ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkבעית אבטחה במוזילה: יומן ארועים חי (עודכן:4/8)

published at 27/07/2004 - 20:03 · ‏פורסם דוביקס · ‏tags מוזילה · שלח לחברידידותי למדפסת
מוזילה היומן נסגר לאחר שחרור גרסאות חדשות הכוללות את התיקון לקהל הרחב.

ניתן ללחוץ על הקישור הזה כדי לצפות בבאג בפעולה, לפני התקנת הגרסאות החדשות. שימו לב לסימן המנעול שמופיע, למרות שהאתר אינו מאובטח.

הידיעה נועדה הן לספק מידע ורקע אודות הבעיה והן לאפשר הצצה אל מאחורי הקלעים של פיתוח תוכנה קהילתית. הכניסות ביומן ממויינות מהסוף להתחלה (סדר כרונולוגי הפוך).


יום רביעי, ה 4 באוגוסט

שוחררו גרסאות חדשות של המוצרים ממשפחת מוזילה לקהל הרחב.

ידיעה בנושא:

עדכונים: מוזילה 1.7.2, פיירפוקס 0.9.3 ות'אנדרבירד 0.7.3

יום חמישי, ה 29 ביולי, 6:30 בבוקר לפי שעון ישראל

התיקון זמין בשלב זה ב daily builds. גרסאות אלו נבנות מדי לילה וכוללות את כל התיקונים ששולבו ב cvs. לתשומת לבכם, מדובר בגרסאות שלא מיועדות לקהל הרחב. ניסיתי את הגרסה הלילית של פיירפוקס והיא מתפקדת היטב ללא תקלות עד כה. לחיצה על הקישור הזה לא מציגה את סמל המנעול השגוי כמקודם.

את הגרסאות הליליות ניתן להוריד מדף הבית למפתחים. את הגרסה הלילית של פיירפוקס ניתן להוריד ישירות מכאן.

יום רביעי, ה 28 ביולי, 8:31 בבוקר לפי שעון ישראל

בוצע תיקון נוסף בעקבות הצעה של מפתח נוסף שבדק את הקוד. הדיווח על הבאג ותיקונו פורסם גם באתר MozillaZine המציין שגרסאות בינאריות לקהל הרחב עדיין לא זמינות בשלב זה.

יום רביעי, ה 28 ביולי, 3:28 לפנות בוקר לפי שעון ישראל

הקוד שולב בcvs בעצים שונים.

יום רביעי, ה 28 ביולי, 3:21 לפנות בוקר לפי שעון ישראל

שוחררה גרסה שלישית וסופית של קוד התיקון, כולל הסברים בקוד לגבי מהות התיקון.

יום שלישי, ה 27 ביולי, 23:47 בלילה לפי שעון ישראל

אחרי דיון בין מפתחים שונים ושיפורים בקוד, שוחררה גרסת קוד שניה לתיקון.

יום שלישי, ה 27 ביולי, 3:39 לפנות בוקר לפי שעון ישראל

המפתח שמטפל בבעיה שלח קוד האמור לפתור אותה, והוא נמצא כרגע בשלבי בדיקה. הקוד זמין לצפיה כאן (הקוד אינו שימושי בשלב זה לקהל הרחב אלא רק לקהילת הפיתוח של מוזילה).

יום שלישי, ה 27 ביולי, 1:32 לפנות בוקר לפי שעון ישראל

אחד המפתחים,Johnny Stenback מודיע שהוא לוקח את הבאג לטיפולו

יום שני, ה 26 ביולי, 20:22 בערב לפי שעון ישראל

נפתחה קריאה בבאגזילה של פרוייקט מוזילה. הדיווח מבוסס על דיווח באתר rehpic שמועד פרסומו לא ידוע.

lock icon and certificates spoofable with onunload document.write


יום שני, ה 26 ביולי, 5:04 בבוקר לפי שעון ישראל

דיווח לרשימת התפוצה full-disclosure על קוד זדוני שמאפשר לזייף את סמל המנעול באתר שאינו מאובטח ולזייף תעודת אימות. הדיווח כולל הסבר מפורט ודוגמאת קוד המאפשרת שחזור של הבעיה.

Mozilla Firefox Certificate Spoofing

קישורים נוספים:

ווטסאפ, יומן ארועים: הצצה מקרוב לאחורי הקלעים של שחרור טלאי האבטחה למוזילה,
ווטסאפ, מר גייטס, מר באלמר, מהו מודל הפיתוח הטוב יותר?
 

קישורים רלוונטיים

בעית אבטחה במוזילה: יומן ארועים חי (עודכן:4/8) | כניסה / יצירת מנוי חדש | 9 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: בעית אבטחה במוזילה: יומן ארועים חי (עודכן: 20:30) (ניקוד: 0)
ע"י פינגווין אנונימי ב 27/07/2004 - 20:33
אז איך אני מתקין את הטלאי הזה?

[ השב לזאת ]

Re: בעית אבטחה במוזילה: יומן ארועים חי (עודכן: 20:30)(ניקוד: 1)
ע"י דוביקס ב 27/07/2004 - 20:34
(מידע על משתמש | שלח הודעה) http://http://
הוא לא מיועד להתקנה, אלא אם אתה מקמפל את הדפדפן בעצמך. צר לי על אי ההבנה ואני אבהיר את הנקודה בטקסט.

[ השב לזאת ]

אני משתמש בפיירפוקס (ניקוד: 1)
ע"י baba007 ב 27/07/2004 - 20:44

(מידע על משתמש | שלח הודעה) http://http://
אני משתמש בפיירפוקס וכשאני נכנס ל
http://bugzilla.mozilla.org/attachment.cgi?id=154374&action=view
אני לא רואה מנעול למה?

[ השב לזאת ]

Re: אני משתמש בפיירפוקס(ניקוד: 1)
ע"י דוביקס ב 27/07/2004 - 20:50
(מידע על משתמש | שלח הודעה) http://http://
איזו גרסה?

האם אתה לא רואה מנעול צהוב בצד שמאל למטה?

מה אתה רואה ב Tools -> Page info -> Security ?

[ השב לזאת ]

Re: בעית אבטחה במוזילה: יומן ארועים חי (עודכן: 20:30) (ניקוד: 0)
ע"י פינגווין אנונימי ב 27/07/2004 - 20:45
אפשר לדווח גם בלי להפוך את זה לכנס התעוררות, אתה יודע איך זה מתעייפים בסוף. מה גם שיש סתירה קלה בהנחת היסוד שלך. לקוד הפתוח אין "מאחרי הקלעים". הקוד פתוח, זוכר?

[ השב לזאת ]

Re: בעית אבטחה במוזילה: יומן ארועים חי (עודכן: 20:30)(ניקוד: 1)
ע"י דוביקס ב 27/07/2004 - 20:48
(מידע על משתמש | שלח הודעה) http://http://
יש לך מונח טוב יותר ל"מאחורי הקלעים" כשמדובר במשהו שגלוי לכל? אני פתוח להצעות ;)


[ השב לזאת ]

אז כמה זמן זה לוקח? (ניקוד: 1)
ע"י ladypine ב 27/07/2004 - 23:23

(מידע על משתמש | שלח הודעה) http://vipe.technion.ac.il/~ladypine/
לדעתי אופן ההצגה הזה מאפשר לראות באופן קל וברור בדיוק כמה זמן לוקח לטפל בבאג אבטחה בתוכנה חופשית.

לא כל אחד מבקר בכל האתרים ובודק את השעות שלהם, ולא כל אחד זוכר שבדיוק לפני חמש עשרה שעות התפרסמה לראשונה הידיעה על הבאג.

ניתן לומר שהמידע הזה מוסתר by obsecurity, כי צריך לדעת היכן לחפש כדי למצוא אותו.
לכן, לדעתי, מוצדק השימוש במושג "מאחורי הקלעים".

דיווח יפהפה.

[ השב לזאת ]

הצעה לשיפור ההודעה (ניקוד: 1)
ע"י bombadil ב 28/07/2004 - 23:04

(מידע על משתמש | שלח הודעה) http://
הכל טוב ויפה, אבל מעניין לראות את השמן שעבר מאז הדיווח הראשוני ועד לזמן של כל נקודה בדיווח.
אני מתכוון לפורמט "יום שני, 26 ביולי, 5:04, ש0+", "יום שני, 26 ביולי, 20:22, ש15:17+" וכו'.

[ השב לזאת ]

Re: בעית אבטחה במוזילה: יומן ארועים חי (עודכן:29/7) (ניקוד: 1)
ע"י מתכנת ב 04/08/2004 - 01:35

(מידע על משתמש | שלח הודעה) http://http://
בדקתי את הבעיה גם באקפלורר היה קימת גם שמה.

[ השב לזאת ]