www.MegaLab.it

[farbix89]

Se disattivo UAC la modalità protetta non viene attivata.

Quindi la modalità protetta è un'appendice dell'UAC?

[rolloLG]

IE7 dal 2007 ha introdotto su Vista la Modalità Protetta che tramite sandboxing rende il browser MOLTO SICURO, talmente tanto che 3 anni dopo Google Chrome ha adottato la stessa strategia.

La modalità protetta di IE non è paragonabile ad una sandboxing.

Invece sì se ti documentassi. Cerca pure su TechNet come è realizzata e scoprirai che lo è limitando processi, diritti, directory in e scrittura etc...

Dire che Google Chrome ha copiato a IE è non è appropriato,visto che in tal caso la sandbox è reale e protegge realmente da intrusioni che sfruttano il software e le sue debolezze

Cosa vuol dire "reale"? Sono solo parole per spargere disinformazione e far credere che quella di Chrome sia migliore, quando è il contrario: ad esempio non sandboxa i plugin che girano in Medium Integrity Level. Il sandboxing dato dalla modalità protetta con l'UAC attivato (perché deve essere attivato) è la stessa strategia che attiva Chrome su Vista/7, con una sicurezza inferiore per via dei plugin non schermati.
Va bene credere alle pubblicità e agli slogan ma andare un po' più a fondo tecnicamente nelle cose in certi casi sarebbe richiesto.

[rolloLG]

Se disattivo UAC la modalità protetta non viene attivata.

Quindi la modalità protetta è un'appendice dell'UAC?

Se tu ti documentassi tecnicamente su cosa fa l'UAC cosa comporta attivarlo (hint: vedi discorso Integrity Levels) non faresti questa ingenua domanda... Ragazzi, documentatevi tecnicamente in modo serio prima di scrivere.

[farbix89]

se posti le fonti forse possiamo verificare certe affermazioni.

la disinformazione l'ha fanno coloro che dicono che IE sia sicuro ed affidabile,soprattutto quando si parla di sicurezza....nonostante ci siano anni e anni di infezioni imputabili al browser in questione.

io farei una class actions contro IE....quanti soldi buttati e quanti dati vitali persi

[farbix89]

Sfruttando UAC, UIPI e MIC, la Modalità protetta di Internet Explorer 7 (e successivi) esegue tutti i processi di Internet Explorer con diritti ridotti, anche se l'utente connesso è membro del gruppo Administrators locale. A causa dei diritti ridotti, i controlli ActiveX e le barre degli strumenti attivano un prompt di elevazione UAC, che contribuisce a ridurre le installazioni di software dannoso nel browser senza l'intervento dell'utente.

Fonte ufficiale

Quindi basta che rispondo sempre su sì al prompt di UAC per infettarmi con IE? è che sandbox è?

Senza dimenticare che UAC è facilmente scavalcabile,quindi 2+2

Altre fonti

If UAC is disabled, Protected Mode is turned OFF. When UAC is disabled, some of the protections which Protected Mode depends on are not available, for example, UI Privilege Isolation (UIPI) is disabled. Hence, Protected Mode is turned off in this scenario.

Bella sandbox

Continuiamo

Internet Explorer 8 in Windows Vista® runs in isolation from other applications in the operating system. Users must give their explicit consent for software to be able to write to any folder beyond the <systemdrive>\Windows\Temp\Temporary Internet Files folder.

Quindi mi chiede di punto in bianco un altro "sì e no" UAC per far scrivere un file in system32?

Poveri utenti
Fonte

Ma parliamo di Google Chrome,lì c'è vera sandbox

The toughest piece of that armor involves sandboxing. In Chrome, HTML rendering and JavaScript execution are isolated in their own class of processes. Running each tab in Chrome in a sandbox allows Web applications to be launched in their own browser windows without the ability to write or read files from sensitive areas. Plug-ins are run in separate processes that communicate with the rendere

Ecco,non esiste PROPRIO il rischio di trovarsi davanti una finestra UAC con la scelta "vuoi infettarti?" "non vuoi infettarti?"

http://www.eweek.com/c/a/Security/Googl ... a-Sandbox/


Fatti,non parole


Credo che il grande limite di IE è di dipendere in maniera troppo stretta dall'OS....se cade uno,cade l'altro,e viceversa.

