The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В соревнованиях по взлому веб браузеров несокрушимым остался только Google Chrome

25.03.2010 12:18

В первый день работы конференции Pwn2Own, посвященной безопасности в сети, было проведено соревнование по взлому популярных web-браузеров, в рамках которого были успешно взломаны Apple Safari, Mozilla Firefox и Internet Explorer 8. Во всех случаях взлом был произведен через ранее неизвестные уязвимости (zero-day) и позволял получить полный контроль над системой. Браузеры были самых последних версий с наложением всех доступных патчей. Детали взлома браузеров по условиям соревнований будут оставаться в тайне до момента выпуска официальных обновлений.

Как и в прошлом году Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома. Один из участников соревнования объяснил это тем, что архитектура Google Chrome крайне сложна для вторжения: невозможность выполнения кода в куче, защита самой операционной системы (Data Execution Prevention, ASLR и пр.), а также механизм изолированного выполнения, встроенной в браузер.

Safari 4 был взломан Чарли Миллером (Charlie Miller), главным аналитиком компании Independent Security Evaluators, которому понадобилось всего-лишь открыть в web-браузере Safari специально подготовленную страницу. Чарли уже третий год успешно демонстрирует новые уязвимости Safari на конкурсе Pwn2Own.

Internet Explorer 8 был взломан датским исследователем Питером Вругденгилом (Peter Vreugdenhil), для взлома использовалась четырехуровневая атака, позволившая обойти механизмы защиты Windows 7 - на деле широко разрекламированные компанией Microsoft технологии DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization) оказались бессильны и не смогли предотвратить атаку. По заявлению Питера на поиск уязвимости и разработку экплоита у него ушла одна неделя.

Firefox был взломан немецким студентом под ником Nils, при этом выполнению кода в Windows 7 также не помешали активированные системы DEP и ASLR. В прошлом году Nils одержал победу сразу в трех номинациях, взломав IE, Safari и Firefox.

Победители соревнования получили по десять тысяч долларов и достаточно недешевые ноутбуки (Apple Macbook Pro 15", HP Envy Beats 15", Sony Vaio 13" и Alienware M11x), на которых проводился взлом.

  1. Главная ссылка к новости (http://www.neowin.net/news/saf...)
  2. OpenNews: Репортаж со второго дня конкурса Pwn2Own - взлом не удался
  3. OpenNews: На первом дне соревнований Pwn2Own были взломаны Safari, IE и Firefox
  4. OpenNews: Linux устоял перед атаками хакеров на соревновании по взлому
  5. OpenNews: На турнире хакеров Mac OS X взломали меньше чем за минуту
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/25946-google
Ключевые слова: google, chrome, mozilla, firefox, internet, explorer, apple, safari, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, MTTeam (ok), 13:35, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А чего Оперы то небыло?
     
     
  • 2.6, r0g3r (??), 13:44, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Оперу они даже за браузер не считают :)
     
     
  • 3.28, поцанчик (ok), 14:56, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    впрочем, как и хром
     
  • 2.23, Аноним (-), 14:51, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    потому что как неуловимый Джо - никому нафиг не нужен с его 1-2% рынка.
     
     
  • 3.33, szh (ok), 15:37, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ответ неверный, 2% не мало.
     
     
  • 4.129, User294 (ok), 21:28, 28/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >ответ неверный, 2% не мало.

    Трудоемкость взлома блобятины - достаточно высока. Надо, видите ли, анализировать простыни дизассембленого кода. Что достаточно геморройненько, как бы а раз так - у хаксора должна быть какая-то мотивация и 2% это немного не то что ей является. А какой смысл аться ради 2% если можно поиметь >50% юзеров попросту найдя дырку в ... IE. С примерно теми же затратами сил. Я вижу только 1 смысл для хацкеров бодаться с взломом еперы - если целевая аудитория сплойта это бакланы из России. Только такие хацкеры на соревнования не попрут а просто втихаря забросят троянов да и все дела.

     
  • 2.29, теоретик (?), 14:57, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    наверное не проплатила
     

  • 1.4, sproot (ok), 13:40, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >было проведено соревнование по взлому популярных web-браузеров, в рамках которого были >успешно взломаны Apple Safari, Mozilla Firefox и Internet Explorer 8

    А где же Опера? На западе Опера не популярна? Безопаснее сидеть на непопулярных браузерах. :)

     
     
  • 2.9, strah4 (?), 13:59, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    В Германии опера то-ли лидер то-ли второе место после эксплоера.
     
     
  • 3.14, szh (ok), 14:14, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вызывающе неверная информация
     
  • 3.26, Anon (?), 14:55, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    http://gs.statcounter.com/#browser-DE-monthly-200902-201003
     
     
  • 4.121, Djam (?), 23:43, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    http://gs.statcounter.com/#browser-RU-monthly-200902-201003-bar

    особенно статистика для России примечательна :)

     
  • 3.48, yantux (??), 16:19, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для Оперы Россия вторая по количеству использующих браузер.
     
     
  • 4.69, anonymous (??), 19:27, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Лет за 10 видел оперу вживую 3 три раза Первый раз сам ткнул на иконку с прик... большой текст свёрнут, показать
     
     
  • 5.71, Аноним (-), 19:51, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто не смотрели логи сайтов с большим количеством траффика, сайтов ориентированных на аудиторию РФ.
     
  • 5.80, Hate (ok), 20:58, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А компьютеров я повидал немало за это время.

    3 штука? Многгоо...

     
  • 5.117, bolzamo (?), 15:44, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот по данным statcounter'а( http://gs.statcounter.com/#browser-RU-monthly-200902-201003 ), опера в России - самый популярный браузер. И среди компов, которые я видел, опера - более 50%, даже на линуксовых машинах.
     
  • 2.21, Zenitur (?), 14:38, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На Западе Опера непопулярна?

    Да: всю жизнь у неё было 1%, как и у Safari до недавнего времени... Лишь в России она популярнее FireFox и других браузеров. В моём небольшом городе Opera - вторая по популярности после Explorer. Почему? А потому, что здесь царит убеждение, что "Опера - самый крутой браузер, которым пользуются только самые крутые хакеры!". Может, по всей России такое встречается?

     
     
  • 3.22, Andrey Mitrofanov (?), 14:45, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >царит убеждение, что "Опера - самый
    >крутой браузер, которым пользуются только самые крутые хакеры!"

    Кстати, это обясняет, "почему не было" -- Опера вне конкурса, Крутые Ксакепы, и в жюри, и "в зале" сами её пользовали. $)

     
  • 3.36, dq0s4y71 (??), 15:50, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Может быть, большинство не всегда не право? :)
     
  • 3.40, Яба (?), 16:00, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не сочтите за обиду, в вашем небольшом городе все то немногочисленное население, у которого есть интернет, бровзает наверное только ресурсы типа гугле.ком и лента.ру )))
     
     
  • 4.79, Zenitur (?), 20:57, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Подсчёт вёлся сайтом города, да и я лично с кулхацкерами знаком. К счастью, их влияние со мной не связано, так как я самоучка и предпочитаю своё мнение чужому.
     
     
  • 5.94, azure (ok), 00:26, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > предпочитаю своё мнение чужому.

    А надо предпочитать правильное мнение неправильному.

     
     
  • 6.99, upyx (??), 05:34, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> предпочитаю своё мнение чужому.
    >
    >А надо предпочитать правильное мнение неправильному.

    А есть всего два мнения: моё и неправильное.

     
  • 6.107, ixti (ok), 11:37, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто является мерилом правильности/неправильности МНЕНИЯ?
     
  • 3.57, anon1 (?), 17:32, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Всё-таки популярность Оперы в России - это инерция. Раньше этот браузер был платным, а у нас так принято - если платное, значит очень крутое (и чем дороже, тем круче). По крайней мере в отношении к ПО так.
     
     
  • 4.72, Xaionaro (ok), 19:52, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще, Opera по мне работает намного приятнее Firefox... Относились бы они ещё к закрытости кода так же как mozilla, то firefox-ом я бы вообще не пользовался.
     
  • 4.78, filosofem (ok), 20:49, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Всё-таки популярность Оперы в России - это инерция. Раньше этот браузер был
    >платным, а у нас так принято - если платное, значит очень
    >крутое (и чем дороже, тем круче). По крайней мере в отношении
    >к ПО так.

    Инерция - да. Насчет платности - нет.
    Раньше в России почти все сидели на модемах. Опера практически искаропки оптимизирована была под такие суровые условия. Даже когда появился Фаерфокс, его нужно было уметь настроить и поставить нужные дополнения, чтобы добиться равноценного эффекта. А теперь действительно кроме инерции ничего не осталось. Они собственно сами виноваты, если бы не жадничали, могли бы быть сейчас на месте Огнелиса, у них для этого все что нужно было.

     
     
  • 5.112, vlad (??), 14:11, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    >>крутое (и чем дороже, тем круче). По крайней мере в отношении
    >>к ПО так.
    >
    >Инерция - да. Насчет платности - нет.
    >Раньше в России почти все сидели на модемах. Опера практически искаропки оптимизирована
    >была под такие суровые условия. Даже когда появился Фаерфокс, его нужно
    >было уметь настроить и поставить нужные дополнения, чтобы добиться равноценного эффекта.
    >А теперь действительно кроме инерции ничего не осталось. Они собственно сами
    >виноваты, если бы не жадничали, могли бы быть сейчас на месте
    >Огнелиса, у них для этого все что нужно было.

    Странно. У меня с точностью до наоборот всё работало. Что я делал не так? Опера тормозила страшно, а огнелис пошёл работать сразу и без тормозов...

     
  • 3.130, User294 (ok), 21:31, 28/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Лишь в России она популярнее FireFox и других браузеров.

    Интересно, это как-то связано с тем что у России две беды? :)

     
  • 2.27, Аноним (-), 14:56, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >непопулярных браузерах. :)

    security through obscurity не работает...

     

  • 1.5, strah4 (?), 13:41, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не понял. А уязвимость webkit не делает хром автоматом уязвимым? (Не спец, по-этому если вопрос глупый простите плиз).
     
     
  • 2.17, F (?), 14:24, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если я правильно понимаю, там все выполняется изолировано: и движок для каждого таба, и плагины, поэтому взлом проблематичен.
     
     
  • 3.75, Онаним (?), 20:44, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А почему все так не делают?
     
     
  • 4.83, szh (ok), 22:03, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    очень много работы по переделке, чтобы так заработало и ничего не сломалось.
     
  • 4.123, Filosof (ok), 02:40, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    последний раз "вкладка как процесс" видел в ИЕ8. Как видете это ему не разу не помогло. Всё таки, я полагаю Хром ПОКА не ломали, а про сложности сказали для отмазки.
     
     
  • 5.126, Аноним (-), 22:27, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >последний раз "вкладка как процесс" видел в ИЕ8. Как видете это ему
    >не разу не помогло. Всё таки, я полагаю Хром ПОКА не
    >ломали, а про сложности сказали для отмазки.

    Для тех кто не в курсе происходящего привожу ссылку на то сколько уязвимостей в только что появившемся Chrome

    http://secunia.com/advisories/search/?search=Chrome

    68 записей

    Причем многие из них числятся как Google Chrome Multiple Vulnerabilities. То есть дело с безопасностью этого браузера настолько плохи что их даже классифицировать не стали. Записали все скопом.

    А ведь браузеру только 2 года.

    Так что вся эта новость в пользу бедных. Google случаем не проплатил?

     
     
  • 6.127, Hate (ok), 22:50, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Причем многие из них числятся как Google Chrome Multiple Vulnerabilities. То есть
    >дело с безопасностью этого браузера настолько плохи что их даже классифицировать
    >не стали. Записали все скопом.

      Ну не свисти. Лень было внимательней посмотреть? Все протухли уже и относятся довольно таки к старым версиям.

    К этой найдешь?


    Chromium     5.0.363.0 (Сборка для разработчиков 42722)
    WebKit      533.3
    V8      2.1.8.2
    User Agent   Mozilla/5.0 (X11; U; FreeBSD amd64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.363.0 Safari/533.3
    Command Line /usr/local/share/chromium/chrome %U

     
  • 6.128, Filosof (ok), 23:44, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Так что вся эта новость в пользу бедных. Google случаем не проплатил?

    А хто его знает, я её ещё на паре ресурсов видел. Может они решили призовой фонд преобразовать в рекламный? -:) заодно добавили рекламный фонд самого мероприятия...


     

  • 1.8, evgeny_t (ok), 13:54, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мда
    у кого браузер запущен под админом , хана
     
     
  • 2.12, Аноним (-), 14:02, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да не под админом тоже очень неприятно!
     
     
  • 3.24, Andrew Kolchoogin (?), 14:53, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Что неприятного-то? Ну налетишь ты на домашнюю директорию пользователя, от которого запущен браузер, ну и что?
    Или вы работаете с приватными документами и ходите в Интернет с одного и того же аккаунта?-) А зачем вам тогда вообще Юникс?-)))
    (P.S: Лично я -- да, с одного и того же. :) Правда, из разных зон с разными метками. :)
     
     
  • 4.34, szh (ok), 15:39, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    пароли, номера кредиток, очень даже неприятно
     
  • 4.43, Аноним (-), 16:04, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А в юникс нельзя браузер запускать из под рута, а не админа. Виндовых юзеров не забывайье много. Я вот в линуксе, на простом компьютере, не хочу учить свою маму работать из под более чем одного пользователя.
     
