Vlákno názorů k článku
Pwn2Own: Hned první den padl Internet Explorer, Firefox i Chrome
od Lael Ophir - Skvěle. Máme browsery které už jsou tak složité,...
-
Lael Ophir (neregistrovaný)
Skvěle. Máme browsery které už jsou tak složité, že jsou non-stop děravé a v podstatě kdykoliv je prostřelí partička lidí na hackerské párty. A snažíme se těmi browsery cpát na desktopy pokud možno všechno, včetně emailu, práce s dokumenty, přístupu k informačním systémům, a dokonce hraní her. Katastrofickým příkladem je Google ChromeOS. Aplikace v browseru jsou sice pomalejší, jejich interface je hrozný a prakticky se nedá ovládat z klávesnice, v principu nemohou umět spoustu věcí, ale určitě to má i své výhody. Například děravé browsery i webové aplikace, závislost na připojení...
Místo aby někdo zatáhnul za záchrannou brzdu a zařval "dost, takhle už to dál nejde, pojďme to celé opravit", tak se čím dál víc věcí překlápí do HTML a browserům se přidává další a další funkcionalita, bez ohledu na neopravené a nově vznikající chyby. Díky tomu se dostáváme do stádia, kdy pár tabů browseru spotřebuje GB paměti na to, co lokální aplikace umějí rychleji a pohodlněji s o dva řády nižší spotřebou paměti; u CPU je to podobné. -
Ano, dnes jiz i aplikace pro evidenci ulovku lovcu lebek bezi v browseru.
BTW, problem se netyka jen browseru, ale i OS, zejmena pak nekterych, ktere maji pametovou a diskovou narocnost, ze se cloveku protaci panenky. A to nabizeji funkcionalitu velmi srovnatelnou s tim, co starsi OS od stejne firmy nabizel pred 10ti lety.
-
Lael Ophir (neregistrovaný)
To je o úhlu pohledu. Když si můj příspěvek přečte nějaký vývojář webových aplikací (nejlépe vyvíjející podle popisu v linku níže), nejspíš to bude hodnotit jako útočné. Když se strefíte do černého, budí to většinou nejprudší reakce.
http://www.zive.cz/clanky/rozhovor-nezkroceni-vyvojari-a-kovbojove/sc-3-a-162156 -
Akeldama (neregistrovaný)
Vy snad znáte software bez chyb? Aplikace rozsahu hello world nechme stranou... Prohlížeče(obzvlášť jeden nejmenovaný) se daly "prostřelit" odjakživa, ostatně jako jakýkoliv trochu komplexnější SW. Zbytek nebudu komentovat, tolik fňukání a zveličování jsem naposledy četl, když jsem se omylem proklikl do diskuze o politice na idnes.
-
Jenda (neregistrovaný)
„Vy snad znáte software bez chyb?“
Ne, ale v mailovém klientu nebo třeba textovém editoru je ten prostor pro útoky mnohem menší - vlastně stačí, když si programátor dá pozor, aby při parsování vstupního binárního formátu někde něco nepřeteklo. Totéž vlastně platí i pro prohlížeč ovládající HTML4 a CSS2.
Na druhou stranu dnešní prohlížeče spouští z každé webové stránky program v komplexním jazyce (JS), který má rozsáhlé možnosti interakce se zbytkem prohlížeče i systému. To prostě uhlídat nejde.
Proč asi většina útoků na prohlížeče využívá JS?
-
Jenda (neregistrovaný)
Hezky napsáno.
Bohužel než na tu brzdu to taky vidím spíš na další vrstvu sandboxování, na další vrstvu frameworků nad frameworky nad JavaScriptem atd. Webové aplikace původně byly jednoduché rozhraní pro jednoduché věci nebo tam, kde nešlo nainstalovat SW/protlačit něco jiného než HTTP. Čekám, kdy se dostaneme do stejného stavu, kdy budeme mít jakousi „metawebovou aplikaci“ běžící v prohlížeči v prohlížeči přesně z toho stejného důvodu.
-
Bruce (neregistrovaný)
Ale no taaaak ;)
http://www.zdnet.com/linux-triumphant-chrome-os-resists-cracking-attempts-7000012331/
A preco sa vsetko preklapa do HTML? Pretoze to funguje vsade, je to "multiplatformne", lacne na vyvoj, netreba aktualizovat klienta, dostupne z roznych miest, kvantum vyvojarov
BTW. vsetko co si vymenoval, platilo tak pred niekolkymi rokmi, dnes si ta uz dovolim nazvat klamarom. BTW. neboli jedneho casu Windows XP oznacovane ako nenazrane na zdroje? ;)
-
Lael Ophir (neregistrovaný)
Jedinou výhodou webové aplikace je to, že se nemusí instalovat. Nicméně na cizím počítači nemůžete z bezpečnostních důvodů použít prakticky nic, protože nikdy nevíte, kolik keyloggerů tam dotyčnému uživateli někdo nasadil.
Nenažranost na zdroje je jen jednou stránkou věci. Ale proč máme jako uživatelé dostávat výrazně horší interface, a ještě s větší spotřebou zdrojů? Fakt nemůže být Facebook prostě aplikace, a musí v browseru sežrat 2GB paměti (a pak spadnout) díky resource leaks? Fakt musí každá debilní flashová reklama žrát procenta až desítky procent výkonu dnešního CPU? Fakt je potřeba dělat webový Office typu Google Docs, který je funkcemi nesrovnatelný s desktopovým officem, ale "zato" je závislý na připojení, náročný na zdroje a ještě nechává data u Velkého Bratra? Podle mě je tohle prostě špatný směr.
-
adg (neregistrovaný)
Taky mi to leckdy přijde přespříliš. Onehdá jsem jel v Praze MHD busem co zrovna někde chvíli stál. Jsou v nich takové obrazovky co ukazují kam to jede, jaká bude příští zastávka a kolik je hodin. Notnou chvíli na tom bootovala nějaká Linux distribuce, pak ještě chvíli startovala XWindows, pak Firefox a nakonec ta vlastní stránka. Asi v nějakám javascriptu, neboť dlouhé nápisy tam scrolovaly a bylo to dost trhané.
Nebo cedule s odjezdy na nástupištích v Praze na hlavním nádraží. Občas nefungují a je na nich nějaká IE javascript chyba nebo desktop z Windows XP.
Ale největší úlet byl jistý software na konfiguraci USB tokenů pro VPN a pod. To byla na lokálním disku uložená HTML stránka co se otvírala v IE a stím zařízením komunikovala přes ActiveX komponentu. Že si tu komponentu mohla volat libovolná zlomyslná stránka z Internetu nějak autorům nedošlo. Nebezpečné operace v tom byly a jako bonus přetékající buffer. Kdo si tohle naporučil, nemohl být příčetný. Ale třeba to tam bylo schválně v rámci boje proti terorismu nebo tak něco.
Pak potkáte informační panel na jízdní řády s mírně oldschoolovým GUI co určitě není nějaká stránka v prohlížeči (s dotykovou obrazovkou) a odpověď na dotaz máte dřív než dáte dolů prst z tlačítka hledat. (Praha-Smíchovské nádraží dole v hale)
-
http://www.root.cz/zpravicky/google-uci-microsoft-otevrenym-standardum/446375/
... MS měl dost silnou pozici na to, aby jel po vlastní koleji. A měl na to zjevně i technicky, když naučil MSIE věci, které konkurenti objevovali až léta poté (font embedding, AJAX atd) ...
A z vrozené skromnosti jsi do výčtů uspěchů nezmínil třeba ještě ty ActiveX shity .,..
-
Aura (neregistrovaný)
Z prohlížeče se prostě postupně stává virtuální stroj, který umožňuje snadnou distribuci aplikací na všechny myslitelné platformy, bez nutnosti instalace, s okamžitou aktualizací a dostupností odkudkoliv. Buď můžete akceptovat, že se IT neustále vyvíjí, naučit se nějaký pěkný framework(můžu doporučit například qooxdoo - se svým propracovaným objektovým modelem, unit testy, podporou lokalizace, automatickým generováním dokumentace a spoustou dalších profesionálních featur se vám jako oldschool vývojáři bude jistě zamlouvat) nebo sledovat, jak lidi odcházejí k obdobným produktům, jaké nabízíte vy, ale jsou dostupné online a po večerech nadávat na fórech.
-
Lael Ophir (neregistrovaný)
Jak uživatel řeším u webových aplikací příšerný interface, závislost na spojení, mizerné možnosti aplikací a špatný výkon. Jako vývojáře mě spíš trápí velmi nepohodlné ohýbání stateless HTML do něčeho co se dá použít při vývoji aplikace, nemožnost z webové aplikace efektivně tisknout, ovládat zařízení (třeba skener), a vůbec dělat cokoliv složitějšího.
-
Martin Stransky (neregistrovaný)
Staci si zakazat JS a budete mit maximalne bezpecny browser (pokud nepocitam mozne buffer overflow z ruznych knihoven typu libpng a podobne).
Vase predstava ze jakakoliv particka hackeru kdykoliv prolomi jakykoliv browser je chybna - pokud se na to citite, bezte do toho. Odmeny za exploit se pohybuji v radu desitek az stovek tisic dolaru. Aktualni Pwn2Own cena je tusim $64000. To je stale jeste dost malo, takze se mini ze napriklad exloity pro iOS (tj. na Safary) nebyly sverejneny, protoze maji mnohem vetsi cenu.
Na hledani vhodneho exploitu dnes pracuji cele tymy lidi, ktere musite zaplatit. Je to stejne jako kryptografie, lamani sifer a podobne.
Nicmene, dalsi vec je ze bezpecnost je obecne v primem protikladu s uzivatelskou pohodlnosti. Je mozne udelat maximalne bezpecny system, ale divil byste se jak nepohodlne je jej pouzivat. Je to stejne jako kdybyste napriklad doma mel zamek u kazdych dveri a jeste by vas pri pruchodu nekdo prosacoval...odskocit si od TV na zachod by trvalo dele nez kompletni blok reklam i na tech neprisernejsich komercnich stanicich :)
-
Ladislav Thon (neregistrovaný)
> Vase predstava ze jakakoliv particka hackeru kdykoliv prolomi jakykoliv browser je chybna - pokud se na to citite, bezte do toho.
To je velmi slušně řečeno. Já bych přímo řekl, že představa, že máme browsery které už jsou tak složité, že jsou non-stop děravé a v podstatě kdykoliv je prostřelí partička lidí na hackerské párty je naprostá blbost. Jak píšeš, ty exploity připravují týmy lidí řadu měsíců předem.
-
Až na to, že ta díra na prolomení broseru je občas systémová díra, kterou akorát ten prohlížeč neopravuje za systém. Chrome OS je v tomto případě rozhodně špatný příklad: https://www.abclinuxu.cz/zpravicky/chrome-os-na-pwnium-3-neprolomen (tady jsem o tom zprávičku neviděl).
Navíc nevím, v čem by vlastně bylo bezpečnější, stahovat si pro každou blbost program z různých pochybných stránek, o kterých jsem v životě neslyšel, instalovat to a doufat, že antivir případnou škodnou zachytí? Místo vykonání potřebného úkonu na stránce... Prohlížeče by v tom případě byly děravé stejně, možná dokonce i víc, protože by nebyl takový tlak na bezpečnost, a navíc byste si pouštěl rizikový kód přímo na stroji, místo "virtualizovaně" v prohlížeči. O tom, kolik by se vám do systému dostalo bloatware nemluvě... vlastně proč to tu popisuju, pár let zpátky to tak bylo. :-) To akorát ta paměť si idealizuje minulost.
PS: Z klávesnice se webová aplikace ovládat dá, pokud to vývojář umožní (zkuste si třeba gmail),
-
Lael Ophir (neregistrovaný)
S těmi aplikacemi to funguje celkem bezpečně na iOS i Windows Store. Samozřejmě Google Play má svá specifika.
http://www.ibtimes.co.uk/articles/443898/20130308/one-ten-app-google-play-malicious.htm
http://www.tomsguide.com/us/Google-Play-Malware-Mobile-Drive-By-NFC-Risky-App,news-16794.htmlGMail je, spolu s Outlook.com a Outlook Web Accessem, mezi špičkovými webovými aplikacemi. Něco takového napsat není úplně triviální, a navíc se to ani tak neblíží komfortu práce s desktopovou aplikací. Nemluvě o tom, že řadu věcí z webové aplikace v principu neuděláte: tisk, skenování, práce s lokální FS, interakce s desktopem...
-
Riff (neregistrovaný)
Názory někoho, kdo dokáže zatvrzele obhajovat hranatou blbost, co vypadá jako speciální téma pro lidi s těžkou poruchou zraku, v tomhle ohledu neberu vážně. A vůbec co tak najednou? Z ústředí došly pokyny, že kromě linuxu ti odteď mají vadit i aplikace na webu? Ostatně nedivil bych se, s rostoucím trendem přesunu aplikací na web začíná být čím dál víc jedno, co uživatel používá za systém, což v důsledku může být pro předražený Windows nezanedbatelný problém. Všechny dětské nemoci, do kterých se teď strefuješ, během pár let zmizí a s přibývajícím počtem plnohodnotných náhrad desktopových aplikací padne další z důvodů, proč používat právě Windows. V té době už bude z Linuxu solidní herní platforma, takže o další podstatný důvod míň. Pokud k tomu všemu bude MS pokračovat v podřezávání si větve tvrdošíjným protlačováním tak otřesného interface jako je Metro, tak budoucnost Windows vidím dost bledě.
