Chromium - säkerhet


Recommended Posts

Chromium har en del nya och intressanta aspekter på hur man löser säkerheten i en webbläsare.

Chromium Security:

We invest in technology such as integrated sandboxing -- resulting in the average severity of vulnerabilities being lower.

http://sites.google.com/a/chromium.org/dev/Home/chromium-security

PDF - säkerheten i Chromium:

To further protect users, PDF functionality will be contained within the security sandbox Chrome uses for web page rendering.

Users will automatically receive the latest version of Chromes PDF support; they wont have to worry about manually updating any plug-ins or programs.

http://blog.chromium.org/2010/06/bringing-improved-pdf-support-to-google.html

Link to comment
Share on other sites

  • Replies 56
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Posted Images

Innan ominstallation av Windows för ett tag sen hade jag Comodo Dragon installerad och körde ibland.

Vad säger forumets säkerhetsexperter om säkerheten där? Ska väl vara bättre än i Chrome om jag förstått rätt.

Detta med Chromiums sandbox låter intressant.

Link to comment
Share on other sites

Det Dragon tillför är varning för DV SSL-certifikat. Annars är säkerheten densamma som Chromium (motsvarande version). Nackdelen är att Dragon uppdateras långsamt (f.n. baserad på Chromium 4.1).

Det finns många intressanta artiklar om Chromiums sandlåda, men jag kommer inte åt dem härifrån. <_< Här är dock en lättillgänglig inledning: http://www.google.com/googlebooks/chrome/big_24.html

Link to comment
Share on other sites

Betyder det då att Chromium är att föredra av dessa två?

Precis som JoWa skriver så baseras Dragon på äldre version Chromium.

Personligen föredrar jag Chromium framför Google Chrome. Googles sk "privacy" kan ju diskuteras.

http://en.wikipedia.org/wiki/Chromium_%28web_browser%29#Differences_between_Chromium_and_Google_Chrome

JoWa skriver om sandbox här en kort beskrivning...(finns ett Sandbox FAQ)

http://www.chromium.org/developers/design-documents/sandbox

Link to comment
Share on other sites

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, sandlåda). Jag citerar en hackare:

There are bugs in Chrome but theyre very hard to exploit. I have a Chrome vulnerability right now but I dont know how to exploit it. Its really hard. Theyve got that sandbox model thats hard to get out of. With Chrome, its a combination of things you cant execute on the heap, the OS protections in Windows and the Sandbox.
Link to comment
Share on other sites

För säkerhetens skull finns det ingen större anledning att byta från Dragon till Chromium. Visst görs det förbättringar som täpper till säkerhetshål i Chromium, men de brister som finns är svåra att utnyttja, p.g.a. en i grunden säker konstruktion (processer med nästan inga rättigheter alls, sandlåda). Jag citerar en hackare:

"En sanning med modifikation". ;)

Det är massor av exploits som har täppts igen sen den versionen av Chromium som Dragon bygger på.

Personligen väljer jag senaste versionen pga alla exploits som täppts igen.

Att förlita sig bara på att en sandbox ska bli den gordiska knuten i säkerhetssammanhang känns dumdristigt.

En sandbox är ju också något som modifieras och utvecklas med tiden.

Uppdatera är ju ett ledord i dessa sammanhang.

Link to comment
Share on other sites

  • 4 months later...
  • 1 month later...

Vi får hoppas att Adobe utvecklar en bättre sandbox. Ganska enkelt att penetrera.

http://xs-sniper.com/blog/2011/01/04/bypassing-flash%E2%80%99s-local-with-filesystem-sandbox/

Så kan säkerheten i nya Flash Player överlistas

http://www.idg.se/2.1085/1.362385/sa-kan-sakerheten-i-nya-flash-player-overlistas

Edited by essob
Link to comment
Share on other sites

  • 5 months later...
  • 5 months later...
  • 1 month later...
  • 3 weeks later...
  • 1 month later...

Pwnium är Googles program för att belöna dem som hittar säkerhetsbrister i Chrome.

De tre nivåerna är:

  • $60,000 - “Full Chrome exploit”: Chrome / Win7 local OS user account persistence using only bugs in Chrome itself.
  • $40,000 - “Partial Chrome exploit”: Chrome / Win7 local OS user account persistence using at least one bug in Chrome itself, plus other bugs. For example, a WebKit bug combined with a Windows sandbox bug.
  • $20,000 - “Consolation reward, Flash / Windows / other”: Chrome / Win7 local OS user account persistence that does not use bugs in Chrome. For example, bugs in one or more of Flash, Windows or a driver. These exploits are not specific to Chrome and will be a threat to users of any web browser. Although not specifically Chrome’s issue, we’ve decided to offer consolation prizes because these findings still help us toward our mission of making the entire web safer.

Ny tycks Sergey Glazunov har gjort sig förtjänt av det högsta beloppet, för en “Full Chrome exploit”. Uppdatering för Chrome är på gång. B)

Förutom 60 000 $ får Sergey (liksom alla andra vinnare) en Chromebook. :P

Link to comment
Share on other sites

  • 2 months later...
  • 3 weeks later...
  • 1 month later...
  • 2 weeks later...
  • 4 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share