Google Chromium con sandbox per Adobe Flash Player

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/google-ch...yer_34659.html

Gli sviluppatori di Google Chrome hanno rilasciato una release beta del browser che mette a disposizione una sandbox dedicata a Adobe Flash Player

Click sul link per visualizzare la notizia.

[mindless]

Certo che Flash e' davvero il male... addirittura una sandbox per farlo girare!!!

[CountDown_0]

Flash è il male perché è in una sandbox? Allora lo sono anche l'HTML e Javascript...

Quote:

Originariamente inviato da Articolo

Chrome offre sandbox anche per l'esecuzione di JavaScript e il rendering dell' HTML

[mindless]

...per html e javascript mi sembra scontato, per flash no!

[MaxArt]

Quote:

Originariamente inviato da mindless

...per html e javascript mi sembra scontato, per flash no!

Semmai il contrario! Sicuramente è Flash che accessibile le risorse locali più degli altri, prestandosi maggiormente a problemi di sicurezza.

[djfix13]

a me sa tanto di marketing anche qui...le mille mila funzioni di Chrome non le ha nessuno...capisco far girare flash su processo separato data l'instabilità stessa del plug-in ma addirittura metterla in sandbox... farebbe comodo un intervento di chi è nel settore della sicurezza a commentare questa novità esclusiva Google

[CountDown_0]

Un intervento di un esperto del settore? Pronti: http://www.oneitsecurity.it/01/03/20...iller-pwn2own/
Ti cito un pezzo:

Quote:

"Secondo te, qual è la combinazione sistema operativo+browser più sicura da usare?"

"Questa è una buona domanda. Chrome o IE8 su Windows 7 senza Flash installato. Probabilmente non ci sono differenze sufficienti tra i browser per discuterne più di tanto. La cosa principale è non installare Flash"

Tra parentesi, leggere l'articolo è interessante per spazzare via un po' di leggende metropolitane... Tipo che Linux è più sicuro di Windows, Firefox è più sicuro di Explorer... Ma va beh.

[hexaae]

Ricordo a tutti che IE8/9 su Vista/7, con UAC attivo, girano già da tempo (circa 3 anni) in una Modalità Protetta più sofisticata anche di quella di Chrome (i cui plugin restano/avano scoperti) che vi è arrivato solo dopo... Ma MS è meno furba e abile di Google a reclamizzare le cose buone che introduce talvolta prima degli altri e fa notizia solo in negativo.

Leggendo la documentazione inoltre, si parla di seri problemi con certe applicazioni e siti Web che non funzionano nell'attuale implementazione della sandbox per il Flash di Chrome. Tutti si augurano verrano risolti (la colpa è nel funzionamento del plugin flash stesso che se eccessivamente isolato causa incompatibilità. Colpa di Adobe), ma al momento funziona male.

Infine ricordo a tutti che FFox (o Opera) è il meno sicuro tra i browser più diffusi proprio perché a differenza di IE o Chrome non implementa ancora uno straccio di Modalità Protetta (sandboxing), sebbene venga aggiornato spesso.

[CaFFeiNe]

ehm countdown, un po' vecchiotto...
chrome da allora ha fatto passi avanti in tante cose....

[CountDown_0]

Quote:

Originariamente inviato da hexaae

Ricordo a tutti che IE8/9 su Vista/7, con UAC attivo, girano già da tempo (circa 3 anni) in una Modalità Protetta più sofisticata anche di quella di Chrome (i cui plugin restano/avano scoperti) che vi è arrivato solo dopo... Ma MS è meno furba e abile di Google a reclamizzare le cose buone che introduce talvolta prima degli altri e fa notizia solo in negativo.

Leggendo la documentazione inoltre, si parla di seri problemi con certe applicazioni e siti Web che non funzionano nell'attuale implementazione della sandbox per il Flash di Chrome. Tutti si augurano verrano risolti (la colpa è nel funzionamento del plugin flash stesso che se eccessivamente isolato causa incompatibilità. Colpa di Adobe), ma al momento funziona male.

E' vero che IE riesce a proteggere i plugin, cosa che Chrome non riesce a fare, anche se non ho capito bene il perché (forse perché i plugin per IE usano ActiveX? Sto solo ipotizzando, non so come stiano le cose). Comunque gli sviluppatori di Chrome stanno lavorando a questo da un bel po', e appunto pare che siano a buon punto con Flash. Ad ogni modo si può lanciare Chrome con l'opzione "--safe-plugins", ma poi bisogna vedere se i plugin funzionano o se si bloccano...
Ma a parte i plugin, la sandbox di Chrome è molto più sofisticata del meccanismo di protezione di IE. IE usa gli integrity levels di Vista/7, mentre la sandbox di Chrome funziona tranquillamente anche con XP. Se poi Chrome trova che il sistema operativo supporta gli integrity levels, benone, usa anche quelli... Ma sono ridondanti, e di per sè sono meno efficaci. Se ne parla qui in un'intervista a uno di Google, e anche nella documentazione ufficiale di Chrome, qui. Per la precisione si dice:

Quote:

In Vista and later, extra capabilities are introduced to lock down a process, namely “integrity levels.” Chrome applies low integrity on top of the normal restrictions applied by the Chrome sandbox on both XP and Vista.

e

Quote:

You'll notice that the previously described attributes of the token, job object, and alternate desktop are more restrictive, and would in fact block access to everything allowed in the above list. So, the integrity level is a bit redundant with the other measures, but it can be seen as an additional degree of defense-in-depth, and it's use has no visible impact on performance or resource usage.

@CaFFeiNe: l'articolo è vecchiotto come data, ma il contenuto è ancora attuale... A parte la notizia che stiamo commentando adesso, non mi risulta ci siano stati grandi migliorie nella sicurezza dei browser. Chrome, in particolare, che passi avanti avrebbe fatto, a parte correggere un po' di bug? Ha integrato Flash, che così si autoaggiorna; ha integrato un lettore PDF, che ora è protetto dalla sandbox (e quindi rientra nel discorso che stiamo facendo ora); sono stati fatti, appunto, progressi per sandboxare Flash. Cos'altro?

[Stappern]

Quote:

Originariamente inviato da CountDown_0

Un intervento di un esperto del settore? Pronti: http://www.oneitsecurity.it/01/03/20...iller-pwn2own/
Ti cito un pezzo:


Tra parentesi, leggere l'articolo è interessante per spazzare via un po' di leggende metropolitane... Tipo che Linux è più sicuro di Windows, Firefox è più sicuro di Explorer... Ma va beh.

a quindi da oggi VISTA è piu sicuro di linux perchè lo ha detto sto tipo?

[sociologo]

"
Infine ricordo a tutti che FFox (o Opera) è il meno sicuro tra i browser più diffusi proprio perché a differenza di IE o Chrome non implementa ancora uno straccio di Modalità Protetta (sandboxing), sebbene venga aggiornato spesso. "

E la marmotta incarta la cioccolata!

"Ricordo a tutti che IE8/9 su Vista/7, con UAC attivo, girano già da tempo (circa 3 anni) in una Modalità Protetta più sofisticata anche di quella di Chrome (i cui plugin restano/avano scoperti) che vi è arrivato solo dopo... Ma MS è meno furba e abile di Google a reclamizzare le cose buone che introduce talvolta prima degli altri e fa notizia solo in negativo."

Ma l'UAC non è come meno sicuro che richiedere la password per instllare, come si fa su linux?
No perché uno clicca e addio UAC...

E mi spiegate come si fa a navigare senza Flash?

Cmq firefox ha flash in un processo separato e chromium ha aggiunto una sandbox, cosa che si può già fare se si installa un programma che si chiama, gaurda un pò, sandboxie e si può usare anche con eMule!
Novità inutile quella di chromium che è solo propaganda acchiappa troll!

[WarDuck]

Quote:

Originariamente inviato da Stappern

a quindi da oggi VISTA è piu sicuro di linux perchè lo ha detto sto tipo?

Vista e 7 a livello intrinseco sono sicuri almeno quanto linux.

Comunque il discorso su Flash è un po' assurdo, su alcuni siti è necessario averlo, semmai si può usare una whitelist per poterlo avviare solo in determinati siti (youtube, google maps, flashgames, friv ).

Poi è passato in sordina il fatto che Adobe nella nuova versione X di Adobe Reader abbia messo su una sandbox sfruttando gli Integrity Levels, è bene saperlo secondo me.

[fendermexico]

Quote:

Originariamente inviato da Stappern

a quindi da oggi VISTA è piu sicuro di linux perchè lo ha detto sto tipo?

il motivo è banale: linux è semplicemente il meno attaccato da malware vari perchè tanto rappresenta una esigua fetta di mercato.

faccio una analogia:
è come paragonare New York a un tranquillo paesino.
il paesino non è più *sicuro* per risorse difensive... ma lo è solo perchè nessuno lo *attacca*
studiandone 10000 modi diversi di attaccarlo.


bene o male se attaccassero new york ci sono migliaia di poliziotti e militari pronti in zona e qualcosa possono fare, non è detto che le forze
difensive vincano ma ci provano.
se attaccano un paesino dove ci sono 2 poliziotti e 1 vigile urbano viene distrutto in pochi secondi.

quindi è vero che nei paesini tendenzialmente si sta più tranquilli che new york...ma è relativo alla volontà di chi vuole attaccare...se dovesse cambiare obiettivo...

[CountDown_0]

Quote:

Originariamente inviato da Stappern

a quindi da oggi VISTA è piu sicuro di linux perchè lo ha detto sto tipo?

Vediamo un po', a chi dovrei credere: a un ricercatore di sicurezza di fama mondiale, che ha al suo attivo robette come l'essere stato il primo a fare un jailbreak per iPhone, a trovare una falla in Android, e l'aver vinto per ben 3 volte una gara come il pwn2own... Oppure ad un fanboy a caso?

Mmh, sì, credo che darò retta al fanboy, direi che le sue credenziali sono molto migliori.

@Sociologo: le marmotte possono incartare tutta la cioccolata che vuoi, ma che Firefox non giri in modalità protetta, a differenza di Chrome e IE, resta un dato di fatto. Poi prendila come vuoi...
UAC richiede solo un click se si è amministratori (e comunque mi sembra si possa impostare in modo che la password la richieda lo stesso), ma se si è utenti normali la password va inserita. Dopodiché, scusami ma non ho voglia di imbarcarmi nella solita discussione pro/contro UAC...
Per quel che riguarda i plugin, è vero, anche Firefox li esegue in un processo separato, dalla 3.6.4; in quanto a sandboxie: hai idea del fatto che lo userà lo 0.0001% degli utenti di Firefox, mentre la sandbox di Chrome la usano il 100% degli utenti? Se a te sembra poco...

In quanto a navigare senza Flash, sono d'accordo anche io che è troppo limitante... Ma nessuno ci obbliga a disattivarlo! Charlie Miller ha solo detto che Flash comporta dei rischi: se uno non è disposto a rinunciare ai contenuti Flash, deve rassegnarsi a correre quei rischi. Tutto qui.

[fendermexico]

imho per essere sicuri sul flash senza rinunciarci si può cominciare col mettere un flash-blocker
e cliccare "play" solo sui riquadri flash bloccati che
vedete in siti affidabili o famosi.

oltretutto si evitano pure tante pubblicità

non sarà ultrasicuro al 100%, ma riduce la possibiltà di moooooooooooooooolto.

[Stappern]

Quote:

Originariamente inviato da CountDown_0

Vediamo un po', a chi dovrei credere: a un ricercatore di sicurezza di fama mondiale, che ha al suo attivo robette come l'essere stato il primo a fare un jailbreak per iPhone, a trovare una falla in Android, e l'aver vinto per ben 3 volte una gara come il pwn2own... Oppure ad un fanboy a caso?

Mmh, sì, credo che darò retta al fanboy, direi che le sue credenziali sono molto migliori.

@Sociologo: le marmotte possono incartare tutta la cioccolata che vuoi, ma che Firefox non giri in modalità protetta, a differenza di Chrome e IE, resta un dato di fatto. Poi prendila come vuoi...
UAC richiede solo un click se si è amministratori (e comunque mi sembra si possa impostare in modo che la password la richieda lo stesso), ma se si è utenti normali la password va inserita. Dopodiché, scusami ma non ho voglia di imbarcarmi nella solita discussione pro/contro UAC...
Per quel che riguarda i plugin, è vero, anche Firefox li esegue in un processo separato, dalla 3.6.4; in quanto a sandboxie: hai idea del fatto che lo userà lo 0.0001% degli utenti di Firefox, mentre la sandbox di Chrome la usano il 100% degli utenti? Se a te sembra poco...

In quanto a navigare senza Flash, sono d'accordo anche io che è troppo limitante... Ma nessuno ci obbliga a disattivarlo! Charlie Miller ha solo detto che Flash comporta dei rischi: se uno non è disposto a rinunciare ai contenuti Flash, deve rassegnarsi a correre quei rischi. Tutto qui.

scusa ma stai male?

sarei un fanboy perchè non credo che windows sia piu sicuro di linux?

fatti vedere

[sociologo]

Ahhhhhh , CountDown_0 ....
Qua si parla senza sapere che ff può bloccare flash e farlo usare quando serve!
Hai citato un hacker-giornalista ma l'articolo di quanto tempo fa è?
E l'UAC come lo descrivi tu non ha senso, se sono amministratore, e non l'ho mai trovato come dici tu.
Linux è più sicuro perché mai sotto attacco?
E perché non lo è mai?

E infine:
Ma MS ti paga?
Se si spende male i suoi soldi visto che blateri , fai esempi e alla fine non fai altro che gettare tu fango su windows!
Ps ma non si stava parlando di Chromium e flash?
Hai scatenato un bel flame, complimenti!

[CountDown_0]

Quote:

Originariamente inviato da Stappern

scusa ma stai male?

sarei un fanboy perchè non credo che windows sia piu sicuro di linux?

fatti vedere

Fammi capire: tu, un signor nessuno, ti metti a sghignazzare di fronte alle affermazioni di un esperto di fama mondiale... E mi dici di non essere un fanboy? Va bene, allora non sei un fanboy, sei soltanto di una presunzione colossale... Cosa vuoi che ti dica? Spero almeno che tu ti renda conto che Charlie Miller è un po' più autorevole di te...

@sociologo:

Quote:

Qua si parla senza sapere che ff può bloccare flash e farlo usare quando serve!

Veramente non ho mai detto una cosa simile. Ma ammetterai, spero, che questa non è una soluzione generale: se finisci su un sito sconosciuto e c'è un contenuto Flash che ti interessa eseguire, cosa fai? Lo esegui e ne accetti i rischi, o per prudenza lasci perdere? Ovviamente puoi optare per la seconda, ma se in ogni sito sconosciuto che visiti devi rinunciare a Flash non è proprio il massimo... Comunque ripeto che io non ho detto nulla di simile.

Quote:

Hai citato un hacker-giornalista ma l'articolo di quanto tempo fa è?

Ho già risposto alla stessa perplessità, sollevata da CaFFeiNe. In particolare gli ho detto che l'articolo è vecchiotto come data, ma che il contenuto è ancora attuale. Se non sei d'accordo, dimmi in cosa ti sembra superato!

Quote:

E l'UAC come lo descrivi tu non ha senso, se sono amministratore, e non l'ho mai trovato come dici tu.

No, scusami, l'UAC come lo descrivo è semplicemente quello che è: se sei amministratore basta confermare con un click, altrimenti ti chiede anche la password. Cos'è che non hai mai trovato così? E cos'è che non avrebbe senso?

Quote:

Linux è più sicuro perché mai sotto attacco?
E perché non lo è mai?

Intanto vorrei farti presente che questa affermazione non è mia... Ad ogni modo, visto che la condivido, rispondo io. Non è mai sotto attacco per 2 ottimi motivi:
1) Perché la sua diffusione è ridicola, raggiunge a malapena l'1% a livello mondiale
2) Perché Linux, malgrado anni di Ubuntu, è ancora un sistema da smanettoni, da appassionati, gente che sa usare il pc e che difficilmente casca in trucchi banali tipo avere password stupide, cliccare su tutti i link che arrivano via email, ecc, e quindi l'utente Linux medio è un osso duro, molto più di quanto lo sia una grossa percentuale di utenti Windows e Mac.

Quote:

Ma MS ti paga?
Se si spende male i suoi soldi visto che blateri , fai esempi e alla fine non fai altro che gettare tu fango su windows!

E figuriamoci se non si doveva arrivare alle offese personali... Mi prenderò perfino la briga di risponderti, e ti farò notare che in difesa di Microsoft ho detto ben poco. Al massimo avresti dovuto chiedermi se è Google a pagarmi, non credi? Notevoli alcune tue affermazioni: io "blatero", dici? Fortuna che mi sono anche dato da fare per inserire un po' di link per motivare le mie affermazioni... Poi sarei curioso di sapere dove e come ho gettato fango su Windows: mi quoteresti la frase esatta, per favore?

Quote:

Ps ma non si stava parlando di Chromium e flash?
Hai scatenato un bel flame, complimenti!

Sì, esatto, stavamo parlando di Chrome e Flash, ed è quello di cui ho parlato io. Potrei per esempio farti notare che UAC è stato citato di sfuggita da un altro utente (hexaae, post #8), e sottolineo "di sfuggita" perché la sua frase si concentrava sul modello di sicurezza di Explorer e di Chrome, quindi era decisamente in topic. Chi ha voluto partire per la tangente e soffermarsi su UAC è stato un CERTO utente dal nick "sociologo" (lo conosci? ), rileggere per credere: post #12, delle 12:50.
In quanto al flame: eh sì, in effetti sono stato io a esordire dicendo "E la marmotta incarta la cioccolata!", vero? La classica frase di chi vuole mantenere bassi i toni della conversazione...