johnh3 Postad September 10, 2012 Dela Postad September 10, 2012 Även Explorer 9 har en del säkerhetsunktioner: http://windows.microsoft.com/sv-SE/internet-explorer/products/ie-9/features/smartscreen-filter Finns uppgifter om att den är den säkraste webbläsaren: http://blogs.technet.com/b/microsoftnyheter/archive/2011/07/14/internet-explorer-9-fortfarande-den-s-228-kraste-webbl-228-saren.aspx Men samma uppgifter finns om Chrome: http://www.prisjakt.nu/pryl/dator/1497_ny_studie_google_chrome_saekrast Hur det är i dagsläget vet jag inte. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad September 10, 2012 Dela Postad September 10, 2012 (redigerade) Microsofts rubrik är rätt missvisande. Att Microsofts SmartScreen detekterade fler skadliga sidor än Googles Safe Browsing, gör inte IE säkrare än Chrome. Men visst, det hjälper i större utsträckning användarna att undvika kända skadliga sidor. Om/hur Safe Browsing kommer att påverkas av att Google nyss köpte VirusTotal blir intressant att se. Det finns dock även ”riktiga” säkerhetsfunktioner i IE. Redan IE7 i Vista använde de då nya integritetsnivåerna för att skapa en enkel sandlåda. Men så vitt jag vet är det endast Chromium som använder den lägsta integritetsnivån obetrodd. Vid Pwn2Own i våras lyckades Vupen ta sig ut ur Chromes sandlåda genom att utnyttja ett hål i Flash Player. Det skulle inte lyckas i dag, med den mycket säkrare PepperFlash i Chrome. Även vårens Pwnium (se tidigare inlägg i denna tråd) ledde till att sårbarheter hittades, och fixades inom 24 timmar. De som ställer upp i Pwnium 2 om en månad har en betydligt svårare uppgift än i våras. Redigerad September 18, 2012 av JoWa Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad September 27, 2012 Dela Postad September 27, 2012 Chris Evans: The joys and hazards of multi-process browser security Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Oktober 10, 2012 Dela Postad Oktober 10, 2012 (redigerade) The Chromium Blog: Announcing Pwnium 2 The Chromium Blog: Pwnium 2 begins https://pwnium.appspot.com/ Redigerad Oktober 10, 2012 av JoWa Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Oktober 10, 2012 Dela Postad Oktober 10, 2012 Pwnium 2: results and wrap-up Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad November 29, 2012 Dela Postad November 29, 2012 NSS Labs har testat vilken webbläsare som blockerar flest skadliga sidor. Internet Explorer 10 was the only tested browser that does not use the Google SafeBrowsing API and had a mean block rate of 92%. For products using the SafeBrowsing API, Chrome 21 had a mean block rate of 94%, Safari 5 achieved a mean block rate of 90%, and Firefox 15 had a mean block rate of 90%. Källa (pdf): https://www.nsslabs....er_Phishing.pdf Glädjande att Googles SafeBrowsing nu är i klass med Microsofts SmartScreen. Att SafeBrowsing är ett öppet API, som andra kan använda, och använder, gör det inte mindre glädjande. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Januari 22, 2013 Dela Postad Januari 22, 2013 Justin Schuh om skillnaden mellan Chrome för XP och Chrome för Vista och senare: I'm one of the lead devs on the Chrome Windows sandbox, and I can assure you that what we do with Vista+ on the security front is leaps and bounds ahead of what we're stuck with on XP. DEP is unreliable and pretty worthless anyway without ASLR. You also don't have things like SEHOP or other memory mitigations that are the first line of defense between your system and the average stale pointer exploit against WebKit. As for the sandbox itself, we run as "Untrusted" integrity level under Vista+, which buys a solid layer of defense on top the SID, rights, and job based sandboxing we do on XP. Our GPU process sandbox in particular (used for accelerated graphics) relies heavily on Vista+ integrity levels due to deficiencies in the Windows XP driver and graphics model. Then there's the fact that XP is lacking hundreds of security fixes that Microsoft has chosen not to backport. Seriously, I've spent many weeks trying to wring every last bit of security I can out of XP, and I really do think that Chrome does the best anyone possibly could on that front. But in the end XP is just an OS that's far past its security expiration date, and running it at all means taking a big risk. https://news.ycombinator.com/item?id=4860203 Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Januari 28, 2013 Dela Postad Januari 28, 2013 Kommande utmaningar för Chrome och Chrome OS: Show off Your Security Skills: Pwn2Own and Pwnium 3 Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 7, 2013 Dela Postad Mars 7, 2013 (redigerade) Framgång för MWR Labs vid årets Pwn2Own. De lyckades bryta sig ut ur Chromes sandlåda. De utnyttjade bl.a. en sårbarhet i Windows-kärnan (Windows 7 64-bit, helt uppdaterat system). Ovanpå en sårbar kärna är det omöjligt att skapa helt säkra program. Filtrering av systemanrop, som Chrome för Linux använder (Seccomp-BPF) hade kanske omöjliggjort utbrytningen. Läs mer här: https://labs.mwrinfosecurity.com/blog/2013/03/06/pwn2own-at-cansecwest-2013/ Redigerad September 30, 2013 av JoWa Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 7, 2013 Dela Postad Mars 7, 2013 Fler resultat från Pwn2Own, onsdag: 1:30 - Java (James Forshaw) PWNED 2:30 - Java (Joshua Drake) PWNED 3:30 - IE 10 (VUPEN Security) PWNED 4:30 - Chrome (Nils & Jon) PWNED 5:30 - Firefox (VUPEN Security) PWNED 5:31 - Java (VUPEN Security) PWNED http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157 Heja Java! Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 8, 2013 Dela Postad Mars 8, 2013 (redigerade) Resultat från Pwn2Own, torsdag: 12pm - Flash (VUPEN Security) PWNED 1pm - Adobe Reader (George Hotz) PWNED 2pm - Java (Ben Murphy via proxy) PWNED http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157 Chrome och Firefox har redan uppdaterats. Redigerad Mars 8, 2013 av JoWa Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 18, 2013 Dela Postad Mars 18, 2013 The Chromium Blog: Pwnium 3 and Pwn2Own Results Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Augusti 13, 2013 Dela Postad Augusti 13, 2013 The Chromium Blog: Security rewards at Google: Two MEEELLION Dollars Later Över två miljoner U$D har nu utbetalats för buggar som kan innebära säkerhetsrisker. Samtidigt meddelas att för buggar som tidigare gavs 1 000 U$D, ges nu upp till 5 000 U$D. Börja hacka! Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Augusti 13, 2013 Dela Postad Augusti 13, 2013 Jag vet en som inte behöver hackas... och som förmodligen inte är giltig grund för utbetalning. Kallas NSA_Exploit... Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Augusti 24, 2013 Dela Postad Augusti 24, 2013 Från och med någon gång i början av 2014, kommer Chromium inte längre att betrakta certifikat med en giltighetstid längre än 60 månader som giltiga. Detta meddelades i CA/Browser Forums e-postlista: Deprecating support for long-lived certificates Mozilla svarade att de överväger att göra sammalunda: Reject certificates with lifetimes greater than 60 months Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Augusti 24, 2013 Dela Postad Augusti 24, 2013 Bra! Då gäller det bara att betonghäckarna på Microsoft hakar på. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Augusti 24, 2013 Dela Postad Augusti 24, 2013 Ja, vi får väl se i IE12, om ett år eller så. 12:an kanske rentav kommer att stödja HSTS också. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad September 26, 2013 Dela Postad September 26, 2013 Fler kommande förändringar av Chromes certifikathantering har meddelats: [cabfpub] Upcoming changes to Google Chrome's certificate handling Bl.a. kommer Chrome att kräva att RSA-nyckellängden är minst 2048 bit. För EV-certifikat (Ectended Validation) kommer ”certifikattransparens” att krävas. Relaterade sidor: Certificate Transparency The Chromium Projects > Root Certificate Policy > Removal of Trust Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Oktober 31, 2013 Dela Postad Oktober 31, 2013 Google Online Security Blog: Don’t mess with my browser! Beskriver bl.a. Återställ webbläsarinställningarna Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad September 6, 2014 Dela Postad September 6, 2014 Google Online Security Blog: Gradually sunsetting SHA-1 I maj skrev Adam Langley om övergången från SHA-1 till SHA-256: SHA-256 certificates are coming Microsoft trycker också på, för både server- och kodsigneringscertifikat. Varken Microsoft eller Google använder SHA-1 än (på de sidor jag har kollat). Google har dock en testsida med SHA-256: https://cert-test.sandbox.google.com/ Andra sidor med SHA-256 som signaturalgoritm: https://www.imperialviolet.org/ https://sslanalyzer.comodoca.com/ (SHA-256 ECDSA) https://ssltest39.ssl.symclab.com/ https://mega.co.nz/ https://twitter.com/ https://wordpress.com/ https://www.ssllabs.com/ Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Oktober 22, 2014 Dela Postad Oktober 22, 2014 Chrome 40 (Dev) klagar på Wikipedias certifikat, med signaturalgoritmen SHA-1, och en giltighetstid till 2016-01-20 (se förra inlägget). Texten säger dock inte vad det gäller: ”This site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.” Issue 401365: Deprecate SHA-1 for certificates Ivan Ristić skrev om SHA-1 i september: SHA1 Deprecation: What You Need to Know Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Oktober 26, 2014 Dela Postad Oktober 26, 2014 Senaste bygget av Chrome 39 (beta) visar samma meddelande. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 21, 2015 Dela Postad Mars 21, 2015 Den 18–19 mars var årets Pwn2Own. Pwn2Own 2015: The final contestantsPwn2Own 2015: The lineupPwn2Own 2015: Day One resultsPwn2Own 2015: Day Two results Sammanfattning: The final numbers for Pwn2Own 2015 are quite impressive: 5 bugs in the Windows operating system 4 bugs in Internet Explorer 11 3 bugs in Mozilla Firefox 3 bugs in Adobe Reader 3 bugs in Adobe Flash 2 bugs in Apple Safari 1 bug in Google Chrome $557,500 USD bounty paid out to researchers Den enda buggen i Chrome gav skaplig utdelning till JungHoon Lee (lokihardt): Next, JungHoon Lee (lokihardt) demonstrated an exploit that affects both the stable and beta versions of Google Chrome. He leveraged a buffer overflow race condition in Chrome, then used an info leak and race condition in two Windows kernel drivers to get SYSTEM access. With all of this, lokihardt managed to get the single biggest payout of the competition, not to mention the single biggest payout in Pwn2Own history: $75,000 USD for the Chrome bug, an extra $25,000 for the privilege escalation to SYSTEM, and another $10,000 from Google for hitting the beta version for a grand total of $110,000. To put it another way, lokihardt earned roughly $916 a second for his two-minute demonstration. There are times when “Wow” just isn’t enough. Som också har visats vid tidigare Pwn2Own, räcker det inte med en bugg i Chrome för en lyckad attack. Det krävs även en bugg i operativsystemet, i detta fall ”an info leak and race condition in two Windows kernel drivers”. Lyckligtvis räcker det att Chrome uppdateras för att denna attack skall stoppas; Microsoft lär inte få ut en uppdatering de närmsta dagarna… Att JungHoon Lee tjänade 916 U$D per sekund under sin tvåminutersdemonstration låter häftigt, men han kom knappast oförberedd till Pwn2Own, utan uppvisningen föregicks förstås av omfattande arbete. Tvåtusen kodrader (sägs i videon) skriver man inte på två minuter. Chrome (stabil, inte beta) och Firefox uppdaterades i går. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Mars 21, 2015 Dela Postad Mars 21, 2015 Man undrar ju vilka hack dom aldrig berättar om... Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad Mars 21, 2015 Dela Postad Mars 21, 2015 Säkerhetsbuggar i Chromium redovisas när de flesta användare har uppdaterat. Listan för M41 är för närvarande mycket kort. Listan för M38 är betydligt längre (många buggar i PDF-visaren, fixade av Foxit). Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Recommended Posts
Delta i dialogen
Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.