[Roberto]

no ale to wypada zobaczyć co jest nie tak z certyfikatem któremu mamy zaufać jednak.

[naresh]

@Roberto, łatwo powiedzieć, gdy chociaż trochę się wie w tej materii. Taki farmer z alabamy, na swoim Macu nie będzie się interesował czymś takim, bardziej się zastanowi "Hej, czy to faktycznie ja jestem na tym videło". I w tym leży obecnie prawdziwy problem z ewentualnymi "wirusami". To już nie te czasy, że wystarczy wejść na przypadkową stronę internetową i już mamy pierdyliard wirusów, nawet Windows już tak nie ma. Teraz wirus puka kulturalnie do drzwi jak akwizytor, i tylko czeka aż go wpuścimy omamieni "ochami i achami" jakie to wspaniałe rzeczy ma nam do pokazania

[Roberto]

widzę jednak różnicę pomiędzy 'uruchomić program' a 'podać hasło administratora'. że kogoś wpuszczam to nie znaczy od razu, że mam mu dawać komplet kluczy, prawda?

[Therioon]

widzę jednak różnicę pomiędzy 'uruchomić program' a 'podać hasło administratora'.
że kogoś wpuszczam to nie znaczy od razu, że mam mu dawać komplet kluczy, prawda?

ile mam pisać że ten wirus nie potrzebuje naszego hasła, działa również obok systemu i przechwytuje bardzo dużo ważnych spraw.
jest to pierwszy wir tego typu
możesz nie być świadom że go masz, twórcy nieźle go zamaskowali.

[ftpd]

Wymaga hasła. Jak w przypadku każdego certyfikatu self-signed przed dodaniem go do keychaina wymagane jest hasło.

[Therioon]

Wymaga hasła. Jak w przypadku każdego certyfikatu self-signed przed dodaniem go do keychaina wymagane jest hasło.

czy czasami tego nie obeszli?

[Roberto]

skoro wyskakuje monit o dodanie certyfikatu do systemu to nie, nie obeszli tego. dodanie certyfikatu = podanie hasła gdyby nie było do tego potrzebne hasło to dodaliby sobie ten certyfikat z aumatu, samemu c'nie?

[macieks72]

Powiem wam tylko tyle, że przed chwilką zrobiłem testowy applet który ma dostęp do lokalnego systemu plików, podpisałem go sam, no i po uruchomieniu wystkoczył alert javowy, kliknąłem pozwól i to wszystko, żadnych haseł, żadnego dodawania certyfikatów do keychaina itp, poszło gładko i pewnie dokłądnie tak samo działa ten wirus, jak mu tylko pozwolisz to sobie resztę dociąga z serwerów i po ptokach.

[Therioon]

Powiem wam tylko tyle, że przed chwilką zrobiłem testowy applet który ma dostęp do lokalnego systemu plików, podpisałem go sam, no i po uruchomieniu wystkoczył alert javowy, kliknąłem pozwól i to wszystko, żadnych haseł, żadnego dodawania certyfikatów do keychaina itp, poszło gładko i pewnie dokłądnie tak samo działa ten wirus, jak mu tylko pozwolisz to sobie resztę dociąga z serwerów i po ptokach.

pewnie masz dużo racji w tym co napisałeś

[macieks72]

Mam Wystarczy kliknąć na "Pozwól" i to wszystko.

[Therioon]

Dokładnie jest to opisane tak: W obiegu pojawiła się kolejna wariacja robaka Koobface, która w formie trojana ukrytego pod postacią apletu Javy celuje także w użytkowników systemu Mac OS X. Informuje o tym producent oprogramowania zabezpieczającego Intego dla Maców w artykule w blogu. Koobface (anagram od Facebook) rozprzestrzenia się przez sieci społecznościowe takie jak Facebook, MySpace oraz Twitter i zachęca internautów do obejrzenia materiału wideo, pytając w temacie: "Is this you in this video?" Koobface początkowo podawał się za rzekomą aktualizację odtwarzacza Flash i namawiał do pobrania szkodliwego pliku EXE, lecz jego odmiana dla Maców ukrywa się pod postacią apletu Javy. Przy wywołaniu strony z filmem okno dialogowe ostrzega przez niezweryfikowaną sygnaturą apletu – jeśli jednak użytkownik wyrazi zgodę na jego uruchomienie, zaczyna on ładować instalator, a także inne pliki, które docelowo zawierają niebezpieczne oprogramowanie stworzone z myślą o systemach Windows i Mac OS X. Mimo że podobno doszło już do udanych infekcji na Macach, firmie Intego nie udało zrekonstruować tego procesu: "Albo w tym malwarze są błędy, które uniemożliwiają prawidłowe wykonanie kodu, albo serwery, z którymi usiłuje się skontaktować robak, nie są aktywne, albo też nie dostarczają one właściwych plików" – stwierdza specjalizująca się w zabezpieczeniach firma, która z tego powodu ocenia poziom ryzyka jako niski. Jeśli jednak malware zainstaluje się poprawnie, wtedy według Intego uruchamia on serwer IRC oraz serwer sieciowy, działa jako część sieci botów, zmienia rekordy DNS i może pobierać szkodliwy kod. Firma SecureMac, która również tworzy oprogramowanie zabezpieczające dla Maców, określiła z kolei poziom ryzyka jako krytyczny i przygotowała bezpłatne narzędzie do usuwania "szkodnika". Przedsiębiorstwo zaleca, aby w celu ochrony wyłączyć JavaScript w przeglądarce albo zwracać uwagę na okna dialogowe wywoływane przez aplety Javy i w przypadku ich nieznanego pochodzenia odmawiać im dostępu. source: HO

[virgin71]

Nie wiem, nie wnikałem w to - robiłem szkolenie CCNA i musiałem się logować na egzaminy i by móc skorzystać z materiałów szkoleniowych - pamiętam dokładnie, że wyskakiwał komunikat o niezaufanym czy przeterminowanym certyfikacie i prowadzący zajęcia mówił "żeby się nie przejmować i klikać OK".

Historia autentyczna i z autopsji, więc sam sobie możesz odpowiedzieć na swoje pytanie

To była kwestia błędu - wygaśnięcia certyfikatu. Mam całą paczkę CCNA i tylko raz się to zdarzyło.

Znalazłem element naszego sporu - część z nas automatycznie dodaje certyfikat, co wymaga użycia hasła administratora. Kliknięcie w pozwól, jakkolwiek zatwierdza certyfikat sesji i wykorzystuje fatalny błąd w javie.
Problemem kolejny raz nie jest OSX, ale java właśnie. OSX powinien jeszcze bardziej restrykcyjnie traktować javę wobec powyższego.

[trenneman]

Problemem kolejny raz nie jest OSX, ale java właśnie. OSX powinien jeszcze bardziej restrykcyjnie traktować javę wobec powyższego.

Już niedługo, wszak wiadomo co będzie ze wsparciem Javy w Lionie...

[Roberto]

zanskar - taa... kocham plotki. Apple przestaje samo wydawać Javę. Tyle. Nikt Sun'owi jej wydawać (jak to robi na resztę platform) nie zabrania przecież. Wyda swój produkt dla OS X'a - to będzie. Będzie wspierać swój produkt - to będzie wsparcie. Ot cała tajemnica. To jak z aferą z brakiem flasha w nowych Airach. Windows też nie ma preinstalowanego flasha i nikt nie robi z tego afery? Ze względów bezpieczeństwa sprawa jest jak najbardziej pozytywna dla mnie (z okazji Leo/Snow Leo była 'afera' że wersja flasha nie była najnowsza, więc miała jakieś tam dziury). tak samo z Javą - update od Apple zawsze był później, nie wszystko zostało załatane/zmienione. Teraz Sun będzie wydawał na wszystkie wspierane platformy samemu i zapewne jednocześnie.

[Witos]

Ale, skoro nie będzie wsparcia, to kolejne wersje nie będą się pokazywały na liście Software Update. Zwykły użytkownik nie będzie nawet wiedział o kolejnej wersji. A, że zwykłym użytkownikom JAVA wisi kalafiorem, to nawet nie zainteresuje się. Stąd wniosek, że z tej strony będzie bezpieczniej. A jak już ktoś będzie chciał nową JAVA'ę, to można zakładać, że świadomość u niego większa. Osobiście mam nawyk, żeby nie akceptować niewiadomych spraw. Raz bank ( albo Home.pl ) podał mi nieważny certyfikat i nie szedłem dalej. Po jakimś czasie było już OK.

[virgin71]

Ale, skoro nie będzie wsparcia, to kolejne wersje nie będą się pokazywały na liście Software Update. Zwykły użytkownik nie będzie nawet wiedział o kolejnej wersji. A, że zwykłym użytkownikom JAVA wisi kalafiorem, to nawet nie zainteresuje się. Stąd wniosek, że z tej strony będzie bezpieczniej.

Tak samo można by powiedzieć o każdym programie firm trzecich... przecież Adobe Reader się aktualizuje;)

[Witos]

Aktualizuje się pod warunkiem, że potrzeba, pod warunkiem, że wogóle się go używa. Ja korzystam dużo z pdf'ów, a nie mam adobe reader'a. Poza tym jest jednak różnica w popularności tych programów, wiele użytkowników nawet nie wie co to JAVA, lub jedynie słyszeli i tyle. I dobrze.

[towi]

...a może pobrać darmowy AVG LinkScanner i po problemie. Skanuje zawartość stron WWW w czasie rzeczywistym. Wada... tylko dla Safari i Firefox. Z darmowych rzeczy wyszedł jeszcze bardzo dobry antywirus - Sophos.

[Witos]

... i po problemie.

Nie może być po czymś czego nie ma.