В первый день работы конференции Pwn2Own, посвященной безопасности в сети, было проведено (http://news.cnet.com/8301-27080_3-20001126-245.html) соревнование по взлому популярных web-браузеров, в рамках которого были успешно <a herf="http://www.neowin.net/news/safari-firefox-and-ie8-hacked-chr...взломаны</a> Apple Safari, Mozilla Firefox и Internet Explorer 8. Во всех случаях взлом был произведен через ранее неизвестные уязвимости (zero-day) и позволял получить полный контроль над системой. Браузеры были самых последних версий с наложением всех доступных патчей. Детали взлома браузеров по условиям соревнований будут оставаться в тайне до момента выпуска официальных обновлений.
Как и в прошлом году Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома. Один из участников соревнования объяснил это тем, что архитектура Google Chrome крайне сложна для вторжения: невозможность выполнения кода в куче, защита самой операционной сист...URL: http://www.neowin.net/news/safari-firefox-and-ie8-hacked-chr...
Новость: http://www.opennet.me/opennews/art.shtml?num=25946
А чего Оперы то небыло?
Оперу они даже за браузер не считают :)
впрочем, как и хром
потому что как неуловимый Джо - никому нафиг не нужен с его 1-2% рынка.
ответ неверный, 2% не мало.
>ответ неверный, 2% не мало.Трудоемкость взлома блобятины - достаточно высока. Надо, видите ли, анализировать простыни дизассембленого кода. Что достаточно геморройненько, как бы а раз так - у хаксора должна быть какая-то мотивация и 2% это немного не то что ей является. А какой смысл аться ради 2% если можно поиметь >50% юзеров попросту найдя дырку в ... IE. С примерно теми же затратами сил. Я вижу только 1 смысл для хацкеров бодаться с взломом еперы - если целевая аудитория сплойта это бакланы из России. Только такие хацкеры на соревнования не попрут а просто втихаря забросят троянов да и все дела.
наверное не проплатила
>было проведено соревнование по взлому популярных web-браузеров, в рамках которого были >успешно взломаны Apple Safari, Mozilla Firefox и Internet Explorer 8А где же Опера? На западе Опера не популярна? Безопаснее сидеть на непопулярных браузерах. :)
В Германии опера то-ли лидер то-ли второе место после эксплоера.
вызывающе неверная информация
http://gs.statcounter.com/#browser-DE-monthly-200902-201003
http://gs.statcounter.com/#browser-RU-monthly-200902-201003-barособенно статистика для России примечательна :)
Для Оперы Россия вторая по количеству использующих браузер.
Лет за 10 видел оперу вживую 3 (три) раза.Первый раз сам ткнул на иконку с прикольной буквой "O" на свежеустановленном Мандрейке (кажись 7 версии).
Второй раз новый сотрудник поставил оперу, после недели его комп попал в ботнет (повезло что навeрено тот ботнет кто то грохнул и вывесил в трее сообщение примерно такой "хоть мы вирус удалили лучше переставьте венду c 0, что было правдой многое после нашествия не работало )
Трерий раз уже без каких либо происшествий, просто опера стояла основным браузером на компе клиента к которому я и приехал для выяснения почему втюханая ему наша программа не работает.
Я это к тому, что может оно и так, может эта мифическая таинственная неуловимая опера и занимает какое то место, даже пусть первое, но лично мне она очень очень редко попадалась. А компьютеров я повидал немало за это время.
Вы просто не смотрели логи сайтов с большим количеством траффика, сайтов ориентированных на аудиторию РФ.
>А компьютеров я повидал немало за это время.3 штука? Многгоо...
А вот по данным statcounter`а( http://gs.statcounter.com/#browser-RU-monthly-200902-201003 ), опера в России - самый популярный браузер. И среди компов, которые я видел, опера - более 50%, даже на линуксовых машинах.
> На Западе Опера непопулярна?Да: всю жизнь у неё было 1%, как и у Safari до недавнего времени... Лишь в России она популярнее FireFox и других браузеров. В моём небольшом городе Opera - вторая по популярности после Explorer. Почему? А потому, что здесь царит убеждение, что "Опера - самый крутой браузер, которым пользуются только самые крутые хакеры!". Может, по всей России такое встречается?
>царит убеждение, что "Опера - самый
>крутой браузер, которым пользуются только самые крутые хакеры!"Кстати, это обясняет, "почему не было" -- Опера вне конкурса, Крутые Ксакепы, и в жюри, и "в зале" сами её пользовали. $)
Может быть, большинство не всегда не право? :)
Не сочтите за обиду, в вашем небольшом городе все то немногочисленное население, у которого есть интернет, бровзает наверное только ресурсы типа гугле.ком и лента.ру )))
Подсчёт вёлся сайтом города, да и я лично с кулхацкерами знаком. К счастью, их влияние со мной не связано, так как я самоучка и предпочитаю своё мнение чужому.
> предпочитаю своё мнение чужому.А надо предпочитать правильное мнение неправильному.
>> предпочитаю своё мнение чужому.
>
>А надо предпочитать правильное мнение неправильному.А есть всего два мнения: моё и неправильное.
А кто является мерилом правильности/неправильности МНЕНИЯ?
Всё-таки популярность Оперы в России - это инерция. Раньше этот браузер был платным, а у нас так принято - если платное, значит очень крутое (и чем дороже, тем круче). По крайней мере в отношении к ПО так.
Вообще, Opera по мне работает намного приятнее Firefox... Относились бы они ещё к закрытости кода так же как mozilla, то firefox-ом я бы вообще не пользовался.
>Всё-таки популярность Оперы в России - это инерция. Раньше этот браузер был
>платным, а у нас так принято - если платное, значит очень
>крутое (и чем дороже, тем круче). По крайней мере в отношении
>к ПО так.Инерция - да. Насчет платности - нет.
Раньше в России почти все сидели на модемах. Опера практически искаропки оптимизирована была под такие суровые условия. Даже когда появился Фаерфокс, его нужно было уметь настроить и поставить нужные дополнения, чтобы добиться равноценного эффекта. А теперь действительно кроме инерции ничего не осталось. Они собственно сами виноваты, если бы не жадничали, могли бы быть сейчас на месте Огнелиса, у них для этого все что нужно было.
>[оверквотинг удален]
>>крутое (и чем дороже, тем круче). По крайней мере в отношении
>>к ПО так.
>
>Инерция - да. Насчет платности - нет.
>Раньше в России почти все сидели на модемах. Опера практически искаропки оптимизирована
>была под такие суровые условия. Даже когда появился Фаерфокс, его нужно
>было уметь настроить и поставить нужные дополнения, чтобы добиться равноценного эффекта.
>А теперь действительно кроме инерции ничего не осталось. Они собственно сами
>виноваты, если бы не жадничали, могли бы быть сейчас на месте
>Огнелиса, у них для этого все что нужно было.Странно. У меня с точностью до наоборот всё работало. Что я делал не так? Опера тормозила страшно, а огнелис пошёл работать сразу и без тормозов...
>Лишь в России она популярнее FireFox и других браузеров.Интересно, это как-то связано с тем что у России две беды? :)
>непопулярных браузерах. :)security through obscurity не работает...
Не понял. А уязвимость webkit не делает хром автоматом уязвимым? (Не спец, по-этому если вопрос глупый простите плиз).
Если я правильно понимаю, там все выполняется изолировано: и движок для каждого таба, и плагины, поэтому взлом проблематичен.
А почему все так не делают?
очень много работы по переделке, чтобы так заработало и ничего не сломалось.
последний раз "вкладка как процесс" видел в ИЕ8. Как видете это ему не разу не помогло. Всё таки, я полагаю Хром ПОКА не ломали, а про сложности сказали для отмазки.
>последний раз "вкладка как процесс" видел в ИЕ8. Как видете это ему
>не разу не помогло. Всё таки, я полагаю Хром ПОКА не
>ломали, а про сложности сказали для отмазки.Для тех кто не в курсе происходящего привожу ссылку на то сколько уязвимостей в только что появившемся Chrome
http://secunia.com/advisories/search/?search=Chrome
68 записей
Причем многие из них числятся как Google Chrome Multiple Vulnerabilities. То есть дело с безопасностью этого браузера настолько плохи что их даже классифицировать не стали. Записали все скопом.
А ведь браузеру только 2 года.
Так что вся эта новость в пользу бедных. Google случаем не проплатил?
>Причем многие из них числятся как Google Chrome Multiple Vulnerabilities. То есть
>дело с безопасностью этого браузера настолько плохи что их даже классифицировать
>не стали. Записали все скопом.Ну не свисти. Лень было внимательней посмотреть? Все протухли уже и относятся довольно таки к старым версиям.
К этой найдешь?
Chromium 5.0.363.0 (Сборка для разработчиков 42722)
WebKit 533.3
V8 2.1.8.2
User Agent Mozilla/5.0 (X11; U; FreeBSD amd64; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.363.0 Safari/533.3
Command Line /usr/local/share/chromium/chrome %U
>Так что вся эта новость в пользу бедных. Google случаем не проплатил?А хто его знает, я её ещё на паре ресурсов видел. Может они решили призовой фонд преобразовать в рекламный? -:) заодно добавили рекламный фонд самого мероприятия...
мда
у кого браузер запущен под админом , хана
Да не под админом тоже очень неприятно!
Что неприятного-то? Ну налетишь ты на домашнюю директорию пользователя, от которого запущен браузер, ну и что?
Или вы работаете с приватными документами и ходите в Интернет с одного и того же аккаунта?-) А зачем вам тогда вообще Юникс?-)))
(P.S: Лично я -- да, с одного и того же. :) Правда, из разных зон с разными метками. :)
пароли, номера кредиток, очень даже неприятно
А в юникс нельзя браузер запускать из под рута, а не админа. Виндовых юзеров не забывайье много. Я вот в линуксе, на простом компьютере, не хочу учить свою маму работать из под более чем одного пользователя.
>не хочу учить свою маму работать из под более чем одного пользователя.Кольчугина позови -- научит из-под зон пользовать :D
ну не то чтобы совсем нельзя. Просто если попробовать, то на тебя браузер с ОСью посмотрят такими круглыми глазами, покрутят пальцем у виска и воскликнут: ты что, дебил? После такой реакции как-то теряешься :)
>браузер с ОСью
>покрутят пальцем у виска
>и воскликнут: ты что, дебил?Гм! %)) На приёме: разговаривает с "осью" и "браузером", оспаривает установленный диагноз.
я думал, вы сможете понять метафору
заинтриговали! я даже ради интереса набрал sudo firefox, затем sudo su -> firefox, затем Alt+F2 -> gksudo firefox
ыыыы.. никто не заругался на меня, ни ось ни фокс, никаких пасхальных яиц, а я так надеялся
наберите при логине в kdm/gdm root и его пароль
А также напишите название ОС
Ubuntu 9.10, я не знаю пароля рута, да мне это и не нужно, чтобы дать root права приложению
что за бред вы несете? Из-за таких потом на убунту гонят...
и где, простите, я бред сказал?
ок, теперь знаю пароль root-а, зашел под рутом в графическое окружение - никто меня не заругал, запустил firefox находясь в окружение - тоже никаких ругательств..ЧЯДНТ?
вы всё правильно делаете. Значит, Убунта не ругается. Под рутом работать можно.
>ок, теперь знаю пароль root-а, зашел под рутом в графическое окружение -
>никто меня не заругал, запустил firefox находясь в окружение - тоже
>никаких ругательств..
>
>ЧЯДНТ?Всё течёт всё меняется. Когда я годик-два назад давал руту пароль, а потом добавлял его в пользователи гнома, гном таки смотрел на меня как на идиота. Но, да - давал.
Может Вы предупредждения нечитамши проклацали?
