| 1.1, Толстый (ok), 18:33, 14/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > Благодаря многоуровневой защите Chrome напрямую эксплуатировать данный браузер проблематично, но успешная эксплуатация менее защищенных web-браузеров уже была продемонстрирована на конкурсе Pwn2Own.
Что скажут любители "легковесных" браузеров, типа Midori?
| | |
| |
| 2.2, anonymous (??), 18:43, 14/03/2011 [^] [^^] [^^^] [ответить]
| +7 +/– |
мы любим "легковесные" браузеры за "легковесность", а не за безопасность.
| | |
| |
| 3.13, Толстый (ok), 00:03, 15/03/2011 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> мы любим "легковесные" браузеры за "легковесность", а не за безопасность.
Ну да, я тоже могу на Qt пришпилить виджет с Webkit к главному окну, сделать поле для ввода адреса - и вот вам пожалуйста, легковесный браузер. Ценности естественно никакой это не представляет.
| | |
| |
| 4.15, anonymous (??), 04:15, 15/03/2011 [^] [^^] [^^^] [ответить]
| +9 +/– | |
>я тоже могу
не понимаю, как это связано с предыдущим комментарем, но сделай, раз уж можешь.
| | |
|
|
| 2.7, paulus (ok), 20:54, 14/03/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
 в мидори своих багов хватает, а этот должны разработчики WebKitа исправлять... IMHO
| | |
| |
| 3.12, Толстый (ok), 23:58, 14/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Проблема вот в чем: природа разработки софта такова, что багов не избежать. Особенно в такой комплексной штуке как рендеринг страницы в браузере. В хроме это учтено и рендеринг происходит в песочнице, поэтому этот и будущие баги хоть и являются критическими, но не приведут к исполнению чужого кода.
| | |
| |
| 4.16, anonymous (??), 04:17, 15/03/2011 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> рендеринг происходит в песочнице
Осиль MAC и у тебя все программы будут в песочнице.
| | |
| |
| 5.24, User294 (ok), 14:20, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Осиль MAC и у тебя все программы будут в песочнице.
Извиняюсь, контейнерами сие делается в 100500 раз проще и очевиднее. Мозг надо иметь в 100 раз меньше, а эффективность как минимум не хуже. У гугли есть враппер с буквально несколькими сисколами, достаточно очевидными, врапающий процессы в отдельные контейнеры-песочницы. Я на него совершенно случайно набрел когда имел свой мозг вопросом какого хрена не работает мой собственный враппер в контейнер, после чего нагуглилось :D то же самое но в исполнении гугли и работающее, ыгыгы. В запчастях хрома.
| | |
|
|
|
| 2.14, User294 (ok), 00:33, 15/03/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Что скажут любители "легковесных" браузеров, типа Midori?
"Ааа!!!"
| | |
|
| |
| 2.4, anonymous (??), 19:40, 14/03/2011 [^] [^^] [^^^] [ответить]
| +9 +/– | |
>"Повреждение областей памяти" ? это опять штучки C/C++?
Это опять комментарии iZEN'а?
| | |
| 2.22, User294 (ok), 14:09, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> "Повреждение областей памяти" — это опять штучки C/C++?
Иди, напиши хоть 1 нормальный браузер на яве, а потом приходи, чтоли. Можно долго орать что %s - крап, отстой и вообще, оскорбляет соседскую собаку. Но пока не появится реалистичной замены с парметрами не хуже - это только воплями и останется. Какой смысл орать про дерьмо, не предлагая взамен конфет?
ЗЫ кстати гугель довольно прилично хитровыгнулся с изоляцией в своем хроме. Я так понимаю что в линухе у них есть враппер загоняющий процессы хрома в контейнеры. Неплохо придумано. Не панацея, но уровень изоляции вполне культурный. Кстати таким манером можно загонять и другие процессы в отдельные песочницы, в случае дыр в оных процессах вред для системы будет заметно меньше и это врядли сильно хуже чем запуск каких попало ява-бинарей из интернета.
| | |
| |
| 3.26, Stax (ok), 17:29, 15/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Так это и без хромов доступно, во всяком случае в redhat и fedora. Поставьте пакет policycoreutils-python для текстовых приложений и policycoreutils-sandbox для графического sandboxX и вот замечательно средство для запуска любого приложения в отдельной песочнице, под надежной защитой selinux.
| | |
| |
| 4.29, User294 (ok), 18:37, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Так это и без хромов доступно, во всяком случае в redhat и fedora.
> Поставьте пакет policycoreutils-python для текстовых приложений и policycoreutils-sandbox
Спасибо, конечно, но имхо вы это сами и юзайте. Вместе с вашими питонами и SELinux'ами. А я пешком какнить постою.
> для графического sandboxX и вот замечательно средство для запуска любого приложения
> в отдельной песочнице, под надежной защитой selinux.
Угу, у селинукса проблема только в том что мозг сломаешь если потребуется сделать шаг в сторону от готовых профилей. Весь этот мандатный контроль по большому счету нужен фсбшно-црушным конторам, у которых регламент такой по работе с секретными документамИ, а в силу специфики контор, если их регламент требует чтобы трава была зеленой, а на улице вдруг некстати оказалось -20 и вообще снег выпал, значит, берут лопату и ведро с краской в зубы, и вперед! Ведь трава должна быть зеленой, а в системе должен быть мандатный контроль, и не колебет. А вот у меня - нет такого регламента. И я не прусь от перспективы красить траву в зеленый цвет в -20. И мне в 100500 раз проще контейнер слепить чем политику селинукса почему-то. Считаные сисколы на голых сях, мля. Без ваших уродских питонов, геморройных селинкусов, их крейзанутых политик и какой там еще нафигнужной и излишне навороченной бнопни.
| | |
| |
| 5.31, Stax (ok), 22:19, 15/03/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это мнение в духе "я не асилил, значит это остой". Все там просто. Для тех, кто не хардкорный админ есть куча гуевых утилит, есть куча переменных selinux, разрешающих определенные возможности (getsebool -a и в путь..), есть простые объяснения, как решать типичные (для 99% пользователей) проблемы вроде http://www.linuxtopia.org/online_books/rhel6/rhel_6_selinux/rhel_6_selinux_se
А уж сэндбоксами пользоваться совсем несложно, перечисляете, к каким файлам иметь доступ и пускаете sandbox ваше-приложение - вот и все (http://people.fedoraproject.org/~dwalsh/SELinux/Presentations/sandbox.pdf).
То, что вы описываете - принудительный мандатный контроль всего - действительно актуально для ФСБ, а вот то, что работает по умолчанию, отлично защищает и не мешается. У меня среди серверов на 5-ке (в основном) и чуток на 6-ке нужно настройки selinux править буквально на паре из нескольких десятков, при этом только на одном пришлось создавать политику с разрешением (и, представьте себе, не вручную, а полностью автоматически, одной командой) - на остальных включить пару опций в setsebool и переключить контекст через semanage, при этом разумеется по логам совершенно очевидно, какому каталогу какой контекст нужно поставить, и все.
Если вы считате, что для разрешения разных действий в selinux требуется создавать политику, я могу только заключить, что вы совсем не пробовали читать доки, где четко сказано, почему это неправильно, сложно и ведет в тупик. Хотя иногда надо, конечно, по минимуму - но в этом случае политика создается автоматически, нужно только потом ее включить. И уж контейнер средствами selinux, как описано выше в pdf'ке это намного проще и удобнее ваших сисколлов.
| | |
| |
| 6.34, User294 (ok), 23:41, 16/03/2011 [^] [^^] [^^^] [ответить] | +/– | А у меня нет в жизни цели асилить s У меня есть задачи и хотелки Лично мои ... большой текст свёрнут, показать | | |
|
| |
| 6.33, User294 (ok), 23:11, 16/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> http://danwalsh.livejournal.com/40350.html#cutid1 <-- хотите сказать, такой контейнер
> сложнее сисколлов? Не смешите меня ;)
Я хочу сказать что:
1) Гуйные конфигурялки - это круто. Пока вам надо только то что там есть. А когда надо что-то чуть больше чем там есть - все, шаг в сторону и весь мозг вынести можно. Selinux весьма геморно сделан, рулесы навороченые, а что прикольнее всего - достаточно новости почитать чтобы найти сплойты которые его в 2 счета выпиливают несмотря на все эти навороты. Итого: много гемора, а ради чего - не очевидно. Сама по себе идеология мандатного контроля, требуемая в основном бюрократами из спецслужб лично мне не вставляет. Она конечно гибкая, правами можно вертеть как угодно. Зато в отместку за это - такие системы геморны в настройке и как правило в такой системе довольно сложно понять - какой же эффективный набор прав действует в сумме. Мне это не нравится.
И да, мне технически проще сделать пару сисколов в ядро с четким пониманием того что получится и какие далее у кого права и возможности будут, чем обуздать этот монструозный фреймворк и греть мозг вопросом какие там права по факту получатся. Кому это не нравится - может пожаловаться в спортлото/пройти на.../убиться об стену/выпить йаду/... :). Кстати, для тех кто не хочет разбираться с сисколами - есть соотв. утилиты. Я просто люблю поимать как и что работает и что, где и какого хрена происходит. Чего и вам с вашим мозговыносящим Selinux желаю :)))
| | |
|
|
|
|
|
| 1.18, gegMOPO4 (ok), 10:33, 15/03/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > В утилите patch найдена уязвимость позволяющая модифицировать файлы вне базовой директории, при обработке специально оформленного diff-файла ("/../../.." в путях);
Офигеть! И они только теперь исправили?
| | |
| |
| |
| 3.20, gegMOPO4 (ok), 12:39, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
Аналогичную фичу в tar-е исправили несколько лет назад. И в веб-серверах это считается откровенным багом.
| | |
| |
| 4.27, anonymous (??), 18:06, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > И в веб-серверах это считается откровенным багом.
дададада! веб-сервера всенепременно нужны для того, чтобы запускать patch через cgi!
| | |
|
| 3.28, anonymous (??), 18:07, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– |
> моя всегда думала, что это фича, а не баг — как бы
> оно делало то, что написано в дифф файле :-S
совершенно согласен. по-моему, это называется не «исправили уязвимость», а «кастрировали функционал».
| | |
|
| 2.23, User294 (ok), 14:13, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Офигеть! И они только теперь исправили?
Древний боян, но вы же понимаете что программе достаточно "просто работать с файлами" чтобы этот фокус сработал. Поэтому и срабатывает - программе достаточно просто работать с файлами не ожидая западлостроения. А тут вот оно :). Это писалось в времена когда злонамеренные данные из внешнего мира не были повседневным явлением. Это сейчас вам могут подсунуть zip, torrent, или вот патч например, адресующий ../../../../your.cool.file чтобы your.cool.file перезаписать своим барахлишком.
| | |
| |
| 3.25, gegMOPO4 (ok), 14:37, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Да просто странно бывает, когда читаешь о исправлении в распространённой программе уязвимости, которая была исправлена давным-давно в других распространённых программах. Тем более, пользователи patch-а уж всяко слышали эти новости.
Интересно, уязвимы ли подобным образом системы управления версиями?
| | |
| |
| 4.30, User294 (ok), 18:40, 15/03/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, уязвимы ли подобным образом системы управления версиями?
Проверьте :))). Готов поспорить что такие сюрпризы наверняка зарыты еще в куче неожиданных мест :). Более того, если какойнить make install вместо инсталла сделает rm -rf /, или скомпиленая программа сделает то же самое - ничему особо не противоречит, поэтому юзать программы или патчи откуда попало вообще не следует, как минимум без просмотра глазами до полного понимания что именно вам подсунули :)
| | |
|
|
|
|
