Комментарии 14
Это же уже не в первый раз с дискордом, почему у них нет проверки целостности файлов, как-то странно.
Видимо потому что идея в том что пользователь имеет возможность и право модифицировать свой клиент как ему вздумается для своего удобства.
Одно другому не мешает: можно при запуске спрашивать, всё ли в порядке, что файлы изменены. Те, кто сам меняет файлы, не испугаются такого вопроса, остальные будут защищены.
Остальные кликнут «ОК», не читая. Так же, как кликнули, когда запускали левый файл с инжектором самого зловреда.
Сильно зависит от того, что «ОК» будет делать. В этом смысле ответ dartraiden показывает проблему, которую сложнее обойти.
Так логика проверки файлов тоже будет в js, и её тоже запатчат.
У них же клиент на базе Electron.
У них же клиент на базе Electron.
Вносить модификации в клиент так-то запрещено лицензионным соглашением.
Вопрос скорее должен звучать как "почему у них код приложения не находится в одном бандле, который подписан доверенным сертификатом, а лежит в ФС".
Discord и сам недалеко от трояна ушёл.
Discord is spyware because it collects all information that passes through its communication platform. As Discord is a centralized communication platform, all communications have to go through Discord's official servers, where all of that information can potentially be recorded.По такой логике и Хабр — троян. Тут тоже всё через сервер Хабра идёт, включая личные сообщения.
А после «Discord receives government requests for your information» я, признаюсь, читать дальше не стал, у автора кончились аргументы и он уже пошёл докапываться буквально к телефонному столбу.
Кажется нужно как-то учить людей не переходить по очевидно фишинговым ссылкам, которые обещают прибыль или что-то бесплатно. Но в настройках можно включить сканирование того, что вам присылают от всех/всех, кроме друзей, еще можно запретить писать вам сообщения тем, кто не на одном сервере с вами и просто запрет на добавление в друзья случайным аккаунтам.
Этим фишинговым приемам больше 20 лет, и всё никак не научатся. Не знаю, каким должно быть образование, чтобы исправить эту «проблему в прокладке». Никакие настройки безопасности не помогут, даже у сверхзащищенных корпораций периодически проскакивают черви, что уж говорить о домашних станциях обычных юзеров? Программа должна сама стремиться к максимальной секьюрности, где может. Просто затраты на это не оправдывают итог, т.к. пользователям обычно плевать на такие мелочи, как вирусы на компе.
В чём проблема уточнить у отправителя что находится по ссылке, а отправителю ответить? Куда всегда торопятся люди? Ссылки все прозрачные, object в код вставлять нельзя.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Клиент Discord модифицировали для кражи аккаунтов