>ыыыы.. никто не заругался на меня, ни ось ни фокс, никаких пасхальных
>яиц, а я так надеялсяЗапустите wireshark под рут и будут вам "йайцы" в виде предупреждения что так делать не надо :)
>Запустите wireshark под рут и будут вам "йайцы" в виде предупреждения что
>так делать не надо :)хехе, получил яйцом по фэйсу, не все еще значит так плохо, некоторые не полагаются на систему и сами доперепроверяют :)
Запуск софта под рутом если он может работать не под рутом - это очень плохо. Ведь в случае успешной атаки атакующий получит в системе полные права и может делать все что захочет.
>ну не то чтобы совсем нельзя. Просто если попробовать, то на тебя
>браузер с ОСью посмотрят такими круглыми глазами, покрутят пальцем у виска
>и воскликнут: ты что, дебил? После такой реакции как-то теряешься :)Во времена начального овсоения Линукса (что означает постоянные эксперименты с модификацией того и того, и постоянно писать судо страшно задалбывает) на домашней компе вобще не создавал юзеров и сидел испод рута в KDE на Слаке. И прекрасно юзал и Нетскейп и Оперу испод рута, и никто на меня круглыми глазами не смотрел, более того, ни разу не пришлось пожалеть.
это в каком году было? Современные версии Линуксов брыкаются при попытке работать в Иксах под рутом.
Не Линуксов, а Display Manager'ов
И не брыкаются, а всего лишь имеют галку "не пускать под рутом" дефолтное состояние которой зависит от фантазии мантейнера.
Хотя конечно есть отдельные софтины, которые интересуются нахрена хрена их запустили под рутом. Браузеры к таковым почему-то не относятся.
>это в каком году было? Современные версии Линуксов брыкаются при попытке работать
>в Иксах под рутом.Ну половина лайвовых (Слакс - точно) изначально под рутом без паролей в ДЕ пускают: один хрен тебе не надолго, да и настраивать лишний раз права в падлу может. Хотя это просто зависит от их видения.
"не проводились попытки взлома" != "несокрушимый", ...не?
по логике статьи, Опера тоже должна называться несокрушимой, как и Konqueror, например?!
Нудык. "А это наш неуловимый Джо." А это наша несокрушимая Опера.+++
>Нудык. "А это наш неуловимый Джо." А это наша несокрушимая Опера.+++И самый несокрушимый - телнет. Правда есть возможность взлома мозга при рендеринге HTML.
> И самый несокрушимый - телнет. Правда есть возможность взлома мозга при рендеринге HTML.:D Спасибо, поржал. В цитаты. Одназначно.
У меня firefox запускается от обычного юзера под linux. Как в этом случае? А то получается показали все на win 7
ничего, продолжать сидеть и дальше, можно и в виндовс. Не забудь только проверить что обновления для всего софта стоят и избегай сомнительных ссылок и сайтов.
>У меня firefox запускается от обычного юзера под linux. Как в этом
>случае? А то получается показали все на win 7Как как.
Если эксплойт сработает и в linux, то можете потерять все файлы, которые может удалить этот обычный пользователь =)А вообще уязвимости находят и эксплоиты пишут под все браузеры.
А в эпидемиях замечен пока только один IE =)
>А в эпидемиях замечен пока только один IE =)Наверное потому что остальные не тупят по месяцу (а иногда и больше) с выпуском хотфиксов на критичные дыры.
>В соревнованиях по взлому веб браузеров несокрушимым остался только Google Chrome
>Google Chrome стал единственным браузером, против которого не проводились даже попытки взломанеуловимый Джо ...
>>В соревнованиях по взлому веб браузеров несокрушимым остался только Google Chrome
>>Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома
>
>неуловимый Джо ...Неуместная шутка. В отличии от Оперы, Хром в конкурсе участвовал. Просто взломать его настолько сложно, что никто не взялся.
>что никто не взялся.То есть Вы не знаете первоисточника про Джо Н.? Или утверждаете, что держали свечку и _мотивы тех, кто "не взялся" Вам изветсны лучше?... :/
>>что никто не взялся.
>
>То есть Вы не знаете первоисточника про Джо Н.? Или утверждаете, что
>держали свечку и _мотивы тех, кто "не взялся" Вам изветсны лучше?...
