Segurança Máxima: Firefox por MESES distribuindo vírus em seu site oficial

Realmente uma política no mínimo equivocada da Mozilla.

Que as Flame Wars tenham início.

yawara.br além da tecnologia.

Lembrei de quando era criança, e, jogando de goleiro numa pelada, levei uma bolada nas partes baixas.

Lembrei de um Antivírus de uma empresa conhecida que já vinha com vírus. Na época trabalhava dando suporte e lembro de dizer: “sim, eu sei que você passou o antivírus que recebeu agora (novinho em folha), mas o problema é que o Antivírus está infectado e foi ele quem fez toda essa bagunça!”.

só por via das dúvidas, vou passar o avast de novo lá em casa…

Ufa, ainda bem que não quis instalar o suporte a vietnamita…
________
http://nodoadouniverso.wordpress.com

Sou usuário e defensor do Firefox mas, sem dúvida, foi uma falha grotesca de procedimento. Felizmente, ficou restrita a um grupo relativamente pequeno de usuários. Que esse susto aumente a paranóia do QA da Mozilla Foundation e permita assim que a gente continue a ter confiança no trabalho deles. Agora, fica a pergunta: houve algum caso em que o vírus tenha sido efetivamente executado ? Porque, pelo que eu sei, esses pacotes de linguagem são apenas dados (apesar de que, se forem empacotados como DLL’s de resources, podem até representar alguma ameaça, sim).

—
Tecnologia deve ser o meio, não o fim.

Eu acho que passar antivírus quando for atualizado não resolve também não. Tá faltando uma fiscalização mais rigorosa.

Só se eles auditarem o fonte, imagine fazer isso para todos os plug-ins que eles recebem! :jawdrop:

yawara.br além da tecnologia.

HAHAHAHAHAH Viva o open source! Viva a liberdade! Viva o compartilhamento de idéias e soluções!

\o/ Viva!

No desenvolvimento do kernel Linux há uma pessoa que fiscaliza o trabalho e contribuição de outros para cada área envolvida.

E tem muito código malicioso que pode passar pelo antivírus.

Concordo! Falha absurda!

Mas isso me leva a pensar: como saber se organizações que distribuem outros software (inclusive software proprietário) passam os diversos service packs e pacotes de internacionalização por antivírus sempre que os antivírus são atualizados?

jlcarneiro.com – Porque agora todo mundo é “pontocom”!

Por acaso este vírus não era um trojan? Por que se for, estes 16.667 serão uns 200.000, no mínimo.

————-
Eu esqueço tudo, sou muito cabeçudo. \o/ < - Pessoa normal, eu -> \O/

Não sabemos, mas temos que confiar.

yawara.br além da tecnologia.

Cuidado com o Avast!
ele pode querer colocar seu Hardware em quarentena
__________
“Apenas duas coisas são infinitas: O Universo e A Estupidez Humana, e eu não tenho certeza sobre o universo.”
Albert Einstein

Não acho que nem teremos muito flame nesse notícia… A não ser que tenhamos trolls, claro, então… er….bom… tá, teremos flame war sim…

Quanto ao Firefox, nem tem o que dizer! Sou grande defensor e gosto muito dele, mas foi uma burrice enorme da mozilla! Nem tem como discutir!
Espero que sirva de lição para ela e para outros também!

Antes de fazer uma pergunta idiota, pesquise!

Não se preocupa, daqui a pouco vai aparecer alguém dizendo que tudo isso é culpa da Microsoft…

A equipe de contenção de danos da Mozilla já foi acionada.

hahahaha sensacional!

HAHAHAHAHAHAHAHAHAHA!

Ri alto aqui!

Antes de fazer uma pergunta idiota, pesquise!

 AUHUAUHAHUAUHUAAUHUAHUAAHU

contraditorium.com

Isso me lembra aquele episódio em que a crApple distribuiu um lote de iPods Video com vírus.

E os idiotas ainda aproveitaram da própria incompetência pra tentar empurrar mais Macs para os otá – digo – consumidores com a ladainha de sempre de que “OSX é mais seguro”, blá blá blá.

No máximo teremos algum MStard com o comentário:
Tá vendo???????
Vem Dizer agora que o Linux é mais seguro!!!!!!

e um freetard:
Não tem nada a ver! Isso é só o firefox, não o Linux! Além do mais, o vírus só deve afetar o windows, Linux não tem vírus…

e um appletard:
O que é Firefox? Navegador?? Mentira! O único navegador é o Safari, Jobs é meu senhor, iStuff não me faltará!

}:) }:) }:) }:)

Antes de fazer uma pergunta idiota, pesquise!

Tambem adoro o Firefox, sou usuário ferrenho dele, adoro ele mas foi uma mancada em tanto

I Work All Night, I Work All Day, to Pay de Bills I have to Pay
Ain’t it sad

Pô Fabião, não trablho mais hoje kkkkKKKkkkKKKKKkkkkkkKKKK

HUAHAUHAUAHUAHUHAUHAU

I Work All Night, I Work All Day, to Pay de Bills I have to Pay
Ain’t it sad

Esse malware instala uma DLL que, dentre outras coisas, abre uma porta no sistema.

Linux não apenas não usa DLL, como também não permite a um programa sem privilégios sair abrindo portas — além de que geralmente instalações de plugins ou pacotes para o Firefox são por usuário, em sua pasta pessoal. Acho que usuários Firefox no Linux estão seguros.

Jobs não perde a oportunidade neh? ehehehehe
______________________________________________

http://www.codigofonte.net

[quote]o vírus só deve afetar o windows[/quote]

Mas isso é um fato. Você clicou nos links do Cardoso?

Eu não, pra quê?
Pro Cardoso ganhar dinheiro com AdSense? }:)

Antes de fazer uma pergunta idiota, pesquise!

HAHAHAHAHAHHAHAHAHA, muito bom, parabéns!

————-
Eu esqueço tudo, sou muito cabeçudo. \o/ < - Pessoa normal, eu -> \O/

HAUAHAUHAHAUHAHAUAUHHAUAHAHAAHA

Excelente!

Faça uma versão em inglês e poste em fóruns da Mozilla

Ficou muito show!

Firefox eh bom, uso ele a MUITO tempo, e sim isso foi mancada, afinal o ser humano nao é perfeito, não me stresso com esse tipo de acontecimento afinal só precisei usar anti-vírus uma vez na vida quando eu estava aprendendo a lidar com computadores (Windows) lembro até hj, um maldito vírus que deixava o M$ Windows lento.

OFF:
Já venho a um bom tempo acompanhando o meiobit e sempre me divirto com a turma daqui, leio a noticia levada a serio em outros lugares e depois venho aqui dar umas risadas com a mesma noticia heuheueu afinal vcs tem o dom de tornar as noticias mais descontraídas vlw MaRKauM pela recepção

Winner.

Po.. isso é como tacar fogo no próprio corpo e falar que o ser humano é inflamavel, mas tudo bem..

E essa não é a primeira vez, acho que já teve mais uma.

MAis claro que a culpa foi a Microsoft… Prova que não foi!!

Eita ferro…. ai eh paia heim essa parada contaminando.

Claro que pode abrir portas, desde que sejam acima de 1024. Se fosse assim não poderia rodar o Ktorrent como usuário, só como root.

[quote=Ubiratan.apo]Não sabemos, mas temos que confiar.[/quote]
Pois é… Esse é o ponto…

jlcarneiro.com – Porque agora todo mundo é “pontocom”!

Soh eh truta, essa parada eh paia mermo! moh noiah aew!

Antes de fazer uma pergunta idiota, pesquise!

As que não importam…

HUAHUAHUAHUAHUAHUAUhAUH!
muito bom
______________________________________________________________
http://f4lh4critic4.wordpress.com/ blee….og

E ninguém no Vietnã usa Anti-virus, pra informar isso antes?

De qualquer jeito, meu lado Monk Tecnológico, de passar o AV em qualquer arquivo baixado, não importanto a fonte, ficou bastante feliz hoje

Crônicas Imortais

se fosse linux…. se isso e aquilo… não importa, realmente foi uma negligência da equipe, acho que agora aprenderam a lição…
–
http://blog.muuzik.net/ << participo aqui também…

[mode troll on]É por isso que eu uso o IE [/mode troll off]
Depois dessa, o FF nunca mais terá chance de competir com o IE, Safari, Opera, Netscape no vietnã. Mas se a mozilla utilizar essa equipe de contenção de danos, o Chuck Noris vai dar um roundhouse kick nesses navegadores e eles vão deixar de existir.

HUAUHAHUHUAHUAHUAHUA. No Sense meu!

“Mantra de Ganesh: Vakratunda Mahaakaaya Suryakotee Sama Prabha Nirvighnam kuru mey Deva Sarva kaaryeshu Sarvadaa”

HUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHUAHU. Satânico!

“Mantra de Ganesh: Vakratunda Mahaakaaya Suryakotee Sama Prabha Nirvighnam kuru mey Deva Sarva kaaryeshu Sarvadaa”

Acho que você fechou a tag mode troll antes do que deveria, não?

Antes de fazer uma pergunta idiota, pesquise!

