Segurança Máxima: Firefox por MESES distribuindo vírus em seu site oficial

Por: em 08/05/08 na(s) categoria(s): Internet, Segurança


Nada como o cheiro de falha de segurança pela manhã.

Foi revelado que o pacote de linguagem vietnamita (sim, existe eletricidade no Vietnã) continha um cavalo de tróia que infectava todas as máquinas em que era instalado. A Fundação Mozilla revela que pelo menos 16.667 usuários vietnamitas baixaram o arquivo. Do servidor OFICIAL de extensões do Firefox.

A contaminação existia desde fevereiro, mas só foi descoberta agora, pois à época em que foi enviado o arquivo contaminado, o vírus ainda não constava da lista de assinaturas suspeitas do software usado pela Fundação Mozilla para verificar seus programas.

Essa incrivelmente estúpida falha de segurança ocorreu devido a uma incrivelmente estúpida política de segurança no manejo de aplicações de terceiros.

A verificação de antivírus feita pelos incompetentes do Firefox era assim: O arquivo chegou; roda-se o antivírus. Se está ok, libera-se. A PRÓXIMA verificação só seria feita se o arquivo for atualizado pelo desenvolvedor.

SIM: Eles não faziam uma nova verificação quando o ANTIVÍRUS era atualizado. Sabem as atualizações diárias do Avast, e de tantos outros programas? IGNORADAS, se o arquivo contaminado passasse HOJE e o antivírus fosse atualizado amanhã, não adiantaria nada.

Agora que já era, mudaram a política. Todos os arquivos serão escaneados sempre que o antivírus for atualizado. O arquivo contaminado foi removido, o desenvolvedor inocentado (o pobre sujeito teve seu sistema em casa contaminado, não sabia que estava espalhando o malware) e um novo arquivo, limpo, disponibilizado.

Fonte: Wired

  • http://yawara.br.com Ubiratan.apo

    Realmente uma política no mínimo equivocada da Mozilla.

    Que as Flame Wars tenham início.

    yawara.br além da tecnologia.

  • http://www.fabiocardoso.com.br Fabião

    Lembrei de quando era criança, e, jogando de goleiro numa pelada, levei uma bolada nas partes baixas.

  • http://meiobit.pop.com.br/o-que-e-uma-salsinha Salsinha

    Lembrei de um Antivírus de uma empresa conhecida que já vinha com vírus. Na época trabalhava dando suporte e lembro de dizer: “sim, eu sei que você passou o antivírus que recebeu agora (novinho em folha), mas o problema é que o Antivírus está infectado e foi ele quem fez toda essa bagunça!”. :)

  • evertonmj

    só por via das dúvidas, vou passar o avast de novo lá em casa…

  • http://nodoadouniverso.wordpress.com puppy

    Ufa, ainda bem que não quis instalar o suporte a vietnamita…
    ________
    http://nodoadouniverso.wordpress.com

  • carloshp

    Sou usuário e defensor do Firefox mas, sem dúvida, foi uma falha grotesca de procedimento. Felizmente, ficou restrita a um grupo relativamente pequeno de usuários. Que esse susto aumente a paranóia do QA da Mozilla Foundation e permita assim que a gente continue a ter confiança no trabalho deles. Agora, fica a pergunta: houve algum caso em que o vírus tenha sido efetivamente executado ? Porque, pelo que eu sei, esses pacotes de linguagem são apenas dados (apesar de que, se forem empacotados como DLL’s de resources, podem até representar alguma ameaça, sim).


    Tecnologia deve ser o meio, não o fim.

  • Daniel Fonseca Alves

    Eu acho que passar antivírus quando for atualizado não resolve também não. Tá faltando uma fiscalização mais rigorosa.

  • http://yawara.br.com Ubiratan.apo

    Só se eles auditarem o fonte, imagine fazer isso para todos os plug-ins que eles recebem! :jawdrop:

    yawara.br além da tecnologia.

  • Rafael M.

    HAHAHAHAHAH Viva o open source! Viva a liberdade! Viva o compartilhamento de idéias e soluções!

    \o/ Viva! :D

  • Daniel Fonseca Alves

    No desenvolvimento do kernel Linux há uma pessoa que fiscaliza o trabalho e contribuição de outros para cada área envolvida.

    E tem muito código malicioso que pode passar pelo antivírus.

  • http://www.jlcarneiro.com/ jlcarneiro

    Concordo! Falha absurda!

    Mas isso me leva a pensar: como saber se organizações que distribuem outros software (inclusive software proprietário) passam os diversos service packs e pacotes de internacionalização por antivírus sempre que os antivírus são atualizados? ;-)

    jlcarneiro.com – Porque agora todo mundo é “pontocom”!

  • Hawk

    Por acaso este vírus não era um trojan? Por que se for, estes 16.667 serão uns 200.000, no mínimo.

    ————-
    Eu esqueço tudo, sou muito cabeçudo. \o/ < - Pessoa normal, eu -> \O/

  • http://yawara.br.com Ubiratan.apo

    Não sabemos, mas temos que confiar.

    yawara.br além da tecnologia.

  • hugojp

    Cuidado com o Avast!
    ele pode querer colocar seu Hardware em quarentena
    __________
    “Apenas duas coisas são infinitas: O Universo e A Estupidez Humana, e eu não tenho certeza sobre o universo.”
    Albert Einstein

  • MaRKauM

    Não acho que nem teremos muito flame nesse notícia… A não ser que tenhamos trolls, claro, então… er….bom… tá, teremos flame war sim… :P

    Quanto ao Firefox, nem tem o que dizer! Sou grande defensor e gosto muito dele, mas foi uma burrice enorme da mozilla! Nem tem como discutir!
    Espero que sirva de lição para ela e para outros também!

    Antes de fazer uma pergunta idiota, pesquise!

  • http://blogs.technet.com/fcima fcima

    Não se preocupa, daqui a pouco vai aparecer alguém dizendo que tudo isso é culpa da Microsoft…

  • http://www.fabiocardoso.com.br Fabião

    A equipe de contenção de danos da Mozilla já foi acionada.

  • http://blogs.technet.com/fcima fcima

    hahahaha sensacional! :)

  • MaRKauM

    HAHAHAHAHAHAHAHAHAHA!

    Ri alto aqui!
    :D :D :D

    Antes de fazer uma pergunta idiota, pesquise!

  • http://www.contraditorium.com Carlos Cardoso

     AUHUAUHAHUAUHUAAUHUAHUAAHU

     

    contraditorium.com

  • http://flavors.me/naio21 OMGWTFBBQ

    Isso me lembra aquele episódio em que a crApple distribuiu um lote de iPods Video com vírus.

    E os idiotas ainda aproveitaram da própria incompetência pra tentar empurrar mais Macs para os otá – digo – consumidores com a ladainha de sempre de que “OSX é mais seguro”, blá blá blá.

  • MaRKauM

    No máximo teremos algum MStard com o comentário:
    Tá vendo???????
    Vem Dizer agora que o Linux é mais seguro!!!!!!

    e um freetard:
    Não tem nada a ver! Isso é só o firefox, não o Linux! Além do mais, o vírus só deve afetar o windows, Linux não tem vírus…

    e um appletard:
    O que é Firefox? Navegador?? Mentira! O único navegador é o Safari, Jobs é meu senhor, iStuff não me faltará!

    }:) }:) }:) }:)

    Antes de fazer uma pergunta idiota, pesquise!

  • ghustavo

    Tambem adoro o Firefox, sou usuário ferrenho dele, adoro ele mas foi uma mancada em tanto

    I Work All Night, I Work All Day, to Pay de Bills I have to Pay
    Ain’t it sad

  • ghustavo

    Pô Fabião, não trablho mais hoje kkkkKKKkkkKKKKKkkkkkkKKKK
    :D :D :D ;) ;) ;) ;)
    HUAHAUHAUAHUAHUHAUHAU

    I Work All Night, I Work All Day, to Pay de Bills I have to Pay
    Ain’t it sad

  • garoa

    Esse malware instala uma DLL que, dentre outras coisas, abre uma porta no sistema.

    Linux não apenas não usa DLL, como também não permite a um programa sem privilégios sair abrindo portas — além de que geralmente instalações de plugins ou pacotes para o Firefox são por usuário, em sua pasta pessoal. Acho que usuários Firefox no Linux estão seguros.

  • emartsnet

    Jobs não perde a oportunidade neh? ehehehehe
    ______________________________________________

    http://www.codigofonte.net

  • garoa

    [quote]o vírus só deve afetar o windows[/quote]

    Mas isso é um fato. Você clicou nos links do Cardoso?

  • MaRKauM

    Eu não, pra quê?
    Pro Cardoso ganhar dinheiro com AdSense? }:)

    Antes de fazer uma pergunta idiota, pesquise!

  • Hawk

    HAHAHAHAHAHHAHAHAHA, muito bom, parabéns! :D :D

    ————-
    Eu esqueço tudo, sou muito cabeçudo. \o/ < - Pessoa normal, eu -> \O/

  • Rafael M.

    HAUAHAUHAHAUHAHAUAUHHAUAHAHAAHA

    Excelente!

    Faça uma versão em inglês e poste em fóruns da Mozilla :D

    Ficou muito show!

  • rafaelcdb

    Firefox eh bom, uso ele a MUITO tempo, e sim isso foi mancada, afinal o ser humano nao é perfeito, não me stresso com esse tipo de acontecimento afinal só precisei usar anti-vírus uma vez na vida quando eu estava aprendendo a lidar com computadores (Windows) lembro até hj, um maldito vírus que deixava o M$ Windows lento.

    OFF:
    Já venho a um bom tempo acompanhando o meiobit e sempre me divirto com a turma daqui, leio a noticia levada a serio em outros lugares e depois venho aqui dar umas risadas com a mesma noticia heuheueu afinal vcs tem o dom de tornar as noticias mais descontraídas :) vlw MaRKauM pela recepção :)

  • http://keaton.wordpress.com/ Keaton

    Winner. :P

  • http://keaton.wordpress.com/ Keaton

    Po.. isso é como tacar fogo no próprio corpo e falar que o ser humano é inflamavel, mas tudo bem..

    E essa não é a primeira vez, acho que já teve mais uma.

  • Wallacy

    MAis claro que a culpa foi a Microsoft… Prova que não foi!! ;)

  • Mauricio.Junior

    Eita ferro…. ai eh paia heim essa parada contaminando.

  • xultz

    Claro que pode abrir portas, desde que sejam acima de 1024. Se fosse assim não poderia rodar o Ktorrent como usuário, só como root.

  • http://www.jlcarneiro.com/ jlcarneiro

    [quote=Ubiratan.apo]Não sabemos, mas temos que confiar.[/quote]
    Pois é… Esse é o ponto… ;)

    jlcarneiro.com – Porque agora todo mundo é “pontocom”!

  • MaRKauM

    Soh eh truta, essa parada eh paia mermo! moh noiah aew!

    Antes de fazer uma pergunta idiota, pesquise!

  • garoa

    As que não importam…

  • http://f4lh4critic4.wordpress.com YinYang

    HUAHUAHUAHUAHUAHUAUhAUH!
    muito bom
    ______________________________________________________________
    http://f4lh4critic4.wordpress.com/ blee….og

  • http://www.highlanderbr.com Highlander

    E ninguém no Vietnã usa Anti-virus, pra informar isso antes?

    De qualquer jeito, meu lado Monk Tecnológico, de passar o AV em qualquer arquivo baixado, não importanto a fonte, ficou bastante feliz hoje :D

    Crônicas Imortais

  • http://muuzik.net/ gabrielcp

    se fosse linux…. se isso e aquilo… não importa, realmente foi uma negligência da equipe, acho que agora aprenderam a lição…

    http://blog.muuzik.net/ << participo aqui também…

  • deadman

    [mode troll on]É por isso que eu uso o IE [/mode troll off]
    Depois dessa, o FF nunca mais terá chance de competir com o IE, Safari, Opera, Netscape no vietnã. Mas se a mozilla utilizar essa equipe de contenção de danos, o Chuck Noris vai dar um roundhouse kick nesses navegadores e eles vão deixar de existir. :D :D :D

  • fabricamargo

    HUAUHAHUHUAHUAHUAHUA. No Sense meu!

    “Mantra de Ganesh: Vakratunda Mahaakaaya Suryakotee Sama Prabha Nirvighnam kuru mey Deva Sarva kaaryeshu Sarvadaa”

  • fabricamargo

    HUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHU. Satânico!

    “Mantra de Ganesh: Vakratunda Mahaakaaya Suryakotee Sama Prabha Nirvighnam kuru mey Deva Sarva kaaryeshu Sarvadaa”

  • MaRKauM

    Acho que você fechou a tag mode troll antes do que deveria, não? :P

    Antes de fazer uma pergunta idiota, pesquise!

  • deadman

    Nunca tive vontade de apender html, eu acho um saco a quantidade de tags que existem, sei que tenho que fechar cada tag que utilizo. Seria bom que algum editor coloque ela no lugar

  • cwaster

    Wallacy, só para alimentar a brincadeira:

    Trata-se de prova negativa, conhecida também como prova impossível ou prova diabólica. Caso de aplicação do princípio da carga dinâmica da prova, o qual informa que o ônus da prova cabe à parte que melhores condições tem de produzi-la. Neste caso, devem provar que ela é culpada e não o contrário. :P

    Microsoft, meu telefone é XXXX-YYYYYY e minha OAB é XXXX-Y, caso queiram me contratar como AdEvogado estamos aí!

    Assinatura?
    Só na presença de meus advogados!

  • Rafael Vasconcelos

    O Fabião merece uma sessão semanal. :)
    Será que ele vai ganhar outro pen drive ?

    ————————————————————–

    Quer aprender idiomas online e de gratis, http://www.livemocha.com/

  • MaRKauM

    :?

    era uma piada, uma vez que você continuou com comentários agressivos depois da tag fechada…

    Antes de fazer uma pergunta idiota, pesquise!

  • rafaeldp

    Eu estava refletindo sobre a frequencia de atualizações de segurança do IE, Firefox e Opera, e tava pensando que as vezes maior quantidade de atualizações de segurança as vezes nao significa mais segurança. E com isso vi que o firefox poderia ser um browser com tamanho potencial para ser uma Mer** em matéria de segurança e que talvez só estaria se dando bem por conta de somente 11% ( eu acho que é isso, me corrijam se estiver errado) do mundo usa firefox enquanto 90 e blau usa IE…Aí com essa notícia perdi meu encanto com o firefox e voltei para o querido e amado Opera que nunca me decepcionou! Aconselho quem nunca usou, usar! ABS!

  • Bigode

    Hum, mais um motivo pra eu não usar a versão do firefox localizada :P .

  • http://luizclaudioeudes.blogspot.com/ Luiz_Claudio_Eudes

    Eu me lembro de ter visto a um bom tempo (entre 2001 e 2003), que uma tradução do M$ Office para alguma língua asiática (Não lembro exatamente qual, e to com preguiça de olhar na minha pilha de revistas pra descobrir) vinha com um vírus e a Microsoft culpou a “empresa responsável pela tradução”

    P.s.: Também achei que a Microsoft fazia suas próprias traduções!

    _____________________________________
    Assinatura?

    Nem pensar, não entenderiam minha letra!
    Minha sorte e que meu Blog não é manuscrito!

  • http://luizclaudioeudes.blogspot.com/ Luiz_Claudio_Eudes

    Concordo, depois dessa ele merece uma sessão semanal!

    P.s.: Nunca ri tanto!!! :P

    _____________________________________
    Assinatura?

    Nem pensar, não entenderiam minha letra!
    Minha sorte e que meu Blog não é manuscrito!

  • http://luizclaudioeudes.blogspot.com/ Luiz_Claudio_Eudes

    No Vietnã os poucos que usam antivírus, usam aqueles gratuitos que não funcionam! :P

    P.s.: Legal saber que não sou o único “Monk Tecnológico” que passa o antivírus em tudo e mais um pouco :)

    _____________________________________
    Assinatura?

    Nem pensar, não entenderiam minha letra!
    Minha sorte e que meu Blog não é manuscrito!

  • cafuin

    Que nada, em alguns sites de downloads os softwares são identificados com selos “Adware free” e “Virus Free”. Então é super seguro ! :)

  • v1d4l0k4

    Faltou colocar o mode TARD em ON, salsinha. BTW, ô reflexão héin?! Tu não tá pensando em ser psicólogo não, tá? :?

    A porcentagem você realmente errou: 11 + 90 = 101, sem contar os outros navegadores. Ah, o percentual do Firefox é maior, e não se esqueça do Safari, do Opera, do… ;)

  • v1d4l0k4

    Pegou o bonde andando e postou na notícia errada ou é tard o suficiente pra ler tudo o que já foi dito e ainda assim postar isso? :?

  • deadman

    Acho que ainda sou uma salsinha em detectar algumas ironias. :( Realmente, o estilo Cardoso de comentar tá contagiando o pessoal do meio bit :)

  • http://meiobit.pop.com.br/o-que-e-uma-salsinha Salsinha

    Viva o open source! Viva a liberdade! Viva o compartilhamento de vírus no Linux! Ops… me empolguei. :)

    JulianaPrado 2.0 detected.

  • v1d4l0k4

    JulianaPrado 2.0 detected.

    Onde posso baixar? :?

    }:)

  • leondeniz

    tem eu tambem…rss
    ja cheguei a usar ao mesmo tempo..
    avast.
    comodo firewall
    ciberhawk
    narf
    blast
    Spyware Guard
    Spybot
    vivia vigiando as portas… scaneandooo…
    afff

    -Crendo ou não, um dia voce vai acertar contas com Deus, prepara-te, aproveite o tempo da graça.

  • garoa

    Me parece que ele esqueceu da tag [sarcasm]… :P

  • garoa

    Se empolgou mesmo! Esse malware aí é na forma de uma DLL Windows.

  • http://meiobit.pop.com.br/o-que-e-uma-salsinha Salsinha

    Esqueci de por a tag ironia. ;)

  • Wallacy

    Prova que é impossível!!!

  • http://blog.cobline.com Cobalto

    “11 + 90 = 101″ [2] :D

  • MaRKauM

    Além do modo salsinha+tard on, do 101%, alguém sabe me dizer o que é “Blau”? uhauhauhauhauhauhauhha

    Antes de fazer uma pergunta idiota, pesquise!

  • MaRKauM

    Eu sempre tive a mania feia de ser muito irônico… }:)

    O legal é que aqui não sou o único! Mas não se preocupe rapaz, você aprende com o tempo… :P

    Antes de fazer uma pergunta idiota, pesquise!

  • MaRKauM

    Ainda mais no vietnam…

    Antes de fazer uma pergunta idiota, pesquise!

  • cwaster

    HAuhauhauhauha

    De acordo com a Adidas (http://www.adidas.com/campaigns/iin/content/index.asp?adidas_cc=br) não tem como Provar…hehehehe

    Assinatura?
    Só na presença de meus advogados!

  • http://flavors.me/naio21 OMGWTFBBQ

    Quer dizer que se o cara não gosta do Firefox ele é salsinha? :?

    Firefoxtards, essa modalidade é nova pra mim… ;)

  • Trap

    Eu ouvir dizer que era melhor browser do mercado ? Huh ?
    Pelo menos o IE nunca veio com virus…

  • http://magno-naval.blogspot.com magno

    Ele não precisa.

  • http://flavors.me/naio21 OMGWTFBBQ

    Ô maldade… :D

  • MaRKauM

    Cara, o texto tá todo confuso, mal escrito e o cara ainda encontrou 101% de usuários… }:)

    Se ele estivesse falando do Opera, ou do IE, ou até mesmo do Lynx, continuaria sendo uma salsinha… :P

    Agora pode acalmar os ânimos, niguém falou da sua amada e querida MS… ;)

    Antes de fazer uma pergunta idiota, pesquise!

  • MaRKauM

    O browser é bom mesmo (ao menos eu gosto), a equipe da Mozilla que vacilou MUITO ao não escanear seus arquivos corretamente. ;)

    Quanto ao IE… bem… esquece, não vou iniciar uma flamewar por fazer a clássica piadinha com os produtos da MS… :P

    Antes de fazer uma pergunta idiota, pesquise!

  • v1d4l0k4

    Essa história está muito mal contada. Se o o cara (tradutor) não fez nada, e o arquivo foi infectado sozinho, que risco poderia apresentar?

    xx-XX.xpi (mesma coisa que ZIP)
    – chrome
    —- chromelist.txt
    —- xx-XX.jar (mesma coisa que ZIP)
    —- locale
    —— vários diretórios com dezenas de arquivos .dtd e .properties (texto puro)
    – chrome.manifest (texto puro)
    – install.rdf (texto puro)

    Ou seria uma injeção na arquitetura de compactação que faria que o descompactador ativasse o código? :?

    De resto, só se alguém realmente modificou as coisas, o que não seria um vírus que iria fazer. :jawdrop:

  • http://meiobit.pop.com.br/o-que-e-uma-salsinha Salsinha

    O que tem dentro do .jar? Algum código a ser executado pelo FF? Pode estar aí o perigo.

  • v1d4l0k4

    O JAR ali funciona como um ZIP qualquer, contendo dezenas de diretórios e dezenas de arquivos .dtd e .properties (que são texto puro, da mesma forma que .txt).

    A não ser que o formato JAR (ou até mesmo o XPI) permita injetar códigos. Aí, como o Firefox usa os arquivos, ele logicamente “descompacta” o XPI/JAR (on-the-fly). Deve ser isso então. :sick:

  • http://meiobit.pop.com.br/o-que-e-uma-salsinha Salsinha

    Sim. Arquivo jar é um arquivo compactado, mas pode conter código (e normalmente contém .class Java). O arquivo Manifest dentro dele vai indicar por exemplo qual a classe principal a ser executada.

    Um jar pode ser executado assim:
    > java -jar arquivo.jar

    Outros detalhes é com o pessoal que trabalha com Java. Sobre ter arquivos maliciosos dentro do jar é possível (assim como pode ter dentro de um .zip).

    [modo salsinha=ON]
    Minha dúvida é: se for colocado um código “malicioso” em Java, poderia afetar qualquer sistema, certo? Obviamente só causaria algum mal àqueles que permitem isso.
    [modo salsinha=ON] (se eu não quiser eu não fecho a tag!)

  • Bigode

    Até que eu saiba o firefox não roda qualquer coisa java, portanto é impossível injetar código java em qualquer pacote. O suporte a applets java é feito por plugins externos e talz.
    Algumas das configurações deles ficam em pacotes jar. O formato jar é baseado no formato do pkzip, mas suporta alguns recursos adicionais como assinaturas, que são importantes pra projetos fsf e essas coisas.

  • v1d4l0k4

    Bah, eu havia olhado a estrutura em partes. Agora, dando um “dir -1 -R pt-BR.xpi” eu vi que constam também arquivos .xhtml (ignorância minha, e as páginas de ajuda?). Quando estava desconfiando do XHTML, fui ler o Planet Mozilla no Google Reader, já que eu atrasei minha leitura diária. :D

    Foi aí que acabei encontrando isto: http://blog.mozilla.com/ftr/2008/05/08/vietnamese-language-pack-faq/

    Como dito pelo Asa Dotzler, o “vírus” (exploit adware, eu diria) representa menos perigo que o que fora disseminado pela mídia e foi, obviamente, atingido por menos pessoas que o divulgado.

    Encontrei maiores informações na PC World e no Mozilla Security Blog:

    http://www.pcworld.com/businesscenter/article/145617/mozilla_firefox_plugin_shipped_with_malicious_code.html
    http://blog.mozilla.com/security/2008/05/07/compromised-file-in-vietnamese-language-pack-for-firefox-2

    Ah, o nome do fanfarrão é W32/Fujacks!htm. ;)

  • http://luizclaudioeudes.blogspot.com/ Luiz_Claudio_Eudes

    [quote=OMGWTFBBQ]Firefoxtards, essa modalidade é nova pra mim… ;) [/quote]

    Pelo menos são menos agressivos que os OperaTards :P

    _____________________________________
    Assinatura?

    Nem pensar, não entenderiam minha letra!
    Minha sorte e que meu Blog não é manuscrito!

  • http://luizclaudioeudes.blogspot.com/ Luiz_Claudio_Eudes

    Antes fosse!

    Ele só dize a verdade }:)

    _____________________________________
    Assinatura?

    Nem pensar, não entenderiam minha letra!
    Minha sorte e que meu Blog não é manuscrito!

  • http://www.contraditorium.com Carlos Cardoso

    Ah, as Firetards tentando tampar o sol com a peneira…

    No bugzilla:

    https://bugzilla.mozilla.org/show_bug.cgi?id=432406

    Severity:
    critical

    Critial não representa muito perigo? Só vale quando for "severity: end of times"? E chamar o vírus de "exploit adware" é dose. 

  • http://blogs.technet.com/fcima fcima

    O bug report é uma leitura fascinante. A melhor parte é quando alguém dá a sugestão óbvia de passar o antivirus toda vez que chegar uma nova assinatura:

    Ideally, yes, except that we get new definitions on average every 6 hours or so
    and it takes over a week to virus scan the entire ftp server. Getting monthly
    scans is in the plan for the new stage server once we get it working.

    Ou seja, o servidor é muito lento, por isso nós só vamos rodar o antivirus UMA VEZ POR MÊS!

    Se bem que, considerando que eles não rodavam antivirus NUNCA, já é um avanço. Go Mozilla!

  • http://yawara.br.com Ubiratan.apo

    Já estou me acostumando com esse comportamento dos Pandas Vermelhos.

    Se você ler os comentários deles sobre o Acid3 você vai ver que vai por aí também. Acho que eles são as comunidade tard mais radical que existe. Nada do que eles fazem é reprovável e o que eles não fazem não importa.

    yawara.br além da tecnologia.

  • Bigode

    Cardoso, você poderia ser gentil e ler toda a discussão, não só o título.

    O critical foi deixado lá pelo cara que descobriu o bug. Sim, critical representa crítico. Como bug, ele é crítico, basicamente algo que deve ser resolvido PRA ONTEM. Mas como falha de segurança, ela não é tão perigosa assim como A MÍDIA TENDENCIOSA(tm) alardeou.

    O que aconteceu basicamente, foi que um dos desenvolvedores pegou um worm/vírus que “infectava” documentos html e xhtml, injetando neles um código javascript que abria popups chatos quando a página era carregada no navegador. Alguns desses foram parar no meio do pacote.

    Ou, no inglês quebrado da própria vítima:
    [quote]Sorry for the inconvenient!
    I’ve found that translated help files was modified by a virus, come from China.
    I’m so busy these days, but I’ve cleaned up malicious code. The new fresh pack
    coming soon.
    Thanks![/quote]

    Os antivírus pegam o arquivo como infectado como vírus, afinal, o código javascript injetado é um claro sintoma de infecção. Mas, felizmente, o vírus não se propaga dessa maneira. Se o cara tivesse pegado aquele vírus tosco que sobreescrevia em todos os documentos de texto ou texto formatado “I WANT TO PLAY TETRIS!” seria mais divertido.

    Concluindo, o VÍRUS que foi distribuído pro usuário tailandês no máximo exibe um popup chato quando ele abre a ajuda (e eu nem tenho certeza de que o javascript é habilitado nos documentos de ajuda do firefox).

    Ou, em versão curta:
    Bug crítico? Sim.
    Falha crítica de Segurança? Não.
    Sintoma de infecção por programa malicioso? Sim.
    Vírus? Só se você for um antivírus.

  • v1d4l0k4

    Obrigado por explicar a diferença entre um bug crítico e uma falha de segurança crítica. ;)

    Não sei de onde pode se tirar a conclusão de que havia um vírus dentro do pacote de idiomas. Aliás, ao contrário do que foi dito, ele afetou todas plataformas. Afinal, um pacote de idioma é cross-platform. Vírus foi aquele que, hospedado na máquina do tradutor vietnamita, percorreu o sistema dele por arquivos XHTML (dentre outros). Sem perceber o problema, ele enpacotou em XPI/JAR e enviou pra fundação Mozilla. Como os antivírus não detectavam, passou batido. Ainda assim, como dito pela mídia responsável (aquele que não incita flamewars), os arquivos XHTML foram injetados por simples trechos JavaScript de propaganda, o que é inpropagável e inofensível para se chamar de crítico. Isso tem nome: adware.

    Quanto ao número, também é errado afirmar que foram 16.667 usuários. Como dito nas notícias, esse número de downloads é contabilizado desde novembro passado. E o ocorrido, deu-se em fevereiro.

    Nada de fanatismo. Eu uso e evangelizo o Firefox sim, mas de forma responsável. Algo que é muito diferente de acreditar e disseminar uma notícia que já mudou substancialmente de conteúdo desde a ocorrência. ;)

    []‘s

  • http://yawara.br.com Ubiratan.apo

    Errado, não pode ser classificado como bug pois não era um problema inerente ao Firefox.

    Na verdade é uma falha crítica de segurança, o procedimento era errado, poderia ter ocorrido com qualquer add-on do Firefox, era só criar um novo malware incluí-lo em um add-on e voilá, vários usuários Firefox infectados, o caso de ser um adware foi sorte da Mozilla, poderia ser coisa muito pior.

    yawara.br além da tecnologia.

  • v1d4l0k4

    Sobre o Acid3, Ubiratan, tem que se entender o ocorrido.

    Primeiro, o teste foi lançado com o Firefox 3 já em fase de desenvolvimento final. Isso quer dizer que nenhuma mudança radical em APIs poderia ser feita, visto que levaria tempo para checar se as mudanças, se aplicadas, produziria problemas. Se você for um leitor assíduo do Bugzilla/Bonsai Bugs/Bonsai CVS Checkins como eu, irá notar que as coisas são bem diferentes do que se prega. O QA (controle de qualidade) da fundação Mozilla é extremamente rígido ao ponto de que, se algo de errado, ou não se lança a versão ou não inclui tal funcionalidade na versão. Por acaso sabe quando irá ficar pronto o Firefox 3? Quando estiver pronto. As expectativas são para junho, mas sem data definida. A metodologia é muito diferente do sistema Ubuntu, por exemplo, que trabalha com datas. A fundação Mozilla trabalha com metas. E por trabalhar com metas, se algo entra em code freeze, esqueça.

    Não sei se leu, mas aí vai: http://shaver.off.net/diary/2008/03/27/the-missed-opportunity-of-acid-3

    Estas são as palavras de Mike Shaver, um contribuidor muito conhecido da Mozilla. Se você ler nos comentários, irá ver Ian Hickson, ninguém menos que o autor principal do Acid3, pedindo desculpas pelo ocorrido. Afinal, ninguém foi avisado de nada, e o Acid3 se tornou público numa data em que Mozilla e Microsoft estavam unicamente direcionados na fase final de seus navegadores.

    Outro ponto: Acid3 virou disputa. Você por acaso chegou a ficar sabendo o que os caras do WebKit estavam fazendo?
    De que adianta, meu caro, não ter nenhum suporte dos cento e tantos itens do SVG e implementar 6 apenas para ter 100% no Acid3? De que adianta, meu caro, fazer uma gambiarra no código somente para ganhar 1 ponto no Acid3? Lê o ocorrido da equipe do WebKit e você certamente terá outra perspectiva do assunto.

    A meta da Mozilla, ao se tratar do Acid3, é: corrigir pequenos problemas que não demandem de alterações críticas de APIs. De que adianta atingir 100% e, de quebra, lançar um produto instável ao público?

    Porque a equipe do Opera trabalhou na versão pós-9.5? Simples, não daria pra fazer o mesmo feito na 9.5. Considere a futura versão do Opera o mesmo que a Mozilla fará. Isto é, Acid3? Somente plataforma Gecko 2. Em outras palavras: Firefox 4.

    De que adianta implementar suporte específico de SVG (exemplo) somente para passar no Acid3? A meta da Mozilla é clara e objetiva: implementar o maior suporte possível ao SVG (neste exemplo em específico). Depois disso, vem o Acid3, que servirá a comprovação do suporte. Ou seja: a intenção é que o Acid3 seja somente uma ferramenta que exponha a qualidade da implementação já feita. E não uma ferramenta que dite o que deve ser feito, pois desta maneira será apenas mais uma jogadora no jogo de quem (hipotéticamente) faria mais. ;)

    Sacou? Acid3, como pode ver, não quer dizer nada. O WebKit, por também ser de código-aberto, é uma prova cabal disso. ;)

    Desculpe pelo texto enorme, mas acredito que foi necessário. Lembre-se: o Acid3 não é aquilo que a mídia (tendenciosa) insiste em pregar.

    []‘s

  • v1d4l0k4

    A classificação de bug é simples: feature request é bug, falha é bug, unit test é bug… Tudo é bug. E como bug, é um bug crítico, por ter empacotado arquivos com adware.

    Falha crítica de segurança é aquela reportada pelos órgãos competentes, e que realmente compromete o usuário. O que sabemos que não é o caso.

    Essa história de incluir um novo malware em uma extensão qualquer e liberá-la ao público foge muito da realidade. Já tentou fazer isso? ;) O que aconteceu é um caso isolado e muito específico. Ou incluir um JavaScript de propaganda apresenta riscos? É bom lembrar que os antivírus NÃO detectaram o arquivo.

    Procedimento errado?

    1. Foi, claro, em não ter imaginado tal hipótese e criado uma ferramenta para analisar o conteúdo dos arquivos empacotados. (eu gostaria de saber quem faz isso…)

    2. Foi, claro, em ter usado (o responsável pelo pacote) um sistema inseguro. Atenção, salsinha de plantão: inseguro não no sentido de que ele pegou vírus porque usava Windows, inseguro no sentido de que algo poderia acontecer sem o consentimento dele. Afinal, usar Linux e haver possibilidade de intrusos operarem o sistema daria na mesma. ;)

    []‘s

  • Bigode

    Foi classificado como vírus pq os antivírus pegam. E os antivírus tão corretos, já que o código injetado é um sintoma.

  • v1d4l0k4

    Entendo… E se o cara colocasse o mesmo JavaScript propositalmente? Não seria um código injetado por um vírus, e os antivírus iriam acusar o mesmo vírus. Vírus foi aquele que ocasionou o problema. O problema, em si, não é um vírus. Isso que eu quis dizer e que os antivírus não sabem diferenciar. ;)

  • cafuin

    Que bom saber que vocês na MS são assíduos visitantes do site da Mozilla.

    Mesmo com esse amadorismo que mostraram no processo de segurança, conseguem fazer um browser muito bom. Podem ser uma boa influência para MS.

  • Bigode

    [quote]Mozilla is providing links to these applications as a courtesy, and makes no representations regarding the applications or any information related there to. Any questions, complaints or claims regarding the applications must be directed to the appropriate software vendor.[/quote]
    Da página de add ons do firefox.

  • Bigode

    Pra que diabos passar antivírus em todo o bagulho?

    O usuário final só baixa as atualizações oficiais, o servidor ftp serve pra versões antigas, alphas, betas e nightlys, mais cvs e um monte de coisa.
    O usuário final vai usar o instalador oficial ou o pacote da distro dele (que é auditado pelo pessoal da distro dele). Esse sim pode e deve ser escaneado sempre que necessário.

    Also
    [quote]Responsibility of Website Users. Mozilla has not reviewed, and cannot review, all of the material, including computer software, available on or by means of Mozilla’s websites, and cannot therefore be responsible for that material’s content, use or effects.

    You are responsible for taking precautions as necessary to protect yourself and your computer systems from viruses, worms, Trojan horses and other harmful or destructive content.
    …[/quote]
    http://www.mozilla.com/en-US/about/legal.html

  • http://yawara.br.com Ubiratan.apo

    Acho que você deveria baixar o último build do Webkit e rodar estes testes, você iria ficar surpreso com o suporte a SVG.

    Se quiser saber mais leia isto, isto, isto, e isto.

    Parece que o Acid3 valeu para alguma coisa afinal, eles não pararam no pouco que necessitava para implementar.

    [quote]Outro ponto: Acid3 virou disputa. Você por acaso chegou a ficar sabendo o que os caras do WebKit estavam fazendo?[/quote]

    Sim, soube. Acharam vários bugs no Acid3. ;)

    Por sinal o WebKit já até está em condição de inovar em relação ao SVG.

    [quote=Bugzilla@Mozilla – Bug 410460]
    Darren VanBuren 2008-03-05 22:38:36 PDT
    we are falling behind webkit. they can do 90 of the tests while we only can do
    66. we need to look at their code and see how things work there.

    John 2008-03-11 09:01:44 PDT
    I think no one cares if this cames 1 month later or sooner… the important is
    that it cames free of bugs…
    if there is a bug then it should be fixed before the final release.

    And passing the Acid3 Test would be great, would bring confidence to users and
    would make a lot of publicity to Firefox (specially if it was the first browser
    to do so!)[/quote]

    Me parece que quem estava tratando isso como competição e material de marketing eram os desenvolvedores do Firefox. }:)

    Se o Acid3 era só para validar a implementação SVG, por que o pessoal da Mozilla estava trabalhando com esta planilha? Não seria mais coerente uma planilha para toda a SVG, não somente para o que era necessário para passar no Acid3?

    yawara.br além da tecnologia.

  • http://yawara.br.com Ubiratan.apo

    Você não entendeu o que escrevi.

    yawara.br além da tecnologia.

  • v1d4l0k4

    Cara, na boa, tu está querendo o que com isso? Não entendo onde quer chegar…

    Venho compilando o WebKit todo os dias, que está rodando sob o browser Midori. Eu sei o que o WebKit tem de bom ou de ruim. Quando eu disse SVG, eu fui infeliz em não mencionar animação (animação SVG = SMIL).

    Notícia da época: http://blog.codedread.com/archives/2008/03/26/webkit-nightly-not-smiling

    Até então, o suporte a SMIL era exclusivo pro Acid3. O WebKit atingiu 100% na b31356. Hoje, já estão na b33029. Continuaram? Continuaram, sim. Até mesmo porque, o suporte do Opera dava de dez a zero. :P

    Quanto as notícias, eu assino o feed Planet WebKit, li assim que as mesmas foram divulgadas. Tal como assino o Planet Mozilla e o Opera Desktop Blog.

    A notícia do bug do Acid3 eu também li. Foi até engraçado. Quem não deve ter gostado foi o pessoal do Opera, único concorrente da disputa que, inclusive, já tinham divulgado os 100%, que na verdade, por causa do bug, eram 99%. Bola fora. E ter descoberto o bug não me “choca”, afinal, eram os competidores mais envolvidos.

    Chegou a ler o changeset 31322? Leitura recomendada: http://trac.webkit.org/changeset/31322. Leia a parte do workaround. ;)

    Quanto as palavras do Darren e do John, entenda que a Mozilla é uma comunidade. Cada um tem o direito de pensar/dizer o que quiser. Mas por ser exatamente uma comunidade, as coisas andam conforme o parecer de toda comunidade. É controverso de tua parte citar isto e saber que nada disso foi realmente feito.

    Sobre a planilha, sim, ela é do Acid3. E foi criada justamente por uma contribuidor que queria obter 100%. E ficou querendo, quando viu que havia coisas que não dariam pra ser feitas naquela altura do campeonato. Ao menos ela serviu para traçar as metas dos interessados em trabalhar no teste Acid3 após o lançamento da Gecko 1.9. :) Quanto a uma planilha para o SVG, não é necessário, o próprio SVG Test dá muito bem conta do recado. ;)

    []‘s

  • v1d4l0k4

    Então poderia explicar em outras palavras? :?

  • http://www.fabiocardoso.com.br Fabião

    [quote]Falha crítica de segurança é aquela reportada pelos órgãos competentes, e que realmente compromete o usuário. O que sabemos que não é o caso.[/quote]

    Porque não é o caso?

    Não é o caso deste “vírus” (inofensivo por sí). Mas, o ato da Mozilla de permitir que os arquivos vindos das traduções acessem certos locais do browser que não deveriam é sim, uma falha crítica de segurança.

    O cara do código malicioso poderia ter deitado e rolado no browser, tudo porque a Mozilla não tem um controle decente do que entra e sai do código de seu navegador.

    Não adianta usar AV, alguém lá de dentro tem de OLHAR o código e VERIFICAR se o mesmo não está fazendo besteira no browser. As extensões não, isso fica a cargo de quem instala. Mas, código do browser e traduções, é obrigação deles se certificarem antes de permitirem a inclusão.

    O malware? Insignificante, alcance mínimo e dano menor ainda. Já a sensação de insegurança que estes patetas provocaram é imensa.

  • http://yawara.br.com Ubiratan.apo

    Não tente se explicar que complica mais. ;)

    Já conhecia esse changeset do webkit, é justamente com relação ao último bug do Acid3 descoberto.

    Eu acho que os pandas vermelhos deveriam se preocupar menos com o código do WebKit e trabalhar em seu próprio código. Por sinal eu estou achando que uma grande fonte de código para a Mozilla é a base do WebKit. Como esse pessoal gosta de fuçar no código dos outros!

    yawara.br além da tecnologia.

  • v1d4l0k4

    Porque não é ocaso?

    Não é o caso porque não é uma falha de segurança do navegador. Nem uma falha de segurança do pacote de idiomas. É uma falha de segurança no método em que se trabalha com o empacotamento de tais pacotes de idioma.

    Não é o caso deste “vírus” (inofensivo por sí). Mas, o ato da Mozilla de permitir que os arquivos vindos das traduções acessem certos locais do browser que não deveriam é sim, uma falha crítica de segurança.
    Não deveriam porquê? Como traduzir páginas XHTML que devem ser traduzidas? Já viu quais arquivos são e qual a finalidade deles no navegador?

    Não adianta usar AV, alguém lá de dentro tem de OLHAR o código e VERIFICAR se o mesmo não está fazendo besteira no browser. As extensões não, isso fica a cargo de quem instala. Mas, código do browser e traduções, é obrigação deles se certificarem antes de permitirem a inclusão.
    O problema é que pacotes de idioma são extensões. E os responsáveis, os tradutores. Faltou sim uma verificação como o comando diff do Linux, mas o pacote é de única e exclusiva responsabilidade do tradutor. Aliás, o pacote vietnamita estava no site de add-ons, uma vez que não se trata de uma pacote de idiomas oficial (isto é, não existe oficialmente um Firefox vietnamita).

    O malware? Insignificante, alcance mínimo e dano menor ainda. Já a sensação de insegurança que estes patetas provocaram é imensa.
    Verdade. Mas a maior sensação de segurança veio com o enfoque tendencioso da mídia. Enfim, ao menos serviu de exemplo para aumentarem o controle de segurança do pessoal responsável pela publicação das extensões ao público. ;)

    []‘s

  • v1d4l0k4

    Não tente se explicar que complica mais. ;)

    Perdendo a compostura? :?

    Já conhecia esse changeset do webkit, é justamente com relação ao último bug do Acid3 descoberto.
    Positivo. E desconhecendo o bug no teste, é mais fácil fazer uma gambiarra, só pra ganhar um ponto, né? ;)

    Como já dizia o Ian Hickson…

    This would affect any browser, but only on Mac. Unfortunately, the WebKit team “fixed” this problem by simply hard-coding the Ahem font and making it not antialias.

    Eu acho que os pandas vermelhos deveriam se preocupar menos com o código do WebKit e trabalhar em seu próprio código. Por sinal eu estou achando que uma grande fonte de código para a Mozilla é a base do WebKit. Como esse pessoal gosta de fuçar no código dos outros!
    Como se eu fosse um desenvolvedor da Mozilla e eu representasse as ações de seus desenvolvedores… Eu esperava argumentos mais consistentes. :(

    []‘s

  • Bigode

    A função mais importante do antivírus é detectar vírus, e de certa maneira eles estão corretos ao dar um ‘falso positivo’ num caso desses ;p
    Afinal houve uma infecção.

  • Bigode

    Ele diz que há um ‘bug’, ou melhor, uma falha crítica de segurança no modo como o pessoal da mozilla trata as extensões de terceiros. Apesar do disclaimer na página e tudo.

    @Ubiratan – Você está absolutamente errado quando diz que o ‘caso’ não pode ser classificado como bug. Houve um bug sim, e a descrição dele está correta – foi encontrado ‘vírus’ em pacote tal quando escaneado com tais antivírus. Isso *É* um bug.

  • v1d4l0k4

    Sim, eu quis dizer de acordo com o título tendencioso da notícia: “Firefox por MESES distribuindo vírus em seu site oficial”

    No máximo, devem ter pego uma gripe… ;)

  • v1d4l0k4

    [ironia]Se não fosse no Firefox, seria bug. Como é no Firefox, é falha de segurança, e crítica, por sinal.[/ironia]

  • Bigode

    Bem, eu assino o Threat Level também, as matérias de lá são ótimas. E o título deles é igualmente tendencioso. Mas quando eles postaram a notícia ainda o negócio ainda não tinha sido cavado a fundo e talz.

    Além do mais numa situação dessas o interessante (pra mídia e pra comunidade) é soltar o verbo logo. Até pq as coisas são arrumadas mais rápido assim.

  • Bigode

    @Ubiratan

    Eu não sei se isso do pessoal do Mozilla usar código do webkit é verdade e nem quero saber. Mas se for, qual o problema? A licensa do webkit permite…

  • Bigode

    Qual arquivo vindo da tradução acessa qual local do browser que não deveria?

    Se você ver a thread vai ver que a política interna deles já dizia que não devia haver javascript nos arquivos de ajuda dos language packs, e também qualquer arquivo não necessário (tipo ‘aumenteseupenis.exe’). Daqui pra frente os pacotes de localização vão ser duplamente checados e essas coisas. Sem esquecer o disclaimer na página de add ons do mozilla.

    Se o software tivesse sob o meu controle, seria mais rigoroso ainda e não aceitaria localização alguma que mexesse com os atalhos de teclado e com os menus do programa, como a localização pra português do brasil – que eu pessoalmente não uso – faz.

  • http://blogs.technet.com/fcima fcima


    Pra que diabos passar antivírus em todo o bagulho?

    Para evitar colocar malware no pacote de idioma do Vietnam?

  • http://blogs.technet.com/fcima fcima


    Não é o caso porque não é uma falha de segurança do navegador. Nem uma falha de segurança do pacote de idiomas. É uma falha de segurança no método em que se trabalha com o empacotamento de tais pacotes de idioma.

    É uma falha de segurança do navegador. Causado pela falta de segurança no método que o Mozilla produz os seus pacotes de idioma, somado com o fato dos pacotes de idioma executarem scripts, somado com o fato do repositório não rodar verificar regularmente o seu conteúdo contra malware.


    Enfim, ao menos serviu de exemplo para aumentarem o controle de segurança do pessoal responsável pela publicação das extensões ao público.

    Claro. Eles agora vão rodar antivirus… (entra o Dr. Evil) UMA VEZ POR MÊS! :)

  • http://blogs.technet.com/fcima fcima


    Se você ver a thread vai ver que a política interna deles já dizia que não devia haver javascript nos arquivos de ajuda dos language packs, e também qualquer arquivo não necessário (tipo ‘aumenteseupenis.exe’).

    E daí se existe esta política? Qualquer iniciante em segurança sabe que não adianta nada ter uma política se não existem controles para garantir que ela seja cumprida. “Trust but verify”.

    Uma política que diz que não deve haver script nos arquivos de ajuda não tem nenhum valor se o Firefox executa os scripts que estão lá. Uma política que diz que não deve haver malware não vale nada se ninguém verifica.

    Por fim, colocar disclaimer de advogado resolve o seu problema com a justiça, mas não adianta nada para o usuário final. A Mozilla tem uma responsabilidade perante os seus usuários de tomar todas as providências necessárias para garantir a segurança do conteúdo do seu site. Dizer agora “aha! olha aqui o meu disclaimer” não resolve nada.

    Abraços,

  • http://yawara.br.com Ubiratan.apo

    [quote=Bugzilla@Mozilla – Bug 410460]
    20 Darren VanBuren 2008-03-05 22:38:36 PDT
    we are falling behind webkit. they can do 90 of the tests while we only can do
    66. we need to look at their code and see how things work there.
    [/quote]

    }:) }:) }:) }:) }:) }:) }:)

    O problema é que o pessoal da Mozilla adora criticar o WebKit, como continuam a fazer no caso do Acid3, mas não tem nenhum escrúpulo em se “inspirar” no código deles. Se o código do WebKit é tão ruim como dizem por que não ignora-lo?

    yawara.br além da tecnologia.

  • http://yawara.br.com Ubiratan.apo

    Ué! No seu primeiro post você dá a entender que o SVG foi implementado no WebKit somente para passar no Acid3, depois da minha resposta você vem dizendo que sabe que a implementação do SVG continuou no WebKit.

    yawara.br além da tecnologia.

  • http://www.fabiocardoso.com.br Fabião

    Faço minhas as palavras do fcima:

    [quote]Uma política que diz que não deve haver script nos arquivos de ajuda não tem nenhum valor se o Firefox executa os scripts que estão lá.[/quote]

  • http://yawara.br.com Ubiratan.apo

    Por isso digo que é um problema crítico de segurança. :)

    yawara.br além da tecnologia.

  • http://yawara.br.com Ubiratan.apo

    A diferença entre o Firefox e os outros browsers são os Plug-ins.

    Na página de Plug-ins a Mozilla diz que não se responsabiliza por eles.

    Então, se você quiser ficar seguro use o Firefox sem plug-ins.

    Por que usar Firefox então?

    yawara.br além da tecnologia.

  • Bigode
  • http://www.fabiocardoso.com.br Fabião

    Neste caso, “quote” desnecessário.

    Se trata em tornar o firefox não vulnerável as TRADUÇÕES, evitando que qualquer TRADUÇÃO acesse funções que não deveria.

    Sabe aquela política esperta de permissões, aquela que “usuário de tal nível faz isso, e não pode fazer aquilo”, que costumamos implementar em softwares? Então, a mesma coisa.

    E nem precisa ser desenvolvedor do Firefox pra pensar em uma muito eficaz: Mantenha todas as strings do navegador em um arquivo xml que será lido pelo navegador, e apenas isso.

    Porque, tá todo mundo olhando pro pack vietnamita, que era um add-on. E se fosse em um pack oficial, que não é um add-on e consta na página da Mozilla diretamente? Porque, a política “Didi Mocó” de vigilância de código fonte da Mozilla não está longe de proporcionar tal fato.

    Logo, resumindo: Vulnerabilidade crítica do Mozilla Firefox: Permitir que arquivos de idiomas executem código ou interfiram no browser, de qualquer espécie.

  • Bigode

    Existem mais diferenças entre o firefox e os outros browsers do que as extensões e o plugin.
    Eu uso o firefox porque ele é o navegador que mais me atende e tem os recursos que eu quero, sendo que uma parte (aproximadamente 5) é fornecido por extensões. Se eu quisesse mais segurança usaria o Opera.

    A microsoft também vende um “SO”, cujo principal utilidade é rodar uma infinidade de software de terceiros, aliás, o apelo do mercado do produto da microsoft é exatamente a biblioteca enorme de software de terceiros pra ele. Nem por isso ela assume qualquer responsabilidade pelo uso desse software.

  • http://www.fabiocardoso.com.br Fabião

    Você(s) não lidam bem com generalizações e palavras usadas para simplificar, né?

    Que bom que o mundo não encara tudo “ao pé da letra”. E sim, eu sei que letra não tem pé.

  • Bigode

    O quote é direcionado ao Ubiratan, que mudou de opinião.

    Sim, concordo que deixar que algo que deveria fazer somente x fazer x y e z é um problema, e dos grandes. Se você acompanhar a discussão eles tão pensando em nas próximas versões fazer uma trava de software pra não acontecer mais isso. Já que por enquanto localizações são extensões, e são intepretadas de acordo pelo browser.

  • http://yawara.br.com Ubiratan.apo

    Podia citar quais não são disponibilizadas por plug-ins?

    Imaginei que você ia fazer esse paralelo com o Windows. Sempre fui contra essa mentalidade “é melhor porque tem mais aplicativos”, o que importa é a qualidade dos aplicativos, não a quantidade.

    yawara.br além da tecnologia.

  • http://www.fabiocardoso.com.br Fabião

    Duplicado.

  • http://www.fabiocardoso.com.br Fabião

    [quote]Por que usar Firefox então?[/quote]

    Se formos levar nesta leva, pra que usar qualquer SO existente, já que tanto os desenvolvedores do Linux, do Windows e do Mac OS não se responsabilizam pelos programas que são criados para as mesmas ?

    No que tange a extensões, o Firefox é um SO. Eles abrem o XUL como framework para que as pessoas extendam o mesmo.

    É aquela: Dá pra dizer que vale a pena usar o firefox porque qualquer um com alguma noção de javascript e uma leitura básica sobre o XUL pode criar sua própria extensão. Vale por você poder fazer isso, coisa que no IE já é bem mais complexa.

    PORÉM, ENTRETANTO, isso não é uma guerra de browsers.

  • http://yawara.br.com Ubiratan.apo

    [quote]Se formos levar nesta leva, pra que usar qualquer SO existente, já que tanto os desenvolvedores do Linux, do Windows e do Mac OS não se responsabilizam pelos programas que são criados para as mesmas ?[/quote]

    Concordo plenamente, mas cada SO tem mecanismos de segurança para restringir o alcance dos malwares, o problema é que aparentemente esses mecanismos no Firefox são extremamente frágeis, como a única vantagem que vejo do Firefox frente aos outros browsers são os plug-ins, e são justamente eles que são um problema de segurança, pergunto. Vale a pena o risco?

    Lógico, se você utilizar Linux, Firefox é praticamente o único browser decente na plataforma, mas se utilizar Windows ou Mac existem outras opções tão boas quanto.

    yawara.br além da tecnologia.

  • Bigode

    Eu não estou dizendo que o windows é melhor, estou dizendo que a força do windows no mercado é por causa da biblioteca enorme de aplicações desenvolvidas para ele. Eu tou digitando isso no ubuntu, btw.

    Lista
    0 – Atalhos de teclado – não vivo sem alt+d.
    1 – Bookmarks. Com backup diário. Com suporte a keywords. E argumentos.
    2 – Gerenciador de downloads que não é grande coisa, mais pelo menos pode ser configurado pra não fazer barulho nem pular na porcaria da janela pedindo “OH EU QUERO ATENÇÃO ONDE QUER QUE EU SALVE CLIQUE EM MIM EU TOU CARENTE” :P
    3 – Roda em todas as plataformas que eu uso. Com algumas diferenças nos atalhos de teclado (que não deveriam existir).

    Portanto, mesmo sem os plugins, o firefox é o navegador que me atende melhor.

  • http://yawara.br.com Ubiratan.apo

    Dessa lista o único que considero diferencial é o terceiro, principalmente se você usa Linux. Os outros dois o Safari e o Opera conseguem também atender em maior ou menor grau.

    yawara.br além da tecnologia.

  • Bigode

    Porque é economicamente ineficiente você desperdiçar seu tempo codificando código quando você pode economizar tempo adaptando código com licença compatível ao seu código.

    (Bem ficou confuso, mas é isso, pra que fazer quando alguém já fez?)

  • http://www.fabiocardoso.com.br Fabião

    Eu ví, era pro Ubiratan. Mas, não ví a mudança de opinião dele, justamente resolví comentar.

    E você pegou justamente no ponto: O que devia fazer X está fazendo o alfabeto todo; e, para um software com sources abertos em que o mundo todo colabora, dar permissão pra suruba de código desta maneira é erro primário.

    Daí a razão de eu achar que isso é uma falha grave de segurança.

    E realmente falei da “bolada no saco” lá em cima, porque eu nunca imaginei ver a Mozilla como uma “casa da mãe Joana” do jeito que enxergo agora. Amadorismo de condução de projeto alarmante, pra alguém que recebe milhões de dólares por mês.

  • Bigode

    Quem generalizou, sem ler completamente foi o cardoso lá em cima da thread :P http://meiobit.com/comment/142271/Ah-Firetards-tentando quando assume que um bug crítico é uma falha de segurança crítica.

    O meu MIDIA TENDENCIOSA ™, foi, foi, ah esqueci o termo generalize você.

  • Bigode

    Pois é, ele me atende melhor que os outros, como disse antes.

  • http://www.fabiocardoso.com.br Fabião

    Essa comparação já não faz muito sentido hoje.

    Os browsers (exceto o IE, esperamos que mude com o 8 ) já estão nivelados faz algum tempo.

    Não se tem muito mais onde inovar…

    Não adianta o webkit ou o opera fazerem 3792073290 no acid3 se nenhuma daquelas features faz sentido pro usuário comum hoje;

    Sistemas de bookmarks, atalhos, isso tudo se dá a uma experiência muito específica do usuário, onde cada browser deve ter seus adeptos, não tornando-o melhor ou pior que o outro, apenas diferente;

    Nem em velocidade e uso de RAM dá pra levar em conta: Todos eles costumam gastar quantias irrisórias perto do tanto de RAM que o pessoal aqui costuma ter. Velocidade de renderização idem.

    Vai comparar um com o outro por que critério, destes modos?

    E isso tende a ficar ainda mais homogêneo.

  • Bigode

    Vale. Os plugins são instalados por você afinal, é uma escolha sua instalar ou não instalar. Eu pessoalmente uso o menor número possivel deles e talz.

  • http://yawara.br.com Ubiratan.apo

    Eu não mudei de opinião, eu continuo considerando impraticável auditar o fonte de tudo que eles recebem, e quando falo auditar é alguém ler todo o código para ver se detecta algum malware.

    O que eles poderiam fazer é ter ferramentas de segurança para rastrear os pacotes e por em quarentena algum pacote que vá contra as políticas.

    Isso quer dizer que tenham ferramentas para por as políticas em prática.

    Por exemplo nesse caso do anti-virus, concordo que vasculhar a cada 6 horas toda a biblioteca do Firefox é impraticável, mas por que não fazer isso diariamente, a cada dois dias ou semanalmente? Isso reduziria muito o risco para os usuários do Firefox.

    yawara.br além da tecnologia.

  • Bigode

    http://meiobit.com/comment/142325/Re-Cardoso-voc-poderia-ser
    E lá em baixo, Com o papo de ‘OMG OS PLUGINS PODEM TER MALWARE NÃO USE O FIREFOX ELE É INSEGURO’

    Agora, o x pode fazer x y e z acontece porque x é uma extensão, e extensões podem fazer x y e z. O controle de ‘x deve fazer somente x’ era feito totalmente manual, e patches de tradução feitos por terceiros como eram totalmente ingorados. Agora (espero) vão criar uma funcionalidade específica pra localização que garanta que uma localização somente localize. E espero que isso resolva o maldito problema da tradução pra português do brasil mexer na porcaria dos atalhos do teclado (não sei como faz só acredito que não deveria fazer).

  • http://blogs.technet.com/fcima fcima


    Nem por isso ela assume qualquer responsabilidade pelo uso desse software.

    Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele.

    E isto é o mínimo que se pode esperar. Se o usuário não puder confiar nem no software obtido no próprio site oficial, ele vai poder confiar em quê?

    16 mil pessoas fizeram tudo certo: pegaram o software no site oficial, instalaram e foram infectados com malware. 16 mil pessoas cujo único erro foi confiar na segurança do site da Mozilla. Não sei como você pode pensar que isso não é grave. Eu estaria envergonhado.

    Acho interessante também que nas comunicações oficiais da Mozilla em nenhum momento eu encontrei a palavra “sorry”…

    Abraços,

  • Bigode

    Elas não foram infectados por malware. Leia o thread da mozilla, ou então meu post que a ‘desmistifica’ lá em cima. No pacote em questão havia um arquivo que era reconhecido por antivírus como vírus, mas cuja funcionalidade nociva era somente exibir um popup chato. E ele era reconhecido como vírus pq era um sintoma de infecção por um outro vírus, esse sim muito mais nocivo e autopropagável e essas coisas.

    O site oficial de extensões de mozilla serve pra distribuir software de terceiros, feito pela comunidade e tudo. Da mesma maneira o comentário que você está lendo agora é MEU, não do MEIOBIT, não importa aonde está. Se eu te chamar de **** e dizer que a sua mãe é uma **** (claro que eu não faria isso afinal é dia das mães) e colocar uma foto de uma criança morta sendo ******************** ***** **** **** *** ****** com ****** a responsabilidade seria minha e não dos editores do meiobit :P .

  • http://yawara.br.com Ubiratan.apo

    Tá legal, você não entendeu o que escrevi, fazer valer a política não quer dizer uma pessoa auditar o código. Como você mesmo escreveu, deveriam criar ferramentas para fazer isso.

    O que falei dos plugins reafirmo, se esse é o principal diferencial para usar o pessoal da Mozilla deveria ter mais cuidado com eles já que podem por em risco os usuários. Se a Mozilla não fazia um scan periódico neles o único jeito era o próprio usuário fazer, mas para isso ele não poderia utilizar a instalação automática de plug-ins, que é usada pela grande maioria dos usuários.

    Todo o problema é como tratar o risco, não podemos elimina-lo, mas podemos administra-lo.

    Quanto ao problema de atalhos modificados concordo plenamente, o browser deve obedecer aos mesmos comandos não importa em qual lingua ele esteja rodando.

    yawara.br além da tecnologia.

  • http://www.fabiocardoso.com.br Fabião
  • http://blogs.technet.com/fcima fcima


    Elas não foram infectados por malware. Leia o thread da mozilla, ou então meu post que a ‘desmistifica’ lá em cima.

    Você está errado. Por isto o seu post não “desmistificou” nada, na verdade soou como uma desculpa.


    No pacote em questão havia um arquivo que era reconhecido por antivírus como vírus, mas cuja funcionalidade nociva era somente exibir um popup chato.

    O que tecnicamente é conhecido como um trojan. Ou seja, malware.


    O site oficial de extensões de mozilla serve pra distribuir software de terceiros, feito pela comunidade e tudo.

    E é responsabilidade do Mozilla garantir que o seu site oficial de extensões não seja usado para distribuir malware para os usuários.

    Abraços,

  • Bigode

    Sim eu sei do incidente, nossa justiça é infinitamente superior em amadorismo do que a concorrência. Até assino o imprensa marrom, o blog pessoal do cara e mais um daquele tio que coloca dicas de como pegar mulher e essas coisas

    @fcima

    <html>
    <script>EU SOU UM MALWARE VOU TE COMER</script>

  • http://www.fabiocardoso.com.br Fabião

    Não estou criticando quem generaliza, para facilitar algum entendimento ou simplificar as coisas.

    Estou é criticando quem pega estas óbvias generalizações e sai usando isso como argumento mor.

    Aí a gente lê coisas como:

    [quote]Ainda assim, como dito pela mídia responsável (aquele que não incita flamewars), os arquivos XHTML foram injetados por simples trechos JavaScript de propaganda, o que é inpropagável e inofensível para se chamar de crítico. Isso tem nome: adware.[/quote]

    Se atendo a questão do Cardoso ter chamado o seilaoqueware de “vírus” no título. A questão de isso ser um rombo de segurança crítico pelo firefox PERMITIR QUE ALGUÉM FAÇA ISSO NUM PACOTE DE IDIOMAS eu não ví ser levada em conta.

    Sobre o termo “Mídia Tendenciosa”, acho que isso nem se aplica a blogs. Blog é uma forma de comunicação que previlegia a opinião do autor, logo, é tendencioso por natureza mesmo. Ninguém é neutro.

  • Bigode

    Eu me refiro ao “critical (bug) representa muito perigo” do cardoso – http://meiobit.com/comment/142271/Ah-Firetards-tentando , que eu já respondi. Assumir que um bug crítico é uma falha de segurança nem é generalizar, é meter os pés pelas mãos mesmo. O permitir que alguém faça isso num pacote de idiomas foi levado em conta, ta até no artigo.

  • v1d4l0k4

    Novamente, tomando a opinião de um contribuidor como a opinião de todos… Faz parte da parcialidade? ;)

  • v1d4l0k4

    Generalizar é pressupor que minha crítica é em relação ao post do Cardoso. Tomei o título da notícia dele pra ficar mais fácil, até mesmo porque é o mesmo título que a MÍDIA usou. Bastar googlear o caso para ver o quão tendenciosa a mídia consegue ser. ;)

    É preciso lançar um FAQ pra eliminar as suposições que são inventadas ao longo das discussões…

  • http://www.fabiocardoso.com.br Fabião

    [quote]Bastar googlear o caso para ver o quão tendenciosa a mídia consegue ser.[/quote]

    Parece discurso de candidato esquerdista que quer fechar a Rede Globo.
    Como se fizesse diferença o Dom Quixote invocar com um moinho, ou com todos os moínhos do mundo: Ele continua invocando com … moinhos.

  • v1d4l0k4

    Nisso eu concordo totalmente. ;)

    E este é mais um motivo de que a Mozilla não entrou no jogo do Acid3. Se tu ler a thread do MozillaZine (sobre Acid3) tu vai ler opiniões desta natureza.

    O foco nos diferenciais do Firefox 3 irá trazer muito mais benefícios ao usuário final do que o Acid3. Em Acid3, só foram corrigidos bugs irrisórios (a nível de patch), ainda assim por quem estava preocupado com o Acid3.

    E muito mais útil ver inovações em experiência de navegação do que em recursos que mal são usados por desenvolvedores na Web atual (afinal, de que adianta Firefox+Opera+WebKit implementar recursos, se a Microsoft, detentora da maior parte do queijo, não implementa? Para os desenvolvedores, nada muda).

    E é justamente em inovações de experiência que estão focados. Alguns exemplos:

    http://www.dria.org/wordpress/archives/2008/04/17/628/
    http://www.dria.org/wordpress/archives/2008/05/06/635/
    http://blog.mozilla.com/dolske/2008/05/06/another-look-at-safebrowsing-warnings/

  • v1d4l0k4

    Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele. E isto é o mínimo que se pode esperar. Se o usuário não puder confiar nem no software obtido no próprio site oficial, ele vai poder confiar em quê?

    Já leu o termo de uso deles? Parece que não: http://www.microsoft.com/info/cpyright.mspx#E3D

    Mesma coisa para os widgets da Opera, que são mais categóricos ainda: http://widgets.opera.com/general/disclaimer

    16 mil pessoas fizeram tudo certo: pegaram o software no site oficial, instalaram e foram infectados com malware. 16 mil pessoas cujo único erro foi confiar na segurança do site da Mozilla. Não sei como você pode pensar que isso não é grave. Eu estaria envergonhado.

    16 mil pessoas? Denovo…

    Sim, foram infectados por adware e o único erro foi confiar no termo de uso da Mozilla que, por concidência, é o mesmo que o da Microsoft e o da Opera ASA para conteúdo enviado por terceiros. ;)

    Acho interessante também que nas comunicações oficiais da Mozilla em nenhum momento eu encontrei a palavra “sorry”…

    O sorry já consta nas entrelinhas do termo de uso, querendo ou não.

  • v1d4l0k4

    Mas a diferença é que eu sei que o Cardoso é uma salsinha das mais atrevidas. }:)

    Flamewar gera audiência pro Meio Bit. Essa é uma grande fórmula de sucesso… :D

  • v1d4l0k4

    Leia as coisas direito, cara. Unilateralismo agora?

    Eu disse que o suporte a ANIMAÇÃO SVG só COMEÇOU a ser implantado no WebKit pro Acid3, tanto que quando alcançaram o 100% o suporte era exclusivo para passar no teste. Nas mil e quinhentas builds precedentes a implementação foi continuada, talvez por causa da mídia ter dito a ácida verdade (que até então, o suporte de animação SVG implementado era somente para passar no Acid3).

    Ou tu não lê as notícias? ;)

  • garoa

    Vendo os flames acalorados que se formaram neste longo post, só posso dizer: bendita gripe. :P

  • v1d4l0k4

    Se eu quisesse mais segurança usaria o Opera.

    Ou instalaria, no próprio Firefox (santa conveniência!), um canivete suíço chamado NoScript. ;)

  • v1d4l0k4

    Apesar do pequeno ciclo de vida que ainda resta ao Firefox 2 e que o Firefox 3 não incluirá mais o Help Viewer, providências foram tomadas e a futura versão 2.0.0.15 corrigirá o lado falho de expor o wrapper de ajuda a comportamentos dispensáveis, como pode ser visto no anexo a seguir: https://bugzilla.mozilla.org/attachment.cgi?id=320112

    Fonte: https://bugzilla.mozilla.org/show_bug.cgi?id=432919

    Nada como um projeto de código aberto, onde todos podem tomar ciência de tudo. ;)

  • http://blogs.technet.com/fcima fcima


    Já leu o termo de uso deles? Parece que não: http://www.microsoft.com/info/cpyright.mspx#E3D

    O que o termo de uso de comentários da Microsoft tem a ver com isso? Ou você é quem não leu os termos de uso, ou não sabe a diferença entre comentário e software.

    Sim, foram infectados por adware e o único erro foi confiar no termo de uso da Mozilla

    Lá vem você com “termo de uso” de novo. Deixa eu explicar: ninguém está nem aí para o termo de uso do Mozilla. As pessoas não confiaram no termo de uso, elas confiaram na Mozilla. Aí pegaram um software no site oficial e foram infectadas com malware. Isso *É* um problema, mesmo que o “termo de uso” diga que não.

    Depois se descobriu que a Mozilla não roda antivirus nos seus servidores, e que o Firefox executa scripts nos arquivos de help quando a sua própria política diz que não deveria acontecer. Duas falhas de segurança, uma operacional e outra de arquitetura. A Mozilla tinha que pedir desculpas e ir resolver essas falhas, não ficar dizendo que o “termo de uso” dela permite f**er quem instala software do site.

    Abraços,

  • v1d4l0k4

    O que o termo de uso de comentários da Microsoft tem a ver com isso? Ou você é quem não leu os termos de uso, ou não sabe a diferença entre comentário e software.

    Pelo simples motivo de você fornecer um comentário fantasioso:

    Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele. E isto é o mínimo que se pode esperar.

    Você está fantasiando algo somente pra sustentar sua teoria de que, ao baixar um pacote de idioma de terceiros “infectado” (ohhh) nos servidores da Mozilla, ela é que é a responsável pelo ato.

    Não se pode fazer-se de desentendido. Eu te ajudo a fisgar algo mais inteligível. Para ficar algo mais análogo, segue trecho dos termos de uso do Windows Marketplace, site que hospeda o IE Add-ons:

    IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF WINDOWS MARKETPLACE OR ANY SOFTWARE, INFORMATION, PROVISION OF OR FAILURE TO PROVIDE SERVICES, OR INFORMATION AVAILABLE FROM WINDOWS MARKETPLACE OR THE SERVICES.

    Isto é, se algum add-on para IE por ventura te ocasionar a mesma natureza de problema e você não confiou no termo de uso… O problema foi todo seu, por ter confiado na Microsoft (assim como você diz que o usuário confiou na Mozilla e blá blá blá).

    E mais:

    Lá vem você com “termo de uso” de novo. Deixa eu explicar: ninguém está nem aí para o termo de uso do Mozilla. As pessoas não confiaram no termo de uso, elas confiaram na Mozilla.

    Dispensa comentários. Assim fica evidente que tu não entende NADA sobre os aspectos legais que envolvem um termo de uso como este.

    Eu reclamaria na justiça… }:)

    Depois se descobriu que a Mozilla não roda antivirus nos seus servidores

    Quem te disse que não? Mudando a história denovo… :)

    A Mozilla tinha que pedir desculpas e ir resolver essas falhas, não ficar dizendo que o “termo de uso” dela permite f**er quem instala software do site.

    Quem está dizendo isto não é a Mozilla. E sim, a Mozilla já corrigiu o problema – que por ventura estará presente na versão 2.0.0.15. E o tradutor também, já liberou um novo pacote de idiomas. E quanto as desculpas, algo dispensável. Quem deveria pedir desculpas já pediu, o próprio tradutor.

    Não vejo motivo (embora em algumas ocasiões o façam) nem razão legal em pedir desculpas em um produto de terceiro disponibilizado num site de uma fundação sem fins lucrativos de um software livre, tendo este site um termo legal claro e objetivo em especificar que tudo nele contido é cortesia e que por tal motivo não é de sua obrigação deter responsabilidade dos mesmos.

