nóó tak třeba taková mozilla jim přiřazuje vodznáčky jestli je třeba doporučujou nebo že je ověřili a četli zdrojáček hele
kdyby pan autor misto chromu používal firefox tak by si jako moh ušetřit starosti protože by si u doplňku moh přečíst že
This add-on is not actively monitored for security by Mozilla. Make sure you trust it before installing.
:D ;D
To ano, ale ani Mozilla nemůže uchránit každou verzi a není nad vlastní ověření, byť jen na možnou podezřelost.
Děkuju autorovi, taky si addony ověřuji ne ale tak sofistikovaně.
Tak jsem svoji sbírku addonů prohlédl na použité řetězce jako "atob, strreverse, decode, console.error" ani jeden z mých https://ctrlv.cz/2MpP
* atob – kóduje řetězce z base64, má řadu validních využití
* strreverse – to bylo vymyšlené jméno zřejmě jen pro tento doplněk
* console.error – to je jenom výpis na konzoli pro programátora, nedovedu si dobře představit zneužití
Hlavní podezřelá funkce zůstává `eval`. Problém je, že funkci lze maskovat – například tak, že uložím dvě proměnné, "ev" a "al" a pak je spojím a pustím na objektu `window`. Pouhé prohledání textu tak řetězec eval nenajde. Ale nechci vás děsit – někdy třeba stačí přečíst recenze uživatelů.
*** to vím, ale použítí v doplňcích je podezřelé. ... strreverse bude string reverse, běžně používané pro obrácené stringy ...
... co teprve když doplněk slouží jako link na web kde je uživatel vyzván k instalaci programu?
https://addons.mozilla.org/en-US/firefox/addon/betterttv/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
Celý článek mi ihned připomněl jiný, pět let starý, který řeší něco velice podobného. (Tímto aktuální článek ale nekritizuji - nejenže hledaný viník je trochu víc ukrytý, ale především jde o téma, které je IMHO vhodné pravidelně připomínat.)
Po přečtení onoho článku jsem doposud neměl odvahu si nainstalovat jediný doplněk do prohlížeče a celkově jsem k instalaci nového SW poněkud střízlivý až paranoidní. Takže
„A jak poznám, který doplněk je podezřelý? [...]“
Jestli myslíte „poznat“ ve smyslu „vědět“, tak jedině vlastním auditem kódu při každé aktualizaci (a i tak je to spíš víra ve vlastní schopnosti, než jednoznačný, nezpochybnitelný fakt, s výjimkou triviálních případů).
V opačném případě musíte něčemu věřit - tvůrci doplňku, straně, která doplňkům rozdává nejrůznější nálepky, jiným auditorům, atd.
Já to řeším tak, že si sám pro sebe vágně vyhodnocuji pravděpodobnost, že daný SW (nejen doplněk) je rizikový a cenu za případ, že je vyhodnocení špatné. U doplňků je problém jejich možného prodeje jiné straně (vizte výše zmíněný článek), takže nemám ani chuť se tomu nějak věnovat, byť bych třeba nějaký AdBlock uvítal - zdá se mi poslední dobou, že se Youtube snaží mi jeho služby totálně znechutit reklamami a celkem se mu to daří.
Zajimave je ze neexistuje trest pre takychto vyvojarov. To je predsa minimalne jasne porusenie GDPR. Preco nenasleduje pokuta pre takehoto vyvojara? Lebo doplnok je podpisany ale ten podpis je ako zachodovy papier. Kedy sa bude vyzadovat aby sa podpisovalo 'skutocnymi' osobnymi certifikatmi? Meno mame iba jedno, ak vas raz nachytaju, smola.
Myslíte že když nefunguje něco jako zákon na ochranu spotřebitele u software do teď, že to pro doplňky půjde hladce?
Neprokážete úmysl (dobrá, pokud je v hlavním kódu, tak asi ano). Ale co když byl malware v 3rd party knihovně a autor nem8 na to ho objevit? Máme čekat že bude všechen zdroják muset být digitálně podepsán kv;li zbavení se odpovědnosti? A pokud ano, nepovede to jen k větší míře identity fraudům?
Taková kontrolní - můj oblíbený Heartbleed - můžete po letech prokázat, že ta zranitelnost byla úmyslná, nebo naopak že šlo o nešťastnou chybu, způsobem aby to uznal soud/správní orgán? Nebo co třeba u NIST P-256?
24. 11. 2020, 11:24 editováno autorem komentáře
Parádní práce, nicméně za mě zbytečné "sr..ní" se s problémem. To raději vypnu proud, vytáhnu LAN kabel a přeinstaluju celej počítač. I příroda potřebuje restart proto umíráme a rodí se noví a tak i počítač po čase je třeba očistit o blivajs. Ono aktualizace furt dokola není totéž jako čistá instalace poslední verze. To je zase moje zkušenost. Než složitě odvirovat pracovní stanici s nejistým výsledkem raději forrmat c: /y /u a pro uživatele ponaučení neklikat na kde co a nesrkat tak kdejakou flešku.
Super článek, ještě by mě zajímalo:
- byla podezřelá komunikace vidět v dev tools?
- pokud ano, je vidět payload v čitelné podobě?
- možná by dev tools zobrazil přímo skript, který komunikaci provádí a celý vzorek bys odhalil "z druhé strany"?
- možná zajímavé je passive DNS z VT: https://www.virustotal.com/gui/domain/huffily.mydiaconal.com/relations