Nunca tive vontade de apender html, eu acho um saco a quantidade de tags que existem, sei que tenho que fechar cada tag que utilizo. Seria bom que algum editor coloque ela no lugar

Wallacy, só para alimentar a brincadeira:

Trata-se de prova negativa, conhecida também como prova impossível ou prova diabólica. Caso de aplicação do princípio da carga dinâmica da prova, o qual informa que o ônus da prova cabe à parte que melhores condições tem de produzi-la. Neste caso, devem provar que ela é culpada e não o contrário.

Microsoft, meu telefone é XXXX-YYYYYY e minha OAB é XXXX-Y, caso queiram me contratar como AdEvogado estamos aí!

Assinatura?
Só na presença de meus advogados!

O Fabião merece uma sessão semanal.
Será que ele vai ganhar outro pen drive ?

————————————————————–

Quer aprender idiomas online e de gratis, http://www.livemocha.com/

era uma piada, uma vez que você continuou com comentários agressivos depois da tag fechada…

Antes de fazer uma pergunta idiota, pesquise!

Eu estava refletindo sobre a frequencia de atualizações de segurança do IE, Firefox e Opera, e tava pensando que as vezes maior quantidade de atualizações de segurança as vezes nao significa mais segurança. E com isso vi que o firefox poderia ser um browser com tamanho potencial para ser uma Mer** em matéria de segurança e que talvez só estaria se dando bem por conta de somente 11% ( eu acho que é isso, me corrijam se estiver errado) do mundo usa firefox enquanto 90 e blau usa IE…Aí com essa notícia perdi meu encanto com o firefox e voltei para o querido e amado Opera que nunca me decepcionou! Aconselho quem nunca usou, usar! ABS!

Hum, mais um motivo pra eu não usar a versão do firefox localizada .

Eu me lembro de ter visto a um bom tempo (entre 2001 e 2003), que uma tradução do M$ Office para alguma língua asiática (Não lembro exatamente qual, e to com preguiça de olhar na minha pilha de revistas pra descobrir) vinha com um vírus e a Microsoft culpou a “empresa responsável pela tradução”

P.s.: Também achei que a Microsoft fazia suas próprias traduções!

_____________________________________
Assinatura?

Nem pensar, não entenderiam minha letra!
Minha sorte e que meu Blog não é manuscrito!

Concordo, depois dessa ele merece uma sessão semanal!

P.s.: Nunca ri tanto!!!

_____________________________________
Assinatura?

Nem pensar, não entenderiam minha letra!
Minha sorte e que meu Blog não é manuscrito!

No Vietnã os poucos que usam antivírus, usam aqueles gratuitos que não funcionam!

P.s.: Legal saber que não sou o único “Monk Tecnológico” que passa o antivírus em tudo e mais um pouco

_____________________________________
Assinatura?

Nem pensar, não entenderiam minha letra!
Minha sorte e que meu Blog não é manuscrito!

Que nada, em alguns sites de downloads os softwares são identificados com selos “Adware free” e “Virus Free”. Então é super seguro !

Faltou colocar o mode TARD em ON, salsinha. BTW, ô reflexão héin?! Tu não tá pensando em ser psicólogo não, tá?

A porcentagem você realmente errou: 11 + 90 = 101, sem contar os outros navegadores. Ah, o percentual do Firefox é maior, e não se esqueça do Safari, do Opera, do…

Pegou o bonde andando e postou na notícia errada ou é tard o suficiente pra ler tudo o que já foi dito e ainda assim postar isso?

Acho que ainda sou uma salsinha em detectar algumas ironias. Realmente, o estilo Cardoso de comentar tá contagiando o pessoal do meio bit

Viva o open source! Viva a liberdade! Viva o compartilhamento de vírus no Linux! Ops… me empolguei.

JulianaPrado 2.0 detected.

JulianaPrado 2.0 detected.

Onde posso baixar?

}:)

tem eu tambem…rss
ja cheguei a usar ao mesmo tempo..
avast.
comodo firewall
ciberhawk
narf
blast
Spyware Guard
Spybot
vivia vigiando as portas… scaneandooo…
afff

-Crendo ou não, um dia voce vai acertar contas com Deus, prepara-te, aproveite o tempo da graça.

Me parece que ele esqueceu da tag [sarcasm]…

Se empolgou mesmo! Esse malware aí é na forma de uma DLL Windows.

Esqueci de por a tag ironia.

Prova que é impossível!!!

“11 + 90 = 101″ [2]

Além do modo salsinha+tard on, do 101%, alguém sabe me dizer o que é “Blau”? uhauhauhauhauhauhauhha

Antes de fazer uma pergunta idiota, pesquise!

Eu sempre tive a mania feia de ser muito irônico… }:)

O legal é que aqui não sou o único! Mas não se preocupe rapaz, você aprende com o tempo…

Antes de fazer uma pergunta idiota, pesquise!

Ainda mais no vietnam…

Antes de fazer uma pergunta idiota, pesquise!

HAuhauhauhauha

De acordo com a Adidas (http://www.adidas.com/campaigns/iin/content/index.asp?adidas_cc=br) não tem como Provar…hehehehe

Assinatura?
Só na presença de meus advogados!

Quer dizer que se o cara não gosta do Firefox ele é salsinha?

Firefoxtards, essa modalidade é nova pra mim…

Eu ouvir dizer que era melhor browser do mercado ? Huh ?
Pelo menos o IE nunca veio com virus…

Ele não precisa.

Ô maldade…

Cara, o texto tá todo confuso, mal escrito e o cara ainda encontrou 101% de usuários… }:)

Se ele estivesse falando do Opera, ou do IE, ou até mesmo do Lynx, continuaria sendo uma salsinha…

Agora pode acalmar os ânimos, niguém falou da sua amada e querida MS…

Antes de fazer uma pergunta idiota, pesquise!

O browser é bom mesmo (ao menos eu gosto), a equipe da Mozilla que vacilou MUITO ao não escanear seus arquivos corretamente.

Quanto ao IE… bem… esquece, não vou iniciar uma flamewar por fazer a clássica piadinha com os produtos da MS…

Antes de fazer uma pergunta idiota, pesquise!

Essa história está muito mal contada. Se o o cara (tradutor) não fez nada, e o arquivo foi infectado sozinho, que risco poderia apresentar?

xx-XX.xpi (mesma coisa que ZIP)
– chrome
—- chromelist.txt
—- xx-XX.jar (mesma coisa que ZIP)
—- locale
—— vários diretórios com dezenas de arquivos .dtd e .properties (texto puro)
– chrome.manifest (texto puro)
– install.rdf (texto puro)

Ou seria uma injeção na arquitetura de compactação que faria que o descompactador ativasse o código?

De resto, só se alguém realmente modificou as coisas, o que não seria um vírus que iria fazer. :jawdrop:

O que tem dentro do .jar? Algum código a ser executado pelo FF? Pode estar aí o perigo.

O JAR ali funciona como um ZIP qualquer, contendo dezenas de diretórios e dezenas de arquivos .dtd e .properties (que são texto puro, da mesma forma que .txt).

A não ser que o formato JAR (ou até mesmo o XPI) permita injetar códigos. Aí, como o Firefox usa os arquivos, ele logicamente “descompacta” o XPI/JAR (on-the-fly). Deve ser isso então. :sick:

Sim. Arquivo jar é um arquivo compactado, mas pode conter código (e normalmente contém .class Java). O arquivo Manifest dentro dele vai indicar por exemplo qual a classe principal a ser executada.

Um jar pode ser executado assim:
> java -jar arquivo.jar

Outros detalhes é com o pessoal que trabalha com Java. Sobre ter arquivos maliciosos dentro do jar é possível (assim como pode ter dentro de um .zip).

[modo salsinha=ON]
Minha dúvida é: se for colocado um código “malicioso” em Java, poderia afetar qualquer sistema, certo? Obviamente só causaria algum mal àqueles que permitem isso.
[modo salsinha=ON] (se eu não quiser eu não fecho a tag!)

Até que eu saiba o firefox não roda qualquer coisa java, portanto é impossível injetar código java em qualquer pacote. O suporte a applets java é feito por plugins externos e talz.
Algumas das configurações deles ficam em pacotes jar. O formato jar é baseado no formato do pkzip, mas suporta alguns recursos adicionais como assinaturas, que são importantes pra projetos fsf e essas coisas.

Bah, eu havia olhado a estrutura em partes. Agora, dando um “dir -1 -R pt-BR.xpi” eu vi que constam também arquivos .xhtml (ignorância minha, e as páginas de ajuda?). Quando estava desconfiando do XHTML, fui ler o Planet Mozilla no Google Reader, já que eu atrasei minha leitura diária.

Foi aí que acabei encontrando isto: http://blog.mozilla.com/ftr/2008/05/08/vietnamese-language-pack-faq/

Como dito pelo Asa Dotzler, o “vírus” (exploit adware, eu diria) representa menos perigo que o que fora disseminado pela mídia e foi, obviamente, atingido por menos pessoas que o divulgado.

Encontrei maiores informações na PC World e no Mozilla Security Blog:

http://www.pcworld.com/businesscenter/article/145617/mozilla_firefox_plugin_shipped_with_malicious_code.html
http://blog.mozilla.com/security/2008/05/07/compromised-file-in-vietnamese-language-pack-for-firefox-2

Ah, o nome do fanfarrão é W32/Fujacks!htm.

[quote=OMGWTFBBQ]Firefoxtards, essa modalidade é nova pra mim… [/quote]

Pelo menos são menos agressivos que os OperaTards

_____________________________________
Assinatura?

Nem pensar, não entenderiam minha letra!
Minha sorte e que meu Blog não é manuscrito!

Antes fosse!

Ele só dize a verdade }:)

_____________________________________
Assinatura?

Nem pensar, não entenderiam minha letra!
Minha sorte e que meu Blog não é manuscrito!

Ah, as Firetards tentando tampar o sol com a peneira…

No bugzilla:

https://bugzilla.mozilla.org/show_bug.cgi?id=432406

Severity:
critical

Critial não representa muito perigo? Só vale quando for "severity: end of times"? E chamar o vírus de "exploit adware" é dose. 

O bug report é uma leitura fascinante. A melhor parte é quando alguém dá a sugestão óbvia de passar o antivirus toda vez que chegar uma nova assinatura:

Ideally, yes, except that we get new definitions on average every 6 hours or so
and it takes over a week to virus scan the entire ftp server. Getting monthly
scans is in the plan for the new stage server once we get it working.

Ou seja, o servidor é muito lento, por isso nós só vamos rodar o antivirus UMA VEZ POR MÊS!

Se bem que, considerando que eles não rodavam antivirus NUNCA, já é um avanço. Go Mozilla!

Já estou me acostumando com esse comportamento dos Pandas Vermelhos.

Se você ler os comentários deles sobre o Acid3 você vai ver que vai por aí também. Acho que eles são as comunidade tard mais radical que existe. Nada do que eles fazem é reprovável e o que eles não fazem não importa.

yawara.br além da tecnologia.

Cardoso, você poderia ser gentil e ler toda a discussão, não só o título.

O critical foi deixado lá pelo cara que descobriu o bug. Sim, critical representa crítico. Como bug, ele é crítico, basicamente algo que deve ser resolvido PRA ONTEM. Mas como falha de segurança, ela não é tão perigosa assim como A MÍDIA TENDENCIOSA(tm) alardeou.

O que aconteceu basicamente, foi que um dos desenvolvedores pegou um worm/vírus que “infectava” documentos html e xhtml, injetando neles um código javascript que abria popups chatos quando a página era carregada no navegador. Alguns desses foram parar no meio do pacote.

Ou, no inglês quebrado da própria vítima:
[quote]Sorry for the inconvenient!
I’ve found that translated help files was modified by a virus, come from China.
I’m so busy these days, but I’ve cleaned up malicious code. The new fresh pack
coming soon.
Thanks![/quote]

Os antivírus pegam o arquivo como infectado como vírus, afinal, o código javascript injetado é um claro sintoma de infecção. Mas, felizmente, o vírus não se propaga dessa maneira. Se o cara tivesse pegado aquele vírus tosco que sobreescrevia em todos os documentos de texto ou texto formatado “I WANT TO PLAY TETRIS!” seria mais divertido.

Concluindo, o VÍRUS que foi distribuído pro usuário tailandês no máximo exibe um popup chato quando ele abre a ajuda (e eu nem tenho certeza de que o javascript é habilitado nos documentos de ajuda do firefox).

Ou, em versão curta:
Bug crítico? Sim.
Falha crítica de Segurança? Não.
Sintoma de infecção por programa malicioso? Sim.
Vírus? Só se você for um antivírus.

Obrigado por explicar a diferença entre um bug crítico e uma falha de segurança crítica.

Não sei de onde pode se tirar a conclusão de que havia um vírus dentro do pacote de idiomas. Aliás, ao contrário do que foi dito, ele afetou todas plataformas. Afinal, um pacote de idioma é cross-platform. Vírus foi aquele que, hospedado na máquina do tradutor vietnamita, percorreu o sistema dele por arquivos XHTML (dentre outros). Sem perceber o problema, ele enpacotou em XPI/JAR e enviou pra fundação Mozilla. Como os antivírus não detectavam, passou batido. Ainda assim, como dito pela mídia responsável (aquele que não incita flamewars), os arquivos XHTML foram injetados por simples trechos JavaScript de propaganda, o que é inpropagável e inofensível para se chamar de crítico. Isso tem nome: adware.

Quanto ao número, também é errado afirmar que foram 16.667 usuários. Como dito nas notícias, esse número de downloads é contabilizado desde novembro passado. E o ocorrido, deu-se em fevereiro.

Nada de fanatismo. Eu uso e evangelizo o Firefox sim, mas de forma responsável. Algo que é muito diferente de acreditar e disseminar uma notícia que já mudou substancialmente de conteúdo desde a ocorrência.

[]‘s

Errado, não pode ser classificado como bug pois não era um problema inerente ao Firefox.

Na verdade é uma falha crítica de segurança, o procedimento era errado, poderia ter ocorrido com qualquer add-on do Firefox, era só criar um novo malware incluí-lo em um add-on e voilá, vários usuários Firefox infectados, o caso de ser um adware foi sorte da Mozilla, poderia ser coisa muito pior.

yawara.br além da tecnologia.

Sobre o Acid3, Ubiratan, tem que se entender o ocorrido.

Primeiro, o teste foi lançado com o Firefox 3 já em fase de desenvolvimento final. Isso quer dizer que nenhuma mudança radical em APIs poderia ser feita, visto que levaria tempo para checar se as mudanças, se aplicadas, produziria problemas. Se você for um leitor assíduo do Bugzilla/Bonsai Bugs/Bonsai CVS Checkins como eu, irá notar que as coisas são bem diferentes do que se prega. O QA (controle de qualidade) da fundação Mozilla é extremamente rígido ao ponto de que, se algo de errado, ou não se lança a versão ou não inclui tal funcionalidade na versão. Por acaso sabe quando irá ficar pronto o Firefox 3? Quando estiver pronto. As expectativas são para junho, mas sem data definida. A metodologia é muito diferente do sistema Ubuntu, por exemplo, que trabalha com datas. A fundação Mozilla trabalha com metas. E por trabalhar com metas, se algo entra em code freeze, esqueça.

Não sei se leu, mas aí vai: http://shaver.off.net/diary/2008/03/27/the-missed-opportunity-of-acid-3

Estas são as palavras de Mike Shaver, um contribuidor muito conhecido da Mozilla. Se você ler nos comentários, irá ver Ian Hickson, ninguém menos que o autor principal do Acid3, pedindo desculpas pelo ocorrido. Afinal, ninguém foi avisado de nada, e o Acid3 se tornou público numa data em que Mozilla e Microsoft estavam unicamente direcionados na fase final de seus navegadores.

Outro ponto: Acid3 virou disputa. Você por acaso chegou a ficar sabendo o que os caras do WebKit estavam fazendo?
De que adianta, meu caro, não ter nenhum suporte dos cento e tantos itens do SVG e implementar 6 apenas para ter 100% no Acid3? De que adianta, meu caro, fazer uma gambiarra no código somente para ganhar 1 ponto no Acid3? Lê o ocorrido da equipe do WebKit e você certamente terá outra perspectiva do assunto.

A meta da Mozilla, ao se tratar do Acid3, é: corrigir pequenos problemas que não demandem de alterações críticas de APIs. De que adianta atingir 100% e, de quebra, lançar um produto instável ao público?

Porque a equipe do Opera trabalhou na versão pós-9.5? Simples, não daria pra fazer o mesmo feito na 9.5. Considere a futura versão do Opera o mesmo que a Mozilla fará. Isto é, Acid3? Somente plataforma Gecko 2. Em outras palavras: Firefox 4.

De que adianta implementar suporte específico de SVG (exemplo) somente para passar no Acid3? A meta da Mozilla é clara e objetiva: implementar o maior suporte possível ao SVG (neste exemplo em específico). Depois disso, vem o Acid3, que servirá a comprovação do suporte. Ou seja: a intenção é que o Acid3 seja somente uma ferramenta que exponha a qualidade da implementação já feita. E não uma ferramenta que dite o que deve ser feito, pois desta maneira será apenas mais uma jogadora no jogo de quem (hipotéticamente) faria mais.

Sacou? Acid3, como pode ver, não quer dizer nada. O WebKit, por também ser de código-aberto, é uma prova cabal disso.

Desculpe pelo texto enorme, mas acredito que foi necessário. Lembre-se: o Acid3 não é aquilo que a mídia (tendenciosa) insiste em pregar.

[]‘s

A classificação de bug é simples: feature request é bug, falha é bug, unit test é bug… Tudo é bug. E como bug, é um bug crítico, por ter empacotado arquivos com adware.

Falha crítica de segurança é aquela reportada pelos órgãos competentes, e que realmente compromete o usuário. O que sabemos que não é o caso.

Essa história de incluir um novo malware em uma extensão qualquer e liberá-la ao público foge muito da realidade. Já tentou fazer isso? O que aconteceu é um caso isolado e muito específico. Ou incluir um JavaScript de propaganda apresenta riscos? É bom lembrar que os antivírus NÃO detectaram o arquivo.

Procedimento errado?

1. Foi, claro, em não ter imaginado tal hipótese e criado uma ferramenta para analisar o conteúdo dos arquivos empacotados. (eu gostaria de saber quem faz isso…)

2. Foi, claro, em ter usado (o responsável pelo pacote) um sistema inseguro. Atenção, salsinha de plantão: inseguro não no sentido de que ele pegou vírus porque usava Windows, inseguro no sentido de que algo poderia acontecer sem o consentimento dele. Afinal, usar Linux e haver possibilidade de intrusos operarem o sistema daria na mesma.

[]‘s

Foi classificado como vírus pq os antivírus pegam. E os antivírus tão corretos, já que o código injetado é um sintoma.

Entendo… E se o cara colocasse o mesmo JavaScript propositalmente? Não seria um código injetado por um vírus, e os antivírus iriam acusar o mesmo vírus. Vírus foi aquele que ocasionou o problema. O problema, em si, não é um vírus. Isso que eu quis dizer e que os antivírus não sabem diferenciar.

Que bom saber que vocês na MS são assíduos visitantes do site da Mozilla.

Mesmo com esse amadorismo que mostraram no processo de segurança, conseguem fazer um browser muito bom. Podem ser uma boa influência para MS.

[quote]Mozilla is providing links to these applications as a courtesy, and makes no representations regarding the applications or any information related there to. Any questions, complaints or claims regarding the applications must be directed to the appropriate software vendor.[/quote]
Da página de add ons do firefox.

Pra que diabos passar antivírus em todo o bagulho?

O usuário final só baixa as atualizações oficiais, o servidor ftp serve pra versões antigas, alphas, betas e nightlys, mais cvs e um monte de coisa.
O usuário final vai usar o instalador oficial ou o pacote da distro dele (que é auditado pelo pessoal da distro dele). Esse sim pode e deve ser escaneado sempre que necessário.

Also
[quote]Responsibility of Website Users. Mozilla has not reviewed, and cannot review, all of the material, including computer software, available on or by means of Mozilla’s websites, and cannot therefore be responsible for that material’s content, use or effects.
…
You are responsible for taking precautions as necessary to protect yourself and your computer systems from viruses, worms, Trojan horses and other harmful or destructive content.
…[/quote]
http://www.mozilla.com/en-US/about/legal.html

Acho que você deveria baixar o último build do Webkit e rodar estes testes, você iria ficar surpreso com o suporte a SVG.

Se quiser saber mais leia isto, isto, isto, e isto.

Parece que o Acid3 valeu para alguma coisa afinal, eles não pararam no pouco que necessitava para implementar.

[quote]Outro ponto: Acid3 virou disputa. Você por acaso chegou a ficar sabendo o que os caras do WebKit estavam fazendo?[/quote]

Sim, soube. Acharam vários bugs no Acid3.

Por sinal o WebKit já até está em condição de inovar em relação ao SVG.

[quote=Bugzilla@Mozilla – Bug 410460]
Darren VanBuren 2008-03-05 22:38:36 PDT
we are falling behind webkit. they can do 90 of the tests while we only can do
66. we need to look at their code and see how things work there.

…

John 2008-03-11 09:01:44 PDT
I think no one cares if this cames 1 month later or sooner… the important is
that it cames free of bugs…
if there is a bug then it should be fixed before the final release.

And passing the Acid3 Test would be great, would bring confidence to users and
would make a lot of publicity to Firefox (specially if it was the first browser
to do so!)[/quote]

Me parece que quem estava tratando isso como competição e material de marketing eram os desenvolvedores do Firefox. }:)

Se o Acid3 era só para validar a implementação SVG, por que o pessoal da Mozilla estava trabalhando com esta planilha? Não seria mais coerente uma planilha para toda a SVG, não somente para o que era necessário para passar no Acid3?

yawara.br além da tecnologia.

Você não entendeu o que escrevi.

yawara.br além da tecnologia.

Cara, na boa, tu está querendo o que com isso? Não entendo onde quer chegar…

Venho compilando o WebKit todo os dias, que está rodando sob o browser Midori. Eu sei o que o WebKit tem de bom ou de ruim. Quando eu disse SVG, eu fui infeliz em não mencionar animação (animação SVG = SMIL).

Notícia da época: http://blog.codedread.com/archives/2008/03/26/webkit-nightly-not-smiling

Até então, o suporte a SMIL era exclusivo pro Acid3. O WebKit atingiu 100% na b31356. Hoje, já estão na b33029. Continuaram? Continuaram, sim. Até mesmo porque, o suporte do Opera dava de dez a zero.

Quanto as notícias, eu assino o feed Planet WebKit, li assim que as mesmas foram divulgadas. Tal como assino o Planet Mozilla e o Opera Desktop Blog.

A notícia do bug do Acid3 eu também li. Foi até engraçado. Quem não deve ter gostado foi o pessoal do Opera, único concorrente da disputa que, inclusive, já tinham divulgado os 100%, que na verdade, por causa do bug, eram 99%. Bola fora. E ter descoberto o bug não me “choca”, afinal, eram os competidores mais envolvidos.

Chegou a ler o changeset 31322? Leitura recomendada: http://trac.webkit.org/changeset/31322. Leia a parte do workaround.

Quanto as palavras do Darren e do John, entenda que a Mozilla é uma comunidade. Cada um tem o direito de pensar/dizer o que quiser. Mas por ser exatamente uma comunidade, as coisas andam conforme o parecer de toda comunidade. É controverso de tua parte citar isto e saber que nada disso foi realmente feito.

Sobre a planilha, sim, ela é do Acid3. E foi criada justamente por uma contribuidor que queria obter 100%. E ficou querendo, quando viu que havia coisas que não dariam pra ser feitas naquela altura do campeonato. Ao menos ela serviu para traçar as metas dos interessados em trabalhar no teste Acid3 após o lançamento da Gecko 1.9. Quanto a uma planilha para o SVG, não é necessário, o próprio SVG Test dá muito bem conta do recado.

[]‘s

Então poderia explicar em outras palavras?

[quote]Falha crítica de segurança é aquela reportada pelos órgãos competentes, e que realmente compromete o usuário. O que sabemos que não é o caso.[/quote]

Porque não é o caso?

Não é o caso deste “vírus” (inofensivo por sí). Mas, o ato da Mozilla de permitir que os arquivos vindos das traduções acessem certos locais do browser que não deveriam é sim, uma falha crítica de segurança.

O cara do código malicioso poderia ter deitado e rolado no browser, tudo porque a Mozilla não tem um controle decente do que entra e sai do código de seu navegador.

Não adianta usar AV, alguém lá de dentro tem de OLHAR o código e VERIFICAR se o mesmo não está fazendo besteira no browser. As extensões não, isso fica a cargo de quem instala. Mas, código do browser e traduções, é obrigação deles se certificarem antes de permitirem a inclusão.

O malware? Insignificante, alcance mínimo e dano menor ainda. Já a sensação de insegurança que estes patetas provocaram é imensa.

Não tente se explicar que complica mais.

Já conhecia esse changeset do webkit, é justamente com relação ao último bug do Acid3 descoberto.

Eu acho que os pandas vermelhos deveriam se preocupar menos com o código do WebKit e trabalhar em seu próprio código. Por sinal eu estou achando que uma grande fonte de código para a Mozilla é a base do WebKit. Como esse pessoal gosta de fuçar no código dos outros!

yawara.br além da tecnologia.

Porque não é ocaso?

Não é o caso porque não é uma falha de segurança do navegador. Nem uma falha de segurança do pacote de idiomas. É uma falha de segurança no método em que se trabalha com o empacotamento de tais pacotes de idioma.

Não é o caso deste “vírus” (inofensivo por sí). Mas, o ato da Mozilla de permitir que os arquivos vindos das traduções acessem certos locais do browser que não deveriam é sim, uma falha crítica de segurança.
Não deveriam porquê? Como traduzir páginas XHTML que devem ser traduzidas? Já viu quais arquivos são e qual a finalidade deles no navegador?

Não adianta usar AV, alguém lá de dentro tem de OLHAR o código e VERIFICAR se o mesmo não está fazendo besteira no browser. As extensões não, isso fica a cargo de quem instala. Mas, código do browser e traduções, é obrigação deles se certificarem antes de permitirem a inclusão.
O problema é que pacotes de idioma são extensões. E os responsáveis, os tradutores. Faltou sim uma verificação como o comando diff do Linux, mas o pacote é de única e exclusiva responsabilidade do tradutor. Aliás, o pacote vietnamita estava no site de add-ons, uma vez que não se trata de uma pacote de idiomas oficial (isto é, não existe oficialmente um Firefox vietnamita).

O malware? Insignificante, alcance mínimo e dano menor ainda. Já a sensação de insegurança que estes patetas provocaram é imensa.
Verdade. Mas a maior sensação de segurança veio com o enfoque tendencioso da mídia. Enfim, ao menos serviu de exemplo para aumentarem o controle de segurança do pessoal responsável pela publicação das extensões ao público.

[]‘s

Não tente se explicar que complica mais.

Perdendo a compostura?

Já conhecia esse changeset do webkit, é justamente com relação ao último bug do Acid3 descoberto.
Positivo. E desconhecendo o bug no teste, é mais fácil fazer uma gambiarra, só pra ganhar um ponto, né?

Como já dizia o Ian Hickson…

This would affect any browser, but only on Mac. Unfortunately, the WebKit team “fixed” this problem by simply hard-coding the Ahem font and making it not antialias.

Eu acho que os pandas vermelhos deveriam se preocupar menos com o código do WebKit e trabalhar em seu próprio código. Por sinal eu estou achando que uma grande fonte de código para a Mozilla é a base do WebKit. Como esse pessoal gosta de fuçar no código dos outros!
Como se eu fosse um desenvolvedor da Mozilla e eu representasse as ações de seus desenvolvedores… Eu esperava argumentos mais consistentes.

[]‘s

A função mais importante do antivírus é detectar vírus, e de certa maneira eles estão corretos ao dar um ‘falso positivo’ num caso desses ;p
Afinal houve uma infecção.

Ele diz que há um ‘bug’, ou melhor, uma falha crítica de segurança no modo como o pessoal da mozilla trata as extensões de terceiros. Apesar do disclaimer na página e tudo.

@Ubiratan – Você está absolutamente errado quando diz que o ‘caso’ não pode ser classificado como bug. Houve um bug sim, e a descrição dele está correta – foi encontrado ‘vírus’ em pacote tal quando escaneado com tais antivírus. Isso *É* um bug.

Sim, eu quis dizer de acordo com o título tendencioso da notícia: “Firefox por MESES distribuindo vírus em seu site oficial”

No máximo, devem ter pego uma gripe…

[ironia]Se não fosse no Firefox, seria bug. Como é no Firefox, é falha de segurança, e crítica, por sinal.[/ironia]

Bem, eu assino o Threat Level também, as matérias de lá são ótimas. E o título deles é igualmente tendencioso. Mas quando eles postaram a notícia ainda o negócio ainda não tinha sido cavado a fundo e talz.

Além do mais numa situação dessas o interessante (pra mídia e pra comunidade) é soltar o verbo logo. Até pq as coisas são arrumadas mais rápido assim.

@Ubiratan

Eu não sei se isso do pessoal do Mozilla usar código do webkit é verdade e nem quero saber. Mas se for, qual o problema? A licensa do webkit permite…

Qual arquivo vindo da tradução acessa qual local do browser que não deveria?

Se você ver a thread vai ver que a política interna deles já dizia que não devia haver javascript nos arquivos de ajuda dos language packs, e também qualquer arquivo não necessário (tipo ‘aumenteseupenis.exe’). Daqui pra frente os pacotes de localização vão ser duplamente checados e essas coisas. Sem esquecer o disclaimer na página de add ons do mozilla.

Se o software tivesse sob o meu controle, seria mais rigoroso ainda e não aceitaria localização alguma que mexesse com os atalhos de teclado e com os menus do programa, como a localização pra português do brasil – que eu pessoalmente não uso – faz.

Pra que diabos passar antivírus em todo o bagulho?

Para evitar colocar malware no pacote de idioma do Vietnam?

Não é o caso porque não é uma falha de segurança do navegador. Nem uma falha de segurança do pacote de idiomas. É uma falha de segurança no método em que se trabalha com o empacotamento de tais pacotes de idioma.

É uma falha de segurança do navegador. Causado pela falta de segurança no método que o Mozilla produz os seus pacotes de idioma, somado com o fato dos pacotes de idioma executarem scripts, somado com o fato do repositório não rodar verificar regularmente o seu conteúdo contra malware.

Enfim, ao menos serviu de exemplo para aumentarem o controle de segurança do pessoal responsável pela publicação das extensões ao público.

Claro. Eles agora vão rodar antivirus… (entra o Dr. Evil) UMA VEZ POR MÊS!

Se você ver a thread vai ver que a política interna deles já dizia que não devia haver javascript nos arquivos de ajuda dos language packs, e também qualquer arquivo não necessário (tipo ‘aumenteseupenis.exe’).

E daí se existe esta política? Qualquer iniciante em segurança sabe que não adianta nada ter uma política se não existem controles para garantir que ela seja cumprida. “Trust but verify”.

Uma política que diz que não deve haver script nos arquivos de ajuda não tem nenhum valor se o Firefox executa os scripts que estão lá. Uma política que diz que não deve haver malware não vale nada se ninguém verifica.

Por fim, colocar disclaimer de advogado resolve o seu problema com a justiça, mas não adianta nada para o usuário final. A Mozilla tem uma responsabilidade perante os seus usuários de tomar todas as providências necessárias para garantir a segurança do conteúdo do seu site. Dizer agora “aha! olha aqui o meu disclaimer” não resolve nada.

Abraços,

[quote=Bugzilla@Mozilla – Bug 410460]
20 Darren VanBuren 2008-03-05 22:38:36 PDT
we are falling behind webkit. they can do 90 of the tests while we only can do
66. we need to look at their code and see how things work there.
[/quote]

}:) }:) }:) }:) }:) }:) }:)

O problema é que o pessoal da Mozilla adora criticar o WebKit, como continuam a fazer no caso do Acid3, mas não tem nenhum escrúpulo em se “inspirar” no código deles. Se o código do WebKit é tão ruim como dizem por que não ignora-lo?

yawara.br além da tecnologia.

Ué! No seu primeiro post você dá a entender que o SVG foi implementado no WebKit somente para passar no Acid3, depois da minha resposta você vem dizendo que sabe que a implementação do SVG continuou no WebKit.

yawara.br além da tecnologia.

Faço minhas as palavras do fcima:

[quote]Uma política que diz que não deve haver script nos arquivos de ajuda não tem nenhum valor se o Firefox executa os scripts que estão lá.[/quote]

Por isso digo que é um problema crítico de segurança.

yawara.br além da tecnologia.

A diferença entre o Firefox e os outros browsers são os Plug-ins.

Na página de Plug-ins a Mozilla diz que não se responsabiliza por eles.

Então, se você quiser ficar seguro use o Firefox sem plug-ins.

Por que usar Firefox então?

yawara.br além da tecnologia.

http://meiobit.com/comment/141545/Re-Eu-acho-que-passar

Neste caso, “quote” desnecessário.

Se trata em tornar o firefox não vulnerável as TRADUÇÕES, evitando que qualquer TRADUÇÃO acesse funções que não deveria.

Sabe aquela política esperta de permissões, aquela que “usuário de tal nível faz isso, e não pode fazer aquilo”, que costumamos implementar em softwares? Então, a mesma coisa.

E nem precisa ser desenvolvedor do Firefox pra pensar em uma muito eficaz: Mantenha todas as strings do navegador em um arquivo xml que será lido pelo navegador, e apenas isso.

Porque, tá todo mundo olhando pro pack vietnamita, que era um add-on. E se fosse em um pack oficial, que não é um add-on e consta na página da Mozilla diretamente? Porque, a política “Didi Mocó” de vigilância de código fonte da Mozilla não está longe de proporcionar tal fato.

Logo, resumindo: Vulnerabilidade crítica do Mozilla Firefox: Permitir que arquivos de idiomas executem código ou interfiram no browser, de qualquer espécie.

Existem mais diferenças entre o firefox e os outros browsers do que as extensões e o plugin.
Eu uso o firefox porque ele é o navegador que mais me atende e tem os recursos que eu quero, sendo que uma parte (aproximadamente 5) é fornecido por extensões. Se eu quisesse mais segurança usaria o Opera.

A microsoft também vende um “SO”, cujo principal utilidade é rodar uma infinidade de software de terceiros, aliás, o apelo do mercado do produto da microsoft é exatamente a biblioteca enorme de software de terceiros pra ele. Nem por isso ela assume qualquer responsabilidade pelo uso desse software.

Você(s) não lidam bem com generalizações e palavras usadas para simplificar, né?

Que bom que o mundo não encara tudo “ao pé da letra”. E sim, eu sei que letra não tem pé.

O quote é direcionado ao Ubiratan, que mudou de opinião.

Sim, concordo que deixar que algo que deveria fazer somente x fazer x y e z é um problema, e dos grandes. Se você acompanhar a discussão eles tão pensando em nas próximas versões fazer uma trava de software pra não acontecer mais isso. Já que por enquanto localizações são extensões, e são intepretadas de acordo pelo browser.

Podia citar quais não são disponibilizadas por plug-ins?

Imaginei que você ia fazer esse paralelo com o Windows. Sempre fui contra essa mentalidade “é melhor porque tem mais aplicativos”, o que importa é a qualidade dos aplicativos, não a quantidade.

yawara.br além da tecnologia.

Duplicado.

[quote]Por que usar Firefox então?[/quote]

Se formos levar nesta leva, pra que usar qualquer SO existente, já que tanto os desenvolvedores do Linux, do Windows e do Mac OS não se responsabilizam pelos programas que são criados para as mesmas ?

No que tange a extensões, o Firefox é um SO. Eles abrem o XUL como framework para que as pessoas extendam o mesmo.

É aquela: Dá pra dizer que vale a pena usar o firefox porque qualquer um com alguma noção de javascript e uma leitura básica sobre o XUL pode criar sua própria extensão. Vale por você poder fazer isso, coisa que no IE já é bem mais complexa.

PORÉM, ENTRETANTO, isso não é uma guerra de browsers.

[quote]Se formos levar nesta leva, pra que usar qualquer SO existente, já que tanto os desenvolvedores do Linux, do Windows e do Mac OS não se responsabilizam pelos programas que são criados para as mesmas ?[/quote]

Concordo plenamente, mas cada SO tem mecanismos de segurança para restringir o alcance dos malwares, o problema é que aparentemente esses mecanismos no Firefox são extremamente frágeis, como a única vantagem que vejo do Firefox frente aos outros browsers são os plug-ins, e são justamente eles que são um problema de segurança, pergunto. Vale a pena o risco?

Lógico, se você utilizar Linux, Firefox é praticamente o único browser decente na plataforma, mas se utilizar Windows ou Mac existem outras opções tão boas quanto.

yawara.br além da tecnologia.

Eu não estou dizendo que o windows é melhor, estou dizendo que a força do windows no mercado é por causa da biblioteca enorme de aplicações desenvolvidas para ele. Eu tou digitando isso no ubuntu, btw.

Lista
0 – Atalhos de teclado – não vivo sem alt+d.
1 – Bookmarks. Com backup diário. Com suporte a keywords. E argumentos.
2 – Gerenciador de downloads que não é grande coisa, mais pelo menos pode ser configurado pra não fazer barulho nem pular na porcaria da janela pedindo “OH EU QUERO ATENÇÃO ONDE QUER QUE EU SALVE CLIQUE EM MIM EU TOU CARENTE”
3 – Roda em todas as plataformas que eu uso. Com algumas diferenças nos atalhos de teclado (que não deveriam existir).

Portanto, mesmo sem os plugins, o firefox é o navegador que me atende melhor.

Dessa lista o único que considero diferencial é o terceiro, principalmente se você usa Linux. Os outros dois o Safari e o Opera conseguem também atender em maior ou menor grau.

yawara.br além da tecnologia.

Porque é economicamente ineficiente você desperdiçar seu tempo codificando código quando você pode economizar tempo adaptando código com licença compatível ao seu código.

(Bem ficou confuso, mas é isso, pra que fazer quando alguém já fez?)

Eu ví, era pro Ubiratan. Mas, não ví a mudança de opinião dele, justamente resolví comentar.

E você pegou justamente no ponto: O que devia fazer X está fazendo o alfabeto todo; e, para um software com sources abertos em que o mundo todo colabora, dar permissão pra suruba de código desta maneira é erro primário.

Daí a razão de eu achar que isso é uma falha grave de segurança.

E realmente falei da “bolada no saco” lá em cima, porque eu nunca imaginei ver a Mozilla como uma “casa da mãe Joana” do jeito que enxergo agora. Amadorismo de condução de projeto alarmante, pra alguém que recebe milhões de dólares por mês.

Quem generalizou, sem ler completamente foi o cardoso lá em cima da thread http://meiobit.com/comment/142271/Ah-Firetards-tentando quando assume que um bug crítico é uma falha de segurança crítica.

O meu MIDIA TENDENCIOSA ™, foi, foi, ah esqueci o termo generalize você.

Pois é, ele me atende melhor que os outros, como disse antes.

Essa comparação já não faz muito sentido hoje.

Os browsers (exceto o IE, esperamos que mude com o 8 ) já estão nivelados faz algum tempo.

Não se tem muito mais onde inovar…

Não adianta o webkit ou o opera fazerem 3792073290 no acid3 se nenhuma daquelas features faz sentido pro usuário comum hoje;

Sistemas de bookmarks, atalhos, isso tudo se dá a uma experiência muito específica do usuário, onde cada browser deve ter seus adeptos, não tornando-o melhor ou pior que o outro, apenas diferente;

Nem em velocidade e uso de RAM dá pra levar em conta: Todos eles costumam gastar quantias irrisórias perto do tanto de RAM que o pessoal aqui costuma ter. Velocidade de renderização idem.

Vai comparar um com o outro por que critério, destes modos?

E isso tende a ficar ainda mais homogêneo.

Vale. Os plugins são instalados por você afinal, é uma escolha sua instalar ou não instalar. Eu pessoalmente uso o menor número possivel deles e talz.

Eu não mudei de opinião, eu continuo considerando impraticável auditar o fonte de tudo que eles recebem, e quando falo auditar é alguém ler todo o código para ver se detecta algum malware.

O que eles poderiam fazer é ter ferramentas de segurança para rastrear os pacotes e por em quarentena algum pacote que vá contra as políticas.

Isso quer dizer que tenham ferramentas para por as políticas em prática.

Por exemplo nesse caso do anti-virus, concordo que vasculhar a cada 6 horas toda a biblioteca do Firefox é impraticável, mas por que não fazer isso diariamente, a cada dois dias ou semanalmente? Isso reduziria muito o risco para os usuários do Firefox.

yawara.br além da tecnologia.

http://meiobit.com/comment/142325/Re-Cardoso-voc-poderia-ser
E lá em baixo, Com o papo de ‘OMG OS PLUGINS PODEM TER MALWARE NÃO USE O FIREFOX ELE É INSEGURO’

Agora, o x pode fazer x y e z acontece porque x é uma extensão, e extensões podem fazer x y e z. O controle de ‘x deve fazer somente x’ era feito totalmente manual, e patches de tradução feitos por terceiros como eram totalmente ingorados. Agora (espero) vão criar uma funcionalidade específica pra localização que garanta que uma localização somente localize. E espero que isso resolva o maldito problema da tradução pra português do brasil mexer na porcaria dos atalhos do teclado (não sei como faz só acredito que não deveria fazer).

Nem por isso ela assume qualquer responsabilidade pelo uso desse software.

Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele.

E isto é o mínimo que se pode esperar. Se o usuário não puder confiar nem no software obtido no próprio site oficial, ele vai poder confiar em quê?

16 mil pessoas fizeram tudo certo: pegaram o software no site oficial, instalaram e foram infectados com malware. 16 mil pessoas cujo único erro foi confiar na segurança do site da Mozilla. Não sei como você pode pensar que isso não é grave. Eu estaria envergonhado.

Acho interessante também que nas comunicações oficiais da Mozilla em nenhum momento eu encontrei a palavra “sorry”…

Abraços,

Elas não foram infectados por malware. Leia o thread da mozilla, ou então meu post que a ‘desmistifica’ lá em cima. No pacote em questão havia um arquivo que era reconhecido por antivírus como vírus, mas cuja funcionalidade nociva era somente exibir um popup chato. E ele era reconhecido como vírus pq era um sintoma de infecção por um outro vírus, esse sim muito mais nocivo e autopropagável e essas coisas.

O site oficial de extensões de mozilla serve pra distribuir software de terceiros, feito pela comunidade e tudo. Da mesma maneira o comentário que você está lendo agora é MEU, não do MEIOBIT, não importa aonde está. Se eu te chamar de **** e dizer que a sua mãe é uma **** (claro que eu não faria isso afinal é dia das mães) e colocar uma foto de uma criança morta sendo ******************** ***** **** **** *** ****** com ****** a responsabilidade seria minha e não dos editores do meiobit .

Tá legal, você não entendeu o que escrevi, fazer valer a política não quer dizer uma pessoa auditar o código. Como você mesmo escreveu, deveriam criar ferramentas para fazer isso.

O que falei dos plugins reafirmo, se esse é o principal diferencial para usar o pessoal da Mozilla deveria ter mais cuidado com eles já que podem por em risco os usuários. Se a Mozilla não fazia um scan periódico neles o único jeito era o próprio usuário fazer, mas para isso ele não poderia utilizar a instalação automática de plug-ins, que é usada pela grande maioria dos usuários.

Todo o problema é como tratar o risco, não podemos elimina-lo, mas podemos administra-lo.

Quanto ao problema de atalhos modificados concordo plenamente, o browser deve obedecer aos mesmos comandos não importa em qual lingua ele esteja rodando.

yawara.br além da tecnologia.

Vai nessa.

Elas não foram infectados por malware. Leia o thread da mozilla, ou então meu post que a ‘desmistifica’ lá em cima.

Você está errado. Por isto o seu post não “desmistificou” nada, na verdade soou como uma desculpa.

No pacote em questão havia um arquivo que era reconhecido por antivírus como vírus, mas cuja funcionalidade nociva era somente exibir um popup chato.

O que tecnicamente é conhecido como um trojan. Ou seja, malware.

O site oficial de extensões de mozilla serve pra distribuir software de terceiros, feito pela comunidade e tudo.

E é responsabilidade do Mozilla garantir que o seu site oficial de extensões não seja usado para distribuir malware para os usuários.

Abraços,

Sim eu sei do incidente, nossa justiça é infinitamente superior em amadorismo do que a concorrência. Até assino o imprensa marrom, o blog pessoal do cara e mais um daquele tio que coloca dicas de como pegar mulher e essas coisas

@fcima
…
<html>
<script>EU SOU UM MALWARE VOU TE COMER</script>

Não estou criticando quem generaliza, para facilitar algum entendimento ou simplificar as coisas.

Estou é criticando quem pega estas óbvias generalizações e sai usando isso como argumento mor.

Aí a gente lê coisas como:

[quote]Ainda assim, como dito pela mídia responsável (aquele que não incita flamewars), os arquivos XHTML foram injetados por simples trechos JavaScript de propaganda, o que é inpropagável e inofensível para se chamar de crítico. Isso tem nome: adware.[/quote]

Se atendo a questão do Cardoso ter chamado o seilaoqueware de “vírus” no título. A questão de isso ser um rombo de segurança crítico pelo firefox PERMITIR QUE ALGUÉM FAÇA ISSO NUM PACOTE DE IDIOMAS eu não ví ser levada em conta.

