Спустя несколько дней после публикации (http://www.opennet.ru/opennews/art.shtml?num=27272) прототипа перехватывающего пароли пользователей дополнения к web-браузеру Google Chrome, подобное дополнение было обнаружено (http://blog.mozilla.com/addons/2010/07/13/add-on-security-an.../) в каталоге дополнений к Firefox (addons.mozilla.org (https://addons.mozilla.org/)). Представленное в каталоге дополнение "Mozilla Sniffer", помимо штатных функций выполняло перехват параметров аутентификации, используемых при входе пользователя в защищенные области сайтов, с последующей отправкой накопленной информации на сетевой ресурс злоумышленников.
По данным разработчиков Mozilla вредоносное дополнение было загружено в каталог 6 июня, после чего было успешно использовано примерно 1800 пользователями. После обнаружения проблемы дополнение было удалено из каталога и помещено в черный список, что приведет при наличии данного дополнения в системе к выводу предупреждения о необходимости удаления,...URL: http://blog.mozilla.com/addons/2010/07/13/add-on-security-an.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=27312
Ну? Что я говорил? Ставя непроверенные FSF дополнения, вы подвергаете себя опасности! Поэтому и был создан IceCat.
При чем здесь IceCat?
При том, что она не предложит вам небезопасные дополнения.
Гильотина - надежное средство от головной боли, да? :)
Интересно, почему констатация простого факта вызывает столько минусов? Откоментить главное постеснялись, только минусы накрутили как подлые трусы. Это называется "правда глаза колет"? Идея была в том что сделать шансы получения дряни равные нулю можно разве что совсем запретив установку не то что дополнений а вообще нового софта в операционку. Только вот такой подход здорово напоминает лечение головной боли гильотиной ;)
Это зловредные плагины заминусовали
Лучше скажите, как так получилось, что мой первый пост минусанули, а третий - плюсанули? Хотя смысл в них одинаковый. Тут реально какие то неадекваты сидят...Самый верный способ набить рейтинг - прикинуться шлангом, которому на всё наплевать, который действует только так, как и большинство. На хабре и здесь таких любят. А кто хоть чуть чуть правду выражает - упоротый фанатик. Инфа 100%.
>Лучше скажите, как так получилось, что мой первый пост минусанули, а третий
>- плюсанули?Ктото строкой промахнулся:)
"Споткнулоя и упал лицом на мой кулак, и так пять раз подряд"? oO
Самое лучшее решение - наплевать на рейтинг как фетиш и мерило "полезности" человека. Just like me!
>Самое лучшее решение - наплевать на рейтинг как фетишЯ из него не делаю фетиша, но вот логика нажавших минус на именно этом сообшении лично мне чертовски любопытна: а с чем они несогласны то были? А откоментить почему-то постеснялись. Странные люди.
>Лучше скажите, как так получилось, что мой первый пост минусанули, а третий - плюсанули?Может быть, жара на народ так действует? Непоследовательность логики - налицо, факт :). Лично мне в этих ваших постах не нравятся ваши ограничительные настроения, эта дорожка ведет к фашизму типа яблостора а лучше вообще запрету ставить какие угодно программы. Пользуйтесь дескать встроенынм. Ну да, тогда и вирусам будет неоткуда взяться, только это будет что-то типа древней звонилки-телефона за $100 куда нельзя ставить свои программы. Неубиваемо. И годно только в роли кирпича для самообороны, по большому счету.
Я за ограничения что предлагать, а не что ставить. Если так можно выразиться. Короче говоря, пользователь ставить может что угодно, хоть вирусы и трояны, просто дистрибутив предлагать может только свободное. Казалось бы, какая разница, человек всё равно то, что нужно поставит? Но разница есть. Просто многие не считают собственническое ПО потенциально опасным, вот и думают, что оно может стоять по умолчанию. Но рассматривать такое ПО, как небезопасное, то всё становится на свои места. Проект OpenBSD как раз его таким и считает, поэтому не содержит в себе блобов.
Потому что люди думают что ты "Капитан Очевидность" и вероятно им не нравятся "Капитаны Очевидность" :)
А потом эти люди спрашивают - почему в Opera нет бинарных дополнений...
>А потом эти люди спрашивают - почему в Opera нет бинарных дополнений...По такой же логике - в операционку должно быть нельзя доустанавливать программы. А то вдруг программа - нехорошая?! Стало быть - какие-такие оперы?! Пользуйтесь дефолтным браузером. А то вдруг в опере в самой по себе вирь? Тем более что без сорцев проверить что там понапихали и нет ли там нежелательного функционала - довольно проблематично.
Нехватало к этому трояну-браузеру ещё и троянов-дополнений :).
Сочувствую
Что, опять?
ну, IE уже не нужен никому. теперь будут ломать Firefox и Chrome/Chromium.
Если установку экспериментального дополнения можно назвать "ломать Firefox", то да.
Я не понимаю, из-за чего шум? Юзер САМ ставит аддон, никто его не тянет и даже не предлагает. Более того, ФФ предупреждает, что нельзя ставить недоверенные аддоны. Дыра не в браузере, а в прокладке между стулом и клавиатурой.
Хорошо, что тогда является "проверенным дополнением" и "надежным источником"???
Может быть те аддоны, которые не говорят при установке, что их использование может быть небезопасным?
Так надо говорить по отношению ко всем проприетарным аддонам.
Ты задаешь идиотские вопросы, поэтому я буду писать очевидные ответы.
>Хорошо, что тогда является "проверенным дополнением"То, которое проверили. Которым ты пользовался сам и знаешь, что оно безвредное. Либо по отзыву от знающих людей.
>"надежным источником"???Сайт, которому ты доверяешь. Опеннету например.
>идиотские вопросы, поэтому я буду писать очевидные ответы.Вот как раз твои ответы - и есть идиотские ;)
>То, которое проверили. Которым ты пользовался сам и знаешь, что оно безвредное.
Очевидно, что для этого сначала нужно скачать и установить "недоверенный аддон"? :)
>Сайт, которому ты доверяешь. Опеннету например.
Или сайту mozilla.org, например :)
>Вот как раз твои ответы - и есть идиотские ;)Да, смайлик придает твоим словам невиданный вес.
>Очевидно, что для этого сначала нужно скачать и установить "недоверенный аддон"? :)
Разве? А я-то думал, что нужно проверить исходный код.
>Или сайту mozilla.org, например :)
Сайту mozilla.org можно доверять, вот только они не являются авторами дополнений и не несут ответственности за них. Под "источником дополнения" понимается не то место, где размещена ссылка на него, а то, где находится представительство автора.
Ну вот, я опять играю в капитана Очевидность, объясняя детям азы сетевой безопасности.
>>Очевидно, что для этого сначала нужно скачать и установить "недоверенный аддон"? :)
>
>Разве? А я-то думал, что нужно проверить исходный код.
>
>>Или сайту mozilla.org, например :)
>
>Сайту mozilla.org можно доверять, вот только они не являются авторами дополнений и
>не несут ответственности за них. Под "источником дополнения" понимается не то
>место, где размещена ссылка на него, а то, где находится представительство
>автора.Гиблое дело, надо чтоб плагины как софт в репозиториях, кто репозиторией рулит тот за безопасность софта ручается. А так только бардак плодить.
>Ну вот, я опять играю в капитана Очевидность, объясняя детям азы сетевой
>безопасности.Уважаемый КО, добро бы сам знал те основы. Когда ответственных более одного, не отвечает никто. Классика управления. Это еще "атцы" менеджмента писали.
>Гиблое дело, надо чтоб плагины как софт в репозиториях, кто репозиторией рулит
>тот за безопасность софта ручается. А так только бардак плодить.То есть ты хочешь, чтобы мозилла отвечала за все размещенные аддоны? Поздравляю, ты изобрел apple appstore с анальной модерацией, куда люди по полгода не могут выложить приложение по причине тормозов апруверов.
>Уважаемый КО, добро бы сам знал те основы.
Ну у меня-то все хорошо. Вредных аддонов нет, и истериками от мнимых опасностей не страдаю, как некоторые ;)
>>Гиблое дело, надо чтоб плагины как софт в репозиториях, кто репозиторией рулит
>>тот за безопасность софта ручается. А так только бардак плодить.
>
>То есть ты хочешь, чтобы мозилла отвечала за все размещенные аддоны? Поздравляю,
>ты изобрел apple appstore с анальной модерацией, куда люди по полгода
>не могут выложить приложение по причине тормозов апруверов.Именно. Толку с тысяч плагинов, если безопасно использовать можно десяток? Только аппстор это магазин, соответственно упор сделан не на безопасность, а на продаваемость. Тут же именно репозиторий плагинов с контролем безопасности, версионности с цифровыми подпися, блекджеком и... последнее может и лишнее.
>>Уважаемый КО, добро бы сам знал те основы.
>
>Ну у меня-то все хорошо. Вредных аддонов нет, и истериками от мнимых
>опасностей не страдаю, как некоторые ;)Чудесно. А какие аддоны в вас встроены? Я раньше думал в людей плагины не встраиваются:)
>Именно. Толку с тысяч плагинов, если безопасно использовать можно десяток? Только аппстор
>это магазин, соответственно упор сделан не на безопасность, а на продаваемость.
>Тут же именно репозиторий плагинов с контролем безопасности, версионности с цифровыми
>подпися, блекджеком и... последнее может и лишнее.Ну это только твое видение идеального аппстора в вакууме. К счастью в мозилле считают иначе.
>Чудесно. А какие аддоны в вас встроены? Я раньше думал в людей
>плагины не встраиваются:)petrosyan.jpg, зал взрывается апплодисментами.
>>Именно. Толку с тысяч плагинов, если безопасно использовать можно десяток? Только аппстор
>>это магазин, соответственно упор сделан не на безопасность, а на продаваемость.
>>Тут же именно репозиторий плагинов с контролем безопасности, версионности с цифровыми
>>подпися, блекджеком и... последнее может и лишнее.
>
>Ну это только твое видение идеального аппстора в вакууме. К счастью в
>мозилле считают иначе.Потому моя задача обойтись наименьшим количеством плагинов к Фоксу.
>
>>Чудесно. А какие аддоны в вас встроены? Я раньше думал в людей
>>плагины не встраиваются:)
>
>petrosyan.jpg, зал взрывается апплодисментами.Это не плагины, это руткиты, черви и трояны.
>Разве? А я-то думал, что нужно проверить исходный код.Ну так и нехрен было писать "Которым ты пользовался сам..." ;)
>Под "источником дополнения" понимается не то место, где размещена ссылка
>на него, а то, где находится представительство автора.Ну так и нехрен было писать "Сайт, которому ты доверяешь"
>Ну вот, я опять играю в капитана Очевидность, объясняя детям азы сетевой безопасности.
Ты хотя бы научись ясно выражать свои мысли (если они есть), а потом уж в капитана играй :)
>Ну так и нехрен было писать "Которым ты пользовался сам..." ;)Чего?
>Ну так и нехрен было писать "Сайт, которому ты доверяешь"
А?
>Ты хотя бы научись ясно выражать свои мысли (если они есть), а
>потом уж в капитана играй :)Что? Извини, я не понимаю, что ты говоришь.
Вирус тоже срабатывал когда сам юзер запускал зараженный файл. Просто все эти предупреждения неэффективны, а при большом количестве плагинов их нереально проверить полностью. Возможно в консерватории чтото надо менять.
>Возможно в консерватории чтото надо менять.Не принимать проприетарные дополнения, как потенциально опасные. Ваш К.О.
> >Возможно в консерватории чтото надо менять.
>
>Не принимать проприетарные дополнения, как потенциально опасные. Ваш К.О.А те два дополнения разве проприетарные?
> >Возможно в консерватории чтото надо менять.
>
>Не принимать проприетарные дополнения, как потенциально опасные. Ваш К.О.Нет, это не решит проблему. Может сильнее ограничивать возможности плагинов. ХЗ, но проблема не имеет легкого решения. Если юзер будет ставить плагины не думая, то вообще только гильотина поможет.
>сильнее ограничивать возможности плагинов.а зачем они будут нужны, если будут безо всяких возможностей? Просто проверять их нужно перед выкладыванием на сайте расширений. Тут нужны более жесткие методы, а не в ограничении функционала расширений. IMHO
>>сильнее ограничивать возможности плагинов.
>
>а зачем они будут нужны, если будут безо всяких возможностей? Просто проверять
>их нужно перед выкладыванием на сайте расширений. Тут нужны более жесткие
>методы, а не в ограничении функционала расширений. IMHOЯ предлагаю не словарь ограничить, а ограничить и разграничить алфавит. Так понятно?
>Не принимать проприетарные дополнения, как потенциально опасные. Ваш К.О.Есть одна проблемка: никакие законы природы не запрещают делать открытые дополнения потенциально опасными. Можно даже вспомнить как авторы NoScript получили по ушам за хакинг адблокплюса и обход его правил (потенциально нежелательная/вредная активность!). А ведь NoScript - под GPL, если мне склероз не изменяет. Да, все это лучше просматривается. Ну так наверное дело в том что надо лучше мониторить что втюхивается. В общем вижу ровно 1 способ 100% не получить проблем от устанавливаемого софта. Не устанавливать его вообще.
Можно быть уверенным на 100%, если вы написали его сами. :)А вот проприетарные дополнения почти невозможно проверить. Так зачем они? Лучше пусть будет на 20% (цифра с потока) меньше дополнений, но качество их проверки улучшится (за счет того, что у всех дополнений можно будет посмотреть код).
>Возможно в консерватории чтото надо менять.Меняй у себя. У меня и так все хорошо.
>>Возможно в консерватории чтото надо менять.
>
>Меняй у себя. У меня и так все хорошо.Вы разработчик фокса? Если нет, почитайте Жванецкого, узнайте что фраза означает.
И ФФ ставит сам. И за компьютер сам садится. И на сайты сам заходит. И вообще, что бы с ним ни случилось - сам виноват, а создатели софта и контента всегда чистенькие.
Просто проблема опять же в людях. Нужно делать такое общество, в котором не потребовалось бы воровать пароли.
Либо банально активнее проверять существующие дополнения. Я тоже кое-что месяц назад написал, и оно до сих пор не прошло проверку. Хотя там всего 10 строк по сути.
> Просто проблема опять же в людях. Нужно делать такое общество, в котором не потребовалось бы воровать пароли.Господи, какой бред. Утопия.
>Господи, какой бред. Утопия.А что вы смеетесь? У Столлмана уже было такое в MIT, он всем желающим показывал. Это достижимо в принципе.
>Просто проблема опять же в людях. Нужно делать такое общество, в котором
>не потребовалось бы воровать пароли.Нужно.
В этом деле вам помогут отвага, настойчивость, верный дробовик и пара млрд. патронов =)
Сэр забыл добавить, что для достижения столь Высокой цели Герою просто необходимо выскоблить черепную коробку до зеркального блеска. Изнутри. Иначе ничего не получится. Малейшие признаки серого вещества в количестве пары-тройки молекул могут испортить все дело и свернуть его с Пути Истинного.
>Сэр забыл добавить, что для достижения столь Высокой цели Герою просто необходимо
>выскоблить черепную коробку до зеркального блеска. Изнутри. Иначе ничего не получится.
>Малейшие признаки серого вещества в количестве пары-тройки молекул могут испортить все
>дело и свернуть его с Пути Истинного.Я соглашусь, если вы все-таки про совесть.
Для массового геноцида ум очень даже нужен)
>верный дробовик и пара млрд. патронов =)Как-то маловато,на планете 6,5 млрд людей. iddqd и idkfa, не меньше :)
>>верный дробовик и пара млрд. патронов =)
>
>Как-то маловато,на планете 6,5 млрд людей. iddqd и idkfa, не меньше :)Имхо, большинство людей ориентированы на добро.
Тех, кто в здравом уме ворует пароли, меньшинство, не более 20-25%.
Отсюда и экономия патронов =)
>Имхо, большинство людей ориентированы на добро.поэтому не воруют пароли, а воруют другие вещи или просто убивают за них...
Наивняшка.
RST: От Матфея Глава 15[19] ибо из сердца исходят злые помыслы, убийства, прелюбодеяния, любодеяния, кражи, лжесвидетельства, хуления -
[20] это оскверняет человека...
>[оверквотинг удален]
>поэтому не воруют пароли, а воруют другие вещи или просто убивают за
>них...
>Наивняшка.
>
>
>RST: От Матфея Глава 15
>
> [19] ибо из сердца исходят злые помыслы, убийства, прелюбодеяния, любодеяния, кражи,
>лжесвидетельства, хуления -
> [20] это оскверняет человека...Посмотрите, сколько людей в очереди стоят спокойно, а сколько - расталкивают всех, пытаясь пролезть без очереди.
Обычно в магазинах первых - большинство.
Ой, ребята, а можно я скажу, а?
Я это дело люблю, потому постоянно сдерживаюсь. А тут такой повод!
Нет? Ну тогда я кратко: кто сказал, что те, что расталкивают - плохие, и если их перестрелять, то оставшемуся "большинству" будет лучше? Не у товарища Гитлера и Ко были такие идеи? Найти признак "Плохости" и убить всех "плохих"?
"Сегодня самый лучший день. Сегодня Битва с дураками...
... Друзьям раздайте по ружью, и дураки перевидутся...
... Когда последний враг упал, Труба победу проиграла,
Лишь в этот миг я осознал - Насколько нас осталось мало."(с)Машина ВремениА если конкретнее: то если окажется, что один из "активных" руководитель 10ти "спокойных" и после его смерти они останутся без работы/зарплаты и у кого-то из них дети с голоду помрут, А другой оствашись без присмотра начальника учудит что-то, что угробит ещё несколько десятков? Тогда надо было бы спокойных стрелять...
Ну идея ясна, Я сейчас так редко говорю очевидные для меня вещи, что удивляюсь, что кто-то с этим не сталкивался и об этом не задумывался. Извините за оффтоп.
>Тех, кто в здравом уме ворует пароли, меньшинство, не более 20-25%.Что-то вы слишком хорошего мнения о людях. Попробуйте бросить стодолларовую бумажку на дорогу и посмотрите что будет. Если вы надеетесь что 80% людей поднимет ее и спросит у вас не вы ли это потеряли - ну вы и оптимист, однако. Ну или чем присвоение вашего пароля отличается от присвоения вашей стобаксовой бумажки по природе своей?
> Нужно делать такое общество, в котором не потребовалось бы воровать пароли.Это как у Боба Шоу, в финале "Света былого"?
>Просто проблема опять же в людях. Нужно делать такое общество, в котором
>не потребовалось бы воровать пароли.Желательно еще чтобы не требовались войны, грабежи, насилие и прочая. Дайте два :)
>>Просто проблема опять же в людях. Нужно делать такое общество, в котором
>>не потребовалось бы воровать пароли.
>
>Желательно еще чтобы не требовались войны, грабежи, насилие и прочая.Дробовик - не насилие, дробовик - орудие добра =)
На излете века, взял и ниспроверг.
Злого человека - добрый человек.
Из гранатомета, шлеп его, козла!
Стало быть, добро-то, посильнее зла!
Я бы предложил что-нибудь вроде пасспотной валидации:
1. Автор (ы) пишет экстеншн.
2. Делает его публичным на сайте мозиллы.
3. Присылает скан пасспорта.
4. Аддон помечается, как прошедший пасспорт-валидацию (вручную, достаточно дёшево и просто)
5. В случае обнаружения вредоносности, экстеншен заносится в блэк-лист, а пасспортные данные (и фото) делаются публичными на сайте мозиллы.Конечно, не является панацеей, т.к. всегда можно взять пасспотр БОМЖа и т.п.; но это более намного более гемморойно..
> 3. Присылает скан пасспорта.Чьего ? :)
> а пасспортные данные (и фото) делаются публичными на сайте мозиллы.
подозреваю незаконно.
> Конечно, не является панацеей, т.к. всегда можно взять пасспотр БОМЖа и т.п.; но это более намного более гемморойно..
ради такого случая никто свой паспорт светить не станет, статья однако
>> 3. Присылает скан пасспорта.
>Чьего ? :):-) "Ответственного"
>> а пасспортные данные (и фото) делаются публичными на сайте мозиллы.
>подозреваю незаконно.Что тут незаконного? Включить сооветствующий пункт в "Mozilla addon developer agreement"... :-)
>> Конечно, не является панацеей, т.к. всегда можно взять пасспотр БОМЖа и т.п.; но это более намного более гемморойно..
>ради такого случая никто свой паспорт светить не станет, статья однакоНе совсем, афаик.
а. Если просто на улице чел. подёт и попросит просканить пасспорт за 20$; то можно и согласиться, т.к. не будет состава преступления (мотива, злого умысла).
б. Если проросят скан с изложением истинных мотивов, то тогда, да - получит статью за соучастие. Но и 20$ тут, наверное, не отделаешься.В любом случае лицо просяещго бомж запомнит и при надобности опознает, т.е. риски коварного предприятия увеличиваются, и есть вероятность того, что за свои же способности (средние, или, имхо вышесредних) злоумышленник может честным образом заработать разработчиком, т.е. риск ради пару тыщ $ неоправдан.
> Что тут незаконного? Включить сооветствующий пункт в "Mozilla addon developer agreement"... :-)нет механизма установить кто с ним согласился и какое он не имеет отношение к паспорту.
>> Что тут незаконного? Включить сооветствующий пункт в "Mozilla addon developer agreement"... :-)
>
>нет механизма установить кто с ним согласился и какое он не
>имеет отношение к паспорту.Псспортная идентификация/аутентификация - полный бред. Не говоря о сомнительности с точки зрения закона(вы замучаетесь доказывать право публиковать личные данные, плевать что свои). Главное если у Мозиллы нет ресурсов проверять присылаемые аддоны, то где возьмут ресурсы проверять сканы? Туит +100500. А читающие тут опеннет чего так уверены что опознают пасспорт какогонить свазиленда? А если у чела банально нет паспорта, он гражданин США и не выезжал никуда?
>3. Присылает скан пасспорта.вот он - мозг промытый... у вас даже карточку на телефон без паспорта не купишь, так вы еще предложите расширения по паспорным данным качать... Из-за таких умников люди будут вынуждены еще и телефоны регистрировать, чтобы их не отключали... и т.д. Без рабства жить видимо людишки бывшего СССР не могут...
>Из-за таких умников люди будут вынуждены еще и телефоны регистрировать,
>чтобы их не отключали... и т.д.Вы тоже не из России? У нас туточки в Украине сейчас есть "серый список" если телефон у тя не регестрированн - надо зарегить. Ато по ИМЕИ заблочат. что они делают с ИМЕИ состоящими из одних нулей я не знаю. Год назад вводили это правило - тогда внесли всех что были сами. А сейчас если ввозить чего-то, то надо это регить. И больше 2х на человека нельзя. И все иФоны шас как не лицензированные собираются щас зарубить (неиначе МТС и тут готовится их продажи начать).
А не, из России, то я ваше "вас" не так понял.
>>3. Присылает скан пасспорта.
>вот он - мозг промытый... у вас даже карточку на телефон без
>паспорта не купишь, так вы еще предложите расширения по паспорным данным
>качать... Из-за таких умников люди будут вынуждены еще и телефоны регистрировать,
>чтобы их не отключали... и т.д. Без рабства жить видимо людишки
>бывшего СССР не могут...1. Уважаемый, я подозреваю что у Вас мозг промыт: научитесь для начала читать, т.к. по паспартам предлагается не качать экстеншены, а аплоадить авторам.
2. Никакой проблемы в предоставлении паспорта при регистрации телефона не вижу. И вообще, с чего бы это законопослушному гражданину беспокоиться об этом? Вы, уважаемый супер-мэн с непромываемой титановой черепной коробкой, ещё губки надуйте, что у Вас паспорт спрашивают при поступлении в ВУЗ, на работу, покупке квартиры, открытии банковского счёта.
3. На всякий случай, если кто не в курсе, то регистрация телефонов, обусловлена чисто экономически, т.е. желанием операторов и государства снять свою маржу с "серых телефонов".
>3. Присылает скан пасспорта.Типа, хацкеры не умеют пользоваться фотошопом? Тогда они наймут/попросят знакомого который умеет. Ну и в итоге какойнить В. Пупкин внезапно окажется виноватым в злодеяниях. Благо базы паспортов с вполне валидными наборами данных в интернете и на лотках - на каждом углу. Да и хомячки безбашенно вываливающие свои данные этому помогают. Извините, а ничего что скан паспорта какого-нибудь дурака можно ЭЛЕМЕНТАРНО НАГУГЛИТЬ? Дебилов на свете - много. Даже таких которые вываливают сдуру скан своего паспорта всему интернету (всякие кип-инфиумы и файлообменники в этом им очень помогают).
>>3. Присылает скан пасспорта.
>Типа, хацкеры не умеют пользоваться фотошопом? Тогда они наймут/попросят знакомого который умеет.Проблема в том, что это соучастие, а возможно даже преступление, т.к. подделка гос. документов. (Хотя в последнем не уверен). Со всеми вытекающми. Лично мои знакомые, ОЧЕНЬ СТРАННО на меня бы посмотрели, если я бы обратился к ним с просьбой подрисовки паспорта в фотошопе, с заменой фотографии и данных.
>Ну и в итоге какойнить В. Пупкин внезапно окажется виноватым в
>злодеяниях. Благо базы паспортов с вполне валидными наборами данных в интернете
>и на лотках - на каждом углу. Да и хомячки безбашенно
>вываливающие свои данные этому помогают. Извините, а ничего что скан паспорта
>какого-нибудь дурака можно ЭЛЕМЕНТАРНО НАГУГЛИТЬ? Дебилов на свете - много. Даже
>таких которые вываливают сдуру скан своего паспорта всему интернету (всякие кип-инфиумы
>и файлообменники в этом им очень помогают).Ну и это можно частично обойти: просто каждый раз при регистрации/аплоаде проверять, имеется ли такой уже. И уж если имеется уже 5 Василиев Пупкинов, с одинаковыми паспортными данными, то тогда за их-то кодом производить усилинный мониторинг и чуть какая малварь тихо (молча!) передать код, вместе с IP-шниками и пр. инфой органам по борьбе с кибер-преступностью.
Признаю, ещё раз, что способ не совершенен, однако лучше чем текующее положение... Другие варианты:
1. Не устанавливать вообще (неконструктивно)
2. Инспектировать код силами Мозиллы (у неё нет столько финансов/ресурсов, чтобы мониторить все коммиты)В общем идея проста, и состоит в том, чтобы возложить ответсвенность на авторов. Имеется хлебзавод, который выпускает продукцию (печенюшки), и реализует её через сеть магазинов. Но имеется и возможность того, чтобы всякий желающий мог облить их своей кастомной глазурью и также реализовывать через магазины.
Если кто-то умрёт от отравления глазурью, то кто ответсвеннен? Хлебзавод? Директор магазина, который не попробовал сам?Сейчас такую схему с цианидовой глазурью, к счастью, не провернёшь, т.к. ЛИЦО, её выпускающее известно, и оно не анонимно. Аналогичный солюшн предлагается и для интернета, чтобы лишить анонимности авторов экстеншенов, а не возлагать ответсвенность на хлебзавод (мозиллу) или магазин (провайдера).
Нет предела совершенству, в смысле людской наивности.
И паленую водку с сертификатами продавали, и аутентификацию в сети надежную до сих пор не реализовали
Интересно, а могут ли антивирусы, файерволы и программы-антишпионы по-нормальному нейтрализовывать то? И заодно тут не написано о том,- а как опасность этих дополнений зависит от используемой ОС?
Сначала появляется малварь, а только потом она обнаруживается и о ней узнают программы-антивирусы. Поэтому уповать на то что антивирусы, файрфволы и прочая что-то там нетрализуют, да еще вовремя и ДО того как ваши пароли уже улетели - достаточно наивно и оптимистично. Файрволы кстати на раз-два обходятся. Браузеру у вас ведь можно в интернет, правда? Ну вот попросить браузер "скачать файл" - можно. А вместо файла - в урле, пардон, ваши пароли можно закодировать. Что сервер вернет как файл - вообще не принципиально, а вот урлу запроса он может распетрушить и вынуть из нее пароли и слить их владельцу. И никак это особо фаером не удавишь (а вы готовы как цербер лично подтверждать скачку каждого файла со всех урлов?И ни разу не нажмете Yes по ошибке? При том что на типичном сайте файлов для просто работы сайта грузятся порой аж десятки!).
Нафиг они его в черный список добавили. Лучше последовать примеру Google как он помечает вредоносные сайты - прикрепить тег о том, что в расширении обнаружена уязвимость/лазейка и переместить в экспериментальную группу. Опытный пользователь может пофиксить/вырезать сам или использовать в песочнице.
я немогу с мозилы фаерфокс зайти ни на один сайт бьёт ошибку 404 и перезагружался и делал восстановление системы и устанавливал более раннее состояние компьютера антивирусом сканировал всё несколько раз и ничего