-
Lael Ophir (neregistrovaný)
Zato já beru velmi vážně názory člověka, který obhajuje obšlehlý iOS postavený na kradené Javě. Po vzájemných projevech úcty :) můžeme pokračovat k věci.
Ty "dětské nemoci" se už léta nelepší, naopak horší. Navíc se výrazně horší i bezpečnost webových aplikací a ochrana soukromí (Google vám čte počtu, Facebook prodává informace o vašem osobním životě). Webové aplikace nabízejí zákazníkovi méně než klasické, s vyššími nároky, a s přidaným špehováním. V čím je to zájmu? Pracujete snad pro Velkého Bratra Google, že takovéhle nesmysly propagujete?
Z Linuxu se podle mého odhadu herní platforma nestane. Příliš malé množství uživatelů, roztříštěnost na spoustu dister, vysoké náklady na support... Tváříte se optimisticky, ale podobně se tvářili všichni i ohledně roku desktopového Linuxu, prodeje notebooků s Linuxem atd. -
Riff (neregistrovaný)
Google vám čte počtu, Facebook prodává informace o vašem osobním životě
Ještě že aspoň ten Microsoft nic podobného nedělá :-D
Ty "dětské nemoci" se už léta nelepší, naopak horší.
To je zřejmě dost subjektivní, protože já jsem s úrovní webových aplikací čím dál spokojenější.
Z Linuxu se podle mého odhadu herní platforma nestane ... Tváříte se optimisticky ...
Tak určitě lepší, než se na všechno tvářit pesimisticky. Úplné stejné připomínky jsi tady měl na spoustu dalších věcí, které jsou teď megaúspěšné, například právě ten zmiňovaný Android(aka obšlehnutý iOS). Takže pokud to podle tebe nemá šanci na úspěch, tak je to jenom dobře, s velkou pravděpodobností to totiž čeká světlou budoucnost :-D
-
Lael Ophir (neregistrovaný)
Nevšiml jsem si, že by Microsoft třeba probíral emaily v mém Outlooku a zobrazoval mi podle nich reklamu. Nedělá to ani v outlook.com/hotmailu. Naopak Google a Facebook jsou svými příjmy závislí na vašich osobních údajích.
Ano, Android jsem podcenil. Přesto si myslím, že moje odhady mají slušnou úspěšnost. Rozhodně lepší, než zdejší tradičně vtipné predikce Roku Desktopového Linuxu apod., nemluvě o těch teoriích o spiknutí světa proti opensource.
-
No vida, a já přitom zjistil, že neznám žádného desktopového klienta, který by se s gmailem mohl srovnávat. Takže buď si jeden z nás vymýšlí a obhajuje něco, čemu sám nevěří (a já to nejsem :P), nebo tu neexistuje žádná univerzální pravda a je potřeba to posuzovat případ od případu specificky.
A pokud bude zájem, tak se browsery naučí, jak přistupovat ke scannerům a podobně. Ostatně, takovou vlaštovkou v tomto směru je právě ChromeOS.
Windows Store, Google Play a podobně problém řeší jen částečně. Pokud aplikaci vyžaduji jen jednorázově, stále je tu ta nutnost ji nainstalovat a pak zase odinstalovat, což bere čas a není to zrovna dvakrát pohodlné.
-
Lael Ophir (neregistrovaný)
No jo, nemáte holt Outlook, a na Linuxu je to s podobnými aplikacemi dost slabé.
ChromeOS je katastrofickou ukázkou, jak lze nabízet aplikace které toho umí ve srovnání s těmi desktopovými naprosté minimum, jsou do značné míry závislé na připojení, a ještě dávají vaše data Velkému Bratrovi. Děkuji, nechci.
Instalace aplikace je věcí jednoho kliku ve Storu, odinstalace dvou kliků ve Start Menu (dlouhý dotek na ikoně aplikace, vybrat odinstalaci). Nepřijde mi to jako tak zásadní overhead.
