|
2.5, Аноним (-), 13:21, 07/03/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Написано же "При демонстрации атаки использовались самые свежие стабильные выпуски браузеров..."
| |
|
3.7, Аноним (-), 13:22, 07/03/2013 [^] [^^] [^^^] [ответить]
| –7 +/– |
Ну и что это значит? Какие? За один день взломали все это?
| |
|
4.31, mrd (??), 14:23, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Написано же что продемонстрировали просто. А поиск и работа над эксплойтом занимает месяцы.
| |
|
|
4.135, Lain_13 (ok), 06:03, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Свежие на момент демонстрации взлома.
Первый день мероприятия был вчера? Ну вот значит на вчерашний день.
| |
|
|
2.9, IcedTea (?), 13:30, 07/03/2013 [^] [^^] [^^^] [ответить]
| –6 +/– |
вопрос вдогонку: что за Java была взломана? чё прям JVM???!!111
или школьникам только изветное название интересно?
| |
2.67, XoRe (ok), 15:48, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> а что за версии браузеров и флеша?
Значит так, FireFox 3.6, Chrome 11, ... :)
Вы думаете, за взлом старых браузеров будут давать деньги?
| |
|
|
4.119, XoRe (ok), 19:38, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> ну и какие конкретно?
Последние на момент мероприятия.
Если интересно, не поленитесь зайти на сайты этих продуктов и посмотреть changelog.
Узнаете точно, какие версии тогда были последними.
| |
|
5.145, Аноним (-), 11:09, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
то есть более ранние не подвержены взлому? только по одной версии от каждого браузера?
| |
|
6.165, XoRe (ok), 18:46, 11/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> то есть более ранние не подвержены взлому?
Однозначно сказать нельзя.
Надо читать описание каждой уязвимости, там обычно пишут, какие версии подвержены.
Если вам нужно точно знать, не поленитесь уже зайти и прочитать самому.
> только по одной версии от каждого браузера?
Да.
Предполгается, что последняя версия - самая защищенная.
| |
|
|
|
|
|
1.3, Константавр (ok), 13:17, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Интересно, на таких состязаниях взламывают теже программы на линуксе?
Понятно что взломали Файрфокс и виндовс, но это стало возможным из-за уязвимостей в операционной системе или сам ФФ виноват что допустил такое?
А линукс они пробуют ломать или нет? Почему об этом не пишут никогда?
| |
|
2.11, GG (ok), 13:32, 07/03/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
Написано же в заголовке — хром, лиса, осёл и ява
В пингвине кроме их песочниц есть ещё пингвинья песочница, которую обойти куда сложнее форточной, ибо прав на доступ куда попало ни у чего нет, в отличие от. К слову, в макоси с этим тоже более грамотно, чем в форточке. А не пишут потому, что ни FSF ни GNU ни LF не дают по три лимона за ломание их продуктов.
| |
|
3.20, ананим (?), 13:44, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Написано же в заголовке — хром, лиса, осёл и ява
Кстати, почему яву в заголовке к браузерам прировняли, а винды (и 7, и 8), которые ломанули гораздо более красиво, нет.
Или это уже само собой разумеющаяся аксиома?
| |
3.23, Константавр (ok), 13:54, 07/03/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Дело в том что хром, лиса, осёл и ява НА ВИНДАХ. И взлом мог быть успешен не только потому что сама программа с уязвимостью, но и из-за уязвимости операционки. А тут даже в заголовке, тень падает на ФФ и пр. а сам виновник в кустах.
И про невмероную крутозащитность линукса сказок не надо. Только факты. Когда покажут самого крутого в мире хакера, который помер от перенапряжения в попытках взломать линукс, вот тогда да, поверю. А так, несколько безопаснее, но на сколько граммов? Чем измерить, чтобы отсеять популярность/непопулярность, чтобы чисто технически?
| |
|
4.35, тоже Аноним (ok), 14:37, 07/03/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Чисто технически - читайте описания патчей, закрывающих ошибки. Обобщенные - у виндов, точные - у линуксов. Сравнивайте. И, главное - никому другому в этом вопросе не верьте.
Иначе это будет не "чисто технически", а неизбежно пристрастно.
| |
|
5.92, linux must _RIP_ (?), 16:49, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
да да. мы помним как недавно в SuSe экстренно закрывали баг в ядре, который был закрыт в обычном ядре "проходя мимо" и без всякого комментария о проблемах с безопастностью.
Помним и другие попытки заныкать информацию о дырах в changelog от ядра..
И помним что каждый раз при обновлении стабильного ядра - подчеркивают необходимость обновления, не указывая причины..
Настораживает - что проблемы пытаются замолчать...
| |
|
6.100, тоже Аноним (ok), 17:13, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Одни популярно расписывают, какая теперь настала безопасность, не вдаваясь в конкретику. И вы можете настораживаться до посинения, но больше никакой информации не получите.
Другие кратко советуют обновиться и тратят силы на работу, а не на пиар. А вы, если вас так настораживает этот вопрос, можете взять и посмотреть содержимое всех патчей, из которых состоит обновление.
| |
|
7.113, Константавр (ok), 18:12, 07/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да действительно! как мы об этом раньше не подумали! а если нет такого патча - можно нап исать его, это же опенсорс!
Вы предлагаете всем стать ядропатчителями и программистами?
Не, Анонимам, конечно, легко быть спецами во всём.
| |
|
|
|
4.71, Аноним (-), 16:01, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> А так, несколько безопаснее, но на сколько граммов?
Не нужно взвешивать граммы и придумывать объяснения.
Просто примите реальность как факт, такой, какая она есть.
| |
|
|
2.48, Аноним (-), 15:02, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Интересно, на таких состязаниях взламывают теже программы на линуксе?
Да, мне было бы интересно как они ломали LXC контейнер с хромом. Это было бы по крайней мере свежо.
| |
|
|
|
Часть нити удалена модератором |
|
|
3.133, Аноним (-), 05:45, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Там же, где и Опера.
Опера то чего, опера теперь вебкит. Ну и ей будет прилетать по тому же направлению что и гуглохром.
| |
|
|
1.21, Аноним (-), 13:51, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Вот типа грамотная статья. Все так. Но как соединить эти два взаимоисключающих понятия?
>При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем
>сейчас на поиск уязуимости и написание эксплоита было потрачено несколько месяцев
За несколько месяцев иные сменили по несколько версий!!!
| |
|
2.26, ананим (?), 14:02, 07/03/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
да. и что тут не понятного?
уязвимости кочевали из версии в версию до текущей.
а народ это знал, но помалкивал чтобы сорвать джекпот.
это же конкурс. если бы компании производители обнаружили бы эти ошибки и исправили до этого момента, то и финт бы не состоялся.
а в конкурсе должна быть интрига.
| |
|
3.75, Аноним (-), 16:11, 07/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> уязвимости кочевали из версии в версию до текущей.
> а народ это знал, но помалкивал чтобы сорвать джекпот.
> ...
> а в конкурсе должна быть интрига.
Судя по размерам гонораров, подозреваю интригу в виде пиара и распила.
| |
|
2.42, Нанобот (?), 14:57, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
кптн. очевидность подсказывает, что от смены версии баги не пропадают (особенно, если речь идёт о багах, не известных разработчикам)
| |
|
3.78, Аноним (-), 16:13, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Еще один капитан утверждает, что Джо неуловим, пока его никто не ищет.
| |
|
2.49, другой аноним (?), 15:02, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
это же очевидно - значит найденная тобой лично никому неизвестная ошибка кочует в софте из версии в версию и применима и к самой свежей. Вон некоторые уязвимости по десять и более лет живут и сквозняком проносятся через кучу версий (даже мажорных), пока их не обнаружат. Самое неприятное западло для таких исследований, наверное, это когда ты несколько месяцев готовился, писАл эксплойт, а в момент "релиза" очередная новая версия "жертвы" вдруг испортила всю малину (например, переписали нужный тебе кусок кода), причем, даже не специально.
| |
|
3.82, Аноним (-), 16:34, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
кажется, технически все немного иначе, нежели упование на сохранность случайной уязвимости, тут месяцы не нужны. случаются ли там неудачи вообще?
| |
|
|
|
2.33, NikolayV81 (?), 14:26, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Дыры в JavaScriptCore позволяющие для начала исполнять код с правами бразера ( который и файлы писать и плагины запускать умеет, и к видеодрайверу напрямую... )
И последнюю альтернативу в виде Presto прибьют скоро :'(
| |
|
|
4.102, NikolayV81 (?), 17:18, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Какой к чёрту JavaScriptCore, Хром использует свой движок V8.
Хотел сначала написать движёк JS потом подумал некошерно, открыл W по WebKit и скопировал, потом понял но подумал что не суть...
| |
|
5.160, TbIK (ok), 17:09, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Хотел сначала написать движёк...
...потом нашёл словарь русского языка, но словарное "движОк" не вызвал доверия?
| |
|
|
|
|
1.32, iZEN (ok), 14:23, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов данных или с отсутствием парадигмы строгой типизации вообще, из-за чего появляется возможность подменить код выполнения сломанной программы на собственный и запустить инжектированный в данные код.
Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.
| |
|
2.38, тоже Аноним (ok), 14:46, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.
Такую программу НАЙТИ - уже достижение.
Кстати, немногие знают, но на С++ можно писать без хаков с типами данных.
Да, вообще без хаков. Да, рабочие программы.
| |
|
|
Часть нити удалена модератором |
4.151, тоже Аноним (ok), 13:12, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Увы, ваши школярские жаргонизмы не оставляют надежды на полноценную дискуссию.
Не говоря уже о том, что человек, оспаривающий глупости, сам поневоле оказывается в глупом положении...
| |
|
5.163, t28 (?), 16:58, 09/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>> Поробуйте сломать программу на Moduala-2 или Ada.
>>> Вот это будет действительно достижение.
>>
>> Такую программу НАЙТИ - уже достижение.
>> Кстати, немногие знают, но на С++ можно писать без хаков с типами данных.
>> Да, вообще без хаков. Да, рабочие программы.
> Увы, ваши школярские жаргонизмы не оставляют надежды на полноценную дискуссию.
> Не говоря уже о том, что человек, оспаривающий глупости, сам поневоле оказывается
> в глупом положении...
Очень интересно. Товарищ пишет, затем сам себе отвечает, и называет свои же реплики "школярскими жаргонизмами".
| |
|
6.164, Michael Shigorin (ok), 19:34, 09/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Очень интересно. Товарищ пишет, затем сам себе отвечает
Это багофича отображения тредов с удалёнными комментариями -- там действительно была очередная феерическая глупость одного забеглого MS-бота с весьма характерной сигнатурой.
| |
|
|
|
|
2.45, ананим (?), 15:01, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов данных или с отсутствием парадигмы строгой типизации вообще
идиотизм.
новость не читай, мантру повторяй.
зыж
народ юзает обращением к уже освобождённой области памяти (use-after-free) и heap overflow (в твоей жабе).
твоя жаба умеет динамические объекты?
вот и помалкивай.
т.к. на чём бы ты не писал, через сколько бы АОТ'ов не прогонял, а выполнятся будут инструкции конкретного цпу, а не жаба-код.
| |
2.74, Аноним (-), 16:07, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов
> данных или с отсутствием парадигмы строгой типизации вообще, из-за чего появляется
> возможность подменить код выполнения сломанной программы на собственный и запустить инжектированный
> в данные код.
> Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.
С модулы и ады код компилится в какой-то другой набор инструкций проца?В которых нет стека,с
аппаратным разграничением,контролем доступа к областям памяти?Если нет,то modula/ada/C/C++ находятся в одинаковых условиях.
| |
|
3.110, iZEN (ok), 17:44, 07/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> С модулы и ады код компилится в какой-то другой набор инструкций проца?В
> которых нет стека,с
> аппаратным разграничением,контролем доступа к областям памяти?Если нет,то modula/ada/C/C++
> находятся в одинаковых условиях.
