Notifikationer

Markér alle som læst Log ud

Slettet bruger

02. november 2007 - 13:04

Sikkerhed vedr. 'passive' filer i Ekstra Bladet screensaver

Hej eksperter.

Jeg har udviklet backend'en på Ekstra Bladets screensaver - http://ekstrabladet.dk/services/screensaver/article199565.ece

Virkemåde: Brugeren henter en installationsfil (viruschecket), hvis primære opgave blot er at linke til en SWF-fil på EB's server. Her hentes først en XML-opskrift på, hvilke vinduer der skal vises, deres positioner samt feeds, farver etc.
De enkelte Flash-moduler loades herefter og sørger så for at hente nyhederne fra disse feeds ind og vise dem på skærmen.

Imidlertid har EB fået nedenstående henvendelse fra en bruger:

"Hej webmaster,
Nedenstående formulering er helt klart forkert og bør rettes. At man ikke overfører aktivt indhold er på ingen måde garanti for at programmet ikke har sikkerhedshuller i, der muliggør at 3. part kan downloade virus til computeren. Der er typisk tale om buffer overflows i fortolkeren (i dette tilfælde screensaveren), der muliggør at man kan bruge den til at komme ind på maskinen. Problemet er specielt stort, da screensavers altid kører med administrator privilegier på Windows, hvilket giver ubegrænsede rettigheder til at installere programmer og på anden måde lave rod i systemet.
Det er naturligvis op til den enkelte softwareproducent at stå inde for sit produkt, men ingen kan udstede en garanti som den I giver her. Det er ikke fair over for ikke-computervidende folk at love dem noget, som ingen kan garantere. Derudover udsætter I formentlig jer selv for mulige retssager ved tab af data hvis I beholder formuleringen som den er.
Med venlig hilsen,
...

Ekstra Bladets FAQ:
Er der risiko for, at overførelse af virus, når man synkroniserer nyheder til screensaveren?
Det er generelt udelukket, fordi der kun overføres tekstfiler i XML-format, som screensaveren så fortolker.
Der bliver ikke overført aktivt web-indhold som ActiveX-elementer, flash eller andre eksekverbare filer."

Jeg kan ikke helt afgøre, hvorvidt brugeren har ret - der står jo ikke at programmet ikke har sikkerhedshuller (ScreenTime-klientdelen, Flash-plugin'et eller den actionscript-kode jeg har lavet). Der står - som det ses - at "det generelt er udelukket, idet der kun overføres tekstfiler i XML-format"... og billeder :-)

Kan I hjælpe?

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed	4	13/11/202515:09	14/11/202510:45
Google fake Af johp i Andet sikkerhed	3	27/10/202516:31	28/10/202506:52
Generator til strømafbrydelse Af arnepedersen i Andet sikkerhed	11	06/10/202510:26	07/10/202516:37
Sophus Scan og Clean på USB- samler den "snavs" op? Af Uvanga i Andet sikkerhed	7	24/09/202522:06	25/09/202518:27
synology surveillance Af johnnylassen i Andet sikkerhed	2	09/06/202514:49	09/06/202518:18

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS