Friday, March 28th, 2008...12:36 pm

Bezpieczeństwo Safari

Jump to Comments

Teraz będzie wyglądało że uparłem się na biednego Apple bo czuje oddech konkurencji i takie tam. Niedawno uzewnętrzniałem się w temacie wypchnięcia Safari do użytkowników Windows (o licencji już nie będę osobno pisał bo to jest szczegół).

Na konferencji CanSec prowadzony jest mały test związany z bezpieczeństwem – systemy oparte na Windows, Linux i Mac OS wystawione są do złamania dla uczestników konferencji. W pierwszym dniu zdalnie dostępny czysty OS, ten test przetrwały wszystkie systemy (tudzież nie było chętnych do tej części konkursu).

W drugi dzień jednak, gdy w systemie zostało udostępnione oprogramowanie takie jak przeglądarka i klient poczty bezpieczeństwo Maca zostało złamane w kilka minut. I co za niespodzianka … przez błąd w Safari właśnie.

I o to między innymi mi chodziło – Safari nie jest przeglądarką (wg mnie oczywiście), która na szerokim rynku jest na tyle długo, żeby przeszła swoisty “chrzest ogniowy”. Tym bardziej na platformie Windows. W tej chwili wszyscy, którzy zaakceptowali u siebie uaktualnienie od Apple posiadają potencjalnie wadliwe oprogramowanie i muszą zająć się jego uaktualnianiem. Cóż … bywa … ale ilość instalacji Safari w statystykach znacznie wzrosła. A przecież statystyki się liczą.

Swoją drogą to też pokazuje, że przeświadczenie dużej części użytkowników Mac o tym, że jest to platforma bezpieczniejsza niż inne wynika pewnie z tego, że narazie nie jest to platforma, na którą wycelowne są działa tych, dla których łamanie zabezpieczeń przynosi profity. Ale rosnąca popularność będzie miała swoją cenę i w tym aspekcie …

… obiecuję, koniec o Apple na dłuższy czas.

Uaktualnienie

Vista poległa dnia 3-go, w którym pozwolono instalować w systemie dowolne, “popularne” aplikacje. Bezpieczeństwo Vista zostało złamane przez wykorzystanie nowego błędu w Adobe Flash.

10 Comments

  • Artykul troche tendencyjny.
    Po pierwsze nie (jakiś) Linux tylko Ubuntu (to samo ale bądźmy wiarygodni). Po drugie Vista poległa dnia 3go przez luke we Flash’u – Ubuntu nie poległ do końca. Nie jestem jakims zagorzałym przeciwnikiem Windowsa (chociaż jeśli chodzi o Viste to już to nie jest takie pewne) czy zwolennikiem (jakiegoś) Linuxa. Po prostu obiektywność.

  • Prawdę mówiąc nie widzę gdzie widzisz tą tendencyjność, możesz rozszerzyć??? OK – Ubuntu – jeżeli to robi taką różnicę. Jak dla mnie w powiedzeniu że to Linux nie ma nic zdrożenego – w końcu to Linux.

    Jeżeli nie napisałem że Ubuntu padło to chyba rozumie się samo przez sie że nie padło. inaczej bym napisał. Jak może zauważyłeś napisałem artykuł i następnego dnia go uaktualniłem bo zmieniły sie wyniki – Vista padła.

    BTW – to żeby być ścisłym – Vista padła przez dziurę we Flash do wykorzystania której potrzebna była maszyna wirtualna Javy. Sam Flash to było za mało.

    I naprawdę – jeżeli zarzucasz mi brak obiektywności to proszę Cię wskaż coś więcej niż to że nie nazwałem dystrybucji Linuxa z imienia. Bo narazie to trochę na mnie naplułeś bez podania powodu.

  • a tak ostatnio rzuciło mi się na oczy i przypomniało: WindowsXP domyślnie instaluje IE7, Vista domyślnie instaluje Silver(coś tam). I też nikt nikogo nie pyta o zdanie, deafaultowo zaznaczając jako produkt do pobrania i instalowania, a w przypadku Vista wcześniejsza aktualizacja zmienia opcje i włącza automatyczne pobieranie aktualizacji.

  • Ja naprawdę nie lubie dyskusji w typie “flame” i daleki jestem od ewangelizacji w którąkolwiek stronę. Ale jeżęli już pytasz:
    1/ XP faktycznie instaluje w tej chwili IE7 jako krytyczną aktualizację, z małym ale:
    – przez dłuższy czas tak nie było, IE7 był dostępny do ściągnięcia i nie był wystawiany jako krytyczna aktualizacja
    – od początku był dostepny tool do zablokowania tej instalacji i pewnie nadal są administratorzy, którzy mają to wdrożone i IE7 im się nie zainstaluje:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=4516A6F7-5D44-482B-9DBD-869B4A90159C&displaylang=en

    2/ Vista nie instaluje automatycznie SilverLight … SilverLight pokazuje sie w Windows Update ale jako “opcjonalne” uaktualnienie – musisz samodzielnie zaznaczyć że chcesz to zainstalować. A przynajmniej tak było gdy w zeszłym tygodniu uaktualniałem system. Jest pewna różnica – nie uważasz??

  • wczoraj aktualizowalem Viste i SilverLight byl domyslnie zaznaczony do instalacji, Vista Ultimate PL OEM

    wiesz, ja też nielubie nawracania ludzi, kazdy powinien uzywac tego co mu odpowiada, faktem jest ze ostatnio poglady sa takie: apple jest trendy – ms jest bee .. i jednej i drugiej teorii nie rozumiem i nie popieram, ale .. sa rozni ludzie 😉

  • jak juz pytasz o poglady polityczne ;), uzywam i lubie XP wczesniej wszedzie mialem w2k, Viste ciagle uwazam za program w wersji beta bo potrafi naprawde zaskakiwac na kazdym kroku 🙂 ale najwieksza porazka moim zdaniem w wykonaniu MS jest Office 2007 gdzie strzeliliscie sobie sami gola. Sprzedaje sporo komputerow i obsluguje troche firm i uwierz mi ze ludzie przechodza na OO nie ze wzgledu na cene a przez prostote i latwy dostep (przyzwyczajenie). 20min ostatnio przez telefon tlumaczylem kobiecie jak zeskanowac i wstawic jpg do word’a07 ;). Jezeli chodzi o Apple to podoba mi sie ich system , natomiast przez ludzi bijacych poklony do logo jablka nie chce byc z nimi kojarzony, identyfikowany i miec cokolwiek wspolnego 🙂 ot i wszystko na tematy polityczne 🙂

  • @MirekR
    O widzisz – a u mnie Silverlight nie było zaznaczone – muszę odinstalować i sprawdzić jeszcze raz. A nie miałeś wcześniej jakieś bety albo CTP silverlight?

    Co do Office – widzisz. Kwestia gustu – właśnie wróciłem od ludzi którym pomagałem rozwiązać jeden problem mały w ramach przysługi i była tam kobieta, które mówiła że wybaczy MS wszystko za ten nowy interfejs w Office – w rozumieni, podoba jej sie okropecznie i na inny się nie zamieni.

  • Warto dodać, że dziura we Flash, którą włamano się do Visty, była multiplatformowa. Nie użyto jej na żadnym innym systemie, bo regulamin konkursu nie pozwala na użycie tej samej luki na różnych komputerach (Ubuntu by też padło a autor exploita atakował Vistę, bo pod Linuksem nie pisał nic od bardzo dawna). :-]

    http://blogs.zdnet.com/security/?p=999

  • […] Czepiłem się tego Safari, wiem … i nawet go nie używam. Ale cóż, kolejna wiadomość o tej przeglądarce zniechęca mnie do tego jeszcze bardziej. […]

  • […] wszystko się otwierało itp.. w międzyczasie pojawiło się jeszcze Safari, o którym troche pisał TomekO. Krótko mówiąc też jakoś do mnie ta przeglądarka nie trafiła. Wkońcu wyszedł FF3, […]

Leave a Reply