Hogyan lehet megtörni a böngésző króm és mit jelent számunkra • Internet News
A Google büszke a böngésző. Bővebben a tervezési szakaszban a fejlesztők végre Chrome egyedülálló a maga idejében, a védelmi rendszer a külső támadásokkal szemben. Az alábbiakban fogok beszélni róla részletesen, de most csak elképzelni, hogy minden nyitott böngészőlapon különítjük mind a szomszédos és az operációs rendszer - nem árt nekik, ha valami elromlik. Maga az ötlet javasolták régen, és hogy hívják a levegőben volt, de a Google volt az első, hogy végre a böngészőben használható „tömeges fogyasztás.” És nem vesznek el.
Mindhárom évben fennállásának bármely Chrome nem tört egyszer, legalább a legveszélyesebb módja a hétköznapi felhasználók számára, amikor a rosszindulatú kódot belép a számítógép egyszerűen megnyit egy weboldalt. És tagjai legális hackelés versenyek általában előnyös figyelmen kívül hagyja a Google kiadja a böngésző anélkül, hogy megpróbálják kezelni vele. Sajnos, a múlt héten, több évre fénycsík volt áthúzza. Vonzott neves díjakat, és a lehetőséget, hogy erősítse meg, hogy ez teljesen bevehetetlen védelem nem létezik, a résztvevők a nemzetközi konferencia CanSecWest biztonsági feltörték a Chrome. Három alkalommal.
Az egyik fő vonzereje a CanSecWest Pwn2Own verseny hackerek (az angol szleng felmérések eredményeit figyelembe véve - .. Hacking, saját - hogy, hogy az ingatlan). Ahhoz, hogy részt vegyen akkor minden résztvevő számára, és a cél a szokásos böngészők - amely szükséges, hogy megtalálják az ismeretlen sebezhetőség, és képes legyen kihasználni azt, hogy megragadják az irányítást a számítógép. A törekvés hűvös díjak és dicsőség a törés a munkaerő, mint az egyének vagy az egész csapat a biztonsági szakértők.
A nap hőse, Szergej Glazunov (lásd alább). Ismerős Chrome fejlesztők: ez aktívan segíti őket hibákra. De az ő arca ismert kevés. Azt mondja Szergej elkerüli az újságírók, nem akarta, hogy el kell ismerni az utcán. Ebben a fénykép, aki tudja, hogy hol és ki tudja, hol, feltehetően ő (Fotó: AP)
Ebben az évben a szabályok Pwn2Own engedményeket tett lehetővé teszik a hackerek tartani a recept titkos. Ez arra kényszeríti a Google, hogy vonja vissza a szponzorok és szervezni a saját verseny (Pwnium, ugyanott, a CanSecWest) egy díj alap egymillió dollár. Azonban minden résztvevő azt mutatják, hogy a tiszta hack Chrome (valami, amit fentebb kifejtettük: a lehallgatás vezérlő számítógép web oldalt, és csak egy támadást a kódot a böngésző is, nem a plug-inek), azt hitték, akár 60 ezer dollárt.
De ez is elég volt. A Chrome első „kitört” honfitársunk Szergej Glazunov (tyumenets, igényküldő hallgató „Computer Security”). Aztán jött egy Pinkie Pie. És ugyanakkor velük Pwn2Own Chrome csapat törte meg a francia cég VUPEN.
Mindhárom esetben a hacker nem volt „zseniális betekintést”, hogy jött a mérkőzés során. A francia, például fordított keresést réseket, mint hat hét. De valahogy ez történt. Bizonyított: Chrome alatt futó MS Windows 7 bonthatók egyszerűen letölti egy fertőzött weboldal. Volt munkák a versenyzők illetéktelen kezekbe - és ez megtörténhet vírus járvány tízmillió fertőzött számítógépeken.
Itt az ideje, hogy gondoljon a belső szerkezete a Chrome. van egy kifejezés „sandbox” a szótárban programozók. Az úgynevezett izolált helyet a számítógép memóriájában használható például, hibakeresési új programokat. Kód fut a homokozóban, elvágva a külvilágtól (más szoftver, operációs rendszer, a legtöbb eszköz). És ha vele történik valami, a következmények korlátozódik csak a leginkább homokozóban.
Most képzeljük el, hogy ez a rendszer épül böngészőt. Minden lap függetlenül fut a szomszédos: nem tudja, mi folyik, a „szomszédok” (például nem, hogy kémkedjen a hitelkártya számot a következő lapon), és nem számít, hogy mi történik, nem tudja őket befolyásolni. Úgy működik, így a Chrome. A Google volt az első, hogy végre ez a rendszer teljes egészében, és a mai napig különböző változatai is használatosak Internet Explorer, Firefox, Safari.
A Microsoft azt reméli, hogy „sandbox”. Bevezetett korszerű védett módban Internet Explorer 10 - lényegében azonos szigetelési lapokat egymástól és az operációs rendszer.
Most már könnyű megmagyarázni, mi történt a nyertesek Pwnium és Pwn2Own. Találtak egy kiskaput a homokozóban, bármilyen módon egyáltalán kap körül. És ha Szergej Glazunov és Pinkie Pie eredményeiket a rendszer a Google (és ő viszont, azonnal kiadott egy új változata a böngésző, ahol sérülékenységeket korrigált), a VUPEN csapat közzé a felfedezését visszautasította.
Az a tény, hogy a biztonsági rés VUPEN specializálódott értékesítési szoftver és tanácsadói szolgáltatásokat a kapcsolódó területeken. Ő az ügyfelek - magánvállalatok és kormányzati szervezetek számára, hogy előnyt élveznek más piaci szereplők: a legjobb védelmet újonnan felfedezett biztonsági és talán használni őket támadni.
A magas ár az ilyen sebezhetőséget következtében kialakult az igény a számukra - nem új, de önmagában egy ténymegállapítás nem változtat semmit. Másodszor, a fekete piacon léteznek, amíg a szoftverfejlesztők nem nevez kimutatására veszélyes réseket megfelelő piaci árat. Számunkra most a munka VUPEN azt jelenti, hogy a Chrome-bomba, mikor és ki fogja kihasználni, hogy nem tudjuk.
Végül érdemes megjegyezni a régi, félig elfelejtett, de az igazság (ami valójában a vágy, hogy erősítse és motiválni munkájuk francia): abszolút védelem nem történhet meg! Keresünk egy méltó motiváció és képességek, és akkor csapkod semmit.
Kiválasztása elemek külön böngésző feldolgozza jó tíz éve tartották szinte csodaszer minden bajok. Valójában ez csak a dolgát böngészők kellemes (ha egy lap lóg, a többi folytatja a munkát). Varázstabletta a hackerek még mindig ott van.