První bezpečnostní chyba ve Firefoxu 3.0

Pět hodin po oficiálním vydání Mozilla Firefoxu 3.0 byla v programu nalezena první bezpečnostní chyba. Nachází se i v řadě 2.0 a je nutné, aby uživatel nejprve kliknul na odkaz v e-mailu nebo nejprve navštívil zákeřnou stránku. Popis je zatím velmi neurčitý - detaily budou zveřejněny až po opravě. Chyba byla ohlášena přes Zero Day Initiative. Čtěte LinuxWorld.

Komentáře

Co dodat?

Já to říkal! :-D

Jenom to netrvalo dny ale jenom hodiny... :-D

🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦

19.6.2008 12:40 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Každý software má v době vydání chyby, které bývají objeveny. Mozilla reaguje velmi promptně. Každopádně směješ se úplně blbému myšlenkovému konstruktu, protože objevení té chyby muselo trvat déle než pět hodin.

Petr Tomeš - Blog

19.6.2008 13:39 Kirk
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Objevení té chyby samozřejmě nemuselo trvat déle než pět hodin. To je pitomost, pro kterou nemáš žádný důkaz.

Myslím, že je celkem pravděpodobné, že byla nalezena nějak (polo)automatizovaně, nikoliv ručně. A v tom případě mi pět hodin nepřijde jako nijak zvlášť dlouhá doba.

19.6.2008 14:19 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Každopádně je to velmi podezřelé, že zrovna pár hodin po vydání to ta firma prezentuje s bombastickými nadpisy. Mnohem pravděpodobnější vysvětlení, než že se to tak velkou náhodou stalo, je, že o chybě nějakou dobu věděli a chtěli se zviditelnit, protože kdyby tu chybu oznámili Mozille dřív, mohla se její oprava zapracovat do RC.

Petr Tomeš - Blog

19.6.2008 15:22 Kirk
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Žádné bombastické nadpisy nevidím. A ten odkazovaný komentář říká, že to je trochu podezřelé, ne hodně podezřelé. A mýlí se v tom, že v těch pěti hodinách je zahrnuta ta simulace a ověřování, o tom v původním článku nepíší nic, tam píší, že to během pěti hodin někdo oznámil.

Mohlo to být klidně tak, že si tu chybu schovávali, ale zase tak jisté, jak to tu prezentuješ ty, mi to tedy nepřijde.

19.6.2008 15:57 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Článek odkazovaný ve zprávičce píše: "Five hours after Mozilla officially released Firefox 3.0, researchers found a vulnerability in the new browser." A to je blbost. Nemohli to najít pět hodin poté, to tak možná akorát oznámili, museli to najít dříve a zřejmě už před vydáním.

Petr Tomeš - Blog

19.6.2008 16:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Proč by to byla blbost? Já jsem třeba napsal kód, zkusil jsem stránku otevřít ve Firefoxu, ten spadnul, a to, že jde o reprodukovatelnou chybu, jaká je její příčina i že už byla nahlášena jsem zjistil během dvou hodin, asi i rychleji. Kdyby tenkrát zrovna vyšla nová verze Firefoxu, mohl jsem taky klidně prohlásit, že jsem během pár hodin po vydání našel zranitelnost. Ono někdy nemusí být tak těžké chybu najít, chyby v softwaru bohužel člověk nalézá většinou aniž by je hledal úmyslně.

19.6.2008 17:04 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Ale jistě, o tom žádná diskuse... Jde o to, jaká je pravděpodobnost, že se s hledáním takové chyby strefíte zrovna do uváděcího dne dlouho očekávaného produktu a vydáte o tom advisory. To se podle Secunie děje průměrně jednou za několik měsíců. Hodně věcí ukazuje spíše než na náhodu na záměr.

Petr Tomeš - Blog

19.6.2008 17:10 edois
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

no ja nevim, ja bych v tom taky tu diru hledal ve chvili, kdy to vydaji, ne v nejakem rc... a i kdyby si to schovavali, proc ne? kdyz delaji lidi okolo firefoxu smecka (podvodny pokus o rekord se neda nazvat jinak, nez smecko), proc by je nemohl delat nekdo jiny? :)

19.6.2008 17:15 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Tak už bylo téměř týden dopředu jisté, že RC bude vydána jako konečná verze. A podle šeho se ta chyba týká i Firefoxu 2. Srovnávat pokus o rekord (který bude muset být oficiálně oveřen auditem, aby mohl být vůbec zapsán) s bezpečností je dost mimo. Pokud si to schvovali, tak jedině kvůli zviditelnění, kdyby o tom Mozille řekli dřív, tak by se to do finální verze nemuselo vůbec dostat - ale to by ta skupinka přišla o publicitu.

Petr Tomeš - Blog

19.6.2008 17:23 edois
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

ten audit by mel hlavne proverit, zda vsichni, kdo si to stahli, to opravdu pouzivaji. a jestli tam nejsou nektere ip adresy vickrat...

to, zda to vedeli dopredu, vedi jen oni. rozhodne bych kategoricky netvrdil, ze lzou, stejne jako bych kategoricky netvrdil, ze mluvi pravdu...

19.6.2008 17:30 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

ten audit by mel hlavne proverit, zda vsichni, kdo si to stahli, to opravdu pouzivaji.

A to teda jako proč? Počet stažení je počet stažení. Tak to prezentují i jiné projekty. Mozilla se ale nemusí stydět ukazovat i počet aktivních uživatelů denně, který před vydáním překorčil již 2 miliony, stejně tak čtyřnásobení tržního podílu hned za první den podle Net Applications. Jsou tedy i jiné způsoby, jak měřit úspěšnost.

to, zda to vedeli dopredu, vedi jen oni. rozhodne bych kategoricky netvrdil, ze lzou, stejne jako bych kategoricky netvrdil, ze mluvi pravdu...

Tvrdil jsem, že je dost dobrých důvodů myslet si, že to bylo schválně. Je to velmi pravděpodobné.

Petr Tomeš - Blog

20.6.2008 12:09 Čech Antonín | skóre: 17 | blog: CzechTony
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Ne kazdy uzivatel internetu ma vlastni ip!

20.6.2008 13:33 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Potom ale vyvstává otázka zda-li se dají ještě stále nazývat uživateli.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

20.6.2008 14:16 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Tak to ale potom není na internetu, ne? :-)

20.6.2008 16:20 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Je. Ale tu adresu může sdílet s x lidma.

Petr Tomeš - Blog

20.6.2008 16:30 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Hmm jsem rád, že se nemusím o své IP (v4,v6) adresy dělit. :-)

20.6.2008 16:47 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Mně to nijak nevadí, teda pokud mám přístup k dst-natu.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

19.6.2008 17:24 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Až bude opraveno, tak si každý bude moci prohlédnout, kdy byla chyba nahlášena.

19.6.2008 17:30 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Článek tvrdil, že byla objevena 5 hodin po vydání, což je principiální nesmysl. Článek tedy lhal.

Petr Tomeš - Blog

20.6.2008 08:20 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

O něco výš píšete, že je to pouze nepravděpodobné. Není nad konzistentní názor.

20.6.2008 11:25 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Ale mám konzistentní. Jen jsem ho rozvedl a upřesnil. Ta tvrzení se nevylučují.

Petr Tomeš - Blog

20.6.2008 14:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Aha, takže objevení chyby během pěti hodin je nepravděpodobné a zároveň je to principiální nesmysl? Jinými slovy existuje jistá nenulová pravděpodobnost, že ten principiální nesmysl se uskutečnil? To je opravdu zajímavá logika…

20.6.2008 16:21 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Jirsáku sakra, vy musíte být neskutečně blbej chlap. Pět hodin po vydání Firefoxu 3 prostě nenašli chybu, tu museli ze samotné podstaty věci najít mnohem dříve. Okolnosti tomu nasvědčují. Tečka.

Petr Tomeš - Blog

20.6.2008 18:50 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

V tom případě v tom ale jedete se mnou. Alespoň jste v tom komentáři tvrdil, že je to nepravděpodobné, ne že je to z principu nemožné. A najít chybu pět hodin po vydání prohlížeče samozřejmě možné je, třeba by mne vůbec nepřekvapilo, kdyby chyba s dírou na Abíčku v Opeře 9.50 byla objevena několik desítek minut po vydání první betaverze. Nebo se na to zkuste podívat opačně. Myslíte, že je z podstaty věci nemožné vydat novou verzi prohlížeče pět hodin před tím, než v něm někdo najde chybu? Ono není pro každého vydání Firefoxu 3 středobodem světa, takže je opravdu možné, že se vydání FF3 do toho jenom připletlo.

19.6.2008 13:07 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Takže ja teraz napíšem, že bude pršať (a tiež to bude raz pravdivé). :/

19.6.2008 13:10 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Přesně tak. :)

Petr Tomeš - Blog

BTW: Zkoušel někdo Epiphany? Já zatím zkusil jen verzi s Geckem(nějak se jim pořád nechce montovat WebKit do Ubuntu) a byl jsem docela zaražen. Úplně stejné jádro jako ve FF3, ale subjektivně mi to přišlo o hodně svižnější…zvláště se ta svižnost projevila, když jsem zrovna kompiloval a kompilace si ukousla téměř všechny prostředky. A scrollování na diskusích s větším počtem příspěvků už konečně nevyžere 100% CPU. Je sice pravda, že nemá takovou funkčnost jako FF, ale ta svižnost mě opravdu překvapila a jestli to bude s WebKitem ještě rychlejší… Dneska jsem si přeložil i ten noční build WebKitu a zkusil ho přes ten GtkLauncher a nepřišlo mi to nějak o moc svižnější než Epiphany s Geckem. No ještě ho přeložím s Pangem, integruji do Epiphany a uvidíme.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

19.6.2008 17:07 Anmov | blog: ZLABLABLA
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Epiphany používám, vedle ní ještě LYNX. FF je pomalej(mimo jiné) kvůli tomu aby byl hodně přizpůsobytelnej, což ho docela zpomalí, na Epiphany neseženeš Ad-one či jak se jmenujou ty doplňky, tolik vzhledů(nevim jestli je vůbec nějakej), Epiphany je Linuxovej prohlížeč, zatímco FF je primárně dělanej hlavně na win, což taky na rychlosti nepřidá. Jinak prohlížeč na stejnym jádře je i Galeon, kterej je taky rychlejší než FF.

BTW: méně rozšířený věci bejvaj často kvalitnější...

19.6.2008 22:29 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

No tak jsem teď zkoušel noční sestavení WebKit-r34604 s různými přepínači a nechápu proč ti lidi tak šílí. Rychlost vykreslování jako FF s několika panely a na některých stránkách ještě hůř. A to jsem zkoušel jen v tom ukázkovém programu GtkLauncher s -O2 a -march přesně na můj procesor. Nevím co dělám špatně. Jediné místo kde WebKit opravdu švihal jsou všelijaké ty JavaScriptové bazmeky jako mapy.cz,pctuning.cz a zive.cz, jinak teda fakt žádná sláva.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

20.6.2008 08:45 xsubway | skóre: 13 | blog: litera_scripta_manet
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Epiphany (Gecko) používám dlouho, právě pro rychlost (a menší žravost než FF2). Ze zásuvných modulů jsem potřeboval pouze FlashBlock, a to lze:

http://live.gnome.org/Epiphany/FlashBlock

Trochu offtopic, ale dá se nějak nový firefox přeskinovat? Ten nový vzhled je jedním slovem hnus, u mě to se zbytkem systému rozhodně neladí, jak bylo slibováno. Navíc mi tam v záložkách přibyly nějaké složky (nebo jak to nazvat) a nejdou smazat.

19.6.2008 13:09 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Použil se snad systémový motiv. Chcete říct, že se použilo něco úplně jiného? Jinak to, co se přidalo, nejsou složky, ale dynamická hledání, tedy jakási systémová funkce integrovaná i do nabídky.

Petr Tomeš - Blog

19.6.2008 13:19 knizmi | skóre: 27 | blog: Blog | Kosmonosy
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Ne, zbytek systému takhle hnusný prostě není. To pro nový firefox neexistuje něco jako skiny pro FF2? A ty složky se teda dají nějak vypnout? Když na ně kliknu pravým tlačítkem, tak tak mám delete zašedlé...

19.6.2008 13:24 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Na Windows mi to smazat jde všechno. Možná chybka, co bude opravena v aktualizaci? Nevím. Každopádně nevím, co myslíte zbytkem systému, asi to nemá kde používat úplně stejné ikony, ale ten styl by měl být podobný, jde přece o Tango. Ale divím se, že si nejste schopen změnit motivvzhledu, pokud vám aktuální nevyhovuje.

Petr Tomeš - Blog

19.6.2008 13:53 Mazarik
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Ano existuju skiny. Vacsinu vsak rovnako ako rozsirenia treba prerobit. To je dan za moznost takej velkej rozsiritelnosti funkcnosti a skinovatelnosti. Existuje jeden, ktory simuluje skin ff2. Opravuje take zhovadilosti v ff3 ako, ze sa nezafarbuje adresovy riadok pri strankach s certifikatom a tak. Pod linuxom ma vsak chybicky. Vo windows je to bez problemov. http://borrd.blogspot.com/search?q=firefox

19.6.2008 13:59 knizmi | skóre: 27 | blog: Blog | Kosmonosy
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Díky, tohle vypadá dobře, ale některé věci se zobrazují chbně. Mezitím už jsem si stihnul zvyknout na novou Operu, takže je to stejně jedno...

19.6.2008 13:18 Qaxi | skóre: 14 | blog: Qaxi
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Úplně v klidu jsem ty "Chytré složky" přesunul z lišty do záložek a neotravujou ...

19.6.2008 13:31 Vin
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Který motiv ikon používáš pro systém?

19.6.2008 13:39 knizmi | skóre: 27 | blog: Blog | Kosmonosy
Rozbalit Rozbalit vše Re: První bezpečnostní chyba ve Firefoxu 3.0

Příloha:

synaptic.png (113688 bytů)

No, v KDE používám vlastní ikony (prostě jsem vzal to, co se mi líbilo z několika jiných) a pro gnome aplikace mám nastavené nevímco, každopádně synaptic vypadá docela pěkně, viz příloha.