Re: falha no firefox
On Sun, 9 Jan 2005 03:54:23 -0300, Igor wrote:
> [...]
> Quando o mouse esta sobre o arquivo a ser recebido na status bar
> aparece o nome do arquivo, ate onde eh possivel seguindo-se de 3
> pontos.
Nem sempre. O "link" pode ser em Javascript.
> [...]
> E na caixa de download aparece o nome do arquivo, sem qualquer outra
> informacao neste caso:
>
> ooohhhhh.raw
No Firefox 0.9.3 e 1.0, não. Ele mostra o início do nome do servidor. Se
for longo, um usuário pode ser confundido. Por exemplo:
http://citibank-software-server.latest-netbank-version20.c...
O Mozilla 1.7.3 mostra diferente, acrescentando um pedaço do final do
nome do servidor. Um pouco de refinamento artístico (e os meninos maus
são bons nisso) pode tornar o nome bem convincente.
>
> Isto por acaso eh uma vulnerabilidade? Eh uma falha? Ou um bug?
Uma vulnerabilidade leve, como classificou a Secunia.
> [...]
> E claro q isso nao eh uma vulnerabilidade pq o software nao abre
> automaticamente qq arquivo, e qq um que abra um arquivo vindo da
> internet sem antes analisa-lo (principalmente em ambiente windows),
> nao pode ser ajudado por nenhum sistema de seguranca de dados ja
> criado na humanidade.
É possível diminuir a possibilidade de engano, sem comprometer a
funcionalidade do programa. A parte final do nome do servidor deveria
ser mostrada, e a caixa de diálogo deveria conter um aviso de que o nome
inteiro não cabe na janela.
>
> E para voce saber, sim eu procurei antes na internet e vi que eh o
> tipo de empresa que gosta de falar que eh a tal com seguranca
> afirmando o obvio. Do tipo, ha uma falha de seguranca no ubuntu que
> permite que usuarios com acesso local a maquina possam desliga-la
> clicando no botao (DESLIGAR), se voces acham isso piada, eu ja vi
> diversos security advisories de empresas deste tipo com um topico bem
> proximo a este.
Referências?
--
André Carezia
Eng. de Telecomunicações
Carezia Consultoria - www.carezia.eng.br
Reply to: