В каталоге расширений Mozilla обнаружен вредоносный код

> так, двое - разработчики лило. кто остальные 332?

дык вот они туточки http://susanin.udm.ru/news/2009/03/12/86668 инет отключен за неуплату. мозилла у них не обновляется.

Есть некая уверенность в том, что пользователя браузера «О», гораздо в меньшей степени подвержены желанию устанавливать расширения/виджеты и прочее. Тут несколько причин: 1) чтоб найти эти самые «JS-расширения» нужно ещё постараться 2) в них попросту гораздо меньше необходимости, чем в «не альтернативном браузере».

Ясно. Спасибо за информацию, просто не видел таких сообщений. Пруфлинка не найдётся?

> Mozilla Sniffer ... был замечен код, который передаёт любые логины/пароли, введённые владельцем, на сторону.

Что называется ВНЕЗАПНО! :)

CoolPreviews ... выполняет JavaScript-код с привилегиями текущего пользователя, и есть возможность получения контроля над машиной.

Над машиной?! O_O Может над браузером?

Отлично. А сколько еще не обнаружено?

Вообще показательная новость, из которой можно сделать очень простой вывод - нечего ставить левые малоизвестные расширения.

> Интересно, сколько пользователей альтернативного браузера на букву «О» притаскивают на свои машины троянов в коде всяких JS-расширений неизвестного происхождения? И ведь их, в отличие от расширений mozilla, никто никогда не проверит.

UserJS пользуются только те кому это действительно нужно, а не потому что это круто. А тот кому это нужно с легкостью напишет собственный UserJS, а если будет лень, то уж точно сможет распознать в коде троянца(паттерны пересчитать можно по пальцах, не то что в FireFox) Это FireFox-ос пользуются быдлосекретерши вместо которых нужно всё проверять. Вот и имеете: Mozilla пасёт комюнити, и FireFox страдает от недостатка разработчиков, которые итак работать не хотят, а Опера делает Оперу в полную силу.

самое интересное, что новость о таком же скотском плагине для хрома никто с опеннета не утащил. заговор против мозиллы.

>Разве трудно Мозилле выделить людей, проверяющих аддоны ДО того, как они попадут в народ? И почему подобных новостей про Хром не появляется то??

Не добрались еще. А вообще это дополнение вроде создали на базе подобного же расширения для Хрома. Так что возможность есть. Осталось подождать чуть-чуть.

Так я не понял — эти дополнения экспериментальные? Если да, то почему об этом не сказано в новости?

>UserJS пользуются только те кому это действительно нужно, а не потому что это круто.

Так и вижу пользователей Лисы, устанавливающих себе сотни дополнений, только потому это круто.

А тот кому это нужно с легкостью напишет собственный UserJS, а если будет лень, то уж точно сможет распознать в коде троянца

Ага. Уж дядя Вася из соседнего подъезда точно распознает.

Опера делает Оперу в полную силу.

Сама себя чинит? Ну конечно, от разработчиков не дождёшься убрать из неё все глюки, какими её наградили.

> Сама себя чинит?

Специально для непонимающих уточняю: Корпорация Opera Software ASA усиленно делает обозреватель Opera, а если быть конкретным, то в основном движки на которых Opera построена: Presto, Carakan, M2.

Ну конечно, от разработчиков не дождёшься убрать из неё все глюки, какими её наградили.

Это же и касается остальные «быдлобраузеры». Вы лично хоть один баг-репорт им написали? Или умеем только бла-бла-бла?

>А сколько еще не обнаружено?

посмотри на md5 или sha256. столько

>Из новости на опеннете: «В качестве своего оправдания представители Mozilla утверждают, что дополнение не прошло стадию ручного рецензирования кода, а прошло только автоматизированную проверку на предмет наличия вирусов и известных вредоносных вставок, поэтому было помечено как экспериментальное, выводя соответствующее предупреждение при установке.»

Это просто полный маразм, наплевательство и халатность Mozilla!

Неужели так трудно все новые аддоны не выкладывать вообще, пока они не пройдут ручную проверку?

Что мешает это сделать? ЧСВ? Нет, я понимаю, раньше нужно было выкладывать все и вся, что бы показать, что для Лисы есть миллион дополнений. Но сейчас же ситуация диаметрально противоположная и выкладывать всякий калл непроверенный просто глупо.

И да, пусть уже Mozilla наскребет себе 400 баксов на максимальную и проверят аддоны через Касперыча - толку больше будет.

CoolPreviews — в версии 3.0.1 имеется потенциально опасный код. По специально сформированной гиперссылке может быть совершена атака. Когда CoolPreviews создаёт предпросмотр такой ссылки, он выполняет JavaScript-код с привилегиями текущего пользователя

Продвинутые пользователи Винды уже пару лет как в курсе, что это дырявое приложение. Так что ничего нового...

>Не все читают толкс

Может читают многие, но отвечать там не могут. Потому аргумент «уже в толксах обсудили» просто скотский.

Прочитал эту же новость на опеннете.

Так вот, имеется одно маленькое, но сушественное отличие

Спустя несколько дней после публикации прототипа перехватывающего пароли пользователей дополнения к web-браузеру Google Chrome, подобное дополнение было обнаружено в каталоге дополнений к Firefox (addons.mozilla.org).

При таком раскладе уже получается не единичный случай, а спланированная акция.

это ШкоЛль

>Это просто полный маразм, наплевательство и халатность Mozilla!

Неужели так трудно все новые аддоны не выкладывать вообще, пока они не пройдут ручную проверку?

да ты дебил. а чего сразу не писать новые аддоны, пока они не пройдут ручную проверку?

Экспериментальное, оно на то и экспериментальное, что ставится на свой риск и страх. Это тоже часть ручной проверки.