>:/При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынка и опережает Сафари, который на конкурсе взломали. Из этого делаем вывод, что называть браузер, обгоняющий Оперу и Сафари по популярности, нельзя называть неуловимым Джо.
>При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынкаСсылку можно?)
Да, и какого рынка-то?
Браузеры бесплатные.
>>При чём здесь первоисточник? Браузер Хром занимает вроде бы более 6% рынка
>
>Ссылку можно?)Я не запоминаю все ссылки. Просто читайте новости, такую статистику почти каждый месяц публикуют где-то. А пока можно взглянуть хотя бы на http://www.w3schools.com/browsers/browsers_stats.asp
Только не надо про необъективность. Это просто то, что я быстро нашёл.>Да, и какого рынка-то?
>Браузеры бесплатные.Рынок - не очень подходящее слово. Но смысл тот же. Я имел в виду статистику использования браузеров по логам популярных сайтов.
> Ссылку можно?)http://marketshare.hitslink.com/browser-market-share.aspx?qp...
> Да, и какого рынка-то?
США.
> Браузеры бесплатные
бизнес делается, деньги вкладываются и зарабатываются миллионами.
> Несокрушимым остался лишь Google ChromeНу и правильно. Исходник FireFox в tar.bz2 - 47 мегабайтов, исходник Chromium в tar.gz - 800 мегабайтов! Эти хакеры до сих пор не изучили код Chromium...
Ого! Это только «trunk» или со всеми веками всех разработчиков?
>исходник Chromium в tar.gz - 800 мегабайтов!chromium-browser_5.0.363.0~svn20100326r42724.orig.tar.gz 26-Mar-2010 03:21 89M
не взломали потому что не пытались... хаха, инетересная секурити ;). А если вспомнить про дыры, их в хроме уже находили минимум 2 раза.
Тоже обратил внимание. Получается, не Хром стал несокрушимым, а просто всем было лень. Я даже думаю, что участник, который рассказал про архитектуру Хрома, работает в Гугле.
>не взломали потому что не пытались... хаха, инетересная секурити ;). А если
>вспомнить про дыры, их в хроме уже находили минимум 2 раза.Ну при чём тут дыры? Вы лучше рабочие эксплойты перечислите. На конкурсе не за дыры платят, а за демонстрацию возможности их применения.
А почему links с lynxом не ломали?
неполноценные браузеры по меркам 2010 года.
>неполноценные браузеры по меркам 2010 года.да что вы! в верстке я хоть и стараюсь не использовать навороты ака аякс, но все же порой довольно заковыристые страницы получаются, с удивлением обнаружил, что линкс2 вполне себе браузер когда мне понадобилось зайти на собственный же сервис, а под рукой был только один лишь сервер с моником и клавой, где никакими Иксами и не пахло.
ну так нынче (2010) браузер - это вебплатформа, а не просто просмотрщик html.
Без js - неполноценно хотя и не бесполезно.
а какой лучше? links или lynx ? чем отличаются?
>а какой лучше? links или lynx ? чем отличаются?Первый js умеет.
запустил обоих на опеннет и acid3.acidtests.org, - js не умеют.
elinks
так взлом проводился на оффтопике. неинтересно надо было им дать rhel или вообще openbsd - пусть бы попотели
Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd никому не нужны.
Это более серверные операционки, чем пользовательские. Поэтому их сравнивать нельзя! У серверных операционок защита всегда лучше.. Если конечно СисАдмин не напортачил. +на Unix-подобные операционки вирусов не существует(по моим данным).. Но сам я пользуюсь Windows7, каждая операционка имеет своё назнначение.
>Это более серверные операционки, чем пользовательские. Поэтому их сравнивать нельзя! У серверных
>операционок защита всегда лучше.. Если конечно СисАдмин не напортачил. +на Unix-подобные
>операционки вирусов не существует(по моим данным).. Но сам я пользуюсь
>Windows7, каждая операционка имеет своё назнначение.В *nix любая система защиты может работать как на сервере, так и на десктопе (при желании).
А вообще абстрактные рассуждения - это такая штука, где сложно что-то доказать или опровергнуть.
Поэтому перейдем к конкретным примерам:
Можно поставить acl, SElinux, AppArmor, настройки компилятора для безопасности и т.д.
И это не зависит от того, будут установлены иксы и прочая, или нет.
Правда с настройками таких штук, как SElinux и AppArmor на десктопе, нужно будет повозиться =)
Но возможность есть.Вирусы под некоторые Unix-подобные операционки тоже есть.
Особенно, под linux на x86 компе.
Но туда ему ещё попасть надо)
И ещё как-то запуститься.А тот пост, на который вы отвечали - бредовый.
Не ведитесь на троллинг =)
>Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем
>во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd
>никому не нужны.Чтобы не разводить троллинг:
пруфлинк сего высказывания? =)
Как-то так:http://research.microsoft.com/en-us/um/people/tuomaura/teach...
SeLinux в Windows нет и не будет, ибо система не так функционирует :)
>Как-то так:
>
>http://research.microsoft.com/en-us/um/people/tuomaura/teach...
>
>SeLinux в Windows нет и не будет, ибо система не так функционирует
>:)Не совсем понял, к чему ссылка)
Там обзор методов и способов.
> Windows 7 64 гораздо кручеа в 32-битной версии чуть поменьше?
>> Windows 7 64 гораздо круче
>
>а в 32-битной версии чуть поменьше?да, защита 32-битной версии хуже. Некоторые механизмы защиты реализованы только в 64-битной версии. Да и вирусописатели пока не сильно жалуют вниманием 64 бита.
>Защита системы от дырявого ПО в Windows 7 64 гораздо круче, чем
>во всех *nix'a[ вместе взятых - просто ваши rhel и openbsd
>никому не нужны.Толсто, хватит бросать гуану на вентилятор.
люди, ломающие браузеры, работают в гугле?
>люди, ломающие браузеры, работают в гугле?нет, и ведь даже в статье привели пример конторы, где работает один из финалистов. Почему бы вам не поверить, что Гугл Хром действительно защищённый браузер? Или вы думаете, что написать надёжный код невозможно в принципе, даже обладая возможностями Гугла?
Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе. Даже обладая возможностями Google и Microsoft вместе взятых. Слишком много противоречивых факторов. Главное: _никому_ не нужен абсолютно надежный браузер! И объем кода в современных браузерах именно уже такой значительный.Что до Chrome, да, его еще никто всерьез не изучал и особо взломать не пытался. Вопрос времени, как всегда.
> Что до Chrome, да, его еще никто всерьез не изучал и особо взломать не пытался. Вопрос времени, как всегда.это информация поступила тебе из астрала ? Так приписывай свое имхо.
Хром уже на 3 месте в США, так что очевидно его и изучали и пытались взломать не меньше чем Safari.
В хроме с самого начала уделили безопасности больше внимания чем в любом другом браузере.
>Что до Chrome, да, его еще никто всерьез не изучал и особо
>взломать не пытался. Вопрос времени, как всегда.ну что ж, тогда подождём. Как вы думаете, сколько нужно времени?
Дело в том, что Хром уже второй раз заявлен в конкурсе, а желающих его ломать так и не нашлось. Взлом Хрома по-любому принесёт столько очков славы и самую настоящую мировую известность (зная Гугл, может и еще что-то перепадёт), что мне трудно поверить, что никто не захотел его сломать.
>Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе.Это на основе каких исследований?)
>Да, начиная с некоторого значительного объема, написать надежный код невозможно в принципе.
>Даже обладая возможностями Google и Microsoft вместе взятых.Что, правда? Авторы QNX и военного софта с вами не согласятся.
>Слишком много противоречивых факторов. Главное: _никому_ не нужен абсолютно надежный браузер!
Это почему вдруг? Ну хакерам не нужен, понятно, да.
Опера там не очень популярна из-за конфликта Оперы с оффициальными сайтами Microsoft. Опера очень долгое время не могла входить в почтовые сервисы Hotmail.com(MSN), ОффСайт компании microsoft тоже ей игнорировался.. А так-как на западе почти все пользуются ЛЕАЛЬНЫМИ версиями Windiws то это проблема для пользователей, которые регулярно обновляют ОС.. +к этому у них есть нормальный бесперебойный скоростной интернет, а Оперу очень часты выбирают потому что она быстрее работает(Как программа и как браузер).
А тля... Гугля проплатилась> DEP (Data Execution Prevention) и
> ASLR (Address Space Layout Randomization)
> оказались бессильны и не смогли предотвратить атаку.Это на firefox и IE,
А для Гугла Хрома, это был вдруг стал не преодолимый барьер...> Google Chrome крайне сложна для вторжения: невозможность выполнения кода в куче,
> защита самой операционной системы (Data Execution Prevention, ASLR и пр.)И это за соревнования такие, целый год хакают и молчат?
Надо, блин, всех раздевать и выдавать спецовку без карманов.
Загонять в закрытое помещение, как кабинка в тире - монитор, клава, мышь, закрытый системник, и никакой сети.
>А тля... Гугля проплатилась
>
>> DEP (Data Execution Prevention) и
>> ASLR (Address Space Layout Randomization)
>> оказались бессильны и не смогли предотвратить атаку.
>
>Это на firefox и IE,
>А для Гугла Хрома, это был вдруг стал не преодолимый барьер...На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют Винду по сравнению с МакОсью. Очевидно, что FF и IE просто не используют весь их потенциал, либо используют его неправильно.
На чём основаны ваши обвинения Гугла? Кого они купили? Вы же понимаете, что в конкурсе участвуют настоящие хакеры, которым не так и сильно нужны деньги Гугла, у них хорошие зарплаты. Насколько я знаю, 10 штук баксов (или сколько там призовой фонд) - это месячная зарплата хорошего АйТишника в Америке, так что это скорее соревнование талантов, а не чисто бабла подсобирать. На взломе Хрома можно поднять много очков славы...
>На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют
>Винду по сравнению с МакОсью.Выгодно отличают в речах маркетологов?
Их "неплохость" стремится к нулю, если их можно обойти.>Очевидно, что FF и IE просто
>не используют весь их потенциал, либо используют его неправильно.Т.е. "это не у нас машины плохие, это вы на них неправильно ездите"?)
P.S.
Можем обсудить DEP и ASLR более подробно =)
>>На самом деле DEP и ASLR - неплохие технологии, которые выгодно выделяют
>>Винду по сравнению с МакОсью.
>
>Выгодно отличают в речах маркетологов?
>Их "неплохость" стремится к нулю, если их можно обойти.Выгодно в речах Гугла и некоторых участников конкурса Pwn2Own.
Не правильный подход предлагаете. Нынче основные опасности исходят из Сети...
>Не правильный подход предлагаете. Нынче основные опасности исходят из Сети...Сеть такая же абстракция как и файл. Конкурс это доказательство способности личности,
в данном случае, в единственном числе - хакера.
А скаченный эксплойт из сети, не известно кому принадлежит, то ли хакеру, то ли засланцу
из Google, FBI, CIA, в поисках которого работали тысячи человек в течении года, или
более того, с помощью этих же засланцев, впиндюривали бэкдоры в браузеры.
Думаете спецслужбы упустят такой шанс, трахнуть всю планету.Задачи конкурса не должны быть известны до его начала.
http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-...
Opera Очень незаметная.....
>http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-...
>Opera Очень незаметная.....Вот когда в хром внедрят управление мфшкой, как в опере, я на него перейду.
А до тех пор с оперы не ногой.
>>http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-...
>>Opera Очень незаметная.....
>
>Вот когда в хром внедрят управление мфшкой, как в опере, я на
>него перейду.
>А до тех пор с оперы не ногой.мЫшкой, Вы имели в виду? дык плагин уже есть... :)
>http://gs.statcounter.com/#mobile_browser-ww-monthly-200902-...
>Opera Очень незаметная.....Это про мобильные браузеры. Вы так и напишите - хочу, чтобы взломали мобильную Оперу.
В этих ноутбуках аппаратные бэкдоры, говорят стоят
Судя по тексту, DEP и пр. для Хрома защитой является, а в отношении IE и других - совсем даже ничему не помогли :)