Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-04-07 00:13:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Ciężkie czasy dla Firefoxa nadchodzą... :P

Krotko pisząc, mała wtopa, której raczej nie da się prosto i szybko usunąć, bez przeprojektowania silnika przeglądarki.

http://arstechnica.com/security/2016/04/noscript-an … o-new-attack/

Ostatnio edytowany przez Jacekalex (2016-04-07 03:52:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2016-04-07 07:54:36

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

2922

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:38:55)

Offline

 

#3  2016-04-07 10:06:56

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

Nie wiem czy nie tak źle. Bez NoScripta jakoś żyję, ale bez Firebuga bywa ciężko.
Ciekawe, czy WebDeveloper też ma takie przypadłości?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#4  2016-04-07 11:23:30

  pink - Użytkownik

pink
Użytkownik
Skąd: P17PY93
Zarejestrowany: 2005-09-16

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

no chyba mialem nosa bo obecnie uzywam tylko ublocka, i what`s the tide


T430 think-box 4.9-custom x86_64 Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz GenuineIntel GNU/Linux
"Doktor plama i maharadża są pod złotym leszczem." "Człowieka od zwierzęcia odróżnia ciekawość świata. Patrze słucham i wyciągam wnioski."
https://www.behance.net/przemyslawmamon

Offline

 

#5  2016-04-07 14:20:49

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

kurczę nie widzi mi się zmiana przeglądarki, noscripta tez używam
Jacekalex a profil apparmora nałożony na ff jakoś go chromi przed takimi babolami?

Ostatnio edytowany przez hi (2016-04-07 14:21:06)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

#6  2016-04-07 15:07:45

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

2924

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:38:58)

Offline

 

#7  2016-04-07 18:07:23

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

hi napisał(-a):

kurczę nie widzi mi się zmiana przeglądarki, noscripta tez używam
Jacekalex a profil apparmora nałożony na ff jakoś go chromi przed takimi babolami?

AA chroni system  i Twoje pliki przed potencjalnie groźnym programem, a nie sam program.
W przypadku samego programu AA np powstrzyma go przed eskalacją uprawnień poprzez np pobranie z netu i odpalenie z cache jakiejś binarki z bitem SUID.
W ten sposób całkowicie masz z głowy np bardzo popularną dziurę z Windowsa.
https://niebezpiecznik.pl/post/dziura-w-windows-dll … ary-planting/

uzytkownikubunt napisał(-a):

ethanak napisał(-a):

Nie wiem czy nie tak źle. Bez NoScripta jakoś żyję, ale bez Firebuga bywa ciężko.
Ciekawe, czy WebDeveloper też ma takie przypadłości?

Podatne rozszerzenie to nie to samo złośliwe.
Do bycia ofiarą ataku potrzebny jest:
1. Firefox
2. Posiadanie podatnego rozszerzenia
3. Posiadanie złośliwego rozszerzenia.

Innowacją w tym ataku jest jego ukrycie. Zdecydowanie trudniej wykryć takie złośliwe rozszerzenie antywirusom i heurystyce, której są poddawane podczas dołączania do http://addons.mozilla.org/

Radzę nie zapominać, ze atak można przeprowadzić przy pomocy czystego JS, wykorzystując podatność Noscripta czy innego JSblockera.
I to nie rozszerzenia są winne, błąd jest w architekturze programu, w libXUL.so

Firefox (i inne przeglądarki też), zaczynają przypominać maszyny wirtualne, które w brzuchu mają osobny system operacyjny do odpalania różnych skryptów (przy okazji u mnie FF czy Chrome często waży więcej, niż maszyna KVM z Debkiem albo BSD :P ).
Dlatego powinny wewnątrz silnika mieć taką kontrolę uprawnień, jaką na poziomie Linuxa zapewnia Kernel i Glibc.

Cały problem jest w braku kontroli uprawnień dla rozszerzeń wewnątrz Firefoxa, i np wszystkie mogą odczytać hasła zapisane w przeglądarce,
albo modyfikować interfejs.

Na szczęście Mozilla właśnie przepisuje silnik Firefoxa, mają być karty w osobnych procesach, mają być rozszerzenia wspólne z Chrome czy Operą,
także jest okazja poprawić wszystkie niedoskonałości.

Ostatnio edytowany przez Jacekalex (2016-04-07 18:54:04)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2016-04-07 18:19:25

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

2926

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:39:01)

Offline

 

#9  2016-04-07 18:21:36

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

no i co się stanie z rozszerzeniami, które muszą mieć dostęp do całej przeglądarki?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#10  2016-04-07 18:57:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

ethanak napisał(-a):

no i co się stanie z rozszerzeniami, które muszą mieć dostęp do całej przeglądarki?

Nigdy nie muszą mieć do całej, np Colorzilla raczej dostępu do haseł czy certyfikatów SSL nie potrzebuje, noscript też nie.

Każde rozszerzenie wykonuje jakieś specjalizowane akcje, które przeważnie nie ogarnia całej przeglądarki, bo i po co.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2016-04-07 19:14:48

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

np. po to, aby mieć dostęp do całości?
świat się nie kończy na colorzilli... manager zakładek potrzebuje (ciekawostka) dostępu do zakładek. świętej pamięci firevox (a także dzisiejsze przeglądarkowe tts-y) potrzebują albo sapi pod windowsem, albo możliwości uruchomienia zewnętrznej aplikacji pod linuksem... ogólnie tego, co ma dostęp do czegoś co jest poza kontrolą przeglądarki.
i firefox nie jest tu osamotniony - jeśli używasz chromevoxa to odpowiednio spreparowana strona może mieć pełny dostęp do twojego syntezatora...
mechanizm pełnego dostępu jest czasem potrzebny - problem raczej w kontroli nad rozszerzenuami takowego wymagającymi.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#12  2016-04-07 19:22:17

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

Reasumując, w przypadku Linuxa i BSD musi w FF powstać coś bazującego na rozwiązaniu typu Seccomp albo Capsicum, ale bazującego na grupach, podobnie jak to ma miejsce w Andku, jednak w stosunku do rozszerzeń.

Z resztą jeśli w FF to jest na razie błąd, to niby Chrome/Chromium są odporne?
Myślę, że granica hardeningu FF kończy się na kartach w osobnych procesach, powyżej tego prochu nie wymyślą w architekturze silnika, ale może jakiś bypas zrobią, żeby zablokować odnalezioną konkretną podatność, na którą cierpi 2 tys rozszerzeń.
Łatwiej poprawić jeden silnik, niż każde z 2000 rozszerzeń osobno.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#13  2016-04-07 19:48:43

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Ciężkie czasy dla Firefoxa nadchodzą... :P

Jacekalex napisał(-a):

AA chroni system  i Twoje pliki przed potencjalnie groźnym programem, a nie sam program.

wiem wiem źle się wyraziłem, chodziło mi czy aa uchroni mi system gdy przykładowo zostanie wykorzystana podatność w jakimś dodatku powiedzmy w noscript z którego korzystam i czy mógłby ktoś zapodać jakiś dobry profil aa dla ff/iceweasela

Ostatnio edytowany przez hi (2016-04-07 20:01:15)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)