1.2, Аноним (-), 13:37, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> уязвимость в коде декодирования JPEG-изображений, может быть использована для
> выполнения кода злоумышленника при обработке специально оформленного JPEG-изображения.
Пользователи NoScript как всегда чувствуют себя неуязвимыми и продолжают самоуверенно утверждать о своей защищенности ?
| |
|
2.6, terr0rist (??), 13:46, 02/03/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
Покажите того, кого считаете лучше всех защищённым.:)
Имхо, каждый человек не защищён от природы. Тут его машина может сбить, там террористы, ещё где-то землетрясения и мало ли что. Подумаешь, уязвимость в мозиле.
По крайней мере, при носкрипте всякое г*** глаза не мозолит.
| |
2.8, User294 (ok), 14:03, 02/03/2011 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Пользователи NoScript как всегда чувствуют себя неуязвимыми
> и продолжают самоуверенно утверждать о своей защищенности ?
Я конечно понимаю что набросить на вентилятор - неотъемлимый атрибут, но посмотрите на число уязвимостей в JS или вызываемых через него и заткнутых тут и подумайте что с NoScript они не сработали бы. А чем меньше дырок - тем лучше, IMHO ;). В идеале их должно быть 0 :)))
| |
|
3.9, Yoga (??), 14:08, 02/03/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Я конечно понимаю что набросить на вентилятор - неотъемлимый атрибут, но посмотрите на число уязвимостей в JS или вызываемых через заткнутых тут и подумайте что с NoScript они не сработали бы. А чем меньше дырок - тем лучше, IMHO ;). В идеале их должно быть 0 :)))
Links - это как раз то что вам надо
| |
|
4.11, User294 (ok), 14:21, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Links - это как раз то что вам надо
Я сам решаю что мне надо и вообще-то я забыл это у вас спросить ;). А вот нежелательная активность скриптов которую я не просил и не хотел узреть мне не нужна. Доходчивый пример в картинках что следует делать с теми кто злоупотребляет нежелательной/незапрошенной активностью: http://fun.platinum.linux.pl/pics/comics/the_noob_archive/089-20050325.jpg
P.S. а как вы проверили число дыр в links? Вы лично проаудитили весь код? А то бывает ситуация "неуловимый джо" - никому нафиг не нужен, потому и "без дыр".
| |
|
3.18, Аноним (-), 22:14, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Я про то, что очень многие пользователи тешат себя иллюзией, что нет JS - нет проблемы или что если посещать только "хорошие" сайты ничего не случится. А дыра в парсере JPEG открывает совершенно другой горизонт - закачал хитрый баннер в баннерную сеть, накрутил себе в плюс миллион показов на своем порноресурсе и 200 тысяч пользователей Firefox под колпаком.
| |
|
|
|
2.7, terr0rist (ok), 13:53, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> В Chrome за всю историю существования проекта было найдено 8 критических уязвимостей
> (http://www.chromium.org/Home/chromium-security/hall-of-fame), а в Firefox в каждом
> релизе исправляют десяток.
Таки хром или хромиум?
И этот список по ссылке - это 8 узявимостей? Кажется, там более двухсот навскидку.
А теперь просуммируйте за все годы существования и сравните, у кого больше и у кого критичнее. И ещё хочу заметить, что хромы, хромиумы, эпифани и прочие используются всё-таки на порядок меньшим кол-вом юзеров, а значит, и вероятность найти баги на порядок меньше. Сколько же их там в реальности - знает один хромобог.
| |
|
3.19, Аноним (-), 22:19, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> В Chrome за всю историю существования проекта было найдено 8 критических уязвимостей
>> (http://www.chromium.org/Home/chromium-security/hall-of-fame), а в Firefox в каждом
>> релизе исправляют десяток.
> Таки хром или хромиум?
Без разницы, кодовая база одна.
> И этот список по ссылке - это 8 узявимостей? Кажется, там более
> двухсот навскидку.
Критических только 8 (заплачено больше 1000$), остальные 200 в лучшем случае приведут к закрытию одного таба, даже браузер не рухнет. Код запустить в Chrome/Сhromium только эти 8 уязвимостей позволяют, все что 1000$ и меньше так мелкие баги, не поддающиеся эксплуатации.
| |
|
|
3.20, Аноним (-), 22:22, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Нихрена себе, это при том что https://www.opennet.ru/opennews/art.shtml?num=29755 на
> ПЕРВОЙ СТРАНИЦЕ новостей опеннета? Где написано про ДЕВЯТНАДЦАТЬ дыр! Я фигею,
> дорогая редакция! :)
Прочитайте второй абзац в той новости. Критическая дыра (critical) и опасная дыра (high) - это небо и земля, critical по рейтингу Google позволяет выполнить код, а high - всего лишь безобидно устроить крах процесса.
| |
|
4.35, User294 (ok), 20:35, 05/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> безобидно устроить крах процесса.
Угу, только обычно крах процесса - это почти выполнение кода. Ну может вот так сходу и не придумали как довести до выполнения кода. Но примеров когда изгальнулись и все-таки запустилось - навалом! Вон например хакерье прошибает хваленые DEP и ALSR в ишаке, ну да, извращений в сплойте чуть побольше. Но прощибает в итоге. А как некоторые орали про секурити, непробиваемость, блаблабла. Хотелось бы чтобы в открытом софте честнее относились к пользователям, а не по принципу "все-равно никто этот говнокод/ссыкотный багрепорт/редкую проблему не найдет - ну и хрен с ними".
| |
|
|
|
|
4.25, Alexey (??), 01:32, 03/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Тут когда-то была статья в которой автор показывал как из опасного бага сделать критический. По сути, опасный - это когда падение есть, но сразу не очевидно как его использовать для атаки, а критический - баги, эксплуатация которых не представляет проблемы.
| |
|
|
|
1.12, Zenitur (?), 14:48, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я уже заждался. Думал, что до релиза 4 версии обновлений вообще не будет! 11 уязвимостей... Это много. Редко так бывало.
| |
1.14, iZEN (ok), 20:15, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё те же переполнения буферов. Н-да, критические ошибки в архитектуре C++ всё ещё не дают хацкерам и асам ручного управления памятью и закатом солнца отказаться от такой весёлой игрушки с эффектом русской рулетки "вылетит-не вылетит". А то — адреналиновые алкоголики, подсевшие на маразматическое творение Страуструппа. :))
| |
|
2.16, kido (?), 21:33, 02/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Да-да. Давайте юзать питон. Утечек будет меньше, зато про скорость даже простейших операций можно забыть.
Пишу не просто так - есть для сравнения Qcomixbook на Qt и Comix на python2. и даже на моей топовой машине второй на порядок медленнее первого.
*Учу C++ и доволен.
| |
|
3.26, iZEN (ok), 01:35, 03/03/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>*Учу C++ и доволен.
Для устранения проблем C++ специально был создан язык Java и программная платформа на его базе.
| |
|
4.27, Аноним (-), 03:33, 03/03/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Для устранения проблем C++ специально был создан язык Java и программная платформа на его базе.
И они блестяще облажались в этом деле :)
Вижулбасик для клёпки очередного склада\магазина\учета - да слегка заменили ... и всЁ :)
| |
4.30, watcher (??), 09:57, 03/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Для устранения проблем C++ специально был создан язык Java и программная платформа
> на его базе.
Попробуй ка на яве написать свою любимую фряху
| |
|
5.31, watcher (??), 10:04, 03/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Для устранения проблем C++ специально был создан язык Java и программная платформа
>> на его базе.
> Попробуй ка на яве написать свою любимую фряху
да что там фряху, хотя бы что-нибудь типа LX-DE
| |
|
|
7.34, Andrey Mitrofanov (?), 13:42, 03/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>> Попробуй ка на яве написать свою любимую фряху
> Фри написана на C, а не на C++
Чё, "адреналиновые наркоман" подсел "на маразматическое творение" Кернигана и ко.? От переполнения буферов в Си даже Джабба не лечит? :-P
...уже пишешь верификатор фри/Си-кода на жаве, да? И оперы, оперы!! Проблема _почти_ решена?
| |
|
|
|
|
|
|
1.15, Аноним (-), 21:20, 02/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А подскажите, какие хорошие стредства защиты есть от этого?
Кроме как создать нового пользователя и сидеть под ним, ничего в голову не приходит. (качать с помощью wget)
| |
1.33, Аноним (-), 13:30, 03/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> в ParanoidFragmentSink добавлена возможность работы с URL вида "javascript:" в документах chrome.
Работа состоит в чём‐то вроде удаления.
| |
|