Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

Здравствуйте, quwy, Вы писали:

Q>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

Ты читал надпись на кнопке, которую нажимал?? Там написать "Принять соглашение и установить"

Здравствуйте, Jack128, Вы писали:

J>Здравствуйте, quwy, Вы писали:

Q>>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

J>Ты читал надпись на кнопке, которую нажимал?? Там написать "Принять соглашение и установить"

Вспомнилась серия из сауспарка про эппл и лицензионное соглашение

Здравствуйте, quwy, Вы писали:

Q>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

Внимание, наводящий вопрос: куда у тебя поставился Хром?
Когда ты получишь на него ответ, ты получишь и ответ на свой вопрос.

ЗЫ В Убунте Хром ставится и обновляется более стандартным для системы способом.

Здравствуйте, quwy, Вы писали:

Q>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

я хром пытался поставить из под двух прокси. и в обоих случаях он на определенном этапе установки сказал, что их не поддерживает. давать прямой доступ в тырнет было затруднительно, да и не стоило это того. отсюда вопрос -- какая в попу авторизация нужна хрому для того чтобы скачать программу?! у обоих прокси никакой авторизации вообще не было (доступ без пароля ко всему что только можно). короче, хром еще хуже чем ie. у ie по крайней мере можно было скачать архив по любому соединению, даже без браузера вообще по wget. и его установить. а тут...

Здравствуйте, quwy, Вы писали:

Q>у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

а если сделать все тоже самое, но не под админом, а под ограниченым юзером?

Здравствуйте, quwy, Вы писали:

Q>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?

http://superuser.com/questions/238357/how-does-google-chrome-installer-work

Здравствуйте, skeptic, Вы писали:

Q>>>Нужно было для отладочных целей установить Chrome на виртуалку с WinXP/IE6. Зашел через IE на www.google.com/chrome, нажал кнопку загрузки, согласился с лицензией и в этот же момент без каких-либо запросов, запустился инсталлятор, а после завершения установки, -- сам браузер. И это при том, что у меня ни разу никто не спросил согласия на запуск исполняемого кода. Сабж, или я чего-то не понимаю?
J>>Ты читал надпись на кнопке, которую нажимал?? Там написать "Принять соглашение и установить"
S>Вспомнилась серия из сауспарка про эппл и лицензионное соглашение
Вы придуриваетесь? То, что ссылка называется "install", еще не дает ей право без предупреждения запускать исполняемый код на моей машине.

ваш браузер не безопасен.
у меня в фаерфоксе спросил.

Здравствуйте, cvetkov, Вы писали:

C>ваш браузер не безопасен.
То что IE6 небезопасен, знает самое последнее гламурное кисо. Вопрос, почему "империя добра" не гнушается использовать уязвимости пусть и для одобренных юзером действий?

Здравствуйте, quwy, Вы писали:

C>>ваш браузер не безопасен.
Q>То что IE6 небезопасен, знает самое последнее гламурное кисо. Вопрос, почему "империя добра" не гнушается использовать уязвимости пусть и для одобренных юзером действий?
это не уязвимость, это легальная фича.
нужна она именно из-за существования гламурных кисо которым попытались облегчить жизнь.

Здравствуйте, cvetkov, Вы писали:

C>>>ваш браузер не безопасен.
Q>>То что IE6 небезопасен, знает самое последнее гламурное кисо. Вопрос, почему "империя добра" не гнушается использовать уязвимости пусть и для одобренных юзером действий?
C>это не уязвимость, это легальная фича.
C>нужна она именно из-за существования гламурных кисо которым попытались облегчить жизнь.

Пытались облегчить им жизнь, дав возможность установки троянов?

Здравствуйте, quwy, Вы писали:

Q>Вы придуриваетесь?

А вы пытаетесь проявить неуважение к собеседнику?

Q>То, что ссылка называется "install", еще не дает ей право без предупреждения запускать исполняемый код на моей машине.

Это пять баллов, честно. Во-первых, это не ссылка, а кнопка. Во-вторых ок, а какие права есть у этой кнопки в твоем понимании?

Здравствуйте, kochetkov.vladimir, Вы писали:

Q>>Вы придуриваетесь?
KV>А вы пытаетесь проявить неуважение к собеседнику?
Ой давайте не будем! Меня пытались оскорбить, я лишь ответил в том же стиле.

Q>>То, что ссылка называется "install", еще не дает ей право без предупреждения запускать исполняемый код на моей машине.
KV>Это пять баллов, честно. Во-первых, это не ссылка, а кнопка.
В окне браузера между ними никакой принципиальной разницы нет.

KV>Во-вторых ок, а какие права есть у этой кнопки в твоем понимании?
Затягивать и запускать без предупреждения exe-файлы на машине юзера. Это же очевидно!

Здравствуйте, quwy, Вы писали:

Q>>>То, что ссылка называется "install", еще не дает ей право без предупреждения запускать исполняемый код на моей машине.
KV>>Это пять баллов, честно. Во-первых, это не ссылка, а кнопка.
Q>В окне браузера между ними никакой принципиальной разницы нет.

Для кого нет разницы?

KV>>Во-вторых ок, а какие права есть у этой кнопки в твоем понимании?
Q>Затягивать и запускать без предупреждения exe-файлы на машине юзера. Это же очевидно!

Ок, я попробую переформулировать вопрос: какое поведение при нажатии на эту кнопку, ты считаешь более адекватным при условии, что кнопка называется "... и установить"?

Здравствуйте, kochetkov.vladimir, Вы писали:

Q>>>>То, что ссылка называется "install", еще не дает ей право без предупреждения запускать исполняемый код на моей машине.
KV>>>Это пять баллов, честно. Во-первых, это не ссылка, а кнопка.
Q>>В окне браузера между ними никакой принципиальной разницы нет.
KV>Для кого нет разницы?
Для пользователя, который кликает по ней.

KV>>>Во-вторых ок, а какие права есть у этой кнопки в твоем понимании?
Q>>Затягивать и запускать без предупреждения exe-файлы на машине юзера. Это же очевидно!
KV>Ок, я попробую переформулировать вопрос: какое поведение при нажатии на эту кнопку, ты считаешь более адекватным при условии, что кнопка называется "... и установить"?
Появление диалога загрузки файла или предупреждение "Вы действительно желаете запустить InstallTroyan.exe с этой страницы?"

Q>Для пользователя, который кликает по ней.

Пользователи все разные.
И кто-то запросто может хотеть именно такого поведения.

Q>Появление диалога загрузки файла или предупреждение "Вы действительно желаете запустить InstallTroyan.exe с этой страницы?"

Ты не прав изначально. Просто потому, что ты сейчас перечёркиваешь целый класс продуктов — Web-приложения. Вдумайся просто, в современном мире уже почти стёрлась грань между настольными приложениями, Web-приложениями, Web-сайтами и т.д. Раньше, году этак в 95-ом, можно было говорить в духе "как же так, это же обычный долбанный сайт, какого хрена он запускает у меня код, там эксплоит, я буду жаловаться...", а сегодня уже должно быть просто стыдно иметь подобное представление о программных продуктах. Сейчас это скорее нормально. Пользователь, который не IT-шник, не может и не хочет знать, что это вообще перед ним — сайт там, не сайт. Для него Web-броузер это вообще некое окошко с картинками, таблицами, ссылками и кнопочками. Почему его должно парить, где он нажимает кнопку "Установить" — в окно броузера или в диалоговом окошке .exe-программы?

Здравствуйте, x64, Вы писали:

Q>>Для пользователя, который кликает по ней.
x64>Пользователи все разные.
x64>И кто-то запросто может хотеть именно такого поведения.
Конечно, особенно тот, кто не отдает себе отчет о возможных последствиях.

Q>>Появление диалога загрузки файла или предупреждение "Вы действительно желаете запустить InstallTroyan.exe с этой страницы?"
x64>Ты не прав изначально. Просто потому, что ты сейчас перечёркиваешь целый класс продуктов — Web-приложения.
Web-приложения -- это программы, написанные на JS или AS, которые выполняются в песочнице браузера, я же говорю о совсем ином.

x64>Вдумайся просто, в современном мире уже почти стёрлась грань между настольными приложениями, Web-приложениями, Web-сайтами и т.д. Раньше, году этак в 95-ом, можно было говорить в духе "как же так, это же обычный долбанный сайт, какого хрена он запускает у меня код, там эксплоит, я буду жаловаться...", а сегодня уже должно быть просто стыдно иметь подобное представление о программных продуктах. Сейчас это скорее нормально.
Стыдно иметь представление о безопасности? То есть теперь любой клик любой кнопке/ссылке может запустить на компьютере все что угодно и вы мне говорите, что это нормально? Значит современный мир катится куда-то не туда.

x64>Пользователь, который не IT-шник, не может и не хочет знать, что это вообще перед ним — сайт там, не сайт. Для него Web-броузер это вообще некое окошко с картинками, таблицами, ссылками и кнопочками. Почему его должно парить, где он нажимает кнопку "Установить" — в окно броузера или в диалоговом окошке .exe-программы?
Может быть вы не поняли о чем речь? Я нажал кнопку/ссылку "установить" на web-странице, после чего без предупреждений на машину был закачан и запущен exe-файл. Вот как вы отнесетесь к тому, что кто-то даст интересный фрагмент текста и ссылку типа читать далее, клик по которой немедленно запустит то, что там лежит?

Q>Может быть вы не поняли о чем речь? Я нажал кнопку/ссылку "установить" на web-странице, после чего без предупреждений на машину был закачан и запущен exe-файл.

Да всё нормально, успокойся. Google использует технологию ClickOnce, которая, собственно, и была для того разработана, чтобы пользователь мог ставить/запускать приложения по ссылке с Web-страницы. При чём на данный момент только Internet Explorer и только с установленным .Net (версии 2.0 или выше) поддерживает эту технологию, а в Firefox или Opera ты получишь стандартный запрос на запуск/сохранение файла. Или попробуй, например, в Windows XP без SP, — получишь тот же запрос. Более того, даже этот ClickOnce выдаёт предупреждение типа запускать или нет, ну типа как с Java-плагинами. Если ты этого предупреждения не видел, значит просто в твоей системе что-то не то с настройками безопасности, или ещё что, не знаю.

Здравствуйте, pvirk, Вы писали:

P>Пытались облегчить им жизнь, дав возможность установки троянов?
Это вопрос уже к MS.

Здравствуйте, x64, Вы писали:

Q>>Может быть вы не поняли о чем речь? Я нажал кнопку/ссылку "установить" на web-странице, после чего без предупреждений на машину был закачан и запущен exe-файл.
x64>Да всё нормально, успокойся. Google использует технологию ClickOnce, которая, собственно, и была для того разработана, чтобы пользователь мог ставить/запускать приложения по ссылке с Web-страницы.
Это я понял, но что мешает по этой же технологии троянцев распространять? Там хоть подпись есть? Статья на вики слишком краткая, и, кстати, система на которой я это делал -- свежая установка.

И хорошо, что это только в IE, но вы же пытаетесь мне доказать, что это нормально, значит и в других браузерах хорошо, если было бы?

Подтверждаю. Идет скачивание и установка, сразу после нажатия кнопки. Хотя все политики безопасности вкл.

о кликОнсе на мсдне http://msdn.microsoft.com/ru-ru/vbasic/ms789088
Защита приложений ClickOnce http://msdn.microsoft.com/ru-RU/library/76e4d2xw.aspx

Сертификаты подписи кода
--------------------------------------------------------------------------------

Чтобы опубликовать приложение с использованием развертывания ClickOnce, необходимо подписать манифесты приложения и развертывания для приложения парой открытого и закрытого ключа. Средства для подписи манифеста доступны на странице Подпись в конструкторе проектов. Дополнительные сведения см. в разделе Страница "Подписывание" в конструкторе проектов. Можно также подписывать манифесты при помощи файла ключей во время процесса публикации в окне мастер публикации. Кроме того, приложение Пакет средств разработки программного обеспечения (SDK) для Windows содержит средство подписи файлов, SignTool.exe (программа подписывания), которое позволяет подписать манифест.

После подписи манифестов сведения об издателе, основанные на подписи Authenticode, показываются пользователю в диалоговом окне разрешений во время установки, чтобы пользователь мог убедиться, что приложение получено из надежного источника.

Дополнительные сведения о ClickOnce и сертификатах см. в разделе ClickOnce и технология Authenticode.

Q>Там хоть подпись есть?

Да, конечно.
Смотри английскую статью.

Q>Статья на вики слишком краткая, и, кстати, система на которой я это делал -- свежая установка.

Ну не знаю, я тоже на свежей проверял.
В смысле настройки безопасности я не менял.
Может у тебя сборка какая-нибудь вместо оригинального дистрибутива?

Q>...значит и в других браузерах хорошо, если было бы?

Да, почему нет?
И, кстати, для Firefox оно уже есть (плагин).
Если кому-то нужна безопасность, пусть включает это в настройках.

Здравствуйте, x64, Вы писали:

Q>>Там хоть подпись есть?
x64>Да, конечно.
x64>Смотри английскую статью.
Уже сказали, еще можно жить. Хотя это зависит от того, как это сертификат получается.

Q>>Статья на вики слишком краткая, и, кстати, система на которой я это делал -- свежая установка.
x64>Ну не знаю, я тоже на свежей проверял.
x64>В смысле настройки безопасности я не менял.
x64>Может у тебя сборка какая-нибудь вместо оригинального дистрибутива?
Самый обычный WinXP Pro, SP3. И установка чистая на 100% (виртуальный диск VMWare, сохраненный сразу после установки с копии лицензионного CD).

P>Подтверждаю. Идет скачивание и установка, сразу после нажатия кнопки.

Странно то, что ни на Windows XP с IE 6, ни на Windows 7 с IE 8 никакими настройками мне так и не удалось добиться того, чтобы установщик Google Chrome запустился без предупреждения. Как вы это делаете?

P>Хотя все политики безопасности вкл.

Это которые в свойствах Internet Explorer на вкладке "Безопасность"? Или есть ещё какие-то?