Я тоже одно время мучался, потом прочел статью в c't :) Все довольно просто.
Nothing is f*cked, man, nothing is f*cked.... (c)

Вышеперечисленное не юзаю, но обычно можно выбрать папку, куда сохранять установки. В крайнем случае, разрешить доступ в эту папку. Важно, чтобы выньские папки и реестр были под замком. См. также мой ответ Alexden'у.
Nothing is f*cked, man, nothing is f*cked.... (c)

не всегда. в емуле например можно выбрать папки инкомминг и темп, а установки вс╦ равно складываются в инсталляционную папку. а разрешить доступ в папку средствами вин хп можно только в проф. версии, да и то эти настройки по стандарту выключены.
Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

Как, нельзя прост окликнуть на папку и изменить права доступа? Не может быть. К черту тогда этот ХР :)
Nothing is f*cked, man, nothing is f*cked.... (c)

http://forums.anandtech.com/messageview.aspx?catid=36&threadid=1442087&enterthread=y

разобрался с этой страницей. там загружается java-applet который считывает локальный ип-адрес компа.
так же такой же апплет может считать адресную книгу или список сохран╦нных паролей и отправить себе на сервер.

В ответ на:

---

import java.applet.Applet;
import java.applet.AppletContext;
import java.net.*;
public class auditmypc extends Applet
{
public auditmypc()
{
}
public void start()
{
String s = "unknown";
String s1 = getDocumentBase().getHost(,0);
byte byte0 = 80;
showStatus("1) Visit http://www.auditmypc.com ",0);
try
{
String s2 = (new Socket(s1, byte0)).getLocalAddress().getHostAddress(,0);
if(!s2.equals("255.255.255.255"))
s = s2;
}
catch(Exception exception)
{
showStatus("2) Visit http://www.auditmypc.com ",0);
}
try
{
URL url = new URL(getDocumentBase(), "audit.asp?a=" + s,0);
getAppletContext().showDocument(url, "_self",0);
}
catch(Exception exception1)
{
showStatus("3) Visit http://www.auditmypc.com ",0);
}

---

прич╦м лиса нисколько не над╦жнее ИЕ. там апплет выполняется тоже.
Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

это ограничение хоме версии. в про можно изменить права доступа, но нужно снять птичку
Einfache Dateifreigabe verwenden(empfohlen) - в м$ наверно приколисты сидят.
Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

Ну это мне понятно - тебе понятно.. а ввот простой юзвер во первх ct´не читает во вторых даже если и прочитает то может не понять, что от него хотят.
-Юноша с дефектом зрения ищет девушку, приятную на ощупь.

кстати есть средства, которые этот недостаток удаляют . если наддо - могу поискать и выложить.
-Юноша с дефектом зрения ищет девушку, приятную на ощупь.

C't, конечно, серьезный журнал, но сделанный для простого юзера, с пошаговыми инструкциями.
Nothing is f*cked, man, nothing is f*cked.... (c)

Знаю. читаю ТОлько кто из обычных то людей его читает ? максиму что народ простой покупает это или компьютер - билд или чего подобное....
-Юноша с дефектом зрения ищет девушку, приятную на ощупь.

я сам такие средства писал, именно для этой цели - добавить "Jeder" в соответствующую папку.
но речь ид╦т о нормальном юзере, который об этом даже не догадывается, ну не идут у него половина программ под юзером и вс╦.
Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

недавно я узнал о забавной проверочной странице
http://www.auditmypc.com/free-spyware-removal.asp
там при помощи извечной дыры ИЕ - IFRAME делается переход на локальную зону безопасности
и вычисляется локальный ИП-адрес
Это, видимо, от меня ты узнал на моей ветке, когда я сдорово струхнул от такой инфо...
Интересно, а как на практике можно заткнуть эту дырку? Ты говорил о Iframe. Или это слишком сложно для непосвящ╦нного?
Ведь получается так, что имея локальный адрес, данный комп. можно использовать в своих корыстных целях!
И как такое может быть, что по коду html можно пробить эти бесконечные наслоения безопасности системы?!!
Эта проблема не решается что ли? Или специально оставили эту явную (для профи) дыру? Здесь что-то не вяжется.
html код со всеми своими тэгами, jawa скрипты - придуманы специально для отображения документов в нете. И получается, что изначально эти придумки таят в себе потенциальную опасность. MS знает об этом и спокойно спит? Не понимаю!
Трудно жить ничего не делая, но мы не боимся трудностей!

> так же такой же апплет может считать адресную книгу или список сохран╦нных паролей и отправить себе на сервер.
javascript пока не может этого сделать, а в том, что ява получает твой внутренний айпи ничего страшного нет, вполне возможно это стандартная функция предусмотренная разработчиками изначально. К тому же давно рекомендовано включать яву только на страницах, которым ты доверяешь! Если здесь и дырка, то дырка маленькая и пофиксят ее скоро.. Если ты не понял, то на сайте сей аплет используется, чтобы убедить людей в ненадежности фаэрвола, через который якобы увидели твой внутренний айпи либо в присутствии в системе вируса/дырки. Все нацелено на то, что обеспокоенный пользователь начнет устанавливать их продукты, которые неизвестно что содержат. Могут еще под это дело продать супермегазащиту.
Так шта, суперуязвимости, компрометирующей огнелиса, я там не вижу. Могу даже подсказать, где искать настоящий компромат: https://bugzilla.mozilla.org/.
А какие коментарии по поводу нетбанка?
---
Бабyлькам выдали пенcии, позвоните pодителям!

Just take it easy, man (c)
http://www.heise.de/newsticker/meldung/53841
Nothing is f*cked, man, nothing is f*cked.... (c)

нетбанк сейчас ид╦т, видимо уже пофиксили. а насч╦т дырок - они встречаются у всех бровзеров как и у любой проги смотрящей в инет. апплет я переделывать не пробовал - но насколько я знаю у явы ограничение на запись, читать она может, а раз может читать то она может. а раз может читать, то может и отправить данные в инет. кстати в лисе ява отключается по запросу, чтобы лиса спрашивала пускать яву или нет. я наш╦л только птичку вкл/выкл
Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

> о насколько я знаю у явы ограничение на запись, читать она может, а раз может читать то она может. а раз может читать, то может и отправить данные в инет.
Возможности к чтению, записи и отправке информации очень ограничены.
Некоторую общую информацию о безопасности и java & java scripts & javascript можно взять отсюда: http://www.w3.org/Security/Faq/wwwsf2.html#CLT-Q6
---
...Сколько волка не корми, он все ест и ест...

с отправкой данных как раз проблем нет

В ответ на:

---

URL url = new URL(getDocumentBase(), "audit.asp?a=" + s,0);
getAppletContext().showDocument(url, "_self",0);

---

насчёт чтения сейчас точно не скажу, надо посмотреть, но возможность доступа к сокету
мне не очень нравится.

В ответ на:

---

String s2 = (new Socket(s1, byte0)).getLocalAddress().getHostAddress(,0);

---

Помни, ковчег был построен любителем. Профессионалы построили "Титаник".

> с отправкой данных как раз проблем нет
На оригинальный хост. Так изначально было сделано.
> насчёт чтения сейчас точно не скажу, надо посмотреть, но возможность доступа к сокету
мне не очень нравится.
Отключи яву. Посыл данных на сервер странички - это стандартная функция. Кстати, получение адреса хоста - тоже.
---
Вы что меня за голyбого деpжите? Так деpжите пpавильно!

Кстати, tabbrowser extensions позволяют включать выключать яву для определенной странички(таба), возможно есть рассширения специально заточеные под секурность ява, смотр update.mozilla.org.
---
Могила не дупло - обpатно не вылезешь.

Без отправки и RMI б не работал :)
Nothing is f*cked, man, nothing is f*cked.... (c)