Hur får man Samsung att lyssna?

Och varför skulle deras mål vara en enda hemsida när dom kan även infektera alla användare som surfar dit?

 

Allt det där var javascript-implementationer, alltså inte buggar i Javascript. Du har också lyckats missa poängen som om det var meningen, men jag kan förtydliga den åt dig: Samsung får gärna göra det enkelt för dom som vill ha apparna genom att förinstallera, men de bör också göra det enkelt för dom som inte vill ha dem, genom att förinstallera i /data/app så att dom går att ta bort.

Självklart är det användaren dom är ute efter, men det är sidan som attackeras för att utföra det.

 

Det finns inga luckor i Actionscript heller, utan bara i Adobes implementation av flashspelaren. De säkerhetsluckor du klagar om finns inte i alla implementationer av flashspelare som Gnash och SWFDec.
Kanske har de sina egna luckor, men då ingen använder dem så är sannolikheten att de exploateras mycket liten.

Det är löjligt att anföra att problemen är med implementationer, och på så vis inte skulle vara relevanta, då det är implementationer som användare sitter med och som gör att de har luckor i systemen.
Se min förra post på exempel på exploits som använder sig av JS på olika webbläsare. Faktum är att om du verkligen har affärshemligheter skall du i konsekvensens namn avaktivera JS om det inte är absolut nödvändigt för dig. Och du skall inte nöjessurfa på din arbetstelefon som du har dina hemligheter på, så det skall inte vara ett problem att ha varken Flash eller JS om du endast surfar på sidor du kan lita på 100%.

Då kan du förmodligen inte köra den i din webbläsare på din telefon utan samarbete med Google i.a.f. då de måste utveckla stöd för den.
Är så fallet tror jag du är kapabel till att avinstallera Flash utan att få Samsungs hjälp, och du är definitivt inte en typisk användare som Samsung skall anpassa sig efter för att du tycker det är besvärligt att avinstallera Flash istället för att avaktivera.

Det var ett säkerhetshål som utnyttjades via en Trojan.
Det var precis den luckan du nämnde då du sade "öppnar genom ett anrop till metoden newclass upp för exekvering av bytecode i authplay.dll"
Här är NVD's beskrivning av samma lucka:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1297

Nej du aktiverar inte alla flashspelare genom att aktivera en. Vanligen så är flashspelaren förinställd att vara på on demand, och du aktiverar då varje enskild swf som du vill se.

De borde göra det lättare att ta bort program min inte vill ha, det håller jag med om. Men det är knappt värt att skriva ett brev och klaga då det gjort det extremt lätt att roota, så det går snabbare än att skriva och klaga. Vill du inte ha en rootad telefon är det lika lätt att återställa efter du tagit bort programmen.
Onödigt, men såpass enkelt att fixa att det är för mig obegripligt hur man orkar gnälla om det.
Och angående Flash framställde du det inte som att du ogillade att du inte enkelt kan avinstallera flashspelaren, utan sade "I do not want Flash preinstalled, under any circumstances".

 

Men vad är det för fel på dig? Vart har jag gnällt på Actionscript?

Det du länkade till var en trojan, inte en lucka. Äpplen == Päron?

Lustigt, antingen har du fel eller så måste jag ha råkat trycka på en alla aftonbladets annonser samtidigt när jag testade precis innan.

Att roota Samsungs FroYo kräver att du installerar en äldre kärna som inte kontrollerar certifikaten i update.zip och sedan installerar tillbaka den nya kärnan. Att byta kärna kräver att man kör Windows och trixar med Odin. Detta i sin tur riskerar att bryta garantin. Din smidiga lösning för att få bort flash kan alltså kosta mig min telefons garanti. Snälla, peka ut vart jag har fel i den tankegången, annars kan du låta bli att svara för jag orkar inte med att svara på ytterligare ett av dina fortsatt värdelösa inlägg.

 

Du har fått det hela om bakfoten, läs om mitt föregående inlägg.

 

Men detta handlar inte om XSS-attacker; det handlar om regelrätta säkerhetshål i Flash-pluggen som gör att regelrätta Flash-applikationer kan köra skadlig kod på en användares dator.

När det kommer till XSS är det i första hand webbplatsen som är ansvarig för säkerheten, sekundärt webbläsaren. I en Flash-applikation är pluggen ensamt ansvarig för säkerheten.

Och 70 % av alla bilägare föredrar röd lack, så därför ska övriga 30 % tvingas ha det också? Din procentstatistik är för övrigt lika verklighetsbaserad som min. Vi (eller åtminstone jag) snackar inte om att Flash ska vara en tilläggsmodul, även om det hade varit att föredra – för hur många nya datorer kommer med flash förinstallerat? Ingen som jag har varit i kontakt med i alla fall. Jag hade gärna sett Flash som en alternativ nerladdning, men det viktiga är att jag har rätten till min egen telefon, och möjlighet att ta bort de program jag 1. inte finner intressanta eller; 2. misstänker kan ha säkerhetshål.

Förövrigt visar din lista säkerhetshål i webbläsare, inte säkerhetshål i JavaScript.

Och slutligen: JavaScript är ett programmeringsspråk.

 

Poängen är att det inte handlar om sårbarheter i skriptspråken, utan om sårbarheter i implementationer. Det blir märkligt att argumentera att sårbarheter i JS inte är relevanta för att de inte är sårbarheter i själva skriptspråket.
Vill du skydda dina affärshemligheter skall du avaktivera JS såväl som Flash eftersom de kan finnas luckor. Var i systemet luckorna uppstår är inte intressant för dig som användare, lösningen är densamma oavsett.
Avaktiverar du JS slipper du drabbas av sårbarheter som beror på JavaScript, oavsett vart i systemet luckan uppenbarar sig.

Luckan utnyttjades via en trojan. Det var du som drog upp den som ett argument för hur osäkert Flash är, och jag påvisade bara att den exploatering som skedde i praktiken drabbade 0-49 användare, hade låg hotnivå och var lätt att åtgärda enligt Symantec.

Jag tog för givet att det skulle fungera som en vanlig flashblockerare, men har missat att så inte verkar vara fallet. Det verkar som en bugg. Självfallet borde man kunna aktivera enskilda instanser.

Du behöver inte bry dig om att byta kärnor och använda Odin samt Windows.
Exempelvis har du "one click root-unroot" program som denna:
http://forum.xda-developers.com/showthread.php?t=742403
Jag känner inte till någon som har brutit garantin för att det rootat telefonen, så risken är minimal.
Vill du ha en specialanpassad version för dina unika krav får du ta lite risker. Det är normalt att garantier inte omfattar modifierade system, men om du har värdefulla affärshemligheter på din telefon förmodar jag att du har råd att ta den extremt lilla risk som finns för att rooting skall leda till en blir skadad på ett sätt som inte omfattas av garantin.
Som sagt håller jag med om att det borde vara lättare att avinstallera, men med tanka på hur liten ansträngning och minimal risk det innebär att åtgärda problemet själv är det inte en fråga som är värd att lägga ner mycket energi på.
Skulle ditt försök leda till en brickad telefon som Samsung vägrar att åtgärda skulle jag förstå att du bli upprörd, men att uppröras över ett teoretiskt scenario, som är extremt osannolikt att det skulle inträffa, verkar vara slöseri på energi.

Visst finns det problem med Galaxy S, och visst skall man låta Samsung höra om dem. Men de frågor du tar upp är ytterst marginella problem, och det vore klokt av Samsung att koncentrera sig på viktigare saker som inte bara orsakar teoretiska problem för ett fåtal individer.

 

Precis som det finns regelrätta säkerhetshål i webbläsare som orsakas av deras JavaScript-funktionalitet. Enda skillnaden är vem som bär ansvaret.
För användaren är problematiken densamma, teknologi som innebär skriptexekvering i webbläsaren leder till säkerhetsluckor. Stäng av sådan funktionalitet om säkerhet är mycket viktigt för dig, men det leder självfallet till att många webbsidor inte fungerar som de skall.

Nej, det är en felaktig distinktion. För att en swf skall kunna åsamka ditt system skada måste webbsidan ha swf filer med skadlig kod. Om din webbsida har skadliga swf-filer har du bristande säkerhet, precis som om du har skadlig JS-kod.
Adobe distribuerar inte en plugin med kod som nyttjar säkerhetsluckor lika lite som din webbläsare gör det, utan de har luckor som kan utnyttjas om man exekverar skadlig kod i dem.

Visst vore det ideala om du kunde välja vilken mjukvara som din telefon levereras med vid beställning, precis som du kan välja färg på din bil, men det begriper du också att det inte skulle fungera logistiskt.
Om 98% föredrar Flash skall de självfallet leverera telefonen med det.
Däremot borde de underlätta för användare att avinstallera mjukvara om de så önskar.

Som sagt, det är en irrelevant distinktion. Ver i systemet riskerna ligger är helt ointressant för användare. Om du tycker att det är en säkerhetsrisk med Flash och att de därför inte borde leverera telefoner med Flash aktivt, borde de också leverera telefoner med JavaScript inaktivt.
Anledningen till att de inte gör som ni föreslår är självfallet att för de flesta är att de förhållandevis små risker teknologierna för med sig inte överväger fördelarna för en vanlig användare.

Nej, det är ett skriptspråk:
http://en.wikipedia.org/wiki/Scripting_language
http://sv.wikipedia.org/wiki/Javascript

 

Det finns buggar i hur ICMP implementerats också, betyder inte att det inte används. Varför? Jo, för att det inte är totalt överflödigt. Vad jag kan minnas just nu så har Androids browser inte lidit av några säkerhetshål, vilket är bra mycket mer än jag kan säga om en enda Adobe-produkt som finns. Jag skiter fullständigt i att du känner dig lika säker med Flash installerat som med Javascript, det gör inte jag.

Tack för den rooten, ska kolla lite nogrannare på hur den fungerar.
Det är dom som skickar ut den specialanpassad för krav, jag vill ha en telefon som inte är det. Dom skickar ut en telefon för någon som skriver dagbok, läser böcker, har svårt att läsa en vanlig karta som inte projiceras upp på skärmen och använder flash på internet. Det tycker jag är ganska specifikt. Det här problemet har en 10-minuters-fix, det är det som gör mig förbannad.


Och sluta slänga med dina 98%, alla vet att 94.7% av all statistik är påhittad, vilket gör det där till en trolig kandidat.



edit: En snabb titt i den root-appen säger att antingen kan jag inte unroota 2.2, eller så skulle en unroot av 2.2 förstöra min telefon... Jag tror jag avstår... Det framkommer inte heller hur den rootar, men jag har en känsla av att den inte fungerar på JPH, då den helt saknar installationscertifikat och inte går att köra utan binären.

 

Du diskuterar förbi mina argument och injicerar egna betydelser som jag aldrig uttalat.
Exempelvis säger du att jag har fel när jag listar säkerhetsskillnader mellan Cross Site Scripting och Plugins.

Detta är faktum: En webbutvecklare kan skydda sin sida mot XSS genom att filtrera/avkoda av besökare inmatad text så att den blir harmlös. En webbplats som exempelvis har reklambanners med Flash kan kan inte på förhand förhindra dessa från att attackera en besökare.

XSS-attacker är sålunda genomförbara på grund av en webbplats bristande säkerhet, medan tredjepartsmjukvaror öppnar säkerhetshål av en annan karaktär som utnyttjas genom direktriktade attacker mot dessa mjukvaror.

http://en.wikipedia.org/wiki/JavaScript

Fin touch att du använde den svenska wikipedia-referensen för att ge vikt åt din åsikt, när min stärks i den engelska.

 

Det är alltid roligt att se såna här nörd-offtopic-diskussioner där man spänner musklerna med töntdata. Brukar vara på IDG de förekommer mest. Sorry. Men jag håller med Pazzo i en massa av den kritik och de mail han skickar in. Bara faktumet att det inte går att välja bort lokal kalender helt och hållet då man trycker "with Google" på baksidan är helt urbota, och bevisar hur mycket marknadsavdelning snackat med ingenjörsavdelningen.

Att man inte kan välja vilka grupper som ska synkas med adressboken är nästa puckobugg. Finns i Vaniljen. Bra att plocka bort features!
Bara några exempel....

Ovanpå det har vi de faktiskt prestandabuggar alla vet om.

Telefonen är ett buggigt as i bemärkelsen att allt inte är genomtänkt.

HTC verkar ligga en hel del före här, och Samsung bör nog rycka upp sig för att hänga med.

Och bara för att förekomma den stämning som brukar vara här på Samsungavdelningen på Swedroid (vilket är en intressant iaktagelse i sig), nej jag skriver inte det här som en personlig förolämpning för dej kära Samsung Galaxy S ägare, nej jag tänker inte byta telefon till något annat heller. Gillar jag min Galaxy? Ja absolut! Finns mindre buggiga androidtelefoner? Det kan du fethajja!

 

Yes, jag får ursäkta! Men som alltid det finns hundratals buggar och annat på denna telefon som skulle behöva en översyn och det tycker jag inte ska ses som "unika krav". Jag har än massvis med "eeh" i JM8, som jag inte hade min min förra Acer liquid som nästan körde vanilla.

 

Mycket bra skrivet hixx.

jag kan bara hålla med i ovan. Jag hoppas nu verkligen att den version av FroYo som Samsung väljer att släppa är genomtänkt.

 

Pazzo, du skriver att Samsung har fixat ovanstående. I vilken FW då?

 

I JPC/JPH är inte längre den lokala kalendern default för mig. Jag har den dold, kan ha med det att göra. Dom har dock inte tagit bort den helt eller gett möjligheten till det...

 

Jo det stämmer väl. Det känns som att det lätt blir så i en diskussion där man måste försvara sina åsikter.

Men jag tycker det är lite lågt att kalla det för nörddiskussion och töntdata med tanke på hur folk bråkar om fotboll. Det som är viktigt för mig är naturligtvis inte viktigt för alla andra.

 

Du diskuterar två typer av attacker. XSS attacker och luckor som get tillgång till systemet som surfar in på hemsidan.

Då det gäller XSS så det mycket vanligare med JS för att JS är text som tolkas direkt av webbläsaren. Du kan inte skiva in swf-bytecode i ett formulär och på så sätt utsätta sidan för en XSS-attack.
Förvisso blir det lättare att automatiskt granska texten får att se till att den inte innehåller skadlig kod, men har du en webbsida där du använder annonsörer du inte kan lita på så gör du även då attacken genomförbar p.g.a. bristande säkerhet.

Om det är en tredjepart som är ansvarig eller inte är självfallet irrelevant. Om du är noga med säkerhet skiter du ju i om det är webbläsaren som kommer med systemet som innehåller luckor, en webbläsare från tredjepart eller en plugin från tredjepart. Det är likförbannat säkerhetsluckor.
Det viktiga är hur säker produkten är, inte vem som kodat den.
Om du tror att det är säkert att surfa med JS aktivt på någon webbläsare, men tror att Flash är osäkert har du helt enkelt dålig koll.
Alla rekommendationer från säkerhetsföretag jag har sett säger klart och tydligt att du skall avaktivera JS samt alla plugins om möjligt.

Fin touch att du verkar sakna läskunnighet:

Du hänger upp dig på att det även kan anses vara ett "functional programming language" för att det har aspekter av funktionell programmering.
Det du missar är att "functional programming languages" är en klassificering av språk baserat på funktionalitet de erbjuder, oavsett som de egentligen är skriptspråk eller programmeringsspråk. Det gör inte att det måste vara ett faktiskt programmeringsspråk för att klassificeras som så.
Hursomhelst var det larvigt att försöka anmärka på att jag kallar JS för ett skriptspråk då det är en allmänt vedertagen klassificering, vilket både svenska och engelska wikipedia visar.

 

Ja, hela diskussionen är fånig vid det här laget, och du gör ju knappast saken bättre själv.