https://www.opennet.me/openforum/vsluhforumID3/92658.html Подведены итоги (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-Tokyo-2013-Crash-bang-boom/ba-p/6269791#.UoXEUVVxV_Q) очередного соревнования Mobile Pwn2Own, в рамках которого были представлены рабочие эксплоиты для ранее неизвестных уязвимостей в мобильных версиях браузеров Chrome, IE 11 и Safari. Успешные атаки были продемонстрированы для Android-версии Chrome (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Chrome-on-a-Nexus-4-and-Samsung-Galaxy-S4-falls/ba-p/6268679) на смартфонах Nexus 4 и Samsung Galaxy S4, IE 11 (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-Tokyo-2013-Crash-bang-boom/ba-p/6269791#.UoXEUVVxV_Q) на планшете Surface Pro с Windows 8.1, а также для Safari (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Mobile-Pwn2Own-2013-Yields-Exploits-in-Safari-Samsung-S4/ba-p/6268553#.UoXEWVVxV_Q) на iPhone 5. <br><br><br>Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы. При демонстрации атак испол https://www.opennet.me/openforum/vsluhforumID3/92658.html#38 Mon, 18 Nov 2013 10:55:02 GMT Не очень реалистичная бизнес стратегия. Вполне может быть, что ты за жизнь не осилишь ни один эксплоит.<br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#37 Mon, 18 Nov 2013 07:25:32 GMT &gt; запускай с noscript <br>&gt; Будет еще не удобнее <br><br>Терпимо. Иногда тыкать менюшку надо на новых сайтах. По крайней мере, можно использовать браузер по назначению, в отличии от контейнеров.<br><br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#36 Mon, 18 Nov 2013 07:23:35 GMT Над встроенными средствами браузера активно работают хакеры. Судя по сабжу, их все равно обходят. LXC в принципе не безопасный и годится только для разделения ресурсов.<br>Может какой сторонний механизм для атакующего будет неожиданностью, но если браузер затроянится и будет изолирован от системы, то толку от этого не много. Мне лично надо скачивать файлы и т д, т е доступ к внешним фс, а это означает возможность спереть или заразить мои файлы.<br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#35 Sat, 16 Nov 2013 20:30:25 GMT &gt; 3 миллиона рублей за багфикс - респект.<br><br>Гугол потеряет гораздо больше, если эксплоит начнет гулять по сети.<br>Взломы хрома - проблемы (и потери) у пользователей, истерические статьи "хром небезопасен", потеря аудитории.<br>Плюс, снижение акций на бирже.<br>А акции - это такая штука... при стоимости компании в 200 млрд $, плюс-минус процент - это плюс-минус миллиард.<br>А в России вообще из за одного пропущенного слова банк тинькофф потерял 40% своей стоимости.<br>http://top.rbc.ru/economics/15/11/2013/889078.shtml<br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#34 Sat, 16 Nov 2013 20:24:25 GMT &gt;&gt; вашего согласия, хакерский скрипт не украдет куки, внешняя вебстраничка не сможет <br>&gt;&gt; сунуться в домашний роутер на 192.168, ...<br>&gt; А ты включаешь доступ извне в домашний роутер? Нахуа?<br><br>ви такой юный)<br><br>Изнутря, а не извне.<br>К слову сказать, в некоторых роутерах против такой фигни сделана капча при логине.<br>Хотя и простенькая, но все же.<br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#33 Sat, 16 Nov 2013 14:37:01 GMT &gt;&gt; запускай с noscript <br>&gt;&gt; Будет еще не удобнее <br>&gt; Зато отвалится уйма атак. И просто нежелательного поведения. Так что в три <br>&gt; часа ночи никто не заорет вам благим матом в динамики без <br><br>А ты ночью держишь включенную 5.1? Нахуа?<br><br>&gt; вашего согласия, хакерский скрипт не украдет куки, внешняя вебстраничка не сможет <br>&gt; сунуться в домашний роутер на 192.168, ...<br><br>А ты включаешь доступ извне в домашний роутер? Нахуа?<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#31 Fri, 15 Nov 2013 17:18:41 GMT &gt;&gt; http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2005.html <br>&gt; Пока некоторые пишут тезисы, гугл просто запилил у себя в браузере<br><br>Даты сравнили, да?<br><br>&gt; Больно много бухтежа<br><br>Больно много суидности.<br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#29 Fri, 15 Nov 2013 16:39:33 GMT &gt;&gt; 3 миллиона рублей за багфикс - респект.<br>&gt; За более скромные суммы мало кто готов делиться. Зажимание найденных ошибок в <br>&gt; браузерах уже стало доброй традицией.<br><br>Если слово доброй заключить в кавычки, то тогда можно и плюсануть.<br>Хотя наверное и так можно.<br><br>И как мне кажется, в данном случае бабло "пошло" на "добро".<br>Хотя что для русского хорошо, то для немца...<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/92658.html#28 Fri, 15 Nov 2013 16:23:35 GMT &gt; запускай с noscript <br>&gt; Будет еще не удобнее <br><br>Зато отвалится уйма атак. И просто нежелательного поведения. Так что в три часа ночи никто не заорет вам благим матом в динамики без вашего согласия, хакерский скрипт не украдет куки, внешняя вебстраничка не сможет сунуться в домашний роутер на 192.168, ... <br><br>