Fuchs in der Sandbox

Hi

Gerade die letzte Pwn2Own hat wieder gezeigt, daß die Sandboxen von IE8 und Chrome erstmal halten. Vreugdenhil ist zwar reingekommen (IE8) konnte den Kontext der Box aber nicht verlassen (ins System rausbrechen).

An Chrome versuchte sich niemand. Charlie Miller himself hat schonmal an Chrome experimentiert:
""There are bugs in Chrome but they're very hard to exploit. I have a Chrome vulnerability right now but I don't know how to exploit it. It's really hard. They've got that sandbox model that's hard to get out of. With Chrome, it's a combination of things - you can't execute on the heap, the OS protections in Windows and the Sandbox."

Wie sieht es bei Mozilla mit sowas aus?

Warum entwickelten die Hersteller ESP? Kann niemand mehr vorausschauend genug fahren?

@Brummelchen
Wie wäre es mal mit bisschen Weiterbildung? Oder einfach nur Lesen und Verstehen (ich weiß, einfach zu lernen, schwer zu meistern...) Oder bist du etwas der Meinung, daß Firefox diese Art vom Benutzer braucht die man bei Applejüngern so gerne belächelt? Find ich nicht. Du haust aber wiedermal genau in so eine Kerbe.

Oder war mein Zitat zu Englisch für dich? Weißt du überhaupt wer Charlie Miller ist? Wenn ne Sandbox Verarsche ist dann hack doch mal eine. Heldentum, da steh ich doch voll drauf. Zeigs mir Junge. Mach hin.

Beim trüben Wetter lese ich manchmal bisschen in Apple-Foren. Da kann man sich klasse aufheitern. Hast du dir zur Aufgabe gemacht sowas auch aus Camp-Firefox zu machen? :-??

Bis die Tage. Und schönes WE noch.

http://www.downloadsquad.com/2010/03/25/pwn…t-man-standing/

Leute... Nein, ich kenn PEBKAC nicht :roll:
Wo hab ich was von IE7 geschrieben? Eine IE8 Sandbox läßt sich bis jetzt nur in ihrem eigenen Kontext aufmischen und die von Chrome nichtmal das. Sagen waschechte Hacker. Wenn die Redner auf irgendwelchen Hackerkongressen oder Hauptdarsteller auf Hackveranstaltungen es sagen, dann brauch ich nicht alle anderen Benutzer von Sandboxbrowsern auf der Welt als DAUs bezeichnen. Das ist behämmert.
Genauso behämmert wie zu fordern, daß das Hauptsystem dieser Welt komplett umgebaut oder ersetzt wird. Von heute auf morgen.

Was wir nicht haben braucht keiner, weil wir sind die besten, klugsten und vor allem schönsten und alles andere ist ja Verarsche. Das ist doch purer Schmarrn.

Und wenn die Hacker jetzt langsam lernen auch unter ASLR auf 32bit Treffer zu landen und es sich langsam rausstellt, daß ASLR einen realen Nutzen nur auf 64bit Systemen mit 64bit Software hat und ich nach einem off. Release vom 64bit Fx fragen würde, dann ist auch ASLR eh nur eine Verarsche? Zum meinen Glück scheinen PaX und ExecShields zu funktionieren (jednefalls besser als die weak methods im off. 2.6 Kernel bis jetzt)

Am Anfang war nur eine Anfrage. Ich möchte hier nicht rumtoben, weil Mozilla diesen Trend erstmal verpasst hat. Der ewig unqualifizierte "wir sind die schönsten"-Mist nervt aber. Ich komm mir nach 2 Beiträgen fast schon so vor als wenn ich Fx was böses wollen würde

Leute die mit ihren ausgeputzten Lorbeerkränzen Stagnation prädigen muß man sofort als BREMSER entlarven.

Allgemein möchte ich als engagierter Benutzer natürlich keineswegs aufgeben, aber hier war ich mit meiner Anfrage jedenfalls falsch. Vertane Lebenszeit. Daher eod und tschüß.

p.s.:

Zitat von Brummelchen

Der nächste Aspekt wäre ja - darf man Mozilla dann auch für die Verfehlungen
von Drittanbietern verantwortlich machen

Dann find ich Mozillas Bemühungen das Handling von Plugins zu ändern ebenfalls für total unnötig.

Naja wie dem auch sei. Man muß halt zwangsläufig anerkennen, daß z.B. Chrome durch seine Sandbox um Welten "härter" ist als Firefox.
Wenn man diese Tatsache auf theologische Ebene runterzieht und mit dem Nebenthema, wer denn jetzt genau für was die direkte Verantwortung trägt, davon ablenken will, dann wird sich das auch in Zukunft nicht ändern.

Übrigens solltest du das nicht so dramatsich darstellen, falls du mich in einem Thread nicht unterstützt. Soetwas ist für mich von keiner großen Relevanz.
Sonst tut es mir leid für dich, aber ~90% der Benutzer sind "unbedarft". Genauso wie mind. 90% der Autofahrer ihr Auto nicht selbst reparieren können und 90% der Bürger sich selbst vor Gericht auch theoretisch nicht vernünftig vertreten könnten. 80% der Leute die mal eine Knipse dabei haben sind unbedarfte Fotografen und genausoviele ernähren sich unbewußt falsch.

Keine Ahnung in welchem Linuxsouterrain (?) du dich eingeniestet hast, aber auf 20 Sachen die ein Bürger selbst erledigt stellt er sich aus der Sicht des jeweiligen Fachmanns bei 19 davon unbedarft. Kannst du mir folgen?

Straßenverkehr funktioniert zahlenmäßig fast zu 100% so Und es funktioniert. Wer gegen einen technischen Gimmick der die Unfallgefahr bzw. Verletzungsgrade nachweislich stark mindert (ABS, ESP, Tagfahrlicht wenigstens auf Landstraßen, Airbags, Knautschzonen, Gurte) mit deinen leichtsinnigen Sprüchen argumentieren würde, den erklärt man direkt für bekloppt. Warum das ausgerechnet beim Theman Fx und Sandbox nicht der Fall sein sollte läßt sich auf eine plausible Art kaum erklären.

Eigentlich kannst du dich noch glücklich schätzen auf einer Firefox Fanbyoseite darüber mit mir diskutiert zu haben. In Foren der gehobenen Klasse bei solchen Themen, wie Planet3Dnow, 3DCenter, Winhelpline usw., wärest du mit dem Gaga bereits nach Minuten in der Luft zerrissen :klasse: Ich denke aber da hast du dich auch noch nie gewagt solche Papplanzen für nichts und wieder nichts zu brechen.

Nun ja. Wahrscheinlich kommt das beim Fx und wird dann einfach nur gut sein, wenn wirklich alle anderen Hersteller eine Sandbox einsetzen und Mozilla als letzten nachziehen werden. Dann wird das beim Erscheinen eine logische und sinnvolle Entwicklung werden

Ciao.