Új hozzászólás Aktív témák
-
bambano
titán
válasz
Darknight
#15
üzenetére
valóban alapfunkciója a böngészőnek a kódfuttatás, de az is alapfunkciója, hogy a kódot nem hagyja korlátlanul terjeszkedni. ugyanúgy, ahogy elvileg a java vm sem engedi össze-vissza piszkolni a menedzselt kódot (nem állítom, hogy 100%-ban sikeres ezügyben), a böngészőnek sem kellene engednie kitörni a letöltött kódokat.
"Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.": azt állítom, hogy a rosszindulatú kód kiengedéséért csakis a böngésző felel.
meg azt is állítom a konkrét esetre specializálva, hogy az tahóság, hogy a google a saját böngészőjének hibái miatt kesereg. javítsa meg. ki más, ha nem ők?
"nem létezik abszolút biztonság": egyrészt létezzen! másrészt azért azt elfogadhatja mindenki, hogy az abszolút biztonság és a mostani trágyadomb helyzet között még létezhetne ennél jobb arany középút. csak amíg egyes nagy cégek szimbiózisban élhetnek a kártékony kódokkal, addig ez sose fog javulni.
a 21. század kb. arról szól az informatika terén, hogy minél több emberhez eljusson, minél több emberből csináljanak vevőt. ennek egyenes következménye, hogy már nem csak guru szinten felkészült mérnökök ülhetnek gép elé, hanem egyre felkészületlenebbek is. tehát az, hogy ezzel párhuzamosan a szoftver egyre ócskább minőségű, mert cégeknek ez az érdeke, az gáz.
szerintem meg minden kihasznált sérülékenység mögött van programozói hiba is. az adathalászat is feltört gépről kiküldött emaillel szokott indulni.
én azt gondolom, régen nem volt ennyi szemét program. régen elő nem fordulhatott volna, hogy egy boeing 737-es felszállhat, és csak akkor hajlandó a gyártó kijavítani a hibáját, mikor a politikusok ingerküszöbét is megüti a koporsók látványa. és a hibát az alapoknál kell kijavítani, nem kerülő megoldásokkal.
-
Darknight
csendes tag
Van itt félreértés rendesen.
1.) Ma már alapfunkciója a böngészőnek, hogy kódot futtat!!! Ez nem hiba, egyszerűen ezt a feladata. Valahol az ActiveX és a java script környékén kezdődött, mostanra meg összeszámolni se tudom a különböző megoldásokat (alkalomadtán nézd meg az Internet Explorer beállításiban a Biztonság fülön az Egyedi szint beállításait, ott találsz egy listát).
Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.
2.) Megpróbálom megmutatni, hogy hol a hiba a nézőpontodban:
Van egy halom pénzem. Eldönthetem, hogy a párnám alatt tartom ( párna=böngésző) vagy berakom a bankba a páncél szekrénybe (bank=IT biztonsági szoftverek). A kispárnától nem várhatom el, hogy megóvja a pénzem a betörőtől (legfeljebb hogy ne legyen szemelőtt). Ellenben egy banktól elvárom, hogy betörő ide vagy oda, de megvédje a pénzem.
Vagyis a pénzem védelme nem a kispárnám, hanem a bank feladata.
3.) Annyiban viszont igazad van, hogy az alkalmazásokban sok a programozói hiba, illetve nem biztonságos programozói megoldás, amit kutya kötelességük javítani. És az is igaz, hogy a rosszindulatú kódok egy jó része az ilyen hibák kihasználására épül. De nem minden sérülékenység programozói hiba, és nem lehet mindent a böngészőre fogni. Erre mondtam azt, hogy nem elvárható és nem megoldható, hogy az autó ne hajtson bele a tömegbe.
4.) Rossz hírem van: nem létezik abszolút biztonság! Neked kell tudatosan odafigyelni az IT biztonságra: pl. telepíted a biztonsági szoftvereket, érdemben kezeled a riasztásait, telepíted a különböző frissítéseket, elkerülöd a gázos oldalakat, és a legfontosabb, biztonságtudatosan használod a netet.
-
bambano
titán
válasz
Darknight
#12
üzenetére
teljesen helytelen nézőpont.
azt, hogy a böngészőből kódot lehet futtatni, az az esetek zömében programozási hiba teszi lehetővé.
ebben az esetben nem az a megoldás, hogy plusz védelmi eszközökkel pakolom körbe a böngészőt, hanem kijavítom a böngészőben levő hibát.hogy én is példát hozzak: ha egy idióta bankvezér kitalálja, hogy kirak a Hősök tere közepére egy asztalt és azon fogja tárolni a készpénzt, akkor nem az a megoldás, hogy körbetekered a teret szögesdróttal és raksz mellé 32 fegyveres őrt, mert úgyis ellopják a pénzt. az a megoldás, ha visszarakatod a pénzt a páncélba.
-
-
Darknight
csendes tag
A feltörés és a hiba nem ugyan az! És még a hiba sem jó. Igazából ezek sérülékenységek,
ami lehet mundjuk hiba vagy technológiai sajátosság is. Hogy értehető legyen:
Ha az autó irányhatatlanná válik az az autó hibája.
Ha durrdefektet kapok, mert 20 éve nem cseréltem gumit a kocsin, az az én hibám.
Ha szándékosan belerohanok a kocsival a tömegbe, az meg technológia sajátossága, korlátja, tehát sérülékenysége, hogy nem rendeltetésszerűen használva erre is alkalmas.
A böngésző nem egy biztonsági szoftver, hanem egy megjelenítő felület, amibe a támadások miatt egyre több biztonsági funkció is belekerül, miközben a felhasználói igények miatt egyre több mindent kell futtatnia (video, játék, webalkalmazás). Ezért kell használni teljesértékű végpontvédelmet (tűzfal, mezei vírusírtó kevés) és az sem árt, ha böngésződ egy sandbox-ban fut, amit böngészés után törölsz.
Új hozzászólás Aktív témák
- GIGABYTE Z390 AORUS MASTER WiFi Alaplap
- GAMER PC! Ryzen 7800X3D / RTX 5070 Ti / 32GB 6400MHz / B650 WiFi / 1TB Gen4 / 750w GOLD! BeszámítOK
- T14 Gen5 14" FHD+ IPS Ultra 7 165U 16GB 512GB NVMe magyar vbill ujjlolv IR kam gar
- Urevo U1 Walking Treadmill
- Phone 15 Pro fehér, 256GB kijelző viseltes, akksi 87%
- GYÖNYÖRŰ iPhone 13 mini 128GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS3060, 94% Akkumulátor
- SzinteÚJ! HP Elitebook 860 G10 i7-1355U 16GB 1000GB 16" FHD+ Gar.: 1 év
- BESZÁMÍTÁS! Sony PlayStation 5 825GB SSD digital konzol garanciával hibátlan működéssel
- Nvidia Quadro M2000/ P2000/ P4000/ RTX 4000/ RTX 5000/ RTX A2000
- Új és újszerű 17.3" Gamer, irodai, üzleti készülékek nagyon kedvező alkalmi áron Garanciával!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest