Názory k článku Postřehy z bezpečnosti: ochrana proti hackingu neúčinná

Opravte si v článku tu zkratku pro randomizaci adresního prostoru, není to ALSR, ale ASLR.

Pod každým článkom (na root.cz) je odkaz "Našli jste v článku chybu?"

Zakázat javascript je dobrý nápad i z jiných důvodů. (pouštět to jen když potřebuji - používám na to ScriptSave)

To je trochu nepresne..

1) "vyžaduje aktivní návštěvu stránky se skriptem" - skript muze bezet na JAKKOLIV strance. Nikdo z nas nema kontrolu nad tim, co v zaplave javascriptu na kazde strance browser pousti. Takova vec muze byt v nejake reklame, nebo jako soucast nejake "cool" javascriptove knihovny.

2) "pak mít někde bokem službu, kterou chce účastník hacknout" - tj. staci ze nekdo pouziva taby nebo ma otevrenych vice oken.

Coz ja chapu tak, ze VSICHNI kdo nemame zakazan javascript mame smulu. Vsichni. Protoze i kdyz ja treba pouzivam NoScript, na nekterych strankach proste musim povolit 50 ruznych zdroju javascriptu, jinak stranky nebudou funkcni.

Nicmene s Vasim zaverem soulasim - vzdycky jsem tvrdil ze client-side javascript je zlo a zrudnost, a ted na to dojizdime.

:) protoze:

a) javascript umoznuje cool stranky. Kazdy chce aby veci byly cool. Bezpecnost vetsina lidi bud neresi, nebo resi az teprve kdyz je problem

b) naprosta vetsina lidi vubec nevi co ten javascript vubec je

c) bez javascriptu by vetsina "webu 2.0" nefungovala, nebo by podobna funkcionalita znamenala obrovskou praci na browserech a byla by nutna dohoda mnoha ruznych stran, tj. utopie.

d) jsem normalni clovek, nejsem zadna internetova (ani jina) "celebrita". muzu si rikat co chci (a rikam), a vsichni ostatni me muzou ignorovat. neni zadny duvod proc by muj nazor mel nekoho zajimat, natoz aby se nekdo mym nazorem ridil (krome par lidi v nasi firme)

Jiste, pokud se ten kod pousti jen proto, aby presunul ctverecek z prava doleva, pripadne aby okno blikalo ... coz je presne to, co dela js na webu. Z 99% nic uzitecnyho, jen kraviny. Z 80% pak navic veci, na ktery js vubec treba neni.

Jestli nevidite rozdil ve spousteni programu, ktere jsou z overitelneho zdroje (repozitar debianu) a ja sam jsem se rozhodl ze je chci spustit, a tim, ze se mi pri vstupu na nejakou stranku automaticky stahne cca 10-20 ruznych javascriptu, tak se asi neni o cem bavit.

Problem javascriptu, stejne jako flashe, activex nebo java appletu, je v tom, ze je prakticky nemozne kontrolovat, co se spousti na mem pocitaci. A ne, noscript a podobne mi moc nepomuzou (i kdyz noscript pouzivam) - spouste stranek je potreba povolit velke mnozstvi skriptu, nez zacnou fungovat. A pokud povoluji vic nez 5, uz vlastne nevim co povoluji. Proste pokud chci vic nez koukat na staticke stranky, nemam jinou moznost nez nechat javascriptovou zumpu (doporucuji se kouknout na nektere "vytvory" - vetsinou se jedna o kod, ze ktereho se mi chce zvracet) bezet na mem pocitaci.

A nejsmutnejsi je, ze ani tvurci/majite­le/spravci stranek nemaji kontrolu nad tim, co se klientum spousti - diky reklamnim systemum se tam muze natahnout doslova cokoliv. Coz se parkrat stalo i zde na rootu.

> staci ze nekdo pouziva taby nebo ma otevrenych vice oken
nerozumiem? Akoze medzi tabmi chcete nieco hladat? Zabudnite. To riesi sandboxing.

Žádná služba někde bokem.
Jde o zjištění adresy dat v procesu, ve kterém to zjišťujeme. Znalost té adresy pak "jen" zjednodušuje zneužití nějaké chyby v tom samém procesu, u které ti ta informace k něčemu bude.