Dotzler: "Microsoft, stop being evil. Apple, stop being evil. Google, stop being evil."

Címkék

Asa Dotzler, a Mozilla Corp. közösségi fejlesztést igazgató munkatársa blogjában kikelt azon cégek ellen, akik titokban, beleegyezése nélkül plugineket telepítenek Mozilla böngészőjébe. Dotzler szerint ez így baromira nincs jól és felszólítja a cégeket - egyebek közt Microsoft, Google, Apple - hogy hagyjanak fel ezzel a gyakorlattal, ne legyenek a továbbiakban gonoszak.

Dotzler szerint nem jogosítja fel egyik céget sem plugin(ek) kérdés nélküli telepítésére az, hogy ő a gyártó egyik szoftverét telepíti a gépére. Ha letölt és feltelepít egy szoftvert, akkor attól azt várja, hogy az annak megfelelően működjön, ahogy az a szoftvertől elvárható. Dotzler szerint semmiképpen sem helyénvaló az, hogy megjelennek a gépén titokban olyan szoftverek is, amelyeket ő nem kért. A trójai programok működését hozta fel összehasonlításul.

Dotzler megemlíti, hogy a Firefox és más szoftverek tudnának tenni ez ellen a helytelen viselkedés ellen, de úgy gondolja, hogy mégsem kellene nekik így fellépni az olyan "megbízható" cégekkel szemben, mint a Google, a Microsoft vagy éppen az Apple. Szerinte az lenne a megfelelő viselkedés, ha ezek a cégek megkérdeznék arról, hogy kéri-e az általuk kínált plugint még a telepítés előtt.

A blogbejegyzés itt olvasható.

Hozzászólások

A Virtus search opt-in kinek a műve?
Néha kéretlenül megjelenik, kivágom a francba majd egy idő utána újra jön.

(A hup mostanában milyen plugin-t akar feltelepíteni?)

> Dotzler megemlíti, hogy a Firefox és más szoftverek tudnának tenni ez ellen a helytelen viselkedés ellen, de úgy gondolja, hogy mégsem kellene nekik így fellépni az olyan "megbízható" cégekkel szemben, mint a Google, a Microsoft vagy éppen az Apple. Szerinte az lenne a megfelelő viselkedés, ha ezek a cégek megkérdeznék arról, hogy kéri-e az általuk kínált plugint még a telepítés előtt.

Hát persze, az Internet is a bizalomra épül, látjuk is milyen jól működik. Ez elég buta hozzáállás.
----
Hülye pelikán

Komolyan mi olyan nehéz ezen megérteni?
Párhuzam: ha az Internet alapját normális, átgondolt, nem bizalmi alapú protokollok képeznék akkor nem lenne téma a spam sem.
Ugyanígy: ha a Mozilla eleve nem engedne semmiféle módosítást a felhasználó megkérdezése nélkül, akkor nem lenne téma, hogy "megbízható" (már megint az a fránya bizalom) cégek ejnyebejnye.
----
Hülye pelikán

"ha az Internet alapját normális [...] protokollok képeznék akkor nem lenne téma a spam sem."

Yet another "okosabb vagyok mint vint cerf és csőcseléke" hupper. Vagy másra gondoltál (alkalmazási réteg), csak akkor legyél pontosabb.

--
eladni a' eladhatót! http://napivatera.blog.hu/

Tessék olvasnivaló: "The first important email standard was called SMTP, or simple message transfer protocol. SMTP was very simple and is still in use - however, as we will hear later in this series, SMTP was a fairly naďve protocol, and made no attempt to find out whether the person claiming to send a message was the person they purported to be. Forgery was (and still is) very easy in email addresses. These basic flaws in the protocol were later to be exploited by viruses and worms, and by security frauds and spammers forging identities. Some of these problems are still being addressed in 2004."

http://www.nethistory.info/History%20of%20the%20Internet/email.html

Az internetnek nem az SMTP az alapja, csak erre akarok kilyukadni. Csak azért segítek, hogy ne írd le harmadszor is ezt a csacskaságot.

--
eladni a' eladhatót! http://napivatera.blog.hu/

Ezt Gyuszkal beszéld meg, mármitn az első sorodat, ő nem ért ezzel egyet, szerinte az Internet alapjaival minden rendben és minden tökéletes.
A második sorod meg elkeserít. Egyrészt, tényleg nehéz felfogni az analógiát, másrészt szerintem te fordítva ülsz a lovon. Nem az a kérdés, hogy miért telepítenek fel: cégek, mindent azért csinálnak, hogy még több pénzük legyen. Az a kérdés, hogy a Mozilla miért feltételezi, hogy mások nem fognak felesleges hülyeségeket telepíteni, és miért engedi (lásd internet és nem maffia).
Ennél tovább nem tudom magyarázni :(
----
Hülye pelikán

"szerinte az Internet alapjaival minden rendben és minden tökéletes."

"ha az Internet alapját normális, átgondolt, nem bizalmi alapú protokollok képeznék akkor nem lenne téma a spam sem."

Kevered az "internet alapjai" fogalmat azzal ami az email mögött van (SMTP). Ez Gyuszk minden problémája. A TCP/IP -nek semmi köze ahhoz hogy sok a spam még 2010-ben is.

http://us.profibus.com/images/blog/ISO_Model.jpg
Nézd meg ezt a modellt, remélem hallottál már róla. Az "internet alapjai" -nak nevezhető TCP/IP az alsóbb rétegekben van (hálózati és szállítási réteg), az email meg a spam meg a kutyafüle meg fent az alkalmazási rétegben.

Szóval könyörgök hagyjuk már békén Vint Cerf bácsit öreg napjaira, hadd sütkérezzen nyugton a kandalló mellett.

De még egyszer nem fogok erőlködni hogy fogalmi zavaraidat letisztázzam, ha nem érted, de akarod, kéredzkedj be valamelyik egyetem Számítógép-hálózatok kurzusára.

--
eladni a' eladhatót! http://napivatera.blog.hu/

De :-) Felesleges dolgokat sóznak rá a szerencsétlen felhasználókra, amiket nem is kértek. Szerintem egy kaptafa.
(Engem legalábbis a "A windows ezt meg azt csinált, Igen/Nem/Reboot?" meg a "Úristen, nincs virusírtó, vegyél egyet!" jellegű ablakok felugrálása rettenetesen emlékeztet a kéretlen levelekre. És utálom kiírtani az FF pluginokat (dotnet meg hasonló szarságok))

Egyébként meg szerintem az igazság valahol a kettő között van:
1. a Mozillának nem kéne engednie a plugin telepítést user engedély nélkül (könyörgöm, máskor még a saját oldalán lévő pluginokra is rinyál...)
2. a három díszpintynek meg nem kéne sutyiba telepíteni.

1. a Mozillának nem kéne engednie a plugin telepítést user engedély nélkül (könyörgöm, máskor még a saját oldalán lévő pluginokra is rinyál...)

Ugye érzed a különbséget? Az egyik egy weboldalon keresztül - leginkább a böngésző kontrollja alatt - települő kiterjesztés, amely csupán szkriptelési lehetőségeket használhat ki, a másik pedig egy rendszergazdai jogkörrel futtatott installer által - akár a firefox kontrollja nélkül - telepítésre kerülő natívan futó bináris, amelynek mindenhez van joga (akár a firefox.exe lecserélésére is).

Meglepődnék, ha a jelenlegi felállásban ez ellen hatásos védelmet lehetne készíteni... Nyilván a Mozilla is tudja ezt, ezért választja a "kérlelés" és a "nyilvános megszégyenítést" közötti ingoványos terepet.

Szvsz mindent meg kellene tennie a Mozillanak, hogy keretlen pluginek ne telepuljenek a felhasznalo tudta nelkul. Ha ezeknek a viszonylag "joszandeku" cegeknek sikerul, akkor mas kevesebbe joszandekunak is sikerulhet. Akiket meg szepen meg sem lehet kerni, hogy tartozkodjanak ilyenektol a jovoben.

