"Announcing the Native Client Security Contest (http://google-code-updates.blogspot.com/2009/02/announcing-n...)" - чтобы доказать высокую безопасность открытой платформы Native Client (http://code.google.com/p/nativeclient/), позволяющей (http://www.opennet.me/opennews/art.shtml?num=19308) выполнять в окне web-браузера обычные бинарные приложения, компания Google предложила выплатить 8 тыс. долларов тому, кто сумеет обнаружить в данном ПО уязвимость и представить готовый эксплоит. Работы на конкурс будут приниматься до 5 мая.URL: http://google-code-updates.blogspot.com/2009/02/announcing-n...
Новость: http://www.opennet.me/opennews/art.shtml?num=20500
8 тыщ - маловато.
большой наплыв народу ждут наверное. :-Dно ссылку запомнил.
Думается, не только доказать, но и найти самые жырные дыры (буде таковые имеются), пока не поздно.
По-моему лучшее доказательство - это ФИГА нативному коду из веба на моей машине.
Пусть обходятся жабаскриптом, хтмл и css.Они моему компьютеру вреда нанести не могут.А вот всякие активиксы мы уже проходили, больше не хочется, спасибо.
Ну можно как вариант - это заменить жабускрипт на С, то есть нативно, но передаётся в исходниках и компилируется. Для защиты, его линковать с изолированным окружением и эмулированными библиотеками. В общем в контейнер его, и быстро и качественно. А интерфейс на gtk :D
Нене, спасибо, как хаксоры обходят жава-песочницы я видел. Лучшая защита от малвари - это просто отсутствие нужного ей функционала.Нельзя скрипту создавать сокеты - нельзя и спам слать, прокси без моего ведома гонять и прочая.Нельзя файлы читать?Ну вот и пароли оно у меня не сопрет и ремотный доступ не обеспечит.И это для веба хорошо - потому что плохих парней там много а бесплатные спам-машины и прокси им ой как нужны.
то есть javascript вы разрешили? а не страшно?
http://securityvulns.com/news1245.html
http://securityvulns.ru/news/Mozilla/Firefox/0803.html
http://securityvulns.ru/news/Mozilla/Firefox/Garbage.html
и тп..
>то есть javascript вы разрешили? а не страшно?В просто Java дырок было на порядок больше.Например, обход песочницы и выполнение с правами текущего юзера бывало не раз.Да и вообще, ИМХО java слишком много всего умеет чтобы веб-контенту идущему фиг знает откуда все это позволять.Жаваскрипт юзает настройки браузера.И если там проксь стоит - будет юзать проксь.А жава может потенциально накласть на проксь, узнать мой реальный внешний айпи а то и информацию о интранете, etc.Шло б оно такое.Туда же идут и гуглклиенты, наверняка тоже умеет сильно больше чем хочется позволять untrusted коду.А потому найдутся и те кто этим будет пользоваться.Ессно против юзера и ему во вред, а вовсе не на благо.Благими намерениями вымощена дорога в ад...
похоже человек слышал,что активХ плохо и думает,что всё остальное безопасно.Даже на этом сайте кучу новостей про дыры в этих технологиях.куки,джаваскрипт плохо на компьютере могут сработать,а включеный текст и картинки на человека могут плохо повлиять :)
Гуг давно метит в нового мягкохо магната. У него все карты, он без малого владеет информацией, которая дорогого стоит. И если гуглу нужно ещё больше инфы, то это возможно только будучи "внутри" каждого пользователя. Пока мягко проталкивают "необходимость" натива у клиента под соусом удобства,эффективности, функциональности интерфейса браузера.
А вот что бы в новом стандарте HTML осилить рендеринг меню, ни у кого мысль дальше "теории" не пошла. Так и будет нужен JavaScript управляющий слоями...