На самом деле BSI разбирается и именно поэтому они порекомендовали временно, до выхода патча, воздержаться от использования конкретных версий конкретного браузера — вполне адекватный совет. А вот «IT-журналисты» начали перепечатывать это как «Сенсация! BSI рекомендует Firefox!!!!» — и именно это является идиотизмом.
Тем более, что от уязвимостей в плагинах IE8 защищает НАМНОГО лучше, чем тот же FF
Вот здесь вынужден с Вами не согласиться.
Только что проверил procexp-ом. FlashUtil, который бегает под Medium Integrity можно безболезненно прибить (он не только не останавливает прогрывание флеша, но даже не перезапускается). Больше ничего похожего на out-of-proc сервер не нашел.
При этом использование процессора потоками с flash10.ocx заметно кореллирует к примеру с запуском/остановкой флеш-видео img193.imageshack.us/img193/2434/capturepyn.png
Кстати, да. Тоже сразу вспомнил в частности это. А в случае с pdf-вложениями еще и это.
Причем приведенный по первой ссылке способ разграничения привелегий мог бы и не сработать в данном случае. Насколько я понял, pdf-ы пришли из «доверенных источников» и соответственно вполне могли открываться из-под аккаунта для важной информации.
Threat Level reported Tuesday that at least 34 companies were breached, some of them through a malicious PDF e-mail attachment that exploited a zero-day vulnerability in Adobe’s Reader and Acrobat applications
Что в общем печально, ибо в том же хроме и IE флеш запускается с очень ограниченными правами в отдельной песочнице, а вот AR — с правами текущего пользователя
Ни о каком заработке речи не идет. Live подсовывает только рекламу самого себя. При этом я вообще не видел сторонней рекламы (у гугла она есть, хотя лично меня и нисколько не напрягает).
Это напрягает не больше, чем какой нибудь «Послано при помощи iPhone».
А вот единственный существенный недостаток веб-интерфейса Live Mail — принципиальное отсутствие https для просмотра почты. Таким образом я не могу привязать этот ящик к sensitive информации (банковские аккаунты, paypal и пр.) — да я параноик :-)
Плагины (в том числе ActiveX) — это плохо для безопасности, да. Но проблемы ActiveX на самом деле сильно преувеличены. Браузеры, которые не поддерживают ActiveX — поддерживают NPAPI. Так какая разница, каким образом third party код попадает в твой процесс?
Кстати, дочерние процессы получают integrity marker родительского. Так что подозреваю, что word и adobe reader тоже запускаются под low integrity.
Ну а против социнженерии нет приема, к сожалению. Либо полностью отключить возможность какой либо настройки средств безопасности и потерять пользователя, либо иметь «продвинутых» пользователей, которые уже знают как отключать, но еще понятия не имеют, чего творят.
Ну, ActiveX — не настолько страшны. У них вполне адекватные средства безопасности (наследуемые от COM).
Ну еще из скриптов, к примеру, доступен только дефолтный IDispatch. То есть в принципе не никакой возможности получить другой диспатч. By design. Поэтому зачастую потенциально опасные вещи выносятся в параллельные интерфейсы.
Все дефолтные activex-ы в винде очень хорошо следят за тем, кто и зачем их использует.
Ну а если процесс скомпрометирован, то зачем ему эти ActiveX-ы, если можно непосредственно через API (а частности WinAPI) работать — вот здесь приходит на помощь многопроцессовая схема.
Проблема плагинов в другом. Прежде всего стоит различать расширения (которые в FF/Chrome на яваскриптах) и плагины (обычные dll-ки, поддерживающие npapi). Тот же флеш традиционно занимает верхние строчки в рейтингах самых уязвимых кусков… кода (уф, еле сдержался). И как бы ты не вычищал СВОЙ код, в твоем процесс все равно будет исполняться чужой и дырявый. Поэтому ограничивать урон вдвойне важно
В винде нет аналога sudo. Просто потому, что там нет su (суперюзера). Все пользователи равны (даже SYSTEM) — не равны только права, назначенные по умолчанию.
IE всегда спрашивает разрешать ли активный контент на странице. Во вторых, рендер-процессы IE запускаются в Low Integrity, соответственно они вообще не могут никуда писать (а из большинства мест типа защищенного хранилища еще и читать), кроме парочки специально созданных для этих целей каталогов в профайле пользователя (типа AppData\LocalLow) и при этом не имеют никаких шансов это изменить — это и есть «песочница».