Дело в том, что в строго типизированных языках невозможно получить код, который ломается в рантайме от переполнения буфера, как это происходит в C/C++. Компилятор просто не сможет скомпилировать такой исходный код в инструкции процессора.
Для C/C++ проблема получения безопасного кода сегодня тоже решается на уровне компилятора, в который вводят элементы анализа утечек и неверного присвоения переменных. Но эти проблемы давно решены для строго типизированных языков ещё в 1960-х годах.
| |
|
4.118, Аноним (-), 19:07, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Дело в том, что в строго типизированных языках невозможно получить код, который
> ломается в рантайме от переполнения буфера, как это происходит в C/C++.
> Компилятор просто не сможет скомпилировать такой исходный код в инструкции процессора.
А что мешает придерживаться строгой типизации всех данных в программе на C/C++?
И держать контроль над указателями?
| |
|
|
Часть нити удалена модератором |
6.153, тоже Аноним (ok), 13:18, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Отсутствие дисциплины программирования у C/C++ программистов
Обобщение известных вам частностей до полной картины, да еще и с таким апломбом? Фи.
Как будто есть языки, непригодные для говнокода...
| |
|
|
|
|
2.127, anoname (?), 01:28, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да что ж тебе неймется-то?
Зачем в комментарий к каждой новости вставлять мнение о "крутости жабы"?
Она что, у тебя по зависимостям тянется?
| |
2.134, Аноним (-), 05:57, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Поробуйте сломать программу на Moduala-2 или Ada.
Осталось найти приличный браузер написанный на оных.
| |
|
1.36, JL2001 (ok), 14:39, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
а вы всё ещё запускаете браузер от основного юзера с доступом ко всем данным юзера ? тот же вопрос про плеер, инет-месенджер и почтовик
кто там говорил "нас не взломают" ? паехали отмазываться дальше
| |
|
|
3.44, Алексей (??), 15:00, 07/03/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
Если у вас ничего ценного в /home/user, то в общем компьютер вы явно не используете для работы. Вообще самое ценное на компьютере - это то, что находится в /home/user, все остальное легко восстановить.
| |
|
4.51, ананим (?), 15:06, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>Расскажите, что такого опасного в доступе к /home/user/.
>Если у вас
Если у вас ЕСТЬ /home/user/, то у вас не вантуз.
Считайте пол-дела сделано.
| |
|
5.54, JL2001 (ok), 15:16, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Если у вас ЕСТЬ /home/user/, то у вас не вантуз.
> Считайте пол-дела сделано.
дальше то что от того что не вантуз ? фокс пробили, доступ в хомяк есть, ваше хомпорно уже в инетах, с указанием айпишника источника по которому уже другие добрые люди подписывают ваш город, дом и улицу + фио ответственного квартиросъёмщика из телефонного справочника
залёт есть, дальше только постинор поможет, а нужны были презервативы (это не к вам, это к прошлым товарищам, любителям остроумия)
| |
|
|
7.69, ананим (?), 16:00, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
в линухе то?
$ sudo -u nobody chromium
и пущай ломают.
а вот в вантузе это не поможет, там всё равно завершилось получением полного контроля над системой.
т.е. сопрут ваще всё, если надо.
и ботов понавешают во все щели и системными правами, и на системных портах (<1024), и тд, и тп.
| |
7.86, JL2001 (ok), 16:39, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Скажите, пожалуйста, каким способом запускаете под другим юзером?
в линуксе да хоть так
kdesudo -u foxuser firefox
настроить только надо безпарольный запуск и разграничения прав на файлы
ну ещё foxuser надо добавить в группы типо audio или что-то в этом духе, в инете много гайдов на тему запуска браузера от отдельного юзера
вот только из коробки в дистрибах этого не делают, а надо !
| |
|
|
9.96, JL2001 (ok), 17:07, 07/03/2013 [^] [^^] [^^^] [ответить] | –1 +/– | 1 это поможет сократить количество классов уязвимостей с последствиями для хомя... большой текст свёрнут, показать | |
|
|
|
6.59, ананим (?), 15:33, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
1. в 2008 дырявый флэш вроде у всех одинаковый, а убунту так и не сломали http://www.opennet.me/opennews/art.shtml?num=15021
2. вантуз не только хомяк пользователя открыл, а вообще всё. т.е. даже если от нободи(гостя) запустишь, то всё равно поимеют.
