LINUX.ORG.RU

Firefox имеет серьезные уязвимости


0

0

В рамках конференции ToorCon 2006, Mischa Spiegelmock и Andrew Wbeelsoi продемонстрировали exploit (создающий сетевой бот) для Firefox 1.5.0.7.
Также было заявлено о существовании множества других проблем, детали которых не разглашаются.

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от h8

>он не умеет нормально работать в режиме отключенных рисунков.

то, что он работает не как опера, не означает ненормально. привыкал к его особенностям ~ неделю после оперы. потом стал воспринимать оперу как недобраузер(сидел на ней до этого года два). фф для меня ещё хуже оперы, а тут ещё и дырявый ....

mic ★★★★★
()

Стоит помнить, что в настоящее время в продуктах Microsoft есть три неисправленные уязвимости категории "Extremely critical", две из них имеют отношение к Internet Explorer (см. первую страницу http://secunia.com/), поэтому упомянутый эксполойт может быть и фальшивкой, предназначенной для того, чтобы отвлечь внимание от ситуации с Internet Explorer. Сейчас очень легко критиковать "безопасность" Internet Explorer. И может чтобы сторонники Mozilla не смогли использовать ситуацию своих интересах, безопасность их браузера ставится под сомнение?

Если те люди обладают информацией о множестве уязвимостей, они могли бы дать разработчикам Mozilla информацию хотя бы об одной из них, чтобы продемнострировать, что это не блеф.

askh ★★★★
()

Нужно наконец-то взяться и переписать реализацию javascript в Мозилле/FF. Это самое слабое место в продукте. Просьба становиться в очередь, и записываться в ряды желающих сделать эту работу.

annonymous ★★
()
Ответ на: комментарий от anonymous

> ага, и линукс у них ворованный

И такое бывает, только теперь это называется "контрафактный" (c) Linux XеPовый

anonymous
()
Ответ на: комментарий от Hokum

http://www.opennet.ru/opennews/art.shtml?num=8428 Пакет IEs4Linux предлагает более простой путь установки Internet Explorer в Wine. Пакет может быть использован web-дизайнерами, которые не используют Windows, но хотели ли бы проверить работу своих сайтов с IE или теми, кто посещает сайты работающие только с IE. http://www.tatanka.com.br/ies4linux/page/Main_Page

anonymous
()
Ответ на: комментарий от anonymous

Господа, в Опере не может быть расширений, так как там архитектура совсем другая. Ну а эти хитрые уязвимости... 1. Продукт достаточно популярен 2. Открыты исходные коды 3. За поиск уязвимостей mozilla.org платит деньги 4. Скрыть существование найденных уязвимостей нельзя Поэтому и столько новостей о багах. Все равно о большинстве из них узнают из официальных новостей после выхода заплаток. Как ни странно, я себя чувствую спокойно. Более чем.

VEG
()
Ответ на: комментарий от kondor

Эээх доделали-бы GTK+WebCore и использовали-бы его вместо gtkhtml

Ну или "совсем" независимым сделали от QT

BETALb
()
Ответ на: комментарий от gloomdemon

Почитай www.quirksmode.org Там есть много таблиц работоспособности различных фич (доступных JavaScript) браузера И в статьях есть пометки по поводу работоспособности скриптов в различных браузерах

Так вот IE Mac там отдельным пунктом идёт, и совсем не блещет :)

BETALb
()
Ответ на: комментарий от BETALb

>Так вот IE Mac там отдельным пунктом идёт, и совсем не блещет :)

Он еще Unicodом не блещет в своих контролах. Нарисовать то может, а вот ввести вне локали - фиг. Кароче это глючное поделие в котором нихрена не работает. Про сабмит динамически модифицированной формы промолчим....

r ★★★★★
()
Ответ на: комментарий от anonymous

>а в опере есть ундо клоуз таб?? где там оно ? мож по хоткеям где

В 9-ке в правом нижнем углу "Корзина".

Причем что особенно приятно, табы оттуда вытаскиваются вместе с "историей" переходов вперед-назад.

MYMUR ★★★★
()
Ответ на: комментарий от MYMUR

>>а в опере есть ундо клоуз таб?? где там оно ? мож по хоткеям где

>В 9-ке в правом нижнем углу "Корзина"

Или Window -> Closed

you-name-it
()
Ответ на: комментарий от Pronin

> Это пока не стали ковырять, как IE или FF 8-[ ]

Уже ковыряют, просто оперцы о своих "исполнение произвольного кода на стороне клиента" молчат в тряпочку. Так и создают имидж надёжного браузера. :)

atrus ★★★★★
()

>... для Firefox 1.5.0.7

А на дворе уже скоро 2.0 и там этих уязвимостей нет(IMHO)... но есть другие, еще не найденныйе. Мир не стоит на месте...

TheMixa ★★★
()
Ответ на: комментарий от zodiac

> Фонатеги Оперы убедили меня перейти на их браузер. С тех пор сколько ни пробовал FF - от Оперы отказаться не могу

Это вам в комитет по борьбе с сектами надо и в центр снятия наркозависимости. :-P

atrus ★★★★★
()
Ответ на: комментарий от TheMixa

>А на дворе уже скоро 2.0 и там этих уязвимостей нет(IMHO)... но есть другие, еще не найденныйе. Мир не стоит на месте...

Движение мира выражается в постоянном появлении ненайденных еще уязвимостей....

r ★★★★★
()
Ответ на: комментарий от MYMUR

> Причем что особенно приятно, табы оттуда вытаскиваются вместе с "историей" переходов вперед-назад.

Ха, будто в фоксе когда-либо было иначе.. Что у 1.0/1.5 с undoclosetab, что у 2.0..

anonymous
()

Говорили же - на жабе писать надо :)

anonymous
()

Луниксеры браузером только на ЛОР и ходят, поэтому и не напарываются на эксплойты.

anonymous
()
Ответ на: комментарий от Sun-ch

>Мозила за каждую дырку обещает по $500 заплатить

И сразу же после этого объявления - обломали первого же нашедшего багу. Придрались к форме подачи заявки, к поубликациями на форумах и т.д. и т.п... И это при том, что имеют годовой доход в несколько мегабаксов. Позорище.

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

>определённо слеп. CTRL+Z.

Угу. Особенно учитвая, что у неё с 7.60, кажется, не только хоткей, но и здоровенная корзина справа от линейки табов по дефолту. В которой не только закрытые табы лежат, но и автоубитые попапы и т.п.

KRoN73 ★★★★★
()
Ответ на: комментарий от VEG

>Господа, в Опере не может быть расширений

А мужики-то и не знают. RTFM на тему UserJS и виджетов.

>За поиск уязвимостей mozilla.org платит деньги

Можно хотя бы пару-тройку фамилий осчастливленных? А я в ответ приведу фамилии кинутых :)

>Как ни странно, я себя чувствую спокойно. Более чем.

В толксах погляди. Там один такой уже удивлялся трояну...

KRoN73 ★★★★★
()
Ответ на: комментарий от Metallic

>TabMix не пробовали? ;-)

Это который window.opener обнуляет?

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

> Похоже перцы нашли дырки в исходниках, но говорить не хотят. Вот такие мудаки. Как тут оперативно фиксить -- хз. Пришлось поставить "no script".

Вот такая вот лажа этот ваш опенсорс - дырявый до ужаса и фыфы и опенссш и опенссл и линупс. При чем хакиры знают о дырках и никому не говорят, так шта опенсорс ничем не лучше клозедсурса, а ФыФы ничем не лучше ИЕ. Короче фсе - опенсорсу теперь точно полный капец.

anonymous
()
Ответ на: комментарий от Sun-ch

>Мозила за каждую дырку обещает по $500 заплатить, а ФРБ вроде как еще больше.

Нахер не надо, потому как кардеры и спамеры заплатят существенно больше - каждый от трешки тонн за хороший одей, а тут какие-то ссаные 500 баков...

anonymous
()
Ответ на: комментарий от applesin

>А мне как пользователю Оперы не пофигу. У меня праздник.

Когда Opera 9 позавчера вместо "The Z Shell Manual" написала мне "he hell anal" я воспринял это как знак, правда еще не знаю как какой.

anonymous
()
Ответ на: комментарий от anonymous

>Нахер не надо, потому как кардеры и спамеры заплатят существенно больше - каждый от трешки тонн за хороший одей, а тут какие-то ссаные 500 баков...

А так же имя и респекты. Легальное имя можно продать дороже.

А иначе так и будешь у спаммеров на побегушках.

jackill ★★★★★
()
Ответ на: комментарий от M0d3M

Автоматического сохранения и нормального восстановления сессий не хватает.

anonymous
()
Ответ на: комментарий от anonymous

> Ничего нового. Отключаем жабу и жаба-скрипт и живём спокойно.

Дурак. Воистину дурак. Если жить без жабы ещё как-то можно, то без javascript - если только целый день на ЛОРе сидеть и больше никуда не ходить.

Есть встречное предложение - отключить монитор. Истинные хакиры должны уметь всё читать напрямую из астрала.

anonymous
()
Ответ на: комментарий от PoorGen

>Хотя, если Опера станет ГПЛ и обрастёт полезными расширениями...

Например какими расширениями должна обрасти Опера? Опять имеется ввиду пресловутый ScrapBook, без которого нет жизни любому Firefox-юзеру?

anonymous
()
Ответ на: комментарий от KRoN73

>Господа, в Опере не может быть расширений

Опера и без расширений прекрасно расширяется и подстраивается под себя. А корявые поделия энтузиастов (расширения) на прогнившем движке - в топку. Из соображений безопасности и практичности лучше использовать профессиональный продукт (Оперу). А от закрытой лицензии воротят нос только религиозные фанатики, пользователю (который ценит удобство, скорость и безопасность) все это побоку.

anonymous
()
Ответ на: комментарий от anonymous

>Ха, будто в фоксе когда-либо было иначе.. Что у 1.0/1.5 с undoclosetab, что у 2.0..

К влючению undoclosetab в штатную поставку они созрели только к версии 2.0. Наверное приберегли эту "инновационную" фичу для будущих версий.

Кстати, почему разработчики Firefox так убого скопировали у Оперы instant back?

anonymous
()

Ну чё, фанаты опенсорца, а слабО самим-то дырочки найти, а? Чё, слабО? А зачем вам тогда сорцы, а? Звкрыть ff и распространять в бинариях. И дырочек тогда будет меньше (известных).

anonymous
()
Ответ на: комментарий от annonymous

>Нужно наконец-то взяться и переписать реализацию javascript в >Мозилле/FF. Это самое слабое место в продукте. Просьба становиться в >очередь, и записываться в ряды желающих сделать эту работу.

Это нереально - несколько человеколет программирования, а потом столько же тестинга.

vtVitus ★★★★★
()

> Дурак. Воистину дурак. Если жить без жабы ещё как-то можно, то без javascript - если только целый день на ЛОРе сидеть и больше никуда не ходить.

Мсье пробовал? Я - да, и ничего.

Sikon ★★★
()
Ответ на: комментарий от r

Нет, вы как хотите, а это похоже или на RC2 или сам релиз Furefox 2.0:

http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2.0rc2-candidates/rc1/

Я уже поставил - теперь не вылетает при открытии в одной из вкладок lenta.ru... что радует.

los_nikos ★★★★★
()

> теперь не вылетает при открытии в одной из вкладок lenta.ru... что радует.

У меня и с RC1 не вылетает... /dev/hands?

Sikon ★★★
()

>> Господа, в Опере не может быть расширений

> Опера и без расширений прекрасно расширяется и подстраивается под себя. А корявые поделия энтузиастов (расширения) на прогнившем движке - в топку. Из соображений безопасности и практичности лучше использовать профессиональный продукт (Оперу). А от закрытой лицензии воротят нос только религиозные фанатики, пользователю (который ценит удобство, скорость и безопасность) все это побоку.

Господа, в Windows не может быть приложений.

Windows и без приложений прекрасно расширяется и подстраивается под себя. А корявые поделия энтузиастов (приложения) на прогнившем ядре - в топку. Из соображений безопасности и практичности лучше использовать профессиональный продукт (Windows). А от закрытой лицензии воротят нос только религиозные фанатики, пользователю (который ценит удобство, скорость и безопасность) все это побоку.

Sikon ★★★
()
Ответ на: комментарий от annonymous

>Просьба становиться в очередь, и записываться в ряды желающих сделать эту работу.

Есть какие-то препятствия этому? вместо того чтобы разглагольствовать о том что нужно и не нужно, давно бы взялся и начал чего-нить делать...

romaxa
()
Ответ на: комментарий от Sikon

Сам думал при чём тут /dev/hands? Пробую плагины отключать по очереди, поскольку иногда всё-таки вылетает даже в фоне, без никаких на то причин.

los_nikos ★★★★★
()
Ответ на: комментарий от Sikon

> А от закрытой лицензии воротят нос только религиозные фанатики, пользователю (который ценит удобство, скорость и безопасность) все это побоку.

Вот и пользуй безопасную бету IE7 и альфу Vista... при чём тут фанатизм? Ты ещё скажи что ценители виндовс не фанатики.

los_nikos ★★★★★
()
Ответ на: комментарий от Danmer

> Года 2 назад юзал оперу, с тех пор перешел на ff. Сколько ни пробовал вернуться на оперу - ну не нравиццо после firefox и все тут...:-/

хм.. обратный маршрут - до 1.5 сидел на ФФ, а с 1.5 ну не могу больше с его тормозами... ни какого терпения не хватает :-( Перешел на Konqueror и Opera, и стало все пушисто и гладко (ну почти .) все).

w01f
()
Ответ на: комментарий от anonymous

>Луниксеры браузером только на ЛОР и ходят, поэтому и не напарываются на эксплойты.

Вывод - нужно повесить на лоре сплойты. Если сплойт будет проходить он будет говорить: "нет парень, ты тоже не труЪ, ты не пропатчился до последней версии".

r ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.