Здравствуйте, Niemand, Вы писали:
N>Здравствуйте, 0K, Вы писали:
0K>>DOCX -- нужна платная лицензия, т.к. OpenOffice отображает не всегда корректно. N>более того, в некоторых случаях ворд 2007 и 2010 по разному документы отображают
0K>>RTF -- ? N>в старых версиях квипа именно через обработку rtf удаленно этот же квип вешался, потому мимо.
N>из вариантов — N>tiff (правда с копипастой проблемы будут),
в tiffe было много дыр. ищем tiff exploit в гуле и находим.
N>djvu — почти ничего о нем не знаю, просто вспомнилось
гуглим djvu exploit. находим. делаем выводы.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[3]: Существует ли безопасный формат для документов?
Здравствуйте, anonim12345, Вы писали:
A>.txt, куда уж безопасней. Или снижайте градус паранойи своих клиентов.
я тоже столкнулся, что документы в pdf многие не хотят открывать. посылаешь человеку свой собственный pdf (типа доклад, отчет какой-нидь), а в ответ получаешь маты -- що за фигня? давай шли обычным текстом!
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[2]: Существует ли безопасный формат для документов?
Здравствуйте, Sinix, Вы писали:
S>Здравствуйте, 0K, Вы писали:
0K>>Такой вопрос. Ранее для документов использовал PDF, т.к. он кросс-системный + считалось что он достаточно безопасный (не может содержать вирусов). Теперь PDF потерял свои преимущества и люди опасаются его открывать. S>Не удивлюсь, если в следующем акробат-ридере будет sandbox mode с отключенным всем, чем только можно.
уже. http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html
только он не сильно помогает.
> Если же люди регулярно сталкиваются с такими проблемами — либо использовать альтернативные pdf-просмотрщики, либо переходить на PDF/A
есть сплоиты и для FoxIt. а недавно нашли баг в антивирусном (!) pdf парсере, позволяющим передавать управление на хакерский код. вот такой интересный pdf. его не только опасно открывать, но и даже и антивирусом проверять небезопасно
0K>>А чем же его заменить? S>XPS. Неуязвим, как неуловимый Джо
чем смотреть? или вместе с файлом распростанять инструкцию как его просматривать?
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[2]: Существует ли безопасный формат для документов?
Здравствуйте, Privalov, Вы писали:
P>Здравствуйте, 0K, Вы писали:
P>А еще можно bmp или jpeg. Мне так мылом обычные письма пересылали: сфоткали и тут же отправили. Быстро и удобно.
навскидку. ошибки переполнения в IE и фотожопе на bmp (кстати, у гимпа под линью тоже есть эксплуатироемое переполнение в bmp), ну а в jpg дыр столько, что я даже не помню их...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[2]: Существует ли безопасный формат для документов?
Здравствуйте, fk0, Вы писали:
fk0>Здравствуйте, 0K, Вы писали:
fk0> Чушь. Там возможен javascript, но есть просмотрщики его не поддерживающие.
js один из векторов атаки. как на счет дыры в zlib?
fk0> Заменить: DJVU, HTML (тоже javascript и ещё страшнее!, но опять же зависит от ПО), наконец уж безопасней некуда: TXT для текста, TIFF для текста с графикой.
tiff тоже небезопасный и многостраничный документ в нем ну никак не юзабелен для просмотра без спец-по.
0K>>PDF -- не подходит, слишком опасный. Его побояться даже открывать (а некоторые принципиально не используют). fk0> С таким же успехом можно бояться русскую букву "A"...
вы зря иронизируете. посмотрите сколько дыр в pdf и сколько малвари дропается таким образом. причем, дыры в pdf обнаруживаются регулярно. буквально каждый сезон по мега-багу, не считая мелких брызг
0K>>RTF -- ? fk0> Кстати хороший вариант.
думаете безопасный?
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[2]: Существует ли безопасный формат для документов?
Здравствуйте, I am OK, Вы писали:
IAO>Убрать галку с
IAO>Enable Acrobat JavaScript IAO>и IAO>Allow opening of non-pdf file attachments with external applications IAO>не пробовали?
малтимедию кто отключать будет? про флеш забыли-то!!!
хотя атаковать можно и без js и без as. например, через уже упомнятую мной дыру в zlib.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[3]: Существует ли безопасный формат для документов?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, 0K, Вы писали:
0K>>PDF -- не подходит, слишком опасный. Его побояться даже открывать (а некоторые принципиально не используют). KV>Ну так пусть те, кто боятся, открывают его в http://docs.google.com/viewer и не морочат разработикам голову
хороший ответ, но... это не выход. если вам нужно, чтобы ваш документ открыл привередливый юзер, нужно подстаиваться под него, а не стоить его под себя. вроде ж очевидно
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[3]: Существует ли безопасный формат для документов?
Здравствуйте, мыщъх, Вы писали:
М>есть сплоиты и для FoxIt. а недавно нашли баг в антивирусном (!) pdf парсере, позволяющим передавать управление на хакерский код. вот такой интересный pdf. его не только опасно открывать, но и даже и антивирусом проверять небезопасно
Есть ещё неуловимый джо ака stdu viewer. Но, боюсь, ненадолго. Слишком удобный, зараза
S>>XPS. Неуязвим, как неуловимый Джо М>чем смотреть? или вместе с файлом распростанять инструкцию как его просматривать?
Второе
В KDE'шном okukar'е поддержка в теории есть. А вот под mac продавали всего-то за $300.
Re[4]: Существует ли безопасный формат для документов?
Здравствуйте, nullptr_t, Вы писали:
_>Здравствуйте, мыщъх, Вы писали:
М>>хотя атаковать можно и без js и без as. например, через уже упомнятую мной дыру в zlib. _>она не закрыта в 1.2.5?
она закрыта. достаточно обновить акробат. но это лишь демонстрация того, что дыры есть не только там где жаба-скрипт и отключение скриптов лишь уменьшает вероятность атаки, но не делает ее невозможной. а если брать альтернативные просмотрщики pdf, то о них вообще нельзя сказать с уверенностью -- обновили ли девелоперы zlib у себя или все еще юзают багистную версию.
сам сталиквался, что дыры в библиотеках для mpeg были закрыты девелоперами библиотек годы назад, но даже в последних кодек-паках куча эксплуатируемых кодеков. потому как девелоперы кодеков забили на безопасность и потому качая последний кодек-пак можно очень круто залететь. единственное решение которое я тут вижу -- скачивать кодек в сорцах и самому его собирать. но 99% пользователей этого делать не будут, особенно под виндой.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[5]: Существует ли безопасный формат для документов?
Здравствуйте, Alexey931, Вы писали:
0K>>Такой вопрос. Ранее для документов использовал PDF, т.к. он кросс-системный + считалось что он достаточно безопасный (не может содержать вирусов). Теперь PDF потерял свои преимущества и люди опасаются его открывать. А чем же его заменить?
A>Про .tex никто не вспомнил? И кросплатформенный, и тупо одинаковый
Ну ты попал. Щас по тебе пройдутся.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[5]: Существует ли безопасный формат для документов?
М>сам сталиквался, что дыры в библиотеках для mpeg были закрыты девелоперами библиотек годы назад, но даже в последних кодек-паках куча эксплуатируемых кодеков. потому как девелоперы кодеков забили на безопасность и потому качая последний кодек-пак можно очень круто залететь. единственное решение которое я тут вижу -- скачивать кодек в сорцах и самому его собирать. но 99% пользователей этого делать не будут, особенно под виндой.
Интересно, а почему атаки на кодеки не так популярны, как на пдф?
Re: Существует ли безопасный формат для документов?
Здравствуйте, мыщъх, Вы писали:
М>навскидку. ошибки переполнения в IE и фотожопе на bmp (кстати, у гимпа под линью тоже есть эксплуатироемое переполнение в bmp), ну а в jpg дыр столько, что я даже не помню их...
Тогда я могу спать спокойно. Нету у меня ни фотошопа, ни гимпа. IE практически не запускаю, только с одного компа, на котором злые дядьки-админы права порезали.
Есть, правда, один вариант. Можно под видом jpg прислать линк на exe, с какого-нибудь доверенного източника. Я один раз получил с аккаунта моего друга, когда у него угнали аську. Но вреда он нанести не успел: во-первых, ему прав не хватило, а во-вторых, я его в течение четверти часа убрал. Он, помню, в hosts ломился, пытался одноклассников куда-то перенаправить. Так и на одноклассники я не хожу, нечего там делать.
Re[4]: Существует ли безопасный формат для документов?
Здравствуйте, Privalov, Вы писали:
P>Здравствуйте, мыщъх, Вы писали:
P>Тогда я могу спать спокойно. Нету у меня ни фотошопа, ни гимпа. IE практически не запускаю, только с одного компа, на котором злые дядьки-админы права порезали.
применительно в bmp -- возможно. а в общем случае -- даже под линухом уже не так безопасно как хотелось бы, а под виндой -- очень и очень небезопасно. жабу-то хоть обновили? вот у меня она закинула себя в планировщик и говорила, что обновляется, но как выяснилось -- ни фига подобного и меня в один момент отымели. пришлось обновлять руками.
P>Есть, правда, один вариант. Можно под видом jpg прислать линк на exe, с какого-нибудь доверенного източника. Я один раз получил с аккаунта моего друга, когда у него угнали аську. Но вреда он нанести не успел: во-первых, ему прав не хватило, а во-вторых, я его в течение четверти часа убрал. Он, помню, в hosts ломился, пытался одноклассников куда-то перенаправить. Так и на одноклассники я не хожу, нечего там делать.
к сожалению дыры сейчас везде. даже мелькали сообщения за дыры в рысе и линксе (консольные браузеры), после которых я вообще разуверился в жизни. врочем, представить что кто-то будет атаковать консольный браузер... но сама возможность атаки...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re: Существует ли безопасный формат для документов?
Здравствуйте, мыщъх, Вы писали:
М>применительно в bmp -- возможно.
Применительно к bmp — возможно что?
М>а в общем случае -- даже под линухом уже не так безопасно как хотелось бы, а под виндой -- очень и очень небезопасно.
Я себе на Винде прав маленько убрал, какая-то иллюзия безопасности есть.
М>жабу-то хоть обновили? вот у меня она закинула себя в планировщик и говорила, что обновляется, но как выяснилось -- ни фига подобного и меня в один момент отымели. пришлось обновлять руками.
Жаба, похоже, последняя. У Оракула проверял.
М>к сожалению дыры сейчас везде. даже мелькали сообщения за дыры в рысе и линксе (консольные браузеры), после которых я вообще разуверился в жизни. врочем, представить что кто-то будет атаковать консольный браузер... но сама возможность атаки...
Да, слыхал... Пока спасаюсь некоторым ограничением прав, файрволл чего-то рубит, антивирус иногда ругается, в основном, autorun не дает с флэшек, ну и логи время от времени смотрю. Хотя в Винде без админских прав иногда бывает жутко неудобно.
Re: Существует ли безопасный формат для документов?
Здравствуйте, 0K, Вы писали:
0K>Какой формат подходит для этого?
Понятно, что если имеем дело с конкретным пользователем (организацией), то нужно делать в том формате, который они считают для себя приемлемым.
Если пользователей много, и об их предпочтениях ничего заранее не известно, то имеет смысл сделать исходное описание в нескольких форматах — PDF, XPS, DOC/DOCX, HTML и т.п. — пусть выбирают, что им нравится.
И, конечно, имеет смысл подумать о цифровой подписи для документов.
Re: Существует ли безопасный формат для документов?
.jpg)