     
  • 5.44, Andrey Mitrofanov (?), 16:07, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >не хочу учить свою маму работать из под более чем одного пользователя.

    Кольчугина позови -- научит из-под зон пользовать :D

     
  • 5.59, charon (ok), 18:17, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну не то чтобы совсем нельзя. Просто если попробовать, то на тебя браузер с ОСью посмотрят такими круглыми глазами, покрутят пальцем у виска и воскликнут: ты что, дебил? После такой реакции как-то теряешься :)
     
     
  • 6.64, Andrey Mitrofanov (?), 18:35, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >браузер с ОСью
    >покрутят пальцем у виска
    >и воскликнут: ты что, дебил?

    Гм! %)) На приёме: разговаривает с "осью" и "браузером", оспаривает установленный диагноз.

     
     
  • 7.67, charon (ok), 18:46, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я думал, вы сможете понять метафору
     
     
  • 8.96, qpq (ok), 01:40, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    заинтриговали я даже ради интереса набрал sudo firefox, затем sudo su - firefo... текст свёрнут, показать
     
     
  • 9.104, charon (ok), 10:43, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    наберите при логине в kdm gdm root и его пароль А также напишите название ОС ... текст свёрнут, показать
     
     
  • 10.108, qpq (ok), 13:14, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ubuntu 9 10, я не знаю пароля рута, да мне это и не нужно, чтобы дать root права... текст свёрнут, показать
     
     
  • 11.114, paul (??), 15:09, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    что за бред вы несете Из-за таких потом на убунту гонят ... текст свёрнут, показать
     
     
  • 12.118, qpq (ok), 15:58, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    и где, простите, я бред сказал ... текст свёрнут, показать
     
  • 10.109, qpq (ok), 13:18, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ок, теперь знаю пароль root-а, зашел под рутом в графическое окружение - никто м... текст свёрнут, показать
     
     
  • 11.110, charon (ok), 13:23, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    вы всё правильно делаете Значит, Убунта не ругается Под рутом работать можно ... текст свёрнут, показать
     
  • 11.124, Filosof (ok), 02:44, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Всё течёт всё меняется Когда я годик-два назад давал руту пароль, а потом добав... текст свёрнут, показать
     
  • 9.131, User294 (ok), 02:37, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Запустите wireshark под рут и будут вам йайцы в виде предупреждения что так де... текст свёрнут, показать
     
     
  • 10.133, qpq (ok), 03:35, 31/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    хехе, получил яйцом по фэйсу, не все еще значит так плохо, некоторые не полагают... текст свёрнут, показать
     
     
  • 11.134, User294 (ok), 04:24, 01/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Запуск софта под рутом если он может работать не под рутом - это очень плохо Ве... текст свёрнут, показать
     
  • 6.77, Онаним (?), 20:49, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >ну не то чтобы совсем нельзя. Просто если попробовать, то на тебя
    >браузер с ОСью посмотрят такими круглыми глазами, покрутят пальцем у виска
    >и воскликнут: ты что, дебил? После такой реакции как-то теряешься :)

    Во времена начального овсоения Линукса (что означает постоянные эксперименты с модификацией того и того, и постоянно писать судо страшно задалбывает) на домашней компе вобще не создавал юзеров и сидел испод рута в KDE на Слаке. И прекрасно юзал и Нетскейп и Оперу испод рута, и никто на меня круглыми глазами не смотрел, более того, ни разу не пришлось пожалеть.

     
     
  • 7.85, charon (ok), 23:21, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это в каком году было? Современные версии Линуксов брыкаются при попытке работать в Иксах под рутом.
     
     
  • 8.113, Анонимуз (?), 15:01, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не Линуксов, а Display Manager ов И не брыкаются, а всего лишь имеют галку не п... текст свёрнут, показать
     
  • 8.125, Filosof (ok), 02:46, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну половина лайвовых Слакс - точно изначально под рутом без паролей в ДЕ пуска... текст свёрнут, показать
     

  • 1.10, Аноним (-), 14:00, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    "не проводились попытки взлома" != "несокрушимый", ...не?
    по логике статьи, Опера тоже должна называться несокрушимой, как и Konqueror, например?!
     
     
  • 2.11, Andrey Mitrofanov (?), 14:02, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нудык. "А это наш неуловимый Джо." А это наша несокрушимая Опера.+++
     
     
  • 3.13, zazik (ok), 14:04, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Нудык. "А это наш неуловимый Джо." А это наша несокрушимая Опера.+++

    И самый несокрушимый - телнет. Правда есть возможность взлома мозга при рендеринге HTML.

     
     
  • 4.116, . (?), 15:29, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > И самый несокрушимый - телнет. Правда есть возможность взлома мозга при рендеринге HTML.

    :D Спасибо, поржал. В цитаты. Одназначно.

     

  • 1.15, den (??), 14:15, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня firefox запускается от обычного юзера под linux. Как в этом случае? А то получается показали все на win 7
     
     
  • 2.18, Guest (??), 14:27, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ничего, продолжать сидеть и дальше, можно и в виндовс. Не забудь только проверить что обновления для всего софта стоят и избегай сомнительных ссылок и сайтов.
     
  • 2.46, XoRe (ok), 16:12, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >У меня firefox запускается от обычного юзера под linux. Как в этом
    >случае? А то получается показали все на win 7

    Как как.
    Если эксплойт сработает и в linux, то можете потерять все файлы, которые может удалить этот обычный пользователь =)

    А вообще уязвимости находят и эксплоиты пишут под все браузеры.
    А в эпидемиях замечен пока только один IE =)

     
     
  • 3.132, User294 (ok), 02:43, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А в эпидемиях замечен пока только один IE =)

    Наверное потому что остальные не тупят по месяцу (а иногда и больше) с выпуском хотфиксов на критичные дыры.

     

  • 1.16, Аноним (-), 14:19, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В соревнованиях по взлому веб браузеров несокрушимым остался только Google Chrome
    >Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома

    неуловимый Джо ...

     
     
  • 2.60, charon (ok), 18:20, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>В соревнованиях по взлому веб браузеров несокрушимым остался только Google Chrome
    >>Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома
    >
    >неуловимый Джо ...

    Неуместная шутка. В отличии от Оперы, Хром в конкурсе участвовал. Просто взломать его настолько сложно, что никто не взялся.

     
     
  • 3.65, Andrey Mitrofanov (?), 18:38, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >что никто не взялся.

    То есть Вы не знаете первоисточника про Джо Н.? Или утверждаете, что держали свечку и _мотивы тех, кто "не взялся" Вам изветсны лучше?... :/

     
     
  • 4.68, charon (ok), 18:48, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>что никто не взялся.
    >
    >То есть Вы не знаете первоисточника про Джо Н.? Или утверждаете, что
    >держали свечку и _мотивы тех, кто "не взялся" Вам изветсны лучше?...
    >:/

    При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынка и опережает Сафари, который на конкурсе взломали. Из этого делаем вывод, что называть браузер, обгоняющий Оперу и Сафари по популярности, нельзя называть неуловимым Джо.

     
     
  • 5.89, XoRe (ok), 23:38, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/

    >При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынка

    Ссылку можно?)
    Да, и какого рынка-то?
    Браузеры бесплатные.

     
     
  • 6.93, charon (ok), 23:49, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынка
    >
    >Ссылку можно?)

    Я не запоминаю все ссылки. Просто читайте новости, такую статистику почти каждый месяц публикуют где-то. А пока можно взглянуть хотя бы на http://www.w3schools.com/browsers/browsers_stats.asp
    Только не надо про необъективность. Это просто то, что я быстро нашёл.

    >Да, и какого рынка-то?
    >Браузеры бесплатные.

    Рынок - не очень подходящее слово. Но смысл тот же. Я имел в виду статистику использования браузеров по логам популярных сайтов.


     
  • 6.97, szh (ok), 02:01, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ссылку можно?)

    http://marketshare.hitslink.com/browser-market-share.aspx?qprid=1

    > Да, и какого рынка-то?

    США.

    > Браузеры бесплатные

    бизнес делается, деньги вкладываются и зарабатываются миллионами.

     

  • 1.19, Zenitur (?), 14:35, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Несокрушимым остался лишь Google Chrome

    Ну и правильно. Исходник FireFox в tar.bz2 - 47 мегабайтов, исходник Chromium в tar.gz - 800 мегабайтов! Эти хакеры до сих пор не изучили код Chromium...

     
     
  • 2.101, Аноним (-), 09:39, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ого! Это только «trunk» или со всеми веками всех разработчиков?
     
  • 2.115, paul (??), 15:15, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >исходник Chromium в tar.gz - 800 мегабайтов!

    chromium-browser_5.0.363.0~svn20100326r42724.orig.tar.gz 26-Mar-2010 03:21 89M

     

  • 1.20, Аноним (-), 14:37, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    не взломали потому что не пытались... хаха, инетересная секурити ;). А если вспомнить про дыры, их в хроме уже находили минимум 2 раза.
     
     
  • 2.25, Аноним (-), 14:54, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тоже обратил внимание. Получается, не Хром стал несокрушимым, а просто всем было лень. Я даже думаю, что участник, который рассказал про архитектуру Хрома, работает в Гугле.
     
  • 2.61, charon (ok), 18:21, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >не взломали потому что не пытались... хаха, инетересная секурити ;). А если
    >вспомнить про дыры, их в хроме уже находили минимум 2 раза.

    Ну при чём тут дыры? Вы лучше рабочие эксплойты перечислите. На конкурсе не за дыры платят, а за демонстрацию возможности их применения.

     

  • 1.31, Coder (?), 15:08, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А почему links с lynxом не ломали?
     
     
  • 2.35, szh (ok), 15:41, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    неполноценные браузеры по меркам 2010 года.
     
     
  • 3.55, Анон (?), 17:04, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >неполноценные браузеры по меркам 2010 года.

    да что вы! в верстке я хоть и стараюсь не использовать навороты ака аякс, но все же порой довольно заковыристые страницы получаются, с удивлением обнаружил, что линкс2 вполне себе браузер когда мне понадобилось зайти на собственный же сервис, а под рукой был только один лишь сервер с моником и клавой, где никакими Иксами и не пахло.

     
     
  • 4.74, szh (ok), 20:36, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну так нынче (2010) браузер - это вебплатформа, а не просто просмотрщик html.
    Без js - неполноценно хотя и не бесполезно.
     
  • 2.58, jura12 (??), 18:16, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а какой лучше? links или lynx ? чем отличаются?
     
     
  • 3.70, anonymous (??), 19:33, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а какой лучше? links или lynx ? чем отличаются?

    Первый js умеет.

     
     
  • 4.73, szh (ok), 20:25, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    запустил обоих на опеннет и acid3.acidtests.org, - js не умеют.
     
  • 3.87, минона (?), 23:26, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    elinks
     

  • 1.32, mma (?), 15:32, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    так взлом проводился на оффтопике. неинтересно надо было им дать rhel или вообще openbsd -  пусть бы попотели
     
     
  • 2.38, birdie (?), 15:58, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –17 +/
    Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd никому не нужны.
     
     
  • 3.41, Дерзкий (?), 16:02, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это более серверные операционки, чем пользовательские. Поэтому их сравнивать нельзя! У серверных операционок защита всегда лучше.. Если конечно СисАдмин не напортачил. +на Unix-подобные операционки вирусов не существует(по моим данным).. Но сам  я пользуюсь Windows7, каждая операционка имеет своё назнначение.
     
     
  • 4.49, XoRe (ok), 16:20, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Это более серверные операционки, чем пользовательские. Поэтому их сравнивать нельзя! У серверных
    >операционок защита всегда лучше.. Если конечно СисАдмин не напортачил. +на Unix-подобные
    >операционки вирусов не существует(по моим данным).. Но сам  я пользуюсь
    >Windows7, каждая операционка имеет своё назнначение.

    В *nix любая система защиты может работать как на сервере, так и на десктопе (при желании).
    А вообще абстрактные рассуждения - это такая штука, где сложно что-то доказать или опровергнуть.
    Поэтому перейдем к конкретным примерам:
    Можно поставить acl, SElinux, AppArmor, настройки компилятора для безопасности и т.д.
    И это не зависит от того, будут установлены иксы и прочая, или нет.
    Правда с настройками таких штук, как SElinux и AppArmor на десктопе, нужно будет повозиться =)
    Но возможность есть.

    Вирусы под некоторые Unix-подобные операционки тоже есть.
    Особенно, под linux на x86 компе.
    Но туда ему ещё попасть надо)
    И ещё как-то запуститься.

    А тот пост, на который вы отвечали - бредовый.
    Не ведитесь на троллинг =)

     
  • 3.45, XoRe (ok), 16:10, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем
    >во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd
    >никому не нужны.

