Skype, PDF, Flash, monopoly a bezpečnost
To se fakt musím smát, když si po sobě čtu text o Skype, který jsem napsal v dubnu v článku Monopoly. Abyste nemuseli klikat:
„Jak končí takový úspěšný rozšířený software jednoho vlastníka, je nejlépe vidět na originálním klientu ICQ, je to jedna velká obtěžující reklama. Nedělám si iluze, že takhle jednou skončí i Skype. Stačí trochu tlaku investorů a neštěstí je na světě.“
Včera o tom vyšla glosa na Lupě a v závěru poznámka, že pravděpodobně přibude ve Skype reklama.
V titulku je PDF. Taky svým způsobem monopol formátu dokumentů i když alespoň otevřený a s dokumentací. Pak přišel PDF spam a zamýšleli jsme se nad tím, že to neberou antispamové filtry. Po pár měsících bezpečnostní chyba při pouhém otevření PDF. Ani jsem si nikde nevšiml, že by někdo zkoumal alespoň část těch PDF co chodily mailem, zda neobsahují kód zneužívající objevenou chybu. Bezpečnostní doporučení bylo neotvírat PDF z podezřelých zdrojů. A laik se zeptá: „A pane bezpečnostní experte, to nám taky jednou doporučíte nezapínat PC?“ … a tak mě napadá:
Máme tu horkého kandidáta na masové zneužití bezpečnostní chyby a tím je Flash. Je na každém PC i tom Linuxovém, a Jablíčkáři ho používají taky. Cílová skupina by v prvé řadě byli Windows uživatelé, ale kód je z části společný. A jak provést útok? Najděte si grafika, který tvoří Flash reklamy pro nějakou velkou firmu a ten umístí do SWF to co je potřeba. Reklamní akce mediální agentury začíná a za pár hodin je hotovo. Z pohledu tvůrce zákeřného kódu ve Flashi ano. Z pohledu těch tisíců (desetitisíců?) uživatelů se vlastně vůbec nic nestalo. Nikdo nic neví, jenom uživatelé shlédli další reklamu, kterou ignorují.
Zdá se vám to jako přehnaně paranoidní? Mně teda ne. Cokoliv je možné takto masově zneužít, jednou zneužito bude. Zkoušel jsem Gnash, ale je nepoužitelný. Tak mám aspoň FlashBlock. Reklamy mi nevadí, ale na tenhle útok čekat nebudu.
-
Související články na blogu Pavel Chalupa - blog
-
Ztracené heslo do MS Windows 15. 7. 2007 8:54
-
-
Související články na ostatních blozích
-
WordPress zranitelnost v REST API je aktivně exploitována 7. 2. 2017 14:48
-
Top-10 bezpečnostních incidentů v srpnu 2016 2. 9. 2016 14:08
-
Odcizení přihlašovacích údajů k Windows jen pomocí webové stránky 4. 8. 2016 14:29
-
Top 10 bezpečnostních incidentů v červenci 2016 3. 8. 2016 13:41
-
Top-10 bezpečnostních incidentů v červnu 2016 1. 7. 2016 13:59
-
UK: ztracené peníze z Vašeho bankovního účtu? No, je to vaše vina 27. 5. 2016 16:02
-
-
sirkubador (neregistrovaný)
ale s gnashem to není tak hrozné, většinu youtube videa přehraje, i když má občas hrozné memory leaky - kombinací s flashblockem si může člověk za to "jenom chrochtat" (nu, je k tomu daleko, ale to, co je třeba už gnash zvládá, a to i na 64bitu, v čemž bych viděl jeho velké plus, každopádně flash na web dle mě prostě nepatří, jedinou výjimkou je právě youtube apod. ) každopádně flash už nějakou dobu nepoužívám vůbec a mám klid. Vlastně ho vůbec nepotřebuji.
-
PaD (neregistrovaný)
Flash block pouzivam take a vzdy kdyz se dostanu na net nekde, kde falsh neblokuji, tak se divim, jak je ten svet najednou barevnej :-)
Ano, vsechno lze zneuzit, ale ne takovym zpusobem, jakym je zde podstrkovano. Reklamy nikdo nebude infikovat, protoze to je moc viditelne. Mozna se na takove falshove 'darecky' narazi na nejakych pochybnych strankach, kde se vetsinou hleda warez, ale kdo tam leze, tak si o neco takoveho koleduje.
A nesouhlasim ani s tim, ze na web flash nepatri. Byla to ve sve dobe jedina technologie, ktera umoznovala to, co umoznovala a ted z toho logicky tezi. Az bude siroce dostupna jina technologie poskytujici prinejmensim stejny komfort, tak muze falsh castecne vytlacit. Ale do te doby tu bude. Cilova skupina nezmizi, kdyz se ji rekne, ze to je hnusny monopol a jeho pouzivanim se vytvari bezpecnostni riziko monokulturnosti.
-
Senior .NET Developer Specialist (neregistrovaný)
I dle mně flash na web prostě nepatří, budoucnost je zde:
http://silverlight.net/ -
Miloslav Ponkrác (neregistrovaný)
Já osobně nemám ani Flash plugin nainstalovaný, takže ok. Podle mě flash na web nepatří a z 99% jsou to jenom otravné reklamy snažící se upoutat mojí pozornost.
to [3] Jestliže je možné na dárečky od Flashe narazit na pochybných webech - znamená to, že technologie Flash prostě není bezpečná. Dávám přednost tomu, abych směl na jakoukoli stránku bez ohledu na to, co tam může být a nebál se o svůj komp.
Pokud opravdu potřebuji jít na web s Flashem, mám vzadau Internet Explorer, který mi slouží pro zobrazení stránek, který Firefox nepobere - tak jednou do měsíce tam jednu stránku zobrazím. Mám tam nastaveny dost šílená bezpečnostní omezení.
-
nothinginhere (neregistrovaný)
Flash na stránky nepatří, alespoň ne tak moc.
Už jsem narazil i na flash-only stránky - http://www.hotelkorinek.cz/ + jejich poskytovatel http://www.dogfish.cz/
Je to sice krásné, že je ta stránka W3C validní (doufám), ale toto by šlo snadno vytvořit i v HTML. Tak proč odepírají slepcům možnost se u nich ubytovat?Používání flashe je bezohlednost.
Ne všichni mohou mít flashplayer tak snadno.
Do nedávná mi po nainstalování flashe padal firefox při načtení libovolné stránky s flashovým objektem.Pak jsem si našel návod jak ho tu zprovoznit a další co jsem stahoval byl plugin NoScript...
ČLÁNKY DO MAILU