Názor k článku
Firefox má vážnou zranitelnost v PDF.js, která umožňuje spustit cizí kód od msmucr - Už výrazně odbíháme od PDF.js a Firefoxu, který...

  • Článek je starý, nové názory již nelze přidávat.
  • 22. 5. 2024 11:46

    msmucr
    Bronzový podporovatel

    Už výrazně odbíháme od PDF.js a Firefoxu, který je v celé věci z pohledu správce a řešení té bezpečnostní chyby ten nejmenší problém - stačí jej standardní cestou zaktualizovat.

    Jiste, uzivatel vzdy oceni nejvic, kdyz se mu treba prave to pdfko otevira v necem, co pdfka zobrazit neumi. Coz je presne to, co je v browserech.

    Jasně, vzhledem k tomu jak dlouho je to default, tak si klidně tipnu, že uživatelé browserů napříč si zobrazí klidně vyšší desítky milionů nejrůznějších PDFek denně, a to naprosto uspokojivým způsobem pro většinu použití. Ale váš závěr z toho je, že to obecně neumí zobrazovat PDFka :))

    Beru, že má někdo osobně jinou preferenci. Stejně jako si dovedu představit, že ve firmě, kde většinově pracují s PDFky obsahující formuláře a skripty a nebo mají postavené document workflow na proprietární fíčurách od Adobe (schvalování, sdílené poznámky atp.), tak řeší deploy Adobe Readeru nebo plného Acrobatu.
    Tam kde tahle speciální PDFka nejsou úplně dominantní, a věříte v inteligenci uživatelů, tak ten Reader bohatě stačí nainstalovat jako fallback. Tím mají zachované rychlé, progresivní načítání a zobrazování přímo z prohlížeče nebo mailu, což je většinou "good enough", a pokud už narazí na nějaký formulář, nebo mají třeba velký dokument, kde využijí lepšího vyhledávání, tak si to stáhnou na disk a otevřou v Readeru. Přesně tohle jsou zkušenosti mé zkušenosti jak z menších i větších firem (cca 2k stanic).

    Stran té asociace souborů přes GPO, nejsem na rozdíl od kolegů specialista na AD (spíš Linux, MacOS atd.), ale když koukám na jeden server, co tam řeší v šabloně, tak je to v podstatě tohle..
    https://techcommunity.microsoft.com/t5/ask-the-performance-team/how-to-configure-file-associations-for-it-pros/ba-p/1313151
    Tzn. XMLko s definicí přiřazení na sdílené složce, plus ty volby v článku dole (vypnuté notifikace o nové aplikaci, vypnuté hledání aplikace pro otevření na internetu a ve store...).
    Dovedu si představit, že kdybych z nějakého důvodu chtěl mít jistotu, že to použije vždycky ta systémová přiřazení, tak to ještě doplním nějakým powershellem, co rekurzivně projede existující uživatele v systému a odmázne pro konkrétní přípony klíč UserChoice v HKCU\SOFTWARE\Mi­crosoft\Window­s\CurrentVersi­on\Explorer\Fi­leExts
    Což může být samozřejmě super invazivní, pokud si tam už něco sám nastavil.
    Nicméně jak jsem předesílal, není to můj denní chleba. A konkrétně ten MS Edge vypadá, že je super agresivní v revertování nastavení, ignorování existujících politik a spousta věcí a jeho chování se mění mezi jeho různými buildy, aspoň co jsem slyšel. Takže jestli pak něco vydrží déle jak půl roku je otázka :)


    O tom, jak vypadaji dodavky SW zjevne neraceji tusit vubec nic. Dodavatel doda blob, a tak jak ho dodal se to i musi pouzivat. Aktualizace typicky znamena ze se to po 10 letech vsechno nainstaluje znova. Tedy pokud dodavatel jeste existuje.

    Ale samozřejmě že tuším.. proto jsem psal, že správce (resp. bezpečák) by měl zhodnotit riziko. Ať zůstaneme u tématu, asi bude rozdíl, jestli máte třeba starý Firefox a distribuci na serveru v nějakém izolovaném systému v segmentované síti s jasně danými přístupy a prostupy, nebo PDF.js v nějaké webové aplikaci/kontej­neru, co přímo využívají třeba tísícovky uživatelů.
    Nicméně rozhodně to není tak, že takovéhle peklo, co jste popsal, je vždycky. Chápu, že někdy řadový správce není nutně v nějakém rozhodovacím procesu, nemá nejspíš vliv na výši investic ani prostředků na rozvoj. Ale někdy ta potenciální frustrace může vést i k zásadnějším rozhodnutím, kdy si člověk vyhodnotí, že než zdegenderovat na takového toho strejdu Nejdeto, co akorát pi*uje v kantýně, a valí před sebou čím dál větší kuličku, tak u toho taky nemusí být a otevře se mu spousty dalších možností :)