Re: Textová zpráva

Jindroush jindroush na seznam.cz
Pátek Prosinec 16 17:47:12 CET 2022 

Ano, veskere exploity jsou dnes multi-stage, tj. musite zpusobit chybu, 
dostat tam svuj kod, utect ze sandboxu, zvysit si privilegia atd. A 
kazda z tech veci ma omezeny pocet cilovych systemu/zarizeni.
A jak jsem psal - tyhle "chytry" veci jsou
a) tajny, tj. nejsou k nim opravy -> jsou drahy, v radech statisicu 
dolaru a tim padem se pouzivaji na velmi vytezne cile
b) verejny, tj. jsou k nim opravy (a nekdy vzniknou exploity az po 
zverejneni opravy) a lze se jim branit hygienou/av nastroji (omezene na 
Androidu).

Jinak prave proto, ze hodne tech veci je multi-stage, staci 
zaktualizovat jednu komponentu a uz ten retezec nemusi fungovat. Typicky 
prohlizec je vec, ktera muze byt aktualni na libovolnem OS (za 
predpokladu, ze ten prohlizec pro takovy OS vubec existuje, ale takovemu 
OS je pak z bezpecnostnich duvodu dobre se zcela vyhnout).

J.

On 16.12.2022 16:42, Miroslav Mraz wrote:
> Já také nejsem odborník na bezpečnost, ale s webem jsem si poslední 
> dobu dost hrál, takže jsem poznal, že dostat se javascriptem na 
> lokální soubory je docela problém. Ty skripty běží v browseru v 
> nějakém sandboxu, který vás ven nepustí. To je třeba hlavní důvod, 
> proč skončily třeba java aplety. Ty vás na lokál normálně pustily.
> Takže zbývá nějaká bezpečnostní díra a nebo spoléhat na blbost 
> uživatele a nechat ho, aby si nainstaloval škodlivý kód sám. Ta druhá 
> možnost je asi pravděpodobnější, díru dříve či později někdo zalepí 
> ale blbost lidská je věčná.
>
> Mrazík
>
> On 16. 12. 22 15:57, Petr Labaj wrote:
>> Ještě jsem tam zapomněl napsat: Javascript má myslím všelijaké metody 
>> "onload"
>> a podobně, které se spustí hned po natažení stránky. Takže není třeba 
>> ani na nic
>> na té zobrazené stránce kliknout. Stačí, aby ten škodlivý kód byl 
>> právě v nějaké
>> takové samo-se-spouštející rutině.
>>
>> PL
>>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


-- 
Jindroush <jindroush na seznam.cz>

Další informace o konferenci Hw-list