Slyšte pláč staromilce
===
Jako laika mne překvapuje, že soudný programátor prohlížeče může něco takového připustit. :-).
Něco jako ekologie programování neexistuje, bobtnající funkce aplikací a nároky na potřebné místo v úložišti exponencionálně rostou stejně jaké nároky na výpočetní výkon a paměť.
Pamatuji jednoduchý a průhledný DOS (dnes by už opravdu nestačil).
Složitost operačního systému a přemíra funkcí ekosystému Windows a běžících aplikací je tak obrovská, že bezpečnost jde do kopru. Pro běžné uživatele by měl být dostupný ořezaný systém a ořezaný browser sloužící jen pro přístup bez skrytých super funkcí, které jsou po čase cestičkou ke zneužití.
Odstrašujícím příkladem je hromadně distribuovaný MS Office, který v takové šíři funkcí skoro nikdo nepotřebuje. Zlaté zaniklé Works.
Chrome je velmi schizofrenicky software. Jeho zmeny su schvalovane najvacsim zlodejom sukromia na svete, a preto sa aspon mne velmi tazko veri ze by chcel nejako pomoct uzivatelom. Na jednej strane je tu spominana zmena, ako chcu pomoct uzivatelom pri napadnuti routra (pritom ak si niekto naozaj nezmeni ten default password, tak je to otazkou casu). Na druhej strane moze chrome bez potiazi prechadzat vsetky subory na disku, spehovat historiu prehliadania, pozerat na ostatne otvorene taby a pred mesiacom dostal funkcie, ktore mu davaju pristup priamo aj na vsetky senzory telefonu (firefox a safari to vypli, lebo to podla nich moze byt velke bezpecnostne riziko). Veci, ktore nevyuzije ziadny web, ale z nejakeho dovodu su v chrome potrebne.
Vy to berete jako ze se to vylucuje, ale ono ne.
Proc asi tak Google uvedl sve vlastni DNS zdarma? Ne, nejde o podvrhovani odpovedi nebo sledovani lidi; tyhle zaznamy se s vasi identitou nikdy nespoji. ISP presmerovavali reklamy k sobe a tak vydelavali misto Googlu. To se Googlu nelibi. Nejprve se zacalo DNS, pak HTTPS, ale stale jeste zustavaji plain HTTP stranky.
Takhle utocnik vydelava na tom, ze poskytne uzivateli DNS server, proxy a ma vydelky z reklamy z plain HTTP stranek; nekdy je ta nova reklama navic u konkurence a ne u Googlu. Sem-tam si nekam injectnou malware a pak pomoci uzivatelova PC klikaji na reklamy, co stoji hodne a tezko se to dohleda. Tak se to snazi Google resit.
Chrome ma stejne opravneni jako kazdy jiny program. Vzdy muzete pouzit AppArmor a omezit tim pristup tam, kam by Chrome nemel chodit.
Naprostý souhlas. Problém je, že programátoři tohle nerozhodují, rozhodují zcela jiné....složky.
Hacker si vždy najde cestu a čím větší výzva, tím lepší. Zrovna nedávno jsem docela aktivně používal reverzní ssh tunel za natem a připojoval si tak vzdálená místa na localhost porty, v browseru porad bylo localhost:8123 apod. A to nemluvím o základním testování úplně všech aplikací obecně. Property na vypnutí určitě neudělají, to by bylo bezpečnostní riziko. Takže udělají special distribuci pro vývojáře?
Přijde mi to takové nějaké blbé.... Chápu důvody, chápu řešení, ALE: nemám rád, když prohlížeč "myslí" za programátora či uživatele.
Konkrétně já používám "rozcestník", který mi umožní připojit se na stroje z místní sítě. Má to tu chybu, že je dostupný (pouze z místní sítě!) na veřejné IP adrese.
Podle nových pravidel ale nebude možné jej použít, bude potřeba ho "přestěhovat" na jiný server, s IP v lokální síti. (Ve skutečnosti to bude spočívat ve vytvoření nového záznamu v DNS a přegenerování certifikátů - plus zapamatovat si, že teď je to jinde.)
Nebo bych mohl naučit DNS v lokální síti, aby překládala jméno "rozcestníku" na lokální adresu.
V každém případě je to zbytečná práce navíc, která jen zkomplikuje používání nástrojů pro webovou správu ve vnitřní síti. Ještě pár takových a nejspíš definitivně přejdu na Lync nebo něco podobného. ;o)
Tak ještě by asi fungovala reverzní proxy; za předpokladu, že rozcestník se na ty stroje dostane.
Nicméně napadá mě jedna věc - určitě to na tohle bude vadit? Neaplikují se ty pravidla výše jenom když je ten obsah načítaný přímo ze stránky (iframe, atd) a samotný obyčejný odkaz by mohl být v pohodě?
Pokud je to skutečně „rozcestník“, tj. jsou tam jenom odkazy, nebude s tím žádný problém.
Jinak váš argument je nerelevantní. Samozřejmě, že každá bezpečnostní změna někoho omezí. To, o čem se dá diskutovat, je to, jak jsou vyvážené přínosy a negativa takové změny. Všimněte si, že Chrome tuhle změnu nasazuje v testovacím režimu, bude se teprve vyhodnocovat, zda to takhle může fungovat (za jsou ztráty přijatelné), nebo zda bude potřeba to ještě nějak změnit, případně že se to zase úplně vypne.
Asi se všichni shodneme na tom, že v ideálním světě by nic takového nebylo potřeba, všechna zařízení v místních sítích by byla dobře zabezpečená, „interní“ SOHO sítě by nebyly považovány za bezpečné a oddělené od internetu, a všichni by měly veřejné IP adresy, takže by vlastně ani nikoho nenapadlo považovat SOHO síť za nějak automaticky chráněnou.
Bohužel v ideálním světě nežijeme a PNA může dávat smysl. A má smysl se bavit o té hranici, jestli nepůsobí víc škody než užitku. Mně by třeba pro mne dávalo smysl, že by uživatel mohl tuto funkci pro konkrétní web vypnout. Ale na druhou stranu si uvědomuju, že jakmile takovouhle možnost do prohlížeče dáte, najde se dost uživatelů, kteří budou postupovat přesně podle instrukcí škodlivého webu a tuhle funkcionalitu vypnou. Když je někdo schopen podle návodu vybalit vir ze zašifrovaného souboru a spustit ho, proč by neudělal tohle.
Ono to je IMHO tak, že se (každá větší) změna otestuje "na uživatelích" a když bude vyhovovat "velké většině", tak se nasadí - a ta "malá menšina" může skřípat zubama nebo přejít jinam.
Problém je, že neustálé opakování tohoto postupu vede ke stavu, kdy buď patříte do "sjednocené množiny všech velkých většin" (což ve výsledku může být i menšina) nebo (xor) skřípete zubama či hledáte alternativu.
Ono to nemusí být xor - můžete skřípat zubama a hledat alternativu i v té sjednocené množině. ;oD
19. 1. 2022, 12:56 editováno autorem komentáře
Nemyslím si, že by v tomhle mělo smysl hledat alternativu – pokud se neukáže, že to způsobuje problémy, o kterých se nevědělo, nasadí to postupně všechny prohlížeče (i Safari). Častější (a jednodušší) řešení je udělat takovou změnu, abyste se dostal do té většiny. Třeba v tomhle případě pokud máte nějakou aplikaci, která oprávněně komunikuje se zařízeními ve vnitřní síti, ale ta aplikace samotná je z nějakých historických důvodů na veřejné IP adrese, přesune se na privátní adresu. (Lepší by bylo, kdyby se zařízení přesunula na veřejnou, ale nikdo nebude zavádět IPv6 zrovna kvůli PNA.)
Když pominu, že zapisovat hodnoty GETem by se vůbec nemělo, tak vidím hlavní problém s tom, že by prošlo to přihlášení: admin:admin@...
- to je asi ten největší problém.
Pochopitelně, že tohle je jen ilustrační ukázka a skutečný škodlivý kód by byl sofistikovanější, ale i tak mi přijde divné, že by měl prohlížeč řešit zranitelnosti na straně serveru.
„Celkem proti“ ani ne, standard je v tom dost měkký:
In particular, the convention has been established that the GET and
HEAD methods SHOULD NOT have the significance of taking an action
other than retrieval. These methods ought to be considered "safe".
Dávají si tam dost záležet na tom aby bylo jasné, že to není povinné. Takže bych spíš řekl, že to jde proti dobrým mravům.