Mozilla worstelt met Vista beveiliging voor Firefox 3.0
De Mozilla stichting is er nog niet uit of het een beveiligingsmaatregel die Internet Explorer 7 in Windows Vista gebruikt, ook zal toevoegen aan Firefox 3.0. IE7 gebruikt in Vista een techniek genaamd "Protected Mode", die ervoor zorgt dat de browser alleen toegang heeft tot de tijdelijke bestanden map. Dit moet ervoor zorgen dat drive-by downloads en malware zich niet op het systeem kunnen installeren.
Eind oktober gingen de Firefox ontwikkelaars een aantal dagen bij Microsoft op bezoek om te kijken hoe Firefox de verminderde rechten feature in Vista zou kunnen gebruiken. "We spraken met zowel het UAC als IE team over hoe we onze applicatie konden klaarmaken voor het laagste permissie niveau" liet Vladimir Vukićević destijds weten.
Mozilla is nog steeds bezig om uit te zoeken wat het wel en niet kan doen. Volgens Mozilla's Mike Conner zitten er twee kanten aan het idee van de Protected Mode. "Microsoft liet weten dat het geen complete sandbox is, en sommige mensen zeggen dat aanvallers het kunnen omzeilen, en dat het de moeite niet waard is". Het hoofd van de Firefox ontwikkeling is dan ook op zoek naar de grens tussen gemak en beveiliging.
Firefox 3.0, bekend onder de codenaam Gran Paradiso, staat gepland voor de tweede helft van dit jaar, en zal tal van beveiligingsmaatregelen bevatten, hoewel het nog niet bekend is hoe de verbeterde security eruit ziet.
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Dat is net zoals een auto bouwen met airbags en zeggen: De
gordels laten we achterwege, 't is veilig genoeg zo.
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Op de meeste systemen is dit alleen per gebruiker in te
stellen, en niet per applicatie. Dus tenzij je je browser
als een andere gebruiker draait heb je daar niets aan.
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
Op de meeste systemen is dit alleen per gebruiker in te
stellen, en niet per applicatie. Dus tenzij je je browser
als een andere gebruiker draait heb je daar niets aan.
context van die gebruiker? Tenzij expliciet anders opgegeven?
Als overal op het systeem de bestandsrechten (en
registerrechten) goed staan in gesteld, zijn dit soort
kunstgrepen in Vista toch eigenlijk niet nodig?
context van die gebruiker? Tenzij expliciet anders opgegeven?
gebruiker, b.v. login draait als root.
Via een script wordt onder die temp map een programma
geinstalleerd welke draaid onder de actieve user en dat
programma doet van alles richting internet.
Oja dat heet Ajax of Web 2.0.
Hoe veilig is dit. Kom je toch weer op het punt dat de
gebruiker zo vaak ok moet klikken dat hij maar standaard ok
klikt.
Uiteindelijk is de gebruiker de risico factor.
hij nog bepaalde dingen neit doen. Het gaat erom dat
bijvoorbeeld cache bestanden of tijdelijke bestanden
helemaal niet hoeven worden uitgevoerd op de PC. Dus kan hij
in een directory met speciale rechten.
wat Mozilla nodig heeft, dan regel je dat en NIETS MEER, probleem
opgelost. Desnoods maak je zelf een schil eromheen als je niet op het OS
kunt vertrouwen.
In linux kan je een applicatie laaien draaien als andere
gebruiker, b.v. login draait als root.
Wat ik mij afvraag is hoe dit hele verhaal dan precies
geregeld is. Ik bedoel Windows Update draait toch ook vanuit
IE? Via WU worden toch ook dingen geinstalleerd? Of zie ik
het nu helemaal verkeerd? Zoals ik dit verhaal lees is WU
niet meer beschikbaar via IE, omdat IE alleen nog maar in de
TIF dir kan komen.... Ik denk ongetwijfeld fout, dus
verbeter mij aub... :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
