PplWare Mobile

Falha corrigida no Firefox

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Jorge Salvador says:

    FIREFOX SEMPRE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Porquê experimentar outros quando se pode ter o melhor????????????????

    1 abraço.

    Jorge Salvador.

  2. Anibal Ferreira says:

    Querem mais razões para usar o firefox?
    A reacção da Microsoft é de bradar aos céus, queriam ser avisados sem que o publico soubesse a treta de navegador que têm? ou então queriam que não se soubesse nada, para continuar tudo na mesma sem dar trabalho?! haja paciência.

  3. Francisco says:

    Independente do facto de quem é o melhor (e não, não é o Firefox, a Foundation for Law and Order apenas deu uma resposta mais rápida a este problema) Bill Gates tem razão: se eu fosse prejudicado por esta falha no meu computador teria de pôr a empresa que revelou a vulnerabilidade em tribunal; alías, nem me admiro que surja um processo de classe feito em nome de todos os utilizadores afectados: afinal de contas o que esta suposta empresa de segurança fez foi comunicar ao mundo mais maneiras de piratas atacarem e isso deve estar escrito em algum lado como crime.
    Se querem convencer as pessoas que o Firefox é realmente bom a Foundation for Law and Order deve primeiro fazer um produto em condições e sem falhas em vez de estar em investir em publicidade viral com frases como “ziliões de downloads feitos” (o que me fez pensar que alguém tinha ligado ao nosso planeta o hub do centro da galáxia) ou porem uma empresa de segurança a berrar um erro ao mundo antes de o comunicarem aos fabricantes de software para agora andarem aqui os bons jornalistas a noticiarem a invulnerabilidade do firefox.
    Curem-se! Opera sempre!

  4. Ninguem says:

    “afinal de contas o que esta suposta empresa de segurança fez foi comunicar ao mundo mais maneiras de piratas atacarem…” e, acrescento eu, possibilitar
    assim que os utilizadores se possam prevenir de ataques! Como é que queres que o utilizador comum se proteja se não souber que está ameaçado????????????? O que disseste não faz lá muito sentido… :S

  5. Só para esclarecer que a “boa prática” na Internet em relação a falhas de segurança é:

    1. Ao descobrir uma falha de segurança, informar imediatamente o responsável pela aplicação/serviço em questão, incluindo todos os detalhes sobre a falha e, se possível, um “proof of concept” da exploração dessa falha. Informar também qual será o prazo após o qual a falha será comunicada publicamente.

    2. Esperar o prazo referido, trabalhando em conjunto com o responsável para a sua correcção — isto pode incluir revisão do código ou submissão de patches, no caso de um projecto open-source, ou a validação da solução apresentada, no caso de software fechado.

    3. Informar o resto do mundo acerca da falha encontrada, indicando também o que fazer para o upgrade (caso já exista) ou possíveis formas de evitar a falha, caso isto seja possível (por exemplo, desactivar o javascript, no caso desta falha).

    Se a empresa que detectou estas falhas não seguiu estes passos, isto demonstra realmente que não lhe interessa a segurança dos utilizadores; talvez a notoriedade seja mais importante?

    PS: o navegador que uso é também o Firefox, mas isso não é motivo para desejar que os utilizadores de outras aplicações estejam inseguros.

    PS2: é claro que quando uma falha de segurança é revelada sem notificação, compete aos responsáveis de segurança de cada aplicação resolver essa falha no mais curto espaço de tempo possível, pelo que a Microsoft, em vez de fazer barulho devia também estar preocupada com os utilizadores do seu software e resolver o problema.

  6. Francisco says:

    @Ninguem

    Se a partir da informação sobre a falha de segurança souber como contornar o problema então as minhas palavras não fazem sentido; o problema é que 98% dos utilizadores não conseguem contornar o problema mesmo sabendo qual a vulnerabilidade e é aqui que o que eu disse faz sentido. É incontável o número de pessoas que, mesmo tendo o problema à frente dos olhos nem sequer o consegue detectar.

    Por outro lado, tal como disse o António Manuel Dias, o problema tem que ser tratado primeiro ao nível dos fabricantes de software antes de ser “resolvido” na praça pública e foi isso que esta “so called” empresa de segurança não fez, obviamente num de dois (ou mesmo os dois) objectivos: 1) chamar a atenção para uma falha descoberta por si antes que viessem os fabricantes de software minimiza-la dizendo que já estava resolvida; 2) conseguir dar protaganismo a um software em detrimento da concorrência com a “rápida” resolução do problema.

    É este tipo de atitudes que me faz desconfiar sempre do software “da moda”.

    Em relação ao PS2 do António Manuel Dias: calculo que o responsável pela resolução do problema ao nível da Microsoft não seja o próprio Bill Gates, por isso não vejo qual o problema de ele sair a denunciar uma infracção nas boas práticas que enumerou.

  7. Fernanda says:

    Tivesse o OPERA 9 , a opção de copiar os formatos e não só o texto , que eu não o trocava por nenhum outro, especialmente para quem têm um PC já um bocado velhote. É mais rápido do que Firefox e IE 7.

  8. Anibal Ferreira says:

    @Francisco
    Quando a falha se tornou pública quem nos garante que a mesma já não estaria a ser utilizada por crackers para ataques. Ao tornar-se pública foi-nos prestado um serviço, assim poderemos tomar medidas para controlar os possíveis danos.

  9. Francisco says:

    @Anibal Ferreira

    Acho que não percebeu o ponto vital da questão: existem milhares de grupos de hackers espalhados pelo mundo que mais não fazem que procurar vulnerabilidades nos vários softwares e sistemas operativos que se ligam à rede. Desses milhares, algumas dezenas conseguem efectivamente descobrir vulnerabilidades e tirar partido delas com fins mais ou menos ilícitos. No entanto é raro ouvirmos falar de grande parte delas porque normalmente ou são descobertas por grupos de pesquisa de segurança ou a sua utilização por piratas causa anomalias reportadas pelos utilizadores aos fabricantes; quer num caso quer noutro as vulnerabilidades são rapidamente corrigidas pelos fabricantes e essa correcções incorporadas em futuras actualizações do software.

    A primeira parte deste problema é que a empresa que descobriu a vulnerabilidade não a reportou aos fabricantes (ou pelo menos à Microsoft e à Opera Software) tendo antes comunicado essa vulnerabilidade em praça pública; o efeito imediato é que em vez de serem algumas dezenas de grupos de piratas e explorarem essa vulnerabilidade passam a ser a quase totalidade existente, exponenciando assim o problema. A segunda parte do problema passa pela inépcia da quase totalidade dos utilizadores em identificarem e protegerem-se contra a vulnerabilidade em questão tal como foi visto aquando da infecção generalizada com o worm Blaster; nessa altura a maior parte dos utilizadores não percebia porque reiniciava o computador e simplesmente deixaram de o usar até alguem lhes dizer o que era aquilo e como se resolvia. Portanto, sobre o facto de, quer o Anibal Ferreira quer o Ninguem saberem como tratar deste problema específico não significa que todos os utilizadores saibam como o contornar, bem antes pelo contrário. E demonstra que a empresa agiu de má fé.

  10. Anibal Ferreira says:

    @Francisco
    Já vi que temos opiniões divergentes, eu continuo a achar que a divulgação pública é o melhor alerta, uma analogia que se pode utilizar é o facto da Deco nos testes que faz por exemplo a aparelhos eléctricos por vezes encontrar alguns com defeitos e os comunicar ao fabricante e aos consumidores. Ora isto é uma forma de proteger e alertar o consumidor servindo também como “incentivo” ao fabricante para produzir melhores produtos.

  11. Francisco:

    Bill Gates pode ter (e tem!) toda a legitimidade em criticar a tal empresa e pode não ser o responsável pela correcção efectiva do bug, mas isso não invalida o facto de que vir queixar-se *antes* da correcção do falha é, para além de deselegante, denunciadora da verdadeira prioridade da sua empresa — a sua imagem e não a segurança dos seus utilizadores.

    “A primeira parte deste problema é que a empresa que descobriu a vulnerabilidade não a reportou aos fabricantes (ou pelo menos à Microsoft e à Opera Software)”

    Isto quer dizer que acreditas que a Mozilla Foundation tem algo a ver com este caso, para além da correcção da sua falha? Que benefício poderia ter com a divulgação de uma falha de segurança no seu software? Será que noto aqui uma parcialidade de análise?

    PS: Reafirmo que os fabricantes do software devem sempre ser os primeiros a ser informados de qualquer falha no seu software e que lhes deve ser dado um prazo para a correcção dessas falhas. Mas, se as falhas não forem corrigidas dentro desse prazo, elas devem ser tornadas *públicas*, para dar pelo menos uma hipótese de protecção aos utilizadores (a segurança pela ignorância não dura para sempre).

  12. Francisco says:

    @Anibal Ferreira
    Eu percebo perfeitamente o seu ponto de vista e concordo consigo na analogia da DECO. Mas no campo da utilização de computadores as coisas são algo diferentes. Quando a DECO diz às pessoas que a torradeira marca XPTO, modelo YXZ tem um problema que faz com que, ligando a torradeira na posição 2, os utilizadores apanhem um esticão e a torradeira pegue fogo, a generalidade das pessoas sabe o que fazer: ou não usa a posição 2 do botão ou leva a torradeira à loja para trocar por uma nova porque só gosta do pão bastante tostado. Mas no campo da utilização dos computadores as coisas são muito diferentes. Não sei qual o tipo de experiência que o Anibal tem em termos de assistência a utilizadores mas pela minha parte posso dizer-lhe que depois de um ano a dar assistência a utilizadores num call center de uma softwarehouse nacional, todas aquelas anedotas do porta-copos ou utilizador que se levanta para fechar a janela (e o estore também que já está escuro) ou apontar o rato ao monitor ou …(insira aqui outras que se lembre) deixam de ser anedotas e passam a ser valentes dores de cabeça; porque, com excepção de uma muitíssimo pequena minoria, os utilizadores de computadores não sabem nem querem saber o que se passa dentro da “caixa” e dão ao assunto o mesmo tipo de tratamento que dariam ao ver o Harry Potter transformar uma chávena num porquinho da índia; para eles as coisas acontecem dentro da “caixa” por magia e são inexplicáveis e quem consegue explicar e resolver problemas passa a ter estatuto de feiticeiro residente; acredite se quiser. É por isso que não adianta tornar público de imediato potenciais falhas de segurança porque, ao contrário da torradeira, as pessoas não sabem como proceder quando tomam conhecimento delas; e essa informação vai favorecer unicamente meia-dúzia de utilizadores avançados e muitos piratas mal-intencionados que ainda não tinham conhecimento da falha. A partir do momento que a generalidade dos utilizadores saiba como proceder perante um relatório de segurança, não tenho qualquer problema em que este seja tornado público antes que os fabricantes de software dele tomem conhecimento. Até lá, e tal como diz o António Manuel Dias, os primeiros a saber devem ser os fabricantes e só depois o público em geral para que pelo menos 2% dos utilizadores de computadores se possam proteger. Espero que tenha percebido o meu ponto de vista e o porquê da minha opinião.

    @António Manuel Dias
    É claro que não acredito que a fundação teve alguma coisa a ver! O problema aqui é bastante mais caricato: esta vulnerabilidade é uma falha considerada de baixo risco e o que se passou foi que, ao contrário da fundação que, por fabricar um programa em código aberto, tem uma lista de todos os erros e vulnerabilidades existentes para conhecimento de todos os intervenientes no desenvolvimento, a Microsoft e a Opera Software não ligaram pevides ao relatório de segurança; a Microsoft respondeu com o tal e-mail que acusa a empresa e a Opera Software nem se deu ao trabalho. A partir daqui, os meninos da empresa amuaram e passaram a tratar a Microsoft e a Opera Software como se de ineptos se tratassem e que não resolvem os problemas de segurança dos seus produtos (ou que, em vez de o fazerem ainda se põe a barafustar) ao bom estilo do “se não querias brincar comigo agora não quero brincar contigo”. Fosse o Firefox pertença de uma softwarehouse privada e também daqui não tinham levado resposta. Portanto quando digo que não o reportou à Microsoft ou à Opera Software não estou a indicar o Firefox como parte do problema mas antes a denunciar uma “empresa de segurança” que pelo facto de “os outros meninos” não quererem “brincar com ela” vem cá para fora falar de falhas de segurança risíveis como se fossem problemas realmente sérios. Não sei como se comporta o IE7 na situação referida (dado que o IE6 não sofre do problema) mas o Opera 9 continua a dar aos seus fiéis utilizadores a opção de parar a execução de Javascript (e assim resolver o problema) pelo que o silêncio da Opera Software é mais do que compreensível, é admirável: eu não tinha resistido a responder como fez a Microsoft com um e-mail vagamente insultuoso.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.