www.MegaLab.it

[farbix89]

Ma manca Windows 8 o sbaglio?

[hashcat]

Ma manca Windows 8 o sbaglio?

É già stato bucato (insieme a IE 10).

“We've pwned MS Surface Pro with two IE10 zero-days to achieve a full Windows 8 compromise with sandbox bypass,” VUPEN wrote on Twitter.

[farbix89]

Addirittura sul Surface Pro....bestiali

[sampei.nihira]

Per chi vuole chiedere qualcosa su Twitter ai ricercatori che hanno bucato Chrome:

http://twitter.com/nils

http://twitter.com/securitea

[farbix89]

Da notare che dicono esplicitamente di aver bucato la sandbox di Chrome "come burro".

Non ci hanno messo troppo

Mi cade definitivamente il mito di Chrome come browser migliore lato security.

[sampei.nihira]

Charlie Miller domanda ironicamente sempre su Twitter ai Super-Hackers del contest perché non hanno abbattuto Safari.
Ed è lieto di usare il browser più "sicuro".

[farbix89]

Alla fine sono caduti tutti,quindi partono tutti sullo stesso piano....DEVONO essere protetti con mezzi ulteriori.

[farbix89]

Ed è lieto di usare il browser più "sicuro".

Il browser più sicuro è il browser sconnesso dalla rete

[sampei.nihira]

Da notare che dicono esplicitamente di aver bucato la sandbox di Chrome "come burro".

Non ci hanno messo troppo

Mi cade definitivamente il mito di Chrome come browser migliore lato security

Farbix sarebbe interessante una domanda in merito proprio per i browser.
E cioè quale secondo loro è quello che ritengono più sicuro.
perché non la esponete a nome di MLI ?

[farbix89]

Farbix sarebbe interessante una domanda in merito proprio per i browser.
E cioè quale secondo loro è quello che ritengono più sicuro.
perché non la esponete a nome di MLI ?

Sembrano molto disponibili anche da Twitter...una domanda informale non costa nulla,vedo di parlarci

[sampei.nihira]

Farbix sarebbe interessante una domanda in merito proprio per i browser.
E cioè quale secondo loro è quello che ritengono più sicuro.
perché non la esponete a nome di MLI ?

Sembrano molto disponibili anche da Twitter...una domanda informale non costa nulla,vedo di parlarci

Grazie, io non sono troppo "avvezzo" all'uso di queste "diavolerie moderne".
E quelle rare volte che ci ho provato non ho ottenuto risposta.
Dev'essere una mia "incompatibilità".

[farbix89]

Attualmente il più sicuro è Chrome.

Sia per la struttura del codice che per la rapidità degli aggiornamenti.

[developerwinme]

Attualmente il più sicuro è Chrome.

Sia per la struttura del codice che per la rapidità degli aggiornamenti.

Senza dubbio, anche se lato design anche IE10 non è male e sugli aggiornamenti la politica di MS complessivamente sembra funzionare abbastanza bene.

Io non mi sorprenderei,viste le forze in gioco.

Attualmente c'è un divario ENORME tra le conoscenze di questi tizi e i "buoni" (esperti di sicurezza e programmatori).

I buoni inseguono,e i tizi ridono...trasformano tutto in burro

Sinceramente credo che da entrambe la parti ci siano esperti davvero di spessore: il fatto è che progettare un sistema senza difetti è molto più difficile di trovarne uno o più in un altro (operazione comunque tutt'altro che facile). Inoltre, la scoperta di un difetto è molto più pubblicizzata della difficoltà necessaria a scoprirlo e del numero di "muri" su cui chi fa queste cose è sbattuto prima di riuscirci.

Quindi non credo che sia giusto nei confronti di chi progetta e realizza sistemi e software, che hanno realmente livelli di sicurezza molto elevati da un paio di anni a questa parte, definirli una lamina d'alluminio.

Farbix sarebbe interessante una domanda in merito proprio per i browser.
E cioè quale secondo loro è quello che ritengono più sicuro.
perché non la esponete a nome di MLI ?

Sembrano molto disponibili anche da Twitter...una domanda informale non costa nulla,vedo di parlarci

Interessante.

[farbix89]

Lamina d'alluminio per chi sa dove mettere le mani..sia chiaro.

Infatti quelli veramente bravi (a questi livelli) sono davvero pochi e già tutti lavorano come consulenti per le software house.

Finché sono dalla parte dei buoni non mi preoccuperei tanto.

[farbix89]

Per dirla onestamente : Surface Pro e IE10 hanno resistito meno di tutti

Non una grandissima pubblicità per il prodotto (Win8) venduto come il più sicuro della storia di MS.

