Jak je to s bezpečností u prohlížeče Firefox

Vladimír Stwora

11.2.2005 Technická poradna Témata: Technika 841 slov

Včera jsem uveřejnil v rubrice Ve zkratce zprávičku o tom, že prohlížeč Firefox má nějaké problémy s bezpečností. Přiznávám, spěchal jsem, takže jsem nad formulacemi příliš nepřemýšlel. Rovněž jsem se pokoušel vměstnat poměrně složité vysvětlení (jak uvidíte vzápětí) do několika vět srozumitelných pro laiky.

V průběhu dne mi napsalo několik lidí, že to není tak úplně přesné. Uveřejňuji jeden z dopisů v plném znění. Protože ale nemám povolení jeho pisatele, jméno zamlčím. Myslím, že to na kvalitě vysvětlení nic nezmění.

Je to pro laiky technicky dosti náročný text, ale domnívám se, že je asi nutné uvést jej přesně.

Zdravím, několik detailů, protože to, čeho se dopouštíte už málem hranici s FUDem:

Dánská firma Secunia v minulých dnech varovala, že Firefox (stejně, jako prohlížeče Safari či Opera a Konqueror, v podstatě všechny, které používají jádro Open Source Gecko)...

Opera nepoužívá jádro "Open Source Gecko" (ani jádro Gecko, jak se ve skutečnosti jmenuje, i když vím, že to nezní tak úderně) a není s ním vůbec žádným způsobem provázaná. Postiženy jsou prohlížeče podporující a správně (ano, na slově SPRÁVNĚ je důraz) implementující PUNYCODE a s Gecko rendererem jako takovým to nemá žádnou souvislost.

...není schopen správně identifikovat SSL certifikát...

Zmíněná chyba se vůbec netýká identifikace certifikátů, identifikace certifikátů proběhne správné a korektně, k čemuž se dostanu za chvíli.

Hackeři mohou registrovat domenové jméno obsahující určité znaky a předstírat, že jsou legitimní stránkou někoho jiného.

Ano, popis chyby pro typického hamburgerového Joe. Hlavně co nejvíc FUDu, vyděsit, zmást, doplnit slovíčka jako hackeři a ukrást a máme vymalováno, lidi mají paniku rádi. O skutečném problémů naopak neříct ani slovo, stejně by to nikdo nepochopil, že?

Chyba se netýká prohlížeče MS IE.

Ano, protože zmíněný standard MS IE vůbec nepodporuje. S dodatečným pluginem, který je pro přístup na lokalizované domény nutný, se chyba týká rovněž i MS IE.

A pokud by vás náhodou zajímalo, o čem problém skutečně je, když už tedy mezi vypouštěním zpráv na úrovni Blesku nemáte tolik času na studium pozadí problému, tak ve stručnosti - nejedná se o chybu žádného ze zmíněných prohlížečů, jedna se o feature (výbavu, funkci, pozn. vydavatele). Třeba Opera se už vyjádřila, že o problému vědí a nebudou s tím vůbec nic dělat, protože jejich implementace je přesně podle specifikace a nic se s tím ani udělat nedá. Leda změnit samotnou specifikaci.

Jde o name resolution domén v jiných znakových sadách než ASCII, de-facto obejití limitu DNS (hodně nerozumné obejití). Systém se jmenuje IDN a problém nastává ve chvíli, kdy nějaký znak v jiné znakové sadě vypadá úplně stejně jako znak na jiné pozici v jiné znakové sadě. Chyba pak byla demonstrována s registraci falešné domény paypal.com, kde znak na pozici prvního a byl úplně jiný charakter v cyrilice, tudíž se legitimně jednalo o jinou doménu než paypal.com ve znakové sadě ASCII. Jediný problém byl v tom, že zmíněný znak vypadá úplně stejně jako a v ASCII, přitom se o a nejedná. V prohlížečích není vůbec žádná díra a ověření SSL certifikátů proběhne správné, protože ověřujete certifikát pro úplně jinou doménu, než si myslíte. Paradoxně, kdybyste porovnal skutečný certifikát z paypal.com a paypal.com, přijdete na to hned, protože rozdíl mezi certifikáty (jiná data, vydavatel, etc) bude víc než zřejmý. Co se týče opravy, jak v článku uvádíte, žádná oprava se v CVS nenachází a nacházet nebude, protože zatím nikdo nepřišel na to, jak tuto věc řešit. Standartním postupem v Gecko browserech je jít do configu a změnit hodnotu

network.enableIDN = true

na

network.enableIDN = false

čímž se zabrání resolvingu (dohledání IP adresy ke jménu, pozn. vydavatele) lokalizovaných domén, tedy se vypne podpora pro tento standard.

Tak a ani to nebolelo, snad jenom.. Je skutečně nutné, dělat že Zvědavce další Blesk?

Doplnění vydavatele

Děkuji autorovi dopisu za vysvětlení.

Rád bych ještě upřesnil ty opravy v CVS, když už jsme to nakousli. CVS je zkratka pro Concurrent Versions System a je to nástroj pro vývojáře umožňující udržovat jednotlivé verze zdrojových kódů pro aplikaci, na které pracují. CVS adresář bývá přístupný přes internet, díky tomu mohou na jednotlivých modulech pracovat lidé na různých místech světa. Pomocí CVS lze právě opravovaný modul "uzamknout" po dobu úprav a / nebo sloučit změny vložené několika vývojáři. Kdo chce mít nejposlednější verze nějaké aplikace, a to ještě předtím, než byly změny řádně otestovány a vydány jako ucelený balíček, může si přes CVS stáhnout pracovní verzi - často o všem s neodladěnými chybami.

Napsal-li jsem, že opravený Firefox je k dispozici na CVS, týkalo se to opravených dalších chyb, nikoliv té, která vlastně chybou není, jak bylo právě vysvětleno. Stále ještě zbývají tři další. Pro případného zájemce by to ovšem znamenalo zkompilovat si zdrojový text sám, což vyžaduje jistou zkušenost. Rozhodně to není cesta pro běžné uživatelé internetu. Předpokládám, že nová verze Firefox s opravenými chybami se objeví v nejbližší době.

Známka 1.0 (hodnotilo 1)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

46

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc duben přispělo 106 čtenářů částkou 13 831 korun, což je 46 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Evropský parlament: Očkovat se budete všichni furt a celoživotně - a basta!23.04.18 20:47 Evropská unie 2

Turecko: Řecké ostrovy jsou naše - NATO: Rozbroje Turecka a Řecka se nás netýkají22.04.18 23:00 Evropská unie 0

Stovky migrantů vcházejí z Turecka do Řecka - za co vlastně cpeme Turecku ty miliardy?22.04.18 22:37 Řecko 0

Vanessa Beeley ze Sýrie: Centrum Bílých přileb stálo hned vedle továrny na bomby, které vraždily civilisty v Damašku22.04.18 22:26 Sýrie 0

Německá federální policie varuje: Mezi migranty vzrůstá obchod s originálními německými doklady22.04.18 21:51 Německo 2

Mezinárodní akce Generace identity: Ochrana hranice v Col de l’Échelle22.04.18 21:26 Evropská unie 0

Martin Sellner z cely předběžného zadržení: "Britové, řekněte NE islamizaci!"22.04.18 21:16 Británie 0

Maďaři opět vyšli do ulic, Soros ukazuje svaly21.04.18 23:54 Maďarsko 7

16.000 afrických migrantů z Izraele převede OSN do EU21.04.18 04:01 Evropská unie 1

USA ovládly čtvrtinu území Sýrie včetně strategických zdrojů ropy a zemního plynu21.04.18 02:53 Sýrie 0

Migranti šíří v EU tuberkulózu rezistentní na antibiotika21.04.18 02:33 Evropská unie 3

Africká unie přijala protokol o přeshraničním volném pohybu Afričanů21.04.18 01:27 Evropská unie 0

Vidím řeku krve, varoval před 50 lety Powell před imigrací21.04.18 00:58 Británie 1

Přesídlovací program: 50.000 Afričanů bude přímo přesídleno do Evropy do podzimu 201921.04.18 00:43 Evropská unie 0

Neschopní, bezohlední politici sají z naší země život20.04.18 20:49 Česká republika 4

Turecko stáhlo své zlaté rezervy z USA20.04.18 15:31 Turecko 4

Skvělá analýza Martina Kollera20.04.18 00:31 Česká republika 0

Sorosova nadace odchází z Maďarska, Orbán vyhrál19.04.18 22:04 Maďarsko 6

Severní a Jižní Korea vedou rozhovory o oficiálním ukončení války19.04.18 02:21 Severní Korea 2

Americká banda banka Goldman Sachs zvýšila zisk o 27 procent18.04.18 03:00 USA 1

Měnové kurzy

USD
20,82 Kč
Euro
25,43 Kč
Libra
29,04 Kč
Kanadský dolar
16,22 Kč
Australský dolar
15,84 Kč
Švýcarský frank
21,29 Kč
100 japonských jenů
19,14 Kč
Čínský juan
3,30 Kč
Polský zloty
6,05 Kč
100 maď. forintů
8,15 Kč
Ukrajinská hřivna
0,80 Kč
100 rublů
33,67 Kč
1 unce (31,1g) zlata
27 627,97 Kč
1 unce stříbra
347,44 Kč
Bitcoin
191 432,07 Kč

Poslední aktualizace: 24.4.2018 06:33 SEČ

Tuto stránku navštívilo 13 616