24/03/2009 @ 10:24:43: Google - Chrome, seul navigateur à résister au piratage ?
Lors du forum CanSecWest qui s'est tenu du 18 au 20 mars au Canada (à Vancouver), Internet Explorer, Firefox et Safari ont tous trois été cassés durant les différents concours de hacking organisés pour l'occasion. Les navigateurs pour plates-formes mobiles (Blackberry, Windows Mobile, Android, iPhone ou encore Symbian) ont suivi le même chemin. Seule exception, Chrome a réussi à tenir le coup. A la décharge des éditeurs, il est vrai que ce concours rassemble les plus grands experts mondiaux de la sécurité informatique.
Source: Reuters
Auteur: Nic007
24/03/2009 @ 11:26:40: ovh: Chrome, seul navigateur à résister au ...
Bah, Chrome est assez récent, c'est sans doute pour ça, mais son tour viendra :spamafote: Et plus il sera populaire, plus il sera visé :wink:
24/03/2009 @ 11:39:40: gizmo: Chrome, seul navigateur à résister au ...
Non, pas vraiment, le problème est ailleur. Si l'on regarde comment sont réalisé les exploits actuels, on voit qu'ils reposent sur deux parties distinctes d'un problème:
  1. Trouver une anomalie comportementale dans le browser
  2. Ecrire un code qui puisse en tirer partie


Et c'est cette deuxième partie qui est la plus dure. Il y a déjà de nombreuses failles identifées pour le moteur de Chrome lui-même, mais le problème est d'arriver à les exploiter.
Avoir une faille ne suffit pas, il faut ensuite passer les protections de sandboxing qui sont mis sur le moteur html, le moteur JS, la couche applicative, et enfin l'OS.

Or, actuellement Chrome a très bien découplé les différentes couches, ce qui les rends moins vunérables aux interdépendances, et il a un atout supplémentaire par rapport à Firefox et Safari: il tourne sur Windows (ne riez pas!).
En effet, Windows a tellement été la cible de divers attaques qu'ils on mis en place tout une série de mécanismes pour tromper l'ennemi, en jouant notamment sur les attributions d'emplacements mémoire, ce qui rend l'exploit nettement plus délicat (ok, maintenant que mon code est en mémoire, comment y accéder?).

On verra quand il sera porté sur OS X et linux :wink:
24/03/2009 @ 11:40:27: Poire: Chrome, seul navigateur à résister au ...
Oui mais il est basé sur le moteur de Safari, donc ils ont dut faire un effort quand même :tongue:
24/03/2009 @ 11:41:56: gizmo: Chrome, seul navigateur à résister au ...
Oui mais il est basé sur le moteur de Safari, donc ils ont dut faire un effort quand même :tongue:


Le moteur de rendu HTML uniquement. Le moteur JS est différent, et surtout, la manière dont ils inter-agissent en completement différente.
24/03/2009 @ 12:59:04: ovh: Chrome, seul navigateur à résister au ...
Il faut reconnaître que c'est un programme récent et d'après la bd qu'ils avaient publiée à l'époque, ils avaient l'air d'avoir bien réfléchi à la sécurité :grin:
24/03/2009 @ 22:29:06: : Chrome, seul navigateur à résister au ...
Le pirate de cette conférence expliquait que cracker Safari sur MacOS était facile parce que Safari est un gruyère et que MacOS n'avait aucune protection contre les exploits. Au contraire Windows est très bien protégé contre les exploits (stack non exécutable, allocation mémoire avec adresse aléatoire, etc). Firefox sous Windows était donc selon lui le browser le plus difficile à choper à cause de sa qualité et à la résistance de Windows. Chrome tournant uniquement sous Windows, il profite aussi de la protection de l'OS et ajoute son propre "sandboxing" qui est un des concepts de base du navigateur. Bref, du très très dur à pirater.