OpenOffice.org jsou méně bezpečné než MS Office

nic spolecneho. Jestli ve francii pouzivaji DOC nebo ODF na ukladani
tajnych (statnich) dokumentu? Tak to je snad jen (F)tip! Zabozrouti to maji asi nejak pomotane - a/nebo ministr (je to jen politik - co se da delat:)

Bohuzel mi pripada, ze Zabozrouti se casto radi v necem lisi, viz cela EU by mela podporovat Izrael, ale frantici na to hazou bobka :-|

Tomu říkám konstruktivní poznámky. Nemáte taky něco k jádru věci? Například podle toho, co se píše v originálech, je OOo obzvlášť zranitelný trojany a vůbec blbými makry. Nemám moc ponětí, jak je to u MS Off, ale připadá mi to jako skutečný problém, ne?

ja v tom problem nevidim, upozorneni ze dokument obsahuje makra maj jak oo tak ms, a v makrech od ms de delat uplne vsecko prez slavny activex takze je to s bezpecnosti uplne stejny

Jestli jde v makrech od MS O volat activeX, tak je myslím zcela jasné, který balík je díra do systému.

To spis ukazuje ze maji vic rozumu nez ostatni.

Kdo ví? V angličtině bych radši jednotný, ale v češtině vážně netuším (ale množný zní líp).

OpenOffice.org méně bezpečný? No pokud uživatel jenom kliká OK, OK, spustit, OK, apod. tak není bezpečný nic :-D protože žádnej software není blbuvzdornej ;-)

Ale nezní, množné číslo nemá žádné opodstatnění. Je to stejná kravina jako "ty linuxy", což také někteří používají (ve smyslu "přestaly mi doma fungovat linuxy".

To je proto, že každej pravověrnej má na každém disku nejméně dvě instalace, proto mluví v plurálu. Ostatní to po nich pak bezmyšlenkovitě opakují. :-)

Neni tak tezke dobrat se vinika ktery za to muze ... jsou to pochopitelne Windows (ta OKNA) o kterych se mluvi spravne v pluralu ... bohuzel tupe hlavy to prenasi na vsechna anglicka jmena SW a pak to takhle vypada. :-)

koukal jsem po citovaných odkazech a ejhle

http://www.zdnet.fr/actualites/informatique/0,39040745,39362096,00.htm

"... no antivirus currently marketed is able to protect the office automation continuation open source."

Tak nevím co si o tom myslet. Protože komerční antiviry už znají signatury nejakých škodlivých maher, jsou M$ produkty bezpečnější? Zase public relation microsoftu?

ještě překlad, já to taky .fr nelouskal http://www.google.com/translate?u=

No, já jsem tu originální francouzskou verzi pochopil tak, že OpenOffice nejsou tak bezpečné, jak všichni imlicitně předpokládali, a že jim dokonce *připadají* méně bezpečné než MS Office, a to v tom smyslu, že pomocí maker toho lze v OpenOffice provádět víc než v MS Office.

Což si (alespoň se to tam píše) vyzkoušeli tak, že napsali několik trojanů, které maker využívají, a to dokonce i takových, kteří se umí sami šířit. Jednalo se o roční práci univerzitních laboratoří v oboru kryptologie a virologie. S výsledky pak seznámili různé představitele veřejné správy, a ti upozornili všechny úřady, aby o tom věděli dřív než potencionální útočníci.

Hm... nějak v tom článku nevidím nic negativního tak, jak vyzněla zprávička a ty komentáře. Prostě konstatují, že makra v OpenOffice toho umí víc než MS Office, nemají oproti MS Office výrazně vylepšenou ochranu, a ani žádná antivir společnost toto nenabízí, a že mají proof-of-concept možnost zneužití těchto schopností (nikoli chyb).

Pokud se neco pomoci makra umi sirit samo, tak to je bezpecnostni chyba at uz se na to divate jakkoliv. Kdyby prohlizec umel pres javascript formatovat disk, taky by to vsichni povazovali za chybu. Proste software je kvalitni nejen proto, ze toho hodne nabizi, ale nekdy i proto, ze hodne jinych veci nenabizi.

...skor ide o priamu integraciu AV do prostredia M$ Office...tak ako sa komercne AV integruju priamo do Outlooku (a napr. do Thunderbirdu nie), tak napr. NOD32 ma modul DMON, ktory by mal kontrolovat specialne M$ Office...ale pozadie tejto technologie nepoznam, takze neviem k tomu nic konstruktivnejsie dodat...
Signaturami makier a podobnymi hovadinami to urcite nie je...aj ClamAV by mal mat signatury $M Office makier...
Ale cele je to viac/menej sprostost ak by to malo byt len kvoli tomu AV...

Pokud jde o bezpečnost tak co jsou vlastně makra je to v podstatě basic a tento program umí ledasco . Otázkou zůstává zda neděláme z komára velblouda . Prostě soudně myslící člověk svůj dokument vytiskne do pdf a nebo zabalí a pošle pomocí 256 byt šifry . Jen trubka posílá exel nebo O&OTab přímo . Bohužel 99% mých zákazníků to dělá právě takto a to je ten bezpečnostní problém stupidita uživatelů . Užiji li pro posílání informací v podstatě programovatelný dokument tak jsem vůl. Závada v bezpečnosti se nachází na židli před počítačem. ( humanoidní vir Woknožrout klikaví stupidní ).

predstav si, ze si posilas emailem mezi dvema firmama smlouvu a obe strany delaji upravy (a vyuzivaji sledovani zmen, atp.), nez se smlouva vyladi. Tam PDF moc sanci nema...

No, zrovna v tomhle PDF sanci ma, ale spreadsheetovaci program to neni, takze samozrejme na posilani tabulek je XLS nebo (v pripade trivialit) CSV, tecka.

Mají použít třeba Subversion (nebo něco podobného) a plain text s kódováním v utf-8. Posílání e-mailem tam a zpátky je typická managorská lameřina.

Teda jak můžete vůbec v tomhle světě žít, když považujete 99% svých zákazníků za stupidní a neschopné soudně myslet?

mozna prave proto zije :)

Vždyť právě na tomhle jsou založeny ty nejúspěšnější obchodní strategie. Stačí se jen rozhlédnout: MS, Gillete, Supermarkety, ...

Cictát jistého plechového maníka jménem Bender: "Yeah, but everybody's a jerk. You...me...this jerk. That's my philosophy." :-)

Vidíte ? Já jsem teď třeba nebyl ani schopen napsat napsat správně slovo "citát" ... i absolvent prvniho ročníku základní školy by si o mě mohl myslet že musím být naprostý idiot :-)

Bohužel tu vznikají dva protichůdné požadavky. Mnozí uživatelé MS Office si navykli používat Exel s hrůznými makry tam, kde by měli použít databázový program. Sám jsem viděl "program" pro evidenci plateb důchodového připojištění pomocí Excelu a maker a slyšel jsem dokonce o takto dělaném účetnictví! Autorům přitom vůbec nedochází, že dělat z datového souboru program je naprostá kravina. Navíc jsou na své děsivé výplody hrozně hrdí, protože jinak to ani neumějí. Podle nich je kancelářský balík bez maker prostě nepoužitelný. A tak se OOF této zvrhlosti přizpůsobil aby mohl MS Office konkurovat. Tím se ovšem stává stejně nebezpečným. Je nesmysl diskustovat o tom, která makra znamenají větší nebezpečí - je to úplně stejné! Člověk, který má rozum, je prostě zakáže a nepoužívá, a pak se nemusí bát. Problémem je ovšem to, že právě od volů z ministerstev dostává samé meilové přílohy plné maker.

Musím Ti dát za pravdu. Většina dokumentů se dá poslat v PDF.

Orig. dokument jsem sice nečetl, ale je otázkou do jaké míry ty makra použili. Nicméně takové srovnání nemá smysl, protože se jim asi nepodařilo vytestovat MS OFFice na Linuxu. A je otázkou na jakém WIN a jak nastaveném to testovali.

Závěrem, podle mého je to jen zaplacenou reklamní kampaní MS.

S tymi pdfkami to zase nie je take ruzove, pretoze adobe tlaci do nich nejaky pokriveny javascript(bola tu svojho casu spravicka o kalkulacke v pdf), ktory myslim dokaze posielat data po sieti a podobne. Musime sa zmierit s tym, ze ludia makra chcu a hotovo. Skor by som videl v tom, ze je sice pekne naprogramovat nejaky makrovaci jazyk, ale omnoho tazsie je ho zabalit do klietky tak, aby nerobil neporiadok.

Suhlas. PDF je sice oproti PostScriptu orezany jazyk, ale je to stale jazyk, dokonca aj bez toho javascriptu (som rad, ze xpdf a spol ten javascript implementovany nemaju). Stale je omnoho slabsi nez officoidne makrojazyky. Ked sa ukazovali dosledky kolizii MD5, Daum&Lucks ukazali, ze pomocou PostScriptu vyrobia dva uplne odlisne zmysluplne dokumenty. Slo by to aj s PDF, ale tam by to bolo tazsie. V skutocnosti staci aritmetika na realnych (celych) cislach na to, aby to slo zneuzit, priklad je prave kombinacia s koliziou hasovacej funkcie.

Ahoj,
Z hlediska maker mam urcitou predstavu, jak by to mohlo fungovat.
Rad bych vedel, co si o tom myslite:)

Problem vidim v tom, ze pokud je uzivatel pri kazdem otevreni souboru bombardovan dodazy na povoleni/zakazani maker, tak se nauci automaticky klikat na "Yes", pripadne si tuhle "bezpecnostni vlastnost" vypne uplne.

Ja bych to resil nasledovne:

Makra rozdeluji do 3 skupin
a) makra, ktera jsem vytvoril ja
b) makra, ktera oficialne vytvoril a publikoval firemni programator
c) ostatni

Kazde makro by mohlo mit podpis, podle ktereho by se zkoumala jeho duveryhodnost. Kdyz vytvorim/zmenim makro, automaticky bude podepsano (mym soukromym klicem).
Kdyz budu publikovat makro/program pro ostatni, podepisu jej firemnim klicem.

Pri otvirani dokumentu pak Ooo zkontroluje makra oproti certifikatum, kterym duveruji [muj vlastni a firemni], a pokud vse bude odpovidat, program me nemusi buzerovat;
Podpis by se vztahoval k makrum, ne k dokumentu, cili dokument jako takovy je mozne menit podle potreby.