20 svar i den här tråden

[essob]

Chromium har en del nya och intressanta aspekter på hur man löser säkerheten i en webbläsare.


Chromium Security:

Citat

We invest in technology such as integrated sandboxing -- resulting in the average severity of vulnerabilities being lower.

http://sites.google....romium-security



PDF - säkerheten i Chromium:

Citat

To further protect users, PDF functionality will be contained within the security “sandbox” Chrome uses for web page rendering.
Users will automatically receive the latest version of Chrome’s PDF support; they won’t have to worry about manually updating any plug-ins or programs.

http://blog.chromium...-to-google.html

[LionKing]

Innan ominstallation av Windows för ett tag sen hade jag Comodo Dragon installerad och körde ibland.

Vad säger forumets säkerhetsexperter om säkerheten där? Ska väl vara bättre än i Chrome om jag förstått rätt.

Detta med Chromiums sandbox låter intressant.

[jarru]

Ojjojj,, ska man ta fram sågen igen och hitta grus..

( Det där där med Rysk Roulette verkar vara intressant )

[LionKing]

jarru, den 19 juli 2010 - 16:33 , skrev:

( Det där där med Rysk Roulette verkar vara intressant )

Lite som att surfa utan AV&BV.  

[Advanced user]

tack igen, säkerhetsexperten essob!

[JoWa]

Det Dragon tillför är varning för DV SSL-certifikat. Annars är säkerheten densamma som Chromium (motsvarande version). Nackdelen är att Dragon uppdateras långsamt (f.n. baserad på Chromium 4.1).

Det finns många intressanta artiklar om Chromiums sandlåda, men jag kommer inte åt dem härifrån. Här är dock en lättillgänglig inledning: http://www.google.co...ome/big_24.html

[LionKing]

JoWa, den 20 juli 2010 - 03:48 , skrev:

Annars är säkerheten densamma som Chromium (motsvarande version). Nackdelen är att Dragon uppdateras långsamt (f.n. baserad på Chromium 4.1).

Betyder det då att Chromium är att föredra av dessa två?

[essob]

LionKing, den 20 juli 2010 - 06:36 , skrev:

Betyder det då att Chromium är att föredra av dessa två?

Precis som JoWa skriver så baseras Dragon på äldre version Chromium.

Personligen föredrar jag Chromium framför Google Chrome. Googles sk "privacy" kan ju diskuteras.
http://en.wikipedia....d_Google_Chrome


JoWa skriver om sandbox här en kort beskrivning...(finns ett Sandbox FAQ)
http://www.chromium....cuments/sandbox

[JoWa]

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, ”sandlåda”). Jag citerar en hackare:

Citat

“There are bugs in Chrome but they’re very hard to exploit. I have a Chrome vulnerability right now but I don’t know how to exploit it. It’s really hard. They’ve got that sandbox model that’s hard to get out of. With Chrome, it’s a combination of things – you can’t execute on the heap, the OS protections in Windows and the Sandbox.”

[essob]

JoWa, den 20 juli 2010 - 10:18 , skrev:

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, ”sandlåda”). Jag citerar en hackare:

"En sanning med modifikation".

Det är massor av exploits som har täppts igen sen den versionen av Chromium som Dragon bygger på.

Personligen väljer jag senaste versionen pga alla exploits som täppts igen.

Att förlita sig bara på att en sandbox ska bli den gordiska knuten i säkerhetssammanhang känns dumdristigt.

En sandbox är ju också något som modifieras och utvecklas med tiden.

Uppdatera är ju ett ledord i dessa sammanhang.

[JoWa]

Mer om sandlådan:
http://blog.chromium...ity-google.html

Om tillägg (extensions) och säkerhet:
http://blog.chromium...ion-system.html

Det här inlägget har redigerats av JoWa: 22 juli 2010 - 22:24

[JoWa]

Rolling out a sandbox for Adobe Flash Player

The Year of the Sandbox isn’t Over Yet!

Det här inlägget har redigerats av JoWa: 01 december 2010 - 22:27

[essob]

JoWa, den 01 december 2010 - 18:15 , skrev:

The Year of the Sandbox isn’t Over Yet!

Vi får hoppas att Adobe utvecklar en bättre sandbox. Ganska enkelt att penetrera.
http://xs-sniper.com...system-sandbox/

Citat

Så kan säkerheten i nya Flash Player överlistas

http://www.idg.se/2....ayer-overlistas

Det här inlägget har redigerats av essob: 14 januari 2011 - 09:29

[JoWa]

New Chromium security features, June 2011

[JoWa]

Trying to end mixed scripting vulnerabilities

[JoWa]

Chrome is the most secured browser - new study

[JoWa]

Principles Behind Chrome Security

[JoWa]

All About Safe Browsing

[JoWa]

Pwnium är Googles program för att belöna dem som hittar säkerhetsbrister i Chrome.

De tre nivåerna är:

• $60,000 - “Full Chrome exploit”: Chrome / Win7 local OS user account persistence using only bugs in Chrome itself.
  
• $40,000 - “Partial Chrome exploit”: Chrome / Win7 local OS user account persistence using at least one bug in Chrome itself, plus other bugs. For example, a WebKit bug combined with a Windows sandbox bug.
  
• $20,000 - “Consolation reward, Flash / Windows / other”: Chrome / Win7 local OS user account persistence that does not use bugs in Chrome. For example, bugs in one or more of Flash, Windows or a driver. These exploits are not specific to Chrome and will be a threat to users of any web browser. Although not specifically Chrome’s issue, we’ve decided to offer consolation prizes because these findings still help us toward our mission of making the entire web safer.

Ny tycks Sergey Glazunov har gjort sig förtjänt av det högsta beloppet, för en “Full Chrome exploit”. Uppdatering för Chrome är på gång.

Förutom 60 000 $ får Sergey (liksom alla andra vinnare) en Chromebook.

[JoWa]

Google sammanfattar Pwnium och kommenterar Pwn2Own: Pwnium: great exploits, fast patches