Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput tuum saxum immane mittam.

Dla odmiany

Posted in photo by maciejewski on Listopad 10, 2010, 23:34

Linuks przerobiony na Mac’a i Facebook w dialekcie piratów 🙂

Reklamy
Tagged with: , ,

fejsbukowym skrytożercom…

Posted in refleksje, tekst by maciejewski on Październik 3, 2010, 22:29

W poprzednim wpisie pokrótce (wiedzieliście, że pokrótce pisze się razem? Kocham GNU/Aspell’a) powiedzieliśmy sobie o co chodzi z bezpieczeństwem naszego komputera. Prawda jednak jest taka, że w dobie Web 2.0 stawianie strażnika na granicy internetu i naszego komputera to rozwiązanie dające co najwyżej częściowe zabezpieczenie (tak, również prawdą jest, że poprzedni wpis ma co najwyżej częściowy sens, kto by pomyślał), gdyż część cyfrowego świata, którą uważamy za „swoją” kończy się trochę dalej. No właśnie, jeszcze nie tak dawno wszyscy mówili o Web 2.0, był to (lub miał być) Święty Graal Internetu. Wszyscy szeptali po kątach, „nadchodzi”, wszyscy wierzyli, że ktoś zrobi na tym ogromną kasę i chcieli, żeby tym kimś byli właśnie oni.  I był to miś na miarę naszych możliwości, bo nikt tak do końca nie wiedział co to jest i kiedy nadejdzie. A gdy naszedł, to już nikt o nim nie mówił, bo stał się standardem oraz „oczywistą oczywistością” (a wielką kasę zarobił m.in. Mark Zuckerberg)

Ostatnio kilkoro znajomych na fejsbuku zaczęło spamować dziwne wiadomości, po angielsku z jakimiś bzdetnymi linkami, klikam o co chodzi (zasadniczo facebook chroni przed spamowaniem – zawsze trzeba pozwolić aplikacji na dostęp do elementów naszego profilu więc teoretycznie jesteśmy bezpieczni). Widzę kilka kolorowych prostokątów i informację „kliknij w czerwony żeby potwierdzić, że jesteś człowiekiem”  wygląda jak standardowe zabezpieczenie przed botami jakie często się w necie spotyka, więc klikam i widzę to:

W pogoni za funkcjonalnością twórcy przeglądarek i mechanizmów pomocniczych do tworzenia zaawansowanych stron internetowych (m.in. CSS i JavaScript) trochę przesadzili. To co widzicie to klasyczny atak XSS (cross site scripting). Polega na tym, że widać te kolorowe prostokąty  lub inną zachętę do kliknięcia w czerwony, a tak naprawdę jest to ramka, którą widać, ale nie ma wpływ na funkcjonalność kodu – klikając tak naprawdę klika się w facebookowy przycisk ‚Share’, który jest pod spodem tym samym spamujemy ten syf swoim znajomym.

Okno dialogowe (nawet z podglądem oryginalnego zasłoniętego elementu strony!) to komunikat dodatku do Firefox’a o nazwie NoScript. Jest to plugin sprawdzający skrypty na stronach internetowych (bo ich przecież nie widać, domyślnie wykonywane są w momencie załadowania strony a wraz z rozwojem technologii przeglądarek potrafią robić naprawdę wiele (np. startpanic.com cholerstwo potrafi wygrzebać historię odwiedzanych stron z przeglądarek). Nie jest prawdą, że żeby złapać wirusa trzeba pobrać plik czy uruchomić program, obecnie wystarczy wejść na (nie)odpowiednią stronę, dlatego polecam zabezpieczać się tym pluginem, choćby po to, żeby nie spamować znajomym  na fejsie takiego syfu.

Tagged with: , ,