Säkerhetshål i Safari

Jag syftade på det här inlägget som förklarade varför det är ett allvarligt säkerhetshål (och inte det "skithål" som du kallar det).

Genom att skriva ett långt svar till dig som jag nyss gjorde. Men sen när jag skulle kommentera ditt andra citat så insåg jag att din syn på detta var sån att det nog inte var någon idé att diskutera det. Om du tycker att alla som råkar ut för saker och ting får skylla sig själva så är det inte så stor idé att diskutera. Observera dock att det var en smiley där också, så ta det inte så blodigt.

Whatever. Troll kallas det för när man struntar att svara på alla seriösa försök till argument och bara svarar på andra saker...

Jo, jo, det är första gången liksom. Det är som första bilen, första datorn, första tjejen osv... Det händer för lite på Mac-plattformen

säkerhetshålet ligger inte i Safari. Säkerhetsluckan ligger fortfarande i att scriptet OpnApp.scpt inte frågar utan bara utför vad programmet help.app vill att den skall göra.

Lösning 1: Låt folk godkänna om dom vill öppna en applikation genom skriptet OpnApp.scpt

Lösning 2: Låt inte Help.app hämta information från nätet.

Den andra lösningen innebär dock två problem:
Problem 1: Ständigt nya hjälpsidor kan inte komma till användaren på samma lätta sätt som i dag.
Problem 2: Om man vill kan man ju lägga med en hjälpsida med dmg filen som öppnas via help.app så öppnas den lokalt och godkänns iaf.

Så, återigen, det bästa vore om datorn faktiskt slutade vara så användarvänlig och i stället faktiskt frågade:
"programmet Hjälp vill öppna filen / programmet blaha,blaha, vill du göra det?" Om folk klickar okej får dom skylla sig själva nästan..

En till sak apple borde lägga till är något som redan ligger i många linuxdistar, (iaf de jag testat) är att automatiskt länka om "rm" kommandot till "rm -i" så blir det alltid interactive mode och användaren måste godkänna varje fil som raderas med rm. alltså tas inga filer bort.

/glemme

alias rm='rm -i'

alias 'rm -f'='rm -i'

alias rm="rm -i"

resulterar i att nästa gång du skriver

rm -rf ändras till rm -rfi

och då blir det interactive.

/glemme

men det torde ju bara vara att för scriptet att återställa det innan den ger sig på nått fuffens:
alias rm='rm'
rm -rf

så det är ju begränsat hur mycket skydd den ger, förutom ifrån sin egen dumdistrighet

Det är en bra rekommendation rent allmänt, och alla som pysslar med terminalen då och då borde ha det aliaset inställt. Men, rätta mig om jag har fel, ett elakt script kan kringgå detta ändå va? Jag läste nåt om att köra /bin/rm direkt eller nåt sånt...

Tycker du viftar bort det lite för enkelt, Woz.af.Mac. I princip har du rätt i att de flesta sidor där sådana filer skulle kunna påträffas inte är några "snälla" sidor, men vem som helst skulle kunna lägga upp en länk här på 99mac till någon skit på en server, och flera skulle hinna klicka på den innan den plockades bort.

Om man ska snacka säkerhet på datorer är det klokast att se alla teoretiska hot som hot, istället för att säga att alla måste bete sig på rätt sätt med sina datorer. Annars kan vi lika gärna göra OS X till samma slags schweizerost som Windows är.

Och även resonemanget om modemkapning är dumt. Hur kan man välja att lägga skulden på de som sufar in på fel sidor? "De får skylla sig själva" ungefär. Men det är ju samma sak som att ställa sig på modemkaparnas sida.

Kör jag av vägen med bilen så är det mitt fel och inte dom som byggde vägen eller bilen.

Men om avkörningen beror på att bromsarna är dåligt konstruerade i den bilmodellen så vill färre köpa den. Jag tycker Apple ska konstruera trafiksäkra produkter.

Jag har läst på en del om säkerhetshålet och det verkar som att John Grubers (Daring Fireball) rekommendation är den bästa. Ladda ner programmet RCDefaultApp som är gratis och som har större möjligheter att ställa in vilka protokoll som ska starta vilka program än många av de andra programmen som tipsats om.

Dessa protokoll ska sättas till "<disabled>":
help:
disk:
disks:
telnet:

Att telnet är en säkerhetslucka var något Gruber alldeles nyligen publicerade och det har jag inte läst någon annanstans, ännu. För mer information, läs dessa artiklar på Daring Fireball:

Disabling Unsafe URI Handlers With RCDefaultApp
Using the ‘telnet:’ URI Protocol to Delete Files

Tack för tipset ett super program. Intruktionerna i dina länkar var lätta att följa

PP

hur som helst, Apple släppte en Security Update för några minuter sen.

Ja men det fixar endast Help Viewer problemet. Telnet och Disk image problemet är fortfarande inte fixat.

//Rob

Men att spärra Help protokollet är onödigt efter senaste Security Updaten.

//Rob

Hur ställer man tillbaka i IE att help ska öppnas med "Apple Help"? Jag har tryckt på "change" men sen när jag bläddrar hittar jag inte Help varken i Applications eller Utilities.

HD/Bibliotek/Coreservices/Hjälpvisning

Tack.

Vaddå? Det händer ju ingenting. Man blir uppkopplad till en server men sen händer det ingenting. :/

Nu funkar det...fast vet inte varför. Ställde om det med "Internet explorer tidigare. Hade också installerat en "more internet" app, som jag också ställde in med. Återställde också med denna trots att den visade korrekt.

Skumt.

T