Safari para Mac vulnerável a falha de há dois anos
Embora o Mac OSX se sirva de uma fundação bastante sólida e segura baseada em UNIX, tem um grande calcanhar de aquiles, o seu browser Safari. Como já tínhamos apontado, há quem defenda que a Microsoft leva muito mais a sério a segurança no seu sistema operativo que Apple. Esta última opinião não é desprovida de nexo, se considerarmos o quanto pode ser grave, ter uma falha que se encontra por corrigir há dois anos.
Lembra-se de ler aqui sobre a vulnerabilidade “Carpet Bomb”, no WebKit que assombrou o Safari e as primeiras versões do Google Chrome? Pois bem, parece que esta vulnerabilidade ainda persiste na versão Mac do Safari. Esta permitia que um utilizador malicioso enchesse o computador do visado com milhares de ficheiros maliciosos.
Na altura a própria Microsft lançou um comunicado invulgar, a aconselhar os utilizadores do seu sistema operativo a não utilizar a versão do browser da Apple no Windows. Pouco depois a Apple lançou um patch para a versão do Windows para corrigir a falha, mas não o fez para a versão do Mac OSX.
Nitesh Dhanjani o Hacker que originalmente descobriu esta falha explica da seguinte forma as repercussões que uma falha destas tem no OSX.
“A presença desta vulnerabilidade significa que se utilizar o browser Safari no OSX, uma entidade maliciosa pode depositar qualquer ficheiro - binário ou de dados - na pasta ~/Downloads/. Este comportamento do Safari é contrário aos browsers mais comuns, que avisam o utilizador quando detectam um ficheiro a ser descarregado e pedem que seja definida de forma explícita as permissões do ficheiro antes de o gravar localmente. O Safari ignora estes passos e guarda o ficheiro na pasta por omissão de downloads sem sequer pedir ao utilizador – mesmo que centenas de ficheiros sejam servidos por um site malicioso.”
Provavelmente a razão que a Apple não considera isto uma vulnerabilidade é devido ao facto de, mais do que os ficheiros serem descarregados maliciosamente para essa pasta, o utilizador teria que os executar (carregar duas vezes sobre esses ficheiros) e introduzir a password de administração para que o sistema fosse comprometido.
Mas como Dhanjani aponta e bem, num mundo virtual em que ataques rebuscados são encomendados por algumas entidades com fins menos lícitos como por exemplo espionagem entre organizações, não é nunca boa ideia controlar os ficheiros que são descarregados num computador remoto de um utilizador.
Dos principais browsers apenas o Safari para Mac, continua vulnerável a esta falha. Isto demonstra que ao nível da prevenção de problemas de segurança a Apple tem ainda um longo caminho a percorrer. E que a elevada segurança devido à arquitectura de um sistema operativo baseado em UNIX, de nada serve quando existe software medíocre ao nível de segurança como o Safari.
Devido a esta situação e à conhecida rapidez com que o Safari tem sido comprometido em concursos de Hacking, não poderemos deixar de alertar os utilizadores do sistema operativo de Cupertino, recomendando-lhes no plano actual, qualquer uma das outras alternativas como o Firefox, Chrome ou Opera. The Register
Este artigo tem mais de um ano
Uma falha que afecta WINDOWS.
É mesmo vontade de FUD.
Qual o problema do Safari para OSX ter uma falha que afecta UNICAMENTE sistemas windows??????????????
Qual a correcção necessária?????????
http://www.tuaw.com/2008/06/11/safari-carpet-bombing-attack-code-in-the-wild/
A falha não é apenas para o windows -.-
Se lesses a noticia como deve de ser irias reparar, que a vunerabilidade inicialmente até foi descoberta num sistema OSX (MAC) e que a Apple só corrigiu esta falha em Windows. O Mac continua exactamente com a mesma falha.
O pior é que ainda por cima a Apple sabe disto há 2 anos e não faz nada…
Só para acabar um excerto que justifica o que disse:
“Lembra-se de ler aqui sobre a vulnerabilidade “Carpet Bomb”, no WebKit que assombrou o Safari e as primeiras versões do Google Chrome? Pois bem, parece que esta vulnerabilidade ainda persiste na versão Mac do Safari. Esta permitia que um utilizador malicioso enchesse o computador do visado com milhares de ficheiros maliciosos.”
“…versão Mac do Safari…”
oh sim é bom ter uma porta aberta para futuro spyware ou algo do género, lá por não afectar directamente o sistema hoje não significa que amanhã não o comprometa.
Quanto ao problema do safari no win, bom tanto safari como quicktime sempre funcionaram mal e porcamente no win, ultimamente o quick já não dá problms, mas tanto win como firefox sempre tiveram problms com o quick
Chama-se a isto: “Varrer para debaixo do tapete” 😉
Eu acho que a questão aqui não é se afecta só sistemas Windows ou não… A questão aqui é que um browser tem uma falha de segurança que permite a um estranho efectuar uma operação à qual não tinha direito.
Imaginem por um instante que esta é a primeira parte de uma operação: alguém envia uns determinados ficheiros para um sistema onde um outro alguém os irá executar local ou remotamente dentro da rede interna. Se calhar não seria a melhor opção…
olá boa tarde , o que eles devem querer dizer é o safari para versão windows .
Aconselho-te vivamente a leres a notícia novamente.
“A presença desta vulnerabilidade significa que se utilizar o browser Safari no OSX, uma entidade maliciosa pode depositar qualquer ficheiro – binário ou de dados – na pasta ~/Downloads/.“
Sim, além de ser importante ler a notícia completa, é necessário seguir os links deixados, isso fará um enquadramento deste bug.
Falámos dele há dois anos e ao que parece a Apple descurou a segurança dos seus utilizadores no SO de berço.
A Apple parece-me algo displicente em relação à segurança.
Qual foi a parte de apenas FUNCIONAR em Windows que não perceberam.
MESMO QUE SEJA DESCARREGADO algum ficheiro infectado esse mesmo ficheiro EM OSX NADA FAZ pois nem sequer consegue CORRER.
Do link que já referi.
“The Safari “carpet bombing” blended-threat vulnerability discovered in May could be more dangerous for Windows users with exploit code available online.
Mac users are not affected by the threat.”
MAC USERS ARE NOT AFFECTED BY THE TREAT.
É NECESSÁRIO TRADUZIR?
Get a live. Preocupem-se com o VOSSOS bugs e falhas.
Volto a dizer. Isso é varrer para debaixo do tapete!!
Se o ficheiro está lá, quem garante que um utilizador não acaba por executá-lo? Pode-se dizer que “Só executa se for Burro” Sim, é verdade… mas… há por aí tantos e não o sabem 😛 (Sem kerer ofender ninguém :))
Para a Apple o que o utilizador experiencia ao utilizar um dos seus produtos é tudo!
Esta característica do browser é para tornar a utilização simples sem pop ups a perguntar se realmente quero fazer alguma coisa que eu já ordenei através do clique. Não é uma vulnerabilidade mas sim algo pensado e é por isso que a Apple não corrige.
Qualquer alteração ao sistema necessita de autorização através de introdução de password e um utilizador fica a saber o que está a fazer.
Quanto a utilizadores “burros”, não há muito a fazer. Do mesmo modo um utilizador pode fazer download de um virus e instalá-lo em qualquer S.O.
<>
Mas se pudermos evitar potenciais problemas, será sempre uma mais valia não?
Eu quando estou a desenvolver apps, também penso “Pra que é que vou validar este campo? Só quem for burro é que mete aqui letras quando estou a pedir um nº”. Se fosse como a Apple, não validava, depois caiam-me em cima… Como gosto de fazer as coisas com brio :P, prefiro evitar eventuais problemas.
Fiz-me entender? 🙂
“Só executa se for Burro”
A probabilidade é elevada porque para ter o Safari instalado não pode ser muito inteligente 🙂
E tiver permissões de administrador e introduzir a password.
Só falta abrir as pernas e senta-se num barrote.
Dahhhhhhhhhhhh.
Mas será que dói alguma coisa admitir que a marca das Maçã$ não é assim TÃO perfeita quanto isso???
Caraças… Acho que é no mínimo inadmissível ter uma FALHA (por mais floreado que lhe queiram dar, não deixa de ser uma FALHA) durante TANTO tempo e estarem-se a marimbar pró assunto!! É como diz o Vitor M. a “falsa” sensação de segurança, pode (e evetualmente dá mesmo) muitos problemas.
Mas pronto… se calhar a Apple lá vos dá uns trocos para argumentarem contra FACTOS!!!
Desculpa lá mas ele tem razão. Eu nem gosto da apple, nem tenho nenhum produto deles, nem vou ter. Mas sou forçado a admitir que esta falha é uma treta se for como o Observador disse. Lá porque não gostamos de uma marca não é necessário estar constantemente a atacar 😉 (embora apeteça mesmo lol)
Os factos é que até hoje nunca nenhum UTILIZADOR se queixou de falhas de segurança ao usar o MacOsX.
Também há quem contra-argumente: “Há e tal, vocês não têm marketshare suficiente.. ninguém quer saber dos Mac users”
Em que mais uma vez os factos dizem assim:
Quando o MacOS9 tinha 3% de marketshare, sofria com malware e virus, actualmente o MacOsX tem cerca de 9 a 10% de Marketshare e continua a subir, e até agora nenhum utilizador se queixou de malware…
Estes são os factos, portanto, falsas sensação de segurança continua a ser Mito. 😉
Se um windows user fizer format c: e se vier queixar depois por tudo ter perdido, o que lhe dizem? Que a culpa é do SO?
Eu curto é misturar alhos com bugalhos! 😉
Yep, dá sempre uma bela salada 😀
É que é exactamente isso que chamam de “falha” no Safari para OSX.
Afinal agora já misturam coisas.
Muitas vezes é por aí que começam os problemas, pela pertença sensação se segurança. A impenetrabilidade não está alcançável ainda meu caro. Isso de não ser possível é falacioso. Já se viram variadíssimas situações que mostraram essa tal “fortaleza” a falhar.
Já deu para ver que és daqueles fanboys com duas palas 🙂 antes de dizeres aos outros para ter uma vida, aprende a escrever em condições 😀
Teve um espaço a mais. Será para ler “Get alive”.
Acordem.
Vida é LIFE e não “live”.
Owned 😉
Morrer a dormir é realmente chato 😀
Só usa este browser (sobretudo em Windows) quem não se preocupa com a segurança. Tantos browsers melhores e mais seguros, que razão para ter isto?
Aiii que vergonha!!
Fanboys, where are you now!?
E ainda há quem acredite que a Apple resolve os problemas que descobre ao fim de poucos dias. Ingénuos.
XXXXXXXXIIIIIIIIIIUUUUUUUU não espalhes!!! 😉
Tenho usado o Safari em Mac OS X e NUNCA recebi quaisquer ficheiros na pasta Downloads que não tenha sido eu a puxá-los.
E quando vir lá coisas que não conheço, basta-me apagá-los 🙂 .
O que me preocupava era se o Safari pudesse correr algum código malicioso… se este bug se limita a efectuar downloads, não é grave.
Efectua Download de ficheiros APENAS executáveis em WINBLOWS.
Que apenas e só afectam aquele SO.
É apenas e só lixo para OSX.
Até que para correr algo em OSX tem de ser permitido.
Nitesh Dhanjani o Hacker que originalmente descobriu esta falha explica da seguinte forma as repercussões que uma falha destas tem no OSX.
“A presença desta vulnerabilidade significa que se utilizar o browser Safari no OSX, uma entidade maliciosa pode depositar qualquer ficheiro – binário ou de DADOS – na pasta ~/Downloads/.”
Desconfio, na minha ignorância, que não serão apenas ficheiros executáveis em window$…
mas enfim…
só espero também ser “seleccionado” pela apple.. da mesma forma que falo mal, por uns trocos, tb posso falar bem 😉
Quem te disse que não há exploits para Unix? São mais raros que no Windows mas há.
A falha tem que ver com o facto de ser permitido a criação de ficheiros na dita pasta sem a *tua* autorização.
Pois lá está. Falar sem saber.
Os ficheiros para serem descarregados têm que o ser permitido pelo user.
Depois de descarregado (ao contrário do auto-executável em Win) tem de ser efectuado duplo click no ficheiro e introduzido o nome e a password de administrador para ele correr.
Ou seja.
Para poder (potencialmente) fazer algo (bom ou mau) tem de ter a intervenção do USER pelo menos 4x.
*Permitir descarregar
*Permitir a execução
*Introduzir user
*Introduzir password.
Em Windows apenas é necessário descarregar. Tudo o resto é executado AUTOMATICAMENTE sem necessidade do user.
É necessário fazer um desenho?
Faz lá um desenho que eu não percebi… O MEU WINDOWS não executa nada automáticamente PONTO
No Windows existe o UAC… Se um Mac user não cai um Windows user tecnicamente tambem não seria uma vitima 😉
@Kekes
Tecnicamente, Windows há o XP, Vista e 7 e o UAC é uma coisa do Vista e 7, logo não é bem assim 😀
Outra coisa também comum é que o UAC não protege 100% de malware. Se assim fosse o Windows não precisava de Antivirus. Há de lá chegar um dia… espero eu.
Hum, vocês é que não percebem o observador.. não é um exploit. é uma Feature. que faz downloads automaticamente. Tipo um “download acelerator” que pensa no futuro.
Exactamente. 😉
Quem usa o Safari para Mac sabe bem que isso é uma feature que ele tem, que quando carregamos para fazer download ele faz logo, sem perguntar se queremos ou não fazer, ao contrário dos outros browsers, que para além de carregarmos para fazer download, ainda temos que dar uma “validação” se temos a certeza que queremos descarregar “aquele” ficheiro.
Daí a Apple ter mantido esse feature como sempre foi e ter apenas mudado a forma como ele fazia no Windows por este ser mais vulnerável ao tipo de virus que pode encontrar na web. Basicamente adicionaram-lhes um “UAC” ao Safari 😀
“Aviso de Segurança:
Pretente executar ou guardar este ficheiro?
etc..etc…”
Por definição ate o IE pergunta se quer guardar ou executar ou cancelar e quando fazemos duplo clique no ficheiro pergunta se quer mesmo executare pra quem tem o UAC activo pergunta outra vez, e se n for o admin do pc tb pede password…uau big deal
Pelo que percebi da falha ela simplesmente salta a 1º etapa que enumeraram pra ai.
N pergunta se quer descarregar..ELE DESCARREGA, e se pode ser um tipo de ficheiro qualquer pode ser um que corra em OSX e nao somente em windows como o observador diz, se calhar deveria observar mais um bocado antes de abrir a boca.
@Bruno Coimbra
Mas ao contrário do Windows, o MacOS e Linux não fazem Autoruns, dai mesmo que essa raridade aconteça (de descarregar um ficheiro sem o nosso consentimento) ele nunca se irá auto-executar.
Já no Windows, há malware bastante eficaz que ultrapassa o próprio UAC.
Ou seja, estamos perante 2 niveis de perigosidade diferentes, nos diferentes SO’s. O que poderá representar uma falha GRAVE de segurança no Windows, o mesmo poderá não ser aplicável no MacOsX, daí a Apple ter logo corrigido esse factor no Windows. Se ele representasse mesmo uma FALHA GRAVE, eles teriam logo corrigido primeiro no Mac… ou acham que se iriam preocupar primeiro com o SO do rival? 😉
Posso esta a dizer alguma asneira, mas a partir do windows vista os autoruns não estão activos por defeito.
@killer
Sim parte dos autoruns foi desactivado, a partir do Vista, mais concretamente a Pens e CD’s..mas continua a ter presente muitas funções autorun e autoplay.
Uma ameaça ainda muito presente e suspeita-se estar a voltar em grande é o Conficker, que tanta dor de cabeça ainda dá à Microsoft.
http://support.microsoft.com/kb/962007
(O Win32/Conficker propaga-se mediante múltiplos métodos. Estes incluem os seguintes:
* Exploração da vulnerabilidade corrigida pela actualização de segurança 958644 (MS08-067)
* A utilização de partilhas de rede
* A utilização da funcionalidade de Reprodução Automática)
Ou seja, este se conseguir ser “injectado” no Windows através de um download, pode muito bem infectar o sistema sem que o utilizador o execute. E no Mac, não há nenhum malware que faça isso. Dos códigos que há, requerem todos intervenção humana.
Perdoa-me a ignorância, mas ficheiros binários ou de dados são exclusivos a Windows? Os outros SO’s não lêem binário, nem têm ficheiros de dados?
Se bem me recordo o equivalente do .exe do Windows é o .app da Apple.
A ameaça existe; agora se queres ser tapadinho e não a ver, isso é contigo.
As aplicações em OSX não têm extensões (como o .exe)
Mas existe (em win) os autoexec.bat que não existem em OSX. Esses AUTOEXECUTÁVEIS é que são os problemáticos.
Os .app são as aplicações para o iPhone.
Na verdade as aplicações no Mac tb tem extensão (.app).
O que não existe é o autorun…
O problema que foi levantado no Windows era a capacidade de o ficheiro descarregado ser auto-executável!! Daí toda a celeuma!
Por enquanto isto é um não-assunto no Mac!
O que é bonito nunca é lá muito bom! Sim porque a apresentação da Apple é um mimo! Agora o resto…São americanos e basta!Cada lançamento da Apple para mim é um fartote de rir!
E tu usas o quê? Linux francês? Windows chinês? Caixa Mágica no teu Magalhães?lol…
É a tua opinião tudo bem mas é um bocado ridícula…
Quanto à vulnerabilidade do Safari, não sendo extremamente perigosa para o OSX, não deixa de ser uma falha grave que deveria ser corrigida, independentemente de a Apple optar por não corrigi-la de modo a não afectar outras funcionalidades do browser…
ass: bonito e muito bom
Não queria entrar nesta guerra mas só quero dizer que o safari é giro para ter na barra do mac mas quando é para navegar na net usa-se o firefox porque até no mac o firefox é melhor. Usando 3 dedos no touchpad usando firefox nos macbook ou macbook pro temos acesso directo ao cimo da página ou ao final da página e o safari não faz uso disso mesmo sendo o browser da apple. Para andar a navegar como gente a sério firefox ou outro, para ir ao google e ver o significado de uma palavra parva ou uma imagem engraçada o safari serve.
Esta falha era apenas grave na versão Windows, daí a Apple ter corrigido logo nessa plataforma.
Este alegado “bug” não está a afectar nenhum Mac user. Outra coisa que o Safari faz, mal detecte esses sites com conteudo malicioso, nem o abre alertando que o utilizador deverá evitar esse site.
( Comentário escrito no meu Safari 4.0.3 do Mac 😀 )
Caro, não está a afectar utilizadores Mac provavelmente ao nível estatístico, mas podes-me garantir que ninguém é afectado por esta falha?
É que como em windows, existe utilizadores quer em mac quer em linux que clicam em tudo o que vêm à frente e metem password. O grande problema nem é a falha em si, é a desplicência da Apple em deixar uma porta aberta para o seu sistema operativo, imperdoável.
Tenho a certeza se fosse a Microsoft já tinha resolvido o problema, ou se quiseres mesmo a Canonical lançava um patch para o Firefox (se fosse afectado por esta falha) se acontecesse algo semelhante em Linux. mas concordo com o que o Vitor disse anteriormente, a Apple fia-se excessivamente na sua base de UNIX, resolve tudo mas não é o mal para todos os remédios.
Isto mostra também como as referências que meti no meu artigo que outro mito é que as aplicações Mac são muito mais seguras que as da Microsoft.
Não tenho dúvidas que o internet explorer é muito mais seguro que o safari, só que o problema do internet explorer é que é alvo de muito mais tentativas de exploits que o safari devido à sua quota de mercado e claro a base do sistema operativo da microsoft é mais frágil que a do OSX.
Agora o Safari é muito mau a nível de segurança a prova que a Apple também desenvolve software duvidoso a nível de segurança.
Para o Rui,
A minha pergunta é se por acaso sabes como é que isto funciona num Mac, para fazer tanto caso com este problema!? É óbvio que quantas mais camadas de segurança melhor, mas o facto é que o sistema OS X implementa outras medidas que por acaso nunca vi noutros sistemas.
Eu volto a repetir-me, quando tentas abrir pela primeira vez um ficheiro descarregado aparece uma mensagem indicando donde foi descarregado, avisando dos perigos e perguntando se quer mesmo abrir.
E se for um programa, avisa explicitamente que vai abrir um novo programa – qualquer que seja a origem!! E isto não tem nada a ver com as permissões/ passwords, que é outra componente.
Por isso a protecção existe!!
Se poderia ser melhor!? Sem dúvida! Eu até gostava de ter a possibilidade de negar o download… mas a segurança não está comprometida! Confirmar um download, neste caso, não é só por si suficiente para ter segurança, é somente um processo de crivagem.
Não faz qualquer sentido apontarem como falha grave.
Porque vejam os factos, se esta suposta falha foi apresentada para o Windows e Mac, e eles resolveram no Windows (porque representava para o sistema um falha grave) logo detectaram esse problema, qual era o problema de resolverem para o MacOsX? Ainda por mais quando se trata do seu próprio sistema… eles corrigem o do rival desleixando o próprio sistema?…
Não faz sentido a meu ver…
Seria o mesmo que o IE haver para Mac e Windows, aparecer um erro em ambos, a Microsoft resolver o do Mac e burrifar-se para o da sua plataforma… não faz sentido.
Depende da tua definição de falha, é grave para nós e aparentemente para o hacker que originalmente descobriu a falha.
No nosso caso, até podias dar um “desconto”, agora para uma pessoa cuja a sua vida é investigação em falhas de segurança, acho que merece algum crédito.
Independentemente de considerares falha grave (nós consideramos), é uma falha (disso não há dúvida) e absolutamente desnecessária, se por agora ninguém faz um uso inteligente dela, no futuro nunca se sabe a forma como quem desenvolve software malicioso, possa tirar partido dela de forma inteligente (tendo como alvo os utilizadores mais ingénuos, que é a maioria das pessoas que usam um computador).
É um desleixo desnecessário da Apple, de uma falha que era escusada existir e só existe por teimosia deles. Por isso refiro que acho que Apple a nível de segurança ainda tem muito a aprender, isto no windows ou numa distribuição de Linux, já tinha sido resolvido.
“base do sistema operativo da microsoft é mais frágil que a do OSX.”
Será? onde é que esta a prova disso?
Acho que estão a dar demasiada importância a esta vulnerabilidade. Seria sem dúvida melhor haver avisos quanto aos downloads, mas o Mac OSX tem implementados mecanismos que impossibilitam que o ficheiro seja aberto sem que o utilizador consinta. Para quem não sabe, quando tentarem abrir pela primeira vez um ficheiro descarregado aparece uma mensagem indicando donde foi descarregado, avisando dos perigos e perguntando se quer mesmo abrir. E se for um programa, avisa explicitamente que vai abrir um novo programa – qualquer que seja a origem!!
Eu nunca vi isto noutro sistema operativo, será que deveria fazer o mesmo alvoroço pela ausência destas medidas!??
Eles ainda não viram a “luz” e portanto não podem ter a percepção do que se trata e dos problemas que podem acontecer (ou não).
Mas enfim.
São felizes à maneira deles. Ainda bem.
Ãh?
Tas a falar para quem?
Não passa tudo de maneiras para tentarem derrubar a Apple… Sendo a apple um standard de qualidade e inovação, as restantes empresas deveriam era seguir o exemplo desta grande marca!
PS: não sou apple fan!!
Cumprimentos
Fala-se numa falha no mundo da Maça e é sé virgem marias ofendidas.
AHAHAHAHAHAHAHAHAHAH
A isto é que eu chamo Aple phail 😛
O melhor é mesmo utilizar o Firefox 3.5.9 😛
Se existe Firefox ou Opera para que utilizar o safari. O que eu quero sao coisas que funcionem nem que sejam feias. Para ser bonito vejo gajas… As minhas maquinas quero-as com performance. O tempo de as ter todas pipis ja la vai. O Safari usei por curiosidade. A velocidade que entrou no meu pc saiu mais tarde para nao mais regressar.
Com já aqui foi dito, o Mac OS X não auto executa nenhum ficheiro descarregado.
Todos os ficheiros descarregados da net, ao abri-los pela 1ª vez, o sistema informa o utilizador de onde ele foi descarregado, a data e hora, e pergunta se quer mesmo abrir.
Para quem não sabe, se o ficheiro tiver códigos maliciosos, acontece isto:
http://www.macrumors.com/2009/08/26/snow-leopard-antimalware-feature-gaining-publicity/
Cabe na cabeça de alguém, a Apple corrigir uma falhar para o Safari Windows, e não a corrigir para Safari Mac?
FUD:
http://pt.wikipedia.org/wiki/Medo,_incerteza_e_dúvida
Para quem usa Mac:
Tentem visitar este site no Safari (Mac):
http://cisco-ccna-certifications.blogspot.com/search/label/CCNA%202%20%20UPDATED
e depois tentem com outro qualquer browser, e tirem as vossas conclusões.
E quê, a net foi feita só para esse browser? Para 4.4% dos utilizadores que usam Safari?
A net não é feita para os browsers, é o inverso. E nesse aspecto o Safari é dos mais competentes e rápidos a aceder as páginas, com Acid3 a 100.
O IE é o rei do marketshare e isso não faz dele o melhor browser também… 😉
O que eu quero dizer é só o Safari e o Chrome é que mostram este aviso.
Qualquer outro browser entra no site, sem detectar nada.
Que não haja ninguém afectado até ao momento, até acredito. No entanto, acho que é uma superfície de ataque disponível à qual a Apple não está a dar importância.
Fazendo uma analogia, é como um administrador de sistemas saber que tem uma determinada porta do router aberta para um IP que não está utilizado: ele sabe disso, mas como a porta não vai dar a lado nenhum, não se preocupa. Até ao dia em que se esquece disso e configura um qualquer pc com o tal IP. E é nesse momento que abre uma porta ao mundo para a sua rede interna com as consequências que daí possam advir.
Que a Apple queira ser teimosa e orgulhosa, tudo bem. Só espero que um dia destes o orgulho não lhe rebente na cara e se queime com isto…
Também concordo que esta falha não é grave.
Porque é preciso que o usuário execute o ficheiro.
Mas não subestimem os hackers 😛
O ficheiro já está lá.
Agora só falta arranjar uma maneira de executar.
Pode ser até um esquema subtil. LOL Um executável com um nome que estimule a curiosidade do utilizador 😛
Não se esqueçam que em qualquer SO o principal problema está entre a cadeira e o teclado :p Nem todos os utilizadores de Mac, Windows ou Linux têm os mesmos conhecimentos que os leitores do ppware. São esse tipo de utilizadores, os principais alvos dos hackers.
Mas não deixa de ser uma falha. 2 anos é muito tempo.
So uma coisa que nao bate bem… Se nos concursos o Safari é o primeiro a cair… é obvio que nao está um gaju no computador a aceitar o ficheiro e a meter as credenciais de Administrador, portanto a falha em causa do safari penso que nao seja um simples ficheiro que é descarregado automaticamente
Ele não foi explorado remotamente.
Os computadores no concurso são quebrados nas proprias maos dos hackers e não remotamente. O que ele fez foi básicamente abrir um código (estudado e pré-programado meses antes) no Safari e explorar uma falha.
Portanto, o Safari caiu nas mãos do utilizador, que neste caso foi o próprio Hacker.
E diga-se de passagem, concurso que não diz rigorosamente qual o browser mais seguro. O Chrome foi ditado vencedor, quando nem sequer ninguém mexeu nele, e os restantes hackers perderam mais tempo meses antes a estudar um Mac que propriamente outros sistemas. O Charlie Miller é um Mac user. Se eles tivessem dispendido o mesmo tempo a estudar todos os sistemas, será que os resultados seriam os mesmos?
É que tanto o IE, como Firefox foram quebrados por 3 hackers diferentes e quase ninguém falou nisso…
Certo, mas o Safari foi quebrado antes do IE e do Firefox.
Por isso defendo que mesmo o IE está à frente ao nível de segurança que o Safari (E já nem falo do Firefox).
A performance do Acid3 que falam acima não serve para nada quando o Safari é muito fraquinho a nivel de segurança comparado com os outros browsers.
Se me lembro também do concurso do hackers(que refiro no meu artigo), a principal razão que os hackers deram para não pegarem no chrome é que este tem um sistema de sandbox que isola os processos do browser do sistema e aumenta a segurança.
Por isso ao contrário do que possas pensar, sim eles não exploraram falhas porque era muito mais difícil de quebrar que os outros.
Eles não pegaram porque não houve interesse em pegar. No entando já antes dos evento começar, os organiadores e o próprio Charlie Miller já esfregava as mãos e dizia… “O Safari este ano vai ser o primeiro a cair novamente…”
Prognósticos nada suspeitos.
E vejamos, se eu dispender o meu tempo, 90% numa plataforma, e 10% noutra é evidente que vou encontrar mais falhas na plataforma que mais uso, mas isso dá-me o direito de dizer que A é melhor que B?
Ao passo que, 1 Hacker quebra o Safari, 3 hackers quebram os outros sistemas. Vejo aí que a problabilidade se se quebrar é maior num que outro, independentemente o tempo que levou ou não a correr o tal código.
Charlie Miller
http://twitter.com/0xcharlie
Até na foto principal está rodeado de Macs. Será que se ele fosse Windows user não detectava mais que um Bug e fazia o mesmo? Ou será que não vale a pena já que o sensacionalismo em torno do evento dá-lhe mais notoriedade?
É que até a bio dele dá a entender isso:
“I’m that Apple 0day guy”
😆
Mas isso não quer dizer nada de ser adepto mac ou não. Obviamente foi aquele que achou mais vulnerável e esse por acaso foi o Safari.
Lembro-te também que a mesma tecnologia utilizada no safari normal, também é usada no safari do iphone, este que foi severamente posto em causa, dando acesso a informação pessoal do iphone ao hacker.
óbviamente há algo de muito “pobre” na segurança utilizada no Safari.
Espera até eles começarem a visar ataques para o iphone, para veres a segurança do teu rico safari 😀
Só quanto à segurança do chrome um excerto do texto original do Pw2Own, para veres que não é bem assim e isto foi dito pelo Charlie Miller
“Segundo Charlie Miler o primeiro Hacker a comprometer o Safari, encontrou inclusive uma vulnerabilidade (No chrome), mas não conseguiu explorá-la devido ao mecanismo de sandbox do browser da Google, que isola componentes críticos do browser, bem como a protecção nativa de aplicações que o browser tira partido do Windows.”
A questão é que o Chrome está todo artilhado de segurança, além de protecções do sistema operativo, tem isolamento do processos de componentes criticos do sistema operativo. A google não faz por menos a nível de segurança e têm algum historial nisso (honras lhe sejam dadas)
Ele ainda tentou, só que viu de ser tão difícil não conseguia e tinha mais sorte devido ao safari ser o mais fraco a nivel de segurança. Eu no lugar dele fazia o mesmo.
Eu até compreendo que defendas muito tudo o que é Mac por seres entusiasta. Agora quanto a factos não há argumentos e tudo o que tenho apresentado aqui são factos
Eu também tenho apresentado factos, e de facto já o disse lá mais acima
Um concurso patrocinado pela Google e Microsoft, será que não há interesses e muito FUD à mistura?
É que falam, falam… mas no terreno Windows users queixam-se de segurança todos os dias, e em 10 anos de MacOsX nenhum se queixa. E isso para mim são os maiores factos de todos 😉
Ps: Obviamente muitas das falhas de segurança (Windows) não se devem 100% ao sistema mas sim entre a cadeira e o teclado, mas há de facto uma percentagem elevada de falhas do sistema. Coisa que até hoje nenhum Mac user sofreu.
E como entusiasta de Linux, sabes perfeitamente que ambientes UNIX e ambientes Windows não têm nada a ver. O Windows é uma fortaleza, apenas bem artilhado. (Antivirus, Firewall, Antispyware..etc..)
Por isso ao dizerem que a Microsoft se preocupa mais com a segurança é pura desinformação. Se eles se preocupassem mesmo de verdade, o Windows era como Linux e Mac. Não precisava de software de terceiros para ser seguro.
Tambem achas suspeito que o firefox que é da Mozilla tenha resistido mais tempo que o Safari, ficando mesmo à frente do IE da Microsoft?
Que eu saiba a Mozilla não patrocinou o evento apenas a Google, Microsoft e RIM, por isso não vás por aí, alegando a teorias das conspiração. São resultados sem qualquer tipo de suspeita, seria sim o contrário se por exemplo a Microsoft oferecesse X para explorarem o Safari ou a Google o mesmo, algo que não aconteceu nem sequer acredito em tal situação.
Aliás A Microsoft, Google e Apple todas têm a ganhar com estes concursos de especialistas, para melhorarem a segurança dos seus browsers.
Só a Apple é que gosta de deixar falhas de dois anos nos seus Browsers, mas assim não vai longe 😉
Quando nós no site e muito especialistas defendem que a Microsoft se preocupa mais em Segurança que a Apple é pura verdade. Nem que seja pelo acumular de experiência que a Microsoft tem ganho ao longo dos anos e na rapidez com que faz para responder em patchs para um sistema operativo que tem segundo dizem cerca de 95% do mercado.
De facto o 7 está muito mais seguro e difícil de comprometer, isto também dito por muitos hackers.
E volto-te a lembrar que a segurança do OSX da Apple não é do mérito dela, mas sim da miscelânea de tecnologias que tirou do FreeBSD / NetBSD.
Toda a comunidade open source fez/faz o trabalho de segurança pela Apple, e eles de vez em quando vão de lá beber. Por isso o mérito do meu ponto de vista é da comunidade open source do UNIX BSD e não da Apple.
Pois o NextStep não tem mérito algum, nem tão pouco eles “injectaram” milhares de códigos para reforçar os UNIX-Based, dos quais o Linux também lucrou.
http://en.wikipedia.org/wiki/NeXTSTEP
Sistema este, feito pela NeXT empresa fundada por Steve Jobs. Que sempre foi apoiante do Open-Source e sempre ajudou ao open-source, contrariando muitas empresas que vão só buscar ideias ao Open-Source e nem contribuem para o mesmo.
Mas pronto, o Chrome era o grande vencedor, certo? Então, usando a tua teoria, posso dizer: Se o Chrome é o que é hoje em dia, deve à Apple. 🙂
http://en.wikipedia.org/wiki/Webkit
😛
Não é verdade!
Linux = Linux is Not Unix, caso não saibas o Linux não tem nada a ver com o Unix, foi apenas baseada no Minix uma variante de Unix, hoje em dia diverge bastante do Linux a nivel estrutural.
Mais a licença BSD é incompatível com a GPL2 usada no kernel do Linux mesmo que quisessem usar código do BSD não podiam. Por isso caro, o mérito da segurança do Linux deve-se unica e exclusiva a quem trabalha no kernel voluntariamente e empresas como a Redhat, Novell e até a IBM que contribui com código para lá. O Linux cresceu independentemente e não precisa de esmolas da Apple.
Mas se me encontrares onde o código submetido pela Apple foi aproveitado pelo Linux… eu dou-te razão.
Nem o Webkit mesmo estando como licença lgpl (alem da BSD) tem sido uma tecnologia essencial para o crescimento do Linux
Quanto ao chrome podes por as coisas dessa forma. Mas, se o Chrome é o que é deve… À Mozilla
A Google contratou alguns dos melhor engenheiros a trabalhar na mozilla e o engenheiro chefe da fundação em 2005( Ben Goodger ) para desenvolver o Chrome.
Quanto ao motor, se não fosse o Webkit, a google podia ter usado (tweakado o Gecko da Mozilla)
Além de que a segurança do Chrome, como já te disse não provém apenas do webkit, mas sim maioritariamente do sandbox, e do sistema de protecção do sistema operativo. Se a Google fosse tão dependente do webkit tinha utilizado o seu interpretador de Javascript e não precisaria de desenvolver o seu próprio (o V8)
Então chegaste onde eu queria 😉
O facto do MacOsX ser UNIX based não significa que deva 100% da segurança ao mesmo.
Nem tão pouco ele usa a totalidade de BSD no sistema, apenas partes do código. O sistema de segurança do MacOsX provem do NextStep, Mach_Kernel e afins, mais outros desenvolvimentos que foram só implementados na arquitectura do MacOsX, feitos pela própria Apple.
E o facto de o Chrome ter os melhores programadores da Mozilla não invalida o facto de usar Webkit, ou seja, o Webkit está para o Chrome, como o UNIX está para o MacOsX.
E tanto quanto sei o MINIX nasceu em 1987 e é uma variante de UNIX (1969), denominado de “Unix-Like”
Pois, o Minix é uma variente de Unix mas o Linus torvalds desenvolveu o Linux sozinho de raíz como um verdadeiro geek 😉 . Por isso no limiar, se o Linux tem segurança deve-se ao Linus Torvalds que nesse aspecto desde sempre e ainda hoje, além de continuar a programar decide e aprova todas as decisões nesse campo e noutros no kernel 🙂
Eu não afirmei explicitamente que a Apple devia 100% ao Unix, agora para aí minimo 90% deve 😀 Apenas teve o trabalho de colar aquilo que tirou da comunidade BSD e verificar se não tinha grande falhas e tornar tudo minimente consistente e estável, de resto não estou a ver o que mais possa ter feito, se a base já está toda feita.
Repara, é muito mais difícil e exigente a nivel de engenharia para a Microsoft por exemplo desenvolver o seu kernel práticamente de raíz como fez desde sempre, e voltou no fundo a fazer no vista (foi essa uma das principais razões do foco de problemas do Vista).
Isto tem mérito ao nível de engenharia, segurança e planeamento, da minha optica muito mais mérito que o que a Apple faz, que já pega numa base comprovada como bastante robusta e segura.
Eu sou bastante simpatizante do open source e Linux e sei de facto reconhecer este mérito à microsoft e perceber o trabalho que eles tiveram pois trabalho na área.
Como já te disse não tomo partidos de nada tanto elogia as coisas boas feitas pela microsoft, como o open source, Linux ou mesmo coisas que a Apple faça bem.
Agora do ponto de vista do Safari, simplesmente não me convence (e não é só a mim) a nivel de segurança.
@Rui Oliveira
A ti o Safari pode não convencer, mas acredita que a GRANDE parte dos Mac users convence e bastante mesmo, e até hoje nenhum utilizador apontou problemas de segurança com o mesmo.
Quando ao MacOsX, aproveita tanto UNIX como o Linux. Linus Torvaldis não fez nada de raiz, pegou no UNIX e simplesmente deu-lhe outras asas, tal como o NextStep fez.
Se mexeres no Terminal do Mac e do Linux, practicamente não notas diferença. Os comandos são os mesmos, logo o Linux a nivel de UNIX não difere muito. Agora em termos de Kernel é que já difere, assim como o MacOSX, que usa Kernel Mach.
Mas tanto MacOSX como Linux, são “Unix-Like”, ou seja.. não podes puxar a brasa á sardinha do Linux porque ambos estão no mesmo patamar de arquitectura, no sentido de serem independentes e terem unhas dos seus desenvolvedores 😉
Isso de colar 90% como dizes, não é bem assim, podes confirmar isso na arquitectura do MacOsX que são poucas as linhas que usa de BSD.
As API’s todas que o MacOSX usa foram desenvolvidos por eles, e eles também ditam a segurança do sistema. Uma Api com buracos é outra forma de explorar sistemas, por isso lá está, a segurança do MacOsX não se deve 90% por ser UNIX.
Tens por exemplo aqui outro exemplo de Open-Source feito pela Apple http://en.wikipedia.org/wiki/Darwin_(operating_system) que se assemelha precisamente ao mesmo que o Linus fez, com o Linux. Pegou nas bases daqui e dali, e com unhas e dentes criou algo mais sólido e com melhor estrutura. Como vês, a Apple contribui e muito para o Open-Source. 😀
Outra coisa de louvar, até hoje é o unico sistema operativo que consegue ser hidrido de 32 e 64 bits, sem necessitar de versões especiais, como Linux e Windows. Chamo a isso obra também. Falaste do Windows também, sabias que o Windows NT tem variantes do OpenStep que foi uma variante saida do NextStep?
Portanto, 100% de raiz ninguém criou nada… há sempre codigos ali e aculá que todos os sistemas partilham. Até o antigo DOS por exemplo, nem foi a MS que o criou.. comprou… 😀 isto podiamos andar aqui num “loop” gigante sobre este tema que ia-mos dar ao mesmo… 😀
Da minha opinião, e da minha experiência, que lido diariamente com os 3 sistemas, o sistema que eu mais confio é o Mac.. Oferece-me segurança, estabilidade e está bem estruturado. Linux gosto porque é o sistema mais flexivel de todos, mas não o considero mais estável que o Mac, não porque ele não consiga, mas porque como lida com vários tipos de hardware a maturidade dos drivers que tem não é a mesma de PC para PC. No meu Desktop corre perfeitamente, no meu Aspire One só me dá dores de cabeça e Kernel Panics até dizer chega, isto porque os drivers para a minha Wireless são péssimos.
De todos os sistemas, o que possui os melhores drivers, é o Windows… os do Mac são mais estáveis, mas não possuem a optimização/performance que os do Windows têm… talvez muito disso se deva também aos jogos.
Pronto, partilhei a minha opinião para concluir o que acho dos 3 sistemas… Com altos e baixos, sistemas perfeitos não há.. mas uma coisa é certa, Windows estável e seguro só agora o Windows 7… porque os 20 anos anteriores foram uma miséria. Linux, foi crescendo e a sua estabilidade sempre teve dependente de drivers, de resto tudo OK. MacOSX, sempre foi um sistema estável e seguro, tirando a primeira versão que deu barraca e a Apple para tapar esse buraco estilo Vista, ofereceu a versão seguinte. ( 10.0 para 10.1 ) 😉
Não duvido que o safari seja muito popular junto dos seus utilizadores (uma minoria é certo), mas se esses utilizadores lessem as notícias talvez pensassem duas vezes em relação a usar esse browser, quando há alternativas muito melhores e mais completas, como por exemplo o Firefox (e agora já nem falo no Chrome :D, que é uma melhor alternativa a quem se queira manter pelo webkit)
Atenção a um pormenor, acho que misturas um pouco Open source e linux, não é a mesma coisa.
Linux é talvez a face mais conhecida do open source, mas não é a unica. A comunidade open source que te referes, (as variantes de BSD que o Mac OSX usou que são open source) é uma coisa, Linux é outra. Até há quem diga que existe uma enorme rivalidade entre os apoiantes de Unix BSD open source e os de Linux. Só a incompatibilidade entre as licenças BSD e a GPL (e a impossibilidade de portabilidade de codigo entre as comunidades) transparece logo à partida a diferença de filosofia dos dois SO’s.
Outra atenção… O Linus apenas viu como estava estruturado o sistema de ficheiros do Unix e a arquitectura funcionava e implementou tudo de raíz sem aproveitar nada, até pq o minix era proprietário e o Linux foi o primeiro sistema operativo da história da informática a ser lançado em código aberto. Isto tudo num mundo onde pagar por uma licença de UNIX, custava uma fortuna.
O Unix BSD por um lado, nasceu como sendo uma vertente de unix proprietária e mais tarde foi tornada open source numa licença muito liberal (talvez depois de ter visto a aceitação que o Linux estava a começar a ter na indústria). Até a nível historial há diferenças.
Onde eu quero chegar é para não meteres o que o Linus fez no mesmo saco do que a Apple fez porque não é a mesma coisa. A apple pegou numa base de código já feita, embora possa ter desenvolvido alguns mecanismos como referiste.
O Linus não tinha base nenhuma, teve de a desenvolver tudo de raíz.
Rui Oliveira:
“Mais a licença BSD é incompatível com a GPL2 usada no kernel do Linux mesmo que quisessem usar código do BSD não podiam.”
A licensa BSD Original (4-clause, Advertising Clause) nao e’ compativel com o GPL2. Mas a que actualmente e’ usada (Modified, 3 ou 2-clause) e’ compativel.
No entanto, o GPL2 e’ incompativel com a licensa BSD, visto tornar todo o codigo GPL2. O kernel do linux pode incluir codigo BSD sem problemas, mas o kernel dos *BSD nao podem fazer o mesmo com o GPL2.
“Por isso o mérito do meu ponto de vista é da comunidade open source do UNIX BSD e não da Apple.”
Para mim, o merito esta’ nos dois. A Apple inicialmente foi beber ao *BSD, mas tem vindo durante os anos a ajuda-los, incluindo o que melhoram no MacOSX no FreeBSD (sistema operativo que uso), por exemplo. Varias vezes tenho visto funcionalidades que o MacOSX implementa que dariam jeito no FreeBSD.
A Apple implementou o NFSv4 ACLs no MacOSX Tiger. O FreeBSD vai inclui a sua implementacao na versao FreeBSD 8.1. Mas existem funcionalidades que ainda nao foram implementadas na versao do FreeBSD.
“O Unix BSD por um lado, nasceu como sendo uma vertente de unix proprietária e mais tarde foi tornada open source numa licença muito liberal (talvez depois de ter visto a aceitação que o Linux estava a começar a ter na indústria). ”
O BSD (Berkeley Software Distribution) e’ como o nome indica o software. No inicio, eram versoes de software criados na Universidade Berkeley e incluidos no/com UNIX. O BSD comecou a torna-se “open source” por volta de 1989, que salvo erro, usava a BSD License (4-clause). O linux kernel apareceu por volta de 1991. Demorou mais tempo a torna-se no Sistema Operativo, altura em que o BSD ja’ se tinha livrado de codigo proprietario do UNIX. O BSD ter uma licensa liberal nao se deve ao Linux.
“até pq o minix era proprietário e o Linux foi o primeiro sistema operativo da história da informática a ser lançado em código aberto.”
retirado da wikipedia MINIX: “An abridged 12,000 lines of the C source code of the kernel, memory manager, and file system of MINIX 1.0 are printed in the book. Prentice-Hall also released MINIX source code and binaries on floppy disk with a reference manual. MINIX 1 was system-call compatible with Seventh Edition Unix.”
Talvez nessa altura nao era o que o FSF considerava Software Livre, mas era Codigo Aberto.
“UNIX BSD”
Nesse termo estas a dizer que o UNIX inclui BSD. O melhor seria nao usar UNIX nem antes nem depois do BSD. Da mesma forma que o BSD se baseou no inicio no UNIX, tambem o UNIX se baseia no BSD. A implementacao TCP/IP (sockets) hoje usada largamente se deve ao BSD. O BSD e’ apenas um Unix-alike, como Linux, etc.
Nao consigo perceber a fixacao do pessoal com o termo UNIX… principalmente quando actualmente ate’ o conceito de permissoes de ficheiros/directorias, utilizadores (uid, gid), etc, estarem desactualizados. E quando se fala de seguranca, nunca se fala das falhas no UNIX… e’ so’ maravilhas!
Fiquem Bem!
Ricardo Elias
Apenas disseste algumas verdades incompletas em alguns pontos que deixaste, deixa-me também te corrigir:
Primeiro:
O FreeBSD por exemplo tem partes no kernel correspondentes a drivers abrangidos pela licença original BSD (4 way license)
“There are parts released under three- and four-clause BSD licenses, as well as Beerware licens”
por isso coo dizia e bem, existem partes da comunidade BSD incompatíveis com a GPL2, link:
http://en.wikipedia.org/wiki/FreeBSD#License
A natureza demasiado liberal do BSD, permite que inclua drivers proprietários, algo que o Linux não permite com a GPL2. Se achas que isso é um exemplo de liberdade para as pessoas e acesso ao código, permite-me discordar. 😉
Segundo:
O 386BSD Nasceu como alternativa gratuita e de código aberto ao BSD anterior que tinha sido desenvolvida na Universidade de Berkeley, sendo apenas lançado em 1992. Até aí todos as vertentes de unix eram proprietárias. Em 1991, já o Linus tinha lançado o Linux.
O FreeBSD e o NetBSD, apenas foram fundados em meados de 1993, para teres uma ideia.
http://en.wikipedia.org/wiki/386BSD
E sim lá por o autor do Minix ter publicado algumas linhas de código, lançou-as como proof of concept, já que tinha todos os direitos reservados para si do Minix (para todos os efeitos era código proprietário de uma pessoa), obrigou o Linus a desenvolver tudo de raíz porque não tinha direitos sobre o código, só depois do sucesso do Linux, o Andrew Tanenbaum lançou-o totalmente como código aberto o Minix. Aliás este mesmo autor foi critico da arquitectura monolítica do Linux, que divergiu totalmente da de microkernel do Minix.
Por isso, até na arquitectura o Linus fez diferente, não me parece que tenha servido de muito o “abreviado” de 12.000 linhas de código 😀 , pode quanto muito ter servido para o Linus perceber como funcionava alguns componentes, mas isso foi aquilo que eu tinha dito anteriormente,
Enquanto eu reafirmo, que a Apple fez muito menos que isso, não desenvolveu nada de raíz e tirou mais da comunidade do que deu de volta.
em resposta ao Rui Oliveira,
eu não percebo a mania contra a Apple, principalmente quando me parece que há coisas sobre as quais tens informação muito incompleta!
Só para ires buscares melhor informação
http://en.wikipedia.org/wiki/Mac_OS_X
http://en.wikipedia.org/wiki/Darwin_(operating_system)
O sistema é POSIX-compliant!
O kernel do sistema não tem nada a ver com o BSD, é o Mach-O, que por acaso é tb distribuído no Darwin.
Só parte do sistema é que está assente no “BSD”, a restante parte foi desenvolvida de raiz e foi crescendo com o tempo. Muito é proprietário, mas tb há muito código que foi sendo disponibilizado!
E só para enumerar alguns dos projectos que estão disponíveis e foram iniciados ou tiveram uma enorme contribuição da Apple:
Darwin; OpenCL e GCD (para tirar o máximo dos processadores do computador); Bounjour; WebKit; CUPS; HTML5 e muitos outros
se quiseres ver
http://www.apple.com/opensource/
Por isso quando vens dizer que a Apple tira muito à comunidade e dá pouco, acho que é uma opinião algo parcial e preconceituosa. Muito do que usufruis hoje podes agradecer ao impacto que a Apple teve!
Há que dar o devido valor às coisas. Nem idolatrar, nem ignorar.
Rui Oliveira:
E’ dificil incluir verdades absolutas. Ate’ porque desconfio quando alguem diz que algo e’ 100% verdade ou a unica forma de fazer seja o que for. Em informatica, ha’ varios “jogadores” no meio…
Tanto quanto sabia, o FreeBSD alterou da original para o Modified BSD. Nao me lembro de ter lido essa parte da wikipedia, mas como diz, presumo que seja verdade. Mas a parte que esteja na original BSD, muito provavelmente e’ mais antigo. Tudo o que seja novo deve usar a 2-clause ou 3-clause BSD.
No entanto, nao podes dizer que a licensa do BSD e’ incompativel com a GPL2. Apneas a original e’, e essa, muito provavelmente, corresponde a cada vez uma pequena parte do Sistema Operativo FreeBSD.
“A natureza demasiado liberal do BSD, permite que inclua drivers proprietários, algo que o Linux não permite com a GPL2. Se achas que isso é um exemplo de liberdade para as pessoas e acesso ao código, permite-me discordar.”
Nao considero drivers/codigo proprietarios como um exemplo de liberdade. Mas tanto quanto sei, esses drivers proprietarios vem sem codigo fonte. O que o BSD permite e’ ser incluido com drivers proprietario sem que os seus donos tenham que disponibilizar o codigo com a mesma licensa BSD. Isso da’ a liberdade de TODOS usarem o FreeBSD como bem entenderem. Preferia que tivesseimos todos os drivers com a licensa BSD, mas quando nao e’ possivel, ter o driver proprietario, e’ menos mal. Tambem temos que respeitar as decisoes das empresas.
O linux kernel nao inclui os drivers proprietarios, mas as distribuicoes teem todo o direito de decidirem se querem ou nao inclui-los. Do mesmo modo que o Debian tem as suas regras.
Se quizermos ser maus, para o ponto de vista do BSD, o GPL2 e’ tao mau como o proprietario. No momento que codigo BSD e’ incluido tanto em software proprietario ou GPL2, deixa de interessar para a comunidade BSD. Nao o podemos usar qualquer que sejam as alteracoes a nao ser que os autores deiam esse codigo na mesma licensa BSD.
Quando no post anterior falas na rivalidade das duas comunidades, muitas das vezes e’ porque a comunidade GPL2 lixou a comunidade BSD. Um dos exemplos, aconteceu quando um programador para um dos BSD, conseguiu convencer uma companhia a dar-lhes as especificacoes de um determinado dispositivo, para que podesse criar o driver. O programador disponibilizou o codigo na dupla licensa BSD e GPL2, para que o Linux Kernel podesse usa’-lo. O caldo entornou-se quando alguem na comunidade linux, decidiu fazer alteracoes e disponibilizou-as apenas na licensa GPL2, cortanto ligacao com o BSD. Por isso, para a comunidade BSD, qual e’ a diferenca em perder codigo para o GPL2 ou proprietario?
As razoes da comunidade do linux/GPL e’ de nao querer que as suas alteracoes sejam perdidas em software proprietario, e teem todo o direito para tal. Mas irritam na mesma a comunidade BSD, quando depois ve se o quanto eles atacam o software proprietario.
Nao quero com isto criar uma guerra. A comunidade BSD pode nao gostar, porque parece mais uma facada quando vem da comunidade GPL, mas sabemos bem o que a licensa BSD implica. Eu compreendo a importancia das duas licensas. Se uma fosse sempre melhor do que a outra, nao faria sentido ter duas licensas. De certa forma, a licensa BSD da’ mais liberdade aos programadores; o GPL, aos utilizadores. Cada um usa a que melhor se adequa aos seus interesses. Eu uso FreeBSD para determinadas coisas, mas actualmente, estou a usar o Ubuntu 10.04 no desktop.
“O 386BSD Nasceu como alternativa gratuita e de código aberto ao BSD anterior que tinha sido desenvolvida na Universidade de Berkeley, sendo apenas lançado em 1992. Até aí todos as vertentes de unix eram proprietárias. Em 1991, já o Linus tinha lançado o Linux.”
Pois, o Linus lancou a primeira versao do linux kernel. Nao o sistema operativo. Isso demorou quanto tempo para incluir o GNU e outros componentes e comecar a deixar de ser apenas o kernel? Presumo que nao tenha demorado menos de um ano? Talvez dois? 🙂 Adiciona tambem o facto de o linux kernel ter adiciona a licensa GPL2 apenas na sua versao 0.12, em Fevereiro de 1992.
Nao e’ por acaso que a GNU queria que se chama-se de GNU/Linux, porque o sistema operativo era mais GNU do que Linux, mesmo sendo o kernel a parte mais importante. Mesmo que actualmente se percebe a razao por detras: quantos sabem a importancia do GNU no Sistema Operativo Linux? Quantas vezes se da’ credito ao GNU pelos seus esforcos?
Talvez a primeira tentativa de um sistema operativo livre foi o GNU Operating System, que comecou em 1984 pelo Richard Stallman, o grande impulsador do Software Livre. Grande parte do software, bibliotecas ja’ existiam de certeza na altura do linux kernel, apenas o kernel e’ que estava em atraso. Se em 1991 ja’ tivessem o kernel pronto, de certeza que a historia teria sido diferente.
Conheco as criticas do autor do MINIX com o do linux kernel. Vi os argumentos tantos de um como de outro. Sei das diferencas dos sistemas. Mas nao era a isso que tinha respondido. Se o codigo fonte foi disponibilizado mas com licensa proprietarias, entao dou-te razao.
“Enquanto eu reafirmo, que a Apple fez muito menos que isso, não desenvolveu nada de raíz e tirou mais da comunidade do que deu de volta.”
Para essa afirmacao era preciso saberes tudo o que a Apple tem contribuido devolta. A Apple nesse caso, fala muito pouco sobre o assunto. Mas do que vejo pela comunidade FreeBSD, eles tem ajudado directa ou indirectamente. ‘As vezes com codigo outras com dinheiro, que tambem ajuda bastante. E se fores a ver o kernel e utilitarios do MacOSX, o *BSD ajuda para a seguranca, mas tambem levou varias alteracoes para a melhorar. Algumas das vezes nao volta para o FreeBSD por outras razoes.
E nao estou aqui a tentar defender a Apple. Sinceramente nao gosto da Apple, mas tambem nao gosto de nao dar credito quando esta merece. E no que toca ao FreeBSD, eles teem mostrado que contribuem. Noutras situacoes, parecem pior do que a Microsoft.
Fiquem bem
Caro Ppietra
Lamento, mas nenhum desses projectos que referiste eu pessoalmente uso.
E tirando o webkit e algumas contribuições que a Apple possa ter feito para o html5 (tens que me dizer quais são porque não sei de nada revolucionário que eles tenham proposto) não vejo nenhum projecto deles relevante a não ser para eles próprios.
Não uso browsers webkit, prefiro um motor mais robusto como o firefox em Linux e mais rápido como o Opera em Windows.
Isto não é uma discussão preconceituosa ou filosófica, como já disse uso tanto windows como linux. Apenas acho estranho a defesa cega em alguns casos da Apple.
Só uma coisa, quem contribuiu mais para certos aspectos do Standard HTML5 que a Apple hoje propagandeou tanto (quase como se fosse ela que o fizesse ), foi a Opera e faltam aí alguns nomes como a Mozilla e Microsoft que tb contribuiu para o Standard
Recomendo-te a leitura deste topico:
http://labs.opera.com/news/2010/05/19/
Foi a opera que originalmente propôs a tag video do html5 😉
Eu sei que apple, microsoft e a comunidade open source têm valor e vantagens / desvantagens. Mas agora acho que alguns dos nossos leitores têm que aprender a abrir o espectro de visão e não ver apenas o que tem uma maçã à frente 😉
O argumento não era que usas essas tecnologias, era antes que Apple tem dado bastante de volta à comunidade, por oposição à tua afirmação que a Apple tira mais do que dá. E muitas dessas tecnologias aparecem noutros produtos, sendo as mais relevantes o CUPS, o WebKit, o OpenCL. O HTML5 é um produto de esforço conjunto, eu não disse que Apple inventou, apenas falei da importância da contribuição da Apple…
E o impacto da Apple na tecnologia estende-se muito além disto… afinal de contas a empresa é das mais antigas e que mais vezes mudou o modo como as pessoas interagem com a tecnologia. Imagina que a Apple nunca tivesse existido!? Achas que tudo seria mais ou menos a mesma coisa?
E isto não é uma afirmação a negar a importância de tudo o resto. É apenas para dar o devido valor! Seria ridiculo pensar que só algumas pessoas fazem alguma coisa importante…
Como tb é ridiculo pensares que quem tem tido aqui uma opinião favorável à Apple é cego e não sabe o que diz! A maioria tem dito a verdade dos factos, são utilizadores que sabem o que se passa sobre o assunto discutido. Mas nada disso significa que não sejamos criticos… há muita coisa que poderia ser melhor!
Aliás dá-me arrepios quando ouço alguém que diz que o Mac é mais seguro ou melhor… tudo tem os seus prós e contras! Nada é assim tao simples
Concordo com a tua visão mais equilibrada, atenção não critiquei a ti, critiquei outras pessoas, que não apresentam argumentos e põe-se a defender uma falha que não tem razão de existir, e é criticada pelo investigador que descobriu a falha (um especialista de segurança na net).
No linux, que tira partido de medidas de segurança devido à sua arquitectura semelhantes ao do Macosx, se existisse esta falha (no Firefox por exemplo) tenho a certeza que já teria sido resolvida.
É ridículo do meu ponto de vista, descredibilizarem este artigo e dizer que isto não é uma falha, mas sim uma feature. Claro que é uma falha e grave e permite a terceiros ter acesso ao disco (mesmo que seja numa unica pasta isolada) de outra pessoa sem o consentimento delas. Ao contrário do que foi dito não é perguntado, nada ao utilizador, esta falha permite passar todas as protecções do browser e injectar ficheiros.
O Facto de dizer que existem utilizadores cegos, foi neste aspecto, defenderem uma falha só por ser no OSX e num browser da Apple. Isso sim, parece-me ridiculo
se eu fosse um mac, iria querer que instalassem o firefox ou opera.
Depois de tantos comentários, tira-se uma conclusão curiosa:
Os únicos que se preocupam com a segurança dos Mac, são aqueles que usam outros sistemas. 🙂
Boas!
Li todos os comentários escritos até ao momento (deu trabalho lol) e tenho aqui uma pequena dúvida que gostaria de ver esclarecida… Neste caso é efectuado um download sem o conhecimento ou pedido do utilizador (se bem entendi), e se isso é correcto, o que impede o disco rígido de ficar completamente cheio? Afinal, um ficheiro é um ficheiro e está lá a ocupar espaço. E mesmo que seja um ficheiro pequeno e irrelevante em tamanho, talvez 50 ou 50000 ou 50000000 não seja bem o mesmo…
Ora aqui está alguém que chegou ao cerne da questão!!
O problema não está na execução de um ficheiro…está no facto de se poder encher um disco até ao seu limite e crashar o sistema ou então usar a falha para uploads de ficheiros para posterior utilização duvidosa.
A questão de se o ficheiro é executável ou não é irrelevante aqui. O problema está em alguém fazer upload para um computador sem que o utilizador se aperceba.
Se voces se preocupam tanto com a Apple achar que é melhor deixar descarregar automaticamente os ficheiros para o Mac, e acham isso uma falha grave, acho que tambem deviam levar esta em conta da microsoft:
https://pplware.sapo.pt/informacao/falha-no-windows-7-coloca-utilizadores-em-risco/
“Pouco depois a Apple lançou um patch para a versão do Windows para corrigir a falha, mas não o fez para a versão do Mac OSX.”
A Apple corrigiu o comportamento do Safari (um site pode fazer com que o Safari faca o download de qualquer ficheiro ou ficheiros, sem necessitar de autorizacao do utilizador, e mesmo sem o seu conhecimento, e por defeito para o Desktop) no Windows porque abria a porta para qualquer site poder atacar o IE.
A falha grave encontrava-se principalmente no IE que permitia carregar DLLs com determinados nomes que se encontrem no Desktop. Na altura que foi descoberto, a MS nao corrigiu alegando que era preciso que os utilizadores fizem voluntariamente o download dos DLL para estes aparecerem no Desktop e, por conseguinte, o IE ser atacado.
Mas quando se descobriu que o Safari por defeito faz o download de ficheiros sem o conhecimento dos utilizadores, a conversa mudou. Isto tornava o IE vulneravel, mais cedo ou mais tarde.
Eventualmente a Apple corrigiu esse comportamento e a Microsoft corrigiu a sua falha um ano depois.
Actualmente, como foi dito, nao e’ um grande problema esse comportamento no Safari para Mac, se tiver como objectivo afectar o sistema operativo, mas em relacao ao utilizador, nao sei. E’ necessario permissao de administrador para executar codigo malicioso com as permissoes do utilizador corrente? Colocar backdoor, enviar informacao privada, etc… nao e’ possivel com o utilizador normal/corrente?!?!
O maximo que se pode exigir da Apple, seria incluir a opcao de alterar esse comportamento, caso o utilizador assim o desejar. Mas isso e’ o mesmo que o ‘Esconder as extensoes’ no Windows, tem os seus problemas mas nao e’ grave…
Fiquem Bem!
“O maximo que se pode exigir da Apple, seria incluir a opcao de alterar esse comportamento, caso o utilizador assim o desejar. Mas isso e’ o mesmo que o ‘Esconder as extensoes’ no Windows, tem os seus problemas mas nao e’ grave…”
Lá está. Falam do que desconhecem.
ESSA OPÇÃO EXISTE NO SAFARI.
“Open “safe” files after downloading (activa-se ou não)
que complementa com
“Safe” files include movies, pictures, sounds, PDF and text documents, and disk images and other archives.
Penso que o que ele queria dizer era que essa opção deveria estar como no Safari do Windows, em que ao invés do download automático, permitisse ao utilizador ter a opção de:
“Perguntar sempre antes de fazer qualquer download”
Que básicamente o Windows tem isso, no lugar onde nós no Mac temos essa opção que falaste. Portanto é tudo uma questão de adicionarem mais essa opção e resolve-se essa “feature” porque é isso que ela é, uma “feature” e não um Bug como lhe estão a tentar pintar. 😉
“Lá está. Falam do que desconhecem.”
So’ posso falar do que conheco. Nunca vi nenhum utilizador a referir esse facto, portanto, so’ posso assumir que nao tenha. Se soubesse desse facto, nao teria escrito essa parte de texto que comentaste.
Tendo essa opcao, ainda acho mais estranho a designacao de falha. Talvez chato, porque mesmo assim, podia enviar-te varios ficheiros e com tamanhos razoaveis, talvez ate’ encher o disco, mas quem e’ que vai fazer o upload de varios GB de lixo… rofl!
Nunca usei um Mac por isso so’ posso basear-me no que leio.
Como nota, usei as versoes Safari 3.x e 4.x quando sairam apenas para ver como era, mas ficaram pouco tempo instaladas.
PS: aFriend, obrigado pelo suporte!
Fiquem Bem!
É claro que não é uma falha.
É uma forma de lidar com os downloads.
O OS X é um sistema desenhado para ser simples para o utilizador e, este dar o mínimo de cliques para efectuar operações.
Mas mesmo que aconteça um download não solicitado, a janela de downloads do Safari é SEMPRE aberta em 1º plano, e assim que o download terminar, o icon (da pasta downloads) na dock dá um salto.
Por isso o utilizador apercebe-se SEMPRE que acabou de descarregar um ficheiro.
O problema é que todos os mac users percebem isso e os outros acham que nós defendemos isto por fanatismo ou ter palas como se fosse do nosso interesse ter um bug! 😀
Partindo de um principio, se eles mudaram isso no Windows porque não haveriam de mudar no Mac?… nem se quer faz sentido. Enfim, para concluir, só critica os não-utilizadores de Mac. As vezes aparecem uns a dizer que usam e tal, mas depois são descobertos pelas babuzeiras que denunciam a mentira 😉
E isso pode dizer-se tambem do outro lado da bancada.
Nao sao poucas as vezes em que algo e’ feito de forma diferente no Windows e alguem que use Linux ou Mac, acha essa forma incorrecta ou como falha, sem tentar perceber as razoes por detras.
Na realidade nao faz nenhuma diferenca qual o sistema que se use (ou se usao varios), tudo resume ao utilizador: a maneira como ele ve o seu sistema operativo/aplicacao favoritos versus os outros.
Mesmo assim, este post ajudou a trocar ideias e, pelo menos para mim, aprender conceitos diferentes. Se alguma vez mexer no MacOSX (safari em especifico), pelo menos sei o que fazer!
Troca de ideias e’ sempre interessante!
Fiquem Bem!
É isso tudo Ricardo Elias!
100% de acordo!
E comenta mais vezes, porque em mais de 100 comentários, os teus foram dos poucos onde eu aprendi alguma coisa.