個人積分:128分
文章編號:18730942
個人積分:311分
文章編號:18732002
個人積分:484分
文章編號:18733459
個人積分:636分
文章編號:18734501
個人積分:311分
文章編號:18734596
個人積分:91分
文章編號:28140619
個人積分:1430分
文章編號:28141544
個人積分:2071分
文章編號:28144204
Google反駁VUPEN:Chrome漏洞其實是Flash臭蟲
Google Chrome的沙箱, 可說幾乎是終極大絕~ 也是Google 用來宣傳Chrome高安全性的重點.
結果一個Flash的Bug,就讓Google Chrome的沙箱破功了...
因為Flash的source code只在Adobe自己手上, 就算Apple或Goolgle有source code, 也只能乾著急.
等Adobe把bug修掉... 也就是不管多固若金湯的系統, 也經不起Flash這個狗洞, 整個系統的安全性, 等於
是交在Adobe一家公司的手上,還要看它的臉色爽不爽修bug. 這種問題這麼大的東西, 還好Jobs都不想用....
與失敗為伍者,天天靠盃都是別人的錯。
與成功為伍者,天天跟失敗切磋直到不再出錯。
個人積分:484分
文章編號:28155971
個人積分:371分
文章編號:28158689
cbmtvb wrote:
那為何不把 Flas...(恕刪)
Flash 在 Chrome 使用的基本架構還是一個 NPAPI,所謂的 Sandbox,「箱子」本體就是 Flash Plugin,「箱」住的對象只是 SWF/ActionScript。Flash Plugin 這個應用程式本身還是一個使用機器原生碼執行的程式,只有作業系統本身的權限能夠限制他不去作一些離譜的壞事。
舉一個比較容易理解的例子:
Microsoft、Apple、Google 三家「建設公司」各自蓋了一棟辦公大樓,然後委託 Adobe 幫他們裝電梯。問題是 Adobe 牌電梯老是出狀況,三不五時就用電超過負載,速度忽快忽慢,甚至會讓控制命令直接反饋到大樓中控管理系統,讓整棟大樓跳電。Adobe 對外宣稱他們和 Google「建設公司」合作提供多少多少安全機制云云,結果這些所謂的「安全機制」是在電梯車廂內加裝防盜監視器、煙霧監測器、一氧化碳監測器、地震感測器,但是對於這台電梯本身的機電控制系統,卻沒有多加著墨。