    Esta ficando meio que evidente a procura por pêlo em ovo… Até parece aquela histório do famoso aúdio de uma suposta ligação ao suporte da Microsoft em que a cliente reclamava sobre a responsabilidade da Microsoft em acoplar recursos (spyware }:)) anti-pirataria em seu produto, que no caso, era pirata.

    Não sei o que pior: tua frustração ou o fato de que o Firefox é um software-livre mantido por milhares de pessoas ao redor do mundo por livre e espontânea vontade sendo que sua utilização é exclusivamente optativa.

  • http://blogs.technet.com/fcima fcima


    Dispensa comentários. Assim fica evidente que tu não entende NADA sobre os aspectos legais que envolvem um termo de uso como este.

    O que é evidente aqui é que a questão legal é completamente irrelevante. A questão é se dá para confiar nos programas baixados do site da Mozilla.


    E sim, a Mozilla já corrigiu o problema – que por ventura estará presente na versão 2.0.0.15.

    Ótimo. Espero que agora você pare de dizer que não existe problema.


    Não vejo motivo (embora em algumas ocasiões o façam) nem razão legal em pedir desculpas em um produto de terceiro disponibilizado num site de uma fundação sem fins lucrativos de um software livre, tendo este site um termo legal claro e objetivo em especificar que tudo nele contido é cortesia e que por tal motivo não é de sua obrigação deter responsabilidade dos mesmos.

    Típico.

    Antes do problema: “não se preocupa porque a comunidade dá suporte!”

    Depois do problema: “não reclama porque é de graça!”

  • http://blogs.technet.com/fcima fcima

    Oi v1d4lok4,


    Apesar do pequeno ciclo de vida que ainda resta ao Firefox 2 e que o Firefox 3 não incluirá mais o Help Viewer, providências foram tomadas e a futura versão 2.0.0.15 corrigirá o lado falho de expor o wrapper de ajuda a comportamentos dispensáveis, pode ser visto no anexo a seguir

    Essa foi ótima :)

    Há alguns comentários atrás você estava chamando todo mundo de “salsinha”, afirmando categoricamente que não havia nenhuma falha de segurança, e acusando o post do Cardoso de tendencioso.

    Só que então a própria Mozilla reconheceu que executar scripts no help é uma falha de seguraça, que viola a sua própria política, e anunciou uma correção para o Firefox.

    Oops.

    Com vergonha de admitir que as “salsinhas” tinham razão, você então apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”!

    Nada como um projeto de código aberto, onde todos podem tomar ciência de tudo.

    Mesmo que alguns demorem um pouco para tomar ciência!

    Abraços,

  • v1d4l0k4

    Há alguns comentários atrás você estava chamando todo mundo de “salsinha”, afirmando categoricamente que não havia nenhuma falha de segurança, e acusando o post do Cardoso de tendencioso.

    Se você ler mais acima verá que eu admiti duas outras falhas. Só não admiti esta, porque eu não tinha a absoluta certeza de que o wrapper de ajuda realmente executaria o script. Não sei se você programa XPFE, mas eu programo e tenho o conhecimento de que isto é possível (carregar a página sem carregar o script), embora não tenha sido o caso. Isto é, muito diferente de certas pessoas que afirmam algo não tendo conhecimento nem do código… ;)

    E sim, a notícia é tendenciosa, mas tem sua razão: é praxe do Cardoso. :)

    Com vergonha de admitir que as “salsinhas” tinham razão, você apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”!

    Se eu tivesse vergonha em admitir eu certamente nem admitiria. ;)

    Eu sentiria vergonha se, no seu lugar, dissesse que a culpada de toda a história fosse a Mozilla. Sabendo dos termos legais e de que se trata de um software livre, seria um enorme mico de minha parte. :sick:

    Mesmo que alguns demorem um pouco para tomar ciência!

    Ou que alguns modifiquem a história, né?! ;)

    PS: Gostaria de saber quais são os trojans e vírus que eu poderia pegar pelo Help viewer. Até agora ninguém me citou nomes e eu muito menos fui infectado. :(

  • Bigode

    Eu não uso o noscript e não vou usar enquanto o bichinho zoar com as minhas bookmarks.

  • v1d4l0k4

    O que é evidente aqui é que a questão legal é completamente irrelevante. A questão é se dá para confiar nos programas baixados do site da Mozilla.

    Mesma questão vale para os softwares de terceiros no site da Microsoft e Opera ASA.

    Aliás, falando em Microsoft, nem pra admitir a fantasia que quis pregar ali encima?

    Típico. Antes do problema: “não se preocupa porque a comunidade dá suporte!” Depois do problema: “não reclama porque é de graça!”

    Você errou. Ambas citações valem para qualquer ocasião. E querer reclamar disto é, no mínimo, total ignorância de tua parte no que tange o conhecimento sobre software livre – eu diria engraçado. :)

    E não é de graça, é livre.

    Se fosse um software proprietário em que você tivesse de licenciá-lo, eu concordaria contigo em gênero, número e caso. Afinal, seria um direito de consumidor legítimo em reclamar. Se, somente se.

  • Bigode

    Fcima, você se equivoca. A política é NÃO TER scripts nas extensões de localização, não o firefox não rodar. Eu nem sei se o firefox roda scripts no help, só que a PIOR COISA que um javascript num arquivo de help pode fazer é CRASHAR O BROWSER, ou INSULTAR A MÃE DO USUÁRIO. Não há como roubar senhas, manipular arquivos, ou cookies.
    Eu simplesmente não acho necessário nem produtivo a Mozilla rodar antivírus em seus servidores, principalmente porque PRATICAMENTE TODOS os malditos antivírus do mercado foram feitos pra detectar víruses que são distribuidos no formato de EXECUTÁVEIS PARA WINDOWS, ou infecções resultantes de tal, e não EXTENSÕES PARA O FIREFOX. Seria mais ou menos o equivalente de usar papel higiênico pra tirar craca de unha.
    E, dado à abertura da plataforma, é simplesmente IMPOSSÍVEL ao pessoal da mozilla auditar todos os addons, não me admiraria que alguns desses add ons que tem no site roubem cookies ou mandem o histórico do teu browser pra alguma companhia 171. Que nenhum antivírus do mercado pegaria.
    Isso é um preço que se paga por ser aberto. A wikipedia também não garante a veracidade dos fatos, porque o conteúdo é controlado pelos usuários. Quer segurança, desenvolva você mesmo a porcaria do add on, ou não use.

  • Bigode

    Você pode crashar o browser, tanto fazendo um loop, ou abrindo zilhões de popups. Ou pode xingar a mãe do usuário. Ou exibir um “SEU FIREFOX FOI INFECTADO FAVOR PASSAR CONTA DO BANCO E SENHA PRA RAQUERDOMAL@ROTMAIL.COM” num alerta.

  • http://www.fabiocardoso.com.br Fabião

    [quote]Com vergonha de admitir que as “salsinhas” tinham razão, você então apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”![/quote]

    Lembra a Dilma falando que o dossiê é um “banco de dados”.

  • http://www.contraditorium.com Carlos Cardoso

    Você pode abrir uma página de um servidor malicioso imitando o login do Google / HotMail / Unibanco / Itau, você pode abrir popups de um servidor maligno chamando applets com exploiits de se segurança, ou arquivos Flash igualmente maliciosos…

    As possibilidades são infinitas, só está minimizando o problema quem é um total FireTard, como o cidadão lá de cima de mereceu uma insígnia de troll.

  • http://www.fabiocardoso.com.br Fabião

    Isso, vamos ficar usando browser sem javascript.

    “Ah, pra você não bater o carro é só você remover as rodas!”.

  • garoa

    Pelo visto, vai ser uma “v1d4br3vE”…

  • v1d4l0k4

    Loops infinitos não trava o Firefox. Ao ficar lento, ele avisa se deseja interromper ou não o script. O mesmo valeria pra abrir zilhões de popups. Ou o bloqueador anti-popup bloquearia ou o script infinito iria causar lentidão e ser bloqueado pela mensagem supracitada. ;)

  • v1d4l0k4

    Sim, as possibilidades eram tantas que, mesmo tendo o código aberto, o problema só se tornou público por um vírus que modificou os arquivos de forma imperceptível pelo responsável da extensão (ou pacote de idioma, como queira).

    Quanto a insígnia, só fortalecerá a desinformação prestada. Acusações sem conhecimento de causa, dados incorretos e outrora exagerados, dentre outras picuinhas. A medida que contra-argumentos foram sendo deixados de lados, deu pra notar quem realmente sabia do que estava dizendo ou não. ;)

  • http://www.contraditorium.com Carlos Cardoso

    Eu também estou com essa impressão, mas você deduziu isso pelo comportamento FireTard do sujeito ou ouviu o barulho aqui do escritório?

  • v1d4l0k4

    Err. De onde tirou essa? Não creio que tu nem perdeu tempo pra ler a funcionalidade da extensão, tirando conclusão traduzindo o nome da ferramenta ao pé da letra.

  • http://flavors.me/naio21 OMGWTFBBQ

    Opa, parabéns pela insígnia! Você merece! :)

    [/modo irônico]

  • garoa

    huahuhuhua

  • http://br.groups.yahoo.com/group/ChannelTI/ JulianaPrado

    Oi

    Isto nos faz entender que errar é humano. mas que deixar o erro permanecer é mais do que burrice e pura estupidez.

    Se isso tivesse acontecido em algum produto Microsoft seria o pior dos alardes.

    Creio que qualquer tipo de erro e isto seja independente de plataforma deve debatido e reportando de forma neutra e consciente.

    Att

    Juliana Prado Uchôa

  • garoa

    Finalmente um comentário sensato e construtivo! }:)

  • Rafael M.

    [quote=v1d4l0k4]Pegou o bonde andando e postou na notícia errada ou é tard o suficiente pra ler tudo o que já foi dito e ainda assim postar isso? :? [/quote]

    Nem um, nem outro. Você que é tard o suficiente pra não entender o que é um post irônico. Foi tão irônico que achei que fosse desnecessário a tag, agora vejo que nem sempre é assim… ¬¬’

  • MaRKauM

    hahahahahahahahahahahahahahahaha!
    Tava demorando…

    Eu já estava desesperado, sem saber o que fazer! Tanta desinformação junta… Ainda bem que temos a nossa queria salsi….ops, Juliana para elucidar os fatos!

    Antes de fazer uma pergunta idiota, pesquise!