mogę - w jaki sposób zmiana domeny update.mozilla.org ma ludzi przed czymś ochronić? Błąd, jeśli dobrze rozumiem, polega na tym, że Fx można oszukać i przekonać go, że instalacja następuje z zaufanej witryny (czyli ze znajdującej się na whiteliście). Strona update.mozilla.org jest na whiteliście domyślne i zmiana domeny faktycznej strony nie usunie jej stamtąd, prawda? Więc jakie to zabezpieczenie? Napastnik nadal może przekonać mojego Fx że instaluje rozszerzenie z u.m.o.

Dodatkowo: na Bugzilli pojawiła się sugestia, że samo wyłączenie instalacji rozszerzeń nie likwiduje zagrożenia całkowicie, bo dziura wciąż umożliwia odczytanie ciasteczek użytkownika, w których mogą siedzieć np. hasła. Tylko wyłączenie JS likwiduje problem całkowicie.

[lazik]

http://illmob.org/files/0day/firefox-download-and-execute.html
Czy ktoś może potwierdzić działanie na powyższym linku na buildzie Gandalfowym? U mnie nic się nie dzieje - przynajmniej nie to co powinno. Jak na innych wersjach?

ps wiem że sprawa już poruszana, ale pragnę przypomnieć

[J81]

Nieważne, już wiem. Wygląda na to, że *każda* strona na białej liście może posłużyć jako furtka do ataku?

Tak, ale atakujący musi wiedzieć, że ofiara ma tę stronę na białej liście. Strony domyślnie istniejące na tej liście są już zabezpieczone i nie można ich wykorzystać, a co do innych stron atakujący nie może wiedzieć, ze sa na Twojej liście o ile nie jest Twoim znajomym.

Wcale nie musi. Myślę, że taka strona jak np. extensionsmirror.nl jest na białej liście dziesiątek (setek?) tysięcy użytkowników Firefoxa. I niestety tak to często działa - zarzuca się sieć i z milionów rybek zawsze jakaś wpadnie i zostanie np. zombi rozsyłającym spam. Fundacja Mozilla i tak jest bezpieczna, wszak ostrzega przed instalowaniem rozszerzeń, ale chodzi o to, że zwykły użytkownik Firefoksa nie jest. Nie można tego bagatelizować.

[Gość]

http://illmob.org/files/0day/firefox-download-and-execute.html
Czy ktoś może potwierdzić działanie na powyższym linku na buildzie Gandalfowym? U mnie nic się nie dzieje - przynajmniej nie to co powinno. Jak na innych wersjach?

Jakbyś sprawdził kod, to wiedzałbyś, że odwołuje się do serwerów znajdujących się domyślnie na białej liście - obecnie poprawionych. Przypuszczam, że ktoś znający zależności dotyczące PBR mógłby przerobić ten kod po prostu zmieniając linki na odpowiednie.

@Olhado być może do oszustwa wykorzystuje potwierdzenie autentyczności innego rozszerzenia - usunięcie ich z serwera sprawi, że ff nie zainstaluje fałszywki (zobacz kod podany przez lazika)

[fef212]

a jeszcze ja wtrace swoje 3 grosze....


''Trudno się nie zgodzić z argumentami AviaryPL - ludzie błędy popełniają i będą popełniali, dlatego też najbardziej liczy się fakt jak szybko reagują na ich ujawnienie i czy się czegoś na popełnionych błędach uczą. Jeśli spojrzymy na dynamiczny przyrost popularności Firefoksa, który zgarnia gigantowi z Redmond coraz większy kawałek przeglądarkowego tortu sprzed nosa, wydaje się, że obrana przez Mozilla Foundation droga jest tą właściwą.''

zakonczenie artykulu http://di.com.pl/n/?lp=9710



ludzie, ktorzy teraz zaczeli nagonke na FF, mowiac, ze lipa, ze tez dziurawy itp. moga sobie swoje uwagi wsadzic miedzy poslady. ostatnio robilem maly tescik. sys i tak do reinstallu, nie mam narazie na kompie nic waznego, haselka w bani, wiec postanowilem zobaczyc na ile jestem podatny na ataki. klikalem w goglach co popadlo, klikalem w strony z golymi babami, crackami itp, na ktorych zawsze syf jest. po ok godzinie antyvir wykryl 3 trojany - w javie. spywareu tez sztuk 3. dla porownania, po zalozeniu neta w zeszle wakacje co kilka dni ususuwalem po paredziesiat sztuk smiecia wszelakiego. dodam, ze wtedy mialem ten sam soft tzn AV, firewall, anty adware itp, tyle ze w starszych wersjach oczywiscie. uzywalem w tamtym czasie Ie. bez komentarza.

[siegiel]

chyba pogubilem sie w twoim toku rozumowania

ludzie, ktorzy teraz zaczeli nagonke na FF, mowiac, ze lipa, ze tez dziurawy itp. moga sobie swoje uwagi wsadzic miedzy poslady.

czyli uwagi ze ff jest tak samo niebezpieczny jak ie sa naciagane

ostatnio robilem maly tescik. sys i tak do reinstallu, nie mam narazie na kompie nic waznego, haselka w bani, wiec postanowilem zobaczyc na ile jestem podatny na ataki.

tutaj mam wrazenie ze testowales ff

po ok godzinie antyvir wykryl 3 trojany - w javie. spywareu tez sztuk 3. dla porownania, po zalozeniu neta w zeszle wakacje co kilka dni ususuwalem po paredziesiat sztuk smiecia wszelakiego. dodam, ze wtedy mialem ten sam soft tzn AV, firewall, anty adware itp, tyle ze w starszych wersjach oczywiscie. uzywalem w tamtym czasie Ie. bez komentarza.

po okolo godzinie 3 szt => po kilku dniach kilka godzin dziennie moglo by juz byc kilkadziesiat
chyba ze ta jedna godzina ma byc przyspieszonym obrazem tych kilku dni
wiec wlasciwie nie wiem czy ta wypowiedzia zachwalasz czy ganisz ff

btw MoFo nie moze odpowiadac za jave jeszcze nie widzialem udostepnianej przegladarki z nia

[fef212]

moja wypowiedz miala miec charakter pro FF, sorki jesli sformuowalem ja niewyraznie, ale niewyrazny sam bylem, jak wstalem dzis niestety

to teraz male sprostowanie:

test robilem by "zabic" sys, ale mi sie nie udalo. w ciagu godzinki tylko pare sztuk syfu, przy probach wlazenia i klikania gdzie popadlo. kiedy uzywalem Ie, mialem po kilkanascie sztuk dziennie, a nie robilem wtedy podobnych eksperymentow, a jedynie zwyczajnie korzystalem z netu - poczta, normalne stronki itp (nie jestem pornofilem itp). odkad uzywam FF mam CZYSTO. czasem zdazy sie jakas bzdurka (przewaznie jakis robal, czasem trojan w javie, ale java to juz inna historia....), ale naprawde sporadycznie, raz na kilka tygodni, przewaznie przez nieuwage (oj qrde nie to chcialem kliknac itp).

[zwierz]

@fef212: Z appletami Javy to radzę Ci uważać. Jeśli wyrazisz zgodę na dostęp do swojego dysku jakiemuś niebezpiecznemu appletowi (JVM zawsze pyta o zgodę), to nie ma znaczenia czy używasz Firefoksa, Mozilli, Opery, IE czy czegokolwiek innego.

Co z tego, że ktoś ma drzwi antywłamaniowe, jeśli ich nie zamknie?

[Gość]

Z appletami Javy to radzę Ci uważać. J

no niestety pare razy sie przejechalem, ale madry Polak po szkodzie.... cale szczescie, ze malo groznej. zreszta z java czesto przerozne problemy sa :/

[fef212]

jakby co, to pozwyzej moje

[Ludwik]

Wyjaśnijcie mi jedną rzecz, bo nijak tego pojąć nie mogę - w jaki sposób zmiana domeny update.mozilla.org ma ludzi przed czymś ochronić? Błąd, jeśli dobrze rozumiem, polega na tym, że Fx można oszukać i przekonać go, że instalacja następuje z zaufanej witryny (czyli ze znajdującej się na whiteliście). Strona update.mozilla.org jest na whiteliście domyślne i zmiana domeny faktycznej strony nie usunie jej stamtąd, prawda? Więc jakie to zabezpieczenie? Napastnik nadal może przekonać mojego Fx że instaluje rozszerzenie z u.m.o.

Informacja, że strona umo została zabezpieczona poprzez zrobienie przekierowania jest oficjalna. Osobom, które mają tylko tę stronę na białej liście nic nie grozi, to również oficjalne. Myślę, że można uwierzyć na słowo
Nie wglębiałem się w ten bug, ale wyobrażam sobie, że to może działać na przykład tak, że strona z uprawnieniami do instalowania rozszerzeń musi zostać otwarta w ramce co pozwala oszukać Firefoksa, że to ona wykonuje daną akcję. Jeśli jednak strona zawiera przekierowanie to zawartośc takiej ramki również zostanie przekierowana i wewnątrz niej będzie strona bez uprawnień, czyli bezużyteczna.

[TomekQ]

Informacja, że strona umo została zabezpieczona poprzez zrobienie przekierowania jest oficjalna. Osobom, które mają tylko tę stronę na białej liście nic nie grozi, to również oficjalne. Myślę, że można uwierzyć na słowo

Dokładnie, dlatego fajnie byłoby gdyby to samo zrobić z polską bazą rozszerzeń (dziwne, że MoFo nie wystosowała takiej prośby do największych/najbardziej znanych źródeł rozszerzeń). Można założyć, że ktoś, kto dodał inne bazy jest 'bardziej świadomym' użytkownikiem ff i zabezpieczy się sam, można więc będzie uznać, że polscy użytkownicy są w miarę bezpieczni.

[Ludwik]

Dokładnie, dlatego fajnie byłoby gdyby to samo zrobić z polską bazą rozszerzeń

Wymagało by to przeniesienia pod inny adres (inną domenę!) całej mozillapl.org razem ze wszystkimi artykułami czy postami na tym forum. Wszystko to znajduje się w domenie z uprawnieniami.

Użytkownicy z domyślną konfiguracją programu są bezpieczni. Nie rpzeceniał bym ilości osób, które dodały polską bazę rzoszerzeń do białej listy (nawet ja tego nie zrobiłem), absolutnie nie wieżę w realną szansę żeby ktoś przeprowadzał ataki przy pomocy tej strony. To było by niemal jak gra w totka.

Wkrótce zostanie wydana wersja 1.0.4, nie ma potrzeby wykonywać histerycznych ruchów.

[Gość]

moze zamiast ewentualnego przeniesienia lepiej byloby zalecic wyczyszczenie bialej listy ? Byloby chyba po problemie ?

[zwierz]

moze zamiast ewentualnego przeniesienia lepiej byloby zalecic wyczyszczenie bialej listy ? Byloby chyba po problemie ?

To nie rozwiązuje problemu, dlatego że część użytkowników nie wie o żadnych błędach. Nie wszyscy czytają to forum, biuletyny bezpieczeństwa czy serwisy informatyczne.

Ps. Co chwilę ktoś zakłada nowy wątek o dziurach. Może zmienimy tytuł tego - bo jak widać nie wszyscy kojarzą tytuł "Firefox zaczyna dorównywac IE" z błędami bezpieczeństwa?

[Ludwik]

Ps. Co chwilę ktoś zakłada nowy wątek o dziurach. Może zmienimy tytuł tego - bo jak widać nie wszyscy kojarzą tytuł "Firefox zaczyna dorównywac IE" z błędami bezpieczeństwa?

Zmieniłem, chociaż ten temat jest akurat strasznie zasmiecony. Chyba lepiej żeby użytkownik trafił na podsumowanie, w tym stylu - http://mozillapl.org/forum/about-14559.html

[zwierz]

Chyba lepiej żeby użytkownik trafił na podsumowanie, w tym stylu - http://mozillapl.org/forum/about-14559.html

Powinien być komunikat na głównej stronie.

[Ludwik]

Zmieniłem, chociaż ten temat jest akurat strasznie zaśmiecony. Chyba lepiej żeby użytkownik trafił na podsumowanie, w tym stylu - http://mozillapl.org/forum/about-14559.html

Hmmm...
To bardzo nietypowa sytuacja i użytkownicy powinni mieć jak najprostszy dostęp do rzetelnych informacji na temat tej dziury, a przede wszystkim sposobów zaradczych.
Dlatego pozwolę sobie postąpić odwrotnie niż normalnie i na swoją odpowiedzialność zamknę ten zaśmiecony temat, a otworzę wersję z łatwiejszymi do znalezienia informacjami.

Dalsze dyskusje na ten temat można prowadzić w tym temacie.

Jeśli chodzi o zmianę adresu mozillapl.org przekażę sugestie GmBH, ale nie spodziewam się żeby na to przystał , więc myślę, że na ten temat nie ma co więcej dyskutować.