On Sun, 9 Jan 2005 03:54:23 -0300, Igor wrote: > [...] > Quando o mouse esta sobre o arquivo a ser recebido na status bar > aparece o nome do arquivo, ate onde eh possivel seguindo-se de 3 > pontos.
Nem sempre. O "link" pode ser em Javascript. > [...] > E na caixa de download aparece o nome do arquivo, sem qualquer outra > informacao neste caso: > > ooohhhhh.raw No Firefox 0.9.3 e 1.0, não. Ele mostra o início do nome do servidor. Se for longo, um usuário pode ser confundido. Por exemplo: http://citibank-software-server.latest-netbank-version20.c... O Mozilla 1.7.3 mostra diferente, acrescentando um pedaço do final do nome do servidor. Um pouco de refinamento artístico (e os meninos maus são bons nisso) pode tornar o nome bem convincente. > > Isto por acaso eh uma vulnerabilidade? Eh uma falha? Ou um bug? Uma vulnerabilidade leve, como classificou a Secunia. > [...] > E claro q isso nao eh uma vulnerabilidade pq o software nao abre > automaticamente qq arquivo, e qq um que abra um arquivo vindo da > internet sem antes analisa-lo (principalmente em ambiente windows), > nao pode ser ajudado por nenhum sistema de seguranca de dados ja > criado na humanidade. É possível diminuir a possibilidade de engano, sem comprometer a funcionalidade do programa. A parte final do nome do servidor deveria ser mostrada, e a caixa de diálogo deveria conter um aviso de que o nome inteiro não cabe na janela. > > E para voce saber, sim eu procurei antes na internet e vi que eh o > tipo de empresa que gosta de falar que eh a tal com seguranca > afirmando o obvio. Do tipo, ha uma falha de seguranca no ubuntu que > permite que usuarios com acesso local a maquina possam desliga-la > clicando no botao (DESLIGAR), se voces acham isso piada, eu ja vi > diversos security advisories de empresas deste tipo com um topico bem > proximo a este. Referências? -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
