OpenForum RSS: Google организовала соревнование по взлому Native Client https://slinkov.ru/openforum/vsluhforumID3/50053.html "Announcing the Native Client Security Contest (http://google-code-updates.blogspot.com/2009/02/announcing-native-client-security.html)" - чтобы доказать высокую безопасность открытой платформы Native Client (http://code.google.com/p/nativeclient/), позволяющей (http://www.opennet.ru/opennews/art.shtml?num=19308) выполнять в окне web-браузера обычные бинарные приложения, компания Google предложила выплатить 8 тыс. долларов тому, кто сумеет обнаружить в данном ПО уязвимость и представить готовый эксплоит. Работы на конкурс будут приниматься до 5 мая.<br><br>URL: http://google-code-updates.blogspot.com/2009/02/announcing-native-client-security.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=20500<br> Google организовала соревнование по взлому Native Client (bAlex) https://slinkov.ru/openforum/vsluhforumID3/50053.html#9 Sat, 28 Feb 2009 18:19:28 GMT Гуг давно метит в нового мягкохо магната. У него все карты, он без малого владеет информацией, которая дорогого стоит. И если гуглу нужно ещё больше инфы, то это возможно только будучи "внутри" каждого пользователя. Пока мягко проталкивают "необходимость" натива у клиента под соусом удобства,эффективности, функциональности интерфейса браузера.<br>А вот что бы в новом стандарте HTML осилить рендеринг меню, ни у кого мысль дальше "теории" не пошла. Так и будет нужен JavaScript управляющий слоями...<br> Google организовала соревнование по взлому Native Client (DmA) https://slinkov.ru/openforum/vsluhforumID3/50053.html#8 Sat, 28 Feb 2009 15:48:47 GMT похоже человек слышал,что активХ плохо и думает,что всё остальное безопасно.Даже на этом сайте кучу новостей про дыры в этих технологиях.куки,джаваскрипт плохо на компьютере могут сработать,а включеный текст и картинки на человека могут плохо повлиять :)<br> Google организовала соревнование по взлому Native Client (User294) https://slinkov.ru/openforum/vsluhforumID3/50053.html#7 Sat, 28 Feb 2009 13:45:47 GMT &gt;то есть javascript вы разрешили? а не страшно? <br><br>В просто Java дырок было на порядок больше.Например, обход песочницы и выполнение с правами текущего юзера бывало не раз.Да и вообще, ИМХО java слишком много всего умеет чтобы веб-контенту идущему фиг знает откуда все это позволять.Жаваскрипт юзает настройки браузера.И если там проксь стоит - будет юзать проксь.А жава может потенциально накласть на проксь, узнать мой реальный внешний айпи а то и информацию о интранете, etc.Шло б оно такое.Туда же идут и гуглклиенты, наверняка тоже умеет сильно больше чем хочется позволять untrusted коду.А потому найдутся и те кто этим будет пользоваться.Ессно против юзера и ему во вред, а вовсе не на благо.Благими намерениями вымощена дорога в ад...<br> Google организовала соревнование по взлому Native Client (User294) https://slinkov.ru/openforum/vsluhforumID3/50053.html#6 Fri, 27 Feb 2009 22:58:39 GMT Нене, спасибо, как хаксоры обходят жава-песочницы я видел. Лучшая защита от малвари - это просто отсутствие нужного ей функционала.Нельзя скрипту создавать сокеты - нельзя и спам слать, прокси без моего ведома гонять и прочая.Нельзя файлы читать?Ну вот и пароли оно у меня не сопрет и ремотный доступ не обеспечит.И это для веба хорошо - потому что плохих парней там много а бесплатные спам-машины и прокси им ой как нужны.<br> Google организовала соревнование по взлому Native Client (_umka_) https://slinkov.ru/openforum/vsluhforumID3/50053.html#5 Fri, 27 Feb 2009 18:17:35 GMT то есть javascript вы разрешили? а не страшно?<br>http://securityvulns.com/news1245.html<br>http://securityvulns.ru/news/Mozilla/Firefox/0803.html<br>http://securityvulns.ru/news/Mozilla/Firefox/Garbage.html<br>и тп..<br> Google организовала соревнование по взлому Native Client (ixrws) https://slinkov.ru/openforum/vsluhforumID3/50053.html#4 Fri, 27 Feb 2009 18:17:14 GMT Ну можно как вариант - это заменить жабускрипт на С, то есть нативно, но передаётся в исходниках и компилируется. Для защиты, его линковать с изолированным окружением и эмулированными библиотеками. В общем в контейнер его, и быстро и качественно. А интерфейс на gtk :D<br> Google организовала соревнование по взлому Native Client (User294) https://slinkov.ru/openforum/vsluhforumID3/50053.html#3 Fri, 27 Feb 2009 17:13:00 GMT По-моему лучшее доказательство - это ФИГА нативному коду из веба на моей машине.<br>Пусть обходятся жабаскриптом, хтмл и css.Они моему компьютеру вреда нанести не могут.А вот всякие активиксы мы уже проходили, больше не хочется, спасибо.<br> Google организовала соревнование по взлому Native Client (heilkitty) https://slinkov.ru/openforum/vsluhforumID3/50053.html#2 Fri, 27 Feb 2009 16:28:48 GMT Думается, не только доказать, но и найти самые жырные дыры (буде таковые имеются), пока не поздно.<br> Google организовала соревнование по взлому Native Client (vitek) https://slinkov.ru/openforum/vsluhforumID3/50053.html#1 Fri, 27 Feb 2009 16:06:34 GMT 8 тыщ - маловато.<br>большой наплыв народу ждут наверное. :-D<br><br>но ссылку запомнил.<br>