Google Chromium con sandbox per Adobe Flash Player

"
Infine ricordo a tutti che FFox (o Opera) è il meno sicuro tra i browser più diffusi proprio perché a differenza di IE o Chrome non implementa ancora uno straccio di Modalità Protetta (sandboxing), sebbene venga aggiornato spesso. "

E la marmotta incarta la cioccolata!

"Ricordo a tutti che IE8/9 su Vista/7, con UAC attivo, girano già da tempo (circa 3 anni) in una Modalità Protetta più sofisticata anche di quella di Chrome (i cui plugin restano/avano scoperti) che vi è arrivato solo dopo... Ma MS è meno furba e abile di Google a reclamizzare le cose buone che introduce talvolta prima degli altri e fa notizia solo in negativo."

Ma l'UAC non è come meno sicuro che richiedere la password per instllare, come si fa su linux?
No perché uno clicca e addio UAC...

E mi spiegate come si fa a navigare senza Flash?

Cmq firefox ha flash in un processo separato e chromium ha aggiunto una sandbox, cosa che si può già fare se si installa un programma che si chiama, gaurda un pò, sandboxie e si può usare anche con eMule!
Novità inutile quella di chromium che è solo propaganda acchiappa troll!

Vista e 7 a livello intrinseco sono sicuri [U]almeno[/U] quanto linux.

Comunque il discorso su Flash è un po' assurdo, su alcuni siti è necessario averlo, semmai si può usare una whitelist per poterlo avviare solo in determinati siti (youtube, google maps, flashgames, friv ).

Poi è passato in sordina il fatto che Adobe nella nuova versione X di Adobe Reader abbia messo su una sandbox sfruttando gli Integrity Levels, è bene saperlo secondo me.

il motivo è banale: linux è semplicemente il meno attaccato da malware vari perchè tanto rappresenta una esigua fetta di mercato.

faccio una analogia:
è come paragonare New York a un tranquillo paesino.
il paesino non è più *sicuro* per risorse difensive... ma lo è solo perchè nessuno lo *attacca*
studiandone 10000 modi diversi di attaccarlo.


bene o male se attaccassero new york ci sono migliaia di poliziotti e militari pronti in zona e qualcosa possono fare, non è detto che le forze
difensive vincano ma ci provano.
se attaccano un paesino dove ci sono 2 poliziotti e 1 vigile urbano viene distrutto in pochi secondi.

quindi è vero che nei paesini tendenzialmente si sta più tranquilli che new york...ma è relativo alla volontà di chi vuole attaccare...se dovesse cambiare obiettivo...

Vediamo un po', a chi dovrei credere: a un ricercatore di sicurezza di fama mondiale, che ha al suo attivo robette come l'essere stato il primo a fare un jailbreak per iPhone, a trovare una falla in Android, e l'aver vinto per ben 3 volte una gara come il pwn2own... Oppure ad un fanboy a caso?

Mmh, sì, credo che darò retta al fanboy, direi che le sue credenziali sono molto migliori.

@Sociologo: le marmotte possono incartare tutta la cioccolata che vuoi, ma che Firefox non giri in modalità protetta, a differenza di Chrome e IE, resta un dato di fatto. Poi prendila come vuoi...
UAC richiede solo un click se si è amministratori (e comunque mi sembra si possa impostare in modo che la password la richieda lo stesso), ma se si è utenti normali la password va inserita. Dopodiché, scusami ma non ho voglia di imbarcarmi nella solita discussione pro/contro UAC...
Per quel che riguarda i plugin, è vero, anche Firefox li esegue in un processo separato, dalla 3.6.4; in quanto a sandboxie: hai idea del fatto che lo userà lo 0.0001% degli utenti di Firefox, mentre la sandbox di Chrome la usano il 100% degli utenti? Se a te sembra poco...

