Firefox ha qualcosa di simile ad ActiveX in termini di vulnerabilità della sicurezza?

La gente dice sempre che Linux è più sicuro di Windows. Il motivo principale sembra essere la filosofia generale di progettazione del sistema e il fatto che gli utenti sono utenti e non root.

Una delle principali preoccupazioni di sicurezza quando si utilizza Windows e Internet Explorer sembra essere ActiveX. Ogni pochi giorni leggo di un altro tipo di exploit usando ActiveX, e quasi sempre la soluzione è disattivare ActiveX. Ho letto che così spesso mi chiedo perché le persone si preoccupino di attivare ActiveX. (Un motivo potrebbe essere che il nome contiene "attivo"; un altro potrebbe essere la funzione di aggiornamento di Windows.)

Usando Ubuntu e Firefox, mi sento sempre così sicuro quando leggo degli exploit ActiveX. So che ci sono molte altre vulnerabilità di sicurezza che utilizzano JavaScript e / o Adobe Flash, ma per quanto ne so quel tipo di vulnerabilità di sicurezza può fare solo il danno che i miei diritti utente mi consentono. Ovviamente ciò non aiuta molto quando il malware vuole distruggere tutti i miei dati, ma la maggior parte dei malware oggi vuole solo usare il mio PC come drone botnet e quindi non è interessato a distruggere i miei dati.

Quindi di nuovo la domanda: Firefox in esecuzione su Ubuntu ha qualcosa di simile ad ActiveX, in termini di vulnerabilità della sicurezza?

Un'altra domanda che potrebbe essere identica: una vulnerabilità di sicurezza che coinvolge Adobe Flash e / o JavaScript può essere "facilmente" sfruttata per fare più danni di un exploit ActiveX?

Quando dico "facile" intendo che l'attacco non ha bisogno di sfruttare un altro componente del sistema per elevare i diritti dell'utente. Ad esempio, un exploit che coinvolge Adobe Flash otterrà l'accesso al mio PC utilizzando i miei diritti utente, quindi procederà a sfruttare alcune vulnerabilità note Xper ottenere l'accesso root. Non è "facile".

Firefox sotto Ubuntu ha qualcosa di simile a activeX, in termini di vulnerabilità della sicurezza?

'ActiveX' può essere considerato in due parti, il modello a oggetti e il metodo di installazione. Firefox ha qualcosa di simile - e compatibile multipiattaforma, Ubuntu o altro - per entrambi.

Il modello a oggetti di ActiveX è Microsoft COM ; L'equivalente di Firefox è XPCOM . Molte altre funzionalità e applicazioni di Windows che non hanno nulla a che fare con la navigazione Web utilizzano MS COM e ci sono stati tradizionalmente infiniti problemi in cui i controlli COM che non erano stati scritti per un utilizzo sicuro del Web erano comunque disponibili per le pagine Web. Ciò ha causato molti compromessi. Firefox è meglio qui perché XPCOM non è condiviso con il resto del sistema. Le versioni più recenti di IE hanno controlli migliori per mitigare quali siti sono autorizzati a utilizzare quali controlli.

(Come problema secondario, poiché molti componenti aggiuntivi per Firefox sono essi stessi scritti in JavaScript, un linguaggio di scripting di alto livello, sono spesso più sicuri dagli errori di overflow del buffer e di gestione delle stringhe rispetto alle estensioni per IE che sono comunemente scritte in C [ ++].)

La parte di controllo-downloader di ActiveX è stata anche ripulita un po 'dai vecchi tempi in cui qualsiasi cosa nella zona Risorse del computer poteva installare qualsiasi software che gli piaceva e gli script aggressivi del caricatore potevano intrappolarti in un alertciclo fino a quando non hai accettato di approvare ActiveX richiesta. L'equivalente di Firefox, XPInstall , si comporta in gran parte in modo simile, con la "barra delle informazioni" su tutti i siti tranne Mozilla per impostazione predefinita e un avviso / prompt adeguato prima dell'installazione.

Esiste un altro modo integrato per scendere a compromessi in Mozilla: gli script firmati . Non l'ho mai visto effettivamente utilizzato, e sicuramente ci sarà un'altra finestra di avviso prima che uno script ottenga diritti extra, ma mi preoccupa che questo sia disponibile per le pagine web.

ad esempio un exploit tramite flash otterrà l'accesso al mio pc sotto i miei diritti utente

Sì, la maggior parte degli exploit Web si verificano oggi nei plug-in. Adobe Reader, Java (*) e QuickTime sono i più popolari / vulnerabili. IMO: sbarazzati di quelli e usa FlashBlock per mostrare Flash solo quando lo desideri.

(*: e i dialoghi di Java prima che ti consentano di rinunciare a tutta la sicurezza ad alcune applet non attendibili sono anche un po 'spogli.)

Ubuntu ti offre alcuni plugin discutibili per impostazione predefinita, in particolare un plug-in lettore multimediale che renderà sfruttabile ogni vulnerabilità in uno qualsiasi dei tuoi codec multimediali attraverso il web (simile al plug-in Windows Media Player, potenzialmente solo con molti più formati). Mentre devo ancora incontrare un exploit indirizzato a Linux in questo modo, questa è davvero solo sicurezza attraverso l'oscurità.

Si noti che ActiveX stesso non è diverso. Un compromesso del browser Web basato su ActiveX fornisce ancora solo l'accesso a livello di utente; è solo perché prima di Vista tutti abitualmente eseguivano tutto come amministratore che si trasformava in un rooting completo.

e quindi seguire per sfruttare alcune vulnerabilità note in X per ottenere i diritti di root. non è "facile".

Forse sì forse no. Ma penso che troverai che il danno che alcuni malware possono fare anche da un normale account utente è abbastanza grave. Copia tutti i tuoi dati personali, osserva i tuoi tasti premuti, elimina tutti i tuoi documenti ...

Dipende dalla natura della vulnerabilità. A volte sei "fortunato" e la vulnerabilità "solo" consente una divulgazione limitata, ma spesso le vulnerabilità consentono l'esecuzione di codice arbitrario. A quel punto, sei nel profondo del doo-dah, profondo quanto i problemi di ActiveX. E questi buchi possono essere nella gestione di file di immagine (immagini dannose), o di suono, o quasi qualsiasi altra cosa.

ActiveX era peggio perché forniva agli autori di codice un modo per dichiarare "Se questo è installato, è sicuro fare riferimento da una pagina Web" e molti programmatori lo hanno attivato senza comprenderne le implicazioni, quindi c'erano molti target e sarebbe facile uscire. Ma hai la stessa esposizione da una cattiva gestione di numeri strani nei file di immagini. È solo che i problemi del file immagine vengono risolti aggiornando il browser.

L'unica difesa contro tutto ciò è l'uso del sandboxing, che limita ciò che un processo in esecuzione come utente può fare. OpenBSD è stato il pioniere a renderlo popolare con la separazione dei privilegi di vari demoni (in particolare OpenSSH, quindi lo stai usando su Ubuntu ora). Chrome ha reso popolare questo per i browser Web, ma ha sandboxing solo su alcune piattaforme. Ironia della sorte, forse per un po 'probabilmente sei stato più sicuro con Chrome su Windows rispetto a qualsiasi browser grafico su Linux. Fortunatamente, questo sta cambiando. Credo che una protezione parziale sia ora disponibile nelle versioni di Linux.

http://www.cl.cam.ac.uk/research/security/capsicum/ è utile se vuoi esplorare i sistemi di funzionalità per sandbox e vedere come le cose potrebbero andare meglio.

AFAIK un exploit ActiveX non può arrecare danno al di fuori dei diritti dell'utente (senza utilizzare altri exploit, come indicato). Il problema principale su Windows era che quasi tutti lavoravano come amministratore per la maggior parte del tempo ...

Voglio solo ricordare che Linux è teoricamente meno sicuro di Windows 7, che ha alcune interessanti funzionalità di sicurezza.

Il motivo per cui non ci sono virus Linux è lo stesso perché non ci sono quasi giochi commerciali Linux: i produttori vanno con le masse e le masse usano Windows.

Quindi il modo più sicuro è usare prodotti alternativi (come Firefox qualche anno fa, oggi gli exploit di Firefox sono usati abbastanza spesso).

Ora per rispondere alle tue domande: per quanto ne so, gli exploit ActiveX non riguardano Firefox.

Mi sento abbastanza sicuro navigando con Linux e Firefox, tuttavia l'utilizzo di Opera potrebbe essere più sicuro in quanto Opera è molto meno popolare.

Quello che dovresti considerare è avere una password sicura se il tuo SSH è aperto a Internet in quanto ci sono molti scanner che provano a hackerare il tuo ssh per installare cose strane sul tuo PC (disabilita l'accesso root diretto in / etc / ssh / sshd_config).

Penso che la maggior parte degli altri attacchi siano specifici per un utente, quindi se non hai segreti aziendali o nemici in generale il tuo Computer dovrebbe essere abbastanza sicuro.