Vysoce kritická chyba Mozilly, Firefoxu a Netscapu

Diskuze čtenářů k článku

Roger  |  10. 09. 2005 10:54  | 

Docasnym resenim je (oficialne) zakazat podporu IDN (tj. domenova jmena s narodnimi znaky), ve ktere se dana chyba nachazi.
Postup je celkem jednoduchy - staci zadat jako adresu "about:config" a zmenit polozku "network.enableIDN" na "false". Pokud se na to nekdo neciti nebo se mu do toho nechce, na https://addons.mozilla.org/messages/307259.html je ke stazeni patch, ktery by to mel udelat za vas.

Souhlasím  |  Nesouhlasím  |  Odpovědět
.  |  10. 09. 2005 12:08  | 

bezva, díky :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  10. 09. 2005 13:27  | 

Dík.
Ale to s tim že se na to někdo necítí měl bejt vtip, že jo?

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  10. 09. 2005 13:29  | 

Hele, teď mě napadlo že potom asi nebude fungovat wikipedie.

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  10. 09. 2005 13:31  | 

Kupodivu funguje

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:53  | 

Wikipedia že používá IDN? To rozhodně ne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 16:21  | 

www.wikipedia.org - kde v tom máš nonASCII znaky?

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  11. 09. 2005 12:31  | 

Myslel sem že to platí i pro znaky za lomítkem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  10. 09. 2005 15:38  | 

Proc by to mel byt vtip? Nekomu se v tom treba nechce hrabat, ale radeji si stahne patch, ktery to udela vsechno za nej.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ondrej Mikle  |  10. 09. 2005 14:52  | 

Skusal som to s Firefoxom 1.0.6, IDN zapnute (v about:config) a nic. Potom som ho debugoval vo valgrinde (http://valgrind.org) a ani valgrind neukazuje ziadny zapis mimo alokovanej pamate.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Karel Kahovec, Karel Kahovec  |  10. 09. 2005 10:55  | 

Nemělo by být správným dočasným řešením přejít na jiný browser? ))

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hoppus  |  10. 09. 2005 10:57  | 

aj to,ale ak dakto prejde na iny browser,tak sa mu uz naspat nebude chciet vracat a to je pre Firefox fuj fuj.

Souhlasím  |  Nesouhlasím  |  Odpovědět
d  |  10. 09. 2005 10:58  | 

e-links?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Smrtelnik, Smrtelnik  |  10. 09. 2005 10:59  | 

Prechazet na jiny browser kdykoli se v nem objevi chyba? To neni dobra volba. To by clovek nedelal nic jineho, nez preskakoval z jednoho browseru na druhy ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
AZOR.  |  10. 09. 2005 10:59  | 

jj meli by jste přejít ke mě a k microsoftu na IE , třeba časem pochopíte, že ie je bezpečnější (viz počet zjištěnejch useru/pocet uzivatelu , doma kterou se ted danej prohlizec vyskytuje .... a by se to dalo srovnávat tak IE s vypnutým activex ...) a hlavně je víc user friendly

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 11:33  | 

Naopak, je třeba utéct OD Microsoftu - chyby prohlížečů jsou zneužitelné většinou jen v OS WIDLE.
Jinak, osobně považuji Firefox za bastl, sám jedu většinou na Konqueroru, občas pustím Operu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Drunken Monkey  |  10. 09. 2005 16:14  | 

Kecas hovadiny, konkretne chyba s pretecenim zasobniku je zneuzitelna kdekoliv, protoze umozni spustit jakykoliv kod s pravy uzivatele, ktery ten prohlizec zrovna pouziva.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 16:25  | 

Jenže ten "jakýkoliv kód" už není napsaný pro jakýkoliv systém.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 16:23  | 

Kdyby se Konqueror nesložil už na AbcLinuxu a neměl tak kostrbatá písma, tak ho beru.

Dá se v Konqueroru nějak nastavit, aby vyhlazoval písma? V KDE to zapnuté mám, ale Konq to ignoruje.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 16:38  | 

No podle toho, že jak píšeš, někde padá, máš asi starou verzi, ty to dělávaly. Nainstaluj si verzi >3,4.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 17:24  | 

Já mám 3.4.2 a nemyslím padání, ale pomalé renderování (skoro se to zasekne)...už to mají v bugzille.