In quanto a navigare senza Flash, sono d'accordo anche io che è troppo limitante... Ma nessuno ci obbliga a disattivarlo! Charlie Miller ha solo detto che Flash comporta dei rischi: se uno non è disposto a rinunciare ai contenuti Flash, deve rassegnarsi a correre quei rischi. Tutto qui.

imho per essere sicuri sul flash senza rinunciarci si può cominciare col mettere un flash-blocker
e cliccare "play" solo sui riquadri flash bloccati che
vedete in siti affidabili o famosi.

oltretutto si evitano pure tante pubblicità

non sarà ultrasicuro al 100%, ma riduce la possibiltà di moooooooooooooooolto.

scusa ma stai male?

sarei un fanboy perchè non credo che windows sia piu sicuro di linux?

fatti vedere

Ahhhhhh , CountDown_0 ....
Qua si parla senza sapere che ff può bloccare flash e farlo usare quando serve!
Hai citato un hacker-giornalista ma l'articolo di quanto tempo fa è?
E l'UAC come lo descrivi tu non ha senso, se sono amministratore, e non l'ho mai trovato come dici tu.
Linux è più sicuro perché mai sotto attacco?
E perché non lo è mai?

E infine:
Ma MS ti paga?
Se si spende male i suoi soldi visto che blateri , fai esempi e alla fine non fai altro che gettare tu fango su windows!
Ps ma non si stava parlando di Chromium e flash?
Hai scatenato un bel flame, complimenti!

Fammi capire: tu, un signor nessuno, ti metti a sghignazzare di fronte alle affermazioni di un esperto di fama mondiale... E mi dici di non essere un fanboy? Va bene, allora non sei un fanboy, sei soltanto di una presunzione colossale... Cosa vuoi che ti dica? Spero almeno che tu ti renda conto che Charlie Miller è un po' più autorevole di te...

@sociologo:

Veramente non ho mai detto una cosa simile. Ma ammetterai, spero, che questa non è una soluzione generale: se finisci su un sito sconosciuto e c'è un contenuto Flash che ti interessa eseguire, cosa fai? Lo esegui e ne accetti i rischi, o per prudenza lasci perdere? Ovviamente puoi optare per la seconda, ma se in ogni sito sconosciuto che visiti devi rinunciare a Flash non è proprio il massimo... Comunque ripeto che io non ho detto nulla di simile.
Ho già risposto alla stessa perplessità, sollevata da CaFFeiNe. In particolare gli ho detto che l'articolo è vecchiotto come data, ma che il contenuto è ancora attuale. Se non sei d'accordo, dimmi in cosa ti sembra superato!
No, scusami, l'UAC come lo descrivo è semplicemente quello che è: se sei amministratore basta confermare con un click, altrimenti ti chiede anche la password. Cos'è che non hai mai trovato così? E cos'è che non avrebbe senso?

Intanto vorrei farti presente che questa affermazione non è mia... Ad ogni modo, visto che la condivido, rispondo io. Non è mai sotto attacco per 2 ottimi motivi:
1) Perché la sua diffusione è ridicola, raggiunge a malapena l'1% a livello mondiale
2) Perché Linux, malgrado anni di Ubuntu, è ancora un sistema da smanettoni, da appassionati, gente che sa usare il pc e che difficilmente casca in trucchi banali tipo avere password stupide, cliccare su tutti i link che arrivano via email, ecc, e quindi l'utente Linux medio è un osso duro, molto più di quanto lo sia una grossa percentuale di utenti Windows e Mac.


E figuriamoci se non si doveva arrivare alle offese personali... Mi prenderò perfino la briga di risponderti, e ti farò notare che in difesa di Microsoft ho detto ben poco. Al massimo avresti dovuto chiedermi se è Google a pagarmi, non credi? Notevoli alcune tue affermazioni: io "blatero", dici? Fortuna che mi sono anche dato da fare per inserire un po' di link per motivare le mie affermazioni... Poi sarei curioso di sapere dove e come ho gettato fango su Windows: mi quoteresti la frase esatta, per favore?

Sì, esatto, stavamo parlando di Chrome e Flash, ed è quello di cui ho parlato io. Potrei per esempio farti notare che UAC è stato citato di sfuggita da un altro utente (hexaae, post #8), e sottolineo "di sfuggita" perché la sua frase si concentrava sul modello di sicurezza di Explorer e di Chrome, quindi era decisamente in topic. Chi ha voluto partire per la tangente e soffermarsi su UAC è stato un CERTO utente dal nick "sociologo" (lo conosci? ), rileggere per credere: post #12, delle 12:50.
In quanto al flame: eh sì, in effetti sono stato io a esordire dicendo "E la marmotta incarta la cioccolata!", vero? La classica frase di chi vuole mantenere bassi i toni della conversazione...