Mozilla blokuje Microsoft
Mozilla poinformowała o zablokowaniu w Firefoksie możliwości zainstalowania wtyczki Microsoftu. Składała się ona z dwóch części - dodatku .NET Framework Assistant i właściwej wtyczki Windows Presentation Foundation.
Jeden z błędów, znalezionych w tych programach, uniemożliwiał ich całkowite odinstalowanie. Z kolei drugi umożliwiał przeprowadzenie ataku na komputer użytkownika.
Mozilla poinformowała Microsoft o zamiarze zablokowania wtyczki, a przedstawiciele firmy z Redmond wyrazili na to zgodę.
Producent Firefoksa od 2007 roku stosuje mechanizm blokowania niebezpiecznych dodatków. Dotychczas zastosowano go ośmiokrotnie. Zablokowano m.in. dodatek językowy dla wersji wietnamskojęzycznej, gdyż znaleziono w nim robaka.
Oprogramowanie Microsoftu jest dziewiątym zablokowanym programem. Programiści z Redmond w ubiegłym tygodniu poinformowali, że dostępna od lutego wtyczka zawiera krytyczny błąd. Dziura została załatana przed tygodniem, w ramach comiesięcznego Patch Tuesday.
Mozilla ma zamiar jeszcze bardziej zwiększyć bezpieczeństwo użytkowników Firefoksa. Wersja 3.6 przeglądarki będzie wyświetlała ostrzeżenia, jeśli odwiedzimy witrynę, wymagającą użycia przestarzałych dodatków.
Komentarze (12)
Tomek, 19 października 2009, 14:39
Bardzo ładne zagranie ze strony Mozilli - poinformowali Microsoft z pełnym wytłumaczeniem dlaczego.
mikroos, 19 października 2009, 15:06
Argument dot. bezpieczeństwa jest co najmniej śmieszny. Miałby rację bytu wyłącznie wtedy, gdyby Mozilla zobowiązała się pisemnie, że ich program jest w 100% bezpieczny.
Bardzo ładne zagranie? Co najwyżej bardzo cyniczne i elegancko opakowane.
kwiateusz, 19 października 2009, 15:47
No i co ze ich produkt nie jest w 100% bezpieczny? ale wszystkie bledy jakei moga i znajda to naprawiaja, co tez uczynili przez zablokowanie wynalazkow microsoftu (jako ze sami kodu poprawic nie moga to usuwaja blad jak tylko sie da w tym wypadku wylaczajac wtyczke) z czego bardzo sie ciesze bo na kij mi syf o ktory nie prosilem, a nawet nie mialem nawet okazji odmowic...
Mariusz Błoński, 19 października 2009, 15:48
Myślę, że Mozilla niezbyt mogła zrobić coś innego, niż poinformować Microsoft i uzyskać błogosławieństwo. Przypuszczam, że gdyby ot tak sobie zablokowali, naraziliby się na kłopoty prawne.
mikroos, 19 października 2009, 15:55
Racja, przecież to żadna różnica.
Nie jest przecież wykluczone (a nawet więcej: jest wręcz pewne, biorąc pod uwagę ogromną poprawę w ostatnich latach), że MS zrobiłby to samo. A jednak produkt konkurencji zablokowali, a własny dalej ludziom serwują.
wilk, 19 października 2009, 17:30
Dziwią mnie dwie rzeczy. Dlaczego od samego początku nie zareagowali i nie zablokowali produktu, który od prawie pół roku skrycie doinstalowywał się do przeglądarki (nawet Google Chrome Frame jest dobrowolny) i jak obecnie się okazuje psuł go lub też nie wymusili akceptacji jego instalowania. I po drugie dlaczego Firefox nie jest w stanie zablokować zainstalowanych w nim wtyczek?
Tomek, 19 października 2009, 18:17
Jeden z tych dodatków da się usunąć, z drugim (wtyczka) już są problemy.
sig, 19 października 2009, 22:35
Mozilla nie może poprawiać bugów w produkcie Microsftu (a szkoda bo w przeciwieństwie do tego ostatniego ma system łatania błędów z prawdziwego zdarzenia) a co za tym idzie może co najwyżej zablokować instalację niebezpiecznego rozszerzenia. Poza tym instaluje się bez pytania usera o zdanie, więc o błędy w tej wtyczce użytkownicy mogli by obwiniać mozillę (bo przecież oni żadnych rozszerzeń nie instalowali, a co za tym idzie infekcja przez Firefoksa = błąd w Firefoksie. Mozilla naturalnie by się wytłumaczyła, ale smród by pozostał. Jak bym był zwolennikiem teorii spiskowych stwierdził bym nawet że to powód dla którego instalacja tego rozszerzenia odbywa się bez zgody i wiedzy usera.
ps coś mi się obiło o oczy że blokadę już zdjęto, bo wyszła nowa poprawiona wersja wtyczki (pytanie tylko kiedy w niej znajdzie się jakiś krytyczny błąd)
pps jak dla mnie do zablokowania powinna sterczyć "utajniona' instalacja i utrudnione usuwanie (nieaktywny stosowny przycisk)
ppps przy dzisiejszym stopniu komplikacji oprogramowania 100% nie da ci nikt, no chyba że to jakiś program dostarczany razem z sprzętem na którym masz go uruchomić i jakimś minios-em (brak możliwości doinstalowania czegokolwiek poza tym co producent dostarczył) to wtedy po wyłożeniu odpowiednio wysokiej sumy można uzyskać 99.999 skuteczności (np sprzęt medyczny takową ma)
mikroos, 19 października 2009, 22:58
Ależ ja absolutnie nie oczekuję od Mozilli, żeby oferowała w 100% bezpieczną przeglądarkę - mam marne pojęcie o programowaniu, ale zdaję sobie sprawę, że jest to ~niemożliwe. Problem w tym, że pełną hipokryzją jest blokowanie dodatków proponowanych przez inne firmy, gdy samemu nie jest się lepszym. Tylko tyle.
sig, 20 października 2009, 07:34
A w jaki inny sposób można wg ciebie przeciwdziałać dziurom w oprogramowaniu zewnętrznym? Moim zdaniem tylko blokując je do czasu wypuszczenia nowej, załatanej wersji (o ile pamiętam że microsoftowym rozszerzeniem był ten problem że wersja załatana nie zmieniła numeru wersji, wiec "sprawdzarka" nie mogła stwierdzić czy "fix" jest czy go niema). Sposób przydatny (a nawet konieczny) zwłaszcza w przypadku znanego z jawnego lekcjoważenie bezpieczeństwa Microsoftu.
mikroos, 20 października 2009, 11:00
Powtarzam jeszcze raz: jeżeli chcą oczekiwać od innych stuprocentowego bezpieczeństwa, niech sami także blokują własne produkty.
Nie chce mi się ciągnąć tej dyskusji, swoje powiedziałem i nie będe powtarzał tego jeszcze 10 razy.
thibris, 21 października 2009, 13:28
Ale nikt nie oczekuje od MS 100% bezpieczeństwa na ich dodatki do FF. Znaleziono lukę w ich kawałku kodu, nie było łatki, więc poprosili o zgodę na blokadę. Uzyskanie takowej oznacza przyznanie się MS do winy i błogosławieństwo działań Mozilli.
Według mnie sprawa została przez obie strony załatwiona profesjonalnie.