Souhlasím  |  Nesouhlasím  |  Odpovědět
eqixat  |  11. 09. 2005 11:32  | 

"Kdyby se Konqueror nesložil už na AbcLinuxu a neměl tak kostrbatá písma, tak ho beru.
Dá se v Konqueroru nějak nastavit, aby vyhlazoval písma? V KDE to zapnuté mám, ale Konq to ignoruje."
konqueror má vlastní nastavení písem, ale měl by defaultně používat písmo co je v systému. jenomže myslím, že vyhlazovaná písma jsou akorát bitstream vera (dejavu) a luxi. a právě někteří webdesignéři dělají tu chybu, že dávají do stylu písmo helvetica, které vyhlazované není.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  11. 09. 2005 11:47  | 

S tou helveticou máte úplnou pravdu, Konqueror (default nastavení v Suse - takže jsem se o to nestaral) ji však nepoužije, já mám v Konqueroru písma vyhlazená. Setkal jsem se s tím ale v Opeře 7,54 - tam jsem to řešil uživatelským  style m.

Souhlasím  |  Nesouhlasím  |  Odpovědět
eqixat  |  11. 09. 2005 12:03  | 

jo, přesně tak. stačit by mělo dát do stylu:
* {font-family: sans-serif}
a tím by se mělo používat písmo nastavené jako výchozí pro bezpatkové.

vzhledem k tomu, že vy to, jak vidím, víte, tak tohle je směřované spíš na LubosD, který měl původní dotaz na kostrbatá písma v konq.

Souhlasím  |  Nesouhlasím  |  Odpovědět
antilinuxák  |  10. 09. 2005 16:47  | 

Pořád lepší systém který má menší chyby,než Linux který je sice nemá v takovém počtu,ale hodí se pouze k otvírání textu a obrázků,nic víc neumí.To lépe je na tom už Symbian.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  10. 09. 2005 17:25  | 

Vase vedomosti o linuxu sou dost omezene rekl bych........a to mam widle...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 17:48  | 

Proč myslíš ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tralalak  |  10. 09. 2005 22:21  | 

predpokladam ze ucetnich a danovych programu jsou pod linuxem na vyber take desitky 

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 22:47  | 

Třeba www.alfaprojekt.cz.

Souhlasím  |  Nesouhlasím  |  Odpovědět
tonda  |  10. 09. 2005 22:37  | 

Tos tedy trochu přehnal. Pro linux pořádný šachový program neexistuje!!! Ty, co jsou, se pohybují výkoností tak ve druhé stovce šachových programů, což je pro trochu silnějšího šachistu absolutně nepoužitelné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 22:56  | 

Já šachista nejsem, ale se slovem "neexistuje" bych byl opatrný ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
tonda  |  10. 09. 2005 23:10  | 

Tak se podívej na švédskou listinu ELO počítačů, a pak být opatrný nemusíš...

Souhlasím  |  Nesouhlasím  |  Odpovědět
tonda  |  10. 09. 2005 23:11  | 

pardon, šachových programů.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mark  |  11. 09. 2005 00:39  | 

Ja by som si to rad pozrel. Napis link.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  11. 09. 2005 11:36  | 

Můžu poprosit o link ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 13:05  | 

http://www.elhchess.demon.co.uk/ehss.htm
http://www.calmar.ws/fritz_and_wine.php

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 12:58  | 

Pod Wine chodí například Fritz. Ten by měl většinu amatérských šachistů uspokojit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mark  |  11. 09. 2005 13:21  | 

"Ty, co jsou, se pohybují výkoností tak ve druhé stovce šachových programů"

Ja som si tu svedsku listinu nasiel. Je to toto, ze? http://web.telia.com/~u85924109/ssdf/list.htm

Z linuxovych programov tam vidim Crafty na 38. mieste.

Souhlasím  |  Nesouhlasím  |  Odpovědět
MarSik  |  11. 09. 2005 19:03  | 

Ja vidim Crafty dokonce na 34. miste a jenom bych dodal, ze u crafty dost zalezi na databazi partii, kterou mu date na uceni ;)

A jinak pokud tady nekdo v diskusi povazuje za prumerneho sachistu nekoho s ELO cca 2600 (jako ma to Crafty), tak se asi pohybuje ponekud v jinych dimenzich nez my ;) Protoze ja tech s elo 2000 a vic v tabulkach zase tak moc nevidim.

Souhlasím  |  Nesouhlasím  |  Odpovědět
MarS  |  11. 09. 2005 19:11  | 

Tady se muzete podivat, kolik je u nas hracu, kteri by toho teoretickeho hodnoceni, co ma Crafty, dosahli:

http://www.chess.cz/html/index.php?module=subjects&func=viewpage&pageid=1403#H

..aaano vidite spravne ;) zadny ;)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomáš  |  11. 09. 2005 23:31  | 

ani bych nechtěl takovej rating jako má Navara, když bych byl jako on. Víte co o něm řekl Boby Fisher že? Že je to ichtyl a magor.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jirka, Jirka  |  11. 09. 2005 19:05  | 

Free sachum chybi knihovny her. Jinak enginy jsou celkem ok. Nic Ti ale kazdopadne nebrani pustit si sachy pod wine. Nijak moc zpomalene nebudou, pro vlastni vypocty se zrejme Windows API pouziva minimalne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  11. 09. 2005 12:37  | 

Pěkněs mu to natřel.
BTW co to je ta předpověď počasí?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 12:59  | 

To je nějaký aplet pro Superkarambu, řekl bych.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  11. 09. 2005 14:05  | 

Ano, Liquit Weatherr pro Superkarambu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  11. 09. 2005 14:08  | 

Pardon : LIQUID WEATHER

Souhlasím  |  Nesouhlasím  |  Odpovědět
Matěj  |  12. 09. 2005 17:03  | 

Ježiš ten Linux je odpornej, jak omalovánky. Totálně nepřehlednej.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Fisik  |  10. 09. 2005 12:36  | 

user friendly ... haha ... no flame FO IE

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mark  |  10. 09. 2005 11:02  | 

Z kaluze pod odkvap?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:40  | 

Jo, Konqueror i Opera jsou vcelku dobré, ale když já už jsem si na ten Firefox zvyknul. Naštěstí IDN je taková kravina, že její vypnutí je řešení takřka dokonalé.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lamer  |  10. 09. 2005 11:00  | 

tak proto mi up2date ve fedore nabidl aktualizaci a zranitelnost je opravena

Souhlasím  |  Nesouhlasím  |  Odpovědět
SuSEr, SuSEr  |  10. 09. 2005 11:00  | 

o chybu tykajici se narodnich znaku v adresach,pak se, vzhledem k tomu kolik takovych adres je, jedna zase jen o bouri ve sklenici vody.

Souhlasím  |  Nesouhlasím  |  Odpovědět
skyfinger, skyfinger  |  10. 09. 2005 11:20  | 

Zranitelnost je způsobena chybou v kódu obsluhy URL řetězce. Pokud URL obsahuje v doménovém jméně znak 0xAD, dojde k přetečení zásobníku.
 
Kolik je na světě adres s národníma znakama je snad irrelevantní ne????? Já si můžů udělat odkaz na www.přílišžluťoučkýkůň.cz a je úplně jedno, že neexistuje!

Souhlasím  |  Nesouhlasím  |  Odpovědět
Global Admin, Global Admin  |  10. 09. 2005 11:05  | 

Znamena to, ze staci kliknout na odkaz v jehoz domenovem jmene bude ten znak a chyba se hned projevi?? Wow

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pavel  |  10. 09. 2005 12:00  | 

Nikoliv.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 11:19  | 

Proč neříkáte "vysoce kritická chyba" u Internet Exploreru, ale je u konkurenčního software?

Souhlasím  |  Nesouhlasím  |  Odpovědět
elipsoid, elipsoid  |  10. 09. 2005 11:23  | 

Secunia.com:
[quote]Firefox URL Domain Name Buffer Overflow - Highly critical - 2005-09-09[/quote]

Zachovej chladnou hlavu, registrovanej linux usere.

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 12:01  | 

To jsem nepochopil elipso? Nechápu proč se stejně nevyjadřují, pokud se jedná o IE...

Souhlasím  |  Nesouhlasím  |  Odpovědět
kernel panic [passed]  |  10. 09. 2005 12:11  | 

že je IE plnej chyb, to dnes ví už kdekdo...ale u FF (a jiných alternativ) se to musí specielně zdůraznit, jelikož kolem alternativních prohlížečů se za poslední rok shromáždilo procentuelně víc BFU...tak proto :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
elipsoid, elipsoid  |  11. 09. 2005 20:31  | 

Nevsiml jsem si, ze by se secunia vyjadrovala jinak o IE. Je to standardni skala hodnoceni...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin  |  10. 09. 2005 11:27  | 

Cenu za babráctví získává:

1. Ten, kdo ve FF napsal nebezpečný kód,

2. zive.cz, které ve zprávě o chybě opět udělalo chybu - "přetečení zásobníku". V originále je "This can be exploited to cause a heap-based buffer overflow." Pane Jurásek, nastudujte si, jaký je rozdíl mezi zásobníkem a haldou. Je to základní znalost.

P. S. Přímý odkaz na původní advisory by též neškodil.

Souhlasím  |  Nesouhlasím  |  Odpovědět
KillerZero, KillerZero  |  10. 09. 2005 13:35  | 

Pro ne-programátora to rozhodně základní znalost neni.

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:45  | 

Pro neprogramátora není nutné něco takového vůbec uvádět. Ale když už něco napíšu, měl bych vědět, o co se jedná. Jinak je ale fajn, že o tom na Živě napsali.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Multimotyl  |  10. 09. 2005 16:03  | 

No jestli tady takhle žongluješ s jazykem, tak jen připomínám, že 5. pád jsme se učili dřív než programování.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin  |  10. 09. 2005 18:54  | 

Nejde ,,jen'' o slovíčkaření. Princip provedení exploitu při přetečení zásobníku - obvykle začíná přepsáním návratové adresy funkce/metody - je jiný než při přetečení bufferu na haldě. Kde k přetečení bufferu došlo, je pro mě zajímavá informace.

Za lingvistickou připomínku děkuji, já zas připomínám, že je stylisticky nesprávné po větě podmínkové uvozovat hlavní větu důsledkovou souřadnou spojkou (když - tak).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bohdan Linda  |  10. 09. 2005 11:46  | 

Pane Jurasek, takze: chyba je ve verzich
1) <=1.0.6
2) =1.5 beta1

Takze se jedna o outdated verze a o beta verzi nove generace prohlizece. Skvele

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  10. 09. 2005 13:30  | 

Ehm, ona existuje novejsi stabilni verze FFoxu nez 1.0.6?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hoween  |  10. 09. 2005 12:05  | 

Paradoxem je, že pan Jurásek vydává tuto novinku v okamžiku, kdy je chyba už několik hodin v CVS opravena, otestována a zařazena do aktuálních nightbuildů (trunk -> Firefox 1.6a a Seamonkey 1.1a, branch 1.7 -> Firefox 1.0.7 a Suite 1.7.12, branch 1.8 -> Firefox 1.5 Beta 1).

Vydání FF 1.0.7 a Suite 1.7.12 v tuto chvíli nic nebrání a je pravděpodobné, že během několika málo dní půjdou k testům mezi větší okruh testerů a vzápětí budou vydány jako nové verze opravující tuto chybu. Můj osobní odhad je 5 dní. Beta verze FF se jako taková opravovat nebude, neboť není určena pro koncové uživatele. Tam bude oprava pouze v rámci jejího nightbuildu.

Původní report: http://security-protocols.com/advisory/sp-x17-advisory.txt
Secunia: http://secunia.com/advisories/16764/
Bugzilla: https://bugzilla.mozilla.org/show_bug.cgi?id=307259

Souhlasím  |  Nesouhlasím  |  Odpovědět
Libb  |  10. 09. 2005 21:00  | 

jak opraveno? Právě jsi napsal, že podle tebe za 5 dnů! To znamená, že je jen dobře, když jsou lidé upozorněni, že je nějaká chyba ohrožuje, ne?
Nic proti, ale oprava zdrojáků v CVS je mně jakožto koncovému uživateli platná jako mrtvému kabát.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Clarke, Clarke  |  11. 09. 2005 14:22  | 

proc? ty si nekompilujes softy z CVS?

Souhlasím  |  Nesouhlasím  |  Odpovědět
czHannes.com, czHannes.com  |  10. 09. 2005 12:34  | 

jako vzdy...

http://hannes.wz.cz/fkill.htm

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:35  | 

A co to má jako dělat?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:54  | 

Jasně, už to vidím. Ale stejně máš tu stránku okopírovanou odjinud.

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:58  | 

Hm,tohle mělo být pod komentářem Hannese...

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 16:20  | 

A tenhle bug frajeři z Mozilly ignorují nebo už ho v CVS opravili?

Souhlasím  |  Nesouhlasím  |  Odpovědět
BrandIt  |  10. 09. 2005 16:33  | 

Nechápu. Otevře se prázdná stránka - a co má být?

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 17:26  | 

No, mě se to teda zasekne...mám toto: Mozilla/5.0 (X11; U; Linux i686; cs-CZ; rv:1.7.10) Gecko/20050909 Firefox/1.0.6

Souhlasím  |  Nesouhlasím  |  Odpovědět
Wosonj, Wosonj  |  10. 09. 2005 22:52  | 

hezky, ale nerekl bych ze se jedna o princip zde popisovany...

Souhlasím  |  Nesouhlasím  |  Odpovědět
vpar  |  10. 09. 2005 23:23  | 

Je to bug Windows renderingu, ne FF.

Souhlasím  |  Nesouhlasím  |  Odpovědět
lyon  |  11. 09. 2005 11:29  | 

Rikam si, proc ta chyba nefunguje :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
mam  |  13. 09. 2005 07:12  | 

widle + ff a je tam prazdna stranka, co to ma delat?

Souhlasím  |  Nesouhlasím  |  Odpovědět
domorodec  |  10. 09. 2005 13:17  | 

To jsem zvědav, kolik tu bude příspěvků od těch zastánců (fanatiků) Firefoxu, když jsou jejich "bleskové" reakce okamžité, při napsání nějakýho negativního příspěvku od zive.cz vůči IE.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ladik  |  10. 09. 2005 13:42  | 

Chci videt spusteni nebezpecneho kodu - proste jakykoli exploit pro FF nebo Operu. Vzdy a vsude se pise, ze to muze vest ke spusteni kodu. Proste chci to videt v praxi, jak navstivim nejakou stranku a treba se pusti notepad.exe nebo nejaka mini aplikace, kterou v pocitaci ani nemam. Neverim totiz tomu, ze je to tak jednoduche takovou aplikaci napsat, aby to fungovalo - dyk by treba na por*oserverech takhle mohli instalovat spyware do pocitacu, tak proc to neudelaj? Mate nekdo link na zaruceny (ale bezpecny) exploit prohlizece jineho nez IE?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 13:48  | 

To riziko je samozřejmě minimální, ale tato chyba svou povahou mezi vysoce závažné určitě patří.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ladik  |  10. 09. 2005 16:53  | 

Souhlasim, ale stejne to chci videt.

Souhlasím  |  Nesouhlasím  |  Odpovědět
czHannes.com, czHannes.com  |  11. 09. 2005 09:51  | 

hm tak to neni vubec problem, mam tady par private vecicek co ti treba zformatujou okamzite disk, funguje to pro firefox <=1.0.5

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 12:55  | 

Nekecáš?

Souhlasím  |  Nesouhlasím  |  Odpovědět
huugh  |  11. 09. 2005 14:36  | 

zjova, a jakpak to asi tak dela? na to musis byt admin...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ladik  |  11. 09. 2005 17:30  | 

Tak nekam hod link, ne? Pokud mluvime o Win, tak bych si prosil treba spusteni toho notepad.exe. To mi jako demonstrace bude stacit (chci to jako exploit a ne jako aplikaci v jave, ktera neco lokalne spusti).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Ozzy  |  10. 09. 2005 14:10  | 

No hlavně,když pořád všichni nadáváte na Internet Explorer-)))))))))))))))))))))))))))))

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 14:54  | 

No on IE napáchal už spoustu opravdových škod, toto je jenom potenciální nebezpečí, takže proto. Kromě toho, že IE nic pořádně neumí, samozřejmě.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  10. 09. 2005 18:42  | 

Jenže diametrální rozdíl je v přiznání existence problémů, jejich závažnosti a rychlosti řešení.
http://en.wikipedia.org/wiki/Comparison_of_web_browsers#Vulnerabilities

Souhlasím  |  Nesouhlasím  |  Odpovědět
RK  |  10. 09. 2005 14:12  | 

hernajs a kde je u tak "zavažného a vysoce" odborného článku p.Tomeš a spol?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  10. 09. 2005 18:50  | 

V době psaní tohoto článku byl již několik dní znám způsob řešení problému, pozice Mozilla Foundation i opravné balíčky.

http://mozillazine.org/talkback.html?article=7307

A to vše rozhodně mělo být v článku zmíněno, příp. měl být co nejdříve aktualizován, protože to jsou dost podstatné informace, které by zamezily bezpředmětným diskusím o (ne)bezpečnosti rychle a včas opraveného produktu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
prohlížeč  |  10. 09. 2005 15:28  | 

Vždyť to není možné! Firtefox je přece nejbezpěčnější prohlížeč planety. Tak to teda ne, je potřeba přejít na IE, vždyť tyhle náhražky prohlížečů jsou 100% horší. A s přibývajícím rozšířením se zjišťuje, že jsou děravější než ementál. Nebrat. pryč od toho

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  10. 09. 2005 15:50  | 

Řekl bych že v tomto okamžiku je nejbezpečnější (z moderních grafických prohlížečů) Konqueror na OS Linux. Proč ?
Konqueror je málo rozšířený (udává se tak 0,5%) a naprogramovat nějaký sajrajt pro Linux je velmi obtížné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
muhehehe  |  11. 09. 2005 11:23  | 

ked uz spominas Konqueror, tak mi napada, preco nie Galeon? tiez je moderny, pod linuxom a nerozsireny :), muhehehe

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 11:53  | 

Protože je postavený na Gecku?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Widle_patri_do_hnoje, Widle_patri_do_hnoje  |  11. 09. 2005 11:57  | 

1.) Galeon má jádro Gecko, podobně jako Mozilla a Firefox.
2.) Já jej nepoužívám.

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  11. 09. 2005 11:58  | 

A kromě toho, Galeon byl moderní tak před 4-5 lety. Tenkrát obsahoval spoustu zajímavých vlastností, ale byl problém ho zkompilovat a byl nestabilní. Pak udělali novou verzi, která toho uměla ani ne polovinu a byla zase nestabilní. A donedávna tomu tak bylo. To je klasika - namísto toho, aby stavěli browser od základu, pomalu a kvalitně (jako Konqueror), zbastlili autoři zajímavý, ale zpackaný projekt. A pak už jenom vymýšleli ptákoviny (nový formát bookmarků spolu s dalším "výtečníkem" zvaným Epiphany, ořezávali zajímavé vlastnosti a plácali se v problémech. Je to už dneska lepší?

Souhlasím  |  Nesouhlasím  |  Odpovědět
shrek  |  10. 09. 2005 15:59  | 

Jasně a pro jistotu si nainstaluj MS-DOS a Windows 3.1 s IE 3.0. Tak budeš mít ten nejbezpečnější a nejlepší systém ze všech. Ještě to chce dvoutlačítkovou MS Mouse z roku 1989 a 14" monitor, místo DVD vypalovačky si dej 5,25" disketovku a zážitek bude dokonalý.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Franta Jetel  |  10. 09. 2005 17:30  | 


Jezismarja...
Jinak jste OK ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  10. 09. 2005 18:40  | 

"Tak to teda ne, je potřeba přejít na IE, vždyť tyhle náhražky prohlížečů jsou 100% horší."

IE má horší bezepčnosntí koncepci, více, více závěžných a mnohem pomaleji či vůbec řešených zranitelností než ostatní prohlížeče:
http://en.wikipedia.org/wiki/Comparison_of_web_browsers#Vulnerabilities
http://www.czilla.cz/clanky/bezpecnost-mozilly-a-odvozenych-prohlizecu.html

Souhlasím  |  Nesouhlasím  |  Odpovědět
AstorLights, AstorLights  |  12. 09. 2005 10:14  | 

To sou zase kydy

Je otázka jestli Firefox má lepší "bezpečnostní koncepci" když se ukazuje že ten bastl NEMÁ ANI POŘÁDNĚ OTESTOVANÝ BUFFER OVERFLOW U DEKÓDOVÁNÍ ADRESNÍHO ŘÁDKU ! To by se dalo čekat u nějakého pseudoprográmku co dělají lidi jako zápočet, prosím, ale u Firefoxu ?! No to snad NE !  To má být jako bezpečnostní koncepce ? Mwahhhahhahahaa

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  13. 09. 2005 18:39  | 

Jistěě má Firefox mnohem lepší bezepčnostní koncepci než IE když obsahuje méně, méně závažných a výrazně rychleji řešených chyb než IE a nabízí zajímaé motivační programy pro včasné vyhledávání a opravy zranitelností, které se potenciálně mohou stát bezepčnostní hrozbou.

