Firefox NoScript Is Evil

Gondolom ez sokakat érint. Meglepő történet.

A cikk lényege, hogy a NoScript kiterjesztés elkezdte az Adblock Plus kiterjesztés kódrészeit támadni, csak azért, hogy a NoScript honlapján látható reklámok továbbra is megjelenjenek a böngészőben.

( Csigaa | 2009. 05. 02., szo – 10:50 )

Érdekes kérdéseket vet fel a dolog az egész FF extension koncepcióval kapcsolatban. Ez úttal még csak az adblock whitelistbe tett be egy bejegyzést a malware (ez már annak számít, a felhasználó engedélye nélkül módosítja a szűrési beállításokat). Legközelebb mit csinál? Elküldi a jelszófile-odat a szerzőjének?
A szomorú az egészben, hogy ez felkerült az addons.mozilla.org-ra, tehát még alaphelyzetben "megbízható" helyről is származott. Láttam már teljesen megbízhatatlan oldalról is FF extension ajánlást, letöltést. Egyértelműen közveszélyes, főleg azzal a tévhittel kombinálva, hogy "a firefox, na az nagyon biztonságos".

Arról nem is beszélve, hogy a NoScript-et sokan azért teszik fel, mert hajjde biztonságban érzik magukat a JS letiltásától... (ami szintén csak önámítás, de ez más lapra tartozik - mindenesetre szépen meglovagolta a tévhitet az extension rosszindulatú készítője)

Jó, a HTML kódok renderelése is potenciális veszélyforrás (a gecko motorban akár hiba is lehet!!!!!44) szóval ma meg is írom a noHTML FF extensiont. Ettől aztán tényleg biztonságos lesz a böngészés, és csak kevés kellemetlenség árán! De tényleg ;p

(és malware included, természetesen)

Amúgy az én olvasatomban Miller a "complete lock down"-ra mondta példának a noscriptet, ami ugyanakkora agyatlanság, mint a nulla védelem.
szerk:

It is possible to really lock down your computer (running noscript for example) and make it safer, but in my opinion it’s not worth the trouble and the loss of functionality you experience.

Valamit nagyon félreértettél, ha szerinted ez pozitív vélemény a noscript-féle baromkodásokról.

a reklámblokkolás amúgy is "erkölcstelen" dolog is lehet, pl.: a Gmail-en, vagy a Hup-on nincsenek tiltva nekem a _célzott_ reklámok, mivel úgy is csak azokra kattintok, ami érdekel.

szerk.: "and make it safer, but in my opinion it’s not worth the trouble and the loss of functionality you experience." - magyarul növeli a biztonságot, de csökkenti a "felhasználóbarátságot".

egy kis idő múlva amúgy már annyi oldalt fehérlistázott vele az ember, hogy hozzá se kell érni, de tényleg, max ha egy új helyre tévedek, és pl.: nem játszódik le az embedded video

az "in my opinion it's not worth the trouble [...]" mondat, amit idéztél a NoScript védelmére, pont azt jelenti szó szerint, hogy "az én véleményem szerint nem éri meg a fáradtságot és a funkcióvesztést". Az ellenkezőjét, mint amit bizonyítani akarsz vele...

Tehát a biztonsági szakember szerint sincs értelme. Nem azt mondja, hogy "használd mert jó, csak macerás". Azt hangsúlyozza, hogy "NE használd MERT macerás ÉS nem annyira jó hogy megérje".

Semmi jónak nem vagyok elrontója, szíved joga hogy a szándékos mazochizmustól érzed biztonságban magad. Csak tudj róla, hogy ez valójában nem ér túl sokat, mert nem a JS kizárólag minden gonosz forrása (főleg olvasva topicindító cikket, a NoScriptben volt már olyan hiba, ami VESZÉLYESEBBÉ tette a böngészést)

szerk: az az érzésem mint amikor a Bibliát szó szerint idézgető szerencsétlen vallási fanatikusokat hallgatom. Kiragadtál két szót (noscript - safe) egy szakember nyilatkozatából, és most ezt ismétled magadnak, a teljes szöveg értelmét abszolút figyelmen kívül hagyva. Nem csak a Noscriptről volt szó, és nem abban az értelemben ahogy szeretnéd. De befejeztem, tényleg szíved joga hogy használod-e.

mert nem a JS kizárólag minden gonosz forrása

Ez egyrészt így van, másrészt a noscript nem csak egy egyszerű JS blokkoló. Megint másrészről pedig a böngészőhibák jórésze, és általában asszem a súlyosabbak - NEM AZ ÖSSZES, DE JÓRÉSZE - javascript motor hibáiból fakadnak.

uff a snq gyorsabb volt

----------------

r=1 vagyok, de ugatok...

"az az érzésem mint amikor a Bibliát szó szerint idézgető szerencsétlen vallási fanatikusokat hallgatom. Kiragadtál két szót (noscript - safe) egy szakember nyilatkozatából, és most ezt ismétled magadnak..."

Nekem is van egy ""érzésem"": Nem kéne "személyeskedni", és Nem kéne elterelni a szót...

szerk.: de "gonoszak" vagyunk, már 3-an... :):S:S:\ legyen peace..

Igaz (de hála égnek GPL alatt van - szabad forráskódú - észrevette az ABP csapata a mókerolást - """hiba""" javítva másnapra, hogy ne legyen belőle baj, ill. folytatódó presztízsveszteség).
Az is igaz, hogy a történet tanulságos volt, de a szabad forráskód megvédte az embereket attól az elrejtett "okosságtól".

Szerk.: link

Úgy látom, nem tudod, miről beszélsz.

Egyrészt az általad hibának emlegetett malőr nem hiba volt, hanem ártó szándék (mondjuk úgy, hogy pénzszerzési vágy). Először bekerült egy rosszindulatú kódrészlet a NoScriptbe, majd miután szóltak a fejlesztőnek, kivette azt, és helyette elkezdte manipulálni az ABP kiterjesztés beállításait. Vagyis az első figyemeztetés után még megpróbált egy másik módszert is. Annak ellenére, hogy egyszer már lebukott. Így kétszer csípték fülön.

Másrészt a nyílt forráskódnak semmi, de semmi köze nem volt az egészhez. A NoScript azért bukott le, mert az ABP filterlisták készítői csodálkoztak, hogy miért vannak olyan helyen hirdetések, ahol nem kellenének. Persze Wladimir ezután nézett bele a forrásba, ami láthatóan nem is sokat segíthetett, ha ő azt írta, hogy "obfuscated" az a pár sor.

Akkor a kérdésem az: vajon észrevenné bárki is, ha valamelyik FX extension mondjuk a tanusítványkezelő CA listáját manipulálja?

Ha te ezekután megbízol a NoScriptben, akkor használd egészséggel.

:D egy szusszantra már azt hittem, hogy nem jön össze a 100, 99-nél várakoztak....de:

gbor@debi:~$ date
Sat May 2 21:57:25 CEST 2009

-kor áttörték a lehetetlent.. :D 100!!!

szerk.: jó, igaz egy kezemen azért még épphogy megtudom számolni, hány topic-ba illő hozzászólás született

( gbor | 2009. 05. 02., szo – 13:07 )

akit érdekel ez a dolog, olvassa el ezt is esetleg:
A topic indító hír 05.01-ei [link] másnapra már javítottak rajta a NoScript készítői:

Update (2009-05-02): Apparently, thanks to some pushing from AMO yet another NoScript version was released. This one supposedly no longer adds a filter subscription to Adblock Plus and also removes the one added by the previous versions. Also, a change to AMO policy is under discussion. Big thanks to everybody who made that happen!

Update 2: 1.9.2.6 removes the filterset automatically and permanently, with NO questions asked.

FIXME, ha nem!! :)

+ egy comment a /.-ról, de ez is érdekes :) vagy éppen Ez - az utolsónak főleg a "4)" pontja jó ;)

az előbbi három linkből az érdekesebb idézetek
-----
"If you haven't been following web security (or reading the changelog) these guys are extremely cutting edge when it comes to blocking various XSS based exploitation techniques.

Clickjacking, cross domain keyloggers, and javascript connect-back proxies, etc are all out there now. Even if you have a given site whitelisted, noscript will still filter out known attack methods. It will even detect heap spray attempts etc if someone is trying to break out of a browser plugin."
-----
"This is an exact example of why it's so important for source code to be freely viewed. The OSS model works - this demonstrates why and how. When developers are motivated by the wrong sources and use unethical means for obtaining their ends, users can be made aware of their digressions. Good work by the Adblock team."
-----
"4) Anyone who thinks that scripting or other web executables are without danger and require no user attention probably shouldn't be using a computer, or is already pwned. Do some research. "If you aren't worried, you just don't understand the situation." Cheers!"
-----

de ez csak az én pici véleményem

hopsz, nem másnapra, hanem azon a napon javították
Version 1.9.2.6 (released May the 1st 2009)

link:
"Am I missing something? This whole issue with ABP, how come I am not experiencing any issues when visiting noscript related sites?
Because you're up-to-date with latest development version, where the issue is fixed."

( hrgy84 | 2009. 05. 03., v – 09:37 )

De jo, hogy en nem hasznalom...
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( balintdavid | 2009. 05. 03., v – 16:55 )

A NoScript csak felidegesít, javascript nélkül minden 2. oldal használhatatlan.
Inkább adblockban vagy yesscriptben feketelistázok 1-2 oldalt
-------------------
Xubuntu Jaunty+LXDE

( korci | 2009. 05. 03., v – 18:01 )

Ez az eset gyönyörűen rávilágít az FF addon kezelés hiányosságaira, vagyis, hogy nincs sandbox, így az addonok szabadon garázdálkodhatnak, továbbá egy addonba bármikor kártékony kód kerülhet, ha nem okoz feltűnést, senki sem veszi észre.

Van még hova fejleszteni szerencsére. :)

update: feltűnés alatt a furcsa vagy hibás működést értettem.

Sandbox van az addonoknak, viszont egyreszt eleg regi extensionrol van szo, amiben megbiztak a tesztelok is, emiatt kevesbe lesz melyrehato a teszt, masreszt szerencse kell egy ilyen viselkedes felismersehez.

Ez altalanos problema minden szoftvernel. Barmikor elofordulhat, hogy egy regota megbizhato szoftver fejlesztoje valamiert durcas lesz es olyat tesz a kodba, aminek nem ott a helye. Ha nincs valaki, aki sorrol-sorra atnezi, akkor ez konnyen elofordulhat es minden bizonnyal elo is fordul.
--
HUP Firefox extension