BSI-Position zu Google-Chrome

Bonn, 9. September 2008. Unmittelbar nach Veröffentlichung der Beta-Version des neuen Browsers Google Chrome unterzog das BSI das Produkt einer ersten fachlichen Prüfung und hat insbesondere bereits bekannt gewordene Schwachstellen nachvollziehen können.

siehe milw0rm:
Google Chrome Browser 0.2.149.27 (SaveAs) Remote BOF Exploit
Google Chrome Browser 0.2.149.27 Inspect Element DoS Exploit
Google Chrome Browser 0.2.149.27 (1583) Remote Silent Crash PoC
Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability
Google Chrome Browser 0.2.149.27 Automatic File Download Exploit

arrrr, exploitz… oh veraltert

Bedenklich ist in diesem Zusammenhang, dass das Produkt als Beta-Version einer breiten Öffentlichkeit zur Verfügung gestellt wird, z. B. als Download-Link auf www.google.de, ohne dass auf die Eigenschaften von Beta-Versionen und bei deren Einsatz zu treffende Vorsichtsmaßnahmen hingewiesen wurde.

Beta-Versionen sollten grundsätzlich nicht für den allgemeinen Gebrauch eingesetzt werden. Hersteller stehen hier in der Verantwortung, potenziellen Nutzern entsprechende Hinweise zu geben. Diese Forderung gilt in gleicher Weise für alle Anbieter von Browsern, die Beta-Versionen zur Verfügung stellen, wie es derzeit zum Beispiel Google, Mozilla und Microsoft tun.

Argument zu ‘beta’ Software betrifft nicht alleine Chrome.
(Hey openssl 1.0 irgendwer?)

Aus Sicht der IT-Sicherheit ist ein ausreichender Wettbewerb bei Schlüsselkomponenten wie Browsern zu begrüßen. Technisch bietet Google Chrome vielversprechende Ansätze, wie die Isolierung einzelner Webseiten auf Prozessebene, wie dies in ähnlicher Weise auch von Microsoft für den Internet Explorer 8 vorgesehen ist.

Die Quelloffenheit von Google Chrome ermöglicht, ebenso wie beim Mozilla Firefox, eine Prüfung der sicherheitstechnischen Funktionen durch unabhängige Experten und kann somit zu einer Erhöhung des IT-Sicherheitsniveaus beitragen.

Zwei Argumente fuer chrome.

Grundsätzlich sollte Software, die nicht ausschließlich zu Testzwecken zur Verfügung gestellt wird, ausreichend getestet und geprüft sein.

Whatever.

Daten werden gesendet
Wer in der Searchbar Google als Suchmaschine mit Auto-Vervollstaedigung eingetragen hat sendet seine Eingabe an Google. Unabhaengig vom Browser (firefox/chrome). Hallo? Wie soll das sonst funktionieren?

Wer Schutz vor Phishing will, muss seine Seiten mit irgendwem abgleichen. Gibt es neben google safebrowsing andere kostenlosen Dienste?

In Zukunft wird das nicht weniger: siehe zurueckgezogene SSL Zertifikate. (Ohja, sag jedesmal Verizon Bescheid wenn ich Online Banking machen will…)

Und dann wollen wir nicht vergessen das alle aufgerufene Seiten bei den eingetragenen DNS Servern geloggt werden koennen. Aber naja, Google hat eine funktionierende Suchmaschine, sowas sollte einem schon Angst machen.

Hach altavista, warum? (boah wie ich yahoo hasse…)

acer and external vga

Works as expected


xrandr --output LVDS --auto --output VGA --auto

xrandr --output LVDS --auto --output VGA --off


After adding this to /etc/X11/xorg.conf Section “Screen”

SubSection "Display"
Viewport   0 0
Depth     24
Modes    "1024x600" "800x600" "640x480"
Virtual    2048 768
EndSubSection

Firefox 3 Feature Request #123394891

I noticed the little game you implemented in ff3. I think I can ‘acknowledge’ ‘invalid’ ssl certificates permanently in less than one second.
But some sites, maybe two out of hundred, fail to start the game, I  mean the dialog does not pop up.

And please add more levels: I’d suggest to display warnings on http only websites and for automatic https redirects too.

hello cthulhu

I recently came about “The Misadventures of Hello Cthulhu” and especially the hello cthulhu ubuntu gdm login screen.

Well, I packaged it: HumanCthulhu.tar.gz

After downloading rename it to “HumanCthulhu.tar.gz” and use System/Administration/Login Window to add it to your gdm.