На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-7-28 на главную / новости от 2004-7-28
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 28 июля 2004 г.

Mozilla изгоняет клопов

Веб-серферам, которые в качестве безопасной альтернативы рассматривают браузеры на базе Mozilla, лучше отложить переход еще на неделю.

Дело в том, что Mozilla Foundation, группа разработчиков браузера с открытым исходным кодом, обнаружила пару серьезных ошибок в механизме работы браузеров с сертификатами — цифровыми документами, подтверждающими подлинность веб-сайтов.

Инженеры Mozilla оказались застигнутыми врасплох, так как проблемный код восходит еще к проприетарному предку браузера — Netscape. «Этому коду шесть или семь лет, так что все серьезные баги выловлены еще во времена Netscape 4.0, — говорит главный инженер Mozilla Foundation Крис Хофманн. — Мы давно не находили там ничего серьезного и очень удивились».

Ошибки управления сертификатами всплыли в неудачное для проекта время: специалисты по безопасности как раз продвигают браузеры Mozilla Foundation и Opera в качестве более надежной альтернативы доминирующему программному обеспечению Microsoft Internet Explorer.

Хотя Mozilla и другие конкуренты IE утверждают, что их модель защиты гораздо надежнее, они признают также, что на Microsoft нацелено больше атак просто потому, что это лидер рынка. Если же Mozilla и другие второстепенные браузеры обретут популярность, ситуация может измениться.

Информация о первой из двух обнаруженных ошибок опубликована в вебе и списке рассылки Bugtraq Эммануэлем Келлинисом. Она позволяет злоумышленнику заманить посетителя на подложный веб-сайт якобы банка или крупной компании, подделав сертификат. Проблема связана с работой стандартного механизма извлечения контента из веб-сайтов, которые пользователь еще не посещал.

Обычно, когда контент защищенного веб-сайта вовлекается в такие схемы с участием постороннего сайта, он забирается в кэш браузера, и тот предупреждает об этом пользователя, заменяя значок ключа значком сломанного ключа. Однако ошибка в системе кэширования Mozilla допускает возможность сохранения ключа несломанным даже при импортировании контента с других сайтов и отображения сайта злоумышленника с сертификатами защиты подлинного сайта. Таким образом, злоумышленник может убедительно выступать от лица eBay или Bank of America, воруя кредитные карты или реализуя мошеннические схемы.

Вторая, менее серьезная ошибка обнародована через собственную систему отслеживания багов Mozilla Bugzilla и позволяет организовывать атаки типа denial-of-service. Из-за этой ошибки фальшивый сертификат может вызывать искажение подлинного. В результате посетителю подлинного сайта будет отказано в доступе.

В Mozilla пока не решили, выпускать ли отдельные поправки или просто включить их в будущие версии браузеров. Последними версиями браузеров на базе Mozilla являются Mozilla 1.7.1 и Firefox 0.9.2. Ожидается, что исправления или новые версии браузеров появятся примерно через неделю. 

 Предыдущие публикации:
2004-07-09   В браузере Mozilla обнаружена дыра
2004-07-14   Пользователей IE становится меньше
 В продолжение темы:
2004-09-14   Браузер Firefox подошел к черте 1.0
Обсуждение и комментарии
Мимо прыгал
28 Jul 2004 2:56 PM
Капец, все говно...
 

1
28 Jul 2004 3:00 PM
какая еще мозилла
только опера!!!
 

Black IBM.*
28 Jul 2004 3:22 PM
пошли как то раз Мозила с Осликом Оперу послушать.
 

2
28 Jul 2004 3:48 PM
нафиг эту проприетарную поделку с бальшим банером
 

1
28 Jul 2004 4:23 PM
какой баннер
у меня она зарегистрирована!
работает под линуксом + кде
 

1
28 Jul 2004 4:24 PM
проприетарную поделка без баннера :)
 

1
28 Jul 2004 4:32 PM
ослик у меня тоже есть
но не ie, а xmule
 

2
29 Jul 2004 9:44 AM
и страницы сохраняет в ужасном просто таки виде
 

Мимо прыгал
29 Jul 2004 2:47 PM
Сохранять страницы надо httrack'ом
А самый лучший ослик mldonkey.
 

2
29 Jul 2004 4:23 PM
нифига не нормально
IMG00001.JPG да еще в кучу там же где и html-ник.
а если несколько сайтов в один каталог, их потом фиг разделишь.
то ли дело мозилла - хтмльник и каталог по его имени, и в нем все медиа с оргинальными названиями
 

Qrot
29 Jul 2004 5:06 PM
и че, где исправление?
 

DEFILER
29 Jul 2004 8:32 PM
НЕ МОЛЧИ! Поддержи акцию протеста против нового закона об авторских и смежных правах, если не хочешь лишиться возможности пользоваться компьютером! Почему, когда продолжительность жизни россиян сокращается, а технический прогресс убыстряется, авторские права продлевают на 20 лет? ДИКТАТУРЕ КОРПОРАЦИЙ - НЕТ! ПРОТЕСТУЙ, ПОКА МОЖЕШЬ!
 

Skull - sibskullmail.ru
30 Jul 2004 7:04 PM
2 1: "у меня она (Opera) зарегистрирована!
работает под линуксом + кде"

При живом Konqueror?! Да вы, батенька, извращенец :)
После Konqueror Опера такой ужасно древней поделкой выглядит, что диву даёшься... :)
 

 

← июнь 2004 21  22  23  25  26  27  28  29  30 август 2004 →
Реклама!
 

 

Место для Вашей рекламы!