Firefox bővítményt telepített a Microsoft a felhasználók beleegyezése nélkül

Titkosítás, biztonság, privát szféra

A H Security a The Washington Post Security Fix rovatára hivatkozva számol be arról, hogy a .NET Framework 3.5 Service Pack 1 - amely az év korábbi szakaszában érkezett a Windows Update-en keresztül - a felhasználók beleegyezése nélkül telepítette a .NET Framework Assistant névre hallgató Mozilla Firefox bővítményt a rendszerükre. Egyesek szerint a probléma ezzel - azon túl, hogy kérdés nélkül települt - az, hogy a "Microsoft .NET Framework Assistant" használja a Microsoft ClickOnce technológiát, amely lehetővé teszi a felhasználók számára Windows alkalmazások telepítését azáltal, hogy weboldalakon elhelyezett linkekre kattintanak.

Az utóbbi technológia biztonságossága miatt többen is szót emeltek, míg mások arra hivatkoznak, hogy a ClickOnce biztonságosabb a hagyományos letöltésnél, mert biztonsági "sandbox"-ba tölti az alkalmazást és egyébként is felkínálja a felhasználónak a választási lehetőséget azt illetően, hogy le kívánja-e tölteni és futtatni kívánja-e az adott alkalmazást.

Az elégedetlenkedők sérelmezték azt is, hogy a nevezett bővítményt nem egyszerű eltávolítani (az "Uninstall" gomb szürke). Kezdetben a Windows registry szerkesztésével lehetett megszabadulni a tőle, de nemrég a Microsoft elérhetővé tett egy frissítést, amely lehetővé teszi a bővítmény egyszerűbb eltávolítását.

Az ügy megosztotta az embereket. Vannak akik sérelmezik, hogy rendszerükre engedély nélkül települnek bővítmények, míg mások szerint ez nem akkora probléma.

Referenciák:
Microsoft installs Firefox extension without asking
Microsoft Update Quietly Installs Firefox Extension
Update to .NET Framework 3.5 SP1 for the .NET Framework Assistant 1.0 for Firefox

( snq- | 2009. 06. 02., k – 10:34 )

az Agrárinformatikai Kerekasztal értő, szakmai véleményezése a témáról itt

( Csigaa | 2009. 06. 02., k – 10:48 )

A szemét M$, hát nem ellopta a több éve ugyanígy települő és működő Java QuickStart Extensiont??
A Sun helyében szarrá perelném.

;p

( turul16 v | 2009. 06. 02., k – 12:02 )

IE <=6 irthatna ki az MS kerdes nelkul, ha felhasznalo belegyezes nem olyan fontos.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( Charybdis | 2009. 06. 02., k – 12:08 )

Hát igen, Linuxon nincsenek ilyenek (remélem).

( bbandi | 2009. 06. 02., k – 12:47 )

Firefoxba kéne valami olyan, hogy külső program bővítményt telepíted, akarod engedélyezni?
Valahogy úgy mint mikor valami 3rd party skype kiegészítőt használsz

( nagy_peter v | 2009. 06. 02., k – 13:09 )

Szerintem ez egészen addig belefér, amíg a .NET 3.5 nem automatikusan települ a Windowsupdaten keresztül.

( hrgy84 | 2009. 06. 02., k – 13:13 )

FUD.
1) Uninstall gomb nem jelent meg: Firefox-feature, ha egy bovitmeny/kiterjesztes globalisan van telepitve, nem uninstallalhato. Lehet a Mozillat szidni. Nagyon.
2) Ha uninstall nincs is, Disable mindig is volt. Ekkor pedig nem toltodik be az illeto stuff. Akkor most WTF?
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

A blogbejegyzés lejjebb pedig kitér arra, hogy milyen registry hackolás kellett kezdetben ahhoz, hogy el lehessen távolítani egy csendben a felhasználó tudta nélkül telepített funkciót. Én megértem azokat, akiket ez felbosszantott.

Amint látszik a később kiadott frissítésből, a Microsoft meg tudta volna oldani, ha akarta volna úgy is, hogy az emberi módon eltávolítható legyen. Ekkor már csak az aggasztana - ha érintene a probléma -, hogy mi a tökömér' telepít nekem bármit is az engedélyem nélkül.

--
trey @ gépház

>> csendben a felhasználó tudta nélkül
amennyiben a firefoxot azóta soha nem indították el

>> milyen registry hackolás
egyetlen entry törlése, mint minden más global ext esetén (egyébként "Ha uninstall nincs is, Disable mindig is volt; goto 10")

>> meg tudta volna oldani, ha akarta volna úgy is, hogy az emberi módon eltávolítható legyen
joggal merül fel a kérdés, hogy ez esetben mire való az ominózus kulcs: a sun jre privát írási területe? aranka és attila nem jöhet be a kocsmába? van dokumentált módja az alapértelmezetten disabledként bejegyzésre?

>> mi a tökömér' telepít nekem bármit is az engedélyem nélkül
+1 (ahol a telepít = firefoxnak megmutat, hogy van ilyen is)

A csendben telepítés sajnos megesett attól függetlenül, hogy a Firefox-ot elindították-e vagy sem. A Firefox elindításakor már csak azt tudod konstatálni, hogy egy bővítménnyel vagy gazdagabb, amit az engedélyed nélkül, csendben telepítettek.

"egyetlen entry törlése, mint minden más global ext esetén"

Mint ahogy olvashattuk a blogban, ez frusztrálta egyes felhasználókat.

"+1 (ahol a telepít = firefoxnak megmutat, hogy van ilyen is)"

Fentebb már kiderült, hogy te máshogy értelmezed a telepítést.

--
trey @ gépház

>> A Firefox elindításakor már csak azt tudod konstatálni, hogy egy bővítménnyel vagy gazdagabb, amit az engedélyed nélkül, csendben telepítettek.

és ez egy komoly firefox hiányosság: felolvassa a global extension entryket, és a (felhasználó számára) újakat alapértelmezetten enabledre teszi - ha sokakat zavar ez a működés, biztosan javításra kerül

És ez mégis mitől lenne hiányosság??? Eddíg is így működött, és csak MSnek esett nehezére alkalmazkodni... Az a hiányosság, hogy a többi addonnal ellentétben ezt nem lehet eltávolítani 1 klikkel. Mire jó az, ha egy addont nehezebb leszedni mint feltenni (jahogy nem is kérdezett:)) ??? Ezekután max az MS addonok szűrve lesznek... pl Skype telepítésekor options fülön beállíthatsz pár apróságot, többek között ie, firefox plugin, stbstbstb. Valahogy így kellett volna MSnek is eljárnia.

>> És ez mégis mitől lenne hiányosság
a fordított alapértelmezés szerencsésebb lenne a tapasztalatok alapján

>> Eddíg is így működött
tudom

>> és csak MSnek esett nehezére alkalmazkodni
mihez?

>> Az a hiányosság, hogy a többi addonnal ellentétben ezt nem lehet eltávolítani 1 klikkel
a te általad ismertek közül. vannak ilyen extensionön is, és olyanok is. nem ez a probléma

>> Mire jó az, ha egy addont nehezebb leszedni mint feltenni
nem igazán értem a kérdést, de egyébként tudod mi az az acl?

"Az utóbbi technológia biztonságossága miatt többen is szót emeltek, míg mások arra hivatkoznak, hogy a ClickOnce biztonságosabb a hagyományos letöltésnél, mert biztonsági "sandbox"-ba tölti az alkalmazást és egyébként is felkínálja a felhasználónak a választási lehetőséget azt illetően, hogy le kívánja-e tölteni és futtatni kívánja-e az adott alkalmazást.

Az elégedetlenkedők sérelmezték azt is, hogy a nevezett bővítményt nem egyszerű eltávolítani (az "Uninstall" gomb szürke). Kezdetben a Windows registry szerkesztésével lehetett megszabadulni a tőle, de nemrég a Microsoft elérhetővé tett egy frissítést, amely lehetővé teszi a bővítmény egyszerűbb eltávolítását.

