URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 68735
[ Назад ]

Исходное сообщение
"Подготовлен прототип вредоносного дополнения к Google Chrome"

Отправлено opennews , 12-Июл-10 15:24 
В целях предупреждения пользователей об опасности установки непроверенных дополнений к web-браузеру Google Chrome подготовлен (http://blog.dreasgrech.com/2010/07/stealing-login-details-wi...) концептуальный прототип написанного на JavaScript и HTML дополнения, которое помимо штатных функций выполняет перехват и сохранение параметров аутентификации для посещаемых пользователем сайтов, с их последующей отправкой злоумышленнику по email. Для перехвата логина и пароля используется тривиальный прием доступа к содержимому заполненных в HTML-форме полей через дерево DOM-объектов, путем установки обработчика события, срабатывающего при отправке (submit) формы.


Автор дополнения не преследует цель опротестовать репутацию Chrome, как продукта с повышенной защищенностью, а лишь пытается показать, что при оценке безопасности нужно учитывать не только сам браузер, но и установленные в него дополнения, уязвимости и троянские вставки в которых могут привести к не менее серьезным последствиям, чем проблемы безопасности в самом браузере.


URL: http://blog.dreasgrech.com/2010/07/stealing-login-details-wi...
Новость: http://www.opennet.me/opennews/art.shtml?num=27272


Содержание

Сообщения в этом обсуждении
"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Zenitur , 12-Июл-10 15:24 
Почему-то браузеры компилируются десятками минут. Занимают в памяти 20-200 мегабайтов. А Mozilla 5.0 и IE5 занимают в памяти 1 мегабайт и кроме аякс и HTML5 различий не имеют. Интересно, что изменилось? И понятное дело, чем больше вырастет код, етм больше в нём может появиться мест, где есть уязвимость

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Knuckles , 12-Июл-10 15:54 
>и кроме аякс и HTML5 различий не имеют

Ну-ну. А еще JS, DOM, CSS, поддержки аддонов, видеокодеки. Всего-то.


"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Zenitur , 12-Июл-10 17:22 
JS и CSS в МОзилле есть

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Knuckles , 12-Июл-10 18:30 
>JS и CSS в МОзилле есть

Конечно есть. Вот только какие?


"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено User294 , 12-Июл-10 17:16 
1. Мне очень интересно, пользуется ли благородный дон IE5 или современной ему мозиллой? И как впечатления? :) (а Mozilla 5.0 - это что?!).
2. Мне очень интересно как благородный дон намерял 1 мегабайт. Пруф в студию. Скриншоты, etc? Как максимум, могу себе представить что благородный дон запустил IE5, открыв там аж целую 1 страницу? При том наверное еще и about:blank? А движок мсхтмл уже был в памяти для другой программы? Или как 1 мег получен? Фантастика на другом этаже! :D
3. У IE5 с уязвимостями было все плохо... может там все-таки не 1 мег в памяти был? :)

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Zenitur , 12-Июл-10 18:04 
Mozilla 5.0 - браузер, заслуженно считающийся одним из лучших в истории. К сожалению, его развитие остановлено, а для тех, кто по-прежнему считает его лучшим, сделан SeaMonkey - тот же Mozilla, но с начинкой из FireFox.

> (а Mozilla 5.0 - это что?!).

Даже отвечать вам расхотелось... Не застали так не застали, наверно ещё и компьютерную науку изучали по мухоморью.
Забавное видео в тему: http://www.youtube.com/watch?v=4SOH5wzxrYk . Все вопросы у вас отпадут


"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Anonimousy , 12-Июл-10 18:41 
Винда и правда тогда Так тормозила?

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Аноним , 13-Июл-10 02:19 
>Винда и правда тогда Так тормозила?

Если мало памяти то да. Там был очень медленный свопинг (+ медленные диски).


"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено User294 , 12-Июл-10 19:34 
>Mozilla 5.0 - браузер, заслуженно считающийся одним из лучших в истории.

Как сферический конь в вакууме, существовавший только в юзерагентах? :) А, собственно, что такое эта ваша mozilla 5.0? Как назывался конкретный продукт? Если кто еще не понял - читает что-то типа http://forum.mozilla-russia.org/viewtopic.php?pid=187965 и прикидывает что за чушь он спорол (походу народ любит попадаться на строку в юзерагенте :D). Именно продукта именуемого "Mozilla 5.0" в общем то никто и не выпускал, если мне не изменяет мой склероз. Ну или пруфлинки на описание того что это за продукт такой.

> К сожалению, его развитие остановлено,

Попробую угадать(telepath mode active). Это наверное о "Mozilla Suite" спич? Кстати я им пользовался, только вот я что-то не помню чтобы цифра 5 фигурировала где-то кроме юзерагента. Само оно нумеровалось явно иначе - RTFMать что-то типа http://ru.wikipedia.org/wiki/Mozilla_Suite для начала.

>а для тех, кто по-прежнему считает его лучшим, сделан SeaMonkey

Ну понятно, это видимо о Mozilla Suite, только вот она никогда не называлась 5.0 IIRC. И ее правильное название - Mozilla Suite. Кстати, тормозило оно довольно прилично, таскало с собой кучу дребедени нужной не всем (почтарь, ирц-клиент и прочая) и жрало явно не 1 мег памяти.

>- тот же Mozilla, но с начинкой из FireFox.

Если кто не знает, файрфокс по сути получился как "облегченный Mozilla Suite". Из оной выбросили почтовики, ирц и что там еще за хреноту и ... назвали это файрфоксом. После данного действа скорость работы этого на юзерских компах стала более приемлимой, а т.к. IE жесточайше сосал в плане юзабилити - он получил знатный пинок под зад (так ему и надо - найти 10 отличий 4й и 6й версии ишака за уйму лет - непростая задача).

>> (а Mozilla 5.0 - это что?!).
>Даже отвечать вам расхотелось... Не застали так не застали,

А вот ЧСВ можно и поубавить, мистер. Если кто не понял - вообще-то, я писал баги им еще тогда. И юзал это еще тогда. Это был наверное первый продукт с открытыми исходниками на который я обратил внимание и почуял что это что-то новое, с могучим потенциалом. А поскольку IE был тогда сосуч чуть более чем полностью - даже тормознутая mozilla suite с нафиг не впившимся мне встроенным почтовиком (достаточно простеньким и на любителя, из него потом куда более мощный тундерптиц вырос) - была лучше чем IE. Например, у ишака в те года не было табов. И вообще навигация в нем была медленной и неудобой. Посему - мну стиснув зубы и мирясь с тормозами колотил им баги/фичреквесты пачками. И хотя я был тогда зеленым нубом в вопросах заведения багов, часть багов/фич даже взяли в оборот. Процесс пришелся по вкусу и я наколотил им весьма изрядное количество багов. Благо, в той версии мозиллы их было предостаточно, я уж не говорю о том что каждый третий сайт рендерился кривовато т.к. был заточен на ишака. А мозилла тогда не умела некоторые вещи, например банальный marquee, и довольно криво работала с менюхами на JS например. А иногда и вовсе падала.  

>наверно ещё и компьютерную науку изучали по мухоморью.

Нет, по более другому источнику, потому как во времена когда я это делал - интернета в этой стране вообще не было (да, были и такие времена :D). Источник благодаря которому я заинтересовался цифровой техникой - назывался "У. Титце, К. Шенк. Полупроводниковая схемотехника". Нормальненько так в качестве мухоморья? :) И да, в этой буке нормально так разобраны типичные элементы микропроцессорных систем, правда моторольских а не интеловских, ну да какая нафиг разница, 6800 и 8080 были конкуренты в свое время. Годы прошли, а принципы работы микропроцессорных устройств - все те же. Как там ваше ЧСВ поживает? Наверное отходит от шока? :)

>Забавное видео в тему: http://www.youtube.com/watch?v=4SOH5wzxrYk .
>Все вопросы у вас отпадут

Мой первый IBM-совместимый компьютер был 80286@12MHz. Аж с 1  мегабайтом памяти и без сопроцессора. До этого еще был на основе i8080. Ничего так, да? ;) Так чего я там не застал? Мозиллу 5.0? :)


"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Zenitur , 12-Июл-10 23:08 
Ты не об этом ли? http://imagebin.ca/view/c8HQtz.html
Занимает он не 1 а 5 мегабайтов, 1 это IE5.

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено ig0r , 12-Июл-10 17:33 
это заговор против пользователей.

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено Lemen , 12-Июл-10 16:11 
А когда то кто то сказал "А зачем пользователю 64kb оперативной памяти?"

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено noname , 12-Июл-10 17:00 
Вот так было: "640 Кб будет достаточно для каждого!"

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено cuki , 12-Июл-10 19:33 
в те седые времена на большинстве компьютеров стояло не больше 640 килобайт оперативки, а apple снабдили свои новые макинтоши аж целыми 2 мегабайтами и всячески использовали это в свой рекламной компании. Билл Гейтс сказал, что всё это понты и 640 килобайт хватит каждому.

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено noname , 12-Июл-10 19:39 
Why so serious? А я что написал?

"Подготовлен прототип вредоносного дополнения к Google Chrome"
Отправлено cuki , 12-Июл-10 20:38 
просто часто несознательная публика любит перевирать Билла, мол он сказал, что 640 килобайт хватит всем всегда. Вот я и пояснил, что мистер Гейтс высказывался лишь относительно того исторического периода. Лучше перебдеть, чем недобдеть.