Opera o FireFox ?

Quote:

Originariamente inviato da riazzituoi

Intendevo che diversi articoli hanno riportato in maniera errata che Firefox è stato bucato sotto Windows

si avevo capito cosa intendevi dire nel post (informazione molto utile tra l'altro)... aggiungevo una cosa sulle regole della competizione ma mi sbagliavo...errore mio

[G1971B]

Quindi il fatto che FF sia stato bucato solo su MAC e non su Win è grazie alle protezioni ulteriori che ha quest'ultimo rispetto ad OSX oppure ad una diversa struttura del browser stesso tra le due piattaforme?

[cloutz]

Quote:

Originariamente inviato da G1971B

Quindi il fatto che FF sia stato bucato solo su MAC e non su Win è grazie alle protezioni ulteriori che ha quest'ultimo rispetto ad OSX oppure ad una diversa struttura del browser stesso tra le due piattaforme?

da quello che ho capito per il primo motivo, cioè che su Win ci sono anche altre protezioni da dover eludere, cosa che sui OSX non esiste: su Mac una volta scoperto il bug, difficile da trovare, creare l'exploit è "facile"(x loro)...mentre su Win è più facile trovare bug, ma poi è difficile riuscire a creare l'exploit in grado di sfruttare quella falla (in particolare ciò è visibile in Chrome, per la sandbox in particolare), poichè entrano in ballo altri fattori, protezioni ulteriori, da superare..

questo quello che ho capito, molto semplicisticamente

[leolas]

Quote:

Originariamente inviato da G1971B

Quindi il fatto che FF sia stato bucato solo su MAC e non su Win è grazie alle protezioni ulteriori che ha quest'ultimo rispetto ad OSX oppure ad una diversa struttura del browser stesso tra le due piattaforme?

Sì, è grazie ad alcune protezioni di Windows che il Mac non ha, e che avrebbero semplicemente reso più difficile e lungo il lavoro.
Nils ha detto che ha eseguito l'attacco sul Mac perchè lì il bug era molto più facile da sfruttare

Quote:

Originariamente inviato da cloutz

da quello che ho capito per il primo motivo, cioè che su Win ci sono anche altre protezioni da dover eludere, cosa che sui OSX non esiste: su Mac una volta scoperto il bug, difficile da trovare, creare l'exploit è "facile"(x loro)...mentre su Win è più facile trovare bug, ma poi è difficile riuscire a creare l'exploit in grado di sfruttare quella falla (in particolare ciò è visibile in Chrome, per la sandbox in particolare), poichè entrano in ballo altri fattori, protezioni ulteriori, da superare..

questo quello che ho capito, molto semplicisticamente

d'oh, mi hai preceduto

Comunque, Chrome non l'hanno attaccato perchè bisognava creare l'exploit per il browser, per la sandbox, e per l'OS, non grazie a windows (o forse non ho capito bene cosa intendevi dire)

[cloutz]

Quote:

Originariamente inviato da leolas

Comunque, Chrome non l'hanno attaccato perchè bisognava creare l'exploit per il browser, per la sandbox, e per l'OS, non grazie a windows (o forse non ho capito bene cosa intendevi dire)

intendevo dire quello, sono io che stasera non riesco a farmi capire

secondo me se noi consideriamo che Chrome non è stato bucato, firefox solo sotto mac, internet explorer con difficoltà (di questo ancora non abbiamo dettagli) ... opera non è stato testato ma comunque possiamo generalmente ritenerlo affidabile sotto il profilo della sicurezza...l'unico a lasciarci le penne è stato safari...

[Anriel]

Quote:

Originariamente inviato da Stefy_MHR

Di che beta stai parlando?

Della versione 3.1 che è alla Beta 3...sarei curioso di sapere com'è ma sopratutto quando verrà rilasciata

qui sostengono (nei commenti) che firefox sia stato bucato due volte, una sotto mac e una sotto windows
http://aovestdipaperino.com/posts/cansecwest-2009.aspx

[riazzituoi]

.

[sampei.nihira]

Questo contest ha delineato Chrome come vincitore (naturalmente non c'è la versione per MAC ancora).
I "predatori" hanno fatto come in natura.
Si sono gettati PRIMA contro le prede più deboli.
Però io ho qualche dubbio nel considerare (per estrapolazione) Chrome un browser sicuro,o almeno più sicuro degli altri.........

Ed infatti non lo considero......

Voi cosa ne pensate ?

[riazzituoi]

.

Quote:

Originariamente inviato da riazzituoi

Il tipo che ha bucato firefox sotto windows non è stato premiato, primo perchè ha sfruttato una vulnerabilità di java (e il primo giorno non era ammesso), secondo perchè la vulnerabilità era già stata segnalata alla Sun.

mi sembrava strano in effetti...però davano l'affermazione per scontata, senza nessun contraddittorio su questo punto

Quote:

Originariamente inviato da sampei.nihira

Questo contest ha delineato Chrome come vincitore (naturalmente non c'è la versione per MAC ancora).
I "predatori" hanno fatto come in natura.
Si sono gettati PRIMA contro le prede più deboli.
Però io ho qualche dubbio nel considerare (per estrapolazione) Chrome un browser sicuro,o almeno più sicuro degli altri.........

Ed infatti non lo considero......

Voi cosa ne pensate ?

anch'io ho dubbi, magari sono stati più propensi a lavorare su browser che conoscevano (chrome è relativamente uscito da poco)
mal che vada si può sempre aggiungere una sandbox al browser che si preferisce, almeno io farei cosi

[sampei.nihira]

Quote:

Originariamente inviato da riazzituoi

Dipende cosa si intende per sicurezza, vale a dire consideriamo solo la facilità di portare a buon fine un exploit in modo da eseguire codice da remoto, oppure consideriamo anche tutti quegli aspetti relativi alla parte client side, alla gestione delle policy, della prevenzione di attacchi XSS, CSRF, spoofing e hijacking vari, gestione dei protocolli(anche il p3p), implementazione di misure di sicurezza per connessioni cifrate, ecc?

Nel primo caso Chrome ha una architettura che rende difficile l'esecuzione di un exploit. Comunque, volendo, si possono usare anche software di terze parti per rendere gli altri browser ugualmente resistenti, o più sicuri da questo punto di vista.

Nel secondo caso, qualunque browser si utilizzi, è necessario lavorarci sopra per configurarlo in maniera opportuna, dato che le configurazioni di default lasciano quasi sempre a desiderare (NoScript, addon per Firefox, è in grado di coprire una grande percentuale di questi attacchi).

PS
dal punto di vista della privacy, Google Chrome è assolutamente scandaloso, e non mi riferisco solo alla questione del "keylogger", ma anche alla risoluzione dei DNS, al DNS prefetching, ID univoco, aggiornamenti automatici, varie tipologie di tracking (anche dove e quando hai installato il browser)...

Riazzi non ti sembra che questo Contest ha messo in evidenza che le "prime donne" sono gli OS ?
Sotto MAC puoi usare qualcunque tipo di browser configurato ad hoc tanto la debolezza primaria (agli exploit teniamoci in argomento) è data dal MAC OSX.

Forse solito discorso può essere fatto per Linux, se ci ricordiamo l'anno scorso,alla rovescia.

Windows è un OS che potrebbe essere collocato trà i due sopra scritti.
Credo che sotto questa piattaforma sarebbe stato interessante individuare il browser più "ostico".

Non giustificata quindi la motivazione ufficiale dell'assenza di Opera.

[riazzituoi]

.

[sampei.nihira]

Quote:

Originariamente inviato da ShoShen

mi sembrava strano in effetti...però davano l'affermazione per scontata, senza nessun contraddittorio su questo punto


anch'io ho dubbi, magari sono stati più propensi a lavorare su browser che conoscevano (chrome è relativamente uscito da poco)
mal che vada si può sempre aggiungere una sandbox al browser che si preferisce, almeno io farei cosi

Se Romagnolo1973 come annunciato in queste pagine aprirà un 3D sulla configurazione dei browser ci sarà anche Chrome.
Quindi evito ogni commento a favore o sfavore di questo browser.
Certo è che (dopo qualche giorno d'uso) non è proprio nelle mie grazie....

[sampei.nihira]

Quote:

Originariamente inviato da riazzituoi

Come ha detto ShoShen qualche post sopra, nella vita reale non si possono separare le due cose.

Con un browser configurato come si deve, che impedisca magari una attacco drive by download, col cavolo che l'exploit verrebbe eseguito. Ovviamente non era lo scopo di quel contest, dato che il loro obiettivo era quello di eseguire l'exploit e non prevenire l'attacco.

Quindi non si può fare affidamento solo agli strumenti che l'OS o il browser mette a disposizione di default, bisogna invece studiarli, capirli e "hardenizzare" il tutto. In questo modo si potranno prevenire attacchi ed exploit vari anche su un sistema con vulnerabilità non patchate, o più suscettibile a certi attacchi (perchè, ad esempio, non implementa adeguatamente delle tecnologie di protezione della memoria)

Rendere sicuro un browser credo significhi anche prevenire questi attacchi all'origine.

Già, un approfondimento della sfida, dalla configurazione default verso una configurazione protettiva sarebbe stato interessante.

[Romagnolo1973]

Quote:

Originariamente inviato da riazzituoi

Come ha detto ShoShen qualche post sopra, nella vita reale non si possono separare le due cose.

Con un browser configurato come si deve, che impedisca magari una attacco drive by download, col cavolo che l'exploit verrebbe eseguito. Ovviamente non era lo scopo di quel contest, dato che il loro obiettivo era quello di eseguire l'exploit e non prevenire l'attacco.

Quindi non si può fare affidamento solo agli strumenti che l'OS o il browser mette a disposizione di default, bisogna invece studiarli, capirli e "hardenizzare" il tutto. In questo modo si potranno prevenire attacchi ed exploit vari anche su un sistema con vulnerabilità non patchate, o più suscettibile a certi attacchi (perchè, ad esempio, non implementa adeguatamente delle tecnologie di protezione della memoria)

Rendere sicuro un browser credo significhi anche prevenire questi attacchi all'origine.

eh quello che è balenato nelle nostre testoline (mia e del caro Sampei) è proprio quella di fare un post per aiutare gli utenti a settarre in maniera decente il loro browser senza dover rinunciare a una navigazione normale. Mi ci mettrò presto promesso.

X Sampei : Neanche a me Chrome piace poi figurati se lascio gli updater di google liberi di uscire, sula privacy concordo, è praticamente assente, neanche c'è modo di cancellare i cookies all'uscita, però per ora lo tengo , diciamo solo per fare il Thread poi penso sia la prima cosa che elimino, così come è ora non è neppure nelle mie corde per i motivi da te e Riazzituoi appena dette.

[riazzituoi]

.

[Ignorante Informatico]

Quote:

Originariamente inviato da riazzituoi

..Per Opera invece, ci sarebbe anche un plugin sviluppato da Ronald van den Heetkamp..

Bravo Ronald

Mi sbaglio o si è sempre dedicato, prevalentemente, a Firefox?

[c.m.g]

[NEWS] Firefox in pericolo, previsto un update urgente