Irresponsabilidade!: E ao que parece a correção só vai sair na próxima atualização, em cerca de 2 meses. Não é nenhum espanto que se descubram falhas. O espanto é a forma como esses fatos sao noticiados, em geral para se causar um grande impacto negativo. E nessa ânsia às vezes a informação correta não é preservada: A Folha já admitiu em errata que essa falha não permite ataques DDoS. (http://www1.folha.uol.com.br/folha/informatica/ult124u19376.shtml) E a própria Mozilla já comunicou que a falha não é tão grave, basta limpar o histórico (http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=6A3EF91A-5194-46A6-91FA-948591D756DF&ChannelID=21080105)

E AGORA, JOSÉ?

Erro no artigo..: A falha não permite DDoS. Ela só trava o navegador.

Correção da folha:
http://www1.folha.uol.com.br/folha/informatica/ult124u19376.shtml

Pelo visto o maior inimigo da: Pelo visto o maior inimigo da fundação Mozilla não é o vício decorrente da massificação do Internet Explorer, mas sim essa safra de jornalistas e pseudo-especialistas em segurança, que na ânsia da auto-promoção precipitam-se, divulgando notícias espalhafatosas e boatos.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Por isso que eu falo: use lin: Por isso que eu falo: use linux!!! Por que será que essa falha é apenas no windows??

Não é não...: Essa falha ocorre no linux tb, é só testar...
Abra a seguinte página em seu firefox:
http://www.opens.com.br/~samoied/firefox.html

Más nada de pánico, ele só trava o seu firefox, depois de vc fecha-lo e abri-lo
novamente. Isto ocorre, pois ele trava ao verificar um documento com aquele títu
lo gigante no histórico...
Para resolver, delete o history.dat.

Não travou: Estou em um SLES 9, firefox 1.5 abri a pagina e o titulo encheu de A.. e não travou.
Muito alarde para algo que é simples e comum, não é o fim do mundo.
Mesmo se meu browser travasse, eu desabilitaria o history e esperaria a correção. Não tem grilo nisso.

No MAC OSX só ficou lento: Estou num Power G5, com MAC OSX 10.4.3, firefox 1.5, tudo no último.

entrei na página e cliquei. O title ficou cheio de A, o firefox deu uma enganchadinha e... mais nada.

Fechei a aba e continuei numa boa :)

Não travou: Aqui também não travou e estou usando 1.5 no trabalho (Win XP Pro com SP2).

Aqui também no GNU/Linux nã: Aqui também no GNU/Linux não travou, embora o Firefox tenha parado por alguns poucos segundos processando o título gigantesco. Fechei o navegador e então o reabri. Normalmente.

Tentei com o Opera e Mozilla, ambos também pararam por alguns segundos para processar o título.

Agora, seria interessante impor um limite no tamanho do título, e isto é válido para os outros navegadores (ao menos Opera e Mozilla). Na função javascript (do link) é gerado um título com 2505000 caracteres, mas se isto for ainda maior pode ser de fato um sério problema --o browser pode virtualmente estagnar-se.

--
Firefox: 1.4.99+1.5rc3.dfsg-1
Mozilla: 1.7.12-1
Opera: 8.50-20050916.1

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Como sei que o Sr. Nemesis lo: Como sei que o Sr. Nemesis logo irá inflamar está noticia, vou colar a petição do post anterior:

---
Pessoal, sempre leio os comentários do Sr. Nemesis, e vejo que o mesmo sempre procura promover brigas e "bate-boca" desnecessários.
Então o que acham de lançarmos uma campanha:

" Ignore os comentários do nemesis "

Eu acho que se fizermos isto estaremos contribuindo para uma leitura mais saudavél deste grandioso portal.
Nós somos os maiores culpados por ele ter se tornado o maior troll do br-linux, ultrapassando até as marcas do antigo "Critico Linux" (talvez sejam o mesmo".

Por Favor vamos iniciar está campanha.

[s]

Cismou: Ih, alá! Além de troll é spammer!

bom galera tenho um problema: bom galera tenho um problema com o firefox, tinha a versão 1.0.7 instalada lotada de extensões, desinstalei o firefox 1.0.7 e instalei o 1.5, no entanto ele não desinstala as antigas extensões nem a pau. alguem passou por isso? um outro bug o firefox? não é o lugar de postar isto aki mas...

t+

tb não travou.: Aqui comigo tb não travou, só ficou mais lento,uso Firefox 1.0.4 no debian-Br-CDD (debian Sarge).

Ciúmes patola? : Ciúmes patola?

eu sempre soube que este nome "patola" era muito gay eehehhe.

Deve estar patolando o nemesias

na verdade: como eu já disse anteriormente, somos todos o brain sob múltiplas personalidades, Sr. Enrico, ou melhor, Augusto, ou melhor, eu... :)

;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")

Eu não vou participar de nad: Eu não vou participar de nada e vou responder a este verme.

Se você possuir disturbio de personalidade é melhor se tratar ...

Deixa de ser infeliz, ninguêm têm culpa se o teu pai te molestava quando era criança.

Isso é só para assustar: Notícias como estas servem apenas para assustar usuários que estão migrando agora para o Firefox...
Nessa hora ninguém se lembra das tantas falhas de segurança que já foram e que são encontradas aos montes, tanto no IE, quanto no Windows...
Se não me engano existe uma falha no IE já faz uns 3 meses e até hj não foi corrigida (Se estiver enganado, fiquem a vontade para me corrigir), e é uma falha considerada Grave...

humor: gente perturbada geralmente não tem um pingo de senso de humor... :)

;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")

Nemesis e uma extensao do pat: Nemesis e uma extensao do patola
ou vice-versa ??

ambos nunca estao satisfeito com a linguagem x
so a linguagem y que presta
porem creio que nao dominam nem y/10

isso nao funciona somente pra linguagens, distros tbm e a mesma conversa
dentre outras coisas.
[]s

impossível!: eu gosto de python, ele de java.

mas, claro, não posso ser responsável pelos atos de minhas outras personalidades... ;)

;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")

Tem que reiniciar o browser: Aqui travou no Winme (1.0.7) e no Linux (1.5). O history.dat ficou com uns 10mb, excluir o arquivo resolveu o problema.

A falha existe e, se não é grave, é chata. Não adianta xingar a Folha NESTE caso.

Ehhh ....: Não.

_______________________________________________________________

"Só sei que nada sei" Sócrates

"O Homem está condenado a ser livre" Jean Paul Sartre

> A falha existe e, se não: > A falha existe e, se não é grave, é chata. Não adianta xingar a Folha NESTE caso.

O quê? A Folha consertou a notícia, veja que originalmente ela previa que *além* da possível travada, a máquina poderia ser *controlada remotamente*:

"Quando o código malicioso se instala no PC da vítima, ele pode ser controlado remotamente por pessoas mal-intencionadas na realização de ataques DDoS. Com eles, piratas virtuais fazem com que diversos micros infectados acessem o site de uma empresa, tirando-o do ar."

Só falta o Augusto consertar a notícia. ;)

Eu acho que permitir um título de página de tamanho arbitrário é sim um bug. Não há motivos senão maliciosos para que haja um título com mais de dois milhões de caracteres. Sendo assim, os navegadores Mozilla e Opera (os que testei além do Firefox) seriam igualmente vulneráveis.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Lucros????!!!!!: Tem pessoa$ faturando ($$$$$$) com noticia$, e meia$ verdade$.

A notícia do tal bug foi pos: A notícia do tal bug foi postado na sexta (na realidade quinta a noite) para que passe o final de semana todinho como destaque.

Óia: Vai ser difícil encontrar um parceiro mais empolgado do que eu, na hora que o pessoal resolver se reunir pra botar na redação da FSP (e da Veja, não esqueçam da Veja!). Fica a sugestão... :o)

Anyway, a solução parece simples: configurar para limpar os dados pessoais ao sair do Firefox, até sair a correção, como o Frederico lembrou. Isto a Folha deveria divulgar, com estardalhaço. Vou mandar um e-mail para eles.

Boa... matar a cobra é fáci: Boa... matar a cobra é fácil, mostrar o pau é que difícil pra eles.

Se eles tiverem um pouquinho de consciência colocarão a solução, mesmo que temporária, na notícia.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA

Aqui também não: Aqui também não travou. Só ficou um sem responder uns 5 segundos enquando o código javascript concatenava a string para setar o document.title. Depois ficou normal. Estou usando FF 1.5 + Windows 2000 Pro

Eu segui o link indicado e pe: Eu segui o link indicado e percebi uma anomalia mas que não trata de travamento. Vamos aos fatos.

Sobre o GNU/Linux eu fiz o teste.

O history.dat tem o seu tamanho aumentado
O FireFox continuava a funcionar
Por diversas vezes, cliquei sobre o link indicado mas o tamnho do history não aumentava de tamanho. Era óbvio mas fiz para ver.
Sai do firefox, eliminei o arquivo.
Abri o firefox e entrei no link indicado.
O history.dat voltou com um tamanho respeitável.
Sai do FireFox
Abri o Firefox..... até ai tudo bem
Ao digitar um endereço, o Firefox travou no primeiro w
fiquei olhando............
As letras começaram a aparecer......
fiquei olhando............
Aventurei-me em digitar o restante de um endereço
funcionou sem problemas.

Conclusão sobre o evento, um teste básico.
O Firefox aparentemente trava ao iniciar, pois o tamanho descomunal do arquivo history.dat, faz com o que o navegador demore mais para localizar o endereço no arquvo citado.

A questão do poder de processamento conjugdo com o tamanho da memória RAM, tem influência no tempo, pois o history.dat tem o seu indexador alocado nele próprio e os endereços mais usados, são alocados em memória.

Desse modo, pude perceber, que depois do aparente travamento, o Firefox retornou a funcionalidade ao normal, mesmo fechando-o e abrindo-o novamente, não houve travamento.

O código gerador no link sugerido, um javascript, gera um título usando a letra A. Diante disso, o indexador do arquivo history.dat deve levar esse registro para a primeira linha, demorando um tempo conforme o poder de processamento. No entanto, isso me gerou uma dúvida, pois se o script gerasse títulos com nomes aleatórios, o problema poderia ser mais grave, deixando o Firefox muito lento.

Se o meu raciocínio estiver em conformidade, basta que o firefox limitar o tamanho do título no arquivo history.dat mas colocando a disposição do usuário indicar tal tamanho.

Aliás, várias coisas deveriam ficar por conta do usuário definir em parâmetros. Por exemplo, executar um código em javascrit usando o evento onmouseover (sim/não).

Fiz um teste no IE(arghhh) para ver o que acontecia. Como não aconteceu nada, verifiquei o history do IE. Notei que ele cria pastas, acho que lógicas, para cada endereço. Desse modo, o indexador procura de forma isolada, ao contrário do Firefox, que agrupa tudo dentro de um único arquivo.


é isso ai,

Roger de Almeida

retificando,trava sim !: Quando acessei o site a pagina de teste dos AAAAAA..não aconteceu nada na hora exceto a lentidão ,após, fechei o firefox e desliguei o micro,quando precisei utilizar o firefox novamente surpresa!:
O firefox(1.0.4) não abria ou quando chegava a abrir ,estava totalmente travado !

Tive que ir na pasta '/home/xxx/.mozilla/firefox/xxxx.default' e deletar os arquivos 'history.dat' e 'formhistory.dat'

Com isto o problema foi totalmente resolvido.

Para alguém que não souber como proceder,este bug pode ser bastante incomodo, impedindo a utilização do firefox enquanto não deletar os arquivos citados,
para um leigo isto pode significar:
Este firefox é uma bosta! vou voltar pro IE...

> Quando acessei o site a pag: > Quando acessei o site a pagina de teste dos AAAAAA..não aconteceu nada na hora exceto a lentidão ,após, fechei o firefox e desliguei o micro,quando precisei utilizar o firefox novamente surpresa!:
O firefox(1.0.4) não abria ou quando chegava a abrir ,estava totalmente travado !

Você chegou a esperar tempo suficiente para que o Firefox lesse o arquivo de histórico --ele não lê imediatamente assim que abre, mas sim quando você acessa o menu ou a barra de endereços, etc. Aqui na minha máquina, um Athlon 1.4GHz, o Firefox parou por 10s aproximadamente.

Repita o teste, verifique se está havendo processamento (CPU encosta nos 100%). Informe também seu processador e quantidade de memória RAM.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

> O código gerador no link s: > O código gerador no link sugerido, um javascript, gera um título usando a letra A. Diante disso, o indexador do arquivo history.dat deve levar esse registro para a primeira linha, demorando um tempo conforme o poder de processamento. No entanto, isso me gerou uma dúvida, pois se o script gerasse títulos com nomes aleatórios, o problema poderia ser mais grave, deixando o Firefox muito lento.

Não entendi. Por que você acha que com uma string aleatória seria mais demorado?

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Ainda bem: Ainda bem que eu uso IE no meu computador ;-)

Ao invez de reclamarem aqui,: Ao invez de reclamarem aqui, alguém chegou a reclamar com a FOLHA sobre a matéria? pois é, foi o que eu fiz, e por isso eles mudaram a matéria colocando uma errata.

Cc: erramos.online@folha.com.br
Date: Dec 9, 2005 11:51 AM
Subject: Fw: [online/informatica] Comunicar erros: Nando

Caro leitor,
corrigimos o erro e publicamos uma errata.
Obrigada pela colaboração,
Equipe da Folha Online

----- Original Message -----
From: Folha Online

Eu não ficaria contente assi: Eu não ficaria contente assim. Só nos últimos dias:

- IE Flaw Utilizes Google Desktop Search (02/12)
- Unpatched IE Flaw Extremely Critical (29/11)

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

> Ao invez de reclamarem aqui: > Ao invez de reclamarem aqui, alguém chegou a reclamar com a FOLHA sobre a matéria? pois é, foi o que eu fiz, e por isso eles mudaram a matéria colocando uma errata.

Se no primeiro comentário deste tópico já colocaram o link da Folha sobre a correção, você queria que nós, mesmo sabendo que a notícia havia sido corrigida, ainda mandássemos cada um e-mails reclamando do erro?

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Muitos comentaram que a folha: Muitos comentaram que a folha deveria ter colocado a solução, por isso postei, de que adianta reclamar aqui, se o que é pra ser mudado é lá? até acho maneiro o pessoal falar a respeito do que ocorre.. mas pra MUDAR alguma coisa, temos que ir direto na fonte. Só postei por conta disso, para expor minha opinião.

Abraços,
Nando.

Patola/Nemesis e outras personalidades: Eu acho que o Patola/Nemesis tem um problema sério de retenção anal, isto explica este comportamento de ambas as personalidades...

Uma evidência anedota: : Uma evidência anedota:
No Opera 8.51 no XPSP2 aqui não travou. Estou com a aba aberta com a página aqui do lado. Aliás, estou ouvindo musica no winamp 5 com um plugin DSP bem pesado.. :)

Só demora uns 3 segundos quando clicar lá... :)

A falha existe, se fosse boba, não tinha um monte de "firefoxers" desesperadamente tentando defender o browser, ao invés de simplesmente ignorar uma coisa tão boba como essa.. :)

_________________________
"Onde não se pode criticar, todos elogios são suspeitos." Ayaan Hirsi Ali

Feito: Mandei o e-mail. Agora é só aguardar a FSP cumprir a sua missão de veículo de utilidade pública.

Na dúvida aguardarei sentado, tomando uma cervejinha.

Ps: corrigindo o meu post anterior minha sugestão era: "...botar *fogo* na redação..."

Links modo texto: Pessoal, uso o Links modo texto, e nada de mais aconteceu.

Acredito que a maioria de nó: Acredito que a maioria de nós aqui poderia ser chamada de "firefoxers", e não de desenvolvedores. "Desesperadamente"?? De onde vc tirou isso???
Estamos aqui discutindo sobre o assunto, nada mais. Pode ser que apareça uma falha "extremamente crítica" divulgada pela empresa de segurança X, pra mim não muda nada! A minha crítica é para os "anti-firefoxers", com a permissão da palavra!

Gentoo: Para quem usa o Gentoo, já existe uma versão com o patch de correção (mozilla-firefox 1.5-r2).

E eu me pergunto, se o Nemesi: E eu me pergunto, se o Nemesis é o Patola e o Patola é o Brain. Quem é o Brain? Ou melhor, quem sou seu? Quem é você? Quem é ele?

Quem? Quem? Queeeeeemmmmm!!?

Tem certeza?: Tem certeza de que a correção é realmente para esta falha do Firefox? Talvez seja correção de alguma outra falha... Afinal, nem mesmo a Mozilla lançou a correção e normalmente as distros costumam lançar remendos baseados nas correções oficiais!

Aliás, falando um pouco sobre segurança, criar remendos para um aplicativo, ainda mais quando não existe o remendo oficial do programa em questão é muito difícil! Admito que quando dizem que numa distro Linux há muito mais falhas que num outro sistema qualquer (ex. Windows), o motivo é simples: existem MUITO mais programas numa distro Linux suportados oficialmente por ela do que em outros sistemas, e é de se esperar que hajam mais falhas, e desde que sejam corrigidas num tempo razoável, não há do que reclamar!

O problema é que em relação a certos programas acho um erro que esse argumento sirva como desculpa! Vejam por exemplo que muitas distros têm foco no usuário doméstico e um dos programas principais desses sistemas é o browse e a suíte de escritório. É uma "imitação" (não no sentido de puramente imitar) do própio Windows! Ele vem com um browser (IE) e alguns pequenos programas, e quando QUALQUER um deles falha, a falha é do sistema todo! Tudo está integrado alí! Sei que nas distros Linux, por mais que os programas estejam integrados não há vazamento da falha para todo o sistema, porém, quando os produtos estão integrados e são o foco da distro, é um erro que eles não sejam tratados como parte íntima do sistema, e sim como "mais um empacotamento vindo de fora"!

Pessoalmente gosto de distros com programas bem integrados ao sistema, de modo que eles não pareçam "mais um empacotamento" e sim parte da distro! É claro que meus gostos são subjetivos mas creio que esse seja o futuro para os desktops domésticos (ao contrário dos servidores, vide o Debian, completamente modular!) e assim, alguns argumentos de segurança devem ser levados em conta, pelo menos para essas distros!


A Física é tão subjetiva quanto qualquer outra empresa humana.
Albert Einstein

Bom você eu acho que é um m: Bom você eu acho que é um masca fronha!


crise de personalidade é no minimo viadagem!

Aqui nao travou: Abri a tal página, o titulo ficou cheio de 'A', mas nada de travar.

Reiniciei a máquina e re-loguei

O Firefox demorou um pouco para abrir, mas abriu. Cliquei em 'Editar', 'Preferências', 'Privacidade', 'Histórico' e mandei limpar.

Tá novinho em folha

É tão fácil, que até minha filha, 10 anos, conseguiu consertar sozinha ... e não precisou procurar um arquivo para apagar ...


Adailton
Linux Registered User 107410

É usuário de Linux? Mostre a sua cara!

Ao senhor Eurico:: Não sofro de crise de personalidade! Ao contrário do senhor, que deve expor suas opiniões como verdade pura e absoluta, eu prefiro dizer que o que penso é minha própia opinião e completamente subjetivo!

Além de gostar muito de física, resolvi colocar a famosa frase do Einstein justamente para expor essa idéia! Aproveite!


A Física é tão subjetiva quanto qualquer outra empresa humana.
Albert Einstein

Quem está por trás disso:
Teoria: Nemesis, Patola, Ananias, Kid X, Critico, Cotonetes Ta, Dyego, Morimoto e Eurico são todos o brain. E voce tambem é...

heh: É impressionante como o pessoal consegue criar uma arena de trolls com qualquer assunto que seja.

Eu uso o Mozilla 1.7, quando fiz o teste o Browser não travou, mas ficou bem lento passar de uma tab pra outra ou acessar uma URL qualquer. Quando eu fechei o browser e tentei abrir de novo, sem chance, não abria.

Como já disseram, só apagar o history.dat que está tudo resolvido :)

Aqui o Firefox abriu, mas dem: Aqui o Firefox abriu, mas demorou de 2 a 3 minutos. Então foi só acessar o histórico e deletar *apenas* o registro do site AAAAAAAAAAAAAAAA. Bem mais simples.

O br-linux é uma falha na Ma: O br-linux é uma falha na Matrix e por isso dá essa confusão de personalidades.

Cássio R. Es_kelsen

Quase: Fiz o teste com o link postado acima e realmente tive problemas. Depois de fazer a atualização, os problemas desapareceram. O changelog do pacote do gentoo fala em "history DoS", acho que se refere a esse problema, mas realmente não tenho certeza. Em todo o caso, funcionou. Se o patch era para outro problema, então, como diz o ditado, atiraram no que viram e acertaram no que não viram. Não postei isso para iniciar qualquer briga de distros, mesmo porque acho isso uma bobagem, foi apenas para informar.

é segredo, hein?: eu sou aquele que é, the one, o alfa e o omega e ninguém em especial... ;)

;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")

O estrago está feito ?: Recebi o boletim da InfoExame, onde ainda aparece a notícia desta 'falha'.
Sem a devida correção ...

Já mandei email para eles, mas lá as coisas demoram mais a serem corrigidas ...


Adailton
Linux Registered User 107410

É usuário de Linux? Mostre a sua cara!

Caso o script gerasse strings: Caso o script gerasse strings com conteúdo aleatório, o tamanho do arquivo history.dat ficaria cada vez maior.

Em outras palavras, se você verificar o código, verás que o nome do título é gerado através da concatenação do caracter "A". Como o Firefox cria a indexação no próprio arquivo, se houvesse uma randomização do tipo "B", "AB", "CD" e assim por diante, o arquivo history.dat, ficaria enorme. Dai a minha dúvida e a minha sugestão em limitar o tamanho do nome do título / url mas que essa especificação pudesse ser gerenciado também pelo usuário.

[]
Roger

Minha cerveja já acabou: E eu ainda tô aqui sentado, esperando esperando esperando