W “Polityce” o przeglądarkach

W najnowszym numerze tygodnika “Polityka” na stronie 76 znajdziecie artykuł Bogdana Misia pt. “Rudy na 102” traktujący o przeglądarkach, a obok niego krótki wywiad, jakiego Tristan Nitot, przewodniczący stowarzyszenia Mozilla Europe udzielił Edwinowi Bendykowi (zapewne podczas wizyty w Warszawie pod koniec września).

Jest tam kilka nieco kontrowersyjnych stwierdzeń  (“instalowanie rozszerzeń wymaga odrobinkę bardziej zaawansowanej wiedzy informatycznej”), drobnych nieścisłości (“[Mozilla Suite] skończyła się na wersji 1.8” – ostatnia wydana wersja to 1.7.13) i dziwnych danych (tabelka “Szybkość wybranych przeglądarek” zawierająca tylko czasy “zimnego startu” na bliżej nieokreślonym systemie, w których Opera wypada lepiej niż IE). W przypadku IE wymienione są tylko jego wady, Firefoksa – wady i zalety, a Opera jawi się tu jako program wręcz idealny, którego z niewiadomych przyczyn mało kto używa. No i jeszcze można by się przyczepić do tego, że podano bezpośredni link do amerykańskiej (en-US) strony Firefoksa, zamiast do www.firefox.pl

W sumie jednak znowu mamy w “Polityce” dość przychylny wobec alternatywnych programów artykuł. Choć wydaje mi się, że najwyraźniej redakcja ten tekst chyba za bardzo pocięła… :-)

33 responses to “W “Polityce” o przeglądarkach

  1. TroPtyN

    Mnie nie przeszkadza to, że Operę przedstawiono jako program doskonały. Ważne, że badzIEw został skrytykowany. Prawda na jego temat jest potrzebna wielu użytkownikom. =)

  2. Fakt, dość oględnie mówiąc się autor nie pokusił o głębszą krytykę :] i chyba nie jest miłośnikiem Fx. Ale mamy tam też ciepłe słowa o Flock i K-meleonie.

  3. wzs

    A mnie rozśmieszyło stwierdzenie w ostatnim zdaniu…
    “Najlepiej mieć je wszystkie”…
    ZU z pewności będzie miał ochotę robić benchmarki przeglądarek :)

  4. Andrzejos

    Co ty ciagle masz do Opery…
    Ja sie Fxa nie czepiam. Zapewne autor ma Opere jako domyslna i to wszystko tlumaczy. Niestety doskonała nie jest bo nie istnieje program bez wad. Przynajmniej nie wykradaja z niej haseł;]
    IE i Firefox to chyba jednak mala roznica jesli chodzi o funkcjonalnosc dla ZU. Podkreslam NIE O BEZPIECZENSTWO bo zaraz by sie zaczal jakis flame. A chociaz Operka ma wszystko w jednym to wiekszosc korzysta zapewne tylko z podstaw… troche szkoda.
    Nie wspamnieli nic o Thunderbirdzie? bo w sumie to jak juz ktos ma lista to i thundera…. O2 z opery to najwiekszy badziew… Gdyby nie to ze jest konieczny do RSS;]

  5. Andrzejos: ja mam mniej do Opery niż niektórzy operowcy mają do Firefoksa (zob. choćby blog quirisa).

    Przereklamowane “wykradanie haseł” jest przede wszystkim skutkiem głupoty twórców MySpace’a, winą Firefoksa jest tu tylko to, że jego programiści nie przewidzieli, że włebmajstrzy moga być aż tak bezdennymi ignorantami. Mimo to, pseudodziura ta będzie załatana w 2.0.0.1.

  6. daromar: przecież link do onetu był w moim wpisie…

  7. Ancestor

    @Andrzejos
    Nie chcę odpowiadać za marcoosa, ale gdzie ty widzisz tutaj, że ma on “coś do Opery”? On przecież opisuje tylko treść artykułu w Polityce.
    “a Opera jawi się tu jako program wręcz idealny, którego z niewiadomych przyczyn mało kto używa”
    Tak napisali, więc tak też marcoos to relacjonuje… no i co z tego?! Jeśli już do kogoś tutaj pije, to do autora artykułu.

    Niektórzy są zdecydowanie przewrażliwieni…

  8. Mymon

    Zgadzam się z tym zdaniem: ”instalowanie rozszerzeń wymaga odrobinkę bardziej zaawansowanej wiedzy informatycznej”. Nie chodzi o to że ciężko jest kliknąć w link zainstaluj :o) ale o to, że masa ludzi nawet nie wie że może coś takiego zrobić. Jak koleżance, po roku (jej) używania FF zainstalowałem inną skórkę to patrzyła ze zdziwieniem że takie coś jest możliwe. O rozszerzeniach nawet nie wspomnę. A już w Operze to kosmos.

  9. Mymon, w Operze nie ma rozszerzeń, są widżety! Wiiiiiiiiiiiiiiiiiiiiiiii :)

    pb,nmsp

  10. yZZuF

    Zaraz, zaraz. Wykradanie haseł nazywasz pseudo dziurą? Chciałbym Ci przypomnieć, że owy bug dotyczył nie tylko serwisu MySpace. Łebajstrzy nie sądzili, że programiści Firefoxa mogą być takimi bezdennymi ignorantami odwalającymi programistyczną fuszerkę, no bo jak można coś takiego inaczej nazwać. Żenada.

  11. Pozwalanie użytkownikom na wstawianie dowolnego kodu jest dziurą w danej witrynie właśnie. WordPress.com na przykład by mi na to nie pozwolił.

  12. Autor artykułu chyba używa Flocka, przynajmniej tak o tym pisze tu.

  13. Olgierd: wiem. Tym bardziej mnie zdziwiło, że to o Operze pisze w samych superlatywach. :)

  14. “dziwnych danych (tabelka “Szybkość wybranych przeglądarek” zawierająca tylko czasy “zimnego startu” na bliżej nieokreślonym systemie, w których Opera wypada lepiej niż IE)””

    Nie mprzypominam sobie, zeby ktorakolwiek wersja Opery startowala u mnie wolniej niz IE jeśli akurat nie miała dużo otwartych kart do załadowania. Może pobierałem jakieś dziwne Opery? ;)

  15. A co pisali o innych geckowatych? Zwlaszcza SeaMonkey i K-Meleonie?

  16. Wilk

    OK, sorry za komentarz wyzej, slepy jakis jestem, ze nie zauwazylem, ze jest link ;)

  17. soltys

    Uważam, że takie tygodniki zajmujące się polityką nie powinny się tykać spraw związanych z IT bo jest duże prawdopodobieństwo złego artykuły pod zwględem merytorycznym.

    Soltys

  18. yZZuF

    marcoos: Błedem bezpieczeństwa jest sama możliwość wykorzystania tego w przeglądarce. Bez względu na to, czy strona umożliwia, czy też nie, wstawienie dowolnego kodu. Programując trzeba brać pod uwagę wszystkie możliwe przypadki, a nie wierzyć w to, że wszyscy twórcy witryn są bystrzy i nie popełniają błędów.

  19. Ancestor

    @yZZuF
    Mylisz się. Strona hostująca treść użytkowników MUSI mieć pewnego rodzaju filtry. Gdyby na przykład MySpace nie filtrował skryptów, to byłby podatny na wykradzenie haseł poprzez XSS i żadna przeglądarka by tutaj nic nie pomogła. Przeglądarka nie ma pojęcia, która część danej strony to strona macierzysta, a która to zawartość użytkownika – nie istnieje żadnego rodzaju “sandbox”.

    Strony tego typu muszą same dbać o bezpieczeństwo, bo przeglądarka w wielu przypadkach nie może nic pomóc. Dlatego granica pomiędzy błędami w zabezpieczeniach strony i przeglądarki jest płynna, a stwierdzenie, że “przeglądarka ma być odporna na ataki i koniec” jest świadectwem ignorancji, bo jest to w wielu przypadkach zwyczajnie niemożliwe.

  20. A jeśli już o tej dziurze – kiedy można spodziewać się poprawki? Moim zdaniem jak na tak poważna lukę to troszkę długo czekamy :/

  21. Absolon: To nie jest poważna luka. Nawet tradycyjnie nieprzychylna Mozilli Secunia oznacza ją jako “less critical”.

    http://secunia.com/advisories/23046/

    Poprawka będzie w 2.0.0.1, jeszcze w grudniu.

  22. yZZuF

    Ancestor:
    Oczywiście, że strona hostująca treść użytkowników MUSI mieć filtry. Ale nie zwalnia to twórców przeglądarki od jej należytego zabezpieczenia. W tym wypadku było ono niewystarczające, gdyż sprawdzało jedynie domenę w której strona jest serwowana, bez dokładnego sprawdzania reszty URLa. Komuś się nie chciało?
    I co ma XSS do wspomnianego błędu klejenia przez Fx haseł do pól forumalrzy gdzie popadnie (uogólniając)?

  23. I co ma XSS do wspomnianego błędu klejenia przez Fx haseł do pól forumalrzy gdzie popadnie (uogólniając)?

    To jest praktycznie to samo – bez filtrów po stronie serwera użytkownik MySpace’a mógłby a) wykraść hasła; b) wykraść cookies za pomocą XSS. Skutek mniej-więcej taki sam…

    Zabezpieczenie przed (a) i (b) jest przede wszystkim powinnością operatorów witryny, przeglądarka może tylko ‘zabrać małpie brzytwę’, czego Firefox faktycznie nie robił, ale będzie.

  24. Pako

    jak ktoś już wcześniej zauważył..

    grunt to prawda na temat m$iE

  25. yZZuF

    marcoos:
    Dlaczego błąd w Fx powodujący klejeniem przez niego haseł w pole formularza spowodowanym błędnym, a raczej niedostatecznym, sprawdzeniem URLa, z takim uporem maniaka chcesz przypisać błędnie napisanym serwisom? Wiem, że samo wklejenie w ten sposób hasła to za mało, żeby je skraść, ale to już 90% sukcesu. 10% to kliknięcie gdzie trzeba przez nieświadomego użytkownika.
    A jeżeli już nawiązujemy do XSS to technika ta nie umożliwia kradzieży haseł i innych wrażliwych danych jeżeli nie są one zapisane w plikach cookie, URLu jako parametr (GET), formularzu (POST).
    Z mojej strony EOT.

  26. Skoro EOT, to nie powinienem udzielać Ci odpowiedzi. ;-)

    To nie jest ‘niedostateczne’ sprawdzenie URL-a. To jest rozwiązanie dla wygody użytkownika, który nie musi osobno wpisywać go na 40 różnych stronach na tym samym hoście. To udogodnienie ma jednak tę wadę, że pozwala twórcom witryn strzelić sobie w stopę.

    Teraz chodzi o to, czy da się zachować to udogodnienie przy jednoczesnym uniemożliwieniu strzału w stopę.

  27. Ancestor

    @yZZuF

    A jeżeli już nawiązujemy do XSS to technika ta nie umożliwia kradzieży haseł i innych wrażliwych danych jeżeli nie są one zapisane w plikach cookie, URLu jako parametr (GET),

    Niekoniecznie. Co przeszkodzi skryptowi po prostu odczytać zawartość ?

    Generalnie, sprawa wygląda wg mnie następująco. Technologie, na który oparte jest www nie są dostosowane do tworzenia “stron w stronach”. Witryny, które to robią muszą pamiętać, że wkraczają na bardzo grząski grunt, bo przeglądarki od zawsze identyfikują poszczególne strony po hoście i nie mogą w żaden sposób rozróżnić co jest stroną macierzystą, a co potencjalnie podejrzaną zawartością. Kiedy więc tego rodzaju witryny łamią bardzo wiele konwencji, na których opierają mechanizmy bezpieczeństwa przeglądarek, są one odpowiedzialne za bezpieczeństwo swojej zawartości.

    Jest zupełnie naturalne, że przeglądarka kojarzy zapamiętane hasło z witryną (hostem), do którego ono przynależy. MySpace dobrze wie, że fakt, iż łamie tę konwencję i że czyni go odpowiedzialnym za skutki – dlatego przecież filtruje zawartość, dlatego usuwa skrypty. Jak widać filtruje nie dość dokładnie.

    Ja na to patrzę tak: jest to przykład błędu w filtrowaniu zawartości przez witrynę. Okazało się, że akurat na ten błąd przeglądarka może być odporna, choć trudno mieć do niej wielkie pretensje, że wcześniej nie była. Ale tak czy inaczej, w przypadku niemal wszystkich pozostałych błędów w filtrowaniu zawartości przeglądarki są bezradne.
    Jedynym wyjściem jest samodzielne dbanie o bezpieczeństwo swojej zawartości przez hostujące ją witryny.

  28. Ancestor

    Ech, w związku z filtrowaniem zawartości, właśnie mi wycięło taga, którego wstawiłem w komentarzu. :D

    Pierwszy akapit brzmi:
    “Niekoniecznie. Co przeszkodzi skryptowi po prostu odczytać zawartość pola z hasłem?”

  29. yZZuF

    Miał być EOT ale chyba nie wyszło. ;-)

    marcoos:
    Usilnie wytężam swój umysł, ale nie mogę sobie przypomnieć gdzie mi się przydaje tego typu udogodnienie. Nie potrafię przypomnieć sobie serwisu który wymagałby ode mnie podawania na różnych podstronach pary login plus hasło. Ale nawet gdyby to moim zdaniem user powinien mieć świadomość, że musi podać hasło na każdej podstronie za pierwszym razem.

    Ancestor:
    Nie zrozumiałem pierwszego pytania. Jaki skrypt ma odczytać zawartość i czego? Pliku cookie? Czy zawartość pliku z hasłami na komputerze usera?
    Uważam, że nie jest naturalne aby przeglądarka kojarzyła zapamiętane login i hasło z wirtyną na podstawie FQDN. Właśnie dlatego, że można to bardzo łatwo wykorzystać. Kojarzony powinien być cały URL. Chociaż nie twierdzę, że nie będzie problemów w momencie gdy w URLu będzie zaszyty np. session id.
    Innym rozwiązaniem problemu jest uniemożliwienie przeglądarce klejenia w ukryte pola formularza (z atrybutem hidden). Ale to również będzie można łatwo obejść (ramki, przykryte formularze wyższymi layerami itp.).

    Tym razem definitywnie EOT. ;-)

  30. jasiu

    Autouzupełnianie haseł w sposób jaki robi to Firefox zawsze mnie irytowało. Fajnie, że okazało się, że jest to również potencjalnie niebezpieczne – dzięki temu wkrótce to zmienią a tak pewnie nie doczekałbym się poprawki tej funkcjonalności.

  31. A ja spotkałem kilka takich stron, gdzie formularz logowania jest w różnych miejscach. Szczególnie np. przy pobieraniu czegoś z witryn wymagających logowania, gdzie formularz jest zarówno pod strona.com, http://www.strona.com, login.strona.com jak i download.strona.com. Ja nie po to korzystam z możliwości zapamiętywania haseł, żeby po wygaśnięciu sesji (ustawionym w serwisie na idiotyczne 5 minut od ostatniej operacji) grzebać w menedżerze haseł czy w swoich notatkach, żeby przeczytać dalszą część artykułu, ściągnąć omawiany program czy dopisać komentarz.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

MDN

Better JavaScript docs for a better Web on MDN

Archiwum

%d bloggers like this: