Firefox kiegészítő: Adblock vs. Noscript

[kurada 0]

NoScript is EVIL

Ezek után ki az, aki megbízik a szerzõjében???

Itt a bocsánatkérés-sajnálkozás is:

Dear community...

Emberek vagyunk, mind követhetünk el hibákat. Eddig ok. De Õ amikor elsõre elkapták, rögtön megpróbált egy másik módszert. 2x elkövette ugyanazt.... ezek után ez a fickó többé nem megbízható szerintem.

mondjuk ez a történet sok kérdést felvet a firefox add-on koncepcióval kapcsolatban is.........

[kurada 0]

Egyébként találtam egy igen érdekes hozzászólást az adblock plus-os oldalon:

-- idézet --

Mr. Add-on Developer · 2009-05-02 01:25 · #

 

Wladimir,

 

I’m a developer of a popular Firefox Add-on. I’m posting this comment anonymously.

 

A while ago I was contacted by a guy named Lee Lorenzen from a company called KallOut, Inc. asking me if I wanted to do all sorts of aggressive stuff with my addon to promote their software. Other developers were contacted, too.

 

Did they contact you? I wonder if they convinced the NoScript guys to go along with their plans.

 

I think this sort of seedy business is just going to increase as the browser becomes the platform. The bigger the ecosystem the more room for bad actors.

 

It’s blog posts like yours that bring it all to light. Thanks for writing it!

 

Reply from Wladimir Palant:

 

Yes, he contacted me as well. And when I explained that I’m definitely not interesting in anything that will harm the user experience he had the nerve to ask whether I would sell the project.

-- idézet --

 

Érdekes, nemde? Bízzatok csak az FF kiegészítõitekben (különösen azok készítõiben) vakon.....

[Pjotr 9]

Ahhoz lusta vagyok, hogy végig olvassam (plusz fordítsam), de azon túl, hogy gyûlölik egymást, meg szívóznak a másikkal, nem látok semmit. Eddig is használtam mindkettõt, ezután is így lesz.

[kurada 0]

Nos vajon miért is nem kedveli az ABP szerzője a NoScript szerzőjét? Mivel senki sem veszi a fáradtságot,hogy végigolvassa ezért összefoglalom:

Réges-régen, hónapokkal ezelőtt történt olyan, hogy az ABP felhasználók panaszkodni kezdtek, hogy magától kerül fel engedélyező listára a NoScript szertőjének összes oldala+googlesyndication, stb. Erre megnézték a NoScript kódját és vajon mit találtak??? Szándékosan támadta az ABP egyes részeit, hogy a felhasználó beleegyezése nélkül jöjjenek a reklámok. Miután ezzel lebukott, másik módszert keresett és hozzáadta az ABP whitelist-hez a saját bejegyzéseit, természetesen megint csak kérdezés vagy értesítés nélkül. Aztán ezzel is lebukott, majd jött a szánom-bánom.... Erre néhány retardált meg meg akarja védeni, hogy hát ő csak néhány reklámot jelenített meg... NEM! Pénzt akart, ezért malware kódot rakott a kiegészítőjébe. Ez bizony messze túlmutat ezen az eseten, mert ha ezt másodjára is bevállalta, legközelebb mi akadályozná meg abban, hogy a jelszavaidat küldje el??? Hmm? Kétszer csinálta meg ugyanazt, harmadjára már csak azért nem, mert akkora botrány lett belőle, hogy fülét-farkát behúzva visszakozott, hogy megtartsa a felhasználói nagy részét. Természetesen az add-on azonnal kikerült az ajánlott körből az add-on oldalon.

A második hsz-at meg akkor lefordítom, tanulságos:

--idézet--

Wladimir,

én egy népszerű FF add-on fejlesztője vagyok, név nélkül írom a kommentet.

Nemrég megkeresett egy Lee Lorenzen nevű fickóegy KallOut nevű társaságtól és azt kérdezte, csinálnék-e néhány "agresszív" dolgot az addonommal, hogy népszerűsítsem a szoftverüket. Más fejlesztőket is megkeresett.

Téged megkeresett?

<..... NEM LÉNYEGES RÉSZ.....>

Válasz Wladimir Palant-tól:

Igen, engem is megkeresett. Aztán elmagyaráztam, hogy engem egyáltalán nem érdekel semmi, ami ártana a felhasználói élménynek...................... <ennyi volt a lényeg>

--idézet--

bevásárolnak ilyen "becsületes" cégek, megveszik a fejlesztőket, hogy azok ilyen módon ténykedjenek a böngésződben, ahol banki és egyéb bizalmas adatokhoz korlátlanul hozzáférnek. Az FF extension csodái! Fájó igazság, de az add-onok tonnaszámra való telepítése bizony életveszélyes. Látva,hogy itt egyeseknek 20+ ilyen van, háát....

 

szerk.:

Egyébként szerinted mennyi idő, amíg elkezdenek megjelenni a direkt ilyen célból íródott extension-ok? Szerintem már van nem is egy. Van hasznos funkcionalitásuk, de azért jöttek létre, hogy pluszban a háttérben még csináljanak valamit.

+A nagy számok törvénye alapján (+az emberi kapzsiságot ismerve) már bizonyosan volt olyan extension author, aki a pénzért "lehajolt".

A bizalom szép dolog, de mivel ennek a fickónak már a második dobása is megvolt, ha te bízol benne továbbra is, akkor vagy vak vagy vakmerő vagy.......

[SkyBird 118]

Ehhez áttételesen kapcsolódik. Megszünteti a Firefox-bõvítéseket a Mozilla

 

Persze a dolog így szó szerint nem igaz, csak hangzatos bulvár cím. Maradjunk annyiban, hogy átalakulnak a kiegészítõk.

Az viszont kérdés, hogy az ártalmas dolgokat mennyire lehet kiszûrni. Mintha abban is lenne majd valami elõrelépés.

[Pjotr 9]

Hehheh, majd a 4-esben, mikor is lesz az? 2072-ben?

[kurada 0]

Megszünteti a Firefox-bõvítéseket a Mozilla (pontosabban átalakítja)

 

OK, de ez nem szünteti meg a problémát, amíg van extension rendszer ilyen mindig is lesz....

[Fujitsu 812]

bevásárolnak ilyen "becsületes" cégek, megveszik a fejlesztõket, hogy azok ilyen módon ténykedjenek a böngészõdben, ahol banki és egyéb bizalmas adatokhoz korlátlanul hozzáférnek. Az FF extension csodái! Fájó igazság, de az add-onok tonnaszámra való telepítése bizony életveszélyes. Látva,hogy itt egyeseknek 20+ ilyen van, háát....

Ha most azért jöttél ide, hogy hangulatot kelts, akkor jobb, ha máris befejezed. Idõtlen idõk óta használom a NoScriptet és az Adblock Plust egyaránt, és soha, ismétlem, soha nem volt semmiféle problémám egyikkel sem. Szerintem mindkettõ kiemelt fontosságú a biztonságos böngészés szempontjából.

Malware lenne a NoScript kódjában? Ne röhögtess! Tegyük fel, hogy a kiegészítõ tudna nekem kárt okozni. Bár, tegyük hozzá, ez nem túl valószínû, hiszen melyik cég kérné meg a fejlesztõt, hogy hacker programmá változtassa a jól bevált kiegészítõjét? Egyrészt a cég azonnal lebukhatna, ezt a kockázatot nem vállalják be. Másrészt a kiegészítõ készítõje sem hülye, hogy a sok éve fejlesztett, százezrek által használt kiegészítõjét egyik napról a másikra hazavágja egy ilyen trükkel. (Ráadásul ismerik is a csókát, nem hiszem, hogy büntetlenül meg tudna lépni ilyesmit.) Itt sem errõl lehetett szó, maximum arról, hogy pár reklámot bejuttatott a felhasználókhoz a kiegészítõ. A fejlesztõ belátta, hogy hülye volt, kész, pont. Kár nem történt, legfeljebb pár reklámot láttak a felhasználók. Nem hiszem, hogy ezen volna még mit ragozni. Szerintem ez az egész ügy fel van fújva, ennyi az egész. (Ráadásul nem is mostanában történt az eset.) Más kiegészítõk is reklámoznak, legfeljebb nem veszed észre. Ez nem olyan meglepõ, az ingyenességnek gyakran van ára. Szerintem ez eléggé elfogadható ár. Böngéssz csak más böngészõvel, ott majd kapod a nyakadba az n+1 reklámot, nem csak azt a párat, amelyet a kiegészítõk hoznak. A Firefox-kiegészítõk átesnek egy tesztelésen, mielõtt kikerülnek az extensions oldalra, esélytelennek tartom, hogy bármi káros program felkerüljön. Ennél még annak is nagyobb a valószínûsége, hogy a Google Chrome a beépített kémprogram segítségével lopja az adataimat. (Mondjuk az tény, hogy ezért érdemes az addons.mozilla.org oldalról tölteni a kiegészítõket, nem ismeretlen weboldalakról. A Firefox telepítés elõtt figyelmeztet is, hogy csak ismert szerzõ kiegészítõjét telepítsd.)

Szóval ez a "ne telepítsünk kiegészítõt, mert veszélyes" téma számomra akkora marhaságnak tûnik, hogy a pofám leszakad. Mondjuk ha az Opera terjesztené ezeket a rémhíreket, akkor nem csodálkoznék. De hogy te mi okból lovagolsz meg egy már régen túlhaladott témát teljesen abszurd következtetéseket levonva, azt nem tudom megérteni.

A kiegészítõk meg nem szûnnek meg, szó sincs errõl. Mindössze egy átalakításról van szó, mert a jelenlegi rendszerben túl sok a hibalehetõség. (Remélhetõleg ezután kevesebbeknek lesz problémájuk a kiegészítõk és a frissítések telepítésével.)

[kurada 0]

"Malware lenne a NoScript kódjában? Ne röhögtess!"

Ez egy cseppet sem mulatságos, de mivel maga a NoScript szerzõje is elismerte a machinációt, amely részben olyan kódból állt, amely az ABP egyes részeinek funkcionalitását csökkentette szándékosan, kérdezés és beleegyezés vagy csak informálás nélkül, ezért ez már malware kategória! Ezt a szerzõje is elismerte, olvasd már el a blogjában ahol bocsánatért esedezik. (a kódot azóta eltávolította, de hogy is van a régi mondás, kutyából nem lesz szalonna?)

 

"Tegyük fel, hogy a kiegészítõ tudna nekem kárt okozni. Bár, tegyük hozzá, ez nem túl valószínû"

Minden kiegészítõ teljes befolyással van a böngészõre, ezáltal bármit megtehet, ha feltelepítetted

 

"Ráadásul ismerik is a csókát, nem hiszem, hogy büntetlenül meg tudna lépni ilyesmit."

A kedves Giorgio (vagy mi a neve) is meglépte, pedig tudta, hogy a kódját ellenõrizhetik.

 

"melyik cég kérné meg a fejlesztõt, hogy hacker programmá változtassa a jól bevált kiegészítõjét?"

Ha megbízol az ABP-ben, akkor gondolom megbízol annak szerzõjében is. És mivel õ és más is azt mondja, hogy már megkeresték õket ilyen szándékkal (mégha csak kéretlen reklámozás is), ezért talán ezt sem kéne feltétlenül fake kategóriába sorolni. A pénz pedig sok mindent elõhozhat egyes emberekbõl

 

"Szerintem ez az egész ügy fel van fújva, ennyi az egész."

Ez az eset az egyik legjobbnak, leginkább megbízhatónak tartott extension-el történt, amit ezért ritkábban/felületesebben ellenõriztek. Aztán meg volt nagy meglepetés...

 

"De hogy te mi okból lovagolsz meg egy már régen túlhaladott témát teljesen abszurd következtetéseket levonva, azt nem tudom megérteni. "

Szerintem itt sokan nem hallottak még a dologról. Messzemenõ következtetéseket vontam le, amelyek a legrosszabb esetre vonatkoznak, mivel arra mindig fel kell készülni, fõleg, hogy a FF mostanság már a legmeghatározóbb szereplõje a böngészõpiacnak. A security expert-ek régóta azt mondják, hogy ebbõl még baj lehet...

 

"Ha most azért jöttél ide, hogy hangulatot kelts, akkor jobb, ha máris befejezed."

Nem. Egy tényt közöltem néhány borulátó jövõbeni lehetõséggel. Sajnálom, hogy nem azt hallottad, amit szerettél volna. Aki mégis mást mond, az természetesen hangulatkeltõ

 

szerk:

Egyébként pedig nem csak open source kiegészítõk vannak a mozilla add-on oldalán. Legjobb példa a LastPass. Ott nincs senki másnak hozzáférése a forráshoz, ezért nem lehet mélyrehatóan ellenõrizni a cuccot. (Ezzel nem azt akarom mondani, hogy mindenki gonosz a világon, de jobb nyitott szemmel járni, mint aztán csúnyán pofára esni)

 

szerk2:

olvasgasd egy kicsit ezt, meg a Symantec kockázatelemzését. Még mindig úgy érzed, hogy "Tegyük fel, hogy a kiegészítõ tudna nekem kárt okozni. Bár, tegyük hozzá, ez nem túl valószínû"

[Fujitsu 812]

Akkor egy kis felvilágosítást tartanék, hogy jobban érthetõ legyen az elõzõ hozzászólásom. A "Milyen Firefox-kiegészítõket használsz?" címû témában vagyunk, ahol a fórumozók megosztják egymással, hogy milyen Firefox-kiegészítõket használnak. Ebben a topikban a felhasználók nyilván lelkesen olvasgatják, hogy ki milyen kiegészítõk használatával bõvíti ki böngészõje funkcionalitását. A topik azért van, hogy tippeket, ötleteket adhassunk egymásnak, hogy mit érdemes feltelepíteni a kiegészítõk közül. Erre te elkezded ostorozni az egész kiegészítõs rendszert, mondván, komoly biztonsági kockázatot rejt magában a kiegészítõk telepítése, és felhozol egy példát, amely egyrészt már réges-rég túlhaladott, másrészt rendkívül sarkos, mert például én errõl az esetrõl nem is hallottam (ez persze jelentheti azt is, hogy nem járok eléggé nyitott szemmel a neten, de én inkább arra gyanakszom, hogy nem lehetett olyan elképesztõen hatalmas a probléma), sõt, még hasonlóról sem. Ezzel hangulatot keltesz, mert megpróbálod elvenni a felhasználók kedvét a kiegészítõk feltelepítésétõl, ami több szempontból is oktalan cselekedet.

Egyrészt, mint már írtam, az extensions oldalra kikerülõ kiegészítõk tesztelésen esnek át, mielõtt kikerülnek. Másrészt bármikor visszakereshetõ, hogy ki a szerzõje (vagy feltöltõje, mindegy) az adott kiegészítõnek. Harmadrészt a kiegészítõket igen sokan használják. Mindebbõl úgy vélem, hogy arra, hogy az extensions oldalról valami károsat tölts le, az esély gyakorlatilag nulla. Persze nem azt mondom, hogy teljesen veszélytelen a kiegészítõk telepítése, hiszen a kiegészítõk tényleg bármit megtehetnek a böngészõvel. Talán nem véletlen a biztonsági figyelmeztetés sem, amit kiegészítõ telepítése elõtt tol az arcunkba a Firefox. Azt is mondtam, hogy ezért kell az extensions oldalról letölteni a kiegészítõket (vagy pedig a hivatalos weboldalukról, amelyiknek ilyen van, az nyilván nem tartalmaz káros kódot). Mellesleg az oldalon, amit linkeltél, pont szó van egy feketelistáról, hogy miket érdemes elkerülni.

Viszont ha te úgy véled, hogy azért, mert fennáll bizonyos kockázat, nem érdemes kiegészítõket telepíteni, akkor, gondolom, programokat sem telepítesz a rendszeredre, mert azok között is lehet káros. Sõt, ha a "példánál" maradunk, simán lehet, hogy valamelyik jó kis ingyenes program mélyén ott rejtezik egy tuti kis kémprogram, ami csak arra vár, hogy valahol aktivizálják, ezért holnaptól ingyenes programokat se töltsünk le... Persze, megeshet ilyen, de mégis mekkora az esélye, ha mindent ellenõrzött forrásból szerzel be? Arra meg nem lehet hivatkozni, hogy azért nem csinálok semmit, mert van benne kockázat. Akkor az utcára se lépj ki, hátha a fejedre esik egy féltégla. Érzed-e már, hogy abszurd következtetéseket vontál le? És pont a kiegészítõket ajánló témában? És akkor azt mondod, hogy nem keltesz hangulatot?!

A téma, amit meglovagoltál, régen túlhaladott és szerintem vajmi kevesen vettek belõle észre bármit is. (Én például konkrétan semmit sem. Erre varrj gombot!) A NoScript belenyúlt az ABP fehérlistájába, és akkor mi van? Összedõlt a világ? A Virtual PC meg belenyúl a hálózati beállításaimba. Ettõl még nem nevezném malware-nek, de lehet, hogy én értelmezem rosszul. Nyilván nem volt túl szép a mûvelet, de tekintve, hogy a NoScript és az ABP fejlesztõje utálják egymást, mint a szart, szerintem ez egyáltalán nem meglepõ. A szerzõ bocsánatot kért, megígérte, többet nem teszi. Áruld már el, mit kell ezen még ragozni? Nem okozott kárt senkinek azzal, amit csinált, szó sincs malware-rõl vagy kémprogram beépítésérõl. Az már büntetendõ lenne, és ezt nyilván õ is tudja, meg az is, aki megkereste. Pont.

Az ügy igenis fel van fújva, mert a többség nem vett észre belõle semmit, aki meg igen, az nyilván nem foglalkozott vele túlzottan. Kár senkit sem ért, a hibát korrigálták, így szerintem tárgytalan az ügy. (Ismételten figyelmedbe ajánlanám a dátumokat!)

 

És igen, még mindig úgy érzem, hogy egy hivatalos és ellenõrzött forrásból letöltött kiegészítõ esetén a biztonsági kockázat konvergál a nullához. És ezt nem cáfolja meg semmi abból, amit belinkeltél, olvasd csak végig.

[payskin 917]

Használhatnád egy kicsit gyakrabban az Enter gombot a billentyűzeteden.

 

A vita teljesen parttalan, lévén mindez tavaly tavasszal történt, majdnem egy éve.

 

Teljesen kár volt feleleveníteni vagy belemenni újra (pláne így), különös tekintettel arra, hogy a NoScript készítője részletes, nyílt levélben kért elnézést a közösségtől, mindkét kiegészítője ma is élvezi a Mozilla bizalmát, elérhető az Add-onok közt, és a legnépszerűbbek közé tartoznak. Az Adblock nemkülönben. Továbbra is rengetegen használják őket, és jól is teszik, nincs semmi okuk arra, hogy ne tegyék.

 

Tehát az egész oda vezethető vissza, hogy ki, honnan, mit tölt le és futtat a számítógépén. (Itt jön az a mondat, aminek az a vége, hogy "... az hülye" -- és nem szoktam népszerű lenni, ha hangoztatom. )

[Fujitsu 812]

<off>

Bocs, nekem nem tûnt fel, hogy egybefolyik, de majd megpróbálok erre is ügyelni. Mindazonáltal a gondolatmenetemet nem szívesen tördelem szét, még a jobb olvashatóság kedvéért sem.

</off>

[kurada 0]

Gondolom már tudtok róla, majd egyszer a PCW online-ra is kikerül a hír:

Malicious Additions Found

 

[payskin 917]

Tehát akkor:

 

1. Figyelmeztetésre szükség van.

 

2. Az, hogy

 

Fujitsu,Pjotr....... itt vagytok???

 

Azt hiszem, ha valami cinikus amerikai volnék, akkor csak valami ilyesmit mondanék: "I told you so!" Gondolom már tudtok róla, majd egyszer a PCW online-ra is kikerül a hír: Malicious Additions Found... stb.

nem figyelmeztetés, hanem beszólás.

 

A figyelmeztetés tényeket közöl, mondjuk így:

 

Az X és Y Firefox-kiegészítőkben Z1 és Z2 kártevőket találtak. (Cikk linkelve.) A kiegészítők kísérleti stádiumban voltak és azóta már letiltották őket. Mindenki legyen óvatos a kísérleti állapotban levő kiegészítőkkel, lehetőleg ne használjatok ilyet!

Világos voltam-e vagy kell még magyaráznom? Nem szólunk be, nem kezdünk el vérgőzös képet festeni a jövőt elárasztó fertőző kiegészítőkről, hanem a tényre hagyatkozva figyelmeztetjük a népet. A nép tudomásul veszi, esetleg megköszöni. Ennyi.

 

Ellenben:

 

1. A permban emlegetéséért permban jár.

 

2. A mondat kisbetűvel kezdéséért összeráncolt szemöldök jár.

 

3. j/ly tévesztésért első körben a szegénységi bizonyítvány iktatása, a hozzászólás azonnali törlése, második körben a hozzászólási jog megvonása jár.

 

Most, hogy ezt megbeszéltük, az egész témát újfent kitakarítom. S, lőn.

[KGigi 21]

@kurada

Szerintem neked sem szükséges felvilágosítást tartanod a fórumszabályzatból, mert a moderátorok majd eljárnak. Nemde?

 

A véleményem az, hogy ez már régen átment személyeskedésbe, a hozzászólásaimmal azt próbáltam elérni, hogy vegyétek már észre magatokat. Nem sikerült. Kioszthatnék minden itt jelenlévőnek pár figyelmeztetést, de azzal mire mennék? Felnőtt emberek vagyunk, próbáljunk már meg úgyis viselkedni, és nem mint az óvodások, akik összevesztek a homokozólapáton!

 

Szerk. Hoppá, közben Balázs takarított. Majd eldönti, hogy ez itt marad-e.

[kurada 0]

Jelszolopo Firefox bovitmenyt terjesztett a Mozilla

 

A hivatalos addonos oldalon..... Fujitsu véleményét várom....... (hogy is mondtad anno, "még ha egy kiegészítõ tudna is nekem ártani, bár ez nem valószínû")

[Pjotr 9]

IT Café

Azt azért érdemes megjegyezni, hogy a Sniffer a kísérleti kiegészítõk oldaláról volt letölthetõ, ahol a felhasználót figyelmeztetik a felülvizsgálaton át nem esett add-onokhoz kapcsolódó lehetséges kockázatokra.

---

Húzz óvszert az ethernetkábeledre...

[Temporary 52]

Hátha valakit érdekel:

"A Mozilla Sniffer egy jelszókezelõ és menedzser alkalmazás volt, aminek segítségével a felhasználók eltárolhatták jelszavaikat a könnyebb használat érdekében."

[KGigi 21]

Húzz óvszert az ethernetkábeledre...

kurada, én is körülbelül ennyit tudok mondani. Könyörgöm, világosan le van írva, hogy mit jelent az experimental addon, magyarul kísérleti kiegészítő. Ha ezt nem sikerül felfogni, akkor komolyan sajnállak.

[Fujitsu 812]

Hát, az előttem szólók már mindent leírtak. Az esetet egyébként Rambo is megírta, némileg korrektebb hangvétellel. (Mondjuk nem is értem, hogy az ActiveX-et meg a kiegészítőkből adódó biztonsági kockázatot hogy lehet egy lapon említeni?)

a gyanú felmerülése után azonnal eltávolították a letölthető kiegészítők közül, sőt figyelmeztetést is küldenek azoknak, akinek a gépére még mindig fel van telepítve.

Így ugye már kicsit más a leányzó fekvése?

 

Ja, és akkor újfent leírom, ha esetleg nem lett volna világos: mint ahogy az életben minden, a kiegészítők telepítése is jár némi kockázattal; ám az utcára is kimégy, akkor is, ha tudod, hogy a fejedre eshet egy tégla. Más kérdés, hogy ha olyan helyen sétálsz, ahol figyelmeztetnek is, hogy omolhat a vakolat, akkor ne csodálkozz, ha a fejedre pottyan valami. Noname fejlesztő noname kiegészítőjét (az 1800 letöltés semmi) továbbra sem tölti le értelmes ember, főleg, ha még experimental is.

 

Szóval úgy nagyjából ennyit erről, kedves kurada elvtárs.

[BlackSeven 0]

[payskin 917]

Magam sem fogalmazhattam volna szofisztikáltabban!

 

(Firefox javaslata szofisztikáltabban helyett: domesztikáltabban, misztifikáltabban, nosztrifikáltabban és diszkvalifikáltabban. A megfelelõ válasz aláhúzandó.)