Mozilla worstelt met Vista beveiliging voor Firefox 3.0
De Mozilla stichting is er nog niet uit of het een beveiligingsmaatregel die Internet Explorer 7 in Windows Vista gebruikt, ook zal toevoegen aan Firefox 3.0. IE7 gebruikt in Vista een techniek genaamd "Protected Mode", die ervoor zorgt dat de browser alleen toegang heeft tot de tijdelijke bestanden map. Dit moet ervoor zorgen dat drive-by downloads en malware zich niet op het systeem kunnen installeren.
Eind oktober gingen de Firefox ontwikkelaars een aantal dagen bij Microsoft op bezoek om te kijken hoe Firefox de verminderde rechten feature in Vista zou kunnen gebruiken. "We spraken met zowel het UAC als IE team over hoe we onze applicatie konden klaarmaken voor het laagste permissie niveau" liet Vladimir Vukićević destijds weten.
Mozilla is nog steeds bezig om uit te zoeken wat het wel en niet kan doen. Volgens Mozilla's Mike Conner zitten er twee kanten aan het idee van de Protected Mode. "Microsoft liet weten dat het geen complete sandbox is, en sommige mensen zeggen dat aanvallers het kunnen omzeilen, en dat het de moeite niet waard is". Het hoofd van de Firefox ontwikkeling is dan ook op zoek naar de grens tussen gemak en beveiliging.
Firefox 3.0, bekend onder de codenaam Gran Paradiso, staat gepland voor de tweede helft van dit jaar, en zal tal van beveiligingsmaatregelen bevatten, hoewel het nog niet bekend is hoe de verbeterde security eruit ziet.
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Dat is net zoals een auto bouwen met airbags en zeggen: De
gordels laten we achterwege, 't is veilig genoeg zo.
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Op de meeste systemen is dit alleen per gebruiker in te
stellen, en niet per applicatie. Dus tenzij je je browser
als een andere gebruiker draait heb je daar niets aan.
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Op de meeste systemen is dit alleen per gebruiker in te
stellen, en niet per applicatie. Dus tenzij je je browser
als een andere gebruiker draait heb je daar niets aan.
context van die gebruiker? Tenzij expliciet anders opgegeven?
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
context van die gebruiker? Tenzij expliciet anders opgegeven?
gebruiker, b.v. login draait als root.
Via een script wordt onder die temp map een programma
geinstalleerd welke draaid onder de actieve user en dat
programma doet van alles richting internet.
Oja dat heet Ajax of Web 2.0.
Hoe veilig is dit. Kom je toch weer op het punt dat de
gebruiker zo vaak ok moet klikken dat hij maar standaard ok
klikt.
Uiteindelijk is de gebruiker de risico factor.
hij nog bepaalde dingen neit doen. Het gaat erom dat
bijvoorbeeld cache bestanden of tijdelijke bestanden
helemaal niet hoeven worden uitgevoerd op de PC. Dus kan hij
in een directory met speciale rechten.
wat Mozilla nodig heeft, dan regel je dat en NIETS MEER, probleem
opgelost. Desnoods maak je zelf een schil eromheen als je niet op het OS
kunt vertrouwen.
In linux kan je een applicatie laaien draaien als andere
gebruiker, b.v. login draait als root.
Wat ik mij afvraag is hoe dit hele verhaal dan precies
geregeld is. Ik bedoel Windows Update draait toch ook vanuit
IE? Via WU worden toch ook dingen geinstalleerd? Of zie ik
het nu helemaal verkeerd? Zoals ik dit verhaal lees is WU
niet meer beschikbaar via IE, omdat IE alleen nog maar in de
TIF dir kan komen.... Ik denk ongetwijfeld fout, dus
verbeter mij aub... :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.