Holy war: Android vs iOS

[Medium-rare]

Ну да, ну да, можно посмотреть на результаты Pwn2Own прошлых лет(в этом году хром впервые взломали), что бы убедится в обратном.

Они что-ли безопасность Chrome с Windows сравнивали? А медведя и кита?

[crypto5]

Ну да, ну да, можно посмотреть на результаты Pwn2Own прошлых лет(в этом году хром впервые взломали), что бы убедится в обратном.

Они что-ли безопасность Chrome с Windows сравнивали? А медведя и кита?

Хром и ИЕ.

[Medium-rare]

Они что-ли безопасность Chrome с Windows сравнивали? А медведя и кита?

Хром и ИЕ.

А я написал про OS, у varenuha такой вроде concern был, про мобильные телефоны под Windows. В 2012 оба браузера взломали.

Моё IMHO, что в Windows как безопасность организована, такое сопротивление хакер и встречает. А не как данность - это легко ломается.

[crypto5]

Они что-ли безопасность Chrome с Windows сравнивали? А медведя и кита?

Хром и ИЕ.

А я написал про OS, у varenuha такой вроде concern был, про мобильные телефоны под Windows. В 2012 вообще все браузеры взломали.

Моё IMHO, что в Windows как безопасность организована, такое сопротивление хакер и встречает. А не как данность - это легко ломается.

Мой комент был про то что кто-то там кого то кроет как овцу. МС тут с дырявым браузером гордится нечем.

[rzen]

Самый главный просчёт с картами был что из объявили лучшими картами всех времён и народов, а надо было скромнее назвать бетой, народ бы охал и ахал, бани ре портили бы, а через год-два получился бы вылизанный продукт. А так получился пиар-дизастер по сути на ровном месте.

[Medium-rare]

Мой комент был про то что кто-то там кого то кроет как овцу. МС тут с дырявым браузером гордится нечем.

Ну, что... Кажется я знаю какой будет мой следующий телефон

Кстати, а что там с безопасностью Виндовой? Если она такая же дырявая как и десктопная, то использовать виндовые телефоны для, например, онлайн банкинга совершенно не хочется...

Вот оригинальный посыл. Если crypto5 не различает exploit бразуера (который можно поставить на самую секьюрную OS, но он как легальное приложение будет в состоянии, если его сломают) на тему какого-то гадкого клиентского скрипта, начинающегося ковыряться в системе, и безопасность OS, то я пас с ним спорить. Онлайн банкинг приложение и вовсе для мобильного телефона пишется в индивидуально-секьюрном порядке, точно не в браузере у меня на телефоне Chase.

[rzen]

Ну, что... Кажется я знаю какой будет мой следующий телефон

Кстати, а что там с безопасностью Виндовой? Если она такая же дырявая как и десктопная, то использовать виндовые телефоны для, например, онлайн банкинга совершенно не хочется...

Вот оригинальный посыл. Если crypto5 не различает exploit бразуера на тему какого-то гадкого клиентского скрипта начинающегося ковыряться в системе, и безопасность OS, то я пас с ним спорить. Онлайн банкинг приложение и вовсе для мобильного телефона пишется в индивидуально-секьюрном порядке, точно не в браузере у меня на телефоне Chase.

Если ось не обеспечивает интра-приложенческой изоляции то никакая секурити не поможет. Так что вопрос более чем легитимный.

[crypto5]

Мой комент был про то что кто-то там кого то кроет как овцу. МС тут с дырявым браузером гордится нечем.

Ну, что... Кажется я знаю какой будет мой следующий телефон

Кстати, а что там с безопасностью Виндовой? Если она такая же дырявая как и десктопная, то использовать виндовые телефоны для, например, онлайн банкинга совершенно не хочется...

Если crypto5 не различает exploit бразуера (который можно поставить на самую секьюрную OS, но он как легальное приложение будет в состоянии, если его сломают) на тему какого-то гадкого клиентского скрипта, начинающегося ковыряться в системе, и безопасность OS, то я пас с ним спорить.

А что, гадкий скрипт ковыряющийся в системе никак не компрометирует безопасность ОС?
К слову там в контестах ОС тоже ломали: "The laptop running Windows Vista SP1 was exploited on the third day of the contest with an exploit for Adobe Flash", "The laptop running Ubuntu was not exploited.".

[Medium-rare]

Если ось не обеспечивает интра-приложенческой изоляции то никакая секурити не поможет. Так что вопрос более чем легитимный.

Как, кстати, Metro App эксплуатировать? Мне пока не ясно. Оно живёт в песочнице, ему ничего чужого трогать нельзя. Есть тут головная боль, как раз связанная с тем, что интерфейсить ни с чем нельзя. А уж в телефоне так там чужая память просто read-only. Накось-выкуси.

В общем наступили мне на мою любимую свежую мозоль. Sand-boxed apps for Windows RT / Metro. Они не могут делать ничего, кроме прописанного в их манифесте. Только что с месяц занимался в точности проблемой доступа из app к одному системному сервису. Хренушки. Надо библиотеку цеплять. Безопасность, близкая к презумпции виновности.

[crypto5]

Если ось не обеспечивает интра-приложенческой изоляции то никакая секурити не поможет. Так что вопрос более чем легитимный.

Как, кстати, Metro App эксплуатировать? Мне пока не ясно. Оно живёт в песочнице, ему ничего чужого трогать нельзя. Есть тут головная боль, как раз связанная с тем, что интерфейсить ни с чем нельзя. А уж в телефоне так там чужая память просто read-only. Накось-выкуси.

Песочницы имеют свойство ломаться, а read-only памяти частенько достаточно что бы стырить куку какую нибудь или вообще пароль, или хотя бы его хеш.

[Medium-rare]

А что, гадкий скрипт ковыряющийся в системе никак не компрометирует безопасность ОС?
К слову там в контестах ОС тоже ломали: "The laptop running Windows Vista SP1 was exploited on the third day of the contest with an exploit for Adobe Flash", "The laptop running Ubuntu was not exploited.".

Vista SP1. Это когда было? Не смогли поэксплойтить замечательный гуглевый продукт Ubuntu. Который через каждые пять минут такой индивидуально глючащий, что только Неуловимый Джо может с ним соревноваться. Хакеру надо стабильную платформу.

[Medium-rare]

Песочницы имеют свойство ломаться, а read-only памяти частенько достаточно что бы стырить куку какую нибудь или вообще пароль, или хотя бы его хеш.

Read-only, этого я бы хотел, с добрыми намерениями. А то нет вовсе никуда доступа.

[varenuha]

Ну, что... Кажется я знаю какой будет мой следующий телефон

Кстати, а что там с безопасностью Виндовой? Если она такая же дырявая как и десктопная, то использовать виндовые телефоны для, например, онлайн банкинга совершенно не хочется...

Это вы о чём? Про десктопы, то как она организована, безопасность, так и есть. Вот у вас Bitlocker установлен?

Кстати, а он там есть, на виндовых телефонах? У айфона, насколько я понимаю, все шифруется по умолчанию, если вход по паролю активирован.

[crypto5]

А что, гадкий скрипт ковыряющийся в системе никак не компрометирует безопасность ОС?
К слову там в контестах ОС тоже ломали: "The laptop running Windows Vista SP1 was exploited on the third day of the contest with an exploit for Adobe Flash", "The laptop running Ubuntu was not exploited.".

Vista SP1. Это когда было?

А, я понял, у МС тогда опыта в секьюрити было всего "несколько десятилетий" - 3 года, типа недостаточно.

Не смогли поэксплойтить замечательный гуглевый продукт Ubuntu. Который через каждые пять минут такой индивидуально глючащий, что только Неуловимый Джо может с ним соревноваться. Хакеру надо стабильную платформу.

Это все слова. Давайте ссылки на другие челенджи где винда зарулила линукс по секьюрити.
Ну и про глюки винды и линукса, это тоже отдельная тема для разговора.

[crypto5]

Песочницы имеют свойство ломаться, а read-only памяти частенько достаточно что бы стырить куку какую нибудь или вообще пароль, или хотя бы его хеш.

Read-only, этого я бы хотел, с добрыми намерениями. А то нет вовсе никуда доступа.

Песочницы без доступа вовне уже десятки лет все делают и делают, но не всегда они работают.

[Medium-rare]

Если хакеры ломают серверные продукты, на которых работает немало банков и всякоразных служб, это печально. Вроде, семейство Windows NT таки не первый десяток лет в этой нише себе живёт хорошо. Какие OS наделал Google, это интересный вопрос, но в основном не OS, а открытые всем надстройки над всем открытым Linux. Флейм по секьюрности Андроидов лучше не начинать, предполагаю.

Браузер - это не OS. Это приложение, которое частично можно "automate" на его же запросы на сайты, особенно с клиентскими скриптами.

В Windows RT / Metro все приложения живут в индивидуальных загончиках. Причина понятна. Скоро узнаем про их секьюрность. Пока что перспективы довольно нормальные.

[Medium-rare]

Кстати, а он там есть, на виндовых телефонах? У айфона, насколько я понимаю, все шифруется по умолчанию, если вход по паролю активирован.

Честно, не изучал вопрос. Но сильная сторона Windows RT / Metro / 8 в том, что продукты теперь проще портировать между десктопом и мобильным миром. У меня на лаптопе и десктопе 8-ка, оба "забитлочены".

[rzen]

А что в винде видео драйвера вынули из уровня ядра? Помню можно было получить права рута открыв хитрую картинку виндового формата (wmf? Точно не помню)

[Medium-rare]

Есть такой User-Mode Driver Framework (UMDF). Это для упрощения создания драйверов. Что именно туда выкинули, трудно сказать, надо чаще этим заниматья. Но до hardware interrupt всё равно система добирается уже в Kernel Mode.

[crypto5]

Браузер - это не OS. Это приложение, которое частично можно "automate" на его же запросы на сайты, особенно с клиентскими скриптами.

А какая разница часть это или нет если оно открывает огромную дыру в систему: "five seconds after the browser visited its specially crafted malicious web page, it had both launched the platform calculator application (a standard harmless payload to demonstrate that arbitrary code has been executed) and written a file to the hard disk (to demonstrate that the sandbox had been bypassed)."

[Medium-rare]

А какая разница часть это или нет если оно открывает огромную дыру в систему

Какая та гуглевская система, которую вы сравниваете с майкрософтовской OS?

[crypto5]

А какая разница часть это или нет если оно открывает огромную дыру в систему

Так вам за родную контору ведь обидно? Где та система, которую вы сравниваете с майкрософтовской OS?

ChromeOs например

[Medium-rare]

ChromeOs например

Живём в браузере.

[rzen]

вы не думайте что зловредному приложению обязательно чтобы на телефоне была ваша банковская информация, вполне достаточно читать вашу почту, остальное дело техники

[crypto5]

ChromeOs например

Живём в браузере.

Зато секьюрном