Ce commentaire montre bien ton incompréhension de la sécurité, tu dis toi même que tu n'y connais pas grand chose, et cela transparaît.
Ton commentaire sur le point numéro 3 est particulièrement révélateur : bien qu'il soit louable de chercher à détecter les failles en amont et à inciter les gens à reporter les failles, par exemple contre rémunération, ceci n'est absolument pas suffisant et il se trouvera toujours des personnes suffisamment motivées pour trouver des failles exploitables.
Certes DEP et ASLR aident, mais clairement ces mécanismes sont contournables et régulièrement contournés.
Chrome a clairement pris l'approche la plus proactive en matière de sécurité : faire en sorte que toute exploitation ne porte pas à de grave conséquences sur le système. Tu dis qu'il est aussi grave qu'un exploit permette d'accéder aux données de la session de navigation en cours. Certes ce n'est pas génial, mais la sandbox permet d'éviter (normalement) toute persistance de l'attaque, évite que le système entier soit compromis (et puisse donc servir de relai pour du spam ou d'autres attaques).
Alors oui effectivement Google utilise cette étude pour communiquer, mais il est indéniable que Chrome est beaucoup plus sécurisé que Firefox. Pas uniquement au niveau de la sandbox, mais également au niveau de TLS, des certificats etc.
Comment ne pas interpréter ton post comme une réaction puérile de la part de Mozilla qui se voit dépassé et qui, au lieu de réagir et de renforcer la sécurité, critique la communication ?
[^] # Re: Pas réellement exploitable ?...
Posté par cowboy . En réponse à la dépêche Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing ». Évalué à -7. Dernière modification le 23 janvier 2012 à 14:24.
Ce commentaire montre bien ton incompréhension de la sécurité, tu dis toi même que tu n'y connais pas grand chose, et cela transparaît.
Ton commentaire sur le point numéro 3 est particulièrement révélateur : bien qu'il soit louable de chercher à détecter les failles en amont et à inciter les gens à reporter les failles, par exemple contre rémunération, ceci n'est absolument pas suffisant et il se trouvera toujours des personnes suffisamment motivées pour trouver des failles exploitables.
Certes DEP et ASLR aident, mais clairement ces mécanismes sont contournables et régulièrement contournés.
Chrome a clairement pris l'approche la plus proactive en matière de sécurité : faire en sorte que toute exploitation ne porte pas à de grave conséquences sur le système. Tu dis qu'il est aussi grave qu'un exploit permette d'accéder aux données de la session de navigation en cours. Certes ce n'est pas génial, mais la sandbox permet d'éviter (normalement) toute persistance de l'attaque, évite que le système entier soit compromis (et puisse donc servir de relai pour du spam ou d'autres attaques).
Alors oui effectivement Google utilise cette étude pour communiquer, mais il est indéniable que Chrome est beaucoup plus sécurisé que Firefox. Pas uniquement au niveau de la sandbox, mais également au niveau de TLS, des certificats etc.
Comment ne pas interpréter ton post comme une réaction puérile de la part de Mozilla qui se voit dépassé et qui, au lieu de réagir et de renforcer la sécurité, critique la communication ?