[developerwinme]

Per dirla onestamente : Surface Pro e IE10 hanno resistito meno di tutti […]

Gli exploit vengono sviluppati ben prima della competizione, e spesso richiedono settimane o mesi: il tempo necessario per dimostrare l'esistenza del bug alla competizione dipende in larghissima misura solo dalla presenza o meno di eventuali imprevisti durante la dimostrazione (es. bug corretti all'ultimo secondo, come ha più volte fatto Google) e in piccola parte dal tempo necessario a predisporre l'attacco.

C'è poca correlazione tra la difficoltà dell'attacco e il tempo necessario, per tutti i prodotti.

Non una grandissima pubblicità per il prodotto (Win8) venduto come il più sicuro della storia di MS.

Non una buona pubblicità, nel senso proprio di "pubblicità", perché se si va un po' più a fondo si vede che le cose stanno come dico sopra (il che poi non toglie che magari il problema di IE possa essere il più grave di tutti, ma non è sicuramente una condizione sufficiente per affermarlo).

Lamina d'alluminio per chi sa dove mettere le mani..sia chiaro.

Quello che volevo dire è che neanche per chi sa dove mettere mani si tratta di lamina d'alluminio: a volte una singola nuova funzionalità di sicurezza (vedi ASLR ai tempi di Vista/7, che aveva allungato lo sviluppo di un exploit di 2 settimane, quando ne era stata necessaria meno della metà per superare le restanti difese) può complicare le cose non poco.

Lamina d'alluminio per chi sa dove mettere le mani..sia chiaro.

Infatti quelli veramente bravi (a questi livelli) sono davvero pochi e già tutti lavorano come consulenti per le software house.

Finché sono dalla parte dei buoni non mi preoccuperei tanto.

[farbix89]

E se uno di questi improvvisamente passa al lato oscuro della forza? So cavoletti amari per tutti

[hashcat]

@farbix89

Già che ci sei potresti chiedere un giudizio su Opera?

[The Walking Dead]

(es. bug corretti all'ultimo secondo, come ha più volte fatto Google)

Quoto.
La politica di MS non prevede di rilasciare patch in anticipo rispetto alla data mensile prefissata, in quanto in MS non ritengono una manifestazione tra sviluppatori argomento sufficiente per accellerare i tempi di rilascio a scapito della qualità del codice.
Da notare come si è reso indispensabile sfruttare ben due vulnerabilità per avere la meglio di IE, chiaro sintomo di come la politica di rendere più difficile lo sfruttamento di un attacco abbia funzionato.
Interessante è anche il fatto che IE insieme a Chrome aveva la taglia più alta, ciò è indice della difficoltà maggiore nel bucare questi browser.

[sampei.nihira]

Anche io mi accodo alla richiesta di Has per un giudizio su Opera (ma sotto tutela sandboxIE).

Se domanderete a questi tizi qual è il browser più sicuro loro diranno sempre Chrome.
E questo loro giudizio è quasi all' 80 % dovuto al fatto che Chrome ha una user-sandbox.
Una user-sandbox ovviamente fallibile visto che nei vari anni è sempre stata "bucata".

Voi direte si ma adesso hanno patchato la falla (e quasi certamente il 12 c.m.MS correrà ai ripari per il bug del kernel) e quindi da oggi Chrome è sicuro.
Errore.
E' si più sicuro di prima, ma non si può dire che sia sicuro.
perché il calcolo delle probabilità ci dice che i bugs non ancora scoperti, ma presenti, sono sicuramente in numero superiore a quelli portati alla luce.

Lo stesso calcolo delle probabilità ci dice che comparando SandboxIE alla user-sandbox di Chrome quest'ultima ne esce sconfitta.

Ma anche in questo caso i soliti tizi non vi daranno una risposta certa perché entrano in gioco altri fattori fondamentali uno di questi è il tipo di utente che userà il browser,poi eventuali plugin esterni rispetto a quelli interni di Chrome......e via dicendo.

Alcuni di questi "mostri" siccome pensano in sintonia (gli opposti si attraggono sempre) con i loro colleghi del "lato oscuro della forza" cercano di stare "fuori zona bersaglio".
E quindi preferiscono usare browser e quanto altro che hanno una debole diffusione mondiale.

Quindi una domanda interessante per noi tutti potrebbe essere.

Si ma tu personalmente (non per lavoro e/o dovere) quale browser sei solito preferire ed in quale OS ?

Se la dicono giusta....... e/o non fanno come i cercatori di funghi......