Google Chrome

[Free]

man beachte den untersten satz in der aufzählung

[Chris B.]

Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken.

http://raffon.net/research/google/chrome/carpet.html



Darüber stellt eine weitere Demo die angepriesene Stabilität und Integrität der Anwendung in Frage. Sie bringt den kompletten Browser zum Absturz. Google hatte behauptet, dass einzelne Webseiten oder Anwendungen in Tabs getrennt voneinander wie einzelne Prozesse in einer Art Sandbox betrieben werden. Störungen in einem Tab sollen so in anderen Tabs angezeigte Webseiten oder aktive Webapplikationen nicht beeinflussen oder stören können.

http://lists.grok.org.uk/pipermail/f...er/064203.html


http://www.heise.de/newsticker/Mehre...meldung/115363

[reini]

Zitat:

Zitat von Steve Guess

@ reini:

haben uns schon eine zeit lang damit beschäftigt, aber in diesem jahrgang kommts nochmal ganz genau. da gehts dann um serverkonfiguration, serverhacking (muss man auch können) und schutzmaßnahmen. gegen hackangriffe ist das einzig wirkungsvolle ja eh eine hardware firewall.

ich behaupte mal ganz wage: alles andere IST (in absehbarer zeit etcpp) zu knacken...

aber penetration testing find ich schon sehr interessant, aber ich vermute ich werd mich da eher langweilen anfangs (bzw. hab mich bei dem kurzen "ausflug" dorthin gelangweilt).

der vorteil: unser lehrer ist der ÄRGSTE geek dens gibt. der betreut seit 35 jahren sap system hat fast alle mbc's und ist jährlich auf diesen hacking treffen, bei denen neue systeme auf ihre sicherheit überprüft werden. (mir fällt grad der name nicht ein... black convention, kann das sein?)

was studierst du?

lg

Ich studier IT-Security

Da gibts viele Konferenzen. Black Hat, IT-Underground, Kongress des CCCs,...
Mit IT-Sicherheit kann man in einer Firma sicher keine Milliarden verdienen, aber ohne dem würde man schnell ein paar Milliarden verlieren(wenn die Firma nicht so groß is ein paar Millionen oder ein paar Hundertausend Euro, viel auf alle Fälle )
Trotzdem haben die Firmen es teilweise versäumt, darin zu investieren. Die Kriminellen stellen sich auch um. Die spionieren jetzt nicht mehr mit Hilfe eines übergelaufenen Mitarbeiters oder brechen in der Nacht ein und schaun sich die Angebote bei einer Ausschreibung der Konkurrenz an.

Bei vielen Managern hat das Umdenken aber erst spät eingesetzt und jetzt schreins alle nach Datensicherung und -integrität und was weiß ich.

Ich behaupte Mal, dass die Security Abteilung in einer großen Firma mindestens genauso wichtig ist, wie das Controlling, die QS, der Vorstand, das Management, die Produktion, das Marketing und was weiß ich alles.

Aber gut, da könn ma ja vl beim nächsten Mal nachn Fußballspiel reden.
Chris, du kannst gerne auch kommen, du bist ja auch in der IT bei der OMV, oder?

Back2Topic
(also fast )
Ich weiß auch nicht, was genau Google mit den Daten macht. Wenn sie wissen, wo ich gestern um 18:28 gesurft bin, solln sie das wissen.
Wenn sie die Daten dazu verwenden, mir auf GMail für mich interessante Werbung einzublenden, dann solln sie das tun(Ich find das nicht Mal so schlecht. Vielleicht will ich mir ja grad sowas kaufen und entdecke dann ein Schnäppchen?!)
Wenn sie die Daten ewig speichern wollen, dann solln sie es tun.

ABER

Sie sollen die Daten nicht an Dritte weitergeben. In erster Linie nicht an Firmen und in zweiter Linie nicht an die Behörden.

ALLERDINGS

Wenn Google feststellt, dass jetzt irgendein User von ihnen auf ein kinderpornografisches Portal zugreift, wo sogar dortsteht, wie man kleine Mädchen anlockt ( http://www.orf.at/ticker/301121.html ), dann bin ich schon dafür, dass man sowas weiterleitet. Das darf aber nicht automatisch passieren und sollte nur im Verdachtsfall genau angeschaut werden.
Leider is das wieder dehnbar. Dann kanns auch sein, dass Musikproduzent XY zu befreundeten Staatsanwalt YZ hingeht und der unter einem Vorwand sich die Daten beschafft, nur um einen Jugendfeind von Musikproduzent XY eins auszuwischen.
Is halt schwierig, da eine klare Linie zu definieren.

Back2Chrome

http://www.mattcutts.com/blog/google...communication/

Schon mal ein Beweis, dass Google nicht soviel telefoniert, wie viele glauben...

[reini]

Zitat:

Es handelt sich bei Googles neuem Webbrowser Chrome ja derzeit offiziell eigentlich nur um eine Beta-Version. Allerdings finden sich in dieser am gestrigen Dienstag zum Download freigegebenen Version Schwachstellen, die kombiniert zu einer Sicherheitslücke anwachsen, sodass man derzeit von größeren Tests auf Produktiv-Systemen absehen sollte. Bei Google selbst soll der Browser aber indes bereits fleißig auf Arbeitsplatzsystemen zum Einsatz kommen.

Das is wie damals beim Service Pack 3.
Da wird eine BETA veröffentlicht und dann schreins alle, wenn was nicht funktioniert.

Unwissenheit schützt vor Strafe nicht

Man muss halt bedenken, Google ist jetzt nicht mal bei Version . Die haben sicher genug Programmieren und genug Tester und vor allem Systemanalytiker. Trotzdem können aufgrund der neuen Technik auch immer wieder neue Schwachstellen auftreten.
War ja bei Firefox und Opera nicht anders.
Aber nochmal, ES IST NUR EINE BETA

Zitat:

Zitat von Wikipedia

Der Begriff ist nicht exakt definiert, als Faustregel zur Abgrenzung einer Beta-Version von anderen Versionen gilt in der Regel, dass zwar alle wesentlichen Funktionen des Programms implementiert, aber noch nicht vollständig getestet sind und das Programm daher vermutlich noch Fehler enthält.

[Chris B.]

Zitat:

Zitat von reini

Das is wie damals beim Service Pack 3.
Da wird eine BETA veröffentlicht und dann schreins alle, wenn was nicht funktioniert.

Unwissenheit schützt vor Strafe nicht

Man muss halt bedenken, Google ist jetzt nicht mal bei Version . Die haben sicher genug Programmieren und genug Tester und vor allem Systemanalytiker. Trotzdem können aufgrund der neuen Technik auch immer wieder neue Schwachstellen auftreten.
War ja bei Firefox und Opera nicht anders.
Aber nochmal, ES IST NUR EINE BETA

warum betonst das jetz?! is im artikel eh unterstrichen...

[reini]

Zitat:

Zitat von Chris B.

warum betonst das jetz?! is im artikel eh unterstrichen...

Ja, aber weil schon wieder soviel Berichte sind, dass es Fehler gibt usw...
War jetzt nicht auf dich bezogen, sondern auf diese Berichte.

Einerseits steht da, dass es eine Beta is, andererseits kritisieren sie im Bericht die Schwachstellen. Bissl widersprüchlich

[Chris B.]

http://www.vistablog.at/stories/30728/

[reini]

Das jeder Tastendruck automatisch an Google geschickt wird, ist ein völliger Blödsinn.

Kann jeder hier selber mit einem Netzwerkanalyse Tool herausfinden.

[Chris B.]

naja steht auch nicht, dass er sofort gesendet wird...

wenn dann in regelmässigen abständen gleich mehrere einträge die getätigt wurden... die abtastung wird sicher nicht on-the-fly sein, sondern sicher nach eingabe oder fokusverlust... (wenn)