Az ügy megosztotta az embereket. Vannak akik sérelmezik, hogy rendszerükre engedély nélkül települnek bővítmények, míg mások szerint ez nem akkora probléma."

Szerintem a usereknek meg kellett volna adni a minimális informálás, és választás lehetőségét, de úgy tűnik,ez MSnél ismeretlen fogalom...

Kérdés: a .net 3.5 frissítés telepítéséhez kell _bármilyen_ felhasználói beavatkozás? Vagy ha rajta lóg a gép a neten, akkor szép csendben feltelepül? Mert szerintem az előbbi. Ez már egyfajta beleegyezés, persze szólhatna, hogy telepít egy bővítményt is. Nem tartom kizártnak, hogy valahol írja is, hogy telepít majd egy bővítményt.

A másik, hogy ha eltávolítod ezt a frissítést, akkor a bővítményt is eltávolítja, nem? Akkor hol itt a probléma? Senki nem kötelez a .net 3.5 frissítés telepítésére, vagy a gépen való megtartására. Tehát ha eltávolítod, gondolom eltávolítja a bővítményt is, és már nincs is vele probléma.

Nem merek megeskudni ra, de ugy remlik felmaszik, bar bele kell egyezni, mert nem security update. Ezzel egyutt nem opcionalis frissites, ha nem teszed fel, mindig sikongat, hogy itt van ez a .Net 3.5 es legyelmarkedves.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( hokuszpk | 2009. 06. 02., k – 13:17 )

kene szolni Russinovich doktornak, hogy az autoruns-ba vegye fel a firefox bovitmenyek listazasat is.
a kiiktatosdit szeretem egy helyrol vegezni.

( Beanie | 2009. 06. 02., k – 13:35 )

Egyik gépemen még Windows van az egyetemi faszságok miatt, amikhez kell, de már nem sokáig... Igyekszem minél hamarabb megszabadulni mindkettőtől. (A Windowstól is meg az egyetemtől is...)

( zoli78 | 2009. 06. 02., k – 21:00 )

szerintem ez igenis nagy probléma, szándékosan kinyít kapukat a konkurencia böngészőjében??? elég súlyos bűncselekmény a számítógépes rendszerbe való behatolás előkészülete és segítése is.

:D
Tessék, egy kis hangulatfokozó!
miről? miről? :D:D
Csak hogy megnyugtassalak, normális ember menekül az MS termékektől, és van már jópár tökéletes alternatíva, és egyre csak több lesz! Bízom benne, hogy hamarosan (5-10 év múlva) eljön az ideje, amikor a valóban ingyenes MS sem kell a kutyának sem! :)
Azt nem értem, miért itt, a hupon örjöngsz? És miért nem bírod felfogni, hogy nem mindenkinek jönnek be az MS hasonló húzásai... Sajnos nem ez volt az első sunyi silent telepítés az MStől, és nem is az utolsó.

nem orjongok. az meg hogy paran azt hiszik, hogy MS rajongo vagyok eleg vicces. alapvetoen leszarom, hogy ki mit hasznal. neha hasznalok MS cuccokat mert vagy azt kell vagy eppen az a jobb adott feladatra. barmennyire hihetetlen is felfogni.
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

Nem hiszem, ezek ilyenek maradnak.
Az érdekel, ilyen beszűkült hozzáállással tényleg informatikai állásuk van-e (lehet-e egy munkaszoftvert oktalan, vak gyűlöletből elutasítani?), vagy csak feljárnak ide beokádni, aztán mennek vissza havat lapátolni a nagy büszke MS-mentességükben.

( csardij v | 2009. 06. 04., cs – 07:56 )

A Windowsos skype is megkérdezés nélkül telepíti Firefoxba a saját pluginját. Vagy ha kérdezi, akkor kacifántosan, vagy elrejtve.

_________________________
Hogyan?