Но все таки аболютно согласен с тем, что рендер-процессу все еще доступны к примеру куки всех сайтов и сеть. Соответственно, важная информация все еще может «утечь». Для того, чтобы от этого защититься можно послушать советы лучших собаководов (в частности Do-It-Yourself: Implementing Privilege Separation).
На самом деле полностью согласен с Вашей иронией. Мало того, что по мере увеличения популярности в FF находят все больше уязвимостей (собственно, от ошибок в коде никто не застрахован, но некоторые применяют разные техники типа продуманных тест-планов и статического анализа, а некоторые — нет), так у него еще нет НИКАКИХ средств для ограничения урона при компрометации.
Chrome/IE8 — самые безопасные браузеры на данный момент.
Тем более, что от уязвимостей в плагинах IE8 защищает НАМНОГО лучше, чем тот же FF
Только что проверил procexp-ом. FlashUtil, который бегает под Medium Integrity можно безболезненно прибить (он не только не останавливает прогрывание флеша, но даже не перезапускается). Больше ничего похожего на out-of-proc сервер не нашел.
При этом использование процессора потоками с flash10.ocx заметно кореллирует к примеру с запуском/остановкой флеш-видео
img193.imageshack.us/img193/2434/capturepyn.png
Причем приведенный по первой ссылке способ разграничения привелегий мог бы и не сработать в данном случае. Насколько я понял, pdf-ы пришли из «доверенных источников» и соответственно вполне могли открываться из-под аккаунта для важной информации.
Threat Level reported Tuesday that at least 34 companies were breached, some of them through a malicious PDF e-mail attachment that exploited a zero-day vulnerability in Adobe’s Reader and Acrobat applications
Что в общем печально, ибо в том же хроме и IE флеш запускается с очень ограниченными правами в отдельной песочнице, а вот AR — с правами текущего пользователя
Это напрягает не больше, чем какой нибудь «Послано при помощи iPhone».
А вот единственный существенный недостаток веб-интерфейса Live Mail — принципиальное отсутствие https для просмотра почты. Таким образом я не могу привязать этот ящик к sensitive информации (банковские аккаунты, paypal и пр.) — да я параноик :-)
А если серьезно, то таки да — нужно перенести из первой части предложения во вторую.
Плагины — плохо. Пользователи (в большинстве) — идиоты.
На самом деле, MS готовит ответ и на эти (на первый взгляд неразрешимые) проблемы. Посмотрим что получится.
Кстати, дочерние процессы получают integrity marker родительского. Так что подозреваю, что word и adobe reader тоже запускаются под low integrity.
Ну а против социнженерии нет приема, к сожалению. Либо полностью отключить возможность какой либо настройки средств безопасности и потерять пользователя, либо иметь «продвинутых» пользователей, которые уже знают как отключать, но еще понятия не имеют, чего творят.
Ну еще из скриптов, к примеру, доступен только дефолтный IDispatch. То есть в принципе не никакой возможности получить другой диспатч. By design. Поэтому зачастую потенциально опасные вещи выносятся в параллельные интерфейсы.
Все дефолтные activex-ы в винде очень хорошо следят за тем, кто и зачем их использует.
Ну а если процесс скомпрометирован, то зачем ему эти ActiveX-ы, если можно непосредственно через API (а частности WinAPI) работать — вот здесь приходит на помощь многопроцессовая схема.
Проблема плагинов в другом. Прежде всего стоит различать расширения (которые в FF/Chrome на яваскриптах) и плагины (обычные dll-ки, поддерживающие npapi). Тот же флеш традиционно занимает верхние строчки в рейтингах самых уязвимых кусков… кода (уф, еле сдержался). И как бы ты не вычищал СВОЙ код, в твоем процесс все равно будет исполняться чужой и дырявый. Поэтому ограничивать урон вдвойне важно
А теперь давай по делу
Но все таки аболютно согласен с тем, что рендер-процессу все еще доступны к примеру куки всех сайтов и сеть. Соответственно, важная информация все еще может «утечь». Для того, чтобы от этого защититься можно послушать советы лучших собаководов (в частности Do-It-Yourself: Implementing Privilege Separation).
Chrome/IE8 — самые безопасные браузеры на данный момент.
Но насчет «в планах нет» — это не совсем так (как правильно отметили Mozilla имеет такие планы для Firefox). Вот например: benjamin.smedbergs.us/blog/2009-06-16/electrolysis-making-mozilla-faster-and-more-stable-using-multiple-processes/