Link alla notizia: http://www.hwupgrade.it/news/sicurezza/chrome-frame-puo-essere-insicuro-lo-dice-microsoft_30231.html

Microsoft ha rilasciato una dichiarazione nella quale afferma come l'utilizzo di Chrome Frame può esporre il PC a potenziali problemi di sicurezza

Click sul link per visualizzare la notizia.

ma LOL.. cosa mi tocca di sentire :doh:
Raddoppiare la "potenziale area di attacco" di Exploder e' virtualmente impossibile ;)

ma LOL.. cosa mi tocca di sentire :doh:
Raddoppiare la "potenziale area di attacco" di Exploder e' virtualmente impossibile ;)

domanda:
come fai a garantire la sicurezza di un software se il codice che gira sotto non lo hai fatto tu ?

la questione posta dalla MS è ovvia.

la questione posta dalla MS è ovvia.


come non quotare ?!! ;)

Non so come funzioni esattamente ma MS potrebbe aver ragione nel caso che i plugin di IE girassero al di fuori della modalita' protetta (da Vista in poi) di IE.

ma LOL.. cosa mi tocca di sentire :doh:
Raddoppiare la "potenziale area di attacco" di Exploder e' virtualmente impossibile ;)

Non tanto.
Con google frame non solo puoi attaccare IE, ma pure Chrome, in maniera semplicistica. Quindi l'area d'attacco (che brutto termine) "raddoppia".

Oltre alle possibili implicazioni dovute all'interoperabilità fra i due, che potrebbero creare bug a go go.

non solo google ha tentato di migorare IE...pure MS sparlaXD

Capisco l'uscita di Microsoft, tuttavia credo che chi voglia usare un altro browser non si limiterà ad installare un plugin simile.

domanda:
come fai a garantire la sicurezza di un software se il codice che gira sotto non lo hai fatto tu ?

la questione posta dalla MS è ovvia.non diglielo altrimenti gli tocca pensare stavolta prima di scrivere e non credo ne abbia voglia :Prrr:

Capisco l'uscita di Microsoft, tuttavia credo che chi voglia usare un altro browser non si limiterà ad installare un plugin simile.

Infatti l'intenzione di Google mi pare non sia quella di far cambiare browser a chi utilizza IE8.
Con quel plugin viene inserito pure il supporto ad HTML5, fondamentale per alcuni servizi di Google.

La cosa potrebbe essere parzialmente valida su IE 8 sotto vista e Win7.
Mentre è priva di logica con IE 6 e 7, anzi forse cosi diventano anche più sicuri...

Ma a questo punto a me viene spontanea una domanda, ma il disorso non è altrettanto valido per tutti i plug-in? E soprattutto è valido per il plug-in di FF ie Tab? Se si appena torno lo disinstallo tanto non lo uso mai :)

E' cosa risaputa che qualunque plug-in sia una potenziale minaccia. Dipende da quello che fa e dalla bravura di quello che lo ha scritto (il plug-in)

Perchè pensi che su IE in tutte le varie versioni di plug-in non si siano mai visti ??
Pensi che alla MS non li sappiano fare ?!?

Prendi FireFox, prova FireBug e Ajax e capisci di cosa parlo :D

Però i plug-in di Firefox & C. sono troppo comodi da poterci rinunciare :D

Vabè, codice=bug=potenziali exploit, che scoperta.
Ma se fosse davvero estremamente pericoloso allora non dovrebbe esistere nessun plugin, perchè il discorso si può estendere a tutto.

La realta è che questo plugin rende inutile la vera esistenza di IE per la MS, se non può condizionare cosa è compatibile e cosa no, cosa va veloce e cosa no, avere il possesso del browser più diffuso non serve a nulla, diventa una semplice feature del SO, e neppure una particolarmente importante.

Perché MS non fa la voce grossa con Adobe, il plugin Flash è una groviera da una vita.
Lo fa con Google perché con questo plugin viene fuori l'arretratezza di IE, la lentezza, l'enorme consumo di RAM e la minore aderenza agli standard.

E' cosa risaputa che qualunque plug-in sia una potenziale minaccia. Dipende da quello che fa e dalla bravura di quello che lo ha scritto (il plug-in)
Dipende da come opera il codice che ospita il plug-in. Se è costruito per farlo operare isolato (tipo sandbox) non vedo il problema, se è costruito per cedere il controllo al plug-in è un chiaro atto di fiducia infinita verso gli altri. :D

Perchè pensi che su IE in tutte le varie versioni di plug-in non si siano mai visti ??
Pensi che alla MS non li sappiano fare ?!?

MS non era interessata: semplicemente voleva poter indicare l'esistenza di plug-in per non avere una lista funzioni peggiore della concorrenza. ;)

Vabè, codice=bug=potenziali exploit, che scoperta.
Ma se fosse davvero estremamente pericoloso allora non dovrebbe esistere nessun plugin, perché il discorso si può estendere a tutto.

La realtà è che questo plugin rende inutile la vera esistenza di IE per la MS, se non può condizionare cosa è compatibile e cosa no, cosa va veloce e cosa no, avere il possesso del browser più diffuso non serve a nulla, diventa una semplice feature del SO, e neppure una particolarmente importante.
Hai ragione: tra tutte le giustificazioni che si fanno fuorviare dall'aspetto tecnico, la tua mi sembra una osservazione che punta al vero cuore del problema. Mi associo. :) (dico davvero, non sono ironico!)

Mi viene un dubbio:

Se navigo con Ie e il Chrome Frame come vengo visto dall'altra parte?
Come utilizzatore di Ie o di Chrome?

Penso che se è vera la seconda e il plug in si diffonde in fretta come acceleratore di IE, vi immaginate le quote di utilizzo di IE come caleranno in fretta a discapito di Chrome?

mah non credo neanche tanto visto che a livello mondiale i grandi numeri di utilizzo di un browser li fanno i "non smanettoni" che utilizzano IE per il solo cazzeggio / lavoro e a stento sanno che l'icona che devono premere è la "e" blu…figurati installare un plugin.
A mio modo di vedere gli unici che possono installare questo plugin e ne conoscono l'esistenza sono quasi tutti già utilizzatori di altri browser o seri sostenitori di IE che già hanno scartato un passaggio a un altro programma.

Comunque seppur non sono un simpatizzante Microsoft le loro dichiarazioni sulla sicurezza non sono affatto errate in quanto non dichiarerebbero mai sicuro un plugin che non sia stato certificato e analizzato da loro.

Sono un grande fan di Firefox e Chrome e non uso IE se non per il Windows Update ma mi diverte vedere che ogni volta che c'è 1 qualsivoglia notizia che accusa Microsoft la gente è già con le forche alzate che si aizza contro ^^

Ma a livello di sicurezza c'è qualche altro browser peggiore di Chrome?
Parlo delle ultime versioni non mi tirate fuori ie6 o ns4.

appena provato : non ho visto nessuna differenza attivato/dissativato sullo stesso sito non cambia assolutamente niente

come sempre questi pseudo test di velocita' non servono a na cippa

@dotlinux si, tutti gli altri
Chrome per adesso è l'unico browser che al pwn2own non è stato violato. La struttura a sandbox lo rende molto più difficile da attaccare poichè è necessario trovare non solo un exploit nel motore di rendering ma anche nella sandbox, è necessario trovare un modo per sfruttarli insieme e poi magari bypassare lo UAC se ci si trova su una versione di windows rece... oh scusa, volevi solo fare FUD come al tuo solito, ignora questo post ;)


@Anac

Il plugin dovrebbe inserirsi solo quando viene "chiamato" attraverso una linea nel codice html, altrimenti chi lo installa si ritroverebbe ad avere tutti i problemi di incompatibilità di chi cambia browser, e nessuno lo userebbe.
Lo scopo di google è di rendere IE compatibile con i suoi futuri servizi (come Wave) in maniera trasparente. Sul resto del web non cambierà nulla.

Ma a livello di sicurezza c'è qualche altro browser peggiore di Chrome?
Parlo delle ultime versioni non mi tirate fuori ie6 o ns4.
Tra i primi che vengono in mente, direi Explorer 8, Firefox 3.5.3, Opera 10, Safari 4.
Leggi qua, si parla di quello che ti ha detto anche Pikazul: http://www.appuntidigitali.it/3519/ie8-firefox-e-safari-ko-in-pochi-minuti-cose-successo-al-pwn2own/

Ti cito un pezzo:
Chrome è stato quindi l’unico browser, tra quelli in gara, ad aver resistito. Questo è un fatto, che va però interpretato. Alla domanda se fosse sorpreso che Chrome sia stato l’unico browser a stare in piedi, Miller risponde: “Ci sono dei bugs in Chrome, ma sono molto difficili da sfruttare. I ho una vulnerabilità in Chrome proprio ora ma non so come sfruttarla, è veramente complesso. Il browser ha quel modello a sandbox che è difficile da scavalcare. Con Chrome è una combinazione di cose: non puoi eseguire codice nel heap, ci sono le protezioni di Windows e poi la sandbox. I posso avere questo bug e posso anche essere in grado di ottenere l’esecuzione di codice, ma sono nella sandbox e non ho i permessi per fare niente. Ci vorrebbe un altro bug per uscire dalla sandbox. Alla fine quindi hai bisogno di due bugs e due relativi exploits”.

