-->
Čtvrtek 21. 10. 2004 (12:06)
Počítače, internet, IT
Závažné i komické chyby v internetových prohlížečích
Opět se v internetových prohlížečích objevují bezpečnostní díry. Shrnuje to CD-R.CZ ve zprávě Více a méně závažné díry v prohlížečích. Stálicí je Internet Explorer (vč. SP2) s novou vysoce kritickou dírou. Ovšem nejvíce mě dostalo toto: Představte si, že když prohlížeč nebo nadstavba prohlížeče podporující tabbed-browsing (Firefox, Opera, Mozilla, K-Meleon, Maxthon, Avant Browser aj.) otevře vyskakovací dialog z neaktivní záložky vyzývající k vyplnění údajů s úmyslem jakkoliv v současnosti i budoucnosti škodit a uživatel je natolik zmaten, že klidně vyplní své rodné číslo nebo číslo konta, tak je to označeno za chybu browseru. Podle mě je to klasická chyba mezi židlí a klávesnicí, protože zadávat nastíněné údaje do každého políčka, které si o ně řekne a ještě se neorientovat třeba v pěti otevřených záložkách ... to chce vážně kus (ne)umu a (ne)znalosti.Osobně mám otevřeno třeba i čtyřicet záložek! Zrovna teď. Vybírám software pro PPK CD a porovnávám si jejich možnosti udávané výrobcem a na jejich základě pak jich alespoň 50% stáhnu k osobnímu posouzení a definitivnímu výběru desítky nejlepších. Co záložka, to popis vlastnosti jednoho programu a bez problémů se orientuji. A podvodné dialogy? Jsem na 80% přesvědčen, že poznám či vytuším, ze které stránky se mi okno otevřelo, ale hlavně, před otevřením vyskakovacího okna se mě musí každá stránka resp. prohlížeč zeptat a ještě si vždy a všude rozmyslím, jaké údaje o sobě poskytnu. Já vážně miluji tyhle chyby objevené v laboratorních podmínkách za maximální absurdity. Ale jo, uživatelé dovedou všechno. I ty absurdity, ale to bych neházel na browsery.
Reagoval Pepak: To, co pises, je ovsem trochu (trochu dost) demagogie. Chyba neni v tom, ze browser uzivateli zobrazi formular s citlivymi udaji a uzivatel ho vyplni, ale v tom, ze (podle popisu chyby) neni mozne poznat, ke ktere zalozce se vyskakovaci okno s formularem vztahuje. Takze uzivatel vubec nemusi byt pitomec, a presto muze nechtene poskytnout pochybne strance citlive udaje (protoze mu browser "podstrci" formular te pochybne stranky misto formulare ocekavaneho). Je ovsem nutne dodat, ze tato chyba nema s tabbed browsingem vubec nic spolecneho a spolehlive funguje i v kazdem jinem prohlizeci, ktery umi javascript a muze mit najednou spusteno vic oken.
Má odpověď: Ale o tom přece píšu, přečti si to znova. Píšu o obojím. Jak o zadávání citlivých údajů tak o identifikaci co k čemu patří (dialog ke stránce). Prostě to, že někdo není schopen přijít intuitivně na to, která stránka mu otevřela, které okno, není problém prohlížeče. To bys také mohl problémem prohlížeče označit, že někdo na podvodnou výzvu WWW stránky nahraje elektronický klíč ke svému e-bankingu a ještě přihodí heslo a ID. Když se v tom user nevyzná, tak ať si vypne otevírání a nechá se dotazovat nebo používá jedno okno SDI prohlížeče bez tabbed-browsingu.
Dále reagoval Pepak: Je to problem prohlizece. Nebo ty znas nejaky jednoduchy prostredek, jak muze uzivatel zjistit, ke kteremu tabu (nebo oknu, to je fuk) nove vyskakovaci okno patri? Ja vim jen o jednom - podivat se do vlastnosti nove stranky, jake ma URL, a pak si dohledat ve vsech otevrenych strankach, ke kteremu z oken to asi tak patri. Ale to neni postup, ktery muzu chtit po beznem uzivateli. A nejakou "intuici" uz vubec ne - zvlast kdyz prave s tou bys mohl dostat pekne na cumak.>
A připojil se Mustafa:Podle mě to Pepak myslí tak, že očekávám stránku s formulářem, ale prvně se mi otevře úplně jiná stránka s formulářem => Já očekávám stránku s formulářem a ona je mi nabídnuta, ale úplně odjinud než já jí očekávám, což někdy není možno rozpoznat a průser je na světě:-) Tedy takhle to vidím já a to nejsém žádnej internetovej zelenáč.
Má odpověď: Tak nevím hoši ... Já to vidím jinak a nikdy jsem s tím neměl problém. Vždy poznám, kam co patří (design, text, logo aj.). Rozhodně bych z toho ale nedělal nějakou novou závažnou chybu a to se právě děje. Je to třeba pro někoho problém, ale ne bezpečnostní chyba. A řešení existuje již dnes dokonce i v Internet Exploreru - když zakážete otevírání pop-upů, tak snad pak poznáte, který pop-up kam patří, když se jedna stránka výslovně zeptá na jeho otevření, ne?! Dokážu pochopit, že to někdo zmotá, poplete si okna. Koneckonců podezřelé přílohy se u e-mailů také dnes pořád otevírají ... Ale vážně bych z toho nedělal chybu jako vrata ...
Reagoval Martin Trčka: Váženy pane Macichu, trochu jste mě zklamal. Podle toho, co píšete, to totiž vypadá, že jste vůbec nevyzkoušel, jak ta "chyba" v praxi funguje. A pak píšete nesmysly...
(1) Nejedná se o žádné vyskakovací okno s volitelným HTML obsahem, ale o uniformní Javascriptový dialog. Žádný specifický design, žádné logo. Nehledě na fakt, že i kompexní design (barvy, loga, písmo) byl už několikrát dovedně okopírován - principiálně nejde o nic složitého.
(2) Nejedná se o žádné vyskakovací okno, ale o Javascriptový dialog. Tudíž se blokování vyskakovacích oken vůbec neaktivuje - vyzkoušeno na Opeře a Firefoxu.
Má odpověď: Chyba s tabbed-browsingem je mnohem závažnější než jsem si myslel!
Reagoval Bruce: no, podle mne jen totální trumpeta si otevře současně stránku Astalavisty a své e-banky, tady možná může vzniknout problém. Není to ale problém prohlížeče,ale jak tady Jirka píše, toho trumpety, který je schopen bez přemýšlení vyplnit své osobní údaje kamkoli a kdykoli. Aspoň se trouba pro příště poučí. Jeho těžce vydělané peníze aspoň podpoří rozvoj dálně východního kapitálu. Lidská blbost je neomezená, no a pokud už někdo toto provede, zaslouží spravedlivý trest.
Má odpověď: Ale o tom přece píšu, přečti si to znova. Píšu o obojím. Jak o zadávání citlivých údajů tak o identifikaci co k čemu patří (dialog ke stránce). Prostě to, že někdo není schopen přijít intuitivně na to, která stránka mu otevřela, které okno, není problém prohlížeče. To bys také mohl problémem prohlížeče označit, že někdo na podvodnou výzvu WWW stránky nahraje elektronický klíč ke svému e-bankingu a ještě přihodí heslo a ID. Když se v tom user nevyzná, tak ať si vypne otevírání a nechá se dotazovat nebo používá jedno okno SDI prohlížeče bez tabbed-browsingu.
Dále reagoval Pepak: Je to problem prohlizece. Nebo ty znas nejaky jednoduchy prostredek, jak muze uzivatel zjistit, ke kteremu tabu (nebo oknu, to je fuk) nove vyskakovaci okno patri? Ja vim jen o jednom - podivat se do vlastnosti nove stranky, jake ma URL, a pak si dohledat ve vsech otevrenych strankach, ke kteremu z oken to asi tak patri. Ale to neni postup, ktery muzu chtit po beznem uzivateli. A nejakou "intuici" uz vubec ne - zvlast kdyz prave s tou bys mohl dostat pekne na cumak.>
A připojil se Mustafa:Podle mě to Pepak myslí tak, že očekávám stránku s formulářem, ale prvně se mi otevře úplně jiná stránka s formulářem => Já očekávám stránku s formulářem a ona je mi nabídnuta, ale úplně odjinud než já jí očekávám, což někdy není možno rozpoznat a průser je na světě:-) Tedy takhle to vidím já a to nejsém žádnej internetovej zelenáč.
Má odpověď: Tak nevím hoši ... Já to vidím jinak a nikdy jsem s tím neměl problém. Vždy poznám, kam co patří (design, text, logo aj.). Rozhodně bych z toho ale nedělal nějakou novou závažnou chybu a to se právě děje. Je to třeba pro někoho problém, ale ne bezpečnostní chyba. A řešení existuje již dnes dokonce i v Internet Exploreru - když zakážete otevírání pop-upů, tak snad pak poznáte, který pop-up kam patří, když se jedna stránka výslovně zeptá na jeho otevření, ne?! Dokážu pochopit, že to někdo zmotá, poplete si okna. Koneckonců podezřelé přílohy se u e-mailů také dnes pořád otevírají ... Ale vážně bych z toho nedělal chybu jako vrata ...
Reagoval Martin Trčka: Váženy pane Macichu, trochu jste mě zklamal. Podle toho, co píšete, to totiž vypadá, že jste vůbec nevyzkoušel, jak ta "chyba" v praxi funguje. A pak píšete nesmysly...
(1) Nejedná se o žádné vyskakovací okno s volitelným HTML obsahem, ale o uniformní Javascriptový dialog. Žádný specifický design, žádné logo. Nehledě na fakt, že i kompexní design (barvy, loga, písmo) byl už několikrát dovedně okopírován - principiálně nejde o nic složitého.
(2) Nejedná se o žádné vyskakovací okno, ale o Javascriptový dialog. Tudíž se blokování vyskakovacích oken vůbec neaktivuje - vyzkoušeno na Opeře a Firefoxu.
Má odpověď: Chyba s tabbed-browsingem je mnohem závažnější než jsem si myslel!
Reagoval Bruce: no, podle mne jen totální trumpeta si otevře současně stránku Astalavisty a své e-banky, tady možná může vzniknout problém. Není to ale problém prohlížeče,ale jak tady Jirka píše, toho trumpety, který je schopen bez přemýšlení vyplnit své osobní údaje kamkoli a kdykoli. Aspoň se trouba pro příště poučí. Jeho těžce vydělané peníze aspoň podpoří rozvoj dálně východního kapitálu. Lidská blbost je neomezená, no a pokud už někdo toto provede, zaslouží spravedlivý trest.
SLEDOVAT ZMĚNY | VYTISKNOUT | Podělte se o odkaz na linkuj.cz nebo del.icio.us
Stálý odkaz (permalink): Stálá adresa tohoto zápisku je http://blog.macich.net/1098360377-zavazne-i-komicke-chyby-v-internetovych-prohlizecich.html (pro IE: vložit do schránky | přidat k oblíbeným). Chcete-li na zápisek odkázat, použijte ji.
Další zápisky: Následujícím zápiskem je spot Monitory kazí oči: Fáma?! Předešlým zápiskem je spot Istanbul: Nová komunikační star od Microsoftu Další pak naleznete při navigaci z hlavní stránky. Můžete se také podívat na seznam všech zápisků.
Aktuální místo vašeho pobytu: Macich.NET » Blog počítačového nadšence » Počítače, internet, IT » Závažné i komické chyby v internetových prohlížečích
