- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Lassan a „lyukas” szót is pontos j-vel kell írni a Java iránti tiszteletből :)
- A hozzászóláshoz be kell jelentkezni
+1
:D
- A hozzászóláshoz be kell jelentkezni
Első olvasatra ez is java applet probléma, amivel megint csak ki lehet törni a sandbox-ból.
- A hozzászóláshoz be kell jelentkezni
Még egy kiegészítés: érdemes megnézni a srácok honlapját, gyakorlatilag teljesen a java
appleteken keresztül történő törésekre álltak rá, miközben a legtöbb java fejlesztő
utoljára úgy 2000 környékén használt java appletet, azóta a flash előretörésével ez egy
teljesen egzotikus állatfaj, gondolom ezért a Sun majd Oracle-nél sem sokat foglalkoztak vele.
- A hozzászóláshoz be kell jelentkezni
Azért még elő-előfordul egy-egy Java Applet.
De nem kell ennyire messzire menni, simán lehet preparát Java appletet felrakni valami rosszindulatú oldalra. Szerinted az user gondolkodni fog rajta? Naná, hogy helyből kattint az igen, futtasd csak, sőt meg se kérdezd többet gombra...
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
mingya ittvan pl a javamikulas... :-D
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Évek óta anim gif mikulás van ;)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
már azt hittem, hogy a jobb gép miatt nem szaggat :-)
- A hozzászóláshoz be kell jelentkezni
Jó volna, ha megszűnnének az appletek, de még nem tartunk ott. Valamelyik bank oldala is ebben készült, mindenféle control paneleken vnc, ssh kliensek, aztán ott van a chat.hu is, hogy említsek valamit ami az átlagfelhasználók egy részét erősen érintheti
- A hozzászóláshoz be kell jelentkezni
chat.hu még nem halt ki az elmúlt 10 évben?
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Él és virul!
- A hozzászóláshoz be kell jelentkezni
Ezeket kellett volna már réges-régen megírtani, mert jó eséllyel semmi szükség rá. Mondom ezt java fejlesztőként...
- A hozzászóláshoz be kell jelentkezni
De ez kb. rohadtul mindegy, hogy hany java app fut vagy hany nem fut, ha egyszer arrol van szo, hogy maga a JRE/Java osztalykonyvtarakban/banom is en, hogy hol van a hiba, amit egy preparalt appal (es nem egy random meglevo, valoszinuleg biztonsagos, joindulatu appal) fognak kihasznalni. Java meg azert eleg sok gepen van => igenis szamit az applet is.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Teljesen egyetértek, csak annyi volt a megjegyzésem, hogy az egész java applet-es mókát már réges régen ki kellett volna hajítani.
- A hozzászóláshoz be kell jelentkezni
Pontosan, és ezért nem mindegy hogy hány fut, mert minél kevesebb fut, annál előbb fogják nem támogatni a böngészők ezzel megszüntetve egy problémát.
- A hozzászóláshoz be kell jelentkezni
Igaz, hogy minél kevesebb Applet => annál hamarabb kihal, de az is igaz, hogy minél kevesebb Applet => annál kevésbé biztonságos mert nem figyelnek oda rá. Épp ez történik most is.
- A hozzászóláshoz be kell jelentkezni
Nem is gondolnád, hány "enterprise grade" szoftver admin felülete áll java appletekből...
- A hozzászóláshoz be kell jelentkezni
cib bank
- A hozzászóláshoz be kell jelentkezni
Samsung Kies Air...
- A hozzászóláshoz be kell jelentkezni
Eljön az idő, amikor így kezdik az emberek a távoli korok meséjét, "ez még akkor történt, amikor a javaban nem találtak havonta sebezhetőséget".
"Belépés díjtalan, kilépés bizonytalan."
- A hozzászóláshoz be kell jelentkezni
Azért értik a srácok, hogy kell jó marketinget csinálni a gondolom nemrég gründolt security cégüknek. Igazuk van.
Meg Chris Evansnak is:
I don't see any details?
This list is "full disclosure", not "touch self in public".
- A hozzászóláshoz be kell jelentkezni
Már napok óta csiszolgatok a Chrome-hoz egy Apparmor profilt.(elsősorban, mert ismerkedni akarok az Apparmor-ral) Amit a chromium-hoz adnak, az csak össze van hányva. Ha kész lesz, akkor közzéteszem mintának.
- A hozzászóláshoz be kell jelentkezni
azt megköszönném.
- A hozzászóláshoz be kell jelentkezni
Kicsit elbizonytalanodtam mikor megláttam hogy egy ilyen kérés észrevétlenül átcsusszan az apparmoron:
dbus-send --print-reply --dest=org.xfce.FileManager /org/xfce/FileManager org.xfce.FileManager.Launch string:/home/taxy/worm.sh string::0.0
(Vagyis bármit futtathatok DBUS-on keresztül)
Alig hittem a szememnek. Van így értelme ennek az egésznek?
Persze vannak ígéretes próbálkozások a dbus megfogására, de úgy tűnik, még eléggé kísérleti stádiumban van, meg korlátozott az elérhetősége. Használt már valaki ilyet?
- A hozzászóláshoz be kell jelentkezni
volt itt a blogon egy tobbreszes osszefoglalo a dbus-sal kapcsolatban, lehet abban van info hogy lehet tiltani ilyet, vagy legalabb merre indulj el a googleben...
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Igen, köszi, láttam már, majd egyszer úgyis végigolvasom.
Most nekem nem ezzel a konkrét objektummal van gondom, mert ez disztribúcióra/kiadásra változik, hogy éppen hol vannak a sebezhető pontok rajta. Egy apparmor profilt viszont igyekszik úgy összeállítani az ember, hogy csak a minimális dolgokat engedje meg az alkalmazásnak, ami a működéséhez feltétlenül szükséges. Viszont a DBUS kikerüli a fájlrendszer nyújtotta ellenőrzési pontot, így abszolút nem lehet kontrollálni. Tehát a bajom, hogy későn eszméltek fel az Ubuntu alkotói, hogy ilyen lehetőséget be kéne építeni, hogy a dbus és az apparmor együtt működjenek. Igazából, nem tudom, hogy az eldugott, levlistákon osztogatott tar.gz bildeken kívül, van-e már erre valami rendes támogatás.
- A hozzászóláshoz be kell jelentkezni