Na Chaos Communication Congress na konci minulého roku, mluvila Julia Wolfová ze společnosti FireEye o nebezpečnosti formátu PDF. Ten podle ní obsahuje příliš mnoho funkcí, se kterými se sice při běžné práci nesetkáme, ale mohou být zneužity útočníkem pro kompromitování systému. PDF je prý plné překvapení, umožňuje například zobrazovat různý obsah jednoho dokumentu na různých systémech, prohlížečích i v různých jazykových prostředích. Navíc lze do PDF přidat kde co, včetně Flashe, který se sám v minulosti potýkal s bezpečnostními problémy. Problém jsou také antivirové programy, které si většinou nedokáží poradit s hrozbou, jenž je do PDF dokumentů umísťována. PDF se sice na první pohled chová jako ideální způsob výměny informací, ale na druhý se kolem něj točí mnoho červených vykřičníků, kterým je potřeba věnovat pozornost.
Nebezpečí skrývající se v PDF dokumentech
-
-
Takže jsem si našel stránku, na které jsou PDF se skripty. Ze čtyř nefungoval ani jeden, z toho dva dokonce spadly. Myslí, že narušení bezpečnosti linuxu pomocí PDF opravdu zatím nehrozí :-)
-
avoid (neregistrovaný)
Pre krista pana to co je tu? Je 6.1.2011 ale urcite na webe nenajdem do konca roka taku IQ dvojhaluz:
- zasada je vyhnout se Adobe readeru sirokym obloukem
- Zatim jsem jeho jedine "rozumne" vyuziti v pdf videl jako kalkulackuVoid ty zijes na tejto planete?
Som tu prvykrat ale aj posledny. Toto je hrozny web plny zakuklenych carodejov, ktorym nic nie je dobre, varia si tu navzajom taky temny strigonsky gulas s nazvom ,,keby bolo keby, bol by nebezpecny flash, nebezpecny reader, nebezpecene pdf, chrome neni dobre, tamto neni dobre..." Za modly su tu uctievani kdejaki cudaci - jeden sa zabava prelamovanim flashu, druhemu sa flash podarilo prekodovat do niecoho, co prehra jeho prvu verziu ale POZOR!!! - pracuje na tom aby to prehravalo aj druhu a neskor v roku 2126 predbehne aj player 10.2. Drzme mu palce, vsade ciha nebezpecie, na svete su zname tisice pripadov, kedy bol sputeny skodlivy kod cez swf a pdf pricom doslo k obrovskym nandarodnym skodam a unikom milionov riadkov informacii, ktore zneuzila azijska mafia.
Cely tento web je jedna velka DEPRESIA!!! Brrr, idem prec.
-
Nechápu, co tě tak rozhodilo...
Jsem poměrně konzervativní a PDF by podle mě měl umět texty, obrázky, grafy a user-freindly navigaci. Prostě nechápu, proč tam cpou flash a javascript (a ještě k tomu tak blbě, že to může představovat bezpečnostní riziko).
Mám pocit, že to "void" přesně takhle myslel, když napsal '- Zatim jsem jeho jedine "rozumne" vyuziti v pdf videl jako kalkulacku' , čili že je to na nic (proto tam dal uvozovky). -
před půl rokem jsem studoval strukturu formátu PDF a uplně imbecilně se tam drželi myšlenky, že se to musí všude zobrazovat stejně (přičemž nechápu, jak můžou dovolit nezaručené fonty (verze 1.3) a skriptování (asi od 1.3))
ať to oddělí tak jako (nechcu moc hřešit ale napíšu to) excel který má příponu .xlsx nemá právo spouštět makra ale to co má příponu xslm nebo tak nějak to má.
-
Palo (neregistrovaný)
Moze my niekto vysvetlit nasledovne?
Da sa vytvorit PDF ktore obsahuje zmluvu a dnes tam zobrazuje 1.000 EUR a o 1 rok bude zobrazovat 1.000.000 EUR?
Co potom ked takyto dokument podpisem zabezpecenym podpisom vo viere ze je to 1.000 EUR a o rok musim vratit 1.000.000,-?
Som uplne mimo? -
Michal (neregistrovaný)
Tak trochu zbytecne desis sam sebe.
Soucasti digitalniho podpisu je prece hash podepisovaneho dokumentu. Pokud se jednoho dne obsah dokumentu zmeni, zmeni se i hash a digitalni podpis bude neplatny. Jo, kdyby se obsah podepisovaneho dokumentu zmenil a hash zustal stejny, to by byla jina :-) Ale to byl verejne probirany poubemik MD5.
V digitalnich podpisech se ale pouziva SHA1, SHA2 a vyssi verze SHA (pokud uz jsou v prvozou). Samozrejme, cim delsi hash, tim lepe ....Ale to uz je jina debata.
-
JirkaS (neregistrovaný)
Já myslím, že on to myslel jinak.
Že bude v dokumentu místo částky kód odpovídající:if (datum < 1.1.2012) { print "1.000 EUR"; } else { print "1.000.000 EUR"; }Soubor a jeho obsah se tedy v čase měnit nebude, hash taky ne, ale při samotném zobrazení/tisku tam bude pokaždé něco jiného...
-
Ja (neregistrovaný)
Ovšem pokud může javascript v dokumentu některé věci spři zobrazení skrývat a jiné odkrývat, tak podpis pochopitelně zůstane stejný - předpokládám, že se podepisuje binární kód dokumentu a ne jeho grafická podoba :-). Vrátit čas počítače zpět by mne při rozdílu 1:1000000 možná napadl, protože bych zkoušel opravdu vše, je otázka zda by to napadlo i někoho jiného a zda by třeba poměr 1:1.2 neprošel...
-
mhi (neregistrovaný)
Ovsem takove jednani zrejme naplni skutkovou podstatu tr. cinu podvodu, takze je jedno jak to bude.
Predpokladam, ze i papirova smlouva, ktera by po case vytvorila nove cislice nebo nejak zmenila obsah by byla take povazovana za podvod, tedy pokud by se jej podarilo nekomu prokazat :-).
Na zaver, na epodatelna.justice.cz je ke stazeni navrh na vydani elektronickeho platebniho rozkazu, coz je trosku sofistikovanejsi PDF formular. Bohuzel je mozne jej spustit jen pod Acroreaderem. Predpokladam, ze tam je javascript, navic neskutecne pomaly (napisete jmeno zalovaneho a nez vam to dovoli jit dal chvili musite cekat :-) ).
K tomu PDFku se da dostat pres "nove podani" k soudu, nasledne tam je seznam, EPR.pdf je to o cem mluvim.
