Mailinglist Archive: opensuse-es (1576 mails)
| < Previous | Next > |
Re: [opensuse-es] Re: Avisos de seguridad en Firefox (Era: [OT] Malware para Firefox)
- From: "Camaleón" <noelamac@xxxxxxxxx>
- Date: Sat, 6 Dec 2008 09:46:18 +0100
- Message-id: <b23e69e70812060046w835804mbe98f92011edc559@xxxxxxxxxxxxxx>
El 6/12/08, Carlos E. R. escribió:
Pues no lo sé... y como el aviso no explica exactamente qué es lo que
considera por "habilidades avanzadas" pues no puedo saber si es dañino
o no :-?
Puede tratarse desde leer una cookie o hasta un gazapo del programador
que haya apuntado a alguna ruta "file://" y haga saltar el aviso...
Vaya Ud. a saber si avisará o no... a mí no me queda claro.
(...)
Pues creo que sería lo más seguro... la aeat debe ser la excepción
(que haga que lo actives) y no la regla (que lo tengas activado
siempre).
De manera predeterminada, viene desactivado... por algo será.
De todas formas, firefox debería ser más configurable en este aspecto.
Es decir, permitir aplicar distintas políticas de seguridad según el
dominio.
No lo he utilizado nunca.
Pero conociendo a la administración, seguramente han optado por el
método más sencillo y el que menos les cuesta de implementar. Si al
usuario le salta alguna alarma o aviso, que le den :-)
No es lo mismo. Java es otro mundo: usa su propia vm, tiene una
interacción con el usuario distinta de los componentes habituales web
como formularios que utilizas para subir archivos en bugzilla, la vm
tiene sus propios fallos de seguridad, etc...
Eso es lo que a todos nos gustaría pensar... pero si es la aplicación
la que accede al disco y no el usuario quien lo envía, pues no lo
sabemos >:-)
Es poco verboso y eso es un problema porque la falta de información
puede confundir más que ayudar al usuario.
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
Claro, pues "http://www.infoworld.com/"; no es seguro, salta el aviso. ¿Que
leches hacen esos queriendo leer nuestro disco duro?
Pues no lo sé... y como el aviso no explica exactamente qué es lo que
considera por "habilidades avanzadas" pues no puedo saber si es dañino
o no :-?
Puede tratarse desde leer una cookie o hasta un gazapo del programador
que haya apuntado a alguna ruta "file://" y haga saltar el aviso...
Por un lado está la variable esa, que buscando veo artículos en gugle:
<http://java.sun.com/products/plugin/1.2/docs/netscape.html>
<http://www.mozilla.org/projects/security/components/signed-scripts.html>
Por lo visto, permite a aplicaciones firmadas acceder a ciertas funciones,
como las de leer el disco: pero el firefox avisará cuando se usen. Y si
esa variable se activa, parece que se permite la ejecución sin estar
firmados, pero avisará. Mmmm...
Vaya Ud. a saber si avisará o no... a mí no me queda claro.
(...)
A lo mejor debiera tener esa variable desactivada, y acordarme de
activarla cuando necesite subir la declaración :-?
Pues creo que sería lo más seguro... la aeat debe ser la excepción
(que haga que lo actives) y no la regla (que lo tengas activado
siempre).
De manera predeterminada, viene desactivado... por algo será.
No se si me he enterado bien del proceso, es tarde y estoy cansado.
Trataré de leerlo otro día.
De todas formas, firefox debería ser más configurable en este aspecto.
Es decir, permitir aplicar distintas políticas de seguridad según el
dominio.
No es tan simple.
Hay que enviar un fichero, ellos lo leen, te muestran en pantalla un
resumen de la declaración, tu compruebas que es la que realmente querías
enviar, y entonces das a "firmar", con lo que el firefox te pide la
contraseña de tu certificado para que efectúes la firma de la declaración.
No lo he utilizado nunca.
Pero conociendo a la administración, seguramente han optado por el
método más sencillo y el que menos les cuesta de implementar. Si al
usuario le salta alguna alarma o aviso, que le den :-)
Pero no es la única manera de enviar ficheros y que el usuario navegue
para escoger el fichero: lo hago a menudo para enviar anexos al Bugzilla.
No se exactamente cual es la diferencia entre uno y otro método, salvo que
quizás sea un algo en java para todos los navegadores :-?
No es lo mismo. Java es otro mundo: usa su propia vm, tiene una
interacción con el usuario distinta de los componentes habituales web
como formularios que utilizas para subir archivos en bugzilla, la vm
tiene sus propios fallos de seguridad, etc...
La aeat es fácil, la declaración.
Eso es lo que a todos nos gustaría pensar... pero si es la aplicación
la que accede al disco y no el usuario quien lo envía, pues no lo
sabemos >:-)
Esta gente, ni idea, porque no le doy permiso.
Es poco verboso y eso es un problema porque la falta de información
puede confundir más que ayudar al usuario.
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |