Hlavní navigace
Root.cz  »  Elektronická pošta  »  Zákeřná rozšíření prohlížečů používala novou techniku pro ukrytí komunikace  »  Názor

Názor ke zprávičce Zákeřná rozšíření prohlížečů používala novou techniku pro ukrytí komunikace od Uncaught ReferenceError: - Třeba tak, že se ve vývojářských nástrojích podíváte,...

  • Aktualita je stará, nové názory již nelze přidávat.

  • 5. 2. 2021 21:51

    Uncaught ReferenceError:

    Třeba tak, že se ve vývojářských nástrojích podíváte, odkud se to stahuje.
    a to je ten problém, nejprve musí rozšíření nainstalovat a spustit, to je skvělé pro ty hodně nebezpečné.

    Proč je potřebujete stahovat hromadně?
    Hromadně právě kvůli dopředné kontrole, kvůli možnosti nastavení automatických procesů, které budou kontrolovat více rozšíření najednou. Např. v jedné firmě s asi 150 uživateli máme dohromady nainstalovaných nějakých 900 různých rozšíření, na které je potřeba dávat oko a ověřovat každou jejich novou verzi.

    A já jsem myslel, že se konečně něco dozvím. Zajímalo by mne, kdo a jak podle vás kontroluje zdrojový kód aplikace, než pro ni vznikne ebuild pro Gentoo. A také by mne zajímalo, kdo a jak podle vás kontroluje kód aplikace, než se z něj udělá deb balíček pro Debian.
    Mohu třeba citovat Debian guidlines pro mainteinery při aktualizaci balíčků:

    8.2 Inspection of the new upstream releaseWhen preparing packages of a new upstream release for the Debian archive, you must check the new upstream release first.Start by reading the upstream changelog, NEWS, and whatever other documentation they may have released with the new

    version.You can then inspect changes between the old and new upstream sources as follows, watching out for anything suspicious:$ diff -urN foo-oldversion foo-newversionChanges to some auto-generated files by Autotools such as missing, aclocal.m4, config.guess, config.h.in,

    config.sub, configure, depcomp, install-sh etc.
    Podobná pravidla jsou i jinde. Např. u RHEL ta kontrola je vždy u všech aktualizací, to aspoň slibují v podmínkách. U Gentoo mají vlastní security tým, který slouží jako podpora mainteinerům, jejich QA Reports jsou automatizované, zodpovědnostní mainteinera je právě kontrola zdrojového kódu při aktualizaci.

    Můžeme diskutovat jak moc je tohle spolehlivé, ale k tomu jsou potřeba data o spolehlivosti záchytu škodlivých balíčků. Každopádně u rozšíření do prohlížečů tenhle proces neexistuje a automatická kontrola propouští podobná nebezpečná rozšíření opakovaně. V tomhle je rozdíl. Přitom bych řekl, že napadání serverů je daleko lukrativnější než napadání prohlížečů uživatelů.

    5. 2. 2021, 21:53 editováno autorem komentáře

Anketa

Jaké klíče používáte v SSH?

Zobraz výsledek

Dále u nás najdete

Nemáte náhodou už i vy nárok na bezplatný upgrade Windows 11?

Zrušte meetingy (dřív, než odrovnají vaši firmu)

Na rychlé doručení si Češi potrpí, říká šéf marketingu Allegra

Jak může Seznam.cz vydělat na konci cookies třetích stran

Sušené ovoce: spousta vitamínů, ale i kalorií. Některé se dokonce smaží v oleji

Je to oficiální: Windows nás zasypou reklamou

Velké služby by měly dát přístup zdarma a bez cílené reklamy

Applovský systém Find My přichází na Androidy

Amerika s Evropou řeší, jak zabránit čínské dominanci

V 90 % útoků v roce 2023 kyberzločinci zneužili protokol RDP

České firmy nejsou připraveny na povinné ESG reporty, ani na AI

Také vnitro chce zakazovat dodavatele do kritické infrastruktury

NÚKIB: Kdybychom na Huawei nic neměli, nevydali bychom varování

Všechny „dohodáře“ jsem propustila, říká podnikatelka

NÚKIB trápí odchody málo placených zaměstnanců

Lékaři budou dávat dětem s nadváhou fitness náramek

Nechte si zdarma prohlédnout znaménka v Praze, Brně a Ostravě

O systému „oznámené“ dohody o provedení práce

Deset let od poslední aktualizace Windows XP

Halving: O co jde a co od něj čekat?

Školení: Jak bezpečně spravovat a provozovat linuxové servery?
VÍCE INFO