forum.opennet.ru

"На соревновании Pwn2Own 2014 продемонстрированы взломы Chrom..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "На соревновании Pwn2Own 2014 продемонстрированы взломы Chrom..."	–1 +/–
Сообщение от Аноним (-), 16-Мрт-14, 14:32
Зачем гугл? То, что он написал - элементарные задачки. Это знает почти любой линуксоид. Проблема в том, что монтирование корня в ro лишит тебя обновлений и по сути будет просто играть роль плацебо. Плюс, не учтено, что перемонтировать корень в режим rw тоже возможно, если получить права рута. Единственное спасение в таком случае - записать основные каталоги типа /usr на флеш-накопитель с аппаратным запретом записи. И изредка включать режим записи для загрузки обновлений безопасности. Запрет исполнения скриптов в домашнем каталоге тоже особо много не даст. Есть обходные способы запуска программ. Даже тот же запуск любой проги через скрипт. /bin/bash ./hi.sh В принципе можно обезопасить себя простой настройкой AppArmor и SELinux. С помощью них можно полностью запретить доступ браузера к файловой системе, а также ограничить его системные вызовы, исключив из них потенциально опасные, которые он вызывать не должен. Всё это вполне реализуемо, но потребует около месяца ежедневной работы.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

На соревновании Pwn2Own 2014 продемонстрированы взломы Chrom..., opennews, 15-Мрт-14, 20:52 [смотреть все]

С продуктами Adobe все предсказуемо, Аноним, 15-Мрт-14, 20:52 (1) //
- Кк и с продуктами гугла и мозиллы, а именно все продуткты имеют уязвимости , Тот_Самый_Анонимус, 16-Мрт-14, 08:46 (35) //
  - адобе обычно ждёт активной эксплуатации дыры, а гугель дыры эти активно ищет, ле, Карбофос, 16-Мрт-14, 13:37 (47)
Запускать приложения на дырявой винде и выплачивать бабло это такое хобби , Аноним, 15-Мрт-14, 21:01 (2) //
- Ну надо же как-то это решeто прикрыть Сменить ОС - не юникс вей работает - не , Аноним, 15-Мрт-14, 21:11 (3) //
  - тык вот значит что такое unix way - , Xasd, 15-Мрт-14, 21:31 (5) //
    - Именно так Ломать-улучшать-заменять то, что работает и так - первый признак лен, Аноним, 15-Мрт-14, 21:38 (6)
      - Велосипедизм без причины -- признак поттерчины , Фыр, 15-Мрт-14, 22:04 (13)
        
        Не только Смена ОС, которая и так худо-бедно работает, на что-то более крутое , Аноним, 16-Мрт-14, 15:40 (55)
- Капитан намекает смена операционки не сильно влияет на дыры в _приложении_ , Аноним, 15-Мрт-14, 21:26 (4) //
  - Капитан поддельный IE для других платформ не существует , VldK, 15-Мрт-14, 21:43 (8) //
    - В IE найдено меньше дыр чем в фоксе Но мы этот факт признать не можем и даже , Аноним, 16-Мрт-14, 01:54 (32)
      - Тот факт, что IE проприетарное ПО с закрытым кодом, а исходники FF доступны всем, Аноним, 16-Мрт-14, 11:17 (38)
        
        Разница на уровне конечного результата лично от меня ускользает , Аноним, 16-Мрт-14, 11:18 (39)
        
        А это просто часть дыр могла оказаться не обнаруженной Их искать дольше Поэто, Аноним, 16-Мрт-14, 12:33 (44)
        
        правильнее , возможно так - выгодно не демонстрировать дыры на конкурсах, а сн, none_first, 17-Мрт-14, 14:13 (92)
      - Как насчет признать факт найдено существует , Аноним, 16-Мрт-14, 21:04 (78)
  - дыры в приложении не в последнюю очередь зависят от API системы, так что смена о, hoopoe, 15-Мрт-14, 21:45 (9) //
    - Штуки типа переполнений буферов или слабой валидации данных не особо зависят от , Аноним, 16-Мрт-14, 12:34 (45)
      - А вот то, что можно сделать после заливки шеллкода - очень даже зависит , Аноним, 16-Мрт-14, 15:42 (56)
      - Они скорее зависят от конфигурации системы, причём, судя по условиям конкурса, о, Аноним, 17-Мрт-14, 09:47 (91)
  - влияет на последствия эксплуатации дыры в приложении, хм, 15-Мрт-14, 21:52 (11)
  - Угу, влияет только на результат их использования , тоже Аноним, 15-Мрт-14, 21:55 (12)
  - ну почему-же вот к примеру в прошлом году, взломать праузер chrome удалось толь, llirik, 15-Мрт-14, 22:27 (16)
  - да, но виндах ты получишь шелл с правами админа, в линуксе - шелл с правами то, адекват, 16-Мрт-14, 09:55 (36) //
    - Ты неадекват Там что, неясно написано о повышении доступа , Аноним, 16-Мрт-14, 11:19 (40)
      - И что, сложность повышения привилегий уже не зависит от системы Специалисты, бл, тоже Аноним, 16-Мрт-14, 12:11 (43)
      - Повышение доступа с полпинка - фирменная фича винды В линуксах такое находят ре, Аноним, 16-Мрт-14, 23:57 (88)
    - Это как правило всех устраивает можно умыкнуть данные пользователя запустить , Аноним, 16-Мрт-14, 12:35 (46)
      - Проксики спамеры ддос-боты, запущенные от простого пользователя, очень легко нах, Аноним, 16-Мрт-14, 17:47 (61)
        
        171 обычный пользователь 187 гордится тем, что даже задницу сам вытереть не , arisu, 16-Мрт-14, 18:47 (65)
        
        uid 0 гордиться агрессивным нежеланием что-либо знать , Аноним, 16-Мрт-14, 20:57 (75)
        
        меньше тупим йод кушаем, рыбу, для мозга полезную , arisu, 16-Мрт-14, 21:02 (76)
        
        Приятного аппетита , Аноним, 16-Мрт-14, 21:05 (79)
- В самых сильных странах сильно развита наука Делать фантазийную ерунду, и получ, Tau, 16-Мрт-14, 13:57 (49) //
  - правда, извращённый секс с виндой в странные отверстия ни разу не наука но с то, arisu, 16-Мрт-14, 18:52 (67) //
    - Все обыватели так говорят И обывателю и платят меньше, говорят что именно дел, Tau, 16-Мрт-14, 20:07 (71)
      - Не знаю, как правильно - с заглавной ли Но, вроде, не та грань Или та В люб, Tau, 16-Мрт-14, 20:10 (72)
        
        скажи, ты таким дураком уже родился, или это приобретённое, от того, что тебя в , arisu, 16-Мрт-14, 20:43 (74)
Ну вот, снова все о том, что все плохо у них Вот вы лучше скажите как в Linu, vi, 15-Мрт-14, 21:41 (7) //
- Столлман примерно так и делает , Аноним, 15-Мрт-14, 21:51 (10) //
  - У него мощи процессора не хватит на столько виртуалок Интернет использует, но И, Tau, 16-Мрт-14, 20:13 (73) //
    - - Мне хватает ответ на вопрос о том, не Столлман ли, возможно навсегда остан, Anonym2, 19-Мрт-14, 18:14 (93)
  - Неа У Столмана есть верные ученики, которые за него читают интернет, анализирую, Аноним, 17-Мрт-14, 00:03 (89)
- У тебя в голове что-то сломалось Не проще ли телнетом или wget запросить нужную , Фыр, 15-Мрт-14, 22:08 (14) //
  - У тебя есть гарантия неуязвимости этого простого скрипта Что он при любых входн, Lain_13, 15-Мрт-14, 22:35 (18) //
    - Да Скрипт может и сгрызёт часть полезной информации при специальным образом сге, Фыр, 15-Мрт-14, 22:39 (20)
      - Чушь несёшь Кривая страница может оказаться некорректно обработана скриптом и в, Lain_13_too_lazy_to_login, 15-Мрт-14, 23:03 (25)
        
        Да вдумайся ты в суть задачи Да там даже на плюсах получится 2 десятка строк код, Фыр, 15-Мрт-14, 23:21 (28)
        
        Кстати, есть Lynx Картинки не отображает, JS не исполняет, как и Flash Даже ку, Аноним, 16-Мрт-14, 15:48 (57)
        
        Минимализм - еще не гарантия защищенности Например, выполнение произвольного ко, Аноним, 16-Мрт-14, 23:50 (86)
        
        Излишняя самоуверенность - путь к провалу Плюсы - это такой язык, что даже гуру , Аноним, 16-Мрт-14, 23:48 (85)
- начни с разработки своего железа и делом займёшься, и глупости больше писать не, arisu, 15-Мрт-14, 22:23 (15)
- Безопаснее всего их просматривать с расстояния метров 10 от монитора и даже даль, Lain_13, 15-Мрт-14, 22:32 (17) //
  - Согласен, мысли очень даже материальны Так что поосторожнее с ними нашем мире , vi, 15-Мрт-14, 22:46 (21)
- Основная проблема безопасности браузеров заключается в существовании JavaScripts, freehck, 15-Мрт-14, 22:37 (19) //
  - выкидывание js flash и консоль это таки немного разные вещи Первое, увы, не , vn971, 16-Мрт-14, 03:21 (34) //
    - И тоже не безопасно, кстати , Аноним, 17-Мрт-14, 00:04 (90)
  - Любопытно, почему интернет-покупки столь основаны на именно дырявых и опасных ба, Anonym2, 19-Мрт-14, 19:28 (94)
- корень в ro монтировать глянуть ps -A какие приложения с какими привелегиями за, адекват, 16-Мрт-14, 10:01 (37) //
  - Спасибо А где можно глянуть почти полный список Или каким запросом google-ит, vi, 16-Мрт-14, 13:46 (48) //
    - Зачем гугл То, что он написал - элементарные задачки Это знает почти любой лин , Аноним, 16-Мрт-14, 14:32 (50)
      - Где то валяется flash-ка с переключателем на ro Всего 128MB Но можно какой ниб, vi, 16-Мрт-14, 15:12 (52)
        
        А какой смысл Если ты задаёшь такие вопросы, значит по части безопасности не ра, Аноним, 16-Мрт-14, 15:32 (53)
        
        Вопросы задаю для поддержания дискуссии Да, всего не учесть, особенно когда мног, vi, 16-Мрт-14, 16:31 (59)
        
        Виртуалка - потеря производительности Она больше подходит для разработки и для , Аноним, 16-Мрт-14, 17:11 (60)
        
        Как показывает практика, антивирусы на которые вы намекаете мышей не особо лов, Аноним, 16-Мрт-14, 17:49 (62)
        
        Собираюсь, почему же Так или иначе придётся по работе примерно через год А до , Аноним, 16-Мрт-14, 18:12 (63)
        
        внизапна 8230 впрочем, не буду портить сюрпризы , arisu, 16-Мрт-14, 18:49 (66)
        
        Подразумевались интерактивные средства Понятно, что по сути я описал SELinux и , Аноним, 16-Мрт-14, 18:59 (69)
        у меня есть подозрение, что тут как обычно всё пока сам себе хорошо не сделаешь, arisu, 16-Мрт-14, 19:03 (70)
        Написать гуй для ausearch aureport autrace - задача несложная Видимо, никому, к, Аноним, 16-Мрт-14, 21:03 (77)
        Смеётесь Запускать все процессы через autrace Но за информацию об утилитах спа, Аноним, 16-Мрт-14, 21:26 (80)
        Спасибо всем за инфу Для начала думаю достаточно Надеюсь надеюсь никогда не , vi, 16-Мрт-14, 22:33 (82)
        Я вам еще более страшную тайну открою погуглите про setroubleshootd А в федоре, Аноним, 16-Мрт-14, 23:54 (87)
        
        Не, не, не, постоянно всплывающих окон с надписями Программа выполнила невыполн, vi, 16-Мрт-14, 22:28 (81)
        
        Нет Тоже самое, что по крону запускать rkhunter вместе с tripwire Совсем не то, Аноним, 16-Мрт-14, 23:37 (83)
        
        Это сигнатурный анализ Который, если верить дяде Жене К , важен не менее эврист, Аноним, 16-Мрт-14, 23:45 (84)
Строго говоря, взлом Chrome OS - это не взлом, а освобождение , vitalif, 15-Мрт-14, 22:49 (23) //
- Jailbreak , Аноним, 16-Мрт-14, 15:58 (58)
Есть соммнение в патчах, Perain, 16-Мрт-14, 02:36 (33)
Боже, что за придурки пишут на сях в 21 веке , Аноним, 16-Мрт-14, 15:00 (51) //
- Те, благодаря которым ты написал это сообщение с той операционки, на которой сид, Аноним, 16-Мрт-14, 15:34 (54)
- к счастью, не ты , arisu, 16-Мрт-14, 18:53 (68)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру