Bongeszok sebezhetosege

Flame

Bongeszok sebezhetosege

  • 769 megtekintés

( zeus | 2004. 10. 21., cs – 17:48 )

Teljes mertekben egyetertek mrbond kollegaval, DE: meg ha nem is jelenit meg semmit a browser (leven hibas a HTML kod), osszeomlania akkor sem szabadna.

( LGee | 2004. 10. 21., cs – 18:31 )

mrbond:
Ertem a gondolatmenetet, ha nem is szaz szazalekban ertek vele egyet. Az inget felveszem, azaz elolvasom a cikket. Kosz.

( piszi | 2004. 10. 21., cs – 19:23 )

zeus, igen, minden elméleti megközelítés mellet ésvagy ellenére szerintem sokak számára ez a lényeg, hiba esetén se halálozzon el a program.

( mrbond | 2004. 10. 22., p – 06:51 )

egyet mondunk mi csak másképp.
persze ne dőljön össze a ház, ha beverek egy szeget a falba! ez egyértelmű.

ez nem mond ellent annak, hogy a szabványokat követnie kell...
az ie nem azért nem borul el ezektől a hibáktól (elborul másoktól) mert nem szabványos, és a moz/ffox/opera sem azért borul el, mert szabványos.
ezek programozói és/vagy implementációs hibák. ezeket javítani kell.

na, megnyugodtam! akkor végülis ugyanazt mondjuk mi, csak a világnak van egy olyan tulajdonsága, hogy nem monokróm, hanem több mint 32 bites színmélységgel rendelkezik.

( Elbandi v | 2004. 10. 22., p – 10:04 )

Na marmost. A html egy nyelv (neveben is bennvan), es mint nyelv van nyelvtana. Tehat egy fajl akkor lesz html ha megfelel a nyelvtani szabalyoknak. Amit az urge itt csinalt az nem html, hanem html nyelvbol vett szavak csoportja.

Namost a bongeszok arra hivatottak hogy a html nyelvu fajlokat megjelenitsek. Ha egy nem html fajl akarunk megjelenitetni vele, akkor az egy error, es szoljon az usernek. (like gcc es programok forraskodja)
Ez lenne ugye a szabvanyos. Tehat ezt kell javitani a bongeszokben!

De azert a html-ben is vannak bizonyos dolgok ( " vagy ' , stb) amik nagy hibat nem jelentenek tehat egy warning kozepette meg lehet jeleniteni az oldalt. Mint ahogy a gcc is teszi. (ez lenne a rugalmassag)

( LGee | 2004. 10. 20., sze – 21:12 )

Csak érdekességképpen, nem tudom, ti milyen gyakran olvassátok a Slashdot híreit: tegnap szó esett arról, hogy egy jóember tesztelni akarta a fő böngészőket (Firefox, Mozilla, Opera, Links, lynx, InternetExplorer) szándékosan hibás HTML kóddal, és érdekes módon az IE _kivételével_ mind maga alá piszkított különböző hibák miatt. Bocs, hogy az URL-t nem idézem: http://slashdot.org -on van egy mai hír is, miszerint csaknem az összes böngészőben felfedeztek ilyen-olyan sebezhetőséget. Rövidesen folytatom...

( LGee | 2004. 10. 20., sze – 21:23 )

Kérdés tehát: Mi a kérdés? :-)
Ilyen 'romhalmazokkal' böngészünk, vagy ez valójában természetes velejárója a szoftverfejlesztésnek? Tényleg nem lehet hibátlan böngészőt létrehozni, ami esetleg a rossz (HTML) kódon is képes lenne átvágni?

Íme a két Slashdot-cikkre mutató link:

Big Day For Browser Vulnerabilities
http://it.slashdot.org/it/04/10/20/1344208.shtml?tid=172&tid=113&tid=154&tid=114&tid=218

IE Shines On Broken Code
http://it.slashdot.org/article.pl?sid=04/10/19/0236213&tid=113&tid=128&tid=154&tid=218

Most épp az Opera 7.54-et használom FreeBSD alatt (mert gyors és tetszik, valamint kb ötödakkora a forrása, mint a Firefox-nak), és a Firefox 0.9.3-at UHU-Linux alatt (csomagban jött, van hozzá Adblock), valamint a Links/ELinks-et konzolon.

Nos, mégis hová tart az Internet, ha a böngészőkkel napi szinten van valami nyűg, és lassan úgy kell felfogni egy weboldal megtekintését, mint a leveleknél a spamszűrést?

Más álláspontok?

( zeus | 2004. 10. 20., sze – 21:24 )

A weblaboron olvastam rola. Szerintem nem meglepo az eredmeny. Kozismert teny, hogy az Explorer az egyik legalkalmazkodobb bongeszo (mar ami a hibas HTML kodot illeti). Ez nem is lenne rossz, csak elobb azt kene elerni, hogy a szabvany kodot is ilyen jol megjelenitse. Abban viszont eleg gyatra.

( XMI | 2004. 10. 20., sze – 21:30 )

Olvastam, és elég sokat vaciláltam rajta, hogy beküldjem-e hírként ide. Nem tettem meg, mert erősen bulvárszaga van a dolognak (trey 1-2 ilyen híremet nem tette ki és talán volt is némi igaza). Ha jól rémlik csak egy tesztesetet rakott ki az illető a weblapjára. Amellett, meg felsorolta gyakorlatilag az összes elképzelhető hibafajtát, hogy az ő tesztgenerátor programja ezt mindet képes előidézni. Ugyanakkor szerintem sokkal hasznosabb (és kevésbé szenzációhajhász) lett volna, ha egy konkrét hibás esetet végiganalizál.

Állítólag már jelentette a különböző böngészők karbantartóinak a dolgot.

( LGee | 2004. 10. 20., sze – 21:33 )

Az egész nem is zavarna, de pl egyik nap egy aspx-es oldalon az Opera nem boldogult (űrlapon kellett opciókat kijelölni, és az oldal nem fogadta el a kijelölést), míg a Firefox igen (namármost csak emiatt átbootolni a Linuxba elég gáz). És még akár fizessek is ezért?

Egész egyszerűen túlságosan is az az érzés, hogy FÜGGSZ a böngésződtől, és az gyakran bennehagy a sz*rban. Sajnos még azt sem mindig tudod kideríteni, a browser a hibás vagy az oldal.

( XMI | 2004. 10. 20., sze – 21:41 )

Kitette a generátor forráskódját is, csak elsőre én nem kerestem eléggé.
Ha másra nem, hát arra jó lesz, hogy könnyen lehessen bugokat vadászni és javítani a fejlesztőknek.
Sajnos attól félek arra is jó, hogy ebből valaki exploitot csináljon. Egy dolognak viszont örülök, éspedig annak, hogy nincs 'univerzális' bug ezek között, vagyis olyan, amivel minden böngészőt lehetne exploitálni. Az más kérdés, hogy user agent alapján még mindig lehet specifikusan támadni.

( XMI | 2004. 10. 20., sze – 22:02 )

Ez elég komoly, most próbáltam ki és tényleg működik. Mozilla kb minden 5.-re meghal. Konqueror egész sokáig bírta, de ezt is elérte a végzet.

Lehet, hogy mégis beküldöm hírnek.

( Elbandi v | 2004. 10. 21., cs – 00:24 )

szerintem kene egy HTML validatort tenni (like. www.w3.org vagymi), megjelenites elott lecsekkolna, ha hiba van akkor kapna user egy szep felkialtojelet, hogy hibas az oldal.
Tudom eleg brutal, de mint mindent csak elkezdeni nehez... :roll:

( mrbond | 2004. 10. 21., cs – 05:49 )

na most van a szabvány...
a szabványok senkire sem kötelező érvényűek! te csak választhatsz, a szabványos és a nem szabványos közül.

erre tipikusan a legjobb példa a sokat szidott iso 9000-es szabványcsalád.
senkire sem kötelező érvényű, de nem vásárolsz olyantól, aki nincs isosítva.
sőt az isosított cég sem vásárol olyantól, aki nincs isosítva.
ez nem jelenti azt, hogy egy termék jó lesz, csak azt, hogy ugyanolyan (sz@r :)), mint a másik azonos. (persze ez egy kissé sarkosítva van de lényegét tekintve szerintem helytálló)

na most ezt azért írtam le, mert szvsz a normális böngészők a szabványos valid kódot értelmezik, a szabványok szerint, tehát helyesen. ha egy ilyen böngésző megfekszik egy invalid kódtól, akkor az inkább a kód hibája, mint a böngészőé. a c fordító vagy a php interpreter is megfekszik a szintaktikai hibáktól!
Ha vesszük az ie-t ami mindent értelmez csak a valid kódot nem, akkor az a böngésző nem szabványos.
ezért jó, az a hype ami most a ffox körül van... fel kell hívni az emberek figyelmét ilyenre is.
nem véletlen, az hogy a a világon mindenki szabványosodni akar.

ha tetszik, ha nem a netlapok készítését is meg kell tanulni és nem elég hozzá egy frontpédzs vagy egy word save as html. attól, hogy valaki képes az előző két műveletre még nem lesz jó webmester, ugyanúgy ahogy ha valaki képes feltelepíteni egy xpt az sem lesz rendszergazda.

szvsz a megoldás az, hogy valid kódot kell megjeleníteni szabvány böngészőkkel.
és bár nem értek egyet Elbandi hozzászólásával mégis idéznék tőle egy mondatot:[quote:79540fcf83="Elbandi"]... de mint mindent csak elkezdeni nehez... :roll:

bocsi, mert hosszú voltam...

( LGee | 2004. 10. 21., cs – 07:07 )

mrbond:
Nem értek egyet. Hibák mindig is léteztek. A rugalmasság itt többet ér, mint a projekt főoldalára kiragasztott W3M Compliant vagy ISO Certified címkék.

[Grétsy on]
valid=érvényes, ellentéte pedig invalid=érvénytelen. Tudom, hogy 'az app elcrashel, vagy coredumpol, ezért bugreportolunk a maintainernek', de vannak magyar szavak is. bocs
[Grétsy off]

( Névtelen (nem ellenőrzött) | 2004. 10. 21., cs – 07:22 )

Én viszont igenis fontosnak tartom, hogy legyen szabványosított egy weblap, számomra az meg többet ér, bár kinek mi.

Amúgy ez a cikk, meg az állítólagos hiba is annyira flame és szenzációszagú, hogy egyszerűen bűzlik tőle. Ez nem egy hiba, és nem is egy rossz kód, hanem egy logikai kódolás egyik mellékterméke, azaz hogyan lehet egy hasznos funkciót hülyeségre használni. (Aki megnézi a működését ennek a kódnak hamar rájön, s tényleg nem kell nagy programozói tudás hozzá, hogy ez egy akkora nagy szenzáció-hajhászás, hogy csak na.)

Ez a hiba kb olyan, mintha én kitenném a netre, hogy: "Úristen, ha a kalapáccsal ráütök a kezemre, fájni fog!!! Jézus, nembaj, teszek rá patchet, egy gumi formájában, és akkor már nem fog fájni.", csak utána épp mindenre jó lesz, csak szögbeverésre nem.

Bár ezzel a kóddal az a baj, hogy szerény véleménye szerint ez egy teljesen ártalmatlan kód lenne, ha nem lenne ennyi sok ész ember, aki vagy ijesztgetni akarná a másikat, mindenben a rosszat látni, s nem azt keresni, hogy lehet még a leghasznosabb dologból is 'fegyvert' csinálni, s riogatni a népet, hogy úristen, úristen, aztán ezzel csak magunk alá adjuk a lovat, meg a sok többi valódi hülye alá, aztán azon kapjuk magunkat, hogy van egy használhatatlan böngészőnk, ami semmire nem jó, de minden ellen védve van. (lásd: InternetExploder-ben kitoltitták azt a lehetőséget, hogy a címcsíkba "@" kerüljön. Frankó, most nem lehet Anonymous-on kívül másként bejelntkezni egy FTP szerverre IE alatt...)

Szerintem ez a bug egyáltalán nem a programozói ügyetlenség, hanem inkább az emberi hülyeség végterméke.

U.i.: Vicces, de ha FireFox 1.0-ával nyitom meg a forráskódját (jobb klikk, forrás megtekint), akkor is elődobja ezt a kis dobozkát a csíkkal. Ennyit a 'hibáról'.
Mégegy apróság: A hibát egyszerűen el lehet kerülni, ha már ennyire paranoiásak vagyunk: Ha egy banki oldalt akarunk megtekinteni, ne egy másik oldalból nyissuk meg, hanem igenis vegyük a fáradtságot, s gépeljük be mi magunk a címét. Ennyi erővel a Firefox bookmarks.html fájlját is át lehetne írni, hogy abban is el tudok rejteni bármilyen rossz kódot, ami meg egy weblapra küldi a címeket, mert hát ugye az is HTML, s bele lehetne rakni hasonló kódot, nemde? Aztán jönne a Secunián a hír, hogy hibás a Firefox Bookmarks kezelése, stbstb... Az emberi hülyeség, rosszakarat határtalan. (Na tessék, már itt adom is a hülyeségre az ötleteket.)

( Névtelen (nem ellenőrzött) | 2004. 10. 21., cs – 12:15 )

Látom az emberi hülyeség tényleg határtalan:
Meglestem az e 'hibáról' szóló cikkeket, s sok helyen súlyos, igen súlyos hibának minősítették. Mindegy, nem akarok ebbe belemenni, de megvan a saját nézetem, s véleményem is erről az egészről.

( mrbond | 2004. 10. 21., cs – 15:08 )

[quote:7765037bae="LGee"]mrbond:
Nem értek egyet. Hibák mindig is léteztek. A rugalmasság itt többet ér, mint a projekt főoldalára kiragasztott W3M Compliant vagy ISO Certified címkék.

szvsz te kevered a rugalmasság és a szabványosság fogalmát!
rugalmasság az (pl), hogy egyazon alkalmazással meg tudok nézni egy html oldalt, egy flashes oldalt, egy rss feedet, egy beágyazott videót. az is rugalmasság, ha ez a szoftverrel tudok levelet is írni ami ismeri a pop3/smtp-n kívül még az imapot is.
vagy mondjuk ki van hegyezve arra hogy wap oldalakat is meg lehessen vele nézni, meg mondjuk vml-t. vagy a kütyüm alkalmas a tabbed browsingra, vagy a formokban helyesírásellenörzésre. szvsz ez a rugalmasság.

a szabvány pedig az, amikor a magyarországon megvásárolt hajszárítómat tudom használni mondjuk az olaszoknál sieléskor, mert ugyanaz a hálózati feszültség és a frekvencia. ha egy adott oldalt x böngészőben megnézve ugyanazt látom, mint y-nban.
ha x böngésző tud tabbed browsingot, y meg nem attól még y is szabványos csak nem rugalmas. viszont ha x-ben azt látom amit szabvány szerint kell látnom y-ban meg nem, akkor hiába rugalmas, de nem szabványos. egyszerűen sz@r, mert az alapvető célját sem lehet vele megvalósítani. pl kocka kerekű biciklivel is milyen k. nehéz lehet közlekedni.
mondok egy eléggé sarkított példát: ha mondjuk veszel egy autót és abba 95-ös ólommentes (szabvány) benzin kell, és egy kútnál meg (95-ös) ólmozott benzint adnak el 95-ös ólommentes (szabvány) benzinként akkor az a kút nem rugalmas lesz, hanem nem szabványos!!! ha ettől a katalizátorod beszarik (analóg: feltörik a gépet, lásd: mai hup cikk) akkor meg te leszel a legmérgesebb.

egyrészt a szabványok pont arra (is) valók, hogy egy bizonyos dolgod minél szélesebb körben azonos feltételekkel lehessen használni. a szabványok gondoskodnak arról, hogy tudunk telefonon beszélgetni egy amerikai előfizetővell, vagy össze tudom kötni a most vásárolt dvd-m a tíz éve készített csöves erősítőmmel.
másrészt a szabvány betartása egy minőségi szintet is magában foglal. persze ez nem azt jelenti (mint már írtam), hogy valami jó lesz, csak azt hogy olyan, amit a szabvány deklarációi szerint el lehet tőle várni.sőt vannak kifejezetten sz@r szabványok is, de attól még azok is szabványok! érdemes elolvasnod A Big Mac és a Mezítelen Séf (The Naked Chef) című szösszenetet.

bocsi! már megint hosszú voltam....

( Névtelen (nem ellenőrzött) | 2004. 10. 21., cs – 15:43 )

[quote:fbe89b9481="mrbond"]
Idézet törölve. Tényleg túl hosszú... :)

Az a vicces, hogy az IE-t pont ezek a szabványok nem betartása miatt nem dögleszti le az a kód, amit most közzétettek az általad előbb említett cikkben.
Bár lehet, hogy tényleg odafigyeltek az IE-ben eme kódok nem futtathatóságára, de az IE, hogy átírja a kódot megjelenítés elött, az is biztos...

Amúgy nem kevertem, de szerintem te is megválogatnál olyan oldalakat (ha el lenne terjedve jobban a w3-as ellenőrzés), ahol nem lenne kint a "W3 Certified" embléma... Másik, hogy ennek a hibának semmi köze nem volt a szabványossághoz, vagy nem szabványossághoz, hanem itt egy TAB, vagy bármely másik ablak megnyílása elött lefuttatható Javascript volt, amit nem mondanék biztonsági hibának, hanem inkább egy olyan plussz funkciónak, amit nemcsak hasznos dologra lehet használni. (Lásd kalapácsos összehasonlításom)

Az olvasmányt meg köszönöm, amint lesz kis időm, elolvasom!

( mrbond | 2004. 10. 21., cs – 16:29 )

[quote:d2d54d2f40="norbert79"]Amúgy nem kevertem...!

elsősorban nem is rád gondoltam a keverésnél, hanem LGee-re, dehát kinek nem inge.... :D
[quote:d2d54d2f40="norbert79"]Az olvasmányt meg köszönöm, amint lesz kis időm, elolvasom!

szívesen. habár a szabványos-nemszabványos témához a szöveg első fele passzol igazán.

még 1 dolog a szabványra és a rugalmasságra:

ha azt az utasítást adod, hogy rajzolj egy 100 pixeles egyenlőoldalú háromszöget, akkor az ekzakt. meg lehet csinálni a feladatot.

ha azt az utasítást adod, hogy rajzolj egy 100 pixeles egyenlőszárú háromszöget, akkor az alap nagysága vagy a közbezárt szög hiányzik, ismeretlen lesz. folyomány nem lehet megcsinálni a háromszöget.

matematikából annak idején megtanultuk, hogy mi kell ahhoz, hogy egyértelműen meg tudjunk rajzolni egy háromszöget.
a szitu szvsz az, hogy az ie a második definíció alapján is csinál valamit. de mivel ez a valami nem megcsinálható (a szabályok/szabványok alapján )biztos, hogy nem fogja jól megcsinálni.
szerintem akkor inkább ne csináljon semmit, mint hogy rosszat tegyen/csináljon.