[rolloLG]

Fa ridere questa arroganza senza fatti.
1. UAC non compare in continuazione girando in rete, ovviamente
2. UAC va sempre tenuto attivo. Perché dovresti disattivarlo? Chi non lo fa torna ai tempi di XP usato come admin h24 oltre a disattivare altre caratteristiche tecniche che è inutile spiegare a chi non sa nemmeno di cosa parla.
3. Chrome usa proprio quelle difese su Vista/7 per sandboxare. Di nuovo documentati sul sito ufficiale di Chromium dove è spiegato.
E' deprimente la tua ignoranza in fatto di sicurezza e di UAC. Documentati che è meglio invece di queste bambinate dove dimostri di non sapere nemmeno come funziona l'UAC, cosa sono gli Integrity Levels e tutto il resto.
Sei dell'89 come il tuo nick? Un po' giovane. Si vede, studia un po' di più prima di sparare sciocchezze.
IE è sicuro e sandboxato come e più di Chrome, ah, tra l'altro anche il plugin Flash di Adobe sin dal 9 su IE gode già di sandbox con broker dedicato... quanto stanno facendo su Chrome. Infatti per questo anche il vincitore del Pwn2Own dell'anno scorso ha espressamente consigliato IE e Chrome + UAC attivi. L'ignoranza unita all'arroganza è una brutta bestia ma ancora peggio è fare divulgazione falsa e spargere FUD.

Ciao eh... Studio, non supponenza.

[farbix89]

Fa ridere questa arroganza senza fatti.

Chissà perché pensavo la stessa cosa

Non ho voglia di rispondere in maniera approfondita ai tipi come te che vogliono solo avere ragione e non vedono la verità e che difendono a spada tratta una causa persa

Ultime cose,poi considera finita questa diatriba:

Sei dell'89 come il tuo nick? Un po' giovane. Si vede, studia un po' di più prima di sparare sciocchezze.

Troppo facile nascondersi dietro un nick,per quello che mi riguarda potresti avere 10 anni,forse anche meno.

A proposito di sciocchezze,dire che IE è il miglior browser sulla piazza è un'offesa ai poveri utenti pieni di virus e malware per colpa di quel browser e non sanno più dove sbattere la testa, domandandosi imperterriti "dov'era UAC mentre il mio PC crollava?"

UAC?

è la panacea che Microsoft vi offre per togliersi ogni responsabilità,lasciando tutto nelle mani dell'utente (ignaro)

Hai risposto sì? Fatti tuoi!!!

Hai risposto no e flash non funziona più?Non sono fatti loro

Medita,medita dov'è che il sistema è fallace e vulnerabile....forse alla radice

[pcxrt]

Medita,medita dov'è che il sistema è fallace e vulnerabile....forse alla radice

superquotone

[Riverside]

Non ho voglia di rispondere in maniera approfondita ai tipi come te che vogliono solo avere ragione e non vedono la verità e che difendono a spada tratta una causa persa

E' un punto di vista, opinabile, ma sempre un punto di vista.
Non penso si stia difendendo una causa persa, si sta semplicemente apprezzando quanto di buono Microsoft abbia realizzato rispetto alla versione precedente del suo browser.
Non puoi negare, a priopri che, in termini di sicurezza (ed anche prestazioni) I.E. 9 non sia un ottimo browser (puoi, a titolo personale, preferire, per altre ragioni, browser alternativi ma da li a negare certe evidenze, ce ne passa).

A proposito di sciocchezze,dire che IE è il miglior browser sulla piazza è un'offesa ai poveri utenti pieni di virus e malware per colpa di quel browser ....

Sicuro che il problema mlaware sia fondamentalmente legato al browser in uso e non, per esempio, alle pessime abitudini di navigazione della stragrande maggioranza degli utenti? o, ancora, alle pessime abitudini di utilizzo del computer (leggesi Torrent, Emule, ecc.?).