    Чтобы не разводить троллинг:
    пруфлинк сего высказывания? =)

     
     
  • 4.52, Аноним (-), 16:44, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Как-то так:

    http://research.microsoft.com/en-us/um/people/tuomaura/teaching/network-secur

    SeLinux в Windows нет и не будет, ибо система не так функционирует :)

     
     
  • 5.54, XoRe (ok), 17:03, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Как-то так:
    >
    >http://research.microsoft.com/en-us/um/people/tuomaura/teaching/network-secur
    >
    >SeLinux в Windows нет и не будет, ибо система не так функционирует
    >:)

    Не совсем понял, к чему ссылка)
    Там обзор методов и способов.

     
  • 3.51, anonymous (??), 16:37, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Windows 7 64 гораздо круче

    а в 32-битной версии чуть поменьше?

     
     
  • 4.62, charon (ok), 18:24, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Windows 7 64 гораздо круче
    >
    >а в 32-битной версии чуть поменьше?

    да, защита 32-битной версии хуже. Некоторые механизмы защиты реализованы только в 64-битной версии. Да и вирусописатели пока не сильно жалуют вниманием 64 бита.

     
  • 3.56, Анон (?), 17:05, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем
    >во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd
    >никому не нужны.

    Толсто, хватит бросать гуану на вентилятор.

     

  • 1.37, Аноним (-), 15:54, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    люди, ломающие браузеры, работают в гугле?
     
     
  • 2.63, charon (ok), 18:26, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >люди, ломающие браузеры, работают в гугле?

    нет, и ведь даже в статье привели пример конторы, где работает один из финалистов. Почему бы вам не поверить, что Гугл Хром действительно защищённый браузер? Или вы думаете, что написать надёжный код невозможно в принципе, даже обладая возможностями Гугла?

     
     
  • 3.76, Kisa (??), 20:45, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе. Даже обладая возможностями Google и Microsoft вместе взятых. Слишком много противоречивых факторов. Главное: _никому_ не нужен абсолютно надежный браузер! И объем кода в современных браузерах именно уже такой значительный.

    Что до Chrome, да, его еще никто всерьез не изучал и особо взломать не пытался. Вопрос времени, как всегда.

     
     
  • 4.84, szh (ok), 22:11, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Что до Chrome, да, его еще никто всерьез не изучал и особо взломать не пытался. Вопрос времени, как всегда.

    это информация поступила тебе из астрала ? Так приписывай свое имхо.

    Хром уже на 3 месте в США, так что очевидно его и изучали и пытались взломать не меньше чем Safari.

    В хроме с самого начала уделили безопасности больше внимания чем в любом другом браузере.

     
  • 4.86, charon (ok), 23:25, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Что до Chrome, да, его еще никто всерьез не изучал и особо
    >взломать не пытался. Вопрос времени, как всегда.

    ну что ж, тогда подождём. Как вы думаете, сколько нужно времени?
    Дело в том, что Хром уже второй раз заявлен в конкурсе, а желающих его ломать так и не нашлось. Взлом Хрома по-любому принесёт столько очков славы и самую настоящую мировую известность (зная Гугл, может и еще что-то перепадёт), что мне трудно поверить, что никто не захотел его сломать.

     
  • 4.90, XoRe (ok), 23:42, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе.

    Это на основе каких исследований?)

     
  • 4.135, nuclight (ok), 10:13, 07/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе.
    >Даже обладая возможностями Google и Microsoft вместе взятых.

    Что, правда? Авторы QNX и военного софта с вами не согласятся.

    >Слишком много противоречивых факторов. Главное: _никому_ не нужен абсолютно надежный браузер!

    Это почему вдруг? Ну хакерам не нужен, понятно, да.

     

  • 1.39, Дерзкий (?), 15:58, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Опера там не очень популярна из-за конфликта Оперы с оффициальными сайтами Microsoft. Опера очень долгое время не могла входить в почтовые сервисы Hotmail.com(MSN), ОффСайт компании microsoft тоже ей игнорировался.. А так-как на западе почти все пользуются ЛЕАЛЬНЫМИ версиями Windiws то это проблема для пользователей, которые регулярно обновляют ОС.. +к этому у них есть нормальный бесперебойный скоростной интернет, а Оперу очень часты выбирают потому что она быстрее работает(Как программа и как браузер).
     
  • 1.81, pavlinux (ok), 21:27, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А тля... Гугля проплатилась

    > DEP (Data Execution Prevention) и
    > ASLR (Address Space Layout Randomization)
    > оказались бессильны и не смогли предотвратить атаку.

    Это на firefox и IE,
    А для Гугла Хрома, это был вдруг стал не преодолимый барьер...

    > Google Chrome крайне сложна для вторжения: невозможность выполнения кода в куче,
    > защита самой операционной системы (Data Execution Prevention, ASLR  и пр.)

    И это за соревнования такие, целый год хакают и молчат?

    Надо, блин, всех раздевать и выдавать спецовку без карманов.
    Загонять в закрытое помещение, как кабинка в тире - монитор, клава, мышь, закрытый системник, и никакой сети.

     
     
  • 2.88, charon (ok), 23:30, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А тля... Гугля проплатилась
    >
    >> DEP (Data Execution Prevention) и
    >> ASLR (Address Space Layout Randomization)
    >> оказались бессильны и не смогли предотвратить атаку.
    >
    >Это на firefox и IE,
    >А для Гугла Хрома, это был вдруг стал не преодолимый барьер...

    На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют Винду по сравнению с МакОсью. Очевидно, что FF и IE просто не используют весь их потенциал, либо используют его неправильно.

    На чём основаны ваши обвинения Гугла? Кого они купили? Вы же понимаете, что в конкурсе участвуют настоящие хакеры, которым не так и сильно нужны деньги Гугла, у них хорошие зарплаты. Насколько я знаю, 10 штук баксов (или сколько там призовой фонд) - это месячная зарплата хорошего АйТишника в Америке, так что это скорее соревнование талантов, а не чисто бабла подсобирать. На взломе Хрома можно поднять много очков славы...

     
     
  • 3.92, XoRe (ok), 23:47, 25/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют
    >Винду по сравнению с МакОсью.

    Выгодно отличают в речах маркетологов?
    Их "неплохость" стремится к нулю, если их можно обойти.

    >Очевидно, что FF и IE просто
    >не используют весь их потенциал, либо используют его неправильно.

    Т.е. "это не у нас машины плохие, это вы на них неправильно ездите"?)

    P.S.
    Можем обсудить DEP и ASLR более подробно =)

     
     
  • 4.105, charon (ok), 10:45, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют
    >>Винду по сравнению с МакОсью.
    >
    >Выгодно отличают в речах маркетологов?
    >Их "неплохость" стремится к нулю, если их можно обойти.

    Выгодно в речах Гугла и некоторых участников конкурса Pwn2Own.

     
  • 2.119, Андрей (??), 22:04, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не правильный подход предлагаете. Нынче основные опасности исходят из Сети...
     
     
  • 3.122, pavlinux (ok), 01:19, 27/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Не правильный подход предлагаете. Нынче основные опасности исходят из Сети...

      Сеть такая же абстракция как и файл. Конкурс это доказательство способности личности,
    в данном случае, в единственном числе - хакера.
      А скаченный эксплойт из сети, не известно кому принадлежит, то ли хакеру, то ли засланцу
    из Google, FBI, CIA, в поисках которого работали тысячи человек в течении года, или
    более того, с помощью этих же засланцев, впиндюривали бэкдоры в браузеры.
    Думаете спецслужбы упустят такой шанс, трахнуть всю планету.

    Задачи конкурса не должны быть известны до его начала.

     

  • 1.98, Аноним (-), 03:41, 26/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-201003
    Opera Очень незаметная.....
     
     
  • 2.102, Perec (?), 09:51, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-201003
    >Opera Очень незаметная.....

    Вот когда в хром внедрят управление мфшкой, как в опере, я на него перейду.
    А до тех пор с оперы не ногой.

     
     
  • 3.120, Андрей (??), 22:05, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-201003
    >>Opera Очень незаметная.....
    >
    >Вот когда в хром внедрят управление мфшкой, как в опере, я на
    >него перейду.
    >А до тех пор с оперы не ногой.

    мЫшкой, Вы имели в виду? дык плагин уже есть... :)

     
  • 2.106, charon (ok), 10:46, 26/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-201003
    >Opera Очень незаметная.....

    Это про мобильные браузеры. Вы так и напишите - хочу, чтобы взломали мобильную Оперу.

     

  • 1.103, Аноним (-), 10:12, 26/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В этих ноутбуках аппаратные бэкдоры, говорят стоят
     
  • 1.111, Александр (??), 13:40, 26/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Судя по тексту, DEP и пр. для Хрома защитой является, а в отношении IE и других - совсем даже ничему не помогли :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру