marcoos.techblog

Poniższy tekst to tłumaczenie FAQ napisanego przez Asę Dotzlera i opublikowanego na blogu “For the Record”. Pomyślałem, że skoro nawet LinuxNews.pl wypisuje niestworzone rzeczy, to mogę przewidzieć poziom artykułów w innych serwisach - i lepiej zareagować uprzedzająco. :)

Wczoraj (tzn. 7 maja - przyp. tłum) Mozilla poinformowała, że jeden z dodatków napisanych przez członków społeczności, hostowany przez Mozillę (w addons.mozilla.org - przyp. tłum.) zawierał pozostałości wirusa nazywanego W32/Xorer.A, znanego także jako W32/Fujacks!htm.

Po przeczytaniu kilkudziesięciu artykułów i notek na blogach opisujących tamto ogłoszenie, pomyślałem, że w tym miejscu wyjaśnię kilka błędnych informacji, na jakie natknąłem się w tych artykułach i notkach.

• Dodatek z wietnamskim pakietem językowym zawierał robaka albo wirusa

  Nagłówki wiadomości z konieczności muszą być krótkie i do rzeczy, ale w wiadomościach związanych z bezpieczeństwem nadmierne uproszczenie może stać się dezinformacją.

  Inaczej niż jak to sugerowały te nagłówki, dodatek nie zawierał ani robaka, ani wirusa. Wirus znajdował się na komputerze twórcy dodatku. Wirus ten wstrzyknął mały skrypt do dodatku (dokładniej, do plików pomocy - przyp. tłum.). Skrypt ten nie mógł ani replikować się, ani rozprzestrzeniać jak wirus czy robak. Jedyne, co mógł zrobić, to nakazać Firefoksowi ładowanie niepożądanych reklam. Wyłączenie dodatku jest skutecznym sposobem zabezpieczenia przed tym problemem, ponieważ nie jest to ani robak, ani wirus.

• Wszyscy użytkownicy Firefoksa (albo przynajmniej większa ich część) są narażeni, ponieważ Firefox zawiera domyślnie obsługę wszystkich języków

  To nie jest prawda. Niektóre wielojęzyczne programy faktycznie zawierają wszystkie tłumaczenia w jednej paczce. Nie jest tak w przypadku Firefoksa. Mozilla dostarcza osobne wersje Firefoksa dla każdego z 45 obsługiwanych języków. Język wietnamski nie jest jeszcze jednym ze wspieranych języków, więc użytkownicy chcący korzystać z wietnamskiej wersji językowej muszą odnaleźć i zainstalować ten dodatek z wietnamskim tłumaczeniem. Jedynie użytkownicy, którzy zainstalowali uszkodzony wietnamski pakiet językowy, mieli styczność z nieautoryzowanym kodem.

• 16667 użytkowników wietnamskiego pakietu językowego było narażonych

  O ile nie znamy dokładnej liczby użytkowników, których dotyczy ten problem, pewne jest to, że liczba ta jest znacznie mniejsza. W ogłoszeniu wspomnieliśmy, że od listopada 2007 było 16667 pobrań tego dodatku. Jednocześnie, nie wszystkie z nich były pobraniami wersji uszkodzonej. Dodatek ten został zaktualizowany 18 lutego 2008 i tylko użytkownicy, którzy pobrali jego lutową aktualizację, mieli styczność z nieautoryzowanym kodem.

• Użytkownicy Firefoksa powinni go odinstalować i skorzystać z oprogramowania antywirusowego, by naprawić ten problem.

  Ponieważ nie jest to wirus ani trojan, a jednocześnie sprawa dotyczy tylko dodatku z wietnamską paczką językową, użytkownicy nie muszą odinstalowywać Firefoksa ani używać zewnętrznego oprogramowania, by naprawić ten problem. Wystarczy otworzyć menedżer dodatków z menu Narzędzia i wyłączyć w nim dodatek z wietnamską paczką językową.

• Systemy Mozilli zawierały wirusa lub robaka

  Wirus znajdował się na komputerze twórcy dodatku (osoby ze społeczności, nie pracownika Mozilli - przyp. tłum.). Komputery produkujące i rozpowszechniające Firefoksa nie były narażone i nie odpowiadają za uszkodzony dodatek.

• Mozilla podejrzewa autora dodatku o złe zamiary

  W żadnym razie. Mozilla nigdy nie miała takich podejrzeń; nie ma do nich żadnych podstaw.

• Dodatkom nie można ufać

  Wszystkie dodatki są skanowane w momencie przesyłania ich do serwisu Mozilla Add-ons. Ten dodatek zawierał pozostałości po wirusie, który wtedy nie był rozpoznawany przez oprogramowanie antywirusowe. W wyniku tego incydentu, implementujemy dodatkowe skany w regularnych odstępach czasu także po wgraniu dodatku do Mozilla Add-ons, aby zabezpieczyć się przed zbliżonymi problemami w przyszłości.

Dodatki są bardzo ważne i cenne dla wielu użytkowników Firefoksa. Wierzymy w tę elastyczność i siłę, dlatego mocno zainwestowaliśmy w infrastrukturę ich hostingu i wspieramy zarówno dodatki, jak i wspaniałą społeczność, która je tworzy. Bezpieczeństwo jest kluczowym składnikiem tej inwestycji i bardzo poważnie traktujemy wszelkie problemy dotyczące bezpieczeństwa dodatków. Na szczęście, opisywany problem dotyczył tylko względnie niewielkiej liczby użytkowników, skutki tego problemu nie były dla użytkowników katastroficzne, a naprawa problemu ogranicza się do trzech kliknięć myszą.

Idąc dalej, mamy gotowe lepsze skanowanie antywirusowe i szukamy innych sposobów na zapewnienie bezpieczeństwa i integralności wszystkich dodatków - nie tylko tych hostowanych przez Mozillę.

Więcej informacji:
Mozilla Security Blog » Uszkodzony plik w wietnamskiej paczce językowej dla Firefoksa 2 - artykuł Window Snyder

Tyle, jeśli chodzi o FAQ autorstwa Asy.

Sprawa wygląda więc tak… Autor dodatku z wietnamską lokalizacją pracował na zakażonym komputerze. Wirus zmodyfikował pliki pomocy Firefoksa zawarte wewnątrz dodatku w taki sposób, by wyświetlały reklamy. Całe zagrożenie ograniczyło się wiec do tego, że w plikach pomocy pojawiały się reklamy. W dodatku NIE BYŁO wirusa, do kodu HTML dołączone były tylko nieautoryzowane wstawki reklamowe, które wirus działający na komputerze autora do nich dopisał. Użytkownicy nieoficjalnego wietnamskiego pakietu językowego nie mieli więc wirusa u siebie i wirus ten nie mógł się rozpowszechniać przez pakiet językowy. Pakiety językowe nie zawierają kodu wykonywalnego, jedynie pliki z tekstami wykorzystywanymi przez docelowy program plus pliki z treścią “pomocy”).

PS. Właśnie sprawdziłem IDG i widzę, że też wyolbrzymiają sprawę (w dodatku z lokalizacją NIE BYŁO żadnego trojana!)… Po drugie - IDG i inni, nauczcie się wreszcie: “wtyczką” (ang. “plug-in”) jest Flash, Java, Silverlight, MPlayer i inne binarne komponenty dodające obsługę obiektów wstawianych do HTML-a znacznikami <embed> i <object>. Tu mówimy o dodatkach (”add-ons”).

Półtora roku po premierze Firefox 2 stał się przeglądarką najczęściej używaną przez polskich użytkowników według badań Gemiusa.

• Firefox 2 - 34,7%
• IE 6 - 34,6%
• IE 7 - 21,5%
• Opera 9 - 5,9%
• Firefox 1.0 + 1.5 - 1,5%
• Firefox 3 beta/pre-RC - 0,5%

Wszystkie wersje IE traktowane łącznie (56,4%) wciąż jednak przewyższają pod względem liczby użytkowników wszystkie przeglądarki oparte na Gecko (37,2%) - ale spokojnie, pracujemy nad tym. :)

Właśnie trwa. Blogują o tym Gandalf i Staszek, ja podlinkuję na razie do kilku zdjęć zrobionych kamerą z mojego laptopa. :)

Więcej na temat spotkania w następnej notce.

Firefox 3.0b1 został dziś wydany w 20 wersjach językowych, w tym po polsku. Szczegóły w poście gandalfa na aviary.pl. ;)

Staszek blogs about this in Polish, so I thought it might be nice to share the news with the wider Mozilla community and decided to write this post in English.

Almost 200 edits and about thirty deeply QA’ed articles in the Polish Mozilla Developer Center. These are the results of the first day of what we called “MDC Sprint” (though “Marathon” would fit better, I think). The goal was to proof-read and fix (where appropriate) some of the articles in the JavaScript category at MDC PL.

Basically, we’ve modelled this on the Bug Days. Ptak82 prepared a list of articles needing proof-reading and then we poked some of the open source and web-related sites and Usenet newsgroups, telling them about the “Sprint” and inviting people to our IRC channel, where we co-ordinated the work.

Thanks to the nice publicity we received from the online media, we got a few participants ranging from professional webmasters to university students. These guys during 8 hours of this Saturday managed to fix twice as many pages as we initially imagined. A nice side effect is also making MDC PL more known throughout the Polish web developer community.

We’ve awarded the most active participants with invites to Blip (a local Twitter-like site, but better ;)) and Joost, and tomorrow, after the second day of the first MDC Sprint, we will award some of them also with Mozilla t-shirts and some other stuff. Thanks to Mozilla Europe, Blip and Joost for providing us with the invites and gadgets!

MDC PL Sprint #1 Day 2 begins in 11 hours. :)

Mozilla wydała dzisiaj wersję 1.5 przeglądarki Camino. Wydanie wielojęzyczne zawiera oczywiście polską wersję językową, przygotowaną przez Piotra “heidiego” Chylińskiego (pod patronatem Aviary.pl).

Camino 1.5 odrabia dystans do Firefoksa 2; dodano m. in.: sprawdzanie pisowni, wykrywanie RSS-ów, zapisywanie sesji, blokowanie “przeszkadzajek”. Ciekawostką jest wbudowana blokada animacji flashowych. Twórcy Camino przygotowali nawet specjalną stronę dla osób migrujących z Firefoksa (i z Safari).

Camino 1.5 zawiera Gecko 1.8.1.4 (to samo, co Firefox 2.0.0.4).

Mimo że prosiłem Mozillę, by zaczekali na poprawione i zaktualizowane pliki lokalizacyjne, ktoś się pospieszył i uruchomił polskie AMO na bazie niekompletnego i nieaktualnego tłumaczenia.

Dlatego nie bijcie nas za “Przeglądaj Extensions” i inne takie, wkrótce będzie lepiej. :)

This is how Remora’s PO file looks like when opened in POEdit:

Red usually means that a string is broken and has an error - but in this case it does not, this is the file with the original strings. But since the “original” string is just a key name, POEdit thinks that all the “%s” etc. are errors, as they don’t appear in the “original”…

And the status bar in that screenshot states: “329 strings,  0 fuzzy, 60 broken,  0 untranslated”. In fact, none are broken and there are 329 untranslated.

There’s nothing wrong in using a key-value paradigm. But when you’re using it in a format that was not designed with this in mind, you just break things.

No pięknie. Dwa tygodnie ciszy w techblogu, a czterysta osób codziennie tu wchodzi i wychodzi zawiedzione… :)

Nie umarłem, żyję.  Nie miałem tylko zupełnie czasu na blogowanie. I nadal nie za bardzo mam, więc tylko pokrótce opiszę, co się istotnego zdarzyło.

Tydzień temu o tej porze Aviary.pl obradowało w pięknym mieście Kraka. Efektem tych obrad był m. in. nowy, trójstopniowy (kierownictwo-członkowie-współpracownicy) jedyny w swoim rodzaju schemat organizacyjny Aviary.pl 2.0, a także ostateczna (?) decyzja w sprawie formalizacji naszej działalności. W końcu ruszamy także z projektem słownika referencyjnego, który ma ujednolicić słownictwo stosowane w polskim oprogramowaniu open-source (nasze Mozilla, Gnome i [open]SUSE plus inne polskie projekty lokalizacyjne, o ile będą chętne do współpracy - KDE, OOo itd.).

No właśnie. Ruszamy z jego przygotowaniem, a nie “przygotowaliśmy” go, jak błędnie można było się dowiedzieć z szumnej informacji prasowej polskiego Novella. ;-)

Powoli przenosimy też nasze strony z serwera biofizyka.agro.ar.szczecin.pl na Dreamhost. www.aviary.pl i wiki.aviary.pl są  już zmigrowane, pozostałe serwisy wkrótce również powinny wylądować na Dh.

Firefox 2.0.0.2 ukaże się już wkrótce. Wśród poprawek lokalizacyjnych - nowa (dzisiejsza!) wersja słownika kurnik.pl, nowy “favicon” Wirtualnej Polski w pasku wyszukiwania, poprawiona literówka w oknie aktualizacji i dopisanie Marcina Jagodzińskiego (pierwszego Polaka, który w pradawnych czasach zaczął lokalizację dużej Mozilli) do okna “O programie”.

Wraz z 2.0.0.2 powinna ukazać się też kolejna wersja z linii 1.5, ale w niej, jeśli chodzi o polską lokalizację, nic nie zmieniliśmy.

Na razie to tyle. Mam nadzieję wrócić do częstszego blogowania za jakiś tydzień-dwa. :-)

Co słychać w Aviary.pl?

Poprawiliśmy masę błędów w lokalizacji Firefoksa 2. Poprawki te znajdą się w mrożonej dziś w nocy wersji 2.0.0.1.  Z ostatnią łatką zmieściłem się dosłownie na pięć minut przed ostatecznym terminem. :)

Chociaż najwyraźniej ostateczny termin jest kiedy indziej… :)

Również zupełnie na ostatnią chwilę udało nam się wrzucić do CVS-a aktualizację lokalizacji Gnome 2.16.2, mimo że chwilowo nie mieliśmy nikogo z dostępem do tegoż CVS-a. Podziękowania za to należą się uws-owi: thank you, Wouter! :)

W lokalizacji OpenSUSE 10.2, w której wspomagają nas ludzie spoza Aviary.pl, dobiliśmy do 99%, wyprzedzając oficjalnie wspierane lokalizacje, takie jak francuska i niemiecka.

Dziękuję w tym miejscu wszystkim, dzięki którym było to możliwe.