Do not use any software… It contains bugs…

Piotra Koniecznego cenię jako świetnego speca od zabezpieczeń. Niestety i jemu zdarza się strzelić babola. W swoim wpisie n.t. dziury w Javie pisze, że

Jeśli jeszcze nie odinstalowałeś Javy, zrób to.

Porada ta jest godna papieża*. Czemu? Otóż jej poziom jest zwyczajnie żałosny. Piotr nie ma racji. Wyczuwam u niego pewną formę nienawiści do javy, która uwidacznia się za każdym razem gdy pisze o błędach związanych z tym środowiskiem.

Dziwnym trafem tego typu porady nigdy nie pojawiały się w przypadku ataków na przeglądarki czy dokumenty PDF. Co zabawniejsze w porównaniu z atakami wykorzystującymi np. spreparowane PDFy atak za pomocą spreparowanego apletu jest trochę trudniejszy. ??? Java zapyta czy uruchomić aplet, acroreader po prostu otworzy plik.

Generalnie większość ataków, których celem jest „zwykły komputer” można opisać w krótkim stwierdzeniu:

Użytkownik uruchomił spreparowany program.

Czy było to dokument PDF, zip, applet Java, zwyczajne exe z zaszytym wirusem czy też specjalnie przygotowana strona www to nie jest istotne. Zachowanie użytkownika spowodowało, że został zaatakowany. Okazał się idiotą to dostał po łapach. Koniec kropka. Nie zapobiegnie temu ani wyinstalowanie javy ani też używanie jej alternatywnej wersji. Jeżeli ktoś klika bez opamiętania zgody to jest na najlepszej drodze do złapania syfa. Sorry Winnetou, ale potępienie prze sobór trydencki rozwiązłości seksualnej nie wynikało, choć tego nigdy się nie dowiemy, z jakiej chęci konkurowania z ruchem protestanckim, ale było wynikiem epidemii nowych ciekawych chorób wenerycznych, które zostały zawleczone do Europy z nowo odkrytych lądów. I tak jak syfa można nabawić się wkładając przyrodzenie w każdą nowo odkrytą dziurkę tak i można załapać ciekawy zestaw wirusów, trojanów i exploitów uruchamiając co popadnie.

Zatem Piotrze wielka prośba, swojej niechęci do javy nie wyjawiaj pieprząc o konieczności wyinstalowania jej z kompa, bo to nie jest rozwiązanie problemu. Tak samo rozwiązaniem nie jest wyinstalowanie przeglądarki, czytnika PDF, unzipa czy flash playera. Rozwiązaniem jest zwracanie uwagi na to co się otwiera.

* porada wyinstalowania softu jest moim tak samo „mądra” jak recepta papiestwa na epidemię AIDS, czyli wstrzemięźliwość.

5 myśli na temat “Do not use any software… It contains bugs…

  1. Myślę, że problem leży gdzie indziej. W dzisiejszych czasach bardzo mało stron wymaga obsługi Javy* i apletów, wypartych przez Flash i HTML5. Skoro zatem jej nie potrzebujemy, po co otwierać furtkę włamywaczom? To jak wyłączanie niepotrzebnych usług i blokowanie nieużywanych portów na serwerze.

    Z PDFów nie możesz zrezygnować, ale z Javy w przeglądarce – jak najbardziej. Ja ją wyłączę gdy tylko będę mógł. I będę kontynuował programowanie w Javie i pisanie w niej aplikacji. Aplet napisałem może raz w życiu.

    * – niechlubnym wyjątkiem są wszystkie norweskie banki, używające apletu do bezpieczniejszego (o ironio!) logowania

  2. Z PDFów też można zrezygnować na rzecz chociażby ODF z ograniczoną edycją czy też. Chyba, że chcesz je profesjonalnie drukować.

    Co zaś tyczy się małej ilości stron wymagających apletów to rzecz może zmienić się diametralnie po wprowadzeniu e-urzędu ponieważ chyba tylko aplety java i odpowiedniki silverlight potrafią poradzić sobie z obsługą podpisów cyfrowych.

  3. Javy ot tak się nie da pozbyć. Można natomiast ją disablnąć, tak jak i flasha (pewnie się powinno wręcz).
    Do niedawna miałem nawet .js wyłączony domyślnie, ale że przeglądać sieci się tak teraz już nie da, to zostałem przy disabled java i flash.

    A co do podpisów to na Silvera bym nie liczył. Żadna rozsądna instytucja (tak Państwa Polskiego raczej bym nie nazwał), nie oprze aplikacji o technologię z zaplanowaną datą śmierci. + Java jest multiplatform, silver niby też, ale… 😉

    Ja bym to podsumował po prostu tak, że myslenie się w życiu przydaje.

Napisz odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax