Lasītāji man sūta norādes uz kārtējo Firefox ievainojamību.
The problem is that Mozilla and Mozilla Firefox don’t restrict websites from including arbitrary, remote XUL (XML User Interface Language) files. This can be exploited to “hijack” most of the user interface (including tool bars, SSL certificate dialogs, address bar and more), thereby controlling almost anything the user sees.
Beidzot ir pieķērušies arī Mozillas XUL “iespējām”, kas šobrīd nu jau ir apgriezušās uz otru pusi un ir uzskatāmas par trūkumiem. Gluži tāpat kā tas bija ar Microsoft ActiveX. Domāju, ka līdz šim viss bija kluss un mierīgs, jo maz kādam interesēja XUL iespējas, jo uz tā bāzes kaut ko izstrādāt nebija lielas jēgas. Šobrīd, kad Mozillas produkti ir topā, sāk līst ārā “apslēptās” jeb līdz šim noklusētās iespējas.
Šī jau ir otrā Mozillas ievainojamība, ko es ievēroju, kas tika atrasta pateicoties kādam jaunietim, kas vai nu pētīja šo tehnoloģiju, lai par to rakstītu savu bakalaura vai kādu citu darbu, vai arī vienkārši vēlējās to izmantot, lai kaut ko izstrādātu. No tā varētu izsecināt, ka šādas jaunas nepilnības varētu atrast arvien vairāk.
Problēmas būtība ir tāda, ka izmantojot XUL ir iespējams no jebkura attālināta servera, uz kuru ir nonācis apmeklētājs, palaist speciāli izveidotu skriptu, kas dublicēs pārlūka izskatu un piedāvās savas pogas un dialogu logus. Aizejot uz šo aprakstu var izmēģināt uz sava pārlūka šo nekaitīgo skriptu, lai redzētu kaut ko līdzīgu šai bildei.
Redzamajā bildē pilnīgi viss ir viltots, izņemot pašu adresi. Un bēdīgākais ir tas, ka par šo nepilnību Mozilla izstrādātāji bija informēti jau tālajā 1999.gadā, kad tika izveidots attiecīgs ieraksts Bugzillā, bet tas tika slēgts un bija pieejams tikai izstrādātājiem. Iespējams, ka tas tika atlikts uz vēlāku laiku, jo toreiz tik tiešām tas varēja nebūt tik būtiski.
Pagaidām mani šī ievainojamība neuztrauc, bet es to uzskatu par ļoti nopietnu nepilnību un tai pēc iespējas ātrāk ir jābūt novērstai. Redzēsim cik ātri tā tiks novērsta.
Izrādās ka arī "mega-browsera" izstrādātāji marinē pārlūka kļūdas un labo daudz vēlāk (nu pēc gadiem 5)
Bet protams MS sūkā, sūkā nereāli….
blje ka var dirst bezjeegaa – neiet runa par krutumu/suukaashanu iet runa par to cik pasham galva straadaa un cik loku izliekuma lenjkis pret horizontu ir liels….
Tsss, mierīgi. Fleims tiks ļoti ātri likvidēts.
Nee.. nu iespēja jau baigi labā… Gan jau, ka drīz arī šito smukumu apgriezīs… Tomēr, kamēr tas nav plaši izplatīts, es nemaz neuztraucos… Labāk būtu jāsāk uztraukties par mobilo iekārtu vīrusiem… Es jau nu negribētu, lai tārpiņš ložņātu pa manu mobu un sūtītu visiem maniem grāmatiņā esošajiem 200 purniem SMS`us!!
Skumji, skumji – nekas nav perfekts un nebūs, nav ko cerēt uz brīnumiem.
Nu re mozzillām arī parādās gļuki. Pilnīgi priex 😉 Moš saaks apdirst mazāk manu mīļāko browseri IE 😉
Jā, varbūt man arī nepatīk Microsoft politika, bet me patīk lietot viņu softu (usability ziņā vismaz – moš arī pieradums:).. Uz paarmetumiem par drošības caurumiem viņos neatbildēšu, varat nesākt
Jebkurā gadījumā, plānoju paariet no visiem tik iemīļotā thunderbird atpakaļ uz outlook express, jo vismaz man thunderbird sux. Uz viņu paargāju experimenta kārtā, kad biju uzlicis sev gentoo linux, kuru pēc paaris nedēļām nonesu, jo sapratu, ka viņam vēl ilgi augt līdz usability, kas mani apmierinātu. iekš linuxa nebija problēmas ar thunderbird, bet iekš windowsa diezgan bieži gadās, ka viņš pamatīgi iebremzē 🙂 No saakuma domāju ka 1,5 GB maila folderis ir par lielu, patīrīju samazināju uz 200-300 MB – tāpat velkas.
patiesham exploits straadaa. labi ka XUL nav izplatiits. no vienas puses XUL ir kuul, bet no otras puses,- nafig browserim shaada iespeeja !? lai browseris paliek browseris – atteelot HTML lapas.
man 2 statusbaari apakshaa neieviesh uzticiibu. uzreiz saprotams, ka fake.
aa nu ja, tas taapeec, ka man iz disableets "allow hide statuss bar" javascript feature 🙂
citaadi buutu ziepees.