Medita,medita dov'è che il sistema è fallace e vulnerabile....forse alla radice

Banalmente, quella radice ha un preciso nome: utente (che non è roba prodotta da Microsoft).

[farbix89]

E' un punto di vista, opinabile, ma sempre un punto di vista

Ognuno ha le sue opinioni

Non penso si stia difendendo una causa persa, si sta semplicemente apprezzando quanto di buono Microsoft abbia realizzato rispetto alla versione precedente del suo browser.

La mia era una provocazione voluta in risposta all'utente.

IE 9 è 10 volte superiore a IE 8,da tutti i punti i vista.

Il risveglio di Microsoft è dettato dall'incalzare di soluzioni alternative molto valide.

Naturale sfornare un prodotto migliore,era l'unico modo per risollevarsi e non sprofondare.

IE 9 il miglior browser Microsoft? senza subbio.

IE 9 il miglior browser in assoluto? Da verificare,ma parte molto svantaggiato rispetto agli altri,non si porta dietro una bella reputazione (la questione "preinstallazione o no" non sussiste vista la possibilità di scelta)

Non puoi negare, a priopri che, in termini di sicurezza (ed anche prestazioni) I.E. 9 non sia un ottimo browser (puoi, a titolo personale, preferire, per altre ragioni, browser alternativi ma da li a negare certe evidenze, ce ne passa).

Concordo,il miglior browser targato Microsoft,l'ho già detto qualche post fa.

Sicuro che il problema mlaware sia fondamentalmente legato al browser in uso e non, per esempio, alle pessime abitudini di navigazione della stragrande maggioranza degli utenti? o, ancora, alle pessime abitudini di utilizzo del computer (leggesi Torrent, Emule, ecc.?)

Verissimo,sono alcune di queste abitudini cattive a portare gli utenti in brutte acque.

Ma come la mettiamo con le pagine modificate ad hoc con script e robaccia varia?

basta aprirle(pure per sbaglio) e se il browser non è sufficientemente protetto,l'utente (intenzionalmente o no) si trova infettato.

La questione è ben più grave se viene sfruttato un bug conosciuto del browser.

ma come dicevo qualche post fa IE ha una sola attenuante:

Rimane però importante ricordare che, su questo versante (sicurezza,ndr), vi sono due importanti argomentazioni a favore di Internet Explorer: la prima è che rimane sempre il browser più usato in rete, e di conseguenza il più bersagliato dagli attacchi informatici, visto che la scoperta di un bug in questo browser permette di colpire una fetta maggiore di utenza; la seconda è che, poiché si tratta del browser predefinito di Microsoft Windows, spesso è utilizzato dagli utenti meno esperti (e quindi più vulnerabili) che non si prodigano certo ad informarsi e cambiare browser nel proprio computer.

Banalmente, quella radice ha un preciso nome: utente (che non è roba prodotta da Microsoft).

Verissimo

Ma devi mettere l'utente nelle condizioni di fare la scelta giusta...non puoi affidare l'intera sicurezza del sistema ad un semplice "si" o "no" (leggi la mia firma).

Che poi trovi l'utente che si infetta in ogni caso...non puoi fare molto.

@Riverside:

è stato un piacere discutere con te,c'è molto più dialogo da persone civili

[Riverside]

IE 9 è 10 volte superiore a IE 8,da tutti i punti i vista.

Questo basta, farbix, non è cosa di poco conto.

Il risveglio di Microsoft è dettato dall'incalzare di soluzioni alternative molto valide. Naturale sfornare un prodotto migliore,era l'unico modo per risollevarsi e non sprofondare. IE 9 il miglior browser Microsoft? senza subbio.

Farbix, devi tenere conto di una cosa: Microsoft non sforrna solo browser, ma ben altro ( e di ottimo livello).
IE è si una componente importante, ma tutto sommato, tra ciò che produce Microsoft, credo sia la meno importante - a differenza, per esempio, di Firefox, Opera o Google, che puntano essenziamente sul browser.

IE 9 il miglior browser in assoluto? Da verificare,ma parte molto svantaggiato rispetto agli altri,non si porta dietro una bella reputazione (la questione "preinstallazione o no" non sussiste vista la possibilità di scelta)

IE 9 (con le sue poche pecche, perché ne ha) è certamente un browser inaspettato (e tieni conto di quel "inaspettato"); la reputazione è figlia di errori del passato, che sono qasi tutti stati risolti - si tenga conto, per chi legge, e non solo per fabrix - che le versioni precedenti, davvero facevao acqua da tutte le parti. Il passo avanti è evidente.
Su resto, Fab, penso siamo d'accordo, meno che su questo:

La questione è ben più grave se viene sfruttato un bug conosciuto del browser.

credimi, la sandbox di IE 9 è parecchio robusta (non dico come quella di Chrome ma ci siamo quasi).
Inoltre, se tutti avessero l'accortezza di navigare sotto Sandboxie o Returnil (giusto per fare 2 esempi) il problema si porrebbe in misura di zero %.
Come vedi, si tratta sempre di radice (come la intendo io) e non di altro.

è stato un piacere discutere con te,c'è molto più dialogo da persone civili

Grazie (e, naturalmente, ricambio).

[farbix89]

Farbix, devi tenere conto di una cosa: Microsoft non sforrna solo browser, ma ben altro ( e di ottimo livello).
IE è si una componente importante, ma tutto sommato, tra ciò che produce Microsoft, credo sia la meno importante - a differenza, per esempio, di Firefox, Opera o Google, che puntano essenziamente sul browser.

Non credo che Microsoft sottovaluti l'aspetto browser,nonostante sia solo un "ramo".

Per molti anni IE è stato il simbolo stesso di Internet,tanto da diventare un sinonimo.

Molti utenti che compravano il PC mi domandavano: "c'è Internet Explorer?Se no,non lo prendo."

Non importa quasi nulla alla gente se nel PC ci sia Office,Nero,Photoshop.....a molta gente basta il browser,il resto dei software se li cercano da sè.

Dire che Microsoft non dedica attenzione al browser è sbagliato,perché è la prima forma di contatto tra il PC e l'utente.

IE 9 (con le sue poche pecche, perché ne ha) è certamente un browser inaspettato (e tieni conto di quel "inaspettato"); la reputazione è figlia di errori del passato, che sono qasi tutti stati risolti - si tenga conto, per chi legge, e non solo per fabrix - che le versioni precedenti, davvero facevao acqua da tutte le parti. Il passo avanti è evidente.

Quoto

Secondo me questo inaspettato è frutto di una sana concorrenza: se non ci fossero i vari Chrome,Firefox,Opera e Safari molto probabilmente avremo ancora un browser Microsoft che fa acqua da tutte le parti.

Il monopolio,finchè dura,porta tantissimi soldi: ma basta che arriva l'innovatore di turno con idee e concetti alternativi "validi" e 10 anni di monopolio fanno sentire tutto il loro peso

credimi, la sandbox di IE 9 è parecchio robusta (non dico come quella di Chrome ma ci siamo quasi).
Inoltre, se tutti avessero l'accortezza di navigare sotto Sandboxie o Returnil (giusto per fare 2 esempi) il problema si porrebbe in misura di zero %.
Come vedi, si tratta sempre di radice (come la intendo io) e non di altro.

Magari tutti usassero Sandboxie o Returnil

sono quei tipi di software che Microsoft dovrebbe acquistare e inserire di default nel sistema operativo.

Riguardo alla sandbox di IE9,non ho programmato nessun test: aspetto la versione definitiva per esprimere un giudizio.

Per il momento affilo le armi: sto preparando degli scriptini anti-Sandbox niente male,se il mio amico programmatore mi dà qualche dritta e mi passa i suoi "diavoletti" in miniatura sai che test

Voglio proprio vedere se IE 9 regge all'urto

[developerwinme]

Riguardo alla sandbox di IE9,non ho programmato nessun test: aspetto la versione definitiva per esprimere un giudizio.Per il momento affilo le armi: sto preparando degli scriptini anti-Sandbox niente male,se il mio amico programmatore mi dà qualche dritta e mi passa i suoi "diavoletti" in miniatura sai che test Voglio proprio vedere se IE 9 regge all'urto

A questo punto ci aspettiamo un MegaTest della sicurezza dei browser (con IE9, Firefox 4, Chrome 9 e Opera 11).

Detto questo, voglio solo aggiungere che la Modalità Protetta di IE 9, per come è progettata, è più simile al sistema presente in Chrome di quanto possiate pensate e infatti sono convinto che il test metterà in luce che il livello di sicurezza è lo stesso.

[sampei.nihira]

Premetto che io non sono un esperto di I.E.9 anzi proprio di I.E.

Un ottimo utente italiano,il migliore che conosco (dopo Maone ovviamente) che ha redatto una guida su Noscript per Firefox,veramente approfondita nei minimi particolari, ha raccolto altrove le falle (sfruttabili ovviamente) presenti in I.E.
Le ho contate,sono 8 e solo 1 di queste (ma riguarda le informazioni personali memorizzate nei browser) è comune agli altri browser web,sempre secondo lui ovviamente.

[farbix89]

A questo punto ci aspettiamo un MegaTest della sicurezza dei browser (con IE9, Firefox 4, Chrome 9 e Opera 11).

Non è male come idea

[Riverside]

Magari tutti usassero Sandboxie o Returnil

Basterebbe sensibilizzare maggiormente l'attenzione degli utenti.

sono quei tipi di software che Microsoft dovrebbe acquistare e inserire di default nel sistema operativo.

Con IE9 lo ha fatto.

Riguardo alla sandbox di IE9,non ho programmato nessun test: aspetto la versione definitiva per esprimere un giudizio.
Per il momento affilo le armi: sto preparando degli scriptini anti-Sandbox niente male,se il mio amico programmatore mi dà qualche dritta e mi passa i suoi "diavoletti" in miniatura sai che test

In attesa dei tuoi test, mirati a verificare se:

..... IE 9 regge all'urto

segnalo che Internet Explorer 9 è stato escluso dalla lista dei browser "testati" nel prossimo Pwn2Own (hum .... chissà quale è la ragione )

[farbix89]

segnalo che Internet Explorer 9 è stato escluso dalla lista dei browser "testati" nel prossimo Pwn2Own (hum .... chissà quale è la ragione )

In effetti

Due ipotesi:

1)ormai non credono più al fattore "sicurezza" in IE,e piuttosto che ricoprire di fango il prodotto,Microsoft si è attivata per non farlo partecipare (molto più probabile )

2)IE è talmente migliorato dal punto di vista della sicurezza,che non vogliono che superi Firefox (che ha fatto della sicurezza uno dei suoi cavalli di battaglia contro IE )...quindi nel dubbio meglio escluderlo e giustificarsi con il punto 1 (teoria complottistica,ma non del tutto improbabile )

In attesa dei tuoi test, mirati a verificare se:

..... IE 9 regge all'urto

Ma non solo: voglio verificare anche Opera e Firefox,nonchè Chrome e Safari....tutti sullo stesso piano (mi piace fare test il più imparziali possibili).

[developerwinme]

Due ipotesi:

Ne azzardo una terza: non è che proveranno la 8. perché accettano solo software in versione finale e stabile?

[Riverside]

Ne azzardo una terza: non è che proveranno la 8. perché accettano solo software in versione finale e stabile?

Pare vogliano escludere anche Firefox 4 beta.
In ogni caso credo che la ragione sia più semplice: per scovare una vulnerabilità che faccia crashare un browser credo ci vogliano mesi di lavoro: IE9 RC e la beta di Firefox 4 sono troppo recenti e un pochino più rognosi dei rispettivi predecessori.

[winman]

Dico io ci voleva Firefox e Chrome per creare un Internet Explorer decente ?
Allora W la concorrenza !!!