September 26th, 2008

Я

Нахрена нам PDF?

Я до сих пор не могу понять, зачем был внедрен этот стандарт. Что он дает нового по сравнению с RTF, HTML, да хотя бы микрософтовским DOC (один фиг PDF тоже проприетарный формат) - бесплатные читалки имеются в достаточном количестве? То, что там предполагается защита, которая никакой защитой не является, и в сети туча кряков для тех, кого ломает принтскринить и создавать измененный документ? Единственным плюсом может быть поддержка электронной подписи (в DOC, если не ошибаюсь, она тоже есть), но смотрю на pdf'ки от Sony Ericsson и Росбанка, и не вижу я никаких подписей. Зато вижу дикие тормоза на современном компьютере (2ГГц 2Гб памяти), и каждый раз несоответствие страницы в оглавлении реальным страницам в pdf. Зачем заставлять пользователя мучаться с тормозами и тупняками Acrobat Reader'а, в котором нормального поиска до сих пор нет?
В общем, для меня формат PDF, помноженный на тупость и лень людей, которые запрещают контрол-ц, не делают ссылки в оглавлении и выкладывают в отдельный файл то, что должно быть на веб-странице (передаю привет мудакам из Росбанка, выложившим таким образом тарифы), - это абсолютное зло
Или кто-нибудь расскажет о достоинствах адобовского творения?
Я

Осень. Период обострений. Касперский снова пытается всех запугать

Оригинал документа от Касперского читать не стоит.
Статья на Mobile-Review это можно, сконцентрированный бред из оригинальной статьи туда скопирован.
Вкратце, Касперский обнаружил целых 40-45 различных вредоносных программ для платформы J2ME, разделив их на 9 семейств. Интересно, сколько сам написал?

Особо понравившиеся места:

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов.
Очень хочу увидеть мидлет с другой структурой.

Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения)
Просто вранье. Даже если мидлет подписан, пользователь лично и явно должен выставить параметр "Не спрашивать об отправке СМС", причем я уверен, что многие просто не знают, как это сделать.
Неподписанный мидлет спросит разрешение на использование сервиса SMS в целом и будет спрашивать дополнительное разрешение на каждую отправку сообщения, причем нормальные телефоны (SE, Nokia, Motorola, короче не Samsung и не LG) обязательно покажут номер получателя.

Остальные class-файлы служат лишь для маскировки.
Зачем врать в таких малозначительных технических деталях непонятно. Наверное, просто некомпетентность "эксперта".

а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.
Вообще отвал башки :)) В лучшем случае манифест можно использовать для хранения номера, куда слать SMS. Интересно, что подразумевал автор писанины? 

Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем.
Угу, если постоянно выползающее системное окошко с предпреждением об отсылке сообщения не считать за проблему.

Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.
Опять вранье. Хотя уже несколько ближе к реальному положению вещей. Программа теоретически может сделать свое окошко с интерфейсом, как у системного запроса телефона. Но:
1)На разных телефонах разный вид окошек
2)В окошке прямым текстом пишется, что приложение хочет отправить SMS на такой-то номер. Спутать довольно трудно. И даже если пользователь случайно разрешит отправку, то навряд ли несостыковка текста программы и действия, которое оно на самом деле выполняет, не вызывет подозрений.

Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.
Обязательно следите и радуйте нас новыми "исследованиями". Думаю, даже стоит создать отдельный комитет по данной проблеме и предложить включить в бюджет РФ новую статью расходов. Не забудьте упомянуть слово "нано" в названии комитета.


У меня есть нехилое предположение, что Касперский больше наносит вреда, чем приносит пользы. Его прошлые десктопные продукты были предметом анекдотов, а попытка поднять шум вокруг почти несуществующей проблемы уважения никак не добавляет.
Статья с мнениями других участников рынка антивирусов. Материал хоть и двухлетней давности, но гораздо ближе к истине даже сейчас.
Мое мнение, что проблемы вирусов на обычных телефонах с Java просто нет. Отдельные пользователи, которые могут двадцать раз разрешить подозрительную отправку SMS на короткий номер, являются проблемой сами для себя, примерно как дети, которые лижут дверную ручку в мороз. Наверное, на школьников начальных классов эти трояны и рассчитаны. Но они и сами могут неплохо отправлять нужные SMS на обещания картинки без помощи дополнительных программ.
На смартфонах все несколько хуже. Возможности платформ гораздо больше, безопасность гораздо меньше, чем в J2ME, так что устанавливать все подряд действительно не стоит. Но единственный увиденный за мой "мобильный" пятилетний стаж вирус распространялся примерно так: "Да ну, не верю, что вирус! А что делает? Кинь мне на мобилу."