Es vienmēr esmu teicis, ka nekādus skinus! Nu jebkurā gadijumā ne lietotāja brīvi maināmus! Un tas attiecas uz jebkuru softu. Kam tas ir vajadzīgs? Tiem, kas pērk produktus veikalā pēc iepakojuma izskata? Vispār browsera interfeisā nekas nedrikstetu tikt mainīts no lapas puses. Nu kas tās par mulkībām, ka ļauj paslēpt toolbāru? Kapec kaut kādi lapelei lai būtu tiesības aizliegt man izmantot back pogu, kas toolbārā? Tapec, ka nemāk lapu uztaisit, kas korekti strādātu tādā gadījumā? Tāpat ar iespējām manipulēt ar statusa rindu. Vai jebkurām citām izmaiņām interfeisā. Web lapai ir jādod informācija, nevis visādi jāķēmojās.
vispār nesaprotu kāpēc tas xul ir vajadzīgs. Bez tām superfīčām mierīgi var iztikt!
XUL ir vajadzīgs.
http://pods.lv/arhivs/2003/10/20/1579/
http://zdnet.com.com/2100-1104-5201325.html
http://primates.ximian.com/~miguel/archive/20 …
The next "browser war": Mozilla and Gnome vs Longhorn?
Tā varētu ilgi un dikti turpināt, bet atbildes var rast te http://www.google.lv/search?q=xul+vs+xaml
XUL ir atvērtā koda tehnoloģija, bet XAML Microsoft, kas būs iekš Longhorna, lai gan atšķirības nav būtiskas.
Nu skaidrs taču. Tas viss ir tikai priekš tā lai "develperi", kas sevi par tādiem sauc, varētu izrādīties (gan no mozillsa puses, gan no web lapu veidotāju puses)
Mans mīļākais bugs.
Nu tagad mani ar raušanu vairs no FF lietošanas neatrausiet!
Bēt bugfiksu tā arī nekur neatradu :/
mozzilla taču sūkā defaultā to taču visu jau zina!
zinu ka šito jaunu notekti izdzēsīs BRAVO Coolais
coolynx, piekriitu ka XUL vajadziigs, bet ne kaa pamatfunkcionalitaate.
butu jauki ja jams ietu kaa extension, kas handlo .xul pieprasijumus.
savadak browseris partop par kombainu.
Žēl ka 20040801 (pēdējā, kas ir pieejama logiem) versijā tas vēl nav izlabots, tātad nevar teikt, ka FF šoreiz baisi ātri reaģētu (salīdzinot, iepriekšējais tika aizlāpīts dažu h laikā)
taku: shai problemai nav dazu h atrisinajums
Vo vo 🙂 Daži acīmredzot nesaprot. Joslu slēpšana manuprāt jāatspējo, kamēr vēl maziņa…
shim ir gan pagaidu risinajums – izrubit JavaScriptu
tanu gan panika! (nav runa par linux bet win juuzeriem)
Tak logiskaa domaashana un statistika jaanjem ir un kas izraadaas?
Izraadaas ka tos alternetiivos brauzerus izmanto 5%(kljuudos?) un tad arii tikai advanceeto….
Taatad kritiis tikai advanceetie(itkaa) un to sa-ap-klabinaatie juuseri…
Pac esmu to uzlicis to kaa "ja nu vairs nekas neietun sys veel shodien no ghost nepaarmetiishu jo nav laika" 🙂
Nu nepatik man Mozilla ja es bradaaju peec krakiem, keyiem, www.yes.lv utt.. traumee man tie daudzie miinusi un nepilniibas lapu apluukoshana…..
Ok.. tagad saaksies + un – saliidzinaajumCiinja… 🙂
Sen jau i saacies! 😀 Tikai peec krekiem jau nu gan eertaak ar ff liist. Esmu aizmirsis kaadi izstaas pupulogi 🙂 Nuu, a ciitaadaak – taksh poohuj!
Nupat sāk palikt vēl jautrāk! 🙂 Mozilla ir izsludinājusi 500$ atlīdzību katram kas atradīs kādu nopietnu kļūdu. http://zdnet.com.com/2100-1105_2-5293659.html
Man vislabāk patika Chris Hofmann teksts – "The conventional wisdom is that if Mozilla had the same market share as Microsoft, we would have as many flaws found…"
Devil_Inside : a kaapeec tu noraav teikumam beigs "–we don’t see that as the case"? kaads veel ne taa padomaas, tobish populaar padomaas.
Par tiem $500, /. bija jauki komenti – kamer M$ piedava $$$ par truukumu lauzeeju tvarstishanu, Mozzila – $ par trukumu likvideshanu…
man te biki lāms jautajums browseru sakarā:
vai ir tāds utilis/toolbar mozillām/ie lai slēgatu proxshus? es fixi parakos gan te podā, gan webaa, bet čota nekrita acīs nekas tāds. maniju tik paaris kas slēdz jau esošos iebūvetos browsera setingus – "proxy", "no proxy" etc
bet vai eksistē tāds variants, kur varetu ērti slegaties starp vairākiem custom definētajiem?
menca: Google izdeva šo http://jgillick.nettripper.com/switchproxy/
Eu, coolynx!
Rekur atradu vienu labu citātu vienā lapā:
* Note : This site is designed to be viewed with a browser that upholds internet standards, such as Mozilla Firefox, not Microsoft Internet Explorer, which is both ethically and technically an obselete dinosaur.
suudi veel tikai buus
Aha, thx. Kaadreiz jau vaik lame modi iemeegjinaat 😉
bet vispaar, clx, pods sanaak viens no retajiem resursiem daudzmaz lietojams arii no mobilajiem devaisiem
Nezinu kā citiem, man izskatās ka kļūda ir labota:) (20040804Firefox/0.9.1+)