mboost-dp1
Derfor: Brug [u]ALDRIG plug-ins som Java, Silverlight og Flash i dine browsere! Til spil/spam/porno/NemID, brug det fra: VirtualBox!
Bjarni (3) skrev:#2 Det kan vel godt være praktisk i nogen tilfælde. F.eks. kan det være ret svært at lave lignede web-spil i ren browserteknologi. At det så bliver brugt i tilfælde, hvor det ikke er nødvendigt, er en anden side af sagen.
Alting du kan lave i Flash kan du også lave i Javascript.
Det er derfor at jeg som udgangspunkt har Java, Flash og endda JS slået helt fra i min browser. Kun enkelte sider hvor det giver mening har lov til at køre det, f.eks. netbanken. Så hvis det malware skal finde vej ind i min maskine skal det gå gennem steder som min bank f.eks., og selv om det selvfølgeligt ikke er helt umuligt, så tror jeg risikoen er minimal.
mireigi (4) skrev:Alting du kan lave i Flash kan du også lave i Javascript.
*nynner* Anything Flash can do, Jav' can do bettah'
Er jeg den eneste der ikke fatter hvordan det er at de "kom" til at køre Java i en browser? Bruger de internet explorer internt hos Facebook?
Jeg ved at Chrome altid spørger om Java indhold skal køres. Gør firefox ikke også det?
Jeg ved at Chrome altid spørger om Java indhold skal køres. Gør firefox ikke også det?
Det er jeg ikke sikker på. Jeg tror kun der spørges, hvis der er tale om en applet, der skal have ekstra rettigheder. Hvis f.eks. en applet vil have lov til at læse og skrive vilkårlige filer på din harddisk, så skal du godkende det først._alligned_malloc (8) skrev:Jeg ved at Chrome altid spørger om Java indhold skal køres.
Hullet gør det muligt for en applet at omgå den godkendelse og opnå kontrol uden at spørge om tilladelse først.
_alligned_malloc (8) skrev:Er jeg den eneste der ikke fatter hvordan det er at de "kom" til at køre Java i en browser? Bruger de internet explorer internt hos Facebook?
Jeg ved at Chrome altid spørger om Java indhold skal køres. Gør firefox ikke også det?
De fleste af de 0days køres uden den mindst notifikation på computeren :)
Prøv evt og se den den her Java Exploit (Rhino)
[url=
kasperd (9) skrev:Det er jeg ikke sikker på. Jeg tror kun der spørges, hvis der er tale om en applet, der skal have ekstra rettigheder. Hvis f.eks. en applet vil have lov til at læse og skrive vilkårlige filer på din harddisk, så skal du godkende det først.
Har netop lige tested med Chrome og en applet der skriver Hello World.
Den spørger om appleten skal køres.
Che0ps (10) skrev:
De fleste af de 0days køres uden den mindst notifikation på computeren :)
Prøv evt og se den den her Java Exploit (Rhino)
feature=player_detailpage&v=cXctDpaNIjw#t=193s]YouTube[/url]
De bruger winXP og internet explorer..
Igen kør for faen en browser som ikke kører applets uden bruger godkendelse, alt andet er jo skudt i hovedet..
#5
Hvorfor ikke bare bruge VirtualBox? Så slipper du helt for at bruge det i dit personlige styresystem.
Det er derfor at jeg som udgangspunkt har Java, Flash og endda JS slået helt fra i min browser. Kun enkelte sider hvor det giver mening har lov til at køre det, f.eks. netbanken. Så hvis det malware skal finde vej ind i min maskine skal det gå gennem steder som min bank f.eks., og selv om det selvfølgeligt ikke er helt umuligt, så tror jeg risikoen er minimal. skrev:
Hvorfor ikke bare bruge VirtualBox? Så slipper du helt for at bruge det i dit personlige styresystem.
Fanatiskfanboy (12) skrev:#5Hvorfor ikke bare bruge VirtualBox? Så slipper du helt for at bruge det i dit personlige styresystem.
Det er Oracle der står for både Java og VirtualVM, og hvis de ikke kan holde java-sandkassen tæt, så hvorfor skulle de bedre kunne holde VirtualVM sandkassen tæt? :-)
Man hvis man kører Java under VirtualVM så er der selvfølgeligt to lag de skal igennem.
Nej. Desværre er det ikke korrekt.mireigi (4) skrev:Alting du kan lave i Flash kan du også lave i Javascript.
Flash (Java og andre 3. part plugins) har flere langt flere rettigheder end JavaScript - det er bl.a. derfor vi ser flere exploits til dem (flere rettigheder = flere muligheder = større complexitet = større attack vector). Men det giver dem også mulighed for at gøre ting som JavaScript ikke kan. De fleste ting kan man workaround ved at lade JavaScript sende opgaven videre til serveren, men så er det ikke længere JavaScript i brugerens browser som klarer opgaven, og "offline" opgaver (hvor koden loades én gang, og så har man ikke længere adgang til serveren) er et stort problem for den type workarounds.
#14
Nu har Oracle købt VirtualBox for nyligt. De har ikke udviklet noget som helst af det, udover at sætte deres logo på rettighedslisten.
VirtualBox kører 100% isoleret i dit styresystem. Selvfølgelig er der altid en lille risiko, det kan du aldrig undgå - uanset hvad, men det er langt sikrere end at køre plug-ins direkte fra browsere i ens eget styresystem.
Det er Oracle der står for både Java og VirtualVM, og hvis de ikke kan holde java-sandkassen tæt, så hvorfor skulle de bedre kunne holde VirtualVM sandkassen tæt? :-) Man hvis man kører Java under VirtualVM så er der selvfølgeligt to lag de skal igennem. skrev:
Nu har Oracle købt VirtualBox for nyligt. De har ikke udviklet noget som helst af det, udover at sætte deres logo på rettighedslisten.
VirtualBox kører 100% isoleret i dit styresystem. Selvfølgelig er der altid en lille risiko, det kan du aldrig undgå - uanset hvad, men det er langt sikrere end at køre plug-ins direkte fra browsere i ens eget styresystem.
_alligned_malloc (11) skrev:
De bruger winXP og internet explorer..
Igen kør for faen en browser som ikke kører applets uden bruger godkendelse, alt andet er jo skudt i hovedet..
Hvis nu du havde set bare lidt mere end 2sek af den video og ladet være med og spille kong gulerod, så havde du set at han også afprøver det på Win7 og på en Mac med Firefox ..
kasperd (9) skrev:Det er jeg ikke sikker på. Jeg tror kun der spørges, hvis der er tale om en applet, der skal have ekstra rettigheder. Hvis f.eks. en applet vil have lov til at læse og skrive vilkårlige filer på din harddisk, så skal du godkende det først.
Chrome har meget længe (altid) spurgt. FF & IE gør ikke.
Siden 3. sidste Java sikkerheds opdatering giver Java mulighed for at man beder Java spørge hver gang.
Siden næst sidste ava sikkerheds opdatering er det default.
demolition (14) skrev:Det er Oracle der står for både Java og VirtualVM, og hvis de ikke kan holde java-sandkassen tæt, så hvorfor skulle de bedre kunne holde VirtualVM sandkassen tæt? :-)
Der er altid risiko for fejl.
Men snitfladen mellem guest OS og host OS er nok nemmere at lave sikkert end den mellem plugin og browser.
Æblemos (15) skrev:Flash (Java og andre 3. part plugins) har flere langt flere rettigheder end JavaScript - det er bl.a. derfor vi ser flere exploits til dem (flere rettigheder = flere muligheder = større complexitet = større attack vector).
Uden tvivl rigtigt.
Men der er nu stadiog fundet masser af JavaScript huller.
Prøv og check:
http://www.mozilla.org/security/known-vulnerabilit...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund