Nem minden vírus vírus és nem minden védelem jó

Opera és webmail. Arctenyér. Részletek lent.

Második napja vadászom, hogy az egy bizonyos kollégától érkező leveleket miért flaggeli meg és karanténozza a víruskereső. Belenézve a levélbe, egy kisebb raklapnyi CSS selector van benne, mindhez egy szabály: display: none; A szabályokban közös, hogy a[href="http://randompr0nphisingtorrentakármioldal"] formájúak.

Mit gondol a víruskereső? "Hmmm... itt egy levél, tele random pron, phising, torrent, meg minden szemét oldal címével". Csúnya gonosz vírusos levél (mondjuk hogy ez miért JS/Adware.Akármi.Akármi, azt nem tudom...). Valahol korrekt.

Ma végre sikerült utolérni a kollégát és megnéztük, mi lehet, miután egy teljes víruskeresés nem talált semmit a gépén. A webmail felületet használja, úgyhogy arrafelé kezdtünk nézelődni: üres teszt levél, landol az infectedben. Másik böngésző, üres teszt levél, rendben megérkezik. Tehát böngészőspecifikus, csak az Operával jön elő.

Van-e bármi gyanús bővítmény? Nincs. Van-e bármi nem gyanús bővítmény? Nincs, egyedül a gyári default bittonsági izéke. Hosszas keresgélés, hogy lehet-e rejtett bővítményt telepíteni rendszer szinten (vagy Firefoxnál vagy Chrome-nál biztosan lehetett legalábbis régebben), de semmi erre utalót nem találtam. Már kb. feladtam, kolléga is kezdte mondani, hogy akkor használja másik böngészőből, de ekkor ugrott be a szabály: display: none; És az összes selector: random porno, phishing, torrent oldalak meg minden szemét. Amit egy gyári default bittonsági izéke pont tiltani akarhat. Bővítmény tiltás, üres teszt levél, szépen üresen átjön.

Ez a szerencsétlen minden oldal forrásába beleírja a kisregény hosszúságú CSS szabályát. A webmailen a szerkesztő felület egy iframe, vagyis "külön oldal". Ami abba az iframe-be kerül, az lesz a levél tartalma. Facepalm.

A webmail felület kapott egy bejegyzést a kivétellistán, öröm-bódogság, kolléga tud levelezni a szokásos böngészőjéből. Nekem meg lassan kezd eltűnni a homlokomról a tenyérlenyomatom.

Hozzászólások

Én vesztetem el a fonalat, de #define "Ez a szerencsétlen?" Opera ? Webmail felület ?

Az Opera (jó, a webmail meg az iframe miatt, a többi gépen levő víruskergető meg a JS/... megnevezés miatt, de az másik kérdés :) ), pontosabban az Opera gyárilag telepített és engedélyezett bővítménye.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

oh :) thx :) akkor használjatok Krómot! :D jó tudom, ez ki lett fejtve a bejegyzésben :) 

ps. szerk.: hmm most belegondolva, lehet nekem is körül kell néznem egy két helyen.. párszor céges környezetben / mailscanner csak úgy dobálta el a leveleket XY ügyfelektől. Lehet valami hasonló dologért. Na ezt körbejárom :)