Sobre o termo “Mídia Tendenciosa”, acho que isso nem se aplica a blogs. Blog é uma forma de comunicação que previlegia a opinião do autor, logo, é tendencioso por natureza mesmo. Ninguém é neutro.

Eu me refiro ao “critical (bug) representa muito perigo” do cardoso – http://meiobit.com/comment/142271/Ah-Firetards-tentando , que eu já respondi. Assumir que um bug crítico é uma falha de segurança nem é generalizar, é meter os pés pelas mãos mesmo. O permitir que alguém faça isso num pacote de idiomas foi levado em conta, ta até no artigo.

Novamente, tomando a opinião de um contribuidor como a opinião de todos… Faz parte da parcialidade?

Generalizar é pressupor que minha crítica é em relação ao post do Cardoso. Tomei o título da notícia dele pra ficar mais fácil, até mesmo porque é o mesmo título que a MÍDIA usou. Bastar googlear o caso para ver o quão tendenciosa a mídia consegue ser.

É preciso lançar um FAQ pra eliminar as suposições que são inventadas ao longo das discussões…

[quote]Bastar googlear o caso para ver o quão tendenciosa a mídia consegue ser.[/quote]

Parece discurso de candidato esquerdista que quer fechar a Rede Globo.
Como se fizesse diferença o Dom Quixote invocar com um moinho, ou com todos os moínhos do mundo: Ele continua invocando com … moinhos.

Nisso eu concordo totalmente.

E este é mais um motivo de que a Mozilla não entrou no jogo do Acid3. Se tu ler a thread do MozillaZine (sobre Acid3) tu vai ler opiniões desta natureza.

O foco nos diferenciais do Firefox 3 irá trazer muito mais benefícios ao usuário final do que o Acid3. Em Acid3, só foram corrigidos bugs irrisórios (a nível de patch), ainda assim por quem estava preocupado com o Acid3.

E muito mais útil ver inovações em experiência de navegação do que em recursos que mal são usados por desenvolvedores na Web atual (afinal, de que adianta Firefox+Opera+WebKit implementar recursos, se a Microsoft, detentora da maior parte do queijo, não implementa? Para os desenvolvedores, nada muda).

E é justamente em inovações de experiência que estão focados. Alguns exemplos:

http://www.dria.org/wordpress/archives/2008/04/17/628/
http://www.dria.org/wordpress/archives/2008/05/06/635/
http://blog.mozilla.com/dolske/2008/05/06/another-look-at-safebrowsing-warnings/

Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele. E isto é o mínimo que se pode esperar. Se o usuário não puder confiar nem no software obtido no próprio site oficial, ele vai poder confiar em quê?

Já leu o termo de uso deles? Parece que não: http://www.microsoft.com/info/cpyright.mspx#E3D

Mesma coisa para os widgets da Opera, que são mais categóricos ainda: http://widgets.opera.com/general/disclaimer

16 mil pessoas fizeram tudo certo: pegaram o software no site oficial, instalaram e foram infectados com malware. 16 mil pessoas cujo único erro foi confiar na segurança do site da Mozilla. Não sei como você pode pensar que isso não é grave. Eu estaria envergonhado.

16 mil pessoas? Denovo…

Sim, foram infectados por adware e o único erro foi confiar no termo de uso da Mozilla que, por concidência, é o mesmo que o da Microsoft e o da Opera ASA para conteúdo enviado por terceiros.

Acho interessante também que nas comunicações oficiais da Mozilla em nenhum momento eu encontrei a palavra “sorry”…

O sorry já consta nas entrelinhas do termo de uso, querendo ou não.

Mas a diferença é que eu sei que o Cardoso é uma salsinha das mais atrevidas. }:)

Flamewar gera audiência pro Meio Bit. Essa é uma grande fórmula de sucesso…

Leia as coisas direito, cara. Unilateralismo agora?

Eu disse que o suporte a ANIMAÇÃO SVG só COMEÇOU a ser implantado no WebKit pro Acid3, tanto que quando alcançaram o 100% o suporte era exclusivo para passar no teste. Nas mil e quinhentas builds precedentes a implementação foi continuada, talvez por causa da mídia ter dito a ácida verdade (que até então, o suporte de animação SVG implementado era somente para passar no Acid3).

Ou tu não lê as notícias?

Vendo os flames acalorados que se formaram neste longo post, só posso dizer: bendita gripe.

Se eu quisesse mais segurança usaria o Opera.

Ou instalaria, no próprio Firefox (santa conveniência!), um canivete suíço chamado NoScript.

Apesar do pequeno ciclo de vida que ainda resta ao Firefox 2 e que o Firefox 3 não incluirá mais o Help Viewer, providências foram tomadas e a futura versão 2.0.0.15 corrigirá o lado falho de expor o wrapper de ajuda a comportamentos dispensáveis, como pode ser visto no anexo a seguir: https://bugzilla.mozilla.org/attachment.cgi?id=320112

Fonte: https://bugzilla.mozilla.org/show_bug.cgi?id=432919

Nada como um projeto de código aberto, onde todos podem tomar ciência de tudo.

Já leu o termo de uso deles? Parece que não: http://www.microsoft.com/info/cpyright.mspx#E3D

O que o termo de uso de comentários da Microsoft tem a ver com isso? Ou você é quem não leu os termos de uso, ou não sabe a diferença entre comentário e software.

Sim, foram infectados por adware e o único erro foi confiar no termo de uso da Mozilla

Lá vem você com “termo de uso” de novo. Deixa eu explicar: ninguém está nem aí para o termo de uso do Mozilla. As pessoas não confiaram no termo de uso, elas confiaram na Mozilla. Aí pegaram um software no site oficial e foram infectadas com malware. Isso *É* um problema, mesmo que o “termo de uso” diga que não.

Depois se descobriu que a Mozilla não roda antivirus nos seus servidores, e que o Firefox executa scripts nos arquivos de help quando a sua própria política diz que não deveria acontecer. Duas falhas de segurança, uma operacional e outra de arquitetura. A Mozilla tinha que pedir desculpas e ir resolver essas falhas, não ficar dizendo que o “termo de uso” dela permite f**er quem instala software do site.

Abraços,

O que o termo de uso de comentários da Microsoft tem a ver com isso? Ou você é quem não leu os termos de uso, ou não sabe a diferença entre comentário e software.

Pelo simples motivo de você fornecer um comentário fantasioso:

Se o software foi fornecido pela Microsoft, obtido a partir do site da Microsoft, pode ter certeza que ela assume toda a responsabilidade por ele. E isto é o mínimo que se pode esperar.

Você está fantasiando algo somente pra sustentar sua teoria de que, ao baixar um pacote de idioma de terceiros “infectado” (ohhh) nos servidores da Mozilla, ela é que é a responsável pelo ato.

Não se pode fazer-se de desentendido. Eu te ajudo a fisgar algo mais inteligível. Para ficar algo mais análogo, segue trecho dos termos de uso do Windows Marketplace, site que hospeda o IE Add-ons:

IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF WINDOWS MARKETPLACE OR ANY SOFTWARE, INFORMATION, PROVISION OF OR FAILURE TO PROVIDE SERVICES, OR INFORMATION AVAILABLE FROM WINDOWS MARKETPLACE OR THE SERVICES.

Isto é, se algum add-on para IE por ventura te ocasionar a mesma natureza de problema e você não confiou no termo de uso… O problema foi todo seu, por ter confiado na Microsoft (assim como você diz que o usuário confiou na Mozilla e blá blá blá).

E mais:

Lá vem você com “termo de uso” de novo. Deixa eu explicar: ninguém está nem aí para o termo de uso do Mozilla. As pessoas não confiaram no termo de uso, elas confiaram na Mozilla.

Dispensa comentários. Assim fica evidente que tu não entende NADA sobre os aspectos legais que envolvem um termo de uso como este.

Eu reclamaria na justiça… }:)

Depois se descobriu que a Mozilla não roda antivirus nos seus servidores

Quem te disse que não? Mudando a história denovo…

A Mozilla tinha que pedir desculpas e ir resolver essas falhas, não ficar dizendo que o “termo de uso” dela permite f**er quem instala software do site.

Quem está dizendo isto não é a Mozilla. E sim, a Mozilla já corrigiu o problema – que por ventura estará presente na versão 2.0.0.15. E o tradutor também, já liberou um novo pacote de idiomas. E quanto as desculpas, algo dispensável. Quem deveria pedir desculpas já pediu, o próprio tradutor.

Não vejo motivo (embora em algumas ocasiões o façam) nem razão legal em pedir desculpas em um produto de terceiro disponibilizado num site de uma fundação sem fins lucrativos de um software livre, tendo este site um termo legal claro e objetivo em especificar que tudo nele contido é cortesia e que por tal motivo não é de sua obrigação deter responsabilidade dos mesmos.

Esta ficando meio que evidente a procura por pêlo em ovo… Até parece aquela histório do famoso aúdio de uma suposta ligação ao suporte da Microsoft em que a cliente reclamava sobre a responsabilidade da Microsoft em acoplar recursos (spyware }:)) anti-pirataria em seu produto, que no caso, era pirata.

Não sei o que pior: tua frustração ou o fato de que o Firefox é um software-livre mantido por milhares de pessoas ao redor do mundo por livre e espontânea vontade sendo que sua utilização é exclusivamente optativa.

Dispensa comentários. Assim fica evidente que tu não entende NADA sobre os aspectos legais que envolvem um termo de uso como este.

O que é evidente aqui é que a questão legal é completamente irrelevante. A questão é se dá para confiar nos programas baixados do site da Mozilla.

E sim, a Mozilla já corrigiu o problema – que por ventura estará presente na versão 2.0.0.15.

Ótimo. Espero que agora você pare de dizer que não existe problema.

Não vejo motivo (embora em algumas ocasiões o façam) nem razão legal em pedir desculpas em um produto de terceiro disponibilizado num site de uma fundação sem fins lucrativos de um software livre, tendo este site um termo legal claro e objetivo em especificar que tudo nele contido é cortesia e que por tal motivo não é de sua obrigação deter responsabilidade dos mesmos.

Típico.

Antes do problema: “não se preocupa porque a comunidade dá suporte!”

Depois do problema: “não reclama porque é de graça!”

Oi v1d4lok4,

Apesar do pequeno ciclo de vida que ainda resta ao Firefox 2 e que o Firefox 3 não incluirá mais o Help Viewer, providências foram tomadas e a futura versão 2.0.0.15 corrigirá o lado falho de expor o wrapper de ajuda a comportamentos dispensáveis, pode ser visto no anexo a seguir

Essa foi ótima

Há alguns comentários atrás você estava chamando todo mundo de “salsinha”, afirmando categoricamente que não havia nenhuma falha de segurança, e acusando o post do Cardoso de tendencioso.

Só que então a própria Mozilla reconheceu que executar scripts no help é uma falha de seguraça, que viola a sua própria política, e anunciou uma correção para o Firefox.

Oops.

Com vergonha de admitir que as “salsinhas” tinham razão, você então apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”!

Nada como um projeto de código aberto, onde todos podem tomar ciência de tudo.

Mesmo que alguns demorem um pouco para tomar ciência!

Abraços,

Há alguns comentários atrás você estava chamando todo mundo de “salsinha”, afirmando categoricamente que não havia nenhuma falha de segurança, e acusando o post do Cardoso de tendencioso.

Se você ler mais acima verá que eu admiti duas outras falhas. Só não admiti esta, porque eu não tinha a absoluta certeza de que o wrapper de ajuda realmente executaria o script. Não sei se você programa XPFE, mas eu programo e tenho o conhecimento de que isto é possível (carregar a página sem carregar o script), embora não tenha sido o caso. Isto é, muito diferente de certas pessoas que afirmam algo não tendo conhecimento nem do código…

E sim, a notícia é tendenciosa, mas tem sua razão: é praxe do Cardoso.

Com vergonha de admitir que as “salsinhas” tinham razão, você apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”!

Se eu tivesse vergonha em admitir eu certamente nem admitiria.

Eu sentiria vergonha se, no seu lugar, dissesse que a culpada de toda a história fosse a Mozilla. Sabendo dos termos legais e de que se trata de um software livre, seria um enorme mico de minha parte. :sick:

Mesmo que alguns demorem um pouco para tomar ciência!

Ou que alguns modifiquem a história, né?!

PS: Gostaria de saber quais são os trojans e vírus que eu poderia pegar pelo Help viewer. Até agora ninguém me citou nomes e eu muito menos fui infectado.

Eu não uso o noscript e não vou usar enquanto o bichinho zoar com as minhas bookmarks.

O que é evidente aqui é que a questão legal é completamente irrelevante. A questão é se dá para confiar nos programas baixados do site da Mozilla.

Mesma questão vale para os softwares de terceiros no site da Microsoft e Opera ASA.

Aliás, falando em Microsoft, nem pra admitir a fantasia que quis pregar ali encima?

Típico. Antes do problema: “não se preocupa porque a comunidade dá suporte!” Depois do problema: “não reclama porque é de graça!”

Você errou. Ambas citações valem para qualquer ocasião. E querer reclamar disto é, no mínimo, total ignorância de tua parte no que tange o conhecimento sobre software livre – eu diria engraçado.

E não é de graça, é livre.

Se fosse um software proprietário em que você tivesse de licenciá-lo, eu concordaria contigo em gênero, número e caso. Afinal, seria um direito de consumidor legítimo em reclamar. Se, somente se.

Fcima, você se equivoca. A política é NÃO TER scripts nas extensões de localização, não o firefox não rodar. Eu nem sei se o firefox roda scripts no help, só que a PIOR COISA que um javascript num arquivo de help pode fazer é CRASHAR O BROWSER, ou INSULTAR A MÃE DO USUÁRIO. Não há como roubar senhas, manipular arquivos, ou cookies.
Eu simplesmente não acho necessário nem produtivo a Mozilla rodar antivírus em seus servidores, principalmente porque PRATICAMENTE TODOS os malditos antivírus do mercado foram feitos pra detectar víruses que são distribuidos no formato de EXECUTÁVEIS PARA WINDOWS, ou infecções resultantes de tal, e não EXTENSÕES PARA O FIREFOX. Seria mais ou menos o equivalente de usar papel higiênico pra tirar craca de unha.
E, dado à abertura da plataforma, é simplesmente IMPOSSÍVEL ao pessoal da mozilla auditar todos os addons, não me admiraria que alguns desses add ons que tem no site roubem cookies ou mandem o histórico do teu browser pra alguma companhia 171. Que nenhum antivírus do mercado pegaria.
Isso é um preço que se paga por ser aberto. A wikipedia também não garante a veracidade dos fatos, porque o conteúdo é controlado pelos usuários. Quer segurança, desenvolva você mesmo a porcaria do add on, ou não use.

Você pode crashar o browser, tanto fazendo um loop, ou abrindo zilhões de popups. Ou pode xingar a mãe do usuário. Ou exibir um “SEU FIREFOX FOI INFECTADO FAVOR PASSAR CONTA DO BANCO E SENHA PRA RAQUERDOMAL@ROTMAIL.COM” num alerta.

[quote]Com vergonha de admitir que as “salsinhas” tinham razão, você então apelou para o melhor estilo soviético. Correção do problema virou “providências foram tomadas”. Bug de segurança no help virou “o lado falho do wrapper de ajuda” (como se existisse o lado certo disso). E a melhor de todas: trojans e virus viraram “comportamentos dispensáveis”![/quote]

Lembra a Dilma falando que o dossiê é um “banco de dados”.

Você pode abrir uma página de um servidor malicioso imitando o login do Google / HotMail / Unibanco / Itau, você pode abrir popups de um servidor maligno chamando applets com exploiits de se segurança, ou arquivos Flash igualmente maliciosos…

As possibilidades são infinitas, só está minimizando o problema quem é um total FireTard, como o cidadão lá de cima de mereceu uma insígnia de troll.

Isso, vamos ficar usando browser sem javascript.

“Ah, pra você não bater o carro é só você remover as rodas!”.

Pelo visto, vai ser uma “v1d4br3vE”…

Loops infinitos não trava o Firefox. Ao ficar lento, ele avisa se deseja interromper ou não o script. O mesmo valeria pra abrir zilhões de popups. Ou o bloqueador anti-popup bloquearia ou o script infinito iria causar lentidão e ser bloqueado pela mensagem supracitada.

Sim, as possibilidades eram tantas que, mesmo tendo o código aberto, o problema só se tornou público por um vírus que modificou os arquivos de forma imperceptível pelo responsável da extensão (ou pacote de idioma, como queira).

Quanto a insígnia, só fortalecerá a desinformação prestada. Acusações sem conhecimento de causa, dados incorretos e outrora exagerados, dentre outras picuinhas. A medida que contra-argumentos foram sendo deixados de lados, deu pra notar quem realmente sabia do que estava dizendo ou não.

Eu também estou com essa impressão, mas você deduziu isso pelo comportamento FireTard do sujeito ou ouviu o barulho aqui do escritório?

Err. De onde tirou essa? Não creio que tu nem perdeu tempo pra ler a funcionalidade da extensão, tirando conclusão traduzindo o nome da ferramenta ao pé da letra.

Opa, parabéns pela insígnia! Você merece!

[/modo irônico]

huahuhuhua

Oi

Isto nos faz entender que errar é humano. mas que deixar o erro permanecer é mais do que burrice e pura estupidez.

Se isso tivesse acontecido em algum produto Microsoft seria o pior dos alardes.

Creio que qualquer tipo de erro e isto seja independente de plataforma deve debatido e reportando de forma neutra e consciente.

Att

Juliana Prado Uchôa

Finalmente um comentário sensato e construtivo! }:)

[quote=v1d4l0k4]Pegou o bonde andando e postou na notícia errada ou é tard o suficiente pra ler tudo o que já foi dito e ainda assim postar isso? [/quote]

Nem um, nem outro. Você que é tard o suficiente pra não entender o que é um post irônico. Foi tão irônico que achei que fosse desnecessário a tag, agora vejo que nem sempre é assim… ¬¬’

hahahahahahahahahahahahahahahaha!
Tava demorando…

Eu já estava desesperado, sem saber o que fazer! Tanta desinformação junta… Ainda bem que temos a nossa queria salsi….ops, Juliana para elucidar os fatos!

Antes de fazer uma pergunta idiota, pesquise!