"Andrzej Lawa" <a...@l...SPAM_PRECZ.com> wrote in message
news:cndm8u$i1j$1@news2.ipartners.pl...
> Powiedzmy: nieścisłości. Pliki graficzne powinny być odczytywane i
> wyświetlane - żaden zewnętrzny kod nie ma prawa zostać uruchomiony.

I tak powinno byc, ale zycie pokazuje co innego :)

> Natomiast 'geniusze' z mikrosyfa dopuścili do sytuacji, w której plik mógł
> zostać pobrany jako jpeg (na podstawie rozszerzenia), a potem uruchomiony
> jako program (po rozpoznaniu po nagłówku, że to program).
> Non stop przychodzą mi na adres-podpuchę listy z załącznikami udającymi
> coś innego, niż są.

Podpuchy to co innego. Tutaj raczej chodzi o to, ze przegladajac "zlosliwa"
strone WWW, pobiera sie "normalnie" grafike. Jak taki JPG bedzie odpowiednio
spreparowany (dopuszczam, ze nawet sie wyswietli to co powinno) to dojdzie
do przekroczenia pamieci dla niego alokowanej (wg. tego co sie wydawalo
programistom, ze tak ma byc). Nadpisany moze zostac adres zwrotny funkcji
przetwarzajacej, poprzez przepelnienie lokalnej wartosci. "Wstrzykuje" sie
wlasny kod, co robi co sie chce i przodem. Z grubsza i w teorii, bo sie tym
nigdy praktycznie nie zajmowalem.

>> znacznikiem wykladalo sie IE, wiec kto wie co w srodku siedzi ;)))
>
> Parę razy specjalnie wchodziłem na strony, na których był taki kod
> 'wywalający'. Dla sprawdzenia. I żopa - nic mi się nie wywaliło ani nie
> zainstalowało.

Widac, ze od dawna zdajesz sobie sprawe z zagrozen :)
BTW: najnowsze certyfikowane przez MS stery NVIDII
powoduja bluescreena na XP'ku (!), podczas gdy poprzednie w tej samej
sytuacji dzialaja poprawnie :)
BTW2: raport za zeszly rok pokazywal, ze dziur w Windzie i Linuxie
znaleziono podobna ilosc (ponad 100), przy czym w Linuxie nie na
wszystkie bylo lekarstwo (a kod jest otwarty ;) Niestety nie moglem sie
go na szybko doszukac.
BTW3: taka bezpieczna i przemyslana Mozilla tez zaczyna przepuszczac.
(przepelnienie bufora w Winampie pomine :)

WNIOSKI: w kazdym gospodarstwie domowym musi byc przynajmniej
po jednym informatyku i prawniku, by nie dac sie dymac :)

> Nie potrzebuję samochodu (mieszkam w Warszawie).

Fakt :)

>> Ale jakby Ci go ukradli to czulbys sie jak idiota i wiedzial, ze jestes
>> idiota?
>
> Gdybym zostawił go bez zabezpieczeń? Oczywiście.

W kontekscie pierwszych postow, wynika, ze nawet z zabezpieczneniami.

> Cóż - nikt nie jest nieomylny. Gdyby mi się coś takiego przytrafiło (tj.
> zaniedbanie podstawowych zasad bezpieczeństwa) - złożyłbym daleko idącą
> samokrytykę ;)

Mnie sie tylko o to rozchodzi, ze uzytkownik nie wiadomo jak swiadomy
moze czuc sie zagrozonym ze strony ludzi kierujacymi sie nieetycznymi
pobudkami ;)
a majacymi wyspecjalizowana wiedze i ogromna motywacje, by jednak
jakies obejscie znalezc. A TPSA tylko zaciera rece :)

> Idź na przystanek i popatrz na tych ludzi tępo wgapiających się w napis
> głoszący, że otworzenie drzwi wymaga naciśnięcia przycisku. A MZA całą
> kampanię 'ciepłych przycisków' na przystankach porozlepiała.

Tak to wlasnie jest. Czasem chyba ktos musi zadbac o ich interesy, tak
dla dobra ogolu. Zwlaszcza ze swiat nieublagalnie pedzi do przodu i nie
ma za bardzo mozliwosci bycia w pelni swiadomy we wszystkich dziedzinach
zycia.

> W sumie mi to wisi - i tak sobie zablokowałem. Na wypadek 'wpięcia'.

Jak beda chcieli to i tak Ci sie wepna, zwlaszcza jak masz analogowa linie
:)

Pozdrawiam,
Rymasz