Groźna luka w Firefoksie?

"Luka została zauważona ponad dwa miesiące temu i wciąż czeka na załatanie."

n/c

No to zacznie się zaraz wojna, o to, która przeglądarka lepsza ;)

Sam fakt wykrycia luki mnie nie dziwi. Dziwi mnie to, że wykryto ją 2 miesiące temu i nic do tej pory nie zrobiono :/

Przed phisingiem broni mnie Norton toolbar, a przed iframe i frame - NoScript. I nie ma żadnych problemów z syfem w kompie.

Lepiej niech zaczną się śpieszyć. Luka już znana a FireFoxa dużo...
Kto wie, czy to juz nie zero-day.

Kiedyś miałem FX za porządną przeglądarkę. Teraz nie dość, że jej rozwój jest ślamazarny w porównaniu do konkurencji to teraz jeszcze dziur nie łatają. Wzorują się chyba na M$... Co się stało z tą przeglądarką?!

* - Jedno "teraz" za dużo.

NoScript i po problemie. Tak jak wyżej wspomniano.

Dziwne że przez 2 miesiące nic z tym nie zrobiono. Podstawowe obowiązki pod psem a przecież FF wciąż walczy o swój kawałek tortu. N/C :/

No cóż, nawet najlepszym się zdarza... ;)

Dlatego trza być przygotowanym i mieć w zanadrzu jeszcze kilka tego typu softu.

A dla mnie to nie luka. Po prostu nieobsługiwane zdarzenie. To tak jak program antywirusowy nie wykryje czegoś czego nie zna lub nie ma podstaw do podejrzewania że jest to złośliwy kod. Wiec trudno to nazwać luką.

@pakeroso
Niby w czym najlepszym?

Co do luki - to tak jak master_zonk6 powiedział. Wykryto ją 2 miesiące temu, do tej pory jej nie załatano - kpina. Już nie chodzi o przeglądarkę jako taką, ale o bezpieczeństwo internauty, które w tym przypadku jest dość mocno zagrożone. Są użytkownicy, którzy będą umieli się przed tym zabezpieczyć, ale idę o zakład, że 95% userów FF nie będzie miało zielonego pojęcia o tym, że korzystają z przeglądarki tak słabo zabezpieczonej.

Gdzie ci, którzy wmawiali wszystkim, że firefox jest łatany następnego dnia od znalezienia luki i śmiali się z Opery, że ta łata lukę ~3 dni po jej wykryciu?

Dobrze, że wchodzę tylko na zaufane strony.. :) PS Gratuluję tym co chwalą się jakich programów zabezpieczających używają.. :D

To prawda, Mozilla dała ciała tak długo nie łatając swojej przeglądarki. I nic tego nie usprawiedliwia.
@freeq52
Niech ludzie najpierw przestaną odpowiadać na maile wysłane przez przestępców. Przez takich ludzi nawet najlepszy filtr nic nie da.

Już dawno zrezygnowałem z Firefox na rzecz Chrome i jestem zadowolony

W końcu mit obalony ! że to najbezpieczniejsza przeglądarka. :)

Internet Explorer ma luki które czekają na załatanie od lat i nikt nie narzeka.

Proponuje, aby redakcja oraz komentujący dowiedzieli się nieco więcej na ten temat zanim zmieszają Mozillę z błotem. Opisywana tutaj "groźna luka" NIE JEST wcale błędem, a rozważaniem nad funkcjonowaniem drobnego filtru mającego jedynie pomagać użytkownikowi.

Omawiany filtr (jeden z elementów większego zabezpieczenia antyphishingowego, a nie jego całość) ma ostrzec użytkownika, jeżeli adres WYŚWIETLANY W PASKU ADRESU próbuje go zmylić, podszywając się wyglądem pod adres innej strony. Jeżeli adres dotyczy ramki, to zabieg taki nie ma sensu, ponieważ użytkownik W OGÓLE NIE WIDZI ADRESU. Już atakujący nie ma powodów na stosowanie omawianego tu zaciemniania.

Po szczegóły odsyłam do wpisu błędu na bugzilli, gdzie twórcy omawiają pewne za i przeciw na wprowadzenie zmian do działania filtru.

@pendzik_ no tak. to że całą twoja historia przeglądania leci do googla i instaluje ci się rootkit to typowy powód do radości użytkowników chrome;]

@TrustNoOne: "Dobrze, że wchodzę tylko na zaufane strony"
Nie ufaj nikomu :D

@TrustNoOne O kurcze, ale plama... Pewnie już masz gotowe exploity na mojego programy zabezpieczające. Możemy się dogadać i podam ci moje IP. Zobaczymy, czy zdobędziesz admina.

Ja nigdy nie czuje presji, obawy w momencie wykrycia luk w wykorzystywanych przeze mnie oprogramowaniu.
Z odpowiednio skonfigurowanym OS'em i pakietem zabezpieczającym nie mam żadnych problemów z wirusami, spyware itp. Co jakiś czas sprawdzam podatność swojego systemu na ataki przez pentesty. A szczerzę wątpię żeby jakiś haker pisał/modyfikował exploit specjalnie na okazję włamu do mojego Win7, czy FF.

@TrustNoOne O kurcze, ale plama... Pewnie już masz gotowe exploity na mojego programy zabezpieczające. Możemy się dogadać i podam ci moje IP. Zobaczymy, czy zdobędziesz admina.

Ja nigdy nie czuje presji, obawy w momencie wykrycia luk w wykorzystywanych przeze mnie oprogramowaniu.
Z odpowiednio skonfigurowanym OS'em i pakietem zabezpieczającym nie mam żadnych problemów z wirusami, spyware itp. Co jakiś czas sprawdzam podatność swojego systemu na ataki przez pentesty. A szczerzę wątpię żeby jakiś haker pisał/modyfikował exploit specjalnie na okazję włamu do mojego Win7, czy FF.

Nie wiem czy któryś z kolegów zwrócił uwagę ze po instalacji NoScript (2.0.1) , opcje Blokuj aplety i Blokuj aplety sa domyślnie odznaczone :)

Do wszystkich i

@~shevchenko1987
"Kiedyś miałem FX za porządną przeglądarkę. Teraz nie dość, że jej rozwój jest ślamazarny w porównaniu do konkurencji to teraz jeszcze dziur nie łatają. Wzorują się chyba na M$... Co się stało z tą przeglądarką?!"

Co się stało? Odpowiedź jest banalna! Chodzi o kasę! Google tworząc własną przeglądarkę odcięło pępowinę, która dofinansowywała Mozilla Fundation. Ogromne sumy pieniędzy niemal chyba 3/4 kapitału przeznaczonego na rozwój FireFox'a przepadło bezpowrotnie. Dlatego Firefox wolno się rozwija i jest coraz gorszy!!! Jestem pewien, że wersja 4 to będzie gwóźdź do trumny Mozilla Fundation (na początku może i będzie szał i skok popularności o kilka procent, ale potem zacznie spadać i tylko spadać na rzecz IE9, Chrome i Opery)! IE9 - Internet Explorer 9. Wiem, że według was IE 6,7,8 to śmiech na sali na tle konkurencji i zgadzam się z tym. Tylko bierzcie pod uwagę, że Microsoft dostał już tyle razy po pysku na podłożu przeglądarek, że zainwestował w projekt IE 9 niesamowite pieniądze, by przejąć palmę pierwszeństwa nad wszystkimi przeglądarkami. To będzie milowy skok, który dogoni konkurencje, a nawet będzie starał się ją przegonić i postawić poprzeczkę wyżej. IE 9 może dużo zamieszać, ale trzeba też brać pod uwagę że jest tylko na Windows 7 i Vista także z początku szału nie będzie. Jest jedna zasada, że Microsoft może przegrywać bitwy, ale zawsze później wygrywa wojnę jeśli mu na czymś zaczyna bardzo zależeć i ma to przyszłość i cel!

Drugą przeglądarką, która przywali dość mocno z młota w gwóźdź do trumny Firefoxa to Google Chrome. Przeglądarka ta rozwija się w zastraszającym tempie, nie są to jakieś rewolucyjne zmiany z wersji na wersję, ale widać, że się zmienia i robi się coraz bardziej funkcjonalna, wydajna, przyjemna i łatwa w obsłudze. Firefox 3 z update'u na update jest coraz wolniejszy i mniej stabilny przez kombinację jego developerów. Chrome z wersji na wersję jest coraz szybszy, świetnie wyświetla strony obsługując niemal cała gamę standardów, ma doskonałe wsparcie od strony finansowej, jest coraz bardziej funkcjonalny, Google otwarte jest na wszelkie sugestie, DODATKOWO BARDZO CENNYM ATUTEM JEST TO, ŻE TO NAJBEZPIECZNIEJSZA PRZEGLĄDARKA NA RYNKU (i info dla tych ociemniałych co powtarzają w kółko zasłyszane historię o szpiegowaniu, jakbyście wykazali choć trochę zainteresowania tym tematem, a nie wierzyli tylko na słowo, to byście wiedzieli, ze Google Chorme w wersji 5 został pozbawiony moduły indywidualnego identyfikatora (Waszego szpiegowania), a zbiera tylko informację o odwiedzanych stronach, bo z tych informacji google się utrzymuje bo sprzedaje je firmom za grube pieniądze! CO zresztą robi sama wyszukiwarka GOOGLE, a jakoś z niej korzystacie to się nazywa hipokryzja, żal mi tych co krytykują podając ten powód)


Dobra nie będę się już rozpisywać, bo to temat rzeka, a wiem też, że niektórzy (czyt. trolle) zaczną gadać, że się nie znam, że jestem dziecko, "naucz się pisać", że nie mam w ogóle racji i będą chcieli zrobić ze mnie kretyna. Albo od razu napiszą, że nim jestem. Nawet jakby ich adorowana przeglądarka nie miała paska adresu to I TAK W OCZACH TROLLA BYŁA BY DLA NIEGO NAJLEPSZA! No trochę pojechałem po bandzie, ale sami wiecie jak to na forach bywa.

Wyrażam tylko swoją opinie, jak się nie podoba to nie zaczynajcie komentarza od: nienormalny jesteś, lecz się itp. tylko: Nie zgadzam się z Tobą, bo według mnie...



Pozdrawiam


P.S
Sorry za ewentualne błędy, ale wybaczcie nie chce mi się tego o tej porze jeszcze raz czytać. ;)

"Osoby tworzące szkodliwe oprogramowanie umieszczane na stronach internetowych oraz przeprowadzające ataki phishingowe"

Brzmi, jakby to osoby tworzące oprogramowanie były umieszczane na stronie i jednocześnie przeprowadzały ataki ;-)

Wszystkie próby przejścia pod adres w sposób podany w odnośniku, kończą się komunikatem Firefox'a, że to może być próba podstępu ;-)

Bez gadania mi tutaj o łasiczej mowie, napiszę tylko, iż usłyszałem w pewnym miejscu rozmowę ludzi twierdzących, że na DP podają tylko i wyłącznie profesjonalne informacje, dla zaawansowanych użytkowników.

I tak się zastanawiam, czy:

- Informuje się "pro" użytkowników o dziurze w Firefox'ie na wypadek, gdyby nie wiedzieli jak się logować i zabezpieczać przed tego typu rzeczami..;

- Czy może po to, aby mogli się pośmiać z tych, którzy będą mieli pecha wynikającego ze słabych zabezpieczeń Firefox'a ..

A może po prostu nie jest to wortal tylko dla użytkowników "PRO" ?;D

Nie wiem czy któryś z kolegów zwrócił uwagę ze po instalacji NoScript (2.0.1) opcje Blokuj aplety IFRAME i Blokuj aplety FRAME są domyślnie odznaczone :)

Mam zaufanie do Ff ale nigdy gołego, zawsze z NoScriptem.

Do czasu, aż nie zostaną załatane luki zalecamy :p
1) wpisać about:config
2) wyszukać opcję browser.frames.enabled
3) przełączyć włączyć na false
4) restart przeglądarki

Co prawda, warto być świadomym, że nawet wyłączamy
również lokalne rozszerzenia, działające na ramkach

- czemu w HTML5 nie usunęli tego
- przecież większość funkcjonalności ramek
daje się załatwić javascriptem oraz jsonp ?


Zawsze można stworzyć kilka profili w Firefoksie,
do chodzenia po stronach potencjalnie bezpiecznych
typu bankowe, i do chodzenia po mniej bezpiecznych
z ustawieniami rygorystycznymi,

wystarczy dodać --ProfileManager do polecenia
uruchamiania przeglądarki.

@TrustNoOne: Nie ma zaufanych stron. Przekonanie, że syfy łapie się na porno i warezach to propaganda.

@Extraordinarykid:
"Osoby tworzące szkodliwe oprogramowanie umieszczane na stronach internetowych oraz przeprowadzające ataki phishingowe"
Brzmi, jakby to osoby tworzące oprogramowanie były umieszczane na stronie i jednocześnie przeprowadzały ataki ;-)

Dla kogoś kto ma problemy z logicznym rozbiorem zdania - tak. Choć autor powinien dbać o klarowność przekazu, bo w rzeczy samej są 2 możliwości interpretacji jakie jest miejsce 'oraz' ale, bez naciągania, żadne nie takie jak podałeś.

Szanowna redakcja, niech najpierw się w 100% upewni się czy opisywana luka jest naprawdę groźna, a potem niech wprowadza zamęt. Gdyby luka była faktycznie groźna to już na następny dzień po odkryciu byłaby aktualizacja.

@kwirynus: redakcja się upewniła i zebrała materiały przed napisaniem newsa. Niestety nie każdy jest lcamtufem i takie sytuacje się zdarzają. Ponieważ zależny nam na rzetelności, została wykonana aktualizacja newsa. A z tą aktualizacją na drugi dzień to naprawdę bywa bardzo różnie.

@kwirynus
"Gdyby luka była faktycznie groźna to już na następny dzień po odkryciu byłaby aktualizacja".


Ponoć wiara czyni cuda, ale to chyba nie w dziedzinie IT. Tym niemniej gratuluję lojalności i wiary - taki jej poziom, nawet wśród wyznawców, nie jest powszechny. :-)

@Meszuge | 18.08.2010 6:35 : Co do Phishingu, to normalny człowiek nie padnie jego ofiarą. Padną jedynie ludzie, co myślą, że jak przeczytają "kliknij we mnie, by przejść na naszą klasę", to faktycznie tam się znajdą.

Zaciemnianie adresów internetowych jest nie zbyt powszechne, bo rzadko wykrywany jest taki błąd. Ostatnio chyba wykryto taki w IE7 i wcześniejszych. Dla Firefoksa ostatnim takim błędem było wykorzystanie XUL-a na stronce.

Czy mi się wydaje, czy DP się cywilizują?
Chodzi mi konkretnie o dodanie stopki:
"Aktualizacja, 18.08.2010, 01:03"

Do tej pory częściej stosowaną praktyką było gmeranie w tekście, bez żadnej informacji, co w nim zmieniono.

@Meszuge:
Poziom wiary wśród wyznawców pewnego OS-u łatanego 7 lat i po załataniu w 2008 nadal niezałatanego jest wyższy.
Dziura albo nie jest tak grożna jak piszą znawcy albo jej załatanie jest potwornie kłopotliwe. Ja mam ograniczone zaufanie do Ff, więc używam NoScripta (fakt, że wielu nowych na Ff nauczonych niechlujności przez MS - bo przecież działa - nie używa NS)

"Gdyby luka była faktycznie groźna to już na następny dzień po odkryciu byłaby aktualizacja."

Nie masz pojęcia o czym mówisz, ta luka to nie jakaś drobna pomyłka w kodzie, którą można na szybko załatać, a prawdopodobnie wada konstrukcyjna, której naprawa może wpływać też na inne, powiązane elementy przeglądarki. Nawet jeśli możliwe byłoby wydanie łaty na następny dzień to niewykluczone, że spowodowałoby to 100 innych problemów.

Jeśli ktoś interesuje się bezpieczeństwem to polecam serwis niebezpiecznik.pl :) DP jest dobry żeby sprawdzić, czy nie ma jakiejś nowego programu, pośmiać się z Sweet-Jooli.

@TrustNoOne | 17.08.2010 22:26
"
Dobrze, że wchodzę tylko na zaufane strony.. :) :D"

A słyszałeś o infekcji stron? :)

@dz (niezalogowany) | 18.08.2010 0:29

Do czasu, aż nie zostaną załatane luki zalecamy :p
1) wpisać about:config
2) wyszukać opcję browser.frames.enabled
3) przełączyć włączyć na false
4) restart przeglądarki


Należałoby się wysłać list polecony z instrukcją babciom, dziadkom i blondynkom. Duża część nie ma pojęcia o rozszerzeniach, a co mówić o about:config.

Może jednak niektórzy powinni poczytać to, co jest w linkach podanych w artykule? Wiem, że po angielsku, ale ludzie, litości...
Zanim weźmiecie się za komentarze najpierw poznajcie temat ciut głębiej.

@master_zonk6
Babciom i dziadkom i tak już nic nie pomoże, bo najpewniej siedzą na IE, a blondynki... Cóż, one wchodzą do internetu w inny sposób (znany z dowcipów). Zresztą zaraz wpadnie tu Słodka Jolka i skopie nam nabiał za te żarty z blondynek.

Gdyby nie wzmianka o aktualizacji newsa, to znowu bym napisał, że robicie z igły widły, a większość komentarzy jest pisana przez pieniaczy, którzy dostali kolejny 'argument' na to, że FF nie jest bezpieczny.
Błąd nie jest w samej przeglądarce, tylko w jednej z jej DODATOWYCH funkcji. Pisanie głupot o tym, że od 2 miesięcy Mozilla nie załatała luki w Firefoxie i mieszanie z tego powodu przeglądarki z błotem jest, delikatnie mówiąc, mało inteligentne.
Równie dobrze można tak obsmarować dowolnego antywirusa (jak już ktoś wcześniej wspomniał) tylko dlatego, że nie wykrył nowego zagrożenia.

Pomyślcie zanim napiszecie komentarz, bo zaczyna się z DP robić kolejny onet, gdzie barany piszą co tylko się da, a im mniej na temat, tym lepiej...

Poziom fanbojostwa na DP dawno już przekroczył granice absurdu.

Hej, fanboje, spróbowali żeśta kliknąć te niby zaciemnione linki w swoich przeglądarkach? Jedynie Firefox ostrzega, że to może być próba oszukania usera, Opera pyta jedynie, czy chcesz wejść na daną stronę jako dany user, a Chrome w ogóle nie wyświetla żadnej informacji.

To nie jest żadna luka. Znowu daliście się podpuścić.

Już od jakiegoś czasu czekam aż w portach pojawi się oficjalnie Chromium. Wtedy pozdbędę się Firefoxa.

Ale głupoty niektórzy tutaj wypisują. Jakieś chore teorie bez jakichkolwiek dowodów...

Co do chrome to sam używałem jej przez ok. 2 miesiące aż znalazłem powód by ją zmienić znowu na firefoxa. Chrome jest strasznie wolne - wejdźcie na jakąkolwiek strone z filmikami [nie licząc youtube] używając dwóch przeglądarek - od razu widać efekt, chrome zaczyna mulić aż nie skończy buferować a mozzila działa dalej bez problemu... Szczerze mówiąc to Chrome zaistniało tylko dzięki dobrej reklamie, tak jak IE tylko dzięki temu iż jest domyślnie w Windows.

Co do artykułu to jak zwykle ktoś pomieszał fakty i napisał bzdury, najgorsza strona jaką widziałem jeśli chodzi o newsy...

noname667 dlatego bo napisali niewygodne fakty o Twojej przeglądarce.