Sicherheit Browser
-
Wie hoch ist die Sicherheit eines selbstgeschriebenen Browsers auf WebKit Basis?
Da mein Browser alle Downloads und Pop-ups blockt, müsste er doch (fast) unverwundbar sein oder sehe ich das falsch?
-
Das siehst du falsch. Ich sehe den Zusammenhang zwischen Sicherheitslücken im Browser und Downloads nicht. Und ob der Schadcode auf der Seite selbst oder in einem Popup steht, ist auch egal.
-
Viren, Trojaner und Spyware kommen doch nur durch Downloads auf den Rechner, oder nicht?
-
Girly schrieb:
Viren, Trojaner und Spyware kommen doch nur durch Downloads auf den Rechner, oder nicht?
Jain.
http://de.wikipedia.org/wiki/Exploit
http://de.wikipedia.org/wiki/Pufferüberlauf
-
Einfaches Beispiel.
Du hast ein Bildformat in dem die größe des Bildes steht.
(Bild beliebig ersetzbar durch anderes Dateiformat)Ein Browser ließt die Daten ein um sie anzuzeigen.
Der Programmierer verläßt sich auf die Angabe der Größe im Bildformat und resaviert so viel Speicher.
(Oder macht einen anderen Fehler bei der Bestimmung der größe der tatsächlich ankommenden Daten)Hacker macht die Angabe kleiner als die wirkliche Bildgröße.
Es kommen zu viele Daten => Pufferüberlauf. Es wird anderer fremder Speicher überschrieben. Hier liegt zufällig Code der ausgeführt werden soll.
Hacker hat es so geschickt gemacht, dass die Bilddaten auch als Programm interpretiert werden können.Hacker kann also Programm im Bild verstecken und einschleusen.
=> Virus auf dem Computer ohne Download.So in der Art läuft das ab.
Traust du WebKit mehr als den "normalen" Browsern keine Fehler zu haben?
-
Will also heissen, dass die einzige Gefahr solche Angriffe sind? Da ich kaum glaube, dass jemand speziell meinen Browser angreifen will, ist er also doch sehr sicher, oder nicht? (bzw. sicherer als z.B. der IE)
-
Girly schrieb:
Will also heissen, dass die einzige Gefahr solche Angriffe sind? Da ich kaum glaube, dass jemand speziell meinen Browser angreifen will, ist er also doch sehr sicher, oder nicht? (bzw. sicherer als z.B. der IE)
Nein O.o
-
Sicherer ist er nicht, wahrscheinlich macht sich aber niemand die Mühe, für deinen Browser ein Exploit zu schreiben, wenn du ihn vollständig selbst schreiben würdest. Da du aber WebKit benutzen möchtest, bist du natürlich anfällig für alle WebKit-Exploits und hast zudem sicher nicht Techniken wie Sandbox o.ä. implementiert, um die Schäden in solchen Fällen zu minimieren.
-
Girly schrieb:
Viren, Trojaner und Spyware kommen doch nur durch Downloads auf den Rechner, oder nicht?
Wie soll der Browser funktionieren, ohne dass du etwas runterlädst? Du musst ja irgend wie an die Informationen (HTML, Bilder etc.) der Webseite kommen.
Girly schrieb:
Will also heissen, dass die einzige Gefahr solche Angriffe sind? Da ich kaum glaube, dass jemand speziell meinen Browser angreifen will, ist er also doch sehr sicher, oder nicht? (bzw. sicherer als z.B. der IE)
Du nutzt doch Webkit. Also bist du maximal so sicher wie Webkit. Je nachdem was du sonst machst, baust du vielleicht sogar zusätzliche Gefahrenquellen ein.
-
Textbrowser sind am sichersten.
-
Girly schrieb:
Viren, Trojaner und Spyware kommen doch nur durch Downloads auf den Rechner, oder nicht?
Nicht ganz ! Track doch einfach mal den Traffic mit und du siehst, was da alles durchgeht !
-
...
-
!!!
