RSS niebezpieczny ? Opcje

[Legion]

Jeden ze specjalistów zajmujących się bezpieczeństwem IT ostrzega, że zdobywająca coraz większą popularność technologia RSS (technologia pozwalająca na przesyłanie nagłówków wiadomości i umożliwiająca przeglądanie powiązanej z nimi treści) może posłużyć do atakowania systemów komputerowych.
Moduł do obsługi RSS zostanie wbudowany w Internet Explorera 7.0, który trafi na rynek w przyszłym roku. Jego zamieszczenie w najpopularniejszej na rynku przeglądarce może stanowić przełomowy i bardzo niebezpieczny moment. Czytnik RSS automatycznie aktualizuje swoją zwartość w miarę pojawiania się nowych informacji. Można więc, przynajmniej teoretycznie, wysłać do czytnika sfałszowany nagłówek, który będzie przekierowywał użytkownika na stronę, z której będzie instalowany niebezpieczny kod.
Obecnie wykorzystywane oprogramowanie zabezpieczające komputer przed atakami nie byłoby w stanie rozpoznać podmienionego nagłówka RSS. Tym bardziej, że technologia ta, nie została jeszcze ustandaryzowana, nie wiadomo więc tak naprawdę, jak powinien taki prawdziwy nagłówek wyglądać.

Źródło: Benchmark.pl

Chyba warto by na ten temat podyskutować.

[Raf]

Ehh. Kolejna burza w szklance wody.

[PePe]

Zgadzam się.

[Raf]

Jeśli kanał RSS pochodzi z zaufanego źródła to nie ma przysłowiowego bata żeby link był groźny. Jeśli RSS pochodzi z darmowych serwerów albo nieznanego źródła to owszem. Można coś podziałać.

To podobnie jak z mitem bezpieczeństwa w IE. Wbrew pozorom sporo dziur da się obejść (w sensie zabezpieczyć się przed nimi) jeśli nie klika się bezmyślnie (czyt. bez czytania komunikatów w oknach dialogowym) na OK lub Tak. Taka niestety jest prawda. Zwykły user klika zawsze na OK bez zastanawiania się.

[PePe]

E, nie tylko zwykli użytkownicy klikają OK bez zastanowinia. Ostatnio rozmawiałem z "informatykiem", który twierdził, że przy jakimś tak problemie nie pokazuje się żaden komunikat. Ponieważ byłem w 100% pewien, że jakiś komunikat musi się pojawiać, poprosiłem go, żeby mi pokazał, co robi. Okazało się, że tak szybko klika OK na komunikacie, że nawet nie rejestrował tego faktu...

[Raf]

Dobre (IMG:style_emoticons/default/smile.gif)

To ja jeszcze podam inny przykład. Kumpel z roku wynajmuje mieszkanie ze swoimi kumplami. Tak się składa, że oni studiują informatykę na PWr. Przychodzę do nich. Kumpel mi mówi żebym zajrzał do jego komputera. Odkręcam więc śrubki, zdejmuję blachę i nagle jeden z "informatyków" podchodzi i mówi: "Dlaczego zaglądasz do jego komputera ? Znasz się w ogóle coś na tym, bo chyba nie studiujesz u nas. To my jesteśmy od komputerów, także uważaj bo możesz coś uszkodzić". Spojrzałem tylko na niego, uśmiechając się.
Zrobiłem swoje, poustawiałem masę opcji w BIOSie, poinstalowałem sterowniki. W tym momencie ten sam koleś po prostu mnie zabił. Po pierwsze nie bardzo wiedział co to jest chipset na płycie głównej. Po chwili zrozumiał. Kumpel miał akurat starego KT266. Zainstalowanie sterowników do płyty jest obowiązkowe w tym przypadku. I teraz najlepszy motyw. Podchodzi znowu i mówi: "Możesz mi powiedzieć po co w ogóle instalujesz sterowniki do płyty głównej ?". Ja w tym momencie mało co nie umarłem ze śmiechu. Koleś z 4 roku informatyki. Zero dosłownie pojęcia o sprzęcie.

Ślepe klepanie kodu to nie wszystko jak się okazuje. Szkoda, że wychodzą później tacy "informatycy" z uczelni. Jak dla mnie to porażka.

[Legion]

Heh ano tak jest, pisałem już kiedyś o tym jak informatyk z PWr, a później z AGE zdiagnozował uszkodzenie płyty głównej podczas gdy w pierwszym wypadku wyłączony był zasilacz (przycisk z tyłu), a w drugim komputer również działał bezproblemowo (tutaj podejrzewam próbę naciągnięcia kolegi na nowy komputer przez pracownika AGE). Innym razem pracownicy firmy zakładającej internet we Wrocławiu (sieć w budynku) dzwonili do mnie żeby dowiedzieć się, jak otworzyć obudowę komputera żeby założyć sieciówkę (straszna to była filozofia, nie powiem...). Doprawdy nie wiem skąd biorą się tacy debile, rozumiem że był wyciek w Czarnobylu, trochę "świeciło" po Europie, ale żeby do tego stopnia...

[Raf]

Może akurat oni zabsorbowali najwięcej "światełka". To się nie powinno nazywać informatyka w takim razie, tylko programowanie.

Tak przy okazji to off-topic ładny, ale też rozwinęła się dobra dyskusja (IMG:style_emoticons/default/wink.gif)

[_SebasTTan_]

Kiedyś "informatyk" z banku składał znajomej konfig kompa.
Dokładnie nie pamiętam szczegułów (rok 98/99) ale koleś złożył mniej więcej coś koło tego:

Procesor AMD (266mhz)
Płyta pod P II (slot 1)
grafika AGP (w płycie brak slotu)
obudowa ATX (płyta AT)
monitor 17" (cena około 2000 zł)
ups (cena około 1300 zł)
drukarka (iglowa około 1000 zł

Cena całego zestawu wyszła coś koło 6500 zł
"informatyk" powiedział że ten komputer będzie przynajmniej na 4 - 6 lat

Znajoma kupiła niestety zestaw który ja jej poleciłem w cenie 1700 zł.
Po 2 latach zmieniła cały komputer bo tamtych niestety już nie dało się rozbudowywać.