Firefoxissa piilee vakava tietoturvariski

Tässä tämä tilanne nyt nähdään, mistä kommentoin jo silloin kun tämä "tietoturvaselain" tuli markkinoille. Silloin käyttäjiä oli liian vähän FF:n selaimella, jotta ketään olisi oikeasti kiinnostanut lähteä bugeja etsimään. Nyt kun tilanne on se, että markkinointi huipputurvallisena selaimena on edennyt hyvää vauhtia on aika hakkereiden iskeä ja kertoa myös totuus tämän tuotteen osalta.

Täysin sama on tilanne mac maailmassa, jossa hehkutetaan järjestelmän turvallisuutta. Jos käyttäjiä olisi enemmän, niin kiinnostus myös hakkereiden ja vastaavien joukossa lisääntyisi ja jo olisi haittaohjelma poikineen mac käyttäjien kimpussa.

Itsekin olen pitänyt FF:n selaimia turvallisena vaihtoehtona, mutta kun nyt viimeisen vuoden olen käyttänyt rinta rinnan kahta selainta, niin ongelmia ei ole ollut kummallakaan. Huolehtii vain tietoturvapäivityksistä, virus ja palomuuri softista niin homma on aika selkeää pässinlihaa ;)

Mitä tulee sivujen koodaukseen niin meidän talossa (firmassa) 3 kaveria tekee kaiket päivät www- softaa / sivustoja ja kyllä ne kaikilla selaimilla toimii. Ne jotka kitisee siitä, että sivusto on vaikea tehdä / saada toimimaan IE:llä niin olisiko kyse ammataidon puutteesta? :)

	Re: Kun yleistyy niin vikoja löytyy Piparkakku, 3.10.2006 18:28:53	Pisteet: 0

Mitä tulee sivujen koodaukseen niin meidän talossa (firmassa) 3 kaveria tekee kaiket päivät www- softaa / sivustoja ja kyllä ne kaikilla selaimilla toimii. Ne jotka kitisee siitä, että sivusto on vaikea tehdä / saada toimimaan IE:llä niin olisiko kyse ammataidon puutteesta? :)

Joko olet trolli tai et ole tehnyt sivuja lainkaan esimerkiksi viimeisen, mitä? Vuoden aikana? Onko se ammattitaidon puutetta että IE ei osaa PNG-läpinäkyvyyttä (kyllä, hackilla toimii, muttei background-imagena)? Vai ammattitaidon puutetta että IE lisää kolme pikseliä tyhjää tilaa divien sivuille kun ne sijoitellaan johonkin? Vai olisiko se ammattitaidon puutetta puolestaan että IE:lle pitää tehdä iso osa CSS:stä IE-versiona, koska se ei osaa tulkita niitä kuin oman perverssin tapansa läpi, mutta kaikilla muilla ne näkyy lähes identtisinä?

Kyllä, IE:llä saa sivut toimimaan, mutta silloin pitää hypätä aikakoneeseen ja palata takaisin vuodelle 2001. Ainakin minua turhauttaa älyttömästi että yhden selaimen takia pitää nähdä niin hitosti vaivaa, kun voisi esimerkiksi keskittyä tekemään sitä itse sivua.

Microsoft vacuum cleaner, only product not sucking, internets, 6 years, ms paint, etc.
Kommenttini yltävät +3-tasolle MS-vastaisen allekirjoitukseni takia <3

	Re: Kun yleistyy niin vikoja löytyy 101010, 4.10.2006 00:42:27	Pisteet: 0

Tässä tämä tilanne nyt nähdään, mistä kommentoin jo silloin kun tämä "tietoturvaselain" tuli markkinoille. Silloin käyttäjiä oli liian vähän FF:n selaimella, jotta ketään olisi oikeasti kiinnostanut lähteä bugeja etsimään. Nyt kun tilanne on se, että markkinointi huipputurvallisena selaimena on edennyt hyvää vauhtia on aika hakkereiden iskeä ja kertoa myös totuus tämän tuotteen osalta.

Jos olet sattunut yhtään lukemaan kommentteja tai Slashdottia niin tietänet varmaan että juttu oli vitsi, joka oli kommenttien perusteella jopa ilmiselvää yleisölle ja suurimmalle osalle median edustajista. Mutta eihän se muuta vaadi kun yhden uutisankan niin johan kaikki sitä levittää.
http://it.slashdot.org/article.pl?sid=06/10/03/162...

Eli jatketaan vielä sen "tämän näkemisen" odottelua ihan rauhassa.

Mitä tulee sivujen koodaukseen niin meidän talossa (firmassa) 3 kaveria tekee kaiket päivät www- softaa / sivustoja ja kyllä ne kaikilla selaimilla toimii. Ne jotka kitisee siitä, että sivusto on vaikea tehdä / saada toimimaan IE:llä niin olisiko kyse ammataidon puutteesta? :)

Jaa ammattitaidon puutetta että IE tukee CSS 2:ta noin 50% kun muut selaimet tukevat noin 90%:sti? Tottakai ne sivut saa tehtyä toimiviksi kaikilla selaimilla, mutta usein se vaatii ominaisuuksien karsimista ja paljon ylimääräistä työtä, juurikin IE:n takia.
http://www.webdevout.net/browser_support_summary.p...

	Re: Kun yleistyy niin vikoja löytyy JormaMälli, 4.10.2006 05:28:56	Pisteet: 0

Jaa ammattitaidon puutetta että IE tukee CSS 2:ta noin 50% kun muut selaimet tukevat noin 90%:sti? Tottakai ne sivut saa tehtyä toimiviksi kaikilla selaimilla, mutta usein se vaatii ominaisuuksien karsimista ja paljon ylimääräistä työtä, juurikin IE:n takia.

Juurihan se on ammattitaidon puutetta, jos ei osata tehdä sivuja valtaselaimella toimiviksi. Mitä ihmeen muuta se on??? Siis vaikka IE tukis 1% sesti CSS2 niin silti pitäisi sivuntuottajan pystyä väsäämään IE-lle sopivia sivuja, kun se sattuu olemaan valtaselain. Hyvä sivuntuottaja toki osaa tehdä sivut IE-llä toimiviksi.

Sitten hyvin harvoin sivut edes paranevat ylimääräisestä koreilusta ja kikkailusta. Paras on juuri se yksinkertainen. Sitten erikseen mainossivut tehdään usein Flashilla...

	Re: Kun yleistyy niin vikoja löytyy kaitsu80, 4.10.2006 09:58:54	Pisteet: 0

iis vaikka IE tukis 1% sesti CSS2 niin silti pitäisi sivuntuottajan pystyä väsäämään IE-lle sopivia sivuja, kun se sattuu olemaan valtaselain. Hyvä sivuntuottaja toki osaa tehdä sivut IE-llä toimiviksi.

Ongelma ei ole tehdä sivuja IE:llä toimiviksi. Ongelma on siinä että sivut pitää saada toimiviksi niin IE:llä kuin muillakin selaimilla. Hanurista että toinen leiri noudattaa eritavalla standardeja kuin toinen. Eihän sivujenkanssa pakertaminen mitään rakettitiedettä näinkään ole mutta homma ei vaan ole kovinkaan tehokasta kun joutuu urhaamaan resursseja sen varmistamiseen että näkyy mahdollisimman monella käyttäjällä kunnollisesti. IE on valtaselain mutta itse en ainakaan tunne yhtään yritystä jolla olisi varaa valikoida asiakkaitaan "IE only" -politiikalla.

JormaMällin juttuja ei nyt pahemmin kannattaisi kommentoida. Kaverilla on tapana vastustaa kaikkea "linux-hippien" touhuja kuten OS:ää, Firefoxia, AMD:tä yms. Ylimielisiä kommentteja taitaa syöltää sektorin lukioiden provoamiseksi jokin muu henkilö kuin Jorman usein referoima "it-asiantuntija". Trollaamisen tarve on kova ja mikäs siinä kun ihmiset trollin pauloihin lankeavat -itse hyvänä esimerkkinä.

	Re: Kun yleistyy niin vikoja löytyy olmari, 4.10.2006 06:17:23	Pisteet: 0

Jaa ammattitaidon puutetta että IE tukee CSS 2:ta noin 50% kun muut selaimet tukevat noin 90%:sti? Tottakai ne sivut saa tehtyä toimiviksi kaikilla selaimilla, mutta usein se vaatii ominaisuuksien karsimista ja paljon ylimääräistä työtä, juurikin IE:n takia. Juurihan se on ammattitaidon puutetta, jos ei osata tehdä sivuja valtaselaimella toimiviksi. Mitä ihmeen muuta se on??? Siis vaikka IE tukis 1% sesti CSS2 niin silti pitäisi sivuntuottajan pystyä väsäämään IE-lle sopivia sivuja, kun se sattuu olemaan valtaselain. Hyvä sivuntuottaja toki osaa tehdä sivut IE-llä toimiviksi.

Hohhoo, johan tuli soopaa tuutin täydeltä... Sitten kun se valtaselain sattuu vaihtumaan niin sittenkö yhtäkkiä sivujen pitäisikin tukea selainta Y, koska se sattuu juuri silloin olemaan valtaselain?!

Miksei samantien tekisi ihan vain HTML-STANDARDIN mukaisia HTML-sivuja ja CSS-STANDARDIN mukaisia CSS-tyylitiedostoja? Näin kaikki selaimet osaavat näyttää sivut samantyylisinä ilman lisää kikkailua, paitsi IE, se kiva selain joka ei osaa omien jekkujen lisäksikään näyttää monia STANDARDIN mukaisia sivuja oikein...

Sitten hyvin harvoin sivut edes paranevat ylimääräisestä koreilusta ja kikkailusta. Paras on juuri se yksinkertainen.

Kun näyttäs edes se IE ne jotkut yksinkertaset sivut oikein, mitkä on tehty standardeita noudattaen. Monen sivun koodi on hyvin yksinkertaista muutenkin, paitsi jos aletaan värkkäämään sitä myös IEllä kunnolal näkyväksi.

Sitten erikseen mainossivut tehdään usein Flashilla...

Mjoo no, Flash on monikäyttöinen vehjes, sitäkin voidaan käyttää väärin, myös hyviä toteutuksia näkee joskus.

	Re: Kun yleistyy niin vikoja löytyy mnvb, 4.10.2006 09:42:33	Pisteet: 0

Trollejahan ei saisi ruokkia, mutta...

Juurihan se on ammattitaidon puutetta, jos ei osata tehdä sivuja valtaselaimella toimiviksi. Mitä ihmeen muuta se on??? Siis vaikka IE tukis 1% sesti CSS2 niin silti pitäisi sivuntuottajan pystyä väsäämään IE-lle sopivia sivuja, kun se sattuu olemaan valtaselain. Hyvä sivuntuottaja toki osaa tehdä sivut IE-llä toimiviksi.

Harvemmin se varmaan pystymisestä on kiinni, mutta täällä yrityselämän puolella meillä on sellaisia rajoitteita kuin aikataulut ja budjetit. Näiden kannalta olisi mukavaa jos voisi keskittyä toteuttamaan asiakkaan toiveet käyttämällä standarditekniikoita, eikä rimpuilemaan "valtaselaimen" puutteiden kanssa. IE ei kuitenkaan ole enää Suomen julkiskentällä läheskään niin suuri, että FF/Mozilla tuki nykyään puuttuisi speksistä. Usein mukana on vielä Safari ja Operakin.

itten hyvin harvoin sivut edes paranevat ylimääräisestä koreilusta ja kikkailusta. Paras on juuri se yksinkertainen. Sitten erikseen mainossivut tehdään usein Flashilla...

Eli funktionaalisuus on kuningas, ja nätin ja viimeistellyn näköiset sivut ovat turhaa hömpötystä? Et ole tainnut jutella oikean asiakkaan kanssa koskaan :)

Jos minä olen ihan dorka, niin on kyllä tuokin. -- Wagner

	Re: Kun yleistyy niin vikoja löytyy Rousku, 4.10.2006 08:27:40	Pisteet: 0

Juurihan se on ammattitaidon puutetta, jos ei osata tehdä sivuja valtaselaimella toimiviksi. Mitä ihmeen muuta se on??? Siis vaikka IE tukis 1% sesti CSS2 niin silti pitäisi sivuntuottajan pystyä väsäämään IE-lle sopivia sivuja, kun se sattuu olemaan valtaselain. Hyvä sivuntuottaja toki osaa tehdä sivut IE-llä toimiviksi.

CSS2:n ominaisuuksien laaja käyttö on pakottanut IE:n kehittäjiä parantelemaan tukea, joten CSS2 käyttöön kuten myös CSS3:kin.

"I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not." --Mischa Spiegelmock

http://developer.mozilla.org/devnews/index.php/200...

http://weblogs.mozillazine.org/asa/

http://www.heise-security.co.uk/news/78970

Claimed security hole in Firefox "just a joke"

The allegedly critical hole reported yesterday in Firefox's JavaScript implementation has turned out, not surprisingly, to be a hoax. Mischa Spiegelmock, who made the claim at the Toorcon hacker conference, told Mozilla's security chief Window Snyder, "The main purpose of our talk was to be humorous."

	Re: Juttu oli vitsi, stop the press jemm, 4.10.2006 15:28:45	Pisteet: 0

Claimed security hole in Firefox "just a joke"

Tai sitten he vain väittävät, että se on vain vitsi, saadakseen rauhassa hyödyntää niitä rauhassa Mozillalta/FBI:ltä yms ;)

-Taisi olla virhe paljastaa, mitä tiedetään. Mitä nyt tehdään?
-Öö... väitetään, että se oli vitsi.. kohun laannuttua juttu unohtuu ja botnettimme voi laajeta rauhassa. Saatiin ainakin paljon mainetta ja mainostuloja tulemalla hetkeksi uutisiin!

Salaliittoteoria päivässä...

-Jemm

	Re: Juttu oli vitsi, stop the press miksuh, 4.10.2006 14:15:01	Pisteet: 0

Todella mauton juttu kyllä. En tiedä millä kohtaa tota "vitsiä" olisi pitänyt nauraa. Lisää tietoa:

http://www.tietokone.fi/uutta/uutinen.asp?news_id=...

	Re: Juttu oli vitsi, stop the press kenu, 5.10.2006 00:10:52	Pisteet: 0

Todella mauton juttu kyllä. En tiedä millä kohtaa tota "vitsiä" olisi pitänyt nauraa. Lisää tietoa: http://www.tietokone.fi/uutta/uutinen.asp?news_id=...

Vahvistettu huonoksi vitsiksi ja tämän mukaan pääpukari Spiegelmock on vasta 19-vuotias:
http://mikropc.net/uutiset/index.jsp?categoryId=at...

Tyypillistä teinin sähellystä. Ei anna vakuuttavaa kuvaa konferenssin tasosta.

	Re: Juttu oli vitsi, stop the press 101010, 5.10.2006 00:43:39	Pisteet: 0

Tyypillistä teinin sähellystä. Ei anna vakuuttavaa kuvaa konferenssin tasosta.

Teinit nyt tekevät mitä sattuu, se on normaalia ja kuuluu elämään. Tämä ei kuitenkaan anna kovin luotettavaa kuvaa mediasta. Yksi julkaisee uutisen ja heti kaikki kopioivat sen, eikä kukaan tarkista oliko uutinen edes tosi. Mutta eihän tämä ensimmäinen kerta ollut.

	Re: Juttu oli vitsi, stop the press altsi, 4.10.2006 20:09:48	Pisteet: 0

http://www.heise-security.co.uk/news/78970 Claimed security hole in Firefox "just a joke"
The allegedly critical hole reported yesterday in Firefox's JavaScript implementation has turned out, not surprisingly, to be a hoax. Mischa Spiegelmock, who made the claim at the Toorcon hacker conference, told Mozilla's security chief Window Snyder, "The main purpose of our talk was to be humorous."

Vitsi tai ei, on silti suositeltavaa käyttää esim "noscript" lisäosaa joka estää kaiken javascriptin ennenkuin hyväksyt sivuston. https://addons.mozilla.org/firefox/722/)

Pisterajan alittavia kommentteja piilossa.

Toi esityksen kohta löytyy reilun kahden minuutin mittaisena videona täältä:
http://news.com.com/1606-2_3-6121987.html

Kyllä bugiselta vaikuttaa kun kaatuilee välillä, ja vuotaa muistiin jatkuvasti. Firefox 1.0x vain vuosi muistiin ja kaatui n. neljän päivän päällä olon jälkeen, mutta nyt kun päivitin 1.5:seen kaatuilee välillä muutenkin.

Ehkä 2.0 korjaa ongelmat. Luultavasti ei.

	Re: buginen foksi sepeto, 3.10.2006 14:55:51	Pisteet: 0

Kyllä bugiselta vaikuttaa kun kaatuilee välillä, ja vuotaa muistiin jatkuvasti. Firefox 1.0x vain vuosi muistiin ja kaatui n. neljän päivän päällä olon jälkeen, mutta nyt kun päivitin 1.5:seen
kaatuilee välillä muutenkin.
Ehkä 2.0 korjaa ongelmat. Luultavasti ei.

Ainoa tapaus jossa olen firefoxin huomannu vuotavan muistia oli taannoinen Flash pluginin tekemä muistivuoto. Ja flash ei ole firefox. piste.

Näistä bugivalituksista tulee ensimmäisenä mieleen, että onko kone ylipäätään vakaa?
Kokeileppa jos pysyy prime95/mprime tortune testillä (100% prossun kuormitus) vakaana yli 10 tuntia. Sen jälkeen joku muistitesteri.
Jos nämä läpäisee, niin kokeileppa firefoxia ilman pluginejä. Aika mahdotonta on tehdä selainta, jos pluginit on perseestä. Ja muutenki flash on vain mainoksia varten,

	Re: buginen foksi kudzu, 3.10.2006 16:45:36	Pisteet: 0

Ainoa tapaus jossa olen firefoxin huomannu vuotavan muistia oli taannoinen Flash pluginin tekemä muistivuoto. Ja flash ei ole firefox. piste.

Eipä sillä ole merkitystä. Intterwapin selailu ilman flashia on epäilemättä suurimman osan käytäjistä mielestä epämukavaa, joten flash on olennainen osa selainta.

Flash ei ehkä ole firefox, mutta firefox on firefox+flash.

ps. Loistokas nimi, Wbeelsoi. Miten ihmeessä tuo lausutaan? Waibelsoi? Wibelsoi? Wibiilsoy?

+++ATH0';%%&

	Re: buginen foksi neko, 4.10.2006 09:23:41	Pisteet: 0

Aika mahdotonta on tehdä selainta, jos pluginit on perseestä.

Siksipä Opera on taas hyvä vaihtoehto ;)

Nothing more, nothing less. Every Little Thing. Kaori.

	Re: buginen foksi w-ber, 3.10.2006 18:35:23	Pisteet: 0

Näistä bugivalituksista tulee ensimmäisenä mieleen, että onko kone ylipäätään vakaa?

Muistivuodoista en tiedä sanoa, mutta Turun sanomien verkkosivujen Javascript-sörsseli kaataa Firefoxin aika säännöllisesti. En ole vielä jaksanut tutkia, mistä koodinpätkästä vika johtuu (enkä taida jaksaakaan, koska otan Javascriptin usein pois päältä muutenkin), mutta eri versioilla 1.4-1.5 tekee niin ainakin tällä koneella. Vanhemman Mozilla-selaimen eri versiot toimivat samalla sivustolla hienosti, samoin Opera ja Konqueror Linksistä puhumattakaan (kaikissa Javascript-tuki). Käyttöjärjestelmän päivittäminen muuten ei ole poistanut vikaa; alla Slackware Linux.

Tällä hetkellä alla 1.5.0.5 ja TS:n mielipidesivu kaataa selaimen. Teoriassa tuo voi olla jonkin laajennuksen syy, mutta olen kyllä ottanut niitä yksitellen ja ryhmissä pois päältä, eikä ole auttanut.

	Re: buginen foksi pp, 3.10.2006 22:26:23	Pisteet: 0

Ainoa tapaus jossa olen firefoxin huomannu vuotavan muistia oli taannoinen Flash pluginin tekemä muistivuoto. Ja flash ei ole firefox. piste. Näistä bugivalituksista tulee ensimmäisenä mieleen, että onko kone ylipäätään vakaa?
Kokeileppa jos pysyy prime95/mprime tortune testillä (100% prossun kuormitus) vakaana yli 10 tuntia. Sen jälkeen joku muistitesteri.
Jos nämä läpäisee, niin kokeileppa firefoxia ilman pluginejä. Aika mahdotonta on tehdä selainta, jos pluginit on perseestä. Ja muutenki flash on vain mainoksia varten,

Kone on vakaa, ei tässä muut ohjelmat kaatuile. Primeäkin ajettu tarpeeksi aikoinaan.

Flash on muuten nykyään oleellinen osa nettiä, mm. youtuben videot toimivat flashin avulla. Nuo kaikki pluginit mitä on firefoksille saatavilla ovat semmoista peruskauraa joiden pitäisi toimia kaikilla varteenotettavilla selaimilla moitteettomasti, jopa ilman erillisten pluginien asentamista.

Hirvee hypetys oli silloin kun firefox 1.0 ilmestyi, tyyliin nyt on tullut täydellinen selain joka pesee muut 100-0. Piti sitten minunkin sortua hypeen, mutta tämä on kaukana täydellisestä, ei osaa edes javascriptiä kunnolla. Nyt harkitsen siirtymistä takaisin oopperaan, se muistaa sentään täytetyt formit kun painaa selaimen back-painiketta, ja sen password manager on ylivoimainen. Firefoksista jäisin kaipaamaan lähinnä adblockia.

	Re: buginen foksi olmari, 3.10.2006 23:13:08	Pisteet: 0

Firefoksista jäisin kaipaamaan lähinnä adblockia.

No mutta sellainenhan on Opera ysissä ihan vakiona, tervetuloa takaisin kerhoon vain :)

	Re: buginen foksi mtoivo, 3.10.2006 15:07:44	Pisteet: 0

Ainoa tapaus jossa olen firefoxin huomannu vuotavan muistia oli taannoinen Flash pluginin tekemä muistivuoto. Ja flash ei ole firefox. piste.

Samoja kokemuksia, ainakin mäkki-puolen firefoxista. En muistista niin tiedä, mutta rosessoria rääkkää niin julmetusti, heti kun sulkee tabin, jossa on sivulla flässiä, niin jo vapautuu cpu:ta. Voi olla kyllä kymysys huonosta flash-ohjelmoitsemisestakin.

Ja muutenki flash on vain mainoksia varten,

No tästä voidaan olla montaa mieltä, flässillä on vähän kehno maine sen vuoksi, että sitä niin surutta käytetään mainoksissa. Kyllä sillä saa ihan kelvollisia ohjelmiakin aikaiseksi, ja tuosta edellämainitusta prosessorin kulutuksesta pitää sanoa, että normaalissa käyttöliittymäohjelmoinnissa flässi ei kuluta juuri tehoja. Raskaan videon purku on tietty asia erikseen sitten (youtube yms).

Käsittämättömintä (näissäkin) bugeissa on se, että ne aiheutuvat puskurien ylivuodoista, mikä on varsin hyvin tunnettu ja ymmärretty ongelma.

Ylivuoto-ongelma ratkaistiin jo vuonna 1960 (ks. esim. Algol 60). Kohta on 50 vuotta kulunut, eikä asiaa vieläkään oteta tosissaan huomioon. Kehitetään mitä ihmeellisimpiä purkkavirityksiä (mieleen tulee mm. Windowsiin sisällytettävä NX) korjaamatta itse ongelmaa eli tarkastamattomia indeksointeja puskureihin.

Millä muulla insinöörialalla jätetään lähes 50 vuotta vanha toimiva ja hyväksi havaittu ratkaisu hyödyntämättä ja rakennetaan uusia järjestelmiä tietoisena niiden sisältämistä [tietoturva]riskeistä?

	Re: Puskureiden ylivuodot weicco, 4.10.2006 06:51:04	Pisteet: 0

mieleen tulee mm. Windowsiin sisällytettävä NX

Vain Windowsiin?

http://en.wikipedia.org/wiki/NX_bit

Join me! Together we can rule the galaxy as father and son.

	Re: Puskureiden ylivuodot kilotavu, 3.10.2006 20:23:22	Pisteet: 0

Käsittämättömintä (näissäkin) bugeissa on se, että ne aiheutuvat puskurien ylivuodoista, mikä on varsin hyvin tunnettu ja ymmärretty ongelma.

On mahdollista tehdä turvallisia ohjelmia ja nopeita. Joka ikinen ylimääräinen muuttujan tarkistus hidastaa ja tekee ohjelmasta raskaamman. Pienestä nopeasta FireFoxista on jo muutenkin tullut yksi raskaimmista selaimista, se on aivan eri ohjelma, kuin mitä oli vielä vuosi sitten.

	Re: Puskureiden ylivuodot jomppa, 4.10.2006 13:55:05	Pisteet: 0

Käsittämättömintä (näissäkin) bugeissa on se, että ne aiheutuvat puskurien ylivuodoista, mikä on varsin hyvin tunnettu ja ymmärretty ongelma.

On mahdollista tehdä turvallisia ohjelmia ja nopeita. Joka ikinen ylimääräinen muuttujan tarkistus hidastaa ja tekee ohjelmasta raskaamman.

Toisaalta tuota indeksin tarkistamista on tuettu x86-arkkitehtuurissa jo 80188:sta alkaen (BOUND). Ilmeisesti tuon käskyn optimointi mikrokooditasolla on sitten jätetty puolitiehen käytön puutteessa.

Kuten tarkimmat ehkä huomasivat mitään varsinaisia todisteita näyttävän esityksen lisäksi ei esitetty aukkojen todellisuudesta. Jos he tietäisivät 30 aukkoa, he olisivat saaneet huomattavasti enemmän uskottavuutta jos olisivat paljastaneet yhden aukoista, tätä he eivät kuitenkaan tehneet. Miksi eivät? Ehkä siksi että aukkoja ei ole.

Kyse on varsin nerokkaasta huijauksesta. Jos minä väittäisin nähneeni yksisarvisen, ei kukaan voisi todistaa minun olleen väärässä. Mutta tieteellisesti ajateltuna todistustaakka ei olekaan heillä vaan minulla. Sama pätee heihin.

He saivat hurjasti mainetta tuolla tempauksellaan ja maine tietää rahaa. Ikävää että se tapahtui Firefoxin kustannuksella ja vielä ikävämpää on se, että nyt meillä on tuhansia ihmisiä jotka uskovat yksisarvisiin, vaikka mitään todisteita niistä ei olekaan.

	Re: Ei todisteita kilotavu, 3.10.2006 20:29:11	Pisteet: 0

Jos he tietäisivät 30 aukkoa, he olisivat saaneet huomattavasti enemmän uskottavuutta jos olisivat paljastaneet yhden aukoista, tätä he eivät kuitenkaan tehneet. Miksi eivät? Ehkä siksi että aukkoja ei ole.

Niinhän he tekivätkin, paljastivat kaksi aukkoa suoran yleisötilaisuudesta, mistä vielä Mozillan turvapäällikkö Window Snyder suuttui. Kaikki 30 aukkoa eivät vain suostuneet paljastamaan, mitä on hyvin ymmärrettävä.

	Re: Ei todisteita 101010, 3.10.2006 23:18:49	Pisteet: 0

Niinhän he tekivätkin, paljastivat kaksi aukkoa suoran yleisötilaisuudesta, mistä vielä Mozillan turvapäällikkö Window Snyder suuttui. Kaikki 30 aukkoa eivät vain suostuneet paljastamaan, mitä on hyvin ymmärrettävä.

He eivät paljastaneet aukkoja vaan demosivat miten ne toimivat. Jos olet ikinä demoja tehnyt niin saatat tietää että niissä usein huijataan. Mitään varsinaisia todisteita ei aukoista ole annettu, jos olisi annettu, ne olisi jo vahvistettu ja mahdollisesti jopa korjattu. Jos aukot on mielestäsi paljastettu niin kerropa miten niitä sitten hyödynnetään.

Pisterajan alittavia kommentteja piilossa.

huh huh, toivottavasti jokainen nyt tajuaa miten turvaton on niin turvalliseksi hekkutettu Firefox.

Viimeviikolla kyseinen selain pääsi otsikoihin, koska siitä on löydetty eniten tietoturva-aukkoja vuoden sisällä.

Itse olen aina käyttänyt IE-etä ja yhtään mitään ongelmaa ei ole ollut.

	Re: punkki, 3.10.2006 10:19:31	Pisteet: 0

Viimeviikolla kyseinen selain pääsi otsikoihin, koska siitä on löydetty eniten tietoturva-aukkoja vuoden sisällä. Itse olen aina käyttänyt IE-etä ja yhtään mitään ongelmaa ei ole ollut.

Jalisen linkittämä artikkeli sisältää linkin tähän analyysiin Symantecin raportista: http://developer.mozilla.org/devnews/index.php/200...

Eli, jos lasketaan vain julkaistujen bugien määrää eri selaimissa, ei lasketa samaa asiaa. Kaupalliset yrittäjät korjaavat bugeja tuotteistaan ilman, että niistä julkaistaan bugiraporttia, OSS ohjelmissa lasketaan taas kaikki.

Bugitonta softaa ei ole, eikä toistaiseksi kummankaan selaimen tietoturvabugeista ole ollut haittaa keskivertotallaajalle kuin huonolla tsägällä.

	Re: kaitsu80, 3.10.2006 10:52:35	Pisteet: 0

Eli, jos lasketaan vain julkaistujen bugien määrää eri selaimissa, ei lasketa samaa asiaa. Kaupalliset yrittäjät korjaavat bugeja tuotteistaan ilman, että niistä julkaistaan bugiraporttia, OSS ohjelmissa lasketaan taas kaikki.

Itseäni ei ainakaan kiinnosta bugien määrän vertailu. Bugien vakavuus on huomattavasti parempi mittari. Jostain olisi mielenkiintoista lukea bugien aiheuttamista ongelmista, eli kumman selaimen aukkoja hyödynnetään enemmän. Mainittakoot että itse en kuulu kumpaakaan leiriin vaan surffilautana toimii Opera -bugeja löytyy varmasti siitäkin.

	Re: olmari, 3.10.2006 20:14:09	Pisteet: 0

Itseäni ei ainakaan kiinnosta bugien määrän vertailu. Bugien vakavuus on huomattavasti parempi mittari. Jostain olisi mielenkiintoista lukea bugien aiheuttamista ongelmista, eli kumman selaimen aukkoja hyödynnetään enemmän.

Ja ennen kaikkea kuinka nopeasti aukot paikataan.

Mainittakoot että itse en kuulu kumpaakaan leiriin vaan surffilautana toimii Opera -bugeja löytyy varmasti siitäkin.

Kuin myös, ja löytyy bugeja aina välillä, ne vain korjataan hyyvin nopasti ja myöskin KÄIKKI turva-aukot paikataan nopeasti.

	Re: weicco, 3.10.2006 11:43:17	Pisteet: 0

Eli, jos lasketaan vain julkaistujen bugien määrää eri selaimissa, ei lasketa samaa asiaa. Kaupalliset yrittäjät korjaavat bugeja tuotteistaan ilman, että niistä julkaistaan bugiraporttia, OSS ohjelmissa lasketaan taas kaikki.

Eli kun kaupallisten softien bugien lukumäärää ei tiedetä, voidaan hyvin heittää hatusta joku luku bugeista, joka on suurempi kuin OSS ohjelman vastaava, eikä tätä tarvitse perustella mitenkään?

Join me! Together we can rule the galaxy as father and son.

	Re: robsku, 3.10.2006 19:11:09	Pisteet: 0

huh huh, toivottavasti jokainen nyt tajuaa miten turvaton on niin turvalliseksi hekkutettu Firefox. Viimeviikolla kyseinen selain pääsi otsikoihin, koska siitä on löydetty eniten tietoturva-aukkoja vuoden sisällä.

Tässä mennään spekuloinnin puolelle, mutta kyse voi myös olla ihan yhtä hyvin siitä ettei firefox ole sen turvattomampi kuin muutkaan selaimet (ehkä jopa paljon turvallisempi, kuka tietää), mutta koska se on a) huippu suosittu ja b) avoimen lähdekoodin ohjelma johon panostetaan kunnioitettavalla tehokkuudella niin tietoturva-aukkojakin löytyy (ja korjataan) nopeammin kuin muiden selainten kohdalla jotka eivät joko ole niin suosittuja tai eivät ole avointa lähdekoodia - taikka mahdollisesti kummatkaan ehdot eivät täyty.

Itse olen aina käyttänyt IE-etä ja yhtään mitään ongelmaa ei ole ollut.

Jaa... Minulla on autotallissa hirven ja kärpäsen risteytys ;)

- Sir Robin * http://soul.fiveam.org/robsku/
! HackNBlog: http://salamanteri.homelinux.net/wordpress

	Re: sepeto, 3.10.2006 15:05:45	Pisteet: 0

Itse olen aina käyttänyt IE-etä ja yhtään mitään ongelmaa ei ole ollut.

IE:ssä on ongelmia pinnan alla enemmän kuin kukaan normikäyttäjä ymmärtääkään.
Web suunnittelijat joutuvat taistelemaan monia valideja sivuja erikseen IE:lle toimiviksi.
Muilla selaimilla vastaavaa ei ole. Ne joko tukevat CSS:ää tai eivät.. IE renderöin miten sattuu.

Ongelma vain ei näy normaalikäyttäjälle, koska sivujen tekijät ovat tietoisia, että jos sivu toimii se pitää erikseen kokeilla IE:llä.

Tässä esimerkki sivusta joka kaataa tietyt IE6 versiot. Ongelmaa ei ole vielä analysoitu, mutta lukekaa sourcet, niin huomaatte miten yksinkertaisiin asioihin se voi kaatua.

http://www.ee.oulu.fi/~sta/ie/

Kokeile IE:llä ja jollain muulla selaimella

	Re: mnvb, 4.10.2006 10:00:36	Pisteet: 0

http://www.ee.oulu.fi/~sta/ie/

Mielenkiintoista, itseltä meni koko verkko jumiin kun IE lähti yrittämään tuota sivua. Verkko nousi ylös vasta, kun killasin IE:n käsin.

IE:n versiona 6.0.2900.2180.xpsp_sp2.

Jos minä olen ihan dorka, niin on kyllä tuokin. -- Wagner

	Re: Rousku, 3.10.2006 18:08:03	Pisteet: 0

http://www.ee.oulu.fi/~sta/ie/

Tyylikäs, hyvin räjähti. IE:n versio oli 6.0.2800.1106.xpsp2.050301-1526

IE:n formielementit+CSS -yhdistelmä on yleensäkin murheenkryyni. Yleensä apuna on unohtaa kaikki periytyminen ja asettaa tyyli jokaiseen elementtiin luokan avulla. Sottaista koodiahan siitä tulee, mutta minkäs teet...

Onko pojat töissä Mikkisoftalla kun noin nauttivat Firefoxin bugeista?

	Re: punkki, 3.10.2006 02:30:23	Pisteet: 0

Onko pojat töissä Mikkisoftalla kun noin nauttivat Firefoxin bugeista?

SixApartilla (Movable Type, Livejournal jne). Olivat ilmeisesti sitä mieltä, että saavat muualta paremman hinnan bugeista.

	Re: lerje, 3.10.2006 10:03:13	Pisteet: 0

Onko pojat töissä Mikkisoftalla kun noin nauttivat Firefoxin bugeista?

SixApartilla (Movable Type, Livejournal jne). Olivat ilmeisesti sitä mieltä, että saavat muualta paremman hinnan bugeista.

Maksaako Microsoft eniten omista bugeistaan? Tällaiset bugimarkkinat ovat mielenkiintoisia. Mutta ovatkohan niin hämäriä, ettei asiasta tietävät uskalla mitään tänne kertoa.. ;)

	Re: punkki, 3.10.2006 10:30:47	Pisteet: 0

Maksaako Microsoft eniten omista bugeistaan? Tällaiset bugimarkkinat ovat mielenkiintoisia. Mutta ovatkohan niin hämäriä, ettei asiasta tietävät uskalla mitään tänne kertoa.. ;)

Microsoft ei maksa, muut kyllä:
http://blog.washingtonpost.com/securityfix/2006/02...

Microsoft luottanee julkisuuteen, joka tulee fixien julkaisun mukana.

Eikös tämä uutinen ole jo osoitettu ankaksi? Viime yönä olin lukevinani jotain sellaista. Tänä "aamuna" löysin enää tällaisen:

http://www.bloginfosec.com/?p=77

Firefoxissa piilee vakava tietoturvariski

Mozilla Firefox 1.5 julkaistiin

Secunia: IE:ssä useita aukinaisia haavoittuvuuksia

PNG-kuvaformaatissa tietoturvareikiä

Secunia julkisti tilastot ohjelmistojen haavoittuvuuksista

Mozilla Firebird vaihtoi nimensä Firefoxiksi