Tra i primi che vengono in mente, direi Explorer 8, Firefox 3.5.3, Opera 10, Safari 4.
Leggi qua, si parla di quello che ti ha detto anche Pikazul: http://www.appuntidigitali.it/3519/ie8-firefox-e-safari-ko-in-pochi-minuti-cose-successo-al-pwn2own/

Ti cito un pezzo:
Articolo molto interessante... dovrebbero leggerlo TUTTI e non solo gli utenti Windows ;)

Si ma qui non si parla di Chrome nel suo complesso con la sandbox, ma del suo motore di rendering piazzato in IE come plugin.

Cmq non so a voi ma a me non preoccupano queste guerre di marketing...

"In particolare, Microsoft sottolinea che Chrome Frame funzionando come plug in raddoppia la potenziale area di attacco per i malware"

il doppio di ∞ quant'è? :asd:

Perchè pensi che su IE in tutte le varie versioni di plug-in non si siano mai visti ??
Pensi che alla MS non li sappiano fare ?!?



Han preferito fare gli ActiveX...che son peggio dei plug-in :D

Idea geniale quella di Google.
M$ ora sta rosicando!! Ahah :p

E poi da che pulpito! IE è sempre stato il browser più bacato della terra, quello che ha creato un INDUSTRIA di produttori di virus!!!

A me sinceramente chrome piace, ma uso principalmente mozilla, poi safari, opera ed infine explorer8 solo per visualizzare le jpg.
Explorer è munnezza! E' insicuro gia di suo, figuriamoci. Gli activeX fastidiosi ed inutili tral'altro.
Ma che facciano qualcosa di buono, piuttosto di lamentarsi sempre! Sono peggio dell' EA, lagnosi.

Idea geniale quella di Google.
M$ ora sta rosicando!! Ahah :p

E poi da che pulpito! IE è sempre stato il browser più bacato della terra, quello che ha creato un INDUSTRIA di produttori di virus!!!

Forse anche perché per un lungo periodo di tempo era l'unico.

Ad ogni modo IE7 e 8 hanno fatto notevoli passi in avanti, ma c'è ancora molto da fare... poi tutti si lamentano di ActiveX, ma oltre a chiedere la conferma per l'installazione, si possono disattivare.

Non tanto.
Con google frame non solo puoi attaccare IE, ma pure Chrome, in maniera semplicistica. Quindi l'area d'attacco (che brutto termine) "raddoppia".

Oltre alle possibili implicazioni dovute all'interoperabilità fra i due, che potrebbero creare bug a go go.

Falso, usa pur sempre un motore solo e non due contemporaneamente. Quindi a seconda se usi il plugin o meno soffri di alcuni bug o di altri, notare il O e non E.
Se uno usa solamente il plugin soffrira' solo dei bug di Chrome perche' il motore di IE7 in quel dato momento NON e' in uso.

Come al solito mette zizagna quando non riesce a smentire i fatti.

Forse anche perché per un lungo periodo di tempo era l'unico.

Ad ogni modo IE7 e 8 hanno fatto notevoli passi in avanti, ma c'è ancora molto da fare... poi tutti si lamentano di ActiveX, ma oltre a chiedere la conferma per l'installazione, si possono disattivare.
Il 7 aveva ben pochi passi in avanti se non nell'interfaccia, l'8 comincia a far qualcosina verso gli standard...
http://www.webdevout.net/browser-support-summary?IE6=on&IE7=on&IE8=on&FX3=on&OP9=on&uas=CUSTOM

non e' + molto aggiornato, ma nota tra IE6 e 7 che gran differenza c'e'... molto poca!

Il 7 aveva ben pochi passi in avanti se non nell'interfaccia, l'8 comincia a far qualcosina verso gli standard...
http://www.webdevout.net/browser-support-summary?IE6=on&IE7=on&IE8=on&FX3=on&OP9=on&uas=CUSTOM

non e' + molto aggiornato, ma nota tra IE6 e 7 che gran differenza c'e'... molto poca!

Parlavo in termini di sicurezza, purtroppo a livello di standard IE8 rimane indietro rispetto ai concorrenti.

Fa bene la microsoft ad arrabbiarsi, google se gli tocchi il suo giocattolo fa uguale, vedi cyanogen...
http://www.android-os.it/2009/09/26/ma-android-non-era-un-sistema-open/

Secondo il mio modesto parere Google questa volta è stato proprio scorretto al massimo, non si va a modificare i programmi altrui causando poi anche confusione tra gli utenti stessi!!!

Per me Microsoft questa volta avrebbe tutto il diritto di sporgere denuncia.

Ma vi rendete conto del caos che tutto ciò potrebbe causare tuto ciò?
Gli utenti andrebbero a trovarsi davanti un browser con una diversa visualizzazione rispetto a quella classica comportanto non pochi problemi ai meno esperti e i webmaster poi non sarebbero più a conoscenza del vero motore di rendering dell'utente.

Se proprio vogliono provare quello schifo di browser (perchè chrome altro non è che uno schifo per adesso, un mix di interfacce e motori che non gli appartengono, vedi webkit e l'interfaccia copiata per alcuni punti da firefox e opera) lo possono tranquillamente installare a parte.

Per me ora come ora Google ha solo voluto accaparrarsi ancora più utenti consapevole del fatto che il suo browser per adesso ha un interfaccia utente troppo spartana e scadente rispetto alle più curate di Microsoft, Mozilla e Apple.

Sono 4 anni che uso Firefox e ne ho viste tante da quando frequento internet ma stavolta sono alquanto stupefatto.

Forse non hai capito che anche quando questo plugin è installato NON si attiva automaticamente, deve essere l'utente a inserire manualmente una stringa davanti all'indirizzo (e se lo fa vuol dire che è consapevole di quello che succederà!), oppure deve essere il sito ad includere una riga che attiva il plugin, quindi si presume che chi ha sviluppato il sito abbia anche testato il risultato, e se ha deciso di mettere quella riga è perché la visualizzazione migliora o al massimo resta identica, di sicuro se è un sito scritto solo per IE 6 che con Chrome si vedrebbe male lo sviluppatore NON aggiunge quella riga (a meno che sia scemo, ma quello è un altro discorso).

Quindi la confusione che si crea è nulla, se il plugin entra in funzione è perché la cosa è stata richiesta esplicitamente dall'utente stesso o da chi ha scritto il sito.

Poi il tuo commento sul "mix di interfacce e motori che non gli appartengono" non ti fa molto onore... Webkit è open source, e se è per quello non APPARTIENE neanche alla Apple. Entrambe le aziende lavorano per migliorarlo, che male c'è? Cos'avrebbe dovuto fare Google, scrivere da zero un altro motore di rendering, creando ancora più confusione per gli sviluppatori che si sarebbero trovati con la necessità di adattare i siti anche al motore di Chrome? (che SICURAMENTE sarebbe stato molto più indietro di quelli della concorrenza... E vorrei anche vedere, partendo da zero!) Oppure avresti preferito l'adozione di Gecko? E' ovviamente stato valutato, ma hanno stabilito che Webkit è migliore, perché in generale è più compatibile (vedi Acid3, tanto per dirne una) ed è più semplice, ed è molto veloce.
Creare qualcosa di nuovo l'hanno fatto col V8, e visti i risultati direi che hanno avuto decisamente ragione.

Poi dire che Chrome abbia copiato l'interfaccia... Mi viene da pensare che non solo non l'hai mai provato, ma non hai nemmeno mai visto uno screenshot... Va beh. Tra parentesi, sono uscite un po' di anticipazioni, e pare che Firefox in futuro adotterà un'interfaccia alla Chrome. Rassegnati...

Comunque, per la cronaca, i difetti di Chrome sono altri. Su tutti, la pessima gestione dei download (per esempio, non puoi aprire direttamente un file qualunque, tipo un pdf, ma lo devi per forza salvare da qualche parte (specificando il percorso), aprirlo a mano e poi cancellarlo a mano, anziché averlo in una comoda cartella temp; non puoi scegliere con che applicazione aprire i file salvati; l'uso del clic col pulsante centrale del mouse, per aprire un link in una nuova scheda, spesso dà problemi (prova a fare middle-click sul logo di Youtube mentre stai guardando un video, con l'idea di aprire la home page in un'altra scheda e cercare un altro video, senza interrompere quello che hai in corso: riceverai una brutta sorpresa, perché la home page di youtube si apre nella STESSA scheda, interrompendo il video in corso; e ce ne sono altri, di bug legati al middle-click; la cosa strana è che invece cliccare col destro e scegliere "apri link in nuova scheda" funziona perfettamente), l'assenza di supporto ai feed RSS, l'assenza di estensioni (ma quelle sono in arrivo, sono previste per Chrome 4, che credo uscirà attorno a natale), e altre minuzie.