Zatím není znám jediný případ zneužití chyb ve Firefoxu (oproti IE), náchylnost Firefoxu k spywaru a dalšímu "smetí" je také výrazně nižší, což může potvrdit prakticky téměř každý (např. zde ve fóru nebo poradně), kdo na Firefox přešel z IE.

Souhlasím  |  Nesouhlasím  |  Odpovědět
AstorLights, AstorLights  |  14. 09. 2005 14:03  | 

Pokud to bereš z pohledu uživatele - ano, vypadá to skutečně tak, že tím, že se ve FF nachází méně chyb než v IE a že jsou virtuálně rychleji vyřešeny - že má FF lepší "bezpečnostní koncepci". Ovšem v tomto úhlu pohledu to není vlastně bezpečnostní koncepce.


Ovšem zkus se na to podívat z pohledu programátora - profesionála. Když takový jedinec vidí, že se ve FF najde ještě i dneska chyba v bufer overflow u dekódování adresy - tedy v jedné z nejexponovanějších částí kódu (!) - tak si podle mně pomyslí o bezpečnostní koncepci to, že žádná není, a že se vývojáři spoléhají jen na to že tu chybu někdo najde a nahlásí. Fakt, že na takovou chybu přišli až teď taky ukazuje na to, že nikdo aktivně nekontroluje ani ty opravdu kritické části kódu.


Čili podle mně - zdánlivě z hlediska bfu má FF lepší bezpečnostní koncepci protože "navenek" reaguje rychleji, ale ve skutečnosti na bezpečnost celkem dlabou, protože si to vlastně můžou dovolit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Kačenka 29l  |  10. 09. 2005 18:30  | 

http://cs.wikipedia.org/wiki/Hlavn%C3%AD_strana A nic to nedělá ani bez Patche ! Firefox 1.06

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  10. 09. 2005 19:32  | 

Ty seš asi blbec, co?

1) kde je v doméně cs.wikipedia.org nějaký nonASCII znak, co by vyžadoval IDN?
2) aby se něco stalo, tak se to asi musí nějak zneužít - proč se tam asi píše o znaku 0xAD?

Souhlasím  |  Nesouhlasím  |  Odpovědět
netsend  |  10. 09. 2005 20:51  | 

tady je bugfix:
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi

Souhlasím  |  Nesouhlasím  |  Odpovědět
Libb  |  10. 09. 2005 21:05  | 

díky

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  10. 09. 2005 22:47  | 

Nechci (moc) machrovat, ale linkoval jsem to uz pred deseti hodinami (dokonce je to jako prvni prispevek do diskuse).
Takze: Vitej v Americe, Kolumbe! :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
tonda  |  10. 09. 2005 22:47  | 

Takže za VYSOCE KRITICKOU chybu se zde označuje probém při použití nonASCI znaků? A kdo je vůbec používá? Jak by pak měly být označeny bugy v IE? Jako smrtelné? Systém likvidující?

Souhlasím  |  Nesouhlasím  |  Odpovědět
LubosD, LubosD  |  11. 09. 2005 12:38  | 

Kdo je používá? No právě ten, co tu chybu zneužije.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Marekzprahy  |  11. 09. 2005 18:34  | 

by mě zajímalo, jestli by stačilo tu nebezpečnou stránku otevřít v pop-upu nebo iframu.. takových diskusí, kde jde vkládat html, není zrovna pár..

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lada, Lada  |  13. 09. 2005 01:39  | 

Pánové, hádáte se krásně, ale kolik adres s tímto znakem jste viděli? Já jsem až na pár výjimek (mezi ně patří stránky Microsoftu, kde je adresa jak šifrovací klíč) všecky adresy viděl na adresním řádku a že by mému Firefoxu něco přetékalo, jsem si nevšiml, takže nebezpečnost chyby vidím na stejné úrovni, jako pád meteoritu na mou hlavu přesně při odbití poledne libovolného dne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk