Ειδήσεις του dotNETZone.gr

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

Mitsaras — Tue, 03 Oct 2006 03:12:55 GMT

Προσωπικά προσπαθώ πολύ ώστε τα web applications που κατασκευάζω (ή έχω λόγο σε αυτά), να είναι XHTML 1.1 compliant. Ομολογουμένως, με την ASP.NET 2.0, αυτός ο στόχος είναι πιο εύκολος από ποτέ.

Το πρόβλημα λοιπόν δεν είναι τόσο η ασυμβατότητα των browsers σε XHTML compliant σελίδες (αν και υφίσταται κι αυτό), όσο το ότι για να επιτύχεις κοινό functionality, πρέπει πολλές φορές να καταφεύγεις σε αλχημείες (javascript, IE-only CSS comments κλπ).

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

Χρήστος Γεωργακόπουλος — Tue, 03 Oct 2006 03:12:04 GMT

Mitsaras wrote:
Μακάρι να μην αργήσει και η εποχή που για τους web-developers δε θα παίζει καθόλου σημασία ο browser του επισκέπτη...

Εγώ το εκλαμβάνω ώς "Ο browser παίρνει τα standards και τα ακολουθεί σαν ευαγγέλιο", οπότε ότι και να φτιάξεις είναι το ίδιο σε όλους τους browsers γιατί κρατάνε το ίδιο ευαγγέλιο...

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

Dimitris Papadimitriou — Tue, 03 Oct 2006 02:39:17 GMT

Mitsaras wrote:
Δείτε και το θετικό της υπόθεσης. Το browsing είναι αρκετά ασφαλέστερο απ' ότι ήταν 1-2 χρόνια πριν.

Ισχύει σε μεγάλο βαθμό. Αν και η βελτίωση της ασφάλειας έγινε περισσότερο με την προστασία του χρήστη από τον εαυτό του παρά από τρίτους.

Mitsaras wrote:
Μακάρι να μην αργήσει και η εποχή που για τους web-developers δε θα παίζει καθόλου σημασία ο browser του επισκέπτη...

Δεν νομίζω ότι είναι πολύ μακρυά. Αν κανείς ακολουθήσει σωστές πρακτικές μπορεί πλέον εύκολα να γράψει cross-browser εφαρμογές.

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

Mitsaras — Tue, 03 Oct 2006 01:50:26 GMT

Δείτε και το θετικό της υπόθεσης. Το browsing είναι αρκετά ασφαλέστερο απ' ότι ήταν 1-2 χρόνια πριν.

Μακάρι να μην αργήσει και η εποχή που για τους web-developers δε θα παίζει καθόλου σημασία ο browser του επισκέπτη...

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

KelMan — Tue, 03 Oct 2006 01:34:07 GMT

Όχι πάλι IE vs Firefox, δεν θα αντέξω...

Απ: Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

Dimitris Papadimitriou — Mon, 02 Oct 2006 21:29:53 GMT

Όντας οπαδός του Internet Explorer και σε μια κρίση ειλικρίνιας προς τους οπαδούς του Firefox, έχω να πω πως η αρχή του άρθρου θυμίζει περισσότερο εισαγωγή άρθρου της Microsoft, κάθε φορά που ανακαλύπτει τρύπα στον IE : "Ο επιτιθέμενος θα μπορούσε να ελέγξει ένα υπολογιστή που τρέχει το browser με την απλή δημιουργία μας σελίδας Web που θα περιείχε το πιθανό κακόβουλο JavaScript κώδικα....". Κάπως έτσι ξεκινάνε τα περισσότερα comments για τα patches της Microsoft.

Από την άλλη, αν αφήσουμε στην άκρη το πιο τρωτό σημείο του IE - την υποστήριξη ActiveX - δεν βλέπω το λόγω γιατί ο Firefox να είναι πιο ασφαλής. Πολύ θα πουν ότι είναι open source και τα λάθη μπορούν να βρεθούν πιο εύκολα. Αμφιβάλω!

Τώρα, μεταξύ μας... (εμάς τους χρήστες του Internet!!! μην το πείτε παραέξω) μυρίζει και λίγο εκστρατεία "κάποιων" να επισημανθούν τα προβλήματα του Firefox (βλ. επίσης http://www.dotnetzone.gr/cs/forums/17374/ShowPost.aspx). Δεν είναι κακό!!! Άλλωστε υπάρχουν στιγμές που νομίζω ότι η εκστρατεία για την επισήμανση των προβλημάτων του IE άρχισε από την μέρα που εξαφανίστηκαν οι δεινόσαυροι από τη γη!!!

Hackers αναφέρουν κρίσιμο κενό ασφαλείας στο FireFox

George J. Capnias — Mon, 02 Oct 2006 08:05:28 GMT

O open-source Web browser Firefox έχει ένα σοβαρό κενό ασφαλείας στο τρόπο που χειρίζεται την JavaScript, όπως αναφέρθηκε από δύο hackers το περασμένο Σάββατο το απόγευμα.

Ο επιτιθέμενος θα μπορούσε να ελέγξει ένα υπολογιστή που τρέχει το browser με την απλή δημιουργία μας σελίδας Web που θα περιείχε το πιθανό κακόβουλο JavaScript κώδικα, όπως αναφέρθηκε από τους Mischa Spiegelmock και Andrew Wbeelsoi στην παρουσίασή τους στο ToorCon hacker conference. Το κενό ασφαλείας επηρεάζει τον Firefox στα Windows, στο Apple Computer's Mac OS X και στο Linux, όπως αναφέρθηκε.

"Ο Internet Explorer, όπως είναι γνωστό, δεν είναι και ο πιο ασφαλής browser. Αλλά ο Firefox είναι επίσης το ίδιο ανασφαλής," είπε ο Spiegelmock, ο οποίος για εργάζεται για την εταιρεία SixApart. Αυτός περιέγραψε το κενό ασφάλειας, παρουσιάζοντας ένα slide που έδειχνε τα κύρια σημεία του κώδικα της επίθεσης που απαιτείται για την εκμετάλλευση του κενού ασφαλείας.

Το κενό ασφαλείας έχει να κάνει ειδικά στον τρόπο που Firefox κάνει υλοποίηση της JavaScript, που είναι η κυρίαρχη γλώσσα scripting που χρησιμοποιείται στο Web. Συγκεκριμένα, με διάφορα προγραμματιστικά κόλπα είναι δυνατόν κάποιος να προξενήσει ένα σφάλμα stack overflow, είπε ο Spiegelmock. Ακόμη δήλωσε ότι η υλοποίηση της JavaScript είναι "απόλυτα χάλια" και "δεν είναι δυνατό να διορθωθεί."

Αυτό το ζήτημα με την JavaScript φαίνεται να είναι ένα υπαρκτό κενό ασφαλείας, καθώς η Window Snyder, Mozilla's security chief, δήλωσε αφού παρακολούθησε το βίντεο της παρουσίασης το Σάββατο. "Αυτό που περιγράφεται πιθανώς να είναι μια παραλλαγή μιας παλαιότερης επίθεσης," δήλωσε και "θα πρέπει να κάνουμε σχετική έρευνα."

Διαβάστε περισσότερα: Hackers claim zero-day flaw in Firefox

George J.