0-day in Google Chrome

Наверняка что-то с JS. Как неожиданно.

Хехе, запускать браузер в контейнере не такая уж и плохая идея.

если это платформозависимый зеродей, то их только под винду и мак делают. если он платформонезависимый, скажем, подгружается левый js, то он потырит данные только для этого браузерного инстанса (профиля). независимо, в контейнере или нет.

но вообще поинт не в этом. я просто ненавижу этот ethical хакинг.:((( следствие всей этой муры с толерантностью и socical justice. если не понятно, то опенсорс опенсорсом, но мы все такие этические, юзерам не раскажем о проблеме, но поможем заработать на продаже эксплойта.

Угу: «ваша хата горит, но пожарных мы вызовем только после того, как повесим замок на дверь, через которую проник поджигатель».

А какая альтернатива? Сразу выложить готовый эксплоит, чтобы злоумышленники активно мониторили рассылки для поиска новых 0-day и оперативно добавляли их в свои связки?

хакеры - санитары леса. если в лесу полно больных и слабых животных, то...

Тогда лес довольно быстро опустеет и загнётся. Чем проще пользоваться какой-то технологией, тем больше у неё будет пользователей, которые недостаточно квалифицированы для того, чтобы задумываться о своей безопасности. Поэтому им нужны дополнительные меры со стороны тех, кто квалифицирован - тяжело отключаемые автоматические обновления, задержка раскрытия информации об уязвимостях, ограничения в правах. Иначе первый залетевший червь разрушит цивилизацию.

Что лучше - иметь малое число злоумышленников, владеющих 0-day и немного подождать, пока новая версия раскатится на 80% или раскрыть всё сразу, и пусть недельку творится хаос из-за того, что каждый скрипткидди может разломать типичного пользователя?

если в лесу полно больных и слабых животных

Без них не будет многих сервисов, так как некому будет продавать товары/услуги.

Тогда лес довольно быстро опустеет и загнётся

ну с чего вдруг-то?

Чем проще пользоваться какой-то технологией, тем больше у неё будет пользователей, которые недостаточно квалифицированы для того, чтобы задумываться о своей безопасности.

ага. а как эта проблема решается на автодороге? машин же с каждым годом все больше... автоматическая коробка передач появляется... почему пользователи не путают сторону дороги, по которой надо ехать, например?

Без них не будет многих сервисов, так как некому будет продавать товары/услуги.

это ты относишься к инету, как к барахолке... а не я.

Что лучше - иметь малое число профессиональных злоумышленников и профессиональных торговцев, владеющих 0-day и получающих тысячи долларов, или ... каждый скрипткидди может разломать типичного пользователя?

ты пробовал хоть раз писать эксплойты для браузера? я тебя уверяю, скрипткидисам это не под силу.

почему пользователи не путают сторону дороги, по которой надо ехать, например?

Путают, особенно пьяные, идиотов на дорогах всё больше. И я считаю, что решить эту проблему можно будет только массовым переходом на беспилотные автомобили.

это ты относишься к инету, как к барахолке

Не как к барахолке, а как к важному для функционирования барахолок компоненту. Чтобы в условиях рыночной экономики продвигать в массы инновации, обычно изобретателю (или его инвестору) нужна возможность заработать. Мало кто будет делать и поддерживать крутые штуки просто так.

А для чего тогда он нужен? Чтобы горстка энтузиастов соединяла свои сети и запускала инфраструктурные сервисы для самих себя просто потому, что может?

скрипткидисам это не под силу

Точно так же не под силу простому пользвателю запатчить свой софт. Хотя и проще, конечно.

Путают, особенно пьяные, идиотов на дорогах всё больше. И я считаю, что решить эту проблему можно будет только массовым переходом на беспилотные автомобили.

да, пьяный за рулем - это плохо... и как эта проблема решается? продолжай думать.

если ты сторонник беспилотных автомобилей, то что ты делаешь на форуме про опенсорс? сиди себе в своем андроиде без прав root и конец разговора:)

жди беспилотный автомобиль, тебе даже капот нельзя будет открывать. а санитары леса ломанут твой кондиционер по вай-фай=)

рыночной экономики

а всегда ли интернет был таким? тебе нравится экономика в интернете? торговля не только эксплойтами, но наркотиками, которую теперь все сложнее остановить?

инновации

а всегда ли это хорошо?

А для чего тогда он нужен?

о! это хороший вопрос! вот видишь, ты фактически не знаешь других вариантов, кроме тех, что тебя окружают. то есть даже историю интернета ты не знаешь.

Точно так же не под силу простому пользвателю запатчить свой софт. Хотя и проще, конечно.

просто пользователь и операцию себе не может сделать. однако, он в состоянии следить за своим здоровьем.

Зачем эксплоит, просто больше информации предоставить. Может я бы патч накатил и пересобрал браузер, не ждав пока обновление выкатят.

тебе даже капот нельзя будет открывать.

Audi A2 уже давно. Электрички от BMW и Mercedes - в прошлом году.

Хехе, запускать браузер в контейнере не такая уж и плохая идея.

Всегда так делал с chromium.

и как эта проблема решается?

Ответственностью за нарушение правил?

тебе даже капот нельзя будет открывать

Мне и сейчас нельзя собрать из запчастей в гараже непонятно что и ездить на этом по дорогам общественного пользования. А если я куплю разрешённый автомобиль, то мне надо будет техосмотр проходить периодически.

Крайность с «санитарами леса» была бы другой - разрешить ездить на чём угодно и по каким хотите правилам, ведь достаточно хороший набор технического состояния автомобиля и правил дорожного движения просто рано или поздно появится в головах тех людей, которые останутся живы после того, как все остальные погибнут в авариях.

санитары леса ломанут твой кондиционер по вай-фай

Эксплоиты же сложно писать, а без full disclosure они-то точно не справятся.

а всегда ли интернет был таким?

Нет, когда-то пользователи интернета не считали веб его синонимом.

тебе нравится экономика в интернете?

Экономика чего? Мне нравится, что я и миллионы других людей могут получать товары и услуги проще, чем это было раньше, а некоторые из них - даже зарабатывать на этом.

наркотиками, которую теперь все сложнее остановить?

Что и как нужно поменять в устройстве vulnerability disclosure, интернете, экономике и обществе, чтобы это исправить? Пусть даже не мелкими итерациями из текущего состояния, а разко и дерзко, как диктатор-санитар.

а всегда ли это хорошо?

Нет, но даже хорошие инновации загнутся.

ты фактически не знаешь других вариантов

Расскажи, очень интересно их узнать, если они могут работать в реальном мире.

Ответственностью за нарушение правил?

в первую очередь обучение и сдача на права.

техосмотр проходить периодически.

сеть работает по утвержденным протоколам. вот он твой техосмотр.

и правил дорожного движения просто рано или поздно появится в головах тех людей, которые останутся живы после того, как все остальные погибнут в авариях.

так именно сейчас правила движения и работают, потому что люди боятся погибнуть! как ты не понимаешь! именно потому что все знают про пьяных водителей. с кибер-преступностью тоже борются.

Эксплоиты же сложно писать, а без full disclosure они-то точно не справятся.

ошибка. впрочем, допускаешь ее не только ты. майкрософтовские бинарные патчи служили основой для эксплойтов. уметь надо:)

Экономика чего?

экономика она вообще. не бывает так, что что-то хорошее есть, а чего-то плохого нет. у палки всегда два конца.

Что и как нужно поменять в устройстве vulnerability disclosure, интернете, экономике и обществе, чтобы это исправить?

хороший вопрос. но по-моему нужно привыкать напрягать свои мозги. так интереснее.

Расскажи, очень интересно их узнать, если они могут работать в реальном мире.

они _работали_ в реальном мире. попробуй почитай, а не только сидеть на форумах.

Хехе, запускать браузер в контейнере не такая уж и плохая идея.

Всегда так делал с chromium.

как надежнее пить противозачаточные: до секса или после секса?

вместо

молодец! правильно!

ну вы же ждали

А что не так? Как нужно было написать?

это к исходному сообщению про браузеры, ты понял, да?

А я только про ваш последний пост. Все браузеры - говно и не заслуживают обсуждения