Azért egészen biztosan lehetne valami módon detektálni, hogy a legutóbbi indítás óta milyen disznóságok történtek, és akkor már meg lehet kérdezni a felhasználót, hogy kéri-e. Akár digitális aláírásokat is bevezethetnének a pluginekre, és amit nem írt alá a mozilla, arra minden böngészőindításnál rákérdezhetne - bármennyire kényelmetlen, lenne benne ráció.
Vagy adhatna lehetőséget a böngésző, hogy az aktivált pluginek egyedi azonosítóit valami felhőben tárolja a paranoiás userek számára, és ha indításkor nem sikerül ugyanazt lehozni, mint ami lokálisan van, akkor még meg lehet kérdezni a felhasználót, hogy valóban szeretne-e bonzibuddy gyorskeresőt. (Nyilván próbálhatná a rosszindulatú program a távoli adatokat is manipulálni, de ha a protokoll megkövetelné minden jelentős változáskor pl. a jelszavas jóváhagyást, akkor azért nem lenne annyira egyszerű a dolog, hogy egy MS ilyen messzire menjen.)
Lényegében csak azt akartam mondani, hogy ha akarat lenne, meg lehetne ezt oldani egy megnyugtató szintig, csak egy kicsit elkalandoztam a részletekben.

valaki leírná aki win-t vagy osx-et használ ff-al, hogy pontosan miről van szó? ff telepítése után automatikusan települ ms vagy apple-től származó plugin?

ehh... a "része", mert annak hívják, ja. ettől még ugyanúgy más program működését módosítja, úgyhogy kicsikét se a saját területén belül mozog.

erről az jut eszembe, amikor valamelyik telepítőben ki lehet választani a telepítendő komponenseket, és az ikonok úgy szerepelnek a listában, hogy "start menu + desktop shortcuts". egynek tekintik, de attól még ez nincs így.

Van egy sanda gyanúm, hogy a telepítőben le van írva, hogy fog települni a szoftverrel egy browser plugin is, még ha a települését megakadályozni nem is lehet. Mindjárt meg is nézem a quicktime telepítőjét, gondolom itt ilyen szoftverekről van szó.

Egyébként meg lehetne oldani felhasználóbarátan is, valahogy így: települt a plugin, majd a browser következő indulásakor a browser kiírja, hogy új plugin települését észlelte, majd felajánlja, hogy a user válasszon hogy engedélyezi, tiltja, vagy eltávolítja a plugint.

--
Don't be an Ubuntard!

felőlem dughatod a fejed a homokba, attól még van pl. olyan, hogy broken dependency. többek között ezért sokkal könnyebb egy csomagot elrontani - sokkal több a hibalehetőség. aki azt állítja, hogy a csomagkezelők és a csomagok hibátlanok, az ... inkább nem is mondok semmit rá. biztos ok nélkül vannak a csomagkezelőknek és a csomagoknak új verziói (azonos forráskódból). vicc, ami itt megy...

Broken dependency akkor létezik, ha valaki elront valamit. Azért csiszolnak össze egy disztrót normálisra, hogy ne fordulhasson elő. Mondom, hibák vannak, de őszintén szólva amikor én ilyennel találkoztam az akkor volt, amikor elkezdtem más verziójú ppa-kkal játszani, nem tárolóból telepítgetni csomagokat, stb.

Egyébként win alatt még jobban meg van oldva, ott a system32-ben a dll-ek felét felülírja minden komolyabb alkalmazás. Uninstallkor meg visszaállítja arra a verzióra amit ő egy évvel azelőtt biztonsági-mentett...

A csomagkezelők nem hibátalnok, sem a csomagok. De emberi hibából adódóan, vagy nem rendeltetésszerű használat miatt megy valami tönkre. A rendszer egyébként tudna működni. (szerintem)

"Egyébként win alatt még jobban meg van oldva, ott a system32-ben a dll-ek felét felülírja minden komolyabb alkalmazás. Uninstallkor meg visszaállítja arra a verzióra amit ő egy évvel azelőtt biztonsági-mentett... "

Az kimaradt, hogy felülírhatja, de van felügyelet: ha újabb verziót telepít, akkor nem szól, ha régebbit telepítene, már a win95 is megkérdezte, hogy "újabb verzió van fenn a DLL-ből, biztos lecseréled régebbire?"
Illetve az utolsó, adott DLL-t használó program eltávolításakor feljön a "nincs több program ami használja, törlöd?" üzenet is.

"Broken dependency akkor létezik, ha valaki elront valamit. ... A csomagkezelők nem hibátalnok, sem a csomagok. De emberi hibából adódóan, vagy nem rendeltetésszerű használat miatt megy valami tönkre. A rendszer egyébként tudna működni. (szerintem)"

igen, pontosan erről beszéltünk. a telepítő is akkor lesz borked, ha valaki elront valamit, ahogy a csomag is. az ellen nem véd. egyik sem (skynetpro állítása ellenére sem).

"Egyébként win alatt még jobban meg van oldva, ott a system32-ben a dll-ek felét felülírja minden komolyabb alkalmazás. Uninstallkor meg visszaállítja arra a verzióra amit ő egy évvel azelőtt biztonsági-mentett... "

ez nagyjából a '98 idejében volt igaz (jó reggelt).

hint: winsxs, wfp

Nekem a Firefox kérés nélkül telepítette a Mozilla Default Plug-in-t.

Mozilla, stop being evil.

Komoly meggyőző ereje van ám a "naaaa léccilécci neeee"-nek. ROFL

Ha eddig az volt a policy, hogy szabad ilyet csinalni, akkor ez nem evil, hagyjanak nekik idot, hogy betegyenek a telepitobe egy checkboxot, es ennyi. Esetleg szoljanak, hogy mostantol ez az "ajanlott".

Ha eddig is tilos volt, akkor meg vagjak ki oket a fenebe, szurjek/tiltsak/tegyek blacklistre (ugye van egy listajuk, ahol azok az oldalak vannak, amik engedely nelkul probalnak telepiteni/fertozottek, stb..).
Amikor a Google cloakingot lat (ami nyilvan tilos a policy szerint), kivagja gond nelkul a talalatok kozul. Akkor is, ha Pistike bt. csinalja, es akkor is, ha mondjuk az Audi. Volt mar ra pelda. Es ez igy is van rendjen.
Majd ha az apple.com/gugli/ms oldalat FF alol latogatva megjelenik a piros keretes "tamado webhely" felirat, majd bekerul a plusz "igen, akarom a plugint" checkbox is a telepitokbe. Rekordido alatt.

(Egyebkent az veletlen, hogy pont a 3 legnagyobb konkurens bongeszogyarto a gonosz?) :)

--
To celebrate the Beatles' arrival on iTunes in 2010, I'm listening to their MP3s I downloaded from Napster in 2001.

Tehát a Mozilla tökéletesen VÉLETLENÜL includol plugineket a C:\Windows\system32\Macromed\Flash könyvtárból, ugye?

Most már minden világos, köszönöm.

Attól, hogy a bash neked azt mondja a "c:" parancsra, hogy

KOCSOG:~ troll$ c:
-bash: c:: command not found

még nincs megmentve a világ, s a Mozilla ugyanúgy sáros.

Cserébe (gondolom elavult) hupWIKI: http://wiki.hup.hu/index.php/Flash
De úgyis csak azt hallod, hogy "Áááá, valaki sértegeti a firekokszomat, az éjsötét fejlesztőit, és a linugzomat."
Tudod, legalább egy dologban egyetértünk: igazad van.

Ha egy ugyes haxxor lecserelne a flashplayeremet, meg az is elkepzelheto, hogy biztonsagosabba valna a gepem. Nincs olyan rootkit, ami veszelyesebb lenne, mint a flash player, ha a sulyos biztonsagi reseket nezed.

--
To celebrate the Beatles' arrival on iTunes in 2010, I'm listening to their MP3s I downloaded from Napster in 2001.

Épp ma telepítettem a pdfcreatort a fiam gépére.
Telepítés közben pipát kivettem yahoo plugin telepítéséről.
Firefox indít. Már ott is volt a yahoo plugin.
Szóval nem elég ha megkérdezi a telepítő.

Hm, régen raktam fel, de nem ez az a **** telepítő, ahol kétszer kell kiszedni a pipát? :) Valami rémlik, hogy először kiszeded, hogy nem akarod, de a következő oldalon is ott van, így mégegyszer le kell tiltani. Lehet, hogy rosszul emlékszem és nem a pdfcreator volt, de találkoztam ilyennel.

(komolytalanul) Szereteném feljelenteni gtk fejlesztőit is, mert belenyúltak a firefoxomba, és kde alatt is a csúnya gtk fájlkezelőjét látom, holott én kde-t használok

(komolyabban) Vajon a Canonical ellen miért nem szól senki hogy valami ubufox kiegészítővel shipelik a Firefoxot ubuntun?

Nem akarom purge-olni, mert hasznos cuccokat pakol be (ha jól tudom az apt:// url-eket is (???)

Meg egyébként sem akarom purge-olni, mert nem is használok firefoxot.

Sőt, engem nem is zavar, hogy ott van, bár igaz ami igaz, ha más extension meg tudja csinálni, hogy egy plusz lafffület nyit telepítés után, amin bemutatkozik, akkor az ubufox plugin is tudna egyet nyomni. Persze szigorúan első indításkor (lapfület, háttérben!) Tolhatna mondjuk olyat, hogy én vagyok az ubufox, és ezért vagyok jó neked, de ki is kapcsolhatsz eképpen.

Egyébként egy terminál parancs mióta számít felhasználóbarátnak?

Úgy vettem észre, hogy csak a kezdőlapot alakítja át buntussá. Az meg pont nem kell nekem.

Az apt url-eket a software-center nyitja meg, de az se gond ha felrakod a gdebi-t.
sudo apt-get install gdebi

Az Ubuntu mióta számít felhasználóbarátnak az ordas hibáival, amin csak ppa-ból vagy forrásból telepítéssel tudsz felülkerekedni? :)

Nem beszélve a konfigurálhatatlan openvpn pluginról, vagy a fos vpnc-ről ami csak pislog ha win-1250 kódlapos ékezetes karakter van a jelszavadban...

apturl is a simple graphical application that takes an URL (following the apt-protocol) as a command line option, parses it and carries out the operationsthat the URL describes (that is, it asks the user if he wants the indicated packages to be installed and if the answer is positive does so).

Szóval firefoxban rákatt egy apt: linkre. Az ubufox kiegészítő miatt nem küld el a fenébe érvénytelen protokoll miatt, hanem tudni fogja, hogy az apturl-lel kell lekezelnie a hivatkozást. Az apturl meg elindítja a csomagkezelőt, telepítőt, vagy akármit. Ezzel nem igazán mondtál ellent annak amit én mondtam. Azt azért hidd el, hogy ubufox nélkül nem mennek az apt linkek, és nem az apturl miatt mennek.

Nem ragaszkodom, nem is használok foxot, meg nem is érdekelt az ubufox amikor használtam, csupán azért hoztam fel, mert ugye ezt is szóvá lehetne tenni. Végülis a .netes akármit is le lehet tiltani, amit a microsoft telepít bele, szóval :)

Egyébként nem léptél túl semmit, én beszéltem hülyeségeket majdnem :D

Ez csak részben a felsorolt cégek hibája.

Sőt inkább a Mozilláé. Már rég benne kellene lenni egy védekező mechanizmusnak kéretlen pluginek ellen, ha ennyire nem teccik nekik.

Ezt a Dotzler gyereket beszavazom naivaként.

--
GPLv3-as hozzászólás.

A profitorientált, identitásnélküli vadkapitalisták mindig is gonoszak lesznek, jobb lesz, ha ezt Asa Dotzler is tudomásul veszi és nem kéri számon a nagyvállalatokon azt, ami lehetővé tette, hogy kinőjjék magukat (a kapzsiságot, az elvetemültséget, a pénz mindenhatóságába vetett hitet és még sorolhatnám). A Mozilla munkatársai Asa-t is beleértve inkább azon foglalatoskodjanak, hogy a böngészőjük ne legyen csigalassú alacsony erőforrású gépeken, hiszen ugyanúgy akaratlanul is kidobatják szegény laikus felhasználókkal a gépüket a böngésző erőforráspocsékolásával. Ehhez nyilván olyasmi kéne, hogy végre natív kódú UI-t fejlesszenek hozzá, ami az interface LAG-okat és a panelkezeléskor fellépő 100% CPU-kat kiküszöböli. A Mozilla ennek az ellenkezőjét végzi, pl. egy alacsony erőforrású gépen (<= 1GHz) meg lehet nézni pl. a Thunderbird legfrissebb verzióját, amin nagyon kiakadtam, 10 másodpercig (!) tart, míg előhívja az Options Dialog-ot. Szégyen. Ja, és persze a hanyagul dolgozó fejlesztőgárda munkájának eredménye nem csak a böngésző sebességében, hanem biztonságában is meglátszik: rá lehet keresni a népszerű exploitos oldalakon, hány (a legújabb stabil verzión a mai napig működő) főleg DoS sebezhetőség van Firefox-ra, iszonyat pitiáner hibák.