Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Firefox wykluczony z konkursu Pwn2Own 2016 — powodem zbyt słabe zabezpieczenia
Jak co roku najlepsi specjaliści z zakresu przełamywania zabezpieczeń w popularnym oprogramowaniu spotkają się w marcu podczas tegorocznej edycji prestiżowego konkursu Pwn2Own. Dużą popularnością cieszył się zawsze konkurs hakowania przeglądarek, tym razem zabraknie w nim jednak Firefoksa…
Rules for #Pwn2Own 2016 are now posted. New this year are #VMware & Master Of Pwn for overall winner. Details at https://t.co/7PqdY3hiZ2
— Zero Day Initiative (@thezdi) luty 10, 2016
W ogłoszonych niedawno przez organizatora (The Zero Day Initiative) zasadach Pwn2own 2016 rzuca się w oczy brak Firefoksa. Jak się okazuje uznano, że złamanie jego zabezpieczeń nie stanowi obecnie wystarczającego wyzwania, by przeglądarka ta została uwzględniona w konkursie:
One change in the 2016 event is that the Mozilla Firefox Web browser is no longer part of the contest.
„We wanted to focus on the browsers that have made serious security improvements in the last year,” Gorenc said.
Pozostałe popularne przeglądarki ponownie staną w szranki z najlepszymi specjalistami od bezpieczeństwa pozwalając im na zdobycie następujących nagród:
- Google Chrome: 65 tys. USD,
- Microsoft Edge: 65 tys. USD,
- Apple Safari: 40 tys. USD.
Warto również dodać, że nowością w tym roku będzie możliwość zarobienia na przełamaniu zabezpieczeń (ucieczka do systemu operacyjnego hosta) wirtualizacji VMware Workstation — w tym wypadku nagroda to 75 tys. USD.
Czy zgadzacie się z organizatorami Pwn2own 2016, że Firefox jest obecnie najmniej bezpieczną z popularnych przeglądarek? Jednym z argumentów na niekorzyść FF może być brak wbudowanego sandboksa oraz działanie w ramach jednego monolitycznego procesu, czy jednak rzeczywiście jest aż tak źle w stosunku do innej popularnej konkurencji?
— Wojciech Smol
„browsers that have made serious security improvements in the last year”. Czyli przeglądarki, którym dodali lepsze zabezpieczenia w ostatnim roku. Co nie znaczy, że firefox jest bardziej dziurawy niż inne.
Nie pisaliśmy o dziurach, tylko właśnie o słabych (na ten moment w stosunku do konkurencji) mechanizmach bezpieczeństwa.
Co nie zmienia faktu, ze moim zdaniem artykul i tytul jest dosc sporą nadinterpretacją
Słusznie
Nie ma tu zbyt wiele miejsca na interpretację, artykuł opisuje fakty — decyzję organizatorów Pwn2Own oraz jej podłoże, o którym jasno się wypowiadają.
Zauważ też, że temat tego, czy Firefox rzeczywiście jest znacznie słabszy w zakresie bezpieczeństwa od swej konkurencji pozostawiliśmy do dyskusji czytelników.
Panie Wojciechu po prostu jak widać Koledzy wyżej poczuli się urażeni że ich ulubiony soft czy też raczej jego twórcy nie wykazali się. To taki syndrom urażonej dumy. Dziwne acz ludzkie. Pragnę nadmienić iż właśnie piszę w FF którego używam obok Opery 12.17 czyli wersji z czasów kiedy Opera była Operą a nie chromowym wycieruchem. Firefox również schodzi od jakiegoś czasu na psy. I nie tylko o bezpieczeństwo tu chodzi. Więc nie ma się co ciskać Koledzy. To krytyka produktu a nie Was samych jako userów. Pozdrawiam.
Ja na razie widzę jednego fanboja próbującego na siłę dowalić innym, uzasadniając swoje pokrętne rozumowanie tym, że ktoś został urażony.
Z przytoczonego cytatu nic nie wynika, a art to zwykły clickbait. Nie zniżajcie się poziomem do niebesfpiesznika.
„Nie ma tu zbyt wiele miejsca na interpretację (…)”.
W powoływanym artykule jest tylko jedno zdanie na temat bezpieczeństwa Firefox, twierdzące, że Firefox nie dokonał poważniejszych usprawnień bezpieczeństwa w ciągu ostatniego roku. Natomiast twierdzenie, że Firefox jest najmniej bezpieczną przeglądarką jest Pańskiego autorstwa, a nie przywoływanego źródła.
Może rzeczywiście tak jest. Nie będę się spierał, bo nie jestem ekspertem w tej dziedzinie. Szanuję Pańską opinię jako znawcę tematu i miło, że zachęca Pan do dyskusji nad bezpieczeństwem Firefox. Ale proszę też uszanować opinię czytelników co do autorstwa twierdzenia.
Firefox to jedyna znana mi przeglądarka rozwijana przez społeczność niezależną od korporacji, dla której bezpieczeństwo i prywatność jest priorytetem. Szkoda byłoby, gdyby okazało się, że nie dotrzymuje kroku korporacyjnym produktom. Mogłoby to zwiastować zmierzch free software community i jej ideologii…
Jak mawiają „uderz w stół…” Może niepotrzebnie uderzyłem. Stało się jednak Panie @nie. W zasadzie chciałem Ci napisać „zbyteczna agresja” jednak ludzi uważających się za kul, dżezi, trendi szafujących wyrazami „fanboy” czy „clickbait” do tego z przerostem ego, zaczynających zdanie od „JA” he he… trzeba traktować specjalnie. Wszak specjalni są. :] Więc specjalnie dla Ciebie @nie: rozluźnij się i uwierz żeś ani imperatorem ani generałem. Dlatego Ty się chłopie nie denerwuj weź gryzonia i obserwuj. :D P.S. sprawdź może w wolnej chwili definicje wyrazów które używasz. ;)
@kszh
Wydaje mi się że ani nie taka niezależna ta społeczność od korporacji ani w innych przypadkach nie jest znowu tak źle z tym bezpieczeństwem
Sądzę że to nie tyle kwestia tego czy coś jest korporacyjne bardziej czy mniej ale od dojrzałości bezpieczeństwa . W Polsce trudno byłoby chyba znaleźć jakikolwiek punkt odniesienia a gdyby takowy był to pewnie marketing szybko by go zepsuł .
Chodzi o to że nikt nie produkuje tu oprogramowania które jest obecne na milionach komputerów (może się mylę?) a/i bezpieczeństwo teleinformatyczne stało się jakieś odrealnione i sprowadza się do tworzenia scenariuszy które nigdy się nie zrealizują np opisywanie tragicznych w skutkach błędów XSS w intranetowym portalu firmy X (czy naprawdę sądzicie że gdy ktoś wiedzie do intranetu tej firmy to będzie się zastanawiał nad tym czy są tam podatności XSS?)
Natomiast gdy masz do czynienia z webbrowserem obecnym na X milionach kompów to zagrożenia stają się cholernie realne i chyba mało tam miejsca na marketingową ściemę w polskim wydaniu nawet jeśli to produkt bardzo korporacyjny, a nawet gdyby ktoś spróbował usilnie sprzedawać swój produkt korzystając z wątpliwie etycznych trików to sądzę że w takich przypadkach rzeczywistość bardzo szybko sprowadzi takich ludzi do odpowiedniego poziomu . Tak myślę
Dla mnie to bułka z masłem jeden telefon . Ff ma sandboxa
Ok, opowiedz tylko w jakim stadium jest ten sandbox i na jakie systemy jest już w pełni gotowy. Z wiki Mozilli wynika, że jest jeszcze dużo do zrobienia. A czas biegnie.
W mojej opinii Firefox mocno spada i pod względem bezpieczeństwa i jakości działania w porównaniu z innymi przeglądarkami, dlatego zgadzam się z kolegą/koleżanką zero one/
zawsze jest coś do zrobienia, nie sądzisz ?
Historia (ta której twórcą jest między innymi pan ze zdjęcia) uczy że nie ma zabezpieczeń których nie da się złamać są tylko takie których złamanie trwa dłużej przez co jest nie opłacalne (czysta teoria crackingu).
Sądzę że sandbox to jest takie medialne, czysto marketingowe hasło (które co śmieszniejsze 90% nie rozumie), ogólnie wydaje mi się że w dziedzinie pod tytułem bezpieczeństwo teleinf zawsze gdy masz do czynienia ze „złotym środkiem” to tak naprawdę masz od czynienia z marketingiem .
Nie wiem na jakim etapie jest SB w FF bo od jakiegoś czasu nie umie z poziomu JS w FF nawet precyzyjnie zaalokować pamięci :)
Pls: „nieopłacalne”. Jeśli jest nie opłacalne, to jakie?
to zależy od tego co chcesz osiągnąć i jak bardzo ci zależy, w tym jest właśnie sedno ! Wszystko jest kwestią szacowania i miliona składowych, na przykład gdy wychodzisz z założenia że chcesz zbudować bnet to lepiej opłaca się szukać 0deja w FF/CHROME/EDGE/IE/WEF czy rozsyłać spam z załącznikami po krajach dawnego bloku wschodniego ?
Gdy chcesz zhakować arcy hakera z NSA to lepiej szukać 0daya czy wynająć zbirów w kominiarce, połamać mu nogi i dostać tego czego się chce ?
Gdy masz do czynienia z firmom którą chcesz okraść a której poziom wiedzy ekspertów jest daleki od oczekiwanego szukasz 0daya ?
a jak chcesz złamać zabezpieczenia gry i to będzie cię kosztować więcej czau niż zarobienie na orginał to co będziesz je łamał ?
ITD/ITP milion zmiennych wejściowych
Na liście nadal są produkty Adobe i Apple pomimo bardzo słabego roku
https://www.cvedetails.com/top-50-products.php?year=2015
Zgadza się, ale taki np. Flash nie będzie tu porównywany z innymi podobnymi technologiami, bo takowych na liście już nie ma.
Jeśli chodzi o „konkurs przeglądarek” podczas PWN2OWN to zawsze potem pojawiały się porównania jednych rozwiązań do drugich (FF padł po tylu minutach, a Chrome i IE po tylu, itd.)… czyli może po prostu organizatorzy nie chcieli pozwolić na „bicie słabszego”?
A może obawiają się i „watek finansowy” wpłynął na werdykt?
a może jednak FF od wersji 41+ to gniot? :O
Co do pytania – tak zgadzam się. Firefox odstaje. Używam Firefox ESR z dodatkami w jakimś stopniu poprawiającymi bezpieczeństwo i chroniącymi prywatność podczas korzystania z FF i gdyby nie owa prywatność, pewnie migrowałbym już na Chrome. Pytanie, co ważniejsze podczas korzystania z przeglądarki – bezpieczeństwo czy prywatność? Liczę, że używając przeglądarki z głową, będę w stanie lepiej pielęgnować prywatność.
Czy ktos kto sie zna moglby mi wyjasnic dlaczego pojedynczy proces pomniejsza bezpieczenstwo?
Przepraszam za brak polskich znakow ;)
Dobrze zaprojektowana izolacja mniejszych procesów o odpowiednio okrojonych uprawnieniach wprowadza dodatkowe utrudnienia w skutecznym ataku na szerszą skalę.
Mówiąc najprościej — jeśli coś nas skutecznie zaatakuje w jednej z izolowanych zakładek przeglądarki, to nie uzyska od razu dostępu do całego środowiska.
https://en.wikipedia.org/wiki/Process_isolation
Piszę tu chyba pierwszy raz więc witam wszystkich.
A może FF nie jest słaby tylko nikt nie chce zapłacić za znalezione w nim luki.
Biorąc pod uwagę, że „Firefox nie dokonał poważniejszych usprawnień bezpieczeństwa w ciągu ostatniego roku” można to rozumieć jako to, że w ostatnim roku złamali zabezpieczenia FF i w tym roku nie mieli by nowych wyzwań. Jakby to nie rozumieć i nie interpretować to nie można przekreślać danej przeglądarki. A sandbox to nie wszystko. A jeżeli tak bardzo go nam brakuje, to możemy zainstalować sandboxa innej firmy.
Witam,
mam pytanie do @Wojciech Smol. Czy według Ciebie Firefox w najnowszej wersji z dodatkami poprawiającymi prywatność i bezpieczeństwo przeglądania witryn takimi jak:
– NoScript
– WOT
– uBlock Origin
– Disconnect
– HttpsEverywhere
nie są wystarczające dla użytkownika?
Czy mimo wszystko brak piaskownicy wyklucza tą przeglądarkę pozostawiając tym samym użytkownika przed wyborem mniej popularnej Opery czy popularniejszego Google Chrome kosztem prywatności? (choć należy założyć, że Google i tak wie o każdym z nas tyle, że na podstawie tylko wyników wyszukiwania mógłby zdefiniować nasz profil).
Wojtek, czy mógłbyś wypowiedzieć się?
ps.
przydałby się artykuł opisujący i porównujący przeglądarki gdzie stawiane byłyby tezy dot. prywatności i bezpieczeństwa łącznie z zaleceniem dla użytkownika. Zauważyłem, że brakuje najnowszego artykułu w tej kwestii. Ale art. takiego porządnego i dotykającego wiele aspektów, które pozwoliłyby użytkownikowi łatwiej podjąć decyzję odnośnie z instalacji i codziennego korzystania.
pozdrawiam.