Uudessa Safari 5.0:ssa on muuten korjattu tietoturvaongelma, joka on ollut useissa selaimissa melkein iäisyyden. Kyseessä on ongelma, jossa tietyllä tavalla rakennetulla haitallisella sivulla vierailu kerää käyttäjän selainhistorian. Aukon tukkiminen käy ilmi tästä Applen dokumentista:
http://support.apple.com/kb/HT4196
Kyseessä on dokumentin viimeisin kohta eli "A maliciously crafted website may be able to determine which sites a user has visited"
Kyseinen ongelma on edelleen olemassa uusimmissa Googlen Chrome ja Firefox -selaimissa.
Aukon tukkimiseen meni aikaa kymmenkunta vuotta mutta on hyvä, että Apple viimeinkin paikkaasi tuon aukon. Yksi hyvä syy päivittää Safari ja siirtyä käyttämään sitä. Muutenkin 5.0 paikkaa ison liudan haavoittuvuuksia.
Safari 5.0 turvallisuusominaisuudet
-
kronos
- Viestit: 815
- Liittynyt: 11.6.2008 klo 14.39
- Paikkakunta: Lohja
Safari 5.0 turvallisuusominaisuudet
Viimeksi muokannut kronos, 9.6.2010 klo 9.17. Yhteensä muokattu 1 kertaa.
Attention, the Universe, by kingdoms right wheel!
-
spiidi78
- Viestit: 4725
- Liittynyt: 8.3.2004 klo 17.38
- Paikkakunta: Helsinki
Re: Safari 5.0 turvallisuusominaisuudet
Mielestäni aika vähäpätöinen ongelma, mutta hyvä silti että on korjattu. Koskahan Safari siirtyy tähän uuteen arkkitehtuuriin, jossa selaimen toiminta jaotellaan eri prosesseihin? WebKit2:ssa tuo on mukana ja tuo aivan varmasti tietoturvaa lisää. Chromen Safaria parempi tietoturva perustuu samaan malliin.
http://trac.webkit.org/wiki/WebKit2
WebKit2 is a new API layer for WebKit designed from the ground up to support a split process model, where the web content (JavaScript, HTML, layout, etc) lives in a separate process from the application UI.
http://trac.webkit.org/wiki/WebKit2
WebKit2 is a new API layer for WebKit designed from the ground up to support a split process model, where the web content (JavaScript, HTML, layout, etc) lives in a separate process from the application UI.
Viimeksi muokannut spiidi78, 9.6.2010 klo 22.41. Yhteensä muokattu 3 kertaa.
-
kronos
- Viestit: 815
- Liittynyt: 11.6.2008 klo 14.39
- Paikkakunta: Lohja
Re: Safari 5.0 turvallisuusominaisuudet
No, pointti olikin lähinnä se kuinka kauan tuon aukon korjaaminen on kestänyt ja Safari on nyt ainut merkittävä selain missä tuota aukkoa ei enää ole. Aukko löytyy Chromessa, Firefoxissa ja Microsoftin tekeleissä.
WebKit2 on kyllä tulossa Safariin mutta se ei ole vielä läheskään riittävän hyvässä kunnossa, että se voitaisiin ottaa käyttöön. Odotellaan rauhassa kyllä se sieltä ilmestyy kunhan ehtii.
Chromen tietoturva ei kylläkään ole sen parempi kuin Safarissakaan, molemmissa on ongelmia. En siis kehuisi sen kummemmin Chromen tietoturvaa Safaria paremmaksi.
WebKit2 on kyllä tulossa Safariin mutta se ei ole vielä läheskään riittävän hyvässä kunnossa, että se voitaisiin ottaa käyttöön. Odotellaan rauhassa kyllä se sieltä ilmestyy kunhan ehtii.
Chromen tietoturva ei kylläkään ole sen parempi kuin Safarissakaan, molemmissa on ongelmia. En siis kehuisi sen kummemmin Chromen tietoturvaa Safaria paremmaksi.
Attention, the Universe, by kingdoms right wheel!
-
spiidi78
- Viestit: 4725
- Liittynyt: 8.3.2004 klo 17.38
- Paikkakunta: Helsinki
Re: Safari 5.0 turvallisuusominaisuudet
Samat Webkitiin liittyvät aukot löytyy tietty about molemmista, mutta jos en ihan väärin muista, niin monet Safarin tietoturvan ongelmakohdista liittyy suoraan GUI:hin, joka ei ole kovin robust hyökkäyksille (pwn2own kisan hyökkäykset esim). Jos Webkit on eriytetty Safarin GUI:sta, niin Webkitin kautta ei pääse ainakaan GUI:hin hyökkäämään.kronos kirjoitti:Chromen tietoturva ei kylläkään ole sen parempi kuin Safarissakaan, molemmissa on ongelmia. En siis kehuisi sen kummemmin Chromen tietoturvaa Safaria paremmaksi.
-
hot
- Viestit: 703
- Liittynyt: 7.5.2005 klo 7.49
Re: Safari 5.0 turvallisuusominaisuudet
Luin jutun pari kertaa läpi ja tuli mieleen seuraava: Voiko noiden prosessien omistaja olla eri kuin GUI:n omistaja? Esim. JavaScript-prosessin omistaja olisi nobody, web tai joku muu alemman oikeuksien omaava daemon?spiidi78 kirjoitti:....skip...http://trac.webkit.org/wiki/WebKit2
WebKit2 is a new API layer for WebKit designed from the ground up to support a split process model, where the web content (JavaScript, HTML, layout, etc) lives in a separate process from the application UI.
-
spiidi78
- Viestit: 4725
- Liittynyt: 8.3.2004 klo 17.38
- Paikkakunta: Helsinki
Re: Safari 5.0 turvallisuusominaisuudet
Tuosta jäi vähän epäselvä kuva itsellenikin, mitä kaikkea tuolla nyt tarkoitetaan. Selvä homma on ainakin se, että on erikseen WebKit UI-prosessi (=selaimen GUI) ja WebKit-engine-prosessi, jossa on mm. JS Core, WebCore, ja jossa tapahtuu sivujen renderöinti. Jos tuon enginen kanssa haluaa olla tekemisissä, pitää tehdä ohjelma, joka käyttää noita WebKitin UI-rajapintoja hyödyksi, joka ilmeisesti sitten lataa tuon enginen muistiin (omistaa sen). Tuo siis vastaa samaa, mitä tähän mennessä on esim Cocoassa WebView ja Qt:ssa QWebView luokat, joilla saadaan WebKit instanssi omaan ohjelmaan sisälle, mutta tähän mennessä samaan prosessiin. Chromessahan jokainen sivu/välilehti on oma Chrome Renderer prosessi, joita ohjaillaan Chrome-selaimella. En tiedä onko tuossa WebKit2 lähestymistavassa jokaiselle sivulle omaa prosessia. Vaikuttaisi, että ei ole. Chromen etuna on esim se, että jos sivusto kaataa selaimen, niin ainoastaan se kaatuva sivu / välilehti häviää muistista ja loput säilyy koskemattomina.hot kirjoitti:Luin jutun pari kertaa läpi ja tuli mieleen seuraava: Voiko noiden prosessien omistaja olla eri kuin GUI:n omistaja? Esim. JavaScript-prosessin omistaja olisi nobody, web tai joku muu alemman oikeuksien omaava daemon?
Imuroin tuoreinta WebKitiä koneelle juuri, pitänee tsekata mitä kaikkea tuolta WK2:sta löytyy.
Viimeksi muokannut spiidi78, 10.6.2010 klo 21.24. Yhteensä muokattu 1 kertaa.
