Új hozzászólás Aktív témák
-
#83
fondorlatos
aktív tag
fondorlatos
aktív tag
Nem nagy summa a G-nek, amit a hekkerek kaptak a törésért. Legalább foltozzák a hibákat időben.
-
Sofya
csendes tag
Csak egyetlen apró kérdés: tegyük fel, hogy normálisan van beállítva a gép, ergo minden lejelszavazva, nem gyengén, megfelelő jogosultságok, és a user értelmes ember módjára, korlátozott fiókot enged csak fel a netre. Na, akkor mi van?
Erről valahogy nem szólt a cikk, ezért érdekelne. Köszi előre is
(más kérdés, mennyi értelmes ember kerül gép elé...) -
#24737024
törölt tag
Várható volt, hogy mindenki a Chrome-ra hajt.
Érdekes, hogy mikor valamelyik Apple-rendszert törték fel, akkor mindenki fújolt, hogy így biztonság meg úgy biztonság. Most meg ugyanazok megértően bólogatnak, hogy hát de mindenki a Chrome-ot támadja, érthető, hogy egyszer elbukik. Mi ez, ha nem kettős mérce?
-
Narxis
nagyúr
-
FTeR
addikt
sry, az extra munkáért, valszeg más írta.
mivel a sanbox is egy sw így abban is lehet hiba. a lényeg, hogy több hiba együttes kihasználására van szükség, egy sikeres támadáshoz. vagyis nehezebb a dolga a támadónak. ez szerintem azt jelenti, hogy a teljes rendszer feltörhetősége alacsonyabb.
-
bambano
titán
elöljáróban szögezzük le, hogy (leellenőriztem) egyetlen általam ebben a topicban korábban írt hozzászólásban sem szerepel sem az ms sem a microsoft karaktersorozat.
egy helyen lehet úgy gondolni, hogy az ms-t emlegetem, de ott az összes böngészőt egyszerre emlegetem, tehát részrehajlást nehéz belegondolni.az érvelésedet akkor tudnám elfogadni, ha ezek az úgynevezett többlépcsős védelmek valóban többlépcsős védelmek lennének, vagyis a lépcsők feltörhetőségének a valószínűsége nem lenne semmilyen kapcsolatban más lépcsők feltörhetőségével és a teljes rendszer feltörhetősége alacsonyabb lenne, mint a daraboké.
De mivel eddig megtörtek mindent, ezért továbbra is azt gondolom, hogy a böngészők kódjának javításával lehetne legtöbb eredményt elérni, miközben elismerem, hogy ez drága és nem hatékony út.
-
FTeR
addikt
nem. olyan ez, mint bármilyen többlépcsős védelem. pl kerítés mellé kutya, biztonsági öv mellé légzsák.
a sandbox nem a biztonságos kód helyett, hanem mellett van. a biztonság és a produktivítás ellentétes tényezők, a sanbox egy praktikus próbálkozás arra, hogy meg is tehesse és mégse okozhasson kárt.
az elkerülhetetlen, hogy egy sw-ben biztonsági hiba legyen, még legnagyobb jóindulat, odafigyelés és szakértlem mellett is. csak arra hagyatkozni, hogy biztonságos kódot írunk, egyszerűen felelőtlenség. ha 1 vonalas a védelem, akkor elég csak 1 hibát találni, kettő vonal átöréséhez már viszont 2 egymással összeköthető hiba kell, ésígytovább.
biztonságos kódra csak törekedni lehet, elérni sosem. az teljesen más kérdés, ha egy fejlesztő nem hajlansó a témával foglakozni. a sandbox nem arra van, hogy pl adobe-nak kényelmesebb legyen, de hamár adobe nem fordít kellő figyelmet rá, akkor legalább van ez a védelem.ms-t azzal vádolni, hogy nem fordít kellő figyelmet a biztosnágra, meg a tájékozottság hiányára utal. 2003 óta ms példamutatóan elől jár a kérdésben. ha a modszertanban önmagában nem is hiszünk, a statisztikák ms-t igazolják. (ez megintcsak nem jelenti azt, h más módszer nem lehet eredményes).
-
banhammer
veterán
Az autoruns saját magad indítod el.
A WinPatrol meg passz.
Nekem rendszerinduláskor indul el és utána fél percen belül kilövöm.
Addig van ideje átfutni a rendszert (SSD meghajtóm van) és megnézni mi változott az előző boot óta.
Jó párszor jelzett már, hogy valami program átírta a kezdőlapot, toolbart rakott fel.
