Chromium - säkerhet

[essob]

Chromium har en del nya och intressanta aspekter på hur man löser säkerheten i en webbläsare.

Chromium Security:

We invest in technology such as integrated sandboxing -- resulting in the average severity of vulnerabilities being lower.

http://sites.google.com/a/chromium.org/dev/Home/chromium-security

PDF - säkerheten i Chromium:

To further protect users, PDF functionality will be contained within the security sandbox Chrome uses for web page rendering.

Users will automatically receive the latest version of Chromes PDF support; they wont have to worry about manually updating any plug-ins or programs.

http://blog.chromium.org/2010/06/bringing-improved-pdf-support-to-google.html

[LionKing]

Innan ominstallation av Windows för ett tag sen hade jag Comodo Dragon installerad och körde ibland.

Vad säger forumets säkerhetsexperter om säkerheten där? Ska väl vara bättre än i Chrome om jag förstått rätt.

Detta med Chromiums sandbox låter intressant.

[jarru]

Ojjojj,, ska man ta fram sågen igen och hitta grus..

( Det där där med Rysk Roulette verkar vara intressant )

[LionKing]

( Det där där med Rysk Roulette verkar vara intressant )

Lite som att surfa utan AV&BV.

[Guest Advanced user]

tack igen, säkerhetsexperten essob!

[JoWa]

Det Dragon tillför är varning för DV SSL-certifikat. Annars är säkerheten densamma som Chromium (motsvarande version). Nackdelen är att Dragon uppdateras långsamt (f.n. baserad på Chromium 4.1).

Det finns många intressanta artiklar om Chromiums sandlåda, men jag kommer inte åt dem härifrån. Här är dock en lättillgänglig inledning: http://www.google.com/googlebooks/chrome/big_24.html

[LionKing]

Annars är säkerheten densamma som Chromium (motsvarande version). Nackdelen är att Dragon uppdateras långsamt (f.n. baserad på Chromium 4.1).

Betyder det då att Chromium är att föredra av dessa två?

[essob]

Betyder det då att Chromium är att föredra av dessa två?

Precis som JoWa skriver så baseras Dragon på äldre version Chromium.

Personligen föredrar jag Chromium framför Google Chrome. Googles sk "privacy" kan ju diskuteras.

http://en.wikipedia.org/wiki/Chromium_%28web_browser%29#Differences_between_Chromium_and_Google_Chrome

JoWa skriver om sandbox här en kort beskrivning...(finns ett Sandbox FAQ)

http://www.chromium.org/developers/design-documents/sandbox

[JoWa]

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, sandlåda). Jag citerar en hackare:

There are bugs in Chrome but theyre very hard to exploit. I have a Chrome vulnerability right now but I dont know how to exploit it. Its really hard. Theyve got that sandbox model thats hard to get out of. With Chrome, its a combination of things you cant execute on the heap, the OS protections in Windows and the Sandbox.

[essob]

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, sandlåda). Jag citerar en hackare:

"En sanning med modifikation".

Det är massor av exploits som har täppts igen sen den versionen av Chromium som Dragon bygger på.

Personligen väljer jag senaste versionen pga alla exploits som täppts igen.

Att förlita sig bara på att en sandbox ska bli den gordiska knuten i säkerhetssammanhang känns dumdristigt.

En sandbox är ju också något som modifieras och utvecklas med tiden.

Uppdatera är ju ett ledord i dessa sammanhang.

[JoWa]

Mer om sandlådan:

http://blog.chromium.org/2008/10/new-approach-to-browser-security-google.html

Om tillägg (extensions) och säkerhet:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Edited July 22, 2010 by JoWa

[JoWa]

Rolling out a sandbox for Adobe Flash Player

The Year of the Sandbox isnt Over Yet!

Edited December 1, 2010 by JoWa

[essob]

The Year of the Sandbox isn’t Over Yet!

Vi får hoppas att Adobe utvecklar en bättre sandbox. Ganska enkelt att penetrera.

http://xs-sniper.com/blog/2011/01/04/bypassing-flash%E2%80%99s-local-with-filesystem-sandbox/

Så kan säkerheten i nya Flash Player överlistas

http://www.idg.se/2.1085/1.362385/sa-kan-sakerheten-i-nya-flash-player-overlistas

Edited January 14, 2011 by essob

[JoWa]

New Chromium security features, June 2011

[JoWa]

Trying to end mixed scripting vulnerabilities

[JoWa]

Chrome is the most secured browser - new study

[JoWa]

Principles Behind Chrome Security

[JoWa]

All About Safe Browsing

[JoWa]

Pwnium är Googles program för att belöna dem som hittar säkerhetsbrister i Chrome.

De tre nivåerna är:

• $60,000 - “Full Chrome exploit”: Chrome / Win7 local OS user account persistence using only bugs in Chrome itself.
  
• $40,000 - “Partial Chrome exploit”: Chrome / Win7 local OS user account persistence using at least one bug in Chrome itself, plus other bugs. For example, a WebKit bug combined with a Windows sandbox bug.
  
• $20,000 - “Consolation reward, Flash / Windows / other”: Chrome / Win7 local OS user account persistence that does not use bugs in Chrome. For example, bugs in one or more of Flash, Windows or a driver. These exploits are not specific to Chrome and will be a threat to users of any web browser. Although not specifically Chrome’s issue, we’ve decided to offer consolation prizes because these findings still help us toward our mission of making the entire web safer.
  

Ny tycks Sergey Glazunov har gjort sig förtjänt av det högsta beloppet, för en “Full Chrome exploit”. Uppdatering för Chrome är på gång.

Förutom 60 000 $ får Sergey (liksom alla andra vinnare) en Chromebook.

[JoWa]

Google sammanfattar Pwnium och kommenterar Pwn2Own: Pwnium: great exploits, fast patches

[JoWa]

A Tale of Two Pwnies (Part 1)

[JoWa]

A Tale Of Two Pwnies (Part 2)

[JoWa]

The Chromium Blog: Ending mixed scripting vulnerabilities

[JoWa]

The Chromium Blog: Announcing Pwnium 2

[JoWa]

En gammal nyhet. Från och med version 20 körs flikprocesserna på den lägsta integritetsnivån obetrodd. Tidigare kördes de på låg. I Chrome 21 och senare körs även PepperFlash på obetrodd nivå.

Överst: Chrome 23 (Canary), nederst: Chrome 19 (stabil).