Jump to content

Adobe Reader/Acrobat... igen! *suck*

e-son
 Share

Recommended Posts

  • Replies 62
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

e-son

e-son

Posted
  • Author
Posted

Man måste ju undra vad det är som får folk att fortsätta använda skräpet? Är det bara okunskap, eller det kompakta motstånd mot förändringar som man möter överallt... inte minst i datorsammanhang? Jag möts dagligen av argumentet "...men då måste jag ju lära mig ett nytt program...". :angry:

Link to comment
Share on other sites
JoWa

JoWa

Posted
Posted

Det handlar väl egentligen inte om Acrobat och Reader, utan om pdf-specifikationen, som gör det möjligt att från en pdf öppna andra filtyper. Om den filtypen är ett program ger Acrobat och Reader en varning:

The warning message provided in Adobe Reader and Acrobat includes strong wording advising users to only open and execute the file if it comes from a trusted source. Furthermore, the default option within the dialog is to not execute.

http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html

Användare som kör igång pdf-dokumenten ombeds spara en fil kallad Royal_Mail_Delivery_Notice.pdf. Den filen visar sig vara en körbar Windows-fil, som när den aktiveras infekterar datorer med Zeus, varnar han.

Det är då inte en sårbarhet i Acrobat/Reader som utnyttjas, utan ett större problem: folks dumhet. Inget händer utan användarens medverkan, och användaren måste ignorera en varning för att starta det förklädda programmet.

Hur beter sig andra pdf-visare i denna situation?

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted

Den "populära uppmaningen" gäller naturligtvis fortfarande... dock inte specifikt för just den här bristen. ;)

Vad gäller formatfrågan, så undrar jag alltmer om det verkligen behövs överhuvudtaget...? Är det inte ett ganska förlegat format oavsett om man väljer .pdf eller .xps?

Link to comment
Share on other sites
JoWa

JoWa

Posted
Posted

Jag ser inte att behovet av portabla dokumentformat skulle upphöra. Förutom för publicering på nätet, är pdf det givna valet som tryckoriginal.

Det fina är ju att producenten kan använda ett avancerat program som Adobe InDesign, inkludera vektor- och bitmapbilder och typsnitt, och användaren behöver endast ett enkelt visningsprogram, så visas allt som avsett.

Link to comment
Share on other sites
JoWa

JoWa

Posted
Posted

Nja, några funktioner/egenskaper som vanliga bildformat inte stöder:

  • Flersidiga dokument
  • Text i form av sök- och kopierbar text (inte grafik)
  • Textuppläsning (Acrobat kan läsa upp text i pdf.)
  • Text och vektorgrafik bevarad som sådana, och därmed zoombara utan kvalitetsförlust
  • Lager

I vissa fall kan svg vara ett alternativ.

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted

Fortfarande argument som möjligen håller i producentledet enligt min mening. Vilken vanlig användare har råd/lust att betala för Acrobat till att börja med? Det finns andra format som kan ersätta det du räknar upp, i den mån den vanliga användaren skulle ha sådana behov. Jag kan inte se att det motiverar ett, säkerhetsmässigt katastrofalt, monopol uppbyggt på påståenden som t.ex "För att kunna titta på fakturan måste du ha Adobe Acrobat Reader installerat på din dator" (ramlade in i inboxen för 5 min. sedan... från Glocalnet :angry: ).

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted (edited)

Det fanns en tid när jag också tyckte att .pdf var väldigt behändigt, och använde acrobat i alla möjliga sammanhang... tills jag insåg att acrobat/reader nästan sänkte datorn bara man startade programmet. Jag började fundera på om jag möjligen kunde leva utan det, och dom senaste 5 åren har jag inte en enda gång ansett mig vara tvungen att installera varken acrobat eller reader. Vad jag menar är att det FINNS alternativ, som inte innebär en lika stor säkerhetsrisk och som inte får datorn att gå på knäna. Varför dom inte används i större utsträckning kan bara förklaras av det jag skrev i inlägg nr.3 i denna tråd. Det har visserligen hänt att jag av slentrian har producerat någon enstaka pdf dom senaste 5 åren (sparat i word eller någon printer), men jag lovar att bättra mig där... det skall inte upprepas! ;)

Edited by e-son
Link to comment
Share on other sites
Nicklas

Nicklas

Posted
Posted

  • Flersidiga dokument
  • Text i form av sök- och kopierbar text (inte grafik)
  • Textuppläsning (Acrobat kan läsa upp text i pdf.)
  • Text och vektorgrafik bevarad som sådana, och därmed zoombara utan kvalitetsförlust
  • Lager

Det finns andra format som kan ersätta det du räknar upp, i den mån den vanliga användaren skulle ha sådana behov.

Kan du ge ett exempel på ett av dessa andra format? Ta gärna även med filstorlek, möjlighet att styra vad man kan ändra i dokumentet och integration med webbläsaren också.

Link to comment
Share on other sites
JoWa

JoWa

Posted
Posted

De senaste 5 åren har jag skapat mängder med pdf-dokument, för eget bruk (eller delning med ett fåtal personer), för publicering på nätet och som tryckoriginal. Och så lär det fortsätta :D

JavaScript är en stor del av osäkerheten. Skall man därför sluta använda pdf? Skall vi även sluta använda html, där JavaScript också kan ingå? Eller skall vi inaktivera JavaScript överallt, och då inte kunna använda den funktionalitet som JavaScript tillhandahåller?

Eller behöver vi bättre program, som kombinerar funktionalitet och säkerhet? En pdf-läsare konstruerad som Chromium vore något Där har utvecklarna utgått ifrån att all kod (t.ex. JavaScript) är skadlig kod, och den hålls därför inspärrad i ett fängelse, med minimala rättigheter. (Läs mer.)

På samma sätt borde en pdf-läsare kunna fungera: pdf-dokumenten körs i separata processer med minimala rättigheter. JavaScript kan köras, men utan att orsaka något oönskat.

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted (edited)

Till att börja med har jag inte påstått att det finns något som kan ALLA dessa saker, i ett och samma format. Sen påstår jag fortfarande att det inte är relevant för den vanlige användaren, mer än möjligen marginellt. Jag menar att formatet pdf används slentrianmässigt helt i onödan. Dom allra flesta pdf-dokument som publiceras på nätet skulle kunna vara av något annat format... beronde på vilket syfte dokumentet har. Att det har skapats ett industriellt behov av pdf, har jag full förståelse för, men det måste inte innebära att det påtvingas den vanliga internetanvändaren. Min bestämda åsikt är att pdf kan behållas som ett internt produktionsformat, och i samband med publicering/massutskick och liknande, konverteras till säkrare och mindre komplexa format. Man väljer helt enkelt format efter det specifika behovet.

@JoWa.. Att vi behöver bättre program som kombinerar funktionalitet och säkerhet, är helt klart dagens "understatement"! ;)

Edited by e-son
Link to comment
Share on other sites
Nicklas

Nicklas

Posted
Posted

Visst man kan ju använda textfiler som man kan öppna i notepad och lämna tomrum i dem åt bilderna som skickas sidan som man kan öppna i bildvisaren. Ska man sedan skriva ut dem var för sig och plocka fram saxen och limstiftet och sätta ihop dem. Länkar för källhänvisningar är ju inget problem, de går ju lätt att klipp och klistra manuellt från textfilerna till webbläsaren, de behöver inte vara klickbara.

Det är väl självklart att det behövs format som kan kombinera olika saker i ett och då gärna så många som möjligt. Eller ska man ha ett format för Text+Bild, ett annat för Text+Länkar, ett tredje för Bild+Länkar, ett fjärde för Text+Bild+Länkar och sedan olika program som klarar att öppna de olika?

Säger inte att PDF är perfekt men tycker ditt resonemang verkar väldigt ogenomtänkt e-son.

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted

Visst man kan ju använda textfiler som man kan öppna i notepad och lämna tomrum i dem åt bilderna som skickas sidan som man kan öppna i bildvisaren. Ska man sedan skriva ut dem var för sig och plocka fram saxen och limstiftet och sätta ihop dem. Länkar för källhänvisningar är ju inget problem, de går ju lätt att klipp och klistra manuellt från textfilerna till webbläsaren, de behöver inte vara klickbara.

Det är väl självklart att det behövs format som kan kombinera olika saker i ett och då gärna så många som möjligt. Eller ska man ha ett format för Text+Bild, ett annat för Text+Länkar, ett tredje för Bild+Länkar, ett fjärde för Text+Bild+Länkar och sedan olika program som klarar att öppna de olika?

Säger inte att PDF är perfekt men tycker ditt resonemang verkar väldigt ogenomtänkt e-son.

Och jag tycker, med all respekt, att du och dom flesta andra befinner er exakt där Adobe vill ha er. Nämligen i villfarelsen att det inte går att leva utan pdf. Nu vet jag inte exakt hur säkjerheten ser ut i dessa fallen, men för att bara nämna ett par alternativ för din Text+Bild+Länk... .rtf och .odt m.fl. Varför MÅSTE t.ex min telefonfaktura komma som pdf? varför MÅSTE en manual läggas ut på nätet som pdf? Exemplen är oräkneliga där pdf helt enkelt är "overkill" för den vanliga internetmedborgaren. Visst.. fortsätt gärna använda acrobat som arbetsverktyg, men grejerna kanske inte MÅSTE publiceras som pdf.

Link to comment
Share on other sites
JoWa

JoWa

Posted
Posted

@JoWa.. Att vi behöver bättre program som kombinerar funktionalitet och säkerhet, är helt klart dagens "understatement"! ;)

Jo Jag försökte beskriva ett vägval, där man antingen inser säkerhetsrisken, och drar slutsatsen att format/tekniken inte alls skall användas, trots att man går miste om värdefulla möjligheter och funktioner. På samma sätt kan man kapitulera inför farorna på nätet, och som en lösning helt undvika det. Då spelar det ingen roll hur (o)säkra ens program är. Ja, man behöver inte ens ha programmen ifråga, om man inte har eget (eller annat garanterat säkert) innehåll att öppna. En enkel och mycket effektiv lösning, men en smula begränsande.

Den andra vägen man (programutvecklare) kan välja är att inse säkerhetsriskerna, och göra något åt dem, utan att begränsa möjligheter och funktioner! Det räcker inte att täppa till enskilda säkerhetshål, det behövs nytänkande. För webbläsare anser jag att Chromium representerar det nödvändiga nytänkandet, men jag har inte sett det i någon pdf-läsare. Därför efterfrågar jag en Chromium-inspirerad pdf-läsare.

Sedan kan det göra detsamma om vi framöver kommer att använda pdf eller xps, eller något helt annat format. Ett format som tillåter blandat innehåll (text, grafik, ljud, video, innehållsförteckning, interna och externa länkar) behövs i många sammanhang. I många andra sammanhang kan dock andra lösningar vara minst lika bra. ;)

Link to comment
Share on other sites
e-son

e-son

Posted
  • Author
Posted

Ja, nytänkande är exakt vad jag också efterlyser, men det kommer knappast att ske så länge "folk" fortsätter att helt okritiskt använda dom gamla invanda programmen/formaten. Vi kanske inte har något val kan man tycka, men jag tror stenhårt på att det bara krävs lite nytänkande där också.

Link to comment
Share on other sites
  • 2 weeks later...
  • 2 months later...
JoWa

JoWa

Posted
Posted

En pdf-läsare konstruerad som Chromium vore något Där har utvecklarna utgått ifrån att all kod (t.ex. JavaScript) är skadlig kod, och den hålls därför inspärrad i ett fängelse, med minimala rättigheter. (Läs mer.)

Tycks vara på gång! :D

http://blogs.adobe.com/asset/2010/07/introducing-adobe-reader-protected-mode.html

http://blogs.pcmag.com/securitywatch/2010/07/adobe_to_implement_reader_sand.php

Link to comment
Share on other sites
  • 3 weeks later...
essob

essob

Posted
Posted (edited)

Ja, då var det dags igen... :o

Adobe - Reader och Acrobat sårbara

Nyckelord: Adobe 0-day

Sårbar hantering av typsnitt i PDF:er kan utnyttjas för att exekvera kod.

Publicerad:

2010-08-04 22:04

Charlie Miller har upptäckt en sårbarhet i Adobe Reader och Adobe Acrobat. Problemet beror på en heltalsöverflödning (integer overflow) i modulen CoolType.dll vid hantering av värdet "maxCompositePoints" i tabellen "maxp" i TrueType-typsnitt.

En angripare kan utnyttja sårbarheten med hjälp av en riggad PDF-fil för att exekvera godtycklig kod.

Vid skrivande stund finns ingen programrättning att tillgå.

Sitic:

http://www.sitic.se/sarbarheter/sr/sr10-149-adobe-reader-och-acrobat-saarbara

:D

Some things have become so commonplace that nobody even takes much notice of them anymore. Security expert Charlie Miller found this to was the case when presenting a gaping hole in Adobe's Reader product at the Black Hat conference one week ago. After his presentation, Miller said: "Adobe security is so bad that […] not a single person tweeted it. Sad."

http://www.h-online.com/security/news/item/Critical-hole-in-Adobe-Reader-and-nobody-wants-to-know-1050622.html

Edited by essob
Link to comment
Share on other sites
  • 1 month later...
essob

essob

Posted
Posted (edited)
Adobe - Reader/Acrobat väldigt kritisk sårbarhet

Nyckelord: Adobe 0-day Acrobat

En kritisk sårbarhet har rapporterats i Adobe Reader 9.3.4 och tidigare versioner för Windows, Macintosh och UNIX, och Adobe Acrobat 9.3.4 och tidigare versioner för Windows and Macintosh.

Publicerad: 2010-09-08 22:27

http://www.sitic.se/sarbarheter/sr/sr10-173-adobe-reader-acrobat-vaeldigt-kritisk-saarbarhet

Edited by essob
Link to comment
Share on other sites
essob

essob

Posted
Posted

Personligen använder jag nedanstående inställning i Foxit Reader också.

Enligt Chet Wisniewski på Sophos så går det att kringgå problemet genom att stänga av Javaskript-funktionen i Adobe Reader eller Acrobat. Det gör du enklast genom att gå till Inställningar i Adobe Reader eller Acrobat och avmarkera Adobe Javaskript.

IDG.se:

http://www.idg.se/2.1085/1.339429/sakerhetsforskare-den-nya-pdf-buggen-ar-laskig

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...