Ebben mondjuk néha én is vastagon benne vagyok ha kapkodok egy ismeretlen program felrakásánál. -
floatr
veterán
Hagyjuk má a hülye hasonlatokat télleg. Úgy csinálsz, mintha közöd nem lenne a szoftverek fejlesztéséhez, meg támogatásához. Miért probléma akkor az XP default admin jogköre? Ha elég jól meg vannak írva a szoftverek, akkor kinek árthat? ...oh wait
Lehetne még sorolni a technológiai párhuzamokat, de minek. -
#67
killerjohn
addikt
bambano
#66
killerjohn
addikt
Látom te sem írtál még 20 sornál hosszabb programot. Egy szoftver (pláne egy ilyen összetettségű) felmérhetetlenül komplexebb strukturálisan, mint egy "tető"... A sandbox nem "toldozgatás" hanem egy teljesen korrekt, okos megoldás arra, hogy megfogja a különböző kódugrásos, túlcsordulásos, stb (1000 féle, előre nem - vagy csak írtózatos munkával - látható) támadást. Az, hogy a sandbox hibás, javítani kell, oszt' csá. Túl van lihegve.
-
bambano
titán
olyan ez a sandbox, mint a bérlakások. elkezd rogyadozni a tető, akkor aládúcolják. ha megint baj van, akkor kicserélik a dúcolást. ehelyett a helyes megoldás az lenne, ha megjavítanák a tetőt és nem dúcolgatnák. lehet, hogy adott pillanatban nagyobb munka és többe kerül, de hosszú távon ez a jó megoldás.
-
Khan13
senior tag
válasz
#40553216
#48
üzenetére
Egyrészt el tudom képzelni, másrészt meg a UAC pont egy olyan védelmi vonal, amit sokan kikapcsolnak, pedig sok problémát "kiküszöböl". Amúgy ezt arra írtam, hogy én jobban biztonságban érzem magam vele, mint nélküle, volt már, hogy ez fogott meg olyanokat, amiket nem akartam futtatni, főleg nem emelt jogosultsággal. Másrészt kíváncsi lennék hogy volt beállítva a tűzfal. Tökéletes rendszer meg nincs, ezt tudjuk, ettől függetlenül nem szoktam rettegésben használni a gépemet.
-
hemaka
nagyúr
Mióta megjelent használom, de vagy egy hete valami kínja lett, azóta ezt csinálja. Leszedtem teljesen, még registry-ből is kitöröltem teljesen. Újratelepítettem, még a profilt is letöröltem, csináltam másikat, de ua. szar.
(vírus, spyware nincs a gépen)
Szerintem egyébként a NOD miatt van, mert ha kikapcsolom, akkor nincs semmi gondja. De ha kikapcsolom, akkor meg tele lesz a gép minden szeméttel pár hét alatt... -
klambi
addikt
hát nem tudom ki hogy van vele de én nem ettől tartok hogy valaki feltöri a böngészőm és elindít valamit a gépen, jobban tatok a mindennapos problémáktól apró férgek trójai stb...
mint ahogy az első hozzászólásokban is elhangzott, kb hogy valakivel megtörténik az esélye gyakorlatilag 0. A cég is ami rájött a hibára csak kimondottan ezzel foglalkozott 6 hétig, ja és nem mellesleg ebből élnek, szóval inkább a jól bekonfiglot tűzfalatokért izguljatok jobban, mert ezért totál felesleges! -
-
floatr
veterán
Strukturálisan ezért ennél lényegesebben elkülönül a dolog, mint ahogy lefested. Nagyjából annyi a kapcsolat a komplexitás szempontjából a két komponens közt, mint amilyen a fedorás sandbox-x és egy benne futó alkalmazás esetében. Miért ne adhatna hozzá plusz egy védelmi vonalat?
-
bambano
titán
a sandboxszal egy csomó plusz komplexitást viszel a programba, ami további hibalehetőségeket rejt. tehát lehet, hogy a sandboxot törik csak meg, ugyanazt a böngészőt sandbox nélkül nem tudnák megtörni.
egyébként meg annak a híve vagyok, hogyha egy kód hibás, akkor a kódot kell javítani, nem pedig körülrakni további szeméttel. -
-
#40553216
törölt tag
Bocs, de ennek pont semmi köze a nagyhangú önfényezéshez. Egy egyre szélesebb körben használt böngésző akkor is cél, ha nem fényezik.
(#9) Khan13
"Na meg UAC mellett még kevésbé fog bárki bármit akaratom ellenére futtatni.">Gondolod, ezeken a versenyeken direkt ki van kapcsolva az UAC?Itt nincs szó ilyesmiről. Ellenben erről igen:
"The targets will be running on the latest, fully patched version of either Windows 7 or Lion." -
Mert fontosabbnak tartják a termék fejlődését, mint azt hogy valós képet kapjon róla a közönség.
Ha egy javított, teljesen naprakész változatban találnak hibákat a versenyzők, akkor az jobban szolgálja (gyorsítja) a fejlődést, mintha addig is ismert hibákon pörögnének a versenyen. -
Fecow
aktív tag
De mi értelme olyan törést bemutatni a versenyen, amit a Google még verseny előtt magától is javítani tud? Nem az lenne az ilyen versenyek lényege, hogy olyan biztonsági hibákra hívják fel a figyelmet, amire eddig a fejlesztők még nem gondoltak?
De fordítva is áll a kérdés, mi értelme hagyni, hogy megtörjék a szoftverüket olyan hibával, amit egyébként is javítani tudtak volna. Ezzel kapcsolatban szkeptikus vagyok, hogy a többiek ezért tartották volna vissza magukat.
Mellesleg most sem fogták vissza magukat, akkor most hogy sikerült feltörni vagy hogy van ez?
-
floatr
veterán
Nézd, ha nálunk egy biztonsági audit várható, akkor mi is összerántjuk a lejelentett hibákat, és megpróbálunk mindent megtenni annak érdekében, hogy azok a hibák ne szerepeljenek a feltárt problémák listájában.
Én azon csodálkozom, hogy te ezen csodálkozol, illetve meg h ugyanez a lehetőség mások számára is adott, de nem élnek vele. Az pedig, hogy mi a "soron kívüli", a chrome esetében megérne egy definíciós vitát. -
FTeR
addikt
Arra utaltam (amit nyilván értettél...), hogy a versenyen való szereplésből próbálnak meg a kód minőségéről következtetést levonni. Nagyon kilóg a lóláb, hogy G a verseny előtt mindig az átlagosnál nagyobb javítócsomagot időzít. Szemben azokkal a versenytársakkal, akik a megmérettetés kedvéért nem térnek el a megszokott rutintól.
-
Syl
nagyúr
Az SSD-nek semmi baja nem lesz a swap fájltól. Ez is egy urban legend, ami itt terjed az ssd-ről...
(#25) Khan13
Nyilván vannak emberek akik pont az ilyenre játszanak rá.
De ez fordítva is igaz. Nézz csak be pl. a tisztaszoftveres topicba. Ezerrel megy a Linuxosok ba**tatása. -
Gabcseee
tag
"Firefoxhoz ajánlott a noscript nevű addon értelmesen használva."
+1
Itt a lényeg srácok. Full nyílt a kód és még maga a CIA CION vezér se tud belemászni a gépembe, akárhova is lóg el az orra.
A nyíltnak beállított, de valójában zárt Króm és egyéb zárt kódú böngészőkkel kapcsolatban meg eleve azt próbálják a köznépnek fórumokon a fülébe sugallni, a "nincs tökéletes védelem" adu ászt kirángatva, hogy már eleve a gyárkapun is úgy jön ki a szoftver, hogy gyárilag integrált "kiskaput" tartalmaz, mert így megspórolják a titkosszolgálatok a kemény és fáradtságos trójai feltelepítését a GÓJ lúzerek gépére.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Minek következtében csak azt nem figyelnek meg akit nem akarnak. -
#33
The Bachelor
tag
The Bachelor
tag
"A részleteket titokban tartjuk, az ügyfeleinknek adjuk csak ki"
Csak nekem furdalja az oldalamat, hogy KIK ezek az ügyfelek? -
Rez_Grof
őstag
-
anulu
félisten
FF-et is már csak akkor használok, ha valami letöltögetős dolog van, mert a DownThemAll-hoz hasonló addon sincs IE9 alá, ami rendesen menne. egyébként visszatértem az MS cuccához. annyira döglassú az új FF, hogy sírok időnként, máskor meg amiatt, h megeszik 6-800MB RAM-ot, ami azért enyhén vicces.
-
-
floatr
veterán
Valamit véletlenül összekeversz. Azt állítottad, hogy a firefox mentes az ilyen problémáktól, ami finoman szólva is tárgyi tévedés. Mindkét probléma highly critical minősítést kapott, mivel távoli hozzáférésre adott lehetőséget. A bugfix más lapra tartozik, ezen a téren egyelőre a ms állt rosszabbul a többiekhez képest.
Az ASLR és DEP törése/megkerülése legkevésbé sem tartozik a firefox problémakörébe. A sandbox megkerülése szintén nem, mivel ilyen nincs is neki. Nem az a baj, hogy van véleményed, hanem hogy láthatóan ész nélkül formálod...(#22) anulu te is tudhatod nagyon jól, hogy nem így találnak hibákat. Amennyire viszont egy exploit pontosítását segíti, úgy a javítást is.
-
-
Khan13
senior tag
Gáz a stílus, ahogy kommunikálsz ebben a fórumban, én itt be is fejeztem, nem érvelek, mert látom hogy felesleges, úgyis csak azt látod amit akarsz. Utólag belátom, kár volt válaszoljak a hozzászólásodra.
Moderátoroktól elnézést a személyeskedésért.
Ilyenkor átérzem moonman miért hagyta ott az itcafet. -
floatr
veterán
Nem mintha a 10-es verzió kiadását nem követte volna két szélsebes bugfix release... Az exploitok -- amik egyáltalán nyilvánosságra kerültek -- távoli hozzáférést adtak. Nem kéne őket az egekbe magasztalni, mert ők is tele vannak hibákkal, ráadásul egy nyomorult sandbox-ot sem képesek implementálni/használni. Inkább az volt a furcsa, hogy a chrome eddig nem hullott el.
-
-
Gabcseee
tag
"...mellesleg nagyon hatékony a DEP és az ASLR is...."
mellesleg a cikk pont arról szól, hogy mennyire "hatékony"
"...semmi nem lett törve, csak megkerülve..."
aha, szóval nem sz*rtunk a kútba, csak a szélére aztán belelöktük...
"...Mellesleg Firefoxot bőven tördelték már..."
Ha legalább egy fél darab linket kaptunk volna tőled, mint a véreshurka akkor még komolyan is vennénk a szánalmas próbálkozásodat.
"...Oda kell figyelni, hogy mit csinálsz, ennyi..."
Ha nekem, mint lúzernak kell odafigyelni, akkor mire a biztonságosnak bekamuzott böngésző?
"...köszönjük, leülhetsz..."
hát barátom le is ülhetsz...
-
bul07
nagyúr
Egyik alakalommal egy cod4 klán honlapján egy olyan flashbe futottam ami kihasználva a Flash Player sebezhetőségét megfertőzte a gépemet , semmit nem kellett csinálni csak felmenni a honlapra (bár igaz hogy ez pár éve volt, meg a Flash Player se volt a legfrissebb verzió) Azóta fent van a NoScript a biztonság kedvéért, meg a reklámoktól is mentesülök
-
Khan13
senior tag
Azért ez nem ennyire egyszerű, mellesleg nagyon hatékony a DEP és az ASLR is. Mint a cikkben is szerepel, semmi nem lett törve, csak megkerülve (a végeredmény persze kb ugyanaz), ettől függetlenül a Win7 egy nagyon is biztonságos rendszer.
Mellesleg Firefoxot bőven tördelték már, szóval köszönjük, leülhetsz.Most egyszer sikerült ezt megcsinálni két rendezvényen, de ki lesz javítva, ennyi. Sem IE9 sem Chrome sem Chromium használat közben nem félek, hogy bármi áldozata legyek. Oda kell figyelni, hogy mit csinálsz, ennyi. Na meg UAC mellett még kevésbé fog bárki bármit akaratom ellenére futtatni.
-
#56573440
törölt tag
vihar a biliben kb ez olyan mint amikor megjelenés után srác megtörte az iphone első verzióját hogy független legyen. működött meg minden, de reprodukálni nem sokat tudták volna... ez is szép meg jó, de nagyobb a veszélye hogy nyerek a lottón mint hogy ebbe belefussak bárhol.
egyébként így jár az aki fennhangon hirdeti sebezhetetlenségét. ha valamit nagyon nagyon akarnak azt felnyomják, idő, tudás, eszköz kérdése az egész
-
#6
Thunderdome
csendes tag
Thunderdome
csendes tag
"...melyek az általuk felfedezett hibákat nem a fejlesztőkkel osztják meg, hanem pénzért értékesítik ügyfeleiknek."
Az ilyen mennyire erkölcsös/legális...semennyire? -
Gabcseee
tag
Eggyet mondok , kettő lessz belőle:
1. Mi a túrónak kell nagy dírrel-dúrral beharangozni a Windows 7 "biztonságát" az Address Space Layer Randomizationt és a DEP-et mikor LÚZER interakció nélkül egy weboldal puszta meglátogatásával máris fut egy trójai a Windows 7-esen ?
2. Mutassatok egy példát a legújabb Firefox törésére !
3. Milyen érdekes, hogy abban a pillanatban amikor FULL nyílt a forrás, máris nincsenek rejtélyes hátsó, meg ilyen-olyan kiskapuk, és biztonsági "hibák"
(hát persze, higgyem is el hogy HIBA... AHA én meg Kuku Benkó vagyok személyesen)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Minek következtében csak azt nem figyelnek meg akit nem akarnak.
Új hozzászólás Aktív témák
- AKCIÓ! Lenovo IS8XM LGA 1150 DDR3 alaplap garanciával hibátlan működéssel
- 129 - Lenovo Legion Pro 7 (16ARX8H) - AMD Ryzen 9 7945HX, RTX 4080
- Szép állapotban levő Apple iPhone 12 Pro Max 128GB / 12 hó jótállás
- Intel X540-T2 dual-port 10GbE RJ45 hálózati vezérlő (10Gbit, 2 port, áfás számla, garancia)
- Apple iPhone 13 Pro Max 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: FOTC
Város: Budapest