Комментарии 77
Интересно будет посмотреть на WP7, кто знает, может будет как с iPhone.
А что было с iPhone?
не будет. WP7 избежал взлома wmpoweruser.com/windows-phone-7-survives-pwn2own-unchallenged/
А Оперу чего не ломают?
Видимо firefox и opera на десерт остались, ждем =)
Интересный факт — если на YouTube зайти при помощи IE 6.0, то он порекомендует несколько браузеров. Среди них есть и Опера. Так что может не всё так с ней и плохо.
Кстати, совсем недавно она была первой в списке. Теперь, гляжу, понизили) А может поочередность ничего и не значит, FF вообще последний.
Кстати, совсем недавно она была первой в списке. Теперь, гляжу, понизили) А может поочередность ничего и не значит, FF вообще последний.
В прошлый раз не было вообще, никому она не нужна (почти). Например, тут, особенно в коментах: news.cnet.com/8301-27080_3-20001126-245.html?tag=mncol
> А Оперу чего не ломают?
en.wikipedia.org/wiki/Pwn2Own
The Opera web browser was left out of the contests as a target: The ZDI team argues that Opera has a low market share and that Chrome and Safari are only included «due to their default presence on various mobile platforms». However, Opera's rendering engine, Presto, is present on millions of mobile platforms.
Перевод:
Веб-браузер Opera не был включен в соревнование pwn2own в качестве целевого браузера, т.к. по утверждению команды ZDI (Прим.: ZDI — это Zero Day Initiative, проект по исследованию безопасности и поиску уязвимостей в распространённом пользовательском ПО) браузер Opera имеет малую долю пользовательского рынка.
А браузеры Chrome и Safari (прим.: которые тоже имеют небольшую долю рынка) были включены в соревнование по взлому pwn2own только «в связи с их присутствием по умолчанию на различных мобильных платформах». Однако, движок рендеринга браузера Opera, Presto, присутствует на миллионах мобильных устройств.
en.wikipedia.org/wiki/Pwn2Own
The Opera web browser was left out of the contests as a target: The ZDI team argues that Opera has a low market share and that Chrome and Safari are only included «due to their default presence on various mobile platforms». However, Opera's rendering engine, Presto, is present on millions of mobile platforms.
Перевод:
Веб-браузер Opera не был включен в соревнование pwn2own в качестве целевого браузера, т.к. по утверждению команды ZDI (Прим.: ZDI — это Zero Day Initiative, проект по исследованию безопасности и поиску уязвимостей в распространённом пользовательском ПО) браузер Opera имеет малую долю пользовательского рынка.
А браузеры Chrome и Safari (прим.: которые тоже имеют небольшую долю рынка) были включены в соревнование по взлому pwn2own только «в связи с их присутствием по умолчанию на различных мобильных платформах». Однако, движок рендеринга браузера Opera, Presto, присутствует на миллионах мобильных устройств.
А почему ломали Сафари 5.0.3? Вчера же версия 5.0.4 вышла.
Фу, копипаста.
www.opennet.ru/opennews/art.shtml?num=29864
www.opennet.ru/opennews/art.shtml?num=29864
примечательно, что IE9 RC не подвержен продемонстрированной уязвимости
winrumo.rs/hBP9Ee
winrumo.rs/hBP9Ee
Chrome вообще создает впечатление очень качественного продукта и то что он «устоял» совсем не удивительно.
Продукт то от Google.
Спасибо, Капитан Очевидность :)) А то мужики то не знают (с)
Защёл на макаводов. Там гордятся, что хром webkit использует, который эппл сделали %)
Который, на самом деле, khtml, который сделали KDE team
А по каким параметрам качество меряли?
> и то, что он «устоял», совсем не удивительно.
Ещё бы.
Ведь Google в очередной раз выпустил новый релиз браузера Chrome с заделанными дырами в безопасности всего за неделю до pwn2own, тем самым не оставляя времени исследователям безопасности браузера на поиск новых уязвимостей в новой версии.
В итоге критические уязвимости в Chrome всё равно находят, но это происходит уже после завершения pwn2own, поэтому по итогам этого конкурса Chrome выглядит «весь в белом», хотя уязвимости имеет, как и все прочие браузеры.
Ещё бы.
Ведь Google в очередной раз выпустил новый релиз браузера Chrome с заделанными дырами в безопасности всего за неделю до pwn2own, тем самым не оставляя времени исследователям безопасности браузера на поиск новых уязвимостей в новой версии.
В итоге критические уязвимости в Chrome всё равно находят, но это происходит уже после завершения pwn2own, поэтому по итогам этого конкурса Chrome выглядит «весь в белом», хотя уязвимости имеет, как и все прочие браузеры.
Но это просто лишний раз доказывает, что Google рулит даже здесь. Пока остальные разработчики хлопали ушами Google быстренько залатал самые большие дыры и теперь заслуженно выглядит «весь в белом» :))
«За день до проведения конкурса компания Google выпустила обновление браузра Chrome 10, в котором было устранено 23 уязвимости, среди которых не было критических проблем.»
Видать не очень усердно находят
Видать не очень усердно находят
Ведь Google в очередной раз выпустил новый релиз браузера Chrome с заделанными дырами в безопасности всего за неделю до pwn2own, тем самым не оставляя времени исследователям безопасности браузера на поиск новых уязвимостей в новой версии.
Что мешает поступать так же другим вендорам? Они играют по разным правилам?
Ну это смотря как на это посмотреть…
Если некий производитель видеокарт будет затачивать свой драйвер на получения большего числа «попугаев» в тестах 3DMark, то одни пользователи скажут на это: «Хм… как-то это не очень честно. Показуха какая-то.», а другие пользователи посчитают это нормальным и возразят: «Что мешает поступать так же другим вендорам? Они играют по разным правилам?».
Если некий производитель веб-браузеров будет затачивать свой браузер на получения большего числа «попугаев» в неких «своих» браузерных тестах HTML/JavaScript/CSS, то одни пользователи скажут на это: «Хм… как-то это не очень честно. Показуха какая-то.», а другие пользователи посчитают это нормальным и возразят: «Что мешает поступать так же другим вендорам? Они играют по разным правилам?».
Тут ситуация тоже близкая. Google перед самым конкурсом делает особенно активные телодвижения по изменению браузера и латанию дыр, чтобы на конкурсе выглядеть «красиво», но совсем не факт, что этот результат отражает объективную реальность по уязвимостям в среднем за год.
Если некий производитель видеокарт будет затачивать свой драйвер на получения большего числа «попугаев» в тестах 3DMark, то одни пользователи скажут на это: «Хм… как-то это не очень честно. Показуха какая-то.», а другие пользователи посчитают это нормальным и возразят: «Что мешает поступать так же другим вендорам? Они играют по разным правилам?».
Если некий производитель веб-браузеров будет затачивать свой браузер на получения большего числа «попугаев» в неких «своих» браузерных тестах HTML/JavaScript/CSS, то одни пользователи скажут на это: «Хм… как-то это не очень честно. Показуха какая-то.», а другие пользователи посчитают это нормальным и возразят: «Что мешает поступать так же другим вендорам? Они играют по разным правилам?».
Тут ситуация тоже близкая. Google перед самым конкурсом делает особенно активные телодвижения по изменению браузера и латанию дыр, чтобы на конкурсе выглядеть «красиво», но совсем не факт, что этот результат отражает объективную реальность по уязвимостям в среднем за год.
Я с вами не согласен, но не хочу разводить демагогию.
Ну, учитывая темпы выпуска обновлений Chrome, где выходит мажорный апдейт раз полтора месяца (с 9 по 10 вообще месяц прошёл), а между мажорными проходит ещё пара-тройка минорных апдейтов, то какой крэкер-хацкер захочет писать эксплойты для браузера, которые через пару дней после написания будут уже нерабочими? С IE понятно, можно писать спокойно уязвимости, ибо ещё немалый процент пользователей IE 6/7 есть в Сети, и с этим рассчётом можно не париться, а пользователей 8-го Chrome, которому даже двух месяцев нет, уже днём с огнём не сыщешь. Через пару недель все юзеры будут сидеть на десятке.
А на месте тех, кто занимается написанием эксплоитов для Chrome, я бы не заморачивался с облапошиванием юзеров, а просто бы репортил в Гугл. Лучше синица в виде 3 килодолларов, чем журавель в виде пары-тройки недель на написание эксплоита и сомнительного профита.
А на месте тех, кто занимается написанием эксплоитов для Chrome, я бы не заморачивался с облапошиванием юзеров, а просто бы репортил в Гугл. Лучше синица в виде 3 килодолларов, чем журавель в виде пары-тройки недель на написание эксплоита и сомнительного профита.
В общем-то MS поступили почти так же.
IE9 выйдет немного позже pwn2own, причём с уже закрытыми уязвимостями IE8.
IE9 выйдет немного позже pwn2own, причём с уже закрытыми уязвимостями IE8.
максимальная премия за нахождение уязвимости в гугле 1666 уе.
дополнительная премия от гугл за взлом хрома на этом конкурсе 20 000 у.е.
Как Вы думаете, если человек планирует заработать деньги и знает что этот конкурс будет (а он регулярно проводится каждый год) — он пошлет репорт и получит 1666 или подождет пару месяцев и получит 20 000?
дополнительная премия от гугл за взлом хрома на этом конкурсе 20 000 у.е.
Как Вы думаете, если человек планирует заработать деньги и знает что этот конкурс будет (а он регулярно проводится каждый год) — он пошлет репорт и получит 1666 или подождет пару месяцев и получит 20 000?
За обнаружение критических уязвимостей в безопасности браузера Chrome компания Google платит независимо от конкурса pwn2own.
В январе 2010 они объявили сумму вознаграждения за это $1337, а в июле 2010 подняли сумму вознаграждения за критические баги до $3133,7.
> он пошлет репорт и получит 1666 или подождет пару месяцев и получит 20 000?
Если ты обнаружил критическую уязвимость в Chrome посреди года, тот тут всё не так однозначно:
1) либо сдать эту уязвимость сразу и гарантированно получить $3133,7
2) либо затаиться и ждать много месяцев конкурса pwn2own, в надежде срубить за эту уязвимость $20k.
Второй вариант более прибыльный, но менее вероятный, т.к. Google очень часто (особенно перед началом pwn2own) обновляет Chrome, а значет эту уязвимость могут заделать за эти несколько оставшихся месяцев. Поэтому многие выберут вариант «синицы в руках» в виде гарантированных $3133,7.
В январе 2010 они объявили сумму вознаграждения за это $1337, а в июле 2010 подняли сумму вознаграждения за критические баги до $3133,7.
> он пошлет репорт и получит 1666 или подождет пару месяцев и получит 20 000?
Если ты обнаружил критическую уязвимость в Chrome посреди года, тот тут всё не так однозначно:
1) либо сдать эту уязвимость сразу и гарантированно получить $3133,7
2) либо затаиться и ждать много месяцев конкурса pwn2own, в надежде срубить за эту уязвимость $20k.
Второй вариант более прибыльный, но менее вероятный, т.к. Google очень часто (особенно перед началом pwn2own) обновляет Chrome, а значет эту уязвимость могут заделать за эти несколько оставшихся месяцев. Поэтому многие выберут вариант «синицы в руках» в виде гарантированных $3133,7.
Забавно читать восторженные комменты про Chrome. А в реальности его ведь никто не ломал. Эксперты вызвавшийся ломать Chrome просто не явились на сеанс взлома.
www.computerworld.com/s/article/9214022/Google_s_Chrome_untouched_at_Pwn2Own_hack_match
The search giant had promised to pay $20,000 to the first researcher who broke into Chrome on the hacking contest's opening day.
But no one took up Google's offer.
«The first contestant was a no-show,» said Aaron Portnoy, manager of HP TippingPoint's security research team, and Pwn2Own's organizer. «And the other team wanted to work on their BlackBerry vulnerability. So it doesn't look like anyone will try Chrome.»
Журналисты написали чушь а фанаты на каждом углу трезвонят. :)
www.computerworld.com/s/article/9214022/Google_s_Chrome_untouched_at_Pwn2Own_hack_match
The search giant had promised to pay $20,000 to the first researcher who broke into Chrome on the hacking contest's opening day.
But no one took up Google's offer.
«The first contestant was a no-show,» said Aaron Portnoy, manager of HP TippingPoint's security research team, and Pwn2Own's organizer. «And the other team wanted to work on their BlackBerry vulnerability. So it doesn't look like anyone will try Chrome.»
Журналисты написали чушь а фанаты на каждом углу трезвонят. :)
Очень заинтересовало, жду продолжения.
За Chrome искренне рад.
За Chrome искренне рад.
Chrome IMHO самый лучший браузер на сегоднешний день. Да и к тому же open-source.
Во-первых это гигант google с большими $баксам. И он вкладывает большие деньги на разработку, так и за нахождения уязвимости(и они есть). И иметь свой браузер им очень выгодно.
А MS и Apple, которых нагнули на конференции — не гиганты?
Я не видел, чтоб они такие деньги вкладывали в браузеры свои. Чтоб платили обнаружение уязвимости.
Ну так это и решение, их причина фейла. Гугл — вкладывает деньги, МС и Эппл — не вкладывает. Неудивительно, что Хром — лучше.
Я не спорю, что компания google в chrom-e очень много сделала для безопасности(свой плагин для просмотра pdf, обновление flash вместе с браузером). Но уязвимости есть —
Не появятся сегодня — появятся завтра. Поэтому слепо доверять итогам этих соревнований — глупо.
Как-то читал новость, где chrome(9, кажись, версия) был в топ-10 самых уязвимых программ — ссылку не смогу дать, не сохранил.
Вот, если бы включили бы еще и Oper-у и IE 9. Например, на 2ой или 3ий день.
обновление браузра Chrome 10, в котором было устранено 23 уязвимости
Не появятся сегодня — появятся завтра. Поэтому слепо доверять итогам этих соревнований — глупо.
Как-то читал новость, где chrome(9, кажись, версия) был в топ-10 самых уязвимых программ — ссылку не смогу дать, не сохранил.
Вот, если бы включили бы еще и Oper-у и IE 9. Например, на 2ой или 3ий день.
плата за обнаруженные уязвимости — признак «больших $баксов» компанииЯ, вроде, не связывал напрямую эти понятия, хотя немного связь есть — им выгодно иметь свой браузер и имея большие деньги они могут себе позволить оплачивать за найденную уязвимость. Хотя mozilla тоже платит. Вроде, вознаграждение за найденную уязвимость от google и mozilla примерно одинаковые стали, у mazilla было меньше. Не знаю Opera платит за нахождение уязвимости.
Даже если в браузере будут находить по 5 уязвимовстей в неделю, это будет ничтожно малая статья расходов на разработку браузера.Смотря каких. Бывает и 1-го достаточно. Просто chrome обновляется без предупреждения, поэтому безопасность в нём на порядок выше, чем у MS IE, например. Я не имею против автоматического обновления, просто есть тарифы с оплачиваемым трафиком — куда уж гугле знать про это.
>>На разработку техники атаки Internet Explorer ушло 5-6 недель, а Safari — 2 недели работы группы экспертов VUPEN.
Неплохо.
Неплохо.
Вот в комментах чо пишут по ссылке:
1.Chrome остался невзломанным, потому что взломщик не явился на соревнование.
2.Гугл действительно за день выпустил обновление, закрывающее 24 ПРОБЛЕМЫ БЕЗОПАСНОСТИ. Были они критическими или нет — не сказано, но проблемы безопасности есть проблемы безопасности. Обычные правила могли на Хром не распространяться, так как Гугл сам назначил дополнительное вознаграждение за взлом Хрома и мог поставить дополнительные условия.
3. apple обновило до соревнования, но в соревновании фигурирует СТАРАЯ версия 5.0.3, а не обновленная
1.Chrome остался невзломанным, потому что взломщик не явился на соревнование.
2.Гугл действительно за день выпустил обновление, закрывающее 24 ПРОБЛЕМЫ БЕЗОПАСНОСТИ. Были они критическими или нет — не сказано, но проблемы безопасности есть проблемы безопасности. Обычные правила могли на Хром не распространяться, так как Гугл сам назначил дополнительное вознаграждение за взлом Хрома и мог поставить дополнительные условия.
3. apple обновило до соревнования, но в соревновании фигурирует СТАРАЯ версия 5.0.3, а не обновленная
У обоих браузеров движок один и тот же, о чём Вы говорите? Ещё раз:
In an interview with ZDNet, Bekrar said the vulnerability exists in WebKit, the open-source browser rendering engine. A three-man team of researchers spent about two weeks to find the vulnerability (using fuzzers) and writing a reliable exploit.
Другое дело, что Google обновляет свой браузер чаще, ну тогда в таком случае стоит рассматривать сборку Safari WebKit Nightly.
In an interview with ZDNet, Bekrar said the vulnerability exists in WebKit, the open-source browser rendering engine. A three-man team of researchers spent about two weeks to find the vulnerability (using fuzzers) and writing a reliable exploit.
Другое дело, что Google обновляет свой браузер чаще, ну тогда в таком случае стоит рассматривать сборку Safari WebKit Nightly.
It's all the same shit. Пользуюсь тем браузером, у которого скин приятнее. В данный момент — Опера на десктопе, Сафари на ноуте и ИЕ9 на работе. Последний использую по необходимости (Sharepoint + Reporting Services), но хочу заметить, что в отличие от восьмёрки, почти не бесит :)
In an interview with ZDNet, Bekrar said the vulnerability exists in WebKit, the open-source browser rendering engine. A three-man team of researchers spent about two weeks to find the vulnerability (using fuzzers) and writing a reliable exploit.
“There are many WebKit vulnerabilities. You can run a fuzzer and get lots of good results. But it’s much more difficult to exploit it on x64 and to make your exploit very reliable,” he said.
— Собственно, мне непонятно, почему в комментариях радуются «непрошибаемостью» Хрома, который работает на том же WebKit, о котором не очень лестно отозвался француз.
Непонятно также употребление в статье слова «последняя» применительно к версии 5.0.3, которая на тот момент не была последней.
“There are many WebKit vulnerabilities. You can run a fuzzer and get lots of good results. But it’s much more difficult to exploit it on x64 and to make your exploit very reliable,” he said.
— Собственно, мне непонятно, почему в комментариях радуются «непрошибаемостью» Хрома, который работает на том же WebKit, о котором не очень лестно отозвался француз.
Непонятно также употребление в статье слова «последняя» применительно к версии 5.0.3, которая на тот момент не была последней.
Блин, что вы прицепились к WebKit? Это, по сути, единственный схожий элемент Chrome и Safari. Архитектурно они сильно отличаются, учитывая атрибуты sandbox, изоляцию процессов и прочее. Если ты взломал Сафари, это не значит, что ты взломаешь Chrome. Даже если в движке рендеринга и есть дырка, то дырка приведёт в Кроуме максимум к падению, ибо ещё надо обойти отдельную ячейку песочницы, куда инженеры Гугла впихнули движок.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
На соревновании Pwn2own взломаны Safari и IE, браузер Chrome устоял