>залёт есть, дальше только постинор поможет, а нужны были презервативы
угу. и ещё не общаться с группой риска и не нюхать клей перед сексом.
а то и сам помнить не будешь есть презерватив или нет.
| |
|
7.63, ананим (?), 15:38, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
зыж
добавлю:
>1. в 2008 дырявый флэш вроде у всех одинаковый, а убунту так и не сломали http://www.opennet.me/opennews/art.shtml?num=15021
а знаете почему?
механизмы сандификации разные в разных ОС. хочешь, не хочешь, а флэш/жаба/броузер под разные ОС разные получаются.
особенно как раз в безопасности, потому что и механизмы, предоставляемые в ОС разные.
вот когда браузеры сразу из граб будут грузиться, тогда и… и то будут варианты :D
| |
|
6.60, тоже Аноним (ok), 15:33, 07/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
А если у меня в /home нет хоумпорно, то, видимо, я не использую компьютер для работы. Логично...
| |
|
|
8.66, ананим (?), 15:45, 07/03/2013 [^] [^^] [^^^] [ответить] | +/– | дело в том, что sandbox ы под линух, мак и вантуз не близнецы братья браузеры п... текст свёрнут, показать | |
|
|
|
|
12.88, GG (ok), 16:43, 07/03/2013 [^] [^^] [^^^] [ответить] | +3 +/– | Ахаха, тебе это учительница рисования в школе рассказала Займутся им, ахаха Им... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
4.64, тоже Аноним (ok), 15:38, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Вообще самое ценное на компьютере - это то, что находится в /home/user, все остальное легко восстановить.
Странно, у меня самое ценное обычно находится в /media/truecrypt1/. Точнее, оно там находится, когда мне это нужно. Теоретически можно неаккуратно подключиться к сайту через .gvfs и оставить это подключение, залезая на другие сайты. Но и это легко поправимо, как вы понимаете.
| |
|
3.46, JL2001 (ok), 15:01, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Расскажите, что такого опасного в доступе к /home/user/.
> Мы волнуемся...
~/.thunderbird/d8b41gf3.default/Mail/Local Folders/
продолжайте сохранять спокойствие
| |
|
4.61, тоже Аноним (ok), 15:35, 07/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> ~/.thunderbird/d8b41gf3.default/Mail/Local Folders/
> продолжайте сохранять спокойствие
У вас есть, куда залить пару терабайт? Могу переслать. Поищите среди архива техподдержки сайта пароль на корпоративную аську (это, пожалуй, единственная ценная информация в той папке). Только учтите, что я его сменю, как только узнаю о взломе.
| |
|
5.87, Аноним (-), 16:41, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лол, с таким подходом вы вообще никогда и ничего не узнаете, не то что, профиль почтовика улетел шутнику-злодею
| |
|
6.103, тоже Аноним (ok), 17:21, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то трудно не заметить, как с машины "улетают" два гига.
И зачем кому-то вообще все то барахло, которое лежит у кого-то в почтовом ящике.
У меня он вообще подключен через IMAP, достаточно нарыть пароль. Никакие гигабайты гонять не понадобится.
| |
|
7.111, JL2001 (ok), 17:44, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Вообще-то трудно не заметить, как с машины "улетают" два гига.
> И зачем кому-то вообще все то барахло, которое лежит у кого-то в
> почтовом ящике.
> У меня он вообще подключен через IMAP, достаточно нарыть пароль. Никакие гигабайты
> гонять не понадобится.
за ночь мой торрент-сервер по 5-100кб раздаёт терабайты
за день ваш компик с той же скоростью отдаст не то что весь профиль а вобще весь хомяк
но так как вы неуловимый джо - вам ничего не объяснить, извините что мы вас побеспокоили
| |
|
|
|
|
3.128, iZEN (ok), 01:32, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Расскажите, что такого опасного в доступе к /home/user/.
> Мы волнуемся...
Даже в Java ME десятилетие назад осознали те опасности, когда приложение может получить доступ к адресной книге и средству отправки SMS, и сделали запрос на выполнение этих потенциально опасных действий у пользователя на уровне среды выполнения. Чтобы не было глупых выкриков Касперского и ему подобных о недостаточной защищённости программ на телефоне и необходимости установки мобильного антивируса-монитора, следящего за подозительной активностью игрушек. Чтобы пользователь не попал в глупейшее положение, ставящее его персональную информацию в зависимость от какой-то левой фигни, [del]купленной на распродаже[/del] скачанной откуда-то из Сети.
| |
|
4.139, Аноним (-), 06:57, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Даже в Java ME десятилетие назад осознали те опасности, когда приложение может
> получить доступ к адресной книге и средству отправки SMS, и сделали
> запрос на выполнение этих потенциально опасных действий у пользователя
...поэтому я не могу нормально фотографировать софтиной на яве. Она каждый раз выкидывает запрос. И варианта "разрешить всегда" там нет. А подтверждать вообще каждую фотографию, каждый раз, при том что я уже нажал кнопку спуска затвора, которая это подтверждает круче в сто раз - ну нет, спасибо, но я обойдусь без таких программ.
| |
4.154, тоже Аноним (ok), 13:25, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну, поставьте себя на место вирусописателя.
Допустим, вы владеете знанием о незакрытой дыре в браузере, через которую вы можете выполнить на стороне клиента произвольный код с правами пользователя. Под любую систему на базе ядра Линукс. Это уже довольно жирно, но допустим.
Ваша задача - использовать это знание так, чтобы поиметь с него профит. Больший, чем другие методы получения профита.
Что будет делать ваш код?
| |
|
5.156, Аноним (-), 14:29, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, поставьте себя на место вирусописателя.
программиста
> Допустим, вы владеете знанием о незакрытой дыре в браузере
о нужной функции в программе
> Что будет делать ваш код?
притворяться броузером/плагином, безопасным, быстрым, нужным
| |
|
6.162, тоже Аноним (ok), 20:51, 08/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я, признаться, обращался предположительно к человеку, способному хотя бы понять вопрос...
| |
|
|
|
|
2.40, NikolayV81 (?), 14:50, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> а вы всё ещё запускаете браузер от основного юзера с доступом ко
> всем данным юзера ? тот же вопрос про плеер, инет-месенджер и
> почтовик
> кто там говорил "нас не взломают" ? паехали отмазываться дальше
Я вам искренне сочувствую, вы наверное и вывод браузера в текстовую консоль выводите, без аппартаного ускорения...
p.s. Проблема делится на две части
1. Выйти на уровень браузера
2. Выйти на уровень администратора/пользователя
оба вопроса как показывает практика зачастую решаются без особых проблем, одни дыры лечат другие находят, и не важно какая операционка ( хотя на zч-spectrum вирусы пишут реже ввиду непопулярности )
| |
|
1.43, кверти (ok), 14:57, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>Общий призовой фонд Pwnium составит 3.14159 млн долларов
у них фонд как число "пи" однако :)
| |
|
2.157, Аноним (-), 14:53, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> oracle еще и жадный!
Оракл тебе так-то ничем не обязан. Создай свою компанию, заработай лярды, а потом щедрой рукой благодетельствуй красноглазых всего человечества. А я посмотрю и бурно поаплодирую. Компрене ву?
| |
|
1.56, другой аноним (?), 15:20, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
эх, на мой взгляд, с большими вознаграждениями на таких соревнованиях плохо то, что ограниченный призовой фонд поощряет исследователя показать не все найденные уязвимости конкретного софта, часть он прибережет до следующего мероприятия (в надежде что баг не отыщется кем-то еще или не закроется в очередной версии) или таки продать на черном рынке, где "призовой фонд" неограничен.
| |
1.94, emg81 (ok), 17:04, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>общий призовой фонд Pwnium составит 3.14159 млн долларов
число Пи? :-)
| |
|
2.115, pavlinux (ok), 18:36, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>общий призовой фонд Pwnium составит 3.14159 млн долларов
> число Пи? :-)
Нет, - Пи миллионов
| |
2.142, 123 (??), 07:23, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>общий призовой фонд Pwnium составит 3.14159 млн долларов
> число Пи? :-)
МегаПИ!
| |
|
1.117, Buy (ok), 19:02, 07/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Слабой стороной Chrome называется Webkit
На который переходит Опера.
| |
|
2.121, Xasd (ok), 21:07, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Слабой стороной Chrome называется Webkit
> На который переходит Опера.
пользователям Оперы -- обычно вообще движёк не важен.
я встречаю обычно 2 вида пользователей оперы:
1. я пользуюсь Оперой, потому что тут всё можно настроить, и много всяких нужных полезных кнопок...
(комментарий: при чём тут вообще движёк? человеку явно нравится именно GUI)
2. я пользуюсь Оперой, потому сосед Вася сказал что Опера это самый крутой браузер. а сосед Вася крутой компьютерщик, он разбирается!
(комментарий: здесь человек вообще не знает ни чего о существовании разных движков и о том какая между ними совместимость/несовместимость)
и обыдно очень, что группа [2] намного много много чаще встречается чем группа [1].
| |
|
3.122, GG (ok), 21:10, 07/03/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>[оверквотинг удален]
> я встречаю обычно 2 вида пользователей оперы:
> 1. я пользуюсь Оперой, потому что тут всё можно настроить, и много
> всяких нужных полезных кнопок...
> (комментарий: при чём тут вообще движёк? человеку явно нравится именно GUI)
> 2. я пользуюсь Оперой, потому сосед Вася сказал что Опера это самый
> крутой браузер. а сосед Вася крутой компьютерщик, он разбирается!
> (комментарий: здесь человек вообще не знает ни чего о существовании разных движков
> и о том какая между ними совместимость/несовместимость)
> и обыдно очень, что группа [2] намного много много чаще встречается чем
> группа [1].
Да и первая-то не лучше второй, ибо что те, что эти — утята
| |
|
4.125, Аноним (-), 23:56, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Да и первая-то не лучше второй, ибо что те, что эти —
> утята
У всех у нас одна мама-утка, синяя такая, с обручем, ее еще интернетом называют. Кроме совсем древних товарищей с штурвалом и маяком.
| |
|
3.124, анон (?), 21:54, 07/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> пользователям Оперы -- обычно вообще движёк не важен
могу дать ссылку на тред на офсайте, где давние пользователи opera >1200 постов рассказывают, как им не важен "движёк"
| |
|
4.147, GG (ok), 11:35, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> пользователям Оперы -- обычно вообще движёк не важен
> могу дать ссылку на тред на офсайте, где давние пользователи opera >1200
> постов рассказывают, как им не важен "движёк"
У нас тут в Москве тоже митинги собирали, рассказывали как им важны честные выборы и как они готовы действовать. И чего?
| |
|
5.155, политота (?), 14:02, 08/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если дейстительно проводить аналогию с нацполом, публика на митингах скорее уедет в нормальную страну, чем будет подставлять филе за мизерную пенсию. Их мало, но они знают, чего хотят.
| |
|
|
|
2.161, TbIK (ok), 17:50, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Слабой стороной Chrome называется Webkit
> На который переходит Опера.
Есть слабая надежда, что "дырявость" движка можно регулировать соответствующим кодом браузера. В конце концов, "движок" - это просто "показывалка", ей необходим "контроллер" всех модулей, ресурсов и т.п.
| |
|
1.130, srgazh (?), 02:36, 08/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На первом дне конкурса не был взломан браузер Safari в окружении Mac OS X бууааа
| |
|