Google Chromium con sandbox per Adobe Flash Player

Certo che Flash e' davvero il male... addirittura una sandbox per farlo girare!!!

Flash è il male perché è in una sandbox? Allora lo sono anche l'HTML e Javascript...

...per html e javascript mi sembra scontato, per flash no!

Semmai il contrario! Sicuramente è Flash che accessibile le risorse locali più degli altri, prestandosi maggiormente a problemi di sicurezza.

a me sa tanto di marketing anche qui...le mille mila funzioni di Chrome non le ha nessuno...capisco far girare flash su processo separato data l'instabilità stessa del plug-in ma addirittura metterla in sandbox... farebbe comodo un intervento di chi è nel settore della sicurezza a commentare questa novità esclusiva Google

Un intervento di un esperto del settore? Pronti: http://www.oneitsecurity.it/01/03/2...miller-pwn2own/
Ti cito un pezzo:


Tra parentesi, leggere l'articolo è interessante per spazzare via un po' di leggende metropolitane... Tipo che Linux è più sicuro di Windows, Firefox è più sicuro di Explorer... Ma va beh.

IE8/9 su Vista/7 sono più sicuri, già da tempo...

Ricordo a tutti che IE8/9 su Vista/7, con UAC attivo, girano già da tempo (circa 3 anni) in una Modalità Protetta più sofisticata anche di quella di Chrome (i cui plugin restano/avano scoperti) che vi è arrivato solo dopo... Ma MS è meno furba e abile di Google a reclamizzare le cose buone che introduce talvolta prima degli altri e fa notizia solo in negativo.

Leggendo la documentazione inoltre, si parla di seri problemi con certe applicazioni e siti Web che non funzionano nell'attuale implementazione della sandbox per il Flash di Chrome. Tutti si augurano verrano risolti (la colpa è nel funzionamento del plugin flash stesso che se eccessivamente isolato causa incompatibilità. Colpa di Adobe), ma al momento funziona male.

Infine ricordo a tutti che FFox (o Opera) è il meno sicuro tra i browser più diffusi proprio perché a differenza di IE o Chrome non implementa ancora uno straccio di Modalità Protetta (sandboxing), sebbene venga aggiornato spesso.

ehm countdown, un po' vecchiotto...
chrome da allora ha fatto passi avanti in tante cose....

E' vero che IE riesce a proteggere i plugin, cosa che Chrome non riesce a fare, anche se non ho capito bene il perché (forse perché i plugin per IE usano ActiveX? Sto solo ipotizzando, non so come stiano le cose). Comunque gli sviluppatori di Chrome stanno lavorando a questo da un bel po', e appunto pare che siano a buon punto con Flash. Ad ogni modo si può lanciare Chrome con l'opzione "--safe-plugins", ma poi bisogna vedere se i plugin funzionano o se si bloccano...
Ma a parte i plugin, la sandbox di Chrome è molto più sofisticata del meccanismo di protezione di IE. IE usa gli integrity levels di Vista/7, mentre la sandbox di Chrome funziona tranquillamente anche con XP. Se poi Chrome trova che il sistema operativo supporta gli integrity levels, benone, usa anche quelli... Ma sono ridondanti, e di per sè sono meno efficaci. Se ne parla qui in un'intervista a uno di Google, e anche nella documentazione ufficiale di Chrome, qui. Per la precisione si dice:
e

@CaFFeiNe: l'articolo è vecchiotto come data, ma il contenuto è ancora attuale... A parte la notizia che stiamo commentando adesso, non mi risulta ci siano stati grandi migliorie nella sicurezza dei browser. Chrome, in particolare, che passi avanti avrebbe fatto, a parte correggere un po' di bug? Ha integrato Flash, che così si autoaggiorna; ha integrato un lettore PDF, che ora è protetto dalla sandbox (e quindi rientra nel discorso che stiamo facendo ora); sono stati fatti, appunto, progressi per sandboxare Flash. Cos'altro?

a quindi da oggi VISTA è piu sicuro di linux perchè lo ha detto sto tipo?