mboost-dp1
Microsoft Corporation
#2 Hvis du tænker på den måde, har de vel hacket hele computeren. Den har de vel også tilgang til når de har hacket chrome via flash?
blacktiger (3) skrev:... standart
Det staves "standard".
Ang. Chrome, så skulle Flash plugin jo været indkapslet i en sandkasse. Det tyder dog på, at selv Google ikke har formået at indkapsle alle hullerne i Flash.
Jeg er nød til at skrive noget nu, for jeg synes det var meget spøjst hvordan folk verdenen over gik helt amokka med deres kommentarer omkring Chrome igår da det blev "brudt" som det første til dette års P2O.
For det første var Vupen ude og forklare at de har brugt længe tid på det allerede inden de kom til P2O de havde endda valgt at smide en video op af det på youtube, men den blev ikke godkendt af Google Inc. da de mente der var fusket i den forbindelse at der ikke var tale om et hul i Chrome men (igen igen igen igen igen) i flash.
Vupen valgte dog at gøre det samme her til P2O, og der skal ikke være nogen tvivl om at "brudet" er GODKENDT !
Standart er Chrome nu med Flash installeret, og det er dette de har udnyttet, google drengene er desværre blevet snydt af Flash og den mange fejl. For flash er meget meget kompliceret og altså ikke noget man "bare" smider ind i midten af sin sandbox og kan gå ud fra ikke kan lave ballade. :)
Så for lige at opsummere:
Chrome er blevet brudt, og det er Godkendt.
Chrome er blever brudt pga. inbygget Flash.
Google har anerkendt brudet.
----------------------
Angående IE skal der ikke være tvivl om at de har haft godt af noget konkurrence, for jeg kan tydeligt mærke der er sket nogle gode ting med deres software, desværre er de langt bag Chrome både på sikkerhed, brugervenlighed og hastighed. Men de er kommet godt med !
At IE er blevet taget som nummer 2 er i og for sig ikke nogen overraskelse, faktisk er den største overraskelse at hullet ikke allerede er lukket som det blev det sidste år, om det sker fordi Vupen-gruppen ikke har været ude og meddele hvordan de har gjort det, eller om det er pga. MS bare er langsom det vil jeg undlade at udtale mig om, det kan også være en kombination.
------------------------
Angående P2O så er jeg skuffet over at de har valgt at ændre det så man ikke skal oplyse hvordan det er man har "brudt" et setup, det hjælper ikke på sikkerheden og er derfor ikke noget der kan bruges til noget, og jeg er derfor glad for at sådan nogle som Google har valgt at trække sig og i stedet lave deres eget. (!)
I ønskes alle en god weekend :)
For det første var Vupen ude og forklare at de har brugt længe tid på det allerede inden de kom til P2O de havde endda valgt at smide en video op af det på youtube, men den blev ikke godkendt af Google Inc. da de mente der var fusket i den forbindelse at der ikke var tale om et hul i Chrome men (igen igen igen igen igen) i flash.
Vupen valgte dog at gøre det samme her til P2O, og der skal ikke være nogen tvivl om at "brudet" er GODKENDT !
Standart er Chrome nu med Flash installeret, og det er dette de har udnyttet, google drengene er desværre blevet snydt af Flash og den mange fejl. For flash er meget meget kompliceret og altså ikke noget man "bare" smider ind i midten af sin sandbox og kan gå ud fra ikke kan lave ballade. :)
Så for lige at opsummere:
Chrome er blevet brudt, og det er Godkendt.
Chrome er blever brudt pga. inbygget Flash.
Google har anerkendt brudet.
----------------------
Angående IE skal der ikke være tvivl om at de har haft godt af noget konkurrence, for jeg kan tydeligt mærke der er sket nogle gode ting med deres software, desværre er de langt bag Chrome både på sikkerhed, brugervenlighed og hastighed. Men de er kommet godt med !
At IE er blevet taget som nummer 2 er i og for sig ikke nogen overraskelse, faktisk er den største overraskelse at hullet ikke allerede er lukket som det blev det sidste år, om det sker fordi Vupen-gruppen ikke har været ude og meddele hvordan de har gjort det, eller om det er pga. MS bare er langsom det vil jeg undlade at udtale mig om, det kan også være en kombination.
------------------------
Angående P2O så er jeg skuffet over at de har valgt at ændre det så man ikke skal oplyse hvordan det er man har "brudt" et setup, det hjælper ikke på sikkerheden og er derfor ikke noget der kan bruges til noget, og jeg er derfor glad for at sådan nogle som Google har valgt at trække sig og i stedet lave deres eget. (!)
I ønskes alle en god weekend :)
Ret mig endeligt hvis jeg tager fejl, men:
Blev Chrome's sandbox ikke brudt via en extension Google Calculator? Det var i hvert fald sådan nyheden præsenterede det i går?
Edit1:
Nyheden fra i går er rettet til at det var Windows calculator de fik startet uden om sandboxen. Så giver det mening.
Derudover så er vigtigheden af "Blev brudt først" og "Blev brudt som nummer" vidst ikke eksisterende, ifølge min hukommelse har det været udpenslet her på news før, at Chrome ikke er mindre usikker eller IE mere sikker fordi IE først blev brudt på dag 2, idet at konkurrencen er udformet således at de forskellige browseres forsøges brudt på forskellige tidspunkter. Desuden har hackerne lang tids forbederelse hjemmefra, og at det tager 5 minutter at bryde Chrome betyder ikke at det er let.
Ovenstående var mest henvendt til #9 som har et ganske pænt informativt indlæg men jeg mener at udtalelsen "At IE er blevet taget som nummer 2 er i og for sig ikke nogen overraskelse" er misvisende. Hvis konkurrencen er sat op til at IE først brydes på dag 2, er det jo klart at IE først brydes på dag 2, det kan der vel ikke være nogen tvivl om?
Eidt2:
For at quote #17 Nicolai i nyheden om Chome:
""og det skete inden for de første fem minutter" - og så læste jeg ikke mere.
De personer som stadig ikke har fattet at tidsfaktoren ikke er en væsentlig rolle (så længe det ikke er noget "egg hunt" som tager flere minutter) skal IKKE skrive sådan nogle her nyheder.. I trækker Newz ned på EB niveau :/"
Blev Chrome's sandbox ikke brudt via en extension Google Calculator? Det var i hvert fald sådan nyheden præsenterede det i går?
Edit1:
Nyheden fra i går er rettet til at det var Windows calculator de fik startet uden om sandboxen. Så giver det mening.
Derudover så er vigtigheden af "Blev brudt først" og "Blev brudt som nummer" vidst ikke eksisterende, ifølge min hukommelse har det været udpenslet her på news før, at Chrome ikke er mindre usikker eller IE mere sikker fordi IE først blev brudt på dag 2, idet at konkurrencen er udformet således at de forskellige browseres forsøges brudt på forskellige tidspunkter. Desuden har hackerne lang tids forbederelse hjemmefra, og at det tager 5 minutter at bryde Chrome betyder ikke at det er let.
Ovenstående var mest henvendt til #9 som har et ganske pænt informativt indlæg men jeg mener at udtalelsen "At IE er blevet taget som nummer 2 er i og for sig ikke nogen overraskelse" er misvisende. Hvis konkurrencen er sat op til at IE først brydes på dag 2, er det jo klart at IE først brydes på dag 2, det kan der vel ikke være nogen tvivl om?
Eidt2:
For at quote #17 Nicolai i nyheden om Chome:
""og det skete inden for de første fem minutter" - og så læste jeg ikke mere.
De personer som stadig ikke har fattet at tidsfaktoren ikke er en væsentlig rolle (så længe det ikke er noget "egg hunt" som tager flere minutter) skal IKKE skrive sådan nogle her nyheder.. I trækker Newz ned på EB niveau :/"
Edit3:
Okay, så ikke dag 2.
Jeg kan ikke rigtig finde ud af om der er et fast tidspunkt, eller om det bare afhænger af hvad de enkelte teams har lyst til at prøve kræfter med først. Er der nogen der kan uddybe med mere fagligt viden på dette punkt, og ikke bare gætterier?
Okay, så ikke dag 2.
Jeg kan ikke rigtig finde ud af om der er et fast tidspunkt, eller om det bare afhænger af hvad de enkelte teams har lyst til at prøve kræfter med først. Er der nogen der kan uddybe med mere fagligt viden på dette punkt, og ikke bare gætterier?
#6: De fleste "brud" er jo enten direkte lavet før disse "konkurrencer" eller bygget tungt på tidligere erfaringer. Så med det i baghovedet syntes jeg da også det er helt tovligt at bruge overskrifter som "X blev brudt på dag Y !!!!"
Jaja...de skal sgu nok alle blive brudt hvis der er gjort arbejde på dem før.
Jaja...de skal sgu nok alle blive brudt hvis der er gjort arbejde på dem før.
De forskellige hold bruger både uger og måneder før konkurrencen på at finde og udnytte sårbarheder i de forskellige browsere.
Hvor lang tid det tager at køre deres exploits på en PC siger intet om de forskellige browsere, hullerne eller holdene der har fundet dem.
Det er der er interessant er:
1. Hvor mange huller blev fundet i en given browser
2. Hvor svære er hullerne at udnytte? (lokal/remote exploit, passivt/aktivt angreb, kun en bestemt version eller alle)
3. Hvor meget kontrol giver de?
4. Hvor hurtige er producenterne til at lappe hullerne?
I den forbindelse kan man notere sig at Chrome lukkede hullerne dagen efter pwn2own og at Internet Explorer kan tage måneder for at blive patched eller slet ikke blive det.
Hvor lang tid det tager at køre deres exploits på en PC siger intet om de forskellige browsere, hullerne eller holdene der har fundet dem.
Det er der er interessant er:
1. Hvor mange huller blev fundet i en given browser
2. Hvor svære er hullerne at udnytte? (lokal/remote exploit, passivt/aktivt angreb, kun en bestemt version eller alle)
3. Hvor meget kontrol giver de?
4. Hvor hurtige er producenterne til at lappe hullerne?
I den forbindelse kan man notere sig at Chrome lukkede hullerne dagen efter pwn2own og at Internet Explorer kan tage måneder for at blive patched eller slet ikke blive det.
Chrome er som standard uden tvivl den mest sikre (og jeg er Firefox fanboy).
Firefox kan gøres enormt sikker (jeg fristes til at sige mere sikker end Chrome)
IE (fra version 9) er også "okay" sikker.
Safari er en shitty browser, så personlig ville jeg bestemt ikke anbefale den (den bliver med 100% garanti hacket, når den får sin tur).
Opera er ikke med i konkurrencen.
Firefox kan gøres enormt sikker (jeg fristes til at sige mere sikker end Chrome)
IE (fra version 9) er også "okay" sikker.
Safari er en shitty browser, så personlig ville jeg bestemt ikke anbefale den (den bliver med 100% garanti hacket, når den får sin tur).
Opera er ikke med i konkurrencen.
Aaaaah, de tager dem på tur? :D
Forstod pwn2own som dette:
I får en computer > 4 browsers... igang!
Chrome faldt først, derefer IE ...
Oh well!
Har aldrig brudt mig om andre, men må ærligt sige at jeg ikke rigtig gider bruge dem, da Firefox uden tvivl er mit førstevalg, og man bliver jo ved det man kender :)
Forstod pwn2own som dette:
I får en computer > 4 browsers... igang!
Chrome faldt først, derefer IE ...
Oh well!
Har aldrig brudt mig om andre, men må ærligt sige at jeg ikke rigtig gider bruge dem, da Firefox uden tvivl er mit førstevalg, og man bliver jo ved det man kender :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund