- Lesz új Sony OLED tévé is idén
- AMD GPU-k jövője - amit tudni vélünk
- Milyen TV-t vegyek?
- Videós, mozgóképes topik
- Mini-ITX
- Übergyors Samsungnak próbál látszani egy hamisított NVMe SSD
- VR topik (Oculus Rift, stb.)
- Fejhallgató erősítő és DAC topik
- AMD Navi Radeon™ RX 7xxx sorozat
- AMD APU (AM4 és AM5) topik
Hirdetés
-
Grafikus jellegű munkára szánt AOC monitorok a megfizethetőbb szegmensben
ph A cég három kijelzővel jelentkezett, amelyek portfelhozatalukból kifolyólag dokkolóként is működnek.
-
Van, amit nehéz lett megtalálni a Google keresőjével
it A titkosított levelezést kínáló Tuta Mail arra panaszkodik, hogy a DMA bevezetése óta szinte eltűntek a Google keresőjéből.
-
Idén elmarad a BlizzCon
gp A hírek szerint más eseményeken lehet számítani a Blizzard idei bejelentéseire.
Új hozzászólás Aktív témák
-
Pötyi
őstag
Tehát egyszerre waterhole _és_ social engineering támadás?
Elhúzzák az orruk előtt a hamis mézesmadzagot.
QNX is cool!
-
atike
nagyúr
"Később egy Microsoft Visual Studio Projectet küldenek, amely kártevőt tartalmaz, és egyből hozzáférést szereznek a szakemberek rendszereihez"
És ezt a szakértők csont nélkül benyalják? Már elnézést a kifejezésért....
-
tehát az óriáscég azt állítja, hogy az óriáscég által gyártott böngésző legfrissebb verzióját is megtörték?
tanulságos.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
-
-
-
-
-
-
Darknight
csendes tag
A feltörés és a hiba nem ugyan az! És még a hiba sem jó. Igazából ezek sérülékenységek,
ami lehet mundjuk hiba vagy technológiai sajátosság is. Hogy értehető legyen:
Ha az autó irányhatatlanná válik az az autó hibája.
Ha durrdefektet kapok, mert 20 éve nem cseréltem gumit a kocsin, az az én hibám.
Ha szándékosan belerohanok a kocsival a tömegbe, az meg technológia sajátossága, korlátja, tehát sérülékenysége, hogy nem rendeltetésszerűen használva erre is alkalmas.
A böngésző nem egy biztonsági szoftver, hanem egy megjelenítő felület, amibe a támadások miatt egyre több biztonsági funkció is belekerül, miközben a felhasználói igények miatt egyre több mindent kell futtatnia (video, játék, webalkalmazás). Ezért kell használni teljesértékű végpontvédelmet (tűzfal, mezei vírusírtó kevés) és az sem árt, ha böngésződ egy sandbox-ban fut, amit böngészés után törölsz.Éld az életet, ne túléld!
-
Teasüti
nagyúr
válasz Darknight #12 üzenetére
Chrome az nem sandbox-ban futtatja a lapokat? Én abban a hitben voltam idáig, hogy böngészőből semmi nem kerül a gépre, hacsak nem konkrét fájlletöltéssel. Persze oké, cookie meg mi nem a háttérben, de azok nem kerülnek OS szinten futtatásra. Vagy igen?
[ Szerkesztve ]
-
válasz Darknight #12 üzenetére
teljesen helytelen nézőpont.
azt, hogy a böngészőből kódot lehet futtatni, az az esetek zömében programozási hiba teszi lehetővé.
ebben az esetben nem az a megoldás, hogy plusz védelmi eszközökkel pakolom körbe a böngészőt, hanem kijavítom a böngészőben levő hibát.hogy én is példát hozzak: ha egy idióta bankvezér kitalálja, hogy kirak a Hősök tere közepére egy asztalt és azon fogja tárolni a készpénzt, akkor nem az a megoldás, hogy körbetekered a teret szögesdróttal és raksz mellé 32 fegyveres őrt, mert úgyis ellopják a pénzt. az a megoldás, ha visszarakatod a pénzt a páncélba.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Darknight
csendes tag
Van itt félreértés rendesen.
1.) Ma már alapfunkciója a böngészőnek, hogy kódot futtat!!! Ez nem hiba, egyszerűen ezt a feladata. Valahol az ActiveX és a java script környékén kezdődött, mostanra meg összeszámolni se tudom a különböző megoldásokat (alkalomadtán nézd meg az Internet Explorer beállításiban a Biztonság fülön az Egyedi szint beállításait, ott találsz egy listát).
Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.
2.) Megpróbálom megmutatni, hogy hol a hiba a nézőpontodban:
Van egy halom pénzem. Eldönthetem, hogy a párnám alatt tartom ( párna=böngésző) vagy berakom a bankba a páncél szekrénybe (bank=IT biztonsági szoftverek). A kispárnától nem várhatom el, hogy megóvja a pénzem a betörőtől (legfeljebb hogy ne legyen szemelőtt). Ellenben egy banktól elvárom, hogy betörő ide vagy oda, de megvédje a pénzem.
Vagyis a pénzem védelme nem a kispárnám, hanem a bank feladata.
3.) Annyiban viszont igazad van, hogy az alkalmazásokban sok a programozói hiba, illetve nem biztonságos programozói megoldás, amit kutya kötelességük javítani. És az is igaz, hogy a rosszindulatú kódok egy jó része az ilyen hibák kihasználására épül. De nem minden sérülékenység programozói hiba, és nem lehet mindent a böngészőre fogni. Erre mondtam azt, hogy nem elvárható és nem megoldható, hogy az autó ne hajtson bele a tömegbe.
4.) Rossz hírem van: nem létezik abszolút biztonság! Neked kell tudatosan odafigyelni az IT biztonságra: pl. telepíted a biztonsági szoftvereket, érdemben kezeled a riasztásait, telepíted a különböző frissítéseket, elkerülöd a gázos oldalakat, és a legfontosabb, biztonságtudatosan használod a netet.
Éld az életet, ne túléld!
-
válasz Darknight #15 üzenetére
valóban alapfunkciója a böngészőnek a kódfuttatás, de az is alapfunkciója, hogy a kódot nem hagyja korlátlanul terjeszkedni. ugyanúgy, ahogy elvileg a java vm sem engedi össze-vissza piszkolni a menedzselt kódot (nem állítom, hogy 100%-ban sikeres ezügyben), a böngészőnek sem kellene engednie kitörni a letöltött kódokat.
"Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.": azt állítom, hogy a rosszindulatú kód kiengedéséért csakis a böngésző felel.
meg azt is állítom a konkrét esetre specializálva, hogy az tahóság, hogy a google a saját böngészőjének hibái miatt kesereg. javítsa meg. ki más, ha nem ők?
"nem létezik abszolút biztonság": egyrészt létezzen! másrészt azért azt elfogadhatja mindenki, hogy az abszolút biztonság és a mostani trágyadomb helyzet között még létezhetne ennél jobb arany középút. csak amíg egyes nagy cégek szimbiózisban élhetnek a kártékony kódokkal, addig ez sose fog javulni.
a 21. század kb. arról szól az informatika terén, hogy minél több emberhez eljusson, minél több emberből csináljanak vevőt. ennek egyenes következménye, hogy már nem csak guru szinten felkészült mérnökök ülhetnek gép elé, hanem egyre felkészületlenebbek is. tehát az, hogy ezzel párhuzamosan a szoftver egyre ócskább minőségű, mert cégeknek ez az érdeke, az gáz.
szerintem meg minden kihasznált sérülékenység mögött van programozói hiba is. az adathalászat is feltört gépről kiküldött emaillel szokott indulni.
én azt gondolom, régen nem volt ennyi szemét program. régen elő nem fordulhatott volna, hogy egy boeing 737-es felszállhat, és csak akkor hajlandó a gyártó kijavítani a hibáját, mikor a politikusok ingerküszöbét is megüti a koporsók látványa. és a hibát az alapoknál kell kijavítani, nem kerülő megoldásokkal.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
egyébként egymás mellé lehet rakni két hírt, mindkettő itt jelent meg:
1. egy egyszerű stringgel tönkre lehet vágni a windows fájlrendszerét
2. az ms profitja akkorát nőtt, hogy még a befektetőket is meglepte.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- HP Probook 340S G7 i5-1035G1/8GB/256SSD/Windows 11 -10% Csak ameddig a készlet tart!89.780 Ft
- iPhone 14 Pro 128 GB Space Black, 11 hónapos, kártyafüggetlen, 2024. május végéig garis , akku 91%
- Asus VivoBook X509JA-BQ904T
- HP EliteBook 640 G9 Ezüst (14" / Intel i5-1235U / 16GB / 512GB SSD / Win 11 Pro) -10% Most 203.990 F
- Lenovo M810z AIO Core I5 6400 4x2700/8GB/120G SSD/wifi/cam 21,5 -10% 66.950 ft