|
 man beachte den untersten satz in der aufzählung :D |
Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken.
http://raffon.net/research/google/chrome/carpet.html Darüber stellt eine weitere Demo die angepriesene Stabilität und Integrität der Anwendung in Frage. Sie bringt den kompletten Browser zum Absturz. Google hatte behauptet, dass einzelne Webseiten oder Anwendungen in Tabs getrennt voneinander wie einzelne Prozesse in einer Art Sandbox betrieben werden. Störungen in einem Tab sollen so in anderen Tabs angezeigte Webseiten oder aktive Webapplikationen nicht beeinflussen oder stören können. http://lists.grok.org.uk/pipermail/f...er/064203.html http://www.heise.de/newsticker/Mehre...meldung/115363 |
Zitat:
Ich studier IT-Security :) Da gibts viele Konferenzen. Black Hat, IT-Underground, Kongress des CCCs,... ;) Mit IT-Sicherheit kann man in einer Firma sicher keine Milliarden verdienen, aber ohne dem würde man schnell ein paar Milliarden verlieren(wenn die Firma nicht so groß is ein paar Millionen oder ein paar Hundertausend Euro, viel auf alle Fälle :) ) Trotzdem haben die Firmen es teilweise versäumt, darin zu investieren. Die Kriminellen stellen sich auch um. Die spionieren jetzt nicht mehr mit Hilfe eines übergelaufenen Mitarbeiters oder brechen in der Nacht ein und schaun sich die Angebote bei einer Ausschreibung der Konkurrenz an. Bei vielen Managern hat das Umdenken aber erst spät eingesetzt und jetzt schreins alle nach Datensicherung und -integrität und was weiß ich. Ich behaupte Mal, dass die Security Abteilung in einer großen Firma mindestens genauso wichtig ist, wie das Controlling, die QS, der Vorstand, das Management, die Produktion, das Marketing und was weiß ich alles. Aber gut, da könn ma ja vl beim nächsten Mal nachn Fußballspiel reden. Chris, du kannst gerne auch kommen, du bist ja auch in der IT bei der OMV, oder? Back2Topic (also fast ;) ) Ich weiß auch nicht, was genau Google mit den Daten macht. Wenn sie wissen, wo ich gestern um 18:28 gesurft bin, solln sie das wissen. Wenn sie die Daten dazu verwenden, mir auf GMail für mich interessante Werbung einzublenden, dann solln sie das tun(Ich find das nicht Mal so schlecht. Vielleicht will ich mir ja grad sowas kaufen und entdecke dann ein Schnäppchen?!) Wenn sie die Daten ewig speichern wollen, dann solln sie es tun. ABER Sie sollen die Daten nicht an Dritte weitergeben. In erster Linie nicht an Firmen und in zweiter Linie nicht an die Behörden. ALLERDINGS Wenn Google feststellt, dass jetzt irgendein User von ihnen auf ein kinderpornografisches Portal zugreift, wo sogar dortsteht, wie man kleine Mädchen anlockt ( http://www.orf.at/ticker/301121.html ), dann bin ich schon dafür, dass man sowas weiterleitet. Das darf aber nicht automatisch passieren und sollte nur im Verdachtsfall genau angeschaut werden. Leider is das wieder dehnbar. Dann kanns auch sein, dass Musikproduzent XY zu befreundeten Staatsanwalt YZ hingeht und der unter einem Vorwand sich die Daten beschafft, nur um einen Jugendfeind von Musikproduzent XY eins auszuwischen. Is halt schwierig, da eine klare Linie zu definieren. Back2Chrome http://www.mattcutts.com/blog/google...communication/ Schon mal ein Beweis, dass Google nicht soviel telefoniert, wie viele glauben... |
Zitat:
Das is wie damals beim Service Pack 3. Da wird eine BETA veröffentlicht und dann schreins alle, wenn was nicht funktioniert. Unwissenheit schützt vor Strafe nicht :) Man muss halt bedenken, Google ist jetzt nicht mal bei Version . Die haben sicher genug Programmieren und genug Tester und vor allem Systemanalytiker. Trotzdem können aufgrund der neuen Technik auch immer wieder neue Schwachstellen auftreten. War ja bei Firefox und Opera nicht anders. Aber nochmal, ES IST NUR EINE BETA :) Zitat:
|
Zitat:
warum betonst das jetz?! is im artikel eh unterstrichen... |
Zitat:
Ja, aber weil schon wieder soviel Berichte sind, dass es Fehler gibt usw... War jetzt nicht auf dich bezogen, sondern auf diese Berichte. Einerseits steht da, dass es eine Beta is, andererseits kritisieren sie im Bericht die Schwachstellen. Bissl widersprüchlich |
|
Das jeder Tastendruck automatisch an Google geschickt wird, ist ein völliger Blödsinn.
Kann jeder hier selber mit einem Netzwerkanalyse Tool herausfinden. |
naja steht auch nicht, dass er sofort gesendet wird...
wenn dann in regelmässigen abständen gleich mehrere einträge die getätigt wurden... die abtastung wird sicher nicht on-the-fly sein, sondern sicher nach eingabe oder fokusverlust... (wenn) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr. |
Powered by vBulletin Version 3.5.3 (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.