The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Итоги инициативы Google по повышению безопасности популярног..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от opennews (ok) on 10-Окт-14, 11:31 
Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...) итоги года действия (http://www.opennet.me/opennews/art.shtml?num=38123) программы (http://www.opennet.me/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.


Из участвовавших в программе успешных  разработок отмечается:

-  Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9...) проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
-  Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm...) в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
-  Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551...) в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
-  Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza...) (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
-  Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (http://www.opennet.me/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых  Shellshock-уязвимостей в Bash;

Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...)  с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.

URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...
Новость: http://www.opennet.me/opennews/art.shtml?num=40792

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Итоги инициативы Google по повышению безопасности популярног..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 10-Окт-14, 11:51 
> Внедрение проверок безопасности во фреймворк Django

А что, изначально Джанго писали без проверок безопасности?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Итоги инициативы Google по повышению безопасности популярног..."  +10 +/
Сообщение от MahnaMahnam on 10-Окт-14, 12:19 
Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

23. "Итоги инициативы Google по повышению безопасности популярног..."  –4 +/
Сообщение от pv47 (ok) on 10-Окт-14, 21:17 
> Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.

... и решили производить головки молотков из пенопласта. Гугл такой гугл.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Alan Cox email on 18-Ноя-14, 13:34 
Ума и денег хватило на написание проверок перед ударом и перед замахом, псевдозамах, автоматизация замаха, в конченом результате решили спрятать руки в ЖЁ от греха подальше перед замахом.

Раньше удовалось заколотить в день по 3 гвоздя в свой гроб, теперь только один))))

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

5. "Итоги инициативы Google по повышению безопасности популярног..."  –7 +/
Сообщение от Аноним (??) on 10-Окт-14, 12:13 
Забыли еще одно достижение.
- число свободно публикуемых уязвимостей сократилось на 70%
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Итоги инициативы Google по повышению безопасности популярног..."  +1 +/
Сообщение от Карбофос (ok) on 11-Окт-14, 01:00 
сегодня был день психического здоровья и день яйца.
первое - точно не ваш праздник. лучше выберите, какое поздравлять будете: правое, или левое.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от AlexYeCU_not_logged on 10-Окт-14, 13:44 
Начали б они со своего Андроида.
Чтоб root из коробки, чтоб OTA на рутованные железки ставились, чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Итоги инициативы Google по повышению безопасности популярног..."  –3 +/
Сообщение от th3m3 (ok) on 10-Окт-14, 13:57 
Какой root из коробки? Там и так вирусов полно, а с root вообще атас будет.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Итоги инициативы Google по повышению безопасности популярног..."  –2 +/
Сообщение от AlexYeCu_not_logged on 10-Окт-14, 14:59 
Вирусов там не полно. Но встречаются, да. И одна из главных причин их существования: отвратная управляемость системы со стороны пользователя: что для получения root`а, что для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Итоги инициативы Google по повышению безопасности популярног..."  +1 +/
Сообщение от Аноним (??) on 10-Окт-14, 21:47 

> отвратная управляемость системы со стороны пользователя

Это фича, инжой.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Итоги инициативы Google по повышению безопасности популярног..."  –2 +/
Сообщение от dewfc on 10-Окт-14, 23:57 
>для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.

Вы все таки подержите как нибудь андройд в руках то, ну в магазине хотя бы. А то ведь смешно получается.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Итоги инициативы Google по повышению безопасности популярног..."  –1 +/
Сообщение от vitalif (ok) on 10-Окт-14, 22:42 
Нет там ВИРУСОВ, разве что албанские, которые специально устанавливать надо. Т.е. неспособные самостоятельно размножаться. ВИРУС должен самостоятельно размножаться.

И если скрыть этот рут хотя бы за тем же извращением, за которым щас скрыто включение опций разработчика - дебилы его и так не найдут)).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от freehck email(ok) on 11-Окт-14, 00:43 
> ВИРУС должен самостоятельно размножаться.

Нет.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

15. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Аноним (??) on 10-Окт-14, 16:09 
> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать

Этого даже в линуксе нет (в том смысле, что вы подразумеваете) и, похоже, никому не нужно. Что там на телефоне, должно волновать в меньшей степени.
Проблема андроида - нужно продавать железки и гвнопрограммы. Из нее следуют все остальные проблемы.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Итоги инициативы Google по повышению безопасности популярног..."  +6 +/
Сообщение от AlexYeCu_not_logged on 10-Окт-14, 16:19 
В Линуксе нет той кучи фекалий, называемой в Андроиде софтом. 90% софта — опенсорс. А Skype`ы и Steam`ы можно и не ставить на тех компах, где есть что-то ценное. В Линуксе есть нормальное разделение на пользователей. Т.е. можно часть софта использовать под выделенным пользователем.
В Андроиде вместо всего этого — контейнеры для приложений с явно выделямыми им правами, да ещё каждая софтина запускается от своего пользователя. Проблема в том, что пользователь этими правами управлять не может, а разработчики софта ограничивать права своих продуктов не хотят. В итоге оно вообще не про безопасность.
В Винде тоже были и пользователи, и права разделяемые — толку-то?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Аноним (??) on 10-Окт-14, 18:06 
Есть, братюнь - apparmor и selinux.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

31. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Аноним (??) on 11-Окт-14, 01:32 
А еще контейнеры и cgroups, а для особо злобных программ и полновесные виртуалки.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Итоги инициативы Google по повышению безопасности популярног..."  +1 +/
Сообщение от vitalif (ok) on 10-Окт-14, 22:43 
> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать

Это в J2ME даже было)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Аноним (??) on 11-Окт-14, 01:31 
>  Добавление в OpenSSH алгоритма Curve25519 и некоторых
> других криптографических примитивов;

Теперь еще выпилить оттуда всякое старье типа ssh1 и прочий шит - и станет хорошо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Итоги инициативы Google по повышению безопасности популярног..."  +/
Сообщение от Аноним (??) on 11-Окт-14, 04:57 
> для обхода новых Shellshock-уязвимостей в Bash;

Не помогло что-то, судя по http://www.opennet.me/openforum/vsluhforumID3/99332.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру