форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Итоги инициативы Google по повышению безопасности популярног..."	+/–
Сообщение от opennews (ok) on 10-Окт-14, 11:31
Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...) итоги года действия (http://www.opennet.me/opennews/art.shtml?num=38123) программы (http://www.opennet.me/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО. Из участвовавших в программе успешных  разработок отмечается: -  Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9...) проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения; -  Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm...) в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf; -  Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551...) в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов; -  Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza...) (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти; -  Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (http://www.opennet.me/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых  Shellshock-уязвимостей в Bash; Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...)  с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов. URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... Новость: http://www.opennet.me/opennews/art.shtml?num=40792
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

3. "Итоги инициативы Google по повышению безопасности популярног..."	+2 +/–
Сообщение от YetAnotherOnanym (ok) on 10-Окт-14, 11:51
> Внедрение проверок безопасности во фреймворк Django А что, изначально Джанго писали без проверок безопасности?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Итоги инициативы Google по повышению безопасности популярног..."	+10 +/–
	Сообщение от MahnaMahnam on 10-Окт-14, 12:19
	Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	23. "Итоги инициативы Google по повышению безопасности популярног..."	–4 +/–
	Сообщение от pv47 (ok) on 10-Окт-14, 21:17
	> Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя. ... и решили производить головки молотков из пенопласта. Гугл такой гугл.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	33. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
	Сообщение от Alan Cox on 18-Ноя-14, 13:34
	Ума и денег хватило на написание проверок перед ударом и перед замахом, псевдозамах, автоматизация замаха, в конченом результате решили спрятать руки в ЖЁ от греха подальше перед замахом. Раньше удовалось заколотить в день по 3 гвоздя в свой гроб, теперь только один))))
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

5. "Итоги инициативы Google по повышению безопасности популярног..."	–7 +/–
Сообщение от Аноним (??) on 10-Окт-14, 12:13
Забыли еще одно достижение. - число свободно публикуемых уязвимостей сократилось на 70%
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Итоги инициативы Google по повышению безопасности популярног..."	+1 +/–
	Сообщение от Карбофос (ok) on 11-Окт-14, 01:00
	сегодня был день психического здоровья и день яйца. первое - точно не ваш праздник. лучше выберите, какое поздравлять будете: правое, или левое.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
Сообщение от AlexYeCU_not_logged on 10-Окт-14, 13:44
Начали б они со своего Андроида. Чтоб root из коробки, чтоб OTA на рутованные железки ставились, чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Итоги инициативы Google по повышению безопасности популярног..."	–3 +/–
	Сообщение от th3m3 (ok) on 10-Окт-14, 13:57
	Какой root из коробки? Там и так вирусов полно, а с root вообще атас будет.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Итоги инициативы Google по повышению безопасности популярног..."	–2 +/–
	Сообщение от AlexYeCu_not_logged on 10-Окт-14, 14:59
	Вирусов там не полно. Но встречаются, да. И одна из главных причин их существования: отвратная управляемость системы со стороны пользователя: что для получения root`а, что для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	24. "Итоги инициативы Google по повышению безопасности популярног..."	+1 +/–
	Сообщение от Аноним (??) on 10-Окт-14, 21:47
	> отвратная управляемость системы со стороны пользователя Это фича, инжой.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	27. "Итоги инициативы Google по повышению безопасности популярног..."	–2 +/–
	Сообщение от dewfc on 10-Окт-14, 23:57
	>для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны. Вы все таки подержите как нибудь андройд в руках то, ну в магазине хотя бы. А то ведь смешно получается.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	25. "Итоги инициативы Google по повышению безопасности популярног..."	–1 +/–
	Сообщение от vitalif (ok) on 10-Окт-14, 22:42
	Нет там ВИРУСОВ, разве что албанские, которые специально устанавливать надо. Т.е. неспособные самостоятельно размножаться. ВИРУС должен самостоятельно размножаться. И если скрыть этот рут хотя бы за тем же извращением, за которым щас скрыто включение опций разработчика - дебилы его и так не найдут)).
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	28. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
	Сообщение от freehck (ok) on 11-Окт-14, 00:43
	> ВИРУС должен самостоятельно размножаться. Нет.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	15. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
	Сообщение от Аноним (??) on 10-Окт-14, 16:09
	> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать Этого даже в линуксе нет (в том смысле, что вы подразумеваете) и, похоже, никому не нужно. Что там на телефоне, должно волновать в меньшей степени. Проблема андроида - нужно продавать железки и гвнопрограммы. Из нее следуют все остальные проблемы.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "Итоги инициативы Google по повышению безопасности популярног..."	+6 +/–
	Сообщение от AlexYeCu_not_logged on 10-Окт-14, 16:19
	В Линуксе нет той кучи фекалий, называемой в Андроиде софтом. 90% софта — опенсорс. А Skype`ы и Steam`ы можно и не ставить на тех компах, где есть что-то ценное. В Линуксе есть нормальное разделение на пользователей. Т.е. можно часть софта использовать под выделенным пользователем. В Андроиде вместо всего этого — контейнеры для приложений с явно выделямыми им правами, да ещё каждая софтина запускается от своего пользователя. Проблема в том, что пользователь этими правами управлять не может, а разработчики софта ограничивать права своих продуктов не хотят. В итоге оно вообще не про безопасность. В Винде тоже были и пользователи, и права разделяемые — толку-то?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	20. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
	Сообщение от Аноним (??) on 10-Окт-14, 18:06
	Есть, братюнь - apparmor и selinux.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	31. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
	Сообщение от Аноним (??) on 11-Окт-14, 01:32
	А еще контейнеры и cgroups, а для особо злобных программ и полновесные виртуалки.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	26. "Итоги инициативы Google по повышению безопасности популярног..."	+1 +/–
	Сообщение от vitalif (ok) on 10-Окт-14, 22:43
	> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать Это в J2ME даже было)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
Сообщение от Аноним (??) on 11-Окт-14, 01:31
>  Добавление в OpenSSH алгоритма Curve25519 и некоторых > других криптографических примитивов; Теперь еще выпилить оттуда всякое старье типа ssh1 и прочий шит - и станет хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Итоги инициативы Google по повышению безопасности популярног..."	+/–
Сообщение от Аноним (??) on 11-Окт-14, 04:57
> для обхода новых Shellshock-уязвимостей в Bash; Не помогло что-то, судя по http://www.opennet.me/openforum/vsluhforumID3/99332.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема