В сети выявлен (http://labs.alienvault.com/labs/index.php/2013/new-year-new-.../) рабочий 0-day эксплоит (http://pastebin.com/raw.php?i=cUG2ayjh), использующий неисправленную уязвимость (http://www.kb.cert.org/vuls/id/625617) в Java. Наличие уязвимости подтверждено (http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotte...) во всех версиях Java 7, в том числе в самом свежем выпуске Java 7 Update 10. Уязвимость позволяет организовать выполнение кода при открытии пользователем в браузере с активным Java-плагином специально оформленной web-страницы. Проблему усугубляет также то, что эксплоит уже используется для совершения массовых атак и поставляется в составе пакетов Cool Exploit Kit, Black Hole и Nuclear Pack, предназначенных для организации распространения вредоносного ПО. Сведений о сроках выпуска корректирующего обновления от Oracle пока не поступало. В качестве единственного способа защиты в настоящее время рекомендуется срочно отключить Java-плагин в браузере.
URL: http://labs.alienvault.com/labs/index.php/2013/new-year-new-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35804
>> В качестве единственного способа защиты в настоящее время рекомендуется срочно отключить Java-плагин в браузере.Смешно же. Есть NoScript, да и у FF есть Click-to-Play встроенный, кто его выключил - сам виноват.
это тоже смешно, ибо java-плагины нахер не нужны
да и сама java не особо то...
Да, только многие софтописатели лабают клиентбанки на жабе. И мнения админа особо не спрашивают -- нужна она или нет.
Ну, если клиентобанк не из браузера можно запустить - то не проблема. Если из браузера - ну экстеншн нужен, чтобы жабка только для данного сайта была доступна. В общем, на предприятиях это не проблема, а для частников клиентбанки сто лет как на HTML, без всякой жабы.
>для частников клиентбанки сто лет как на HTML, без всякой жабыТак то оно так. Но справедливости ради не могу не заметить, что платежи по пластиковым картам, при заказах в интернет-магазинах, системы Assist и RBK Money и сейчас проводят при помощи java-апплетов.
да многие веб банк клиенты на джаве
давно не встречал таки, все переползли на js/html или на обычные толстые клиенты. Но конкретно для банк клиента можно сделать отдельного юзера со специально настроенным окружением. Точнее даже не можно, а нужно
Полностью согласен :) Пару лет назад какой-то Юсовский банк специально выпустил специальную сборку LiveCD (на Ебунте, конечно же...), когда ему надоело нытьё типа "у меня кто-то деньги с карточки потырил...".
зы: капча подтверждает - 96399 (сумма цифр - 9)
Ага, это все красиво, но мы живем в правовом государстве (я про РФ) и при любой такой разборке, об украденных денежках или неправильном расчете/передаче..etc выяснится при проверке, что не клиент не некто-то на обратной стороне неимели права заявлять свои программульки как криптосредства (автоматически попадая под действия 152 инструкции ФАПСи - привет проверке от ФСБ) и тут же обязанны были использовать СЗИ от НСД (привет проверке от ФСТЭК) и тут же предписания а потом сокрее всего и штрафы обоим сторонам...
> мы живем в правовом государствеОптимизм - это хорошо...
>Да, только многие софтописатели лабают клиентбанки на жабе. И мнения админа особо не спрашивают -- нужна она или нет.Клиентбанки с жабой и браузером под них в контейнеры или виртуалки. Joanna Rutkowska way рулит.
хорошо - как реализовать криптование?...
нативом? ;), через браузер - уже даже не смешно
JS? - а как давно существуют стандартизованные реализации (http://www.opennet.me/opennews/art.shtml?num=35788)
какие ещё варианты?
> хорошо - как реализовать криптование?...Что ви понимаете под криптованием?
Надоело уже. Я ещё не успел с предыдущего раза включить, а опять выключать надо.
> Я ещё не успел с предыдущего раза включить, а опять выключать надо.а я ещё не успел с своего прошлого раза (который был лет 5~10 назад) -- плугин этот установить :)
> Я ещё не успел с предыдущего раза включитьНафиг? Для местечковых задач проще отдельный профиль в браузере завести.
>> Я ещё не успел с предыдущего раза включить
> Нафиг? Для местечковых задач проще отдельный профиль в браузере завести.В експлорере? Ибо точатся по експлорер...
А если поставить огнелиса без жабы, а експлорер оставить под заточенное?
Наверное всё таки надо использовать OpenJDK в случаях если это возможно.
> Наверное всё таки надо использовать OpenJDK в случаях если это возможно.В том-то и проблема, что невозможно. :-(
Щас навскидку не скажу, но наступал на граблю с какой-то управлялкой чем-то, то ли сервис-процессором какого-то сервера, то ли каким-то коммутатором, то ли...
>> Наверное всё таки надо использовать OpenJDK в случаях если это возможно.
> В том-то и проблема, что невозможно. :-(
> Щас навскидку не скажу, но наступал на граблю с какой-то управлялкой чем-то,
> то ли сервис-процессором какого-то сервера, то ли каким-то коммутатором, то ли...С БинБанком на такие грабли наступал. По-умолчанию стоял IcedTea. А ихнему клиенту обязательно Oracle (тогда еще Санки) подавай...
С некоторыми KVM'ами openjdk тоже не работает, т.к. содержит другую реализацию парзера xml, чем оракловая (собирают с какой-то из свободных, а оракл с какой-то проприетарной), которая себя иначе ведет на не полностью соответствующем стандарту xml'е, в частности. И код, использующий это, ломается..Конечно, по спецификациии реализация xml в джаве и не обязана работать всегда одинаково - для тех, кому нужна идентичность, есть медленная референсная реализация, но на практике многие не переключаются на нее, а используют "системную", но при этом завязываются на поведение - недочитали документацию, блин, и, как следствие, это не совместимо с openjdk или другими не-оракловыми сборками.
Хмм, тут iZEN, кажется, очень клеймил кривые поделки, да? Ну вот и ему прилетело. Это вам не во фреймворке баг и не в вики, пусть даже распространённых...
> ему прилетело. Это вам не во фреймворке багС некоторым натягом яву можно засчитать за фреймворк :)
ошибки есть везде, умиляет другое: нежная, почти отеческая забота оракуля о пользователях их продукта. «истинно вам говорим: на бога одного уповайте, в нём ваше спасение; в молитвах каждодневных да посте очищающем. а патч… молитесь, бог пошлёт.»
Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) эта уязвимость есть?
Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) iBank2 работает?
угу. у кого токен нормальный. а вот у меня токен угрёбищный - только под win :(
> Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) iBank2 работает?как раз вот это совсем и НЕ интересно!
тем кому нужен iBank2 и прочие браузерные небезопасные извращения, запускают окно Firefox через командную строку:
$ firefox -no-remote -P unsafe_mode_for_iBank2
а после использования банка -- закрывают это окно браузера! [потому что кроме Java-уязвимостей -- ещё существуют уязвимости: CSRF и ClickJacking]
параллельно -- можно открыть другое браузерное окно Firefox -- обычным способом через стандартный ярлычёк (чтобы сёрфить по Фэйсбукам и прочим интернетам). оно не будет мешать банку.
в окне браузера "unsafe_mode_for_iBank2" -- должна ОБЯЗАТЕЛЬНО быть установленна уникальная тема оформления. чтобы случайно не спутать окна браузера Firefox между собой!
за что я люблю фирефоксе что она сама отключает опасные плагины у нубов...
ну да, и само по себе ёщё то решето со своими сырыми "инноваторскими" новинками
стабильнее и не жрет столько оперативки как гуавнохром
Ахаххаа)) Посмеялся.
Я пользователь хрома месяцами не выключаю браузер =)
А что касается фф - все знают, что черная дыра дляя твоей оперативки. И это не просто "знание", а реальный результат опытов. В моем случае, фф работает не больше 4-х часов и полтора гига оперы сожрано неясно чем. Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.Ну не любишь ты хром, ну что ж ты так кипятишься =)
> А что касается фф - все знают, что черная дыра дляя твоей оперативки.Вот только почему-то хром валится в OOM при ~100 вкладках на 8 гигах оперативы, а FF даже если открыть 400 вкладок то догнать до хотя-бы 2Гб крайне сложно. Наверное отличие в том что он не плодит по процессу на вкладку, ага. И да, таки 100 процессов в списке задач - это люто.
> при ~100 вкладкахМне искренне жаль человека, который работает с сотней открытых вкладок.
не стоит, в фф это удобно, группы спасают
> Мне искренне жаль человека, который работает с сотней открытых вкладок.Себя пожалейте. В лисе можно поставить TabMixPlus и настроить группировку вкладок рядом, так что они сгруппируются в "пласты" "по теме браузинга". И это будет вполне удобно в навигации. А между рестартами это такой "временный букмарк". Ну, который надо бы посмотреть, но совсем не факт что надо в перманентных букмарках.
Вы в вашем праве строиться под браузер. А я лучше построю браузер пол себя. Сделав так как удобно лично мне.
>> Мне искренне жаль человека, который работает с сотней открытых вкладок.
> Себя пожалейте. В лисе можно поставить TabMixPlus и настроить группировку вкладок рядом,
> так что они сгруппируются в "пласты" "по теме браузинга". И это
> будет вполне удобно в навигации. А между рестартами это такой "временный
> букмарк". Ну, который надо бы посмотреть, но совсем не факт что
> надо в перманентных букмарках.
> Вы в вашем праве строиться под браузер. А я лучше построю браузер
> пол себя. Сделав так как удобно лично мне.Речь не о браузере, как вы опрометчиво подумали, а о организации рабочего процесса. Каждая вкладка - отдельный контекст (за некоторыми исключениями), а человек не может эффективно оперировать таким большим количеством контекстов. К тому же переключение между контекстами сознания занимает время, больше конетекстов - больше времени тратится на переключение между ними. Я себя жалею и следую правилу, не больше 10-12 вкладок в один момент времени. Не ведите себя как маленький ребёнок, который хватает всё что попадается ему под руку, и сосредоточтесь на главном.
написал бы вместо этого спича проще: «я не умею работать с большим количеством вкладок, и не понимаю, как это возможно. а раз даже я не понимаю — то никто не может.»
Мне больше нравится TreeStyleTab, особенно при нынешних широких мониторах
> Мне искренне жаль человека, который работает с сотней открытых вкладок.угу-угу. «мне искренне жаль человека, который ходит ногами. ведь инвалидное кресло значительно лучше!»
> Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.Не знаешь, а говоришь... Сам себя обнаружил.
На 2-ух древних ПК просто снёc хром, ибо толстый до не могу.
>> Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.
> Не знаешь, а говоришь... Сам себя обнаружил.
> На 2-ух древних ПК просто снёc хром, ибо толстый до не могу.На одном из них флеш тоже почему-то постоянно "крах плагина", хотя последний и такой же как в ФФ...
> за что я люблю фирефоксе что она сама отключает опасные плагины у
> нубов...+1 ! это разрабы фокса молодцы!
а вот за что я ненавижу нубов -- это за то что если какой-то редкий бухгалтерский сайт у них работает только через Microsoft Internet Explorer , то значит и на все остальные сайты они тоже будут посещать через Microsoft Internet Explorer !
хоть 20 раз им скажи -- сёравно они не понимают как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.
>сёравно они не понимают как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два интернета.
>починено во имя правды
IEtab же
> хоть 20 раз им скажи -- сёравно они не понимают как такое
> может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.Рекомендую включить режим усиленной защиты на IE.
И внести в разрешенные только сайт банка - все сразу научатся.
а это -- отличная задумка!!