Am 2. September 2008 Keine Anmerkung2 September 2008 No Comment

scheint, dass jeder über den neuen Browser von google genannt Chrom … google spricht, sogar machte ein komisches Buch über das Produkt …seems like everyone is talking about google’s new browser called chrome… google even made a comic book about the product…

der Komiker beschreibt viel davon, wem in Chrom eintrat und es scheint, dass google einige sehr interessante Designentscheidungen, wie das Bilden davon eine Mehrprozess-Anwendung statt einfach Mehrgewinde-, oder ihr neuer javascript Motor … traf, gewinnt es auch das google ästhetische ganz gut … the comic describes a lot of what went into chrome and it sounds like google made some very interesting design decisions, like making it a multi-process application instead of simply multi-threaded, or their new javascript engine… it also captures the google aesthetic quite well…

diejenigen sind nicht genug, um mich Schalter-Browser jedoch … zu machen, ich genieße ein bestimmtes Niveau der Sicherheit mit meiner gegenwärtigen Einstellung und möchte mindestens ein gleichwertige Niveau von jedem alternativen Browser, aber es scheint nicht, dass ich im Stande sein würde, das von Chrom zu bekommen …those aren’t enough to make me switch browsers however… i enjoy a certain level of security with my current setup and would like at least an equivalent level from any alternative browser but it doesn’t seem like i’d be able to get that from chrome…

Chrom führt zwei der drei vorbeugenden Paradigmen durch, über die ich vorher … spezifisch geschrieben habe, führt es durch von Seiten auf die schwarze Liste zu setzen (sowohl Seiten, die, die bekannt sind, malware als auch Seiten zu veranstalten bekannt sind, phishing Seiten zu sein), und es führt sandboxing … durch, was es nicht scheint durchzuführen (mindestens, machte der Komiker keine Erwähnung davon, und ich sah kein Zeichen, als ich es prüfte), ist whitelisting …chrome implements two of the three preventative paradigms i’ve written about before… specifically it implements blacklisting of sites (both sites known to host malware and sites known to be phishing pages) and it implements sandboxing… what it doesn’t seem to implement (at least the comic made no mention of it and i saw no sign when i tested it out) is whitelisting…

es gibt einige Gründe, warum whitelisting aus der Mischung … ausgeschlossen worden sein kann, von denen der am meisten vereinfachte zu sein, sie einfach mit dem Konzept - tatsächlich nicht vertraut waren, sind schwarze Website-Listen in den meisten modernen Browsern jetzt, so sind sie weithin bekannt, und es einen Miniboom des Browsers sandboxing Werkzeuge gab (genug, dass google wirklich genannten greenborder von demjenigen im letzten Jahr erwarb), so sollten sie auf dem Radar von google auch … sein, so weit whitelisting aktiver Webinhalt jedoch geht, gibt es nicht viele Spieler - noscript treten als der einzige hervor, an den ich denken kann (ander als die vertraute Zone von IE, die fast keiner verwendet, weil es nicht benutzerfreundlich ist) …there are a couple of reasons why whitelisting may have been left out of the mix… the most simplistic of which being they simply weren’t familiar with the concept - indeed, website blacklists are in most modern browsers now so they’re well known, and there was a mini boom of browser sandboxing tools (enough that google actually acquired one called greenborder last year) so they should be on google’s radar too… as far as whitelisting active web content goes, however, there aren’t a lot of players - noscript stands out as the only one i can think of (other than IE’s trusted zone which almost no one uses because it’s not user friendly)…

wenn wir annehmen, dass google mit dem whitelisting aktiven Webinhalt im Allgemeinen und noscript insbesondere dann ein anderer möglicher Grund vertraut war, weil es Ausschluss ist, erscheint - wenn Sie auf die Frequenz von Noscript-Aktualisierungen schauen (Aktualisierungen, die mehr sind als gerade eine neue Liste, weil Sie mit einer Aktualisierung der schwarzen Liste, Aktualisierungen zum codebase selbst kommen würden), gehen Sie mit dem Eindruck weg, dass die Technologie wie noscript von als ein Steck-viel besser ist als eingebaut in den Browser …, denke ich nicht, dass irgendjemand ihren kompletten Browser das häufig aktualisieren will …if we assume google was familiar with whitelisting active web content in general and noscript in particular then another possible reason for it’s exclusion emerges - when you look at the frequency of noscript updates (updates that are more than just a new list as you’d get with a blacklist update, updates to the codebase itself) you come away with the impression that technology like noscript is far better off as a plugin than built into the browser… i don’t think anyone wants to update their entire browser that often…

schließlich scheint ein Gedanke, der sich formte, indem er sich michael der blog von farnum äußerte - dort ein grundsätzlicher philosophischer Konflikt zwischen dem Verzug zu sein - bestreiten Paradigma, das whitelists vertreten und organisches Wachstum von Anwendungsökosystemen … der Weg, wie Webinhalt entwickelt wird, kann betrachtet werden, die wirkliche Verkörperung des organischen Wachstums zu sein, und google macht ziemlich verständlich, dass sie dem vorwärts helfen, nicht hineingelangen wollen, ist es Weg, so konnte es sehr gut sein, dass whitelisting einfach ihre Sicherheitsvision nicht einfügt …finally, a thought that formed while commenting on michael farnum’s blog - there seems to be a fundamental philosophical conflict between the default-deny paradigm that whitelists represent and organic growth of application ecosystems… the way web content is developed can be considered to be the very embodiment of organic growth and google makes it pretty clear that they want to help that along, not get in it’s way, so it could very well be that whitelisting simply doesn’t fit in their security vision…

es ist ein ziemlich wichtiger Teil von mir jedoch, so zumindest werde ich auf Chrom nicht umschalten, bis jemand einen noscript-artigen Steck-dafür macht, werden … Dinge nicht der ganze Sonnenschein und Lutscher sein, wenn das geschieht, obwohl …, weil ich früher, der Browser erwähnte, sandboxing haben soll, der in und auf der Oberfläche gebaut ist, die lässt großen … leider erklingen, haben sie sich nicht belaufen, wie zum Sandkasten plugins … das einem ziemlich großen Geschäft zu mir ähnlich ist, weil Blitz ein Steck-ist und shockwave ein Steck-ist und quicktime ein Steck-, usw. … der sehr aktive Inhalt ist, der wird über einen whitelist nicht kontrolliert, wird anscheinend durch ihre sandboxing Technik keiner … enthalten das scheint ein wenig umgekehrt, weil ich ziemlich überzeugt bin, dass zurück in den Tagen, als greenborder noch ringsherum war, wenn Sie Ihren Browser in diesem Sandkasten führten, blieb der plugins im Sandkasten auch … keine Sorgen, wir gerade Chrom innerhalb eines anderen Sandkastens wie sandboxie - Recht führen werden? versuchen Sie es, und Sie können auch mit dem "traurigen Etikett" gegrüßt werden …it’s a rather important part of mine, however, so at the very least i won’t be switching to chrome until someone makes a noscript-like plugin for it… things won’t be all sunshine and lollipops when that happens, though… as i mentioned earlier, the browser is supposed to have sandboxing built in and on the surface that sounds great… unfortunately they haven’t figured out how to sandbox plugins… this seems like a pretty big deal to me because flash is a plugin and shockwave is a plugin and quicktime is a plugin, etc… the very active content that isn’t being controlled by way of a whitelist is apparently not being contained by their sandboxing technique either… this seems a little backwards because i’m fairly sure that back in the days when greenborder was still around if you ran your browser in that sandbox the plugins stayed in the sandbox too… no worries, we’ll just run chrome inside another sandbox like sandboxie - right? try it and you too may be greeted with the “sad tab”…
ich habe keine Idee, warum (ich kein sandboxie Macht-Benutzer bin), aber alle Seiten führen traurig innerhalb eines zweiten Sandkastens und die nützlichen Rat umladen, manchmal führt zum eingefrorenen Etikett (und Junge tut er sieht kalt aus) …i’ve no idea why (i’m no sandboxie power-user) but all pages lead to sad inside a second sandbox and the helpful reload advice sometimes leads to the frozen tab (and boy does he look cold)…
von den Blicken von Dingen im Prozess-Forscher läuft jeder Etikett-Prozess in einem Sandboxed-Prozess mit dem unsandboxed Browser-Prozess als der Elternteil, aber wenn der Browser-Prozess sandboxed ist, scheint es nicht im Stande zu sein zu schaffen es sind eigene sandboxed Kinder (wenn auch ein sandboxed firefox vlc im Sandkasten ohne Schwierigkeiten starten kann) …from the looks of things in process explorer, each tab process runs in a sandboxed process with the unsandboxed browser process as the parent but when the browser process is sandboxed it doesn’t appear to be able to create it’s own sandboxed children (even though a sandboxed firefox can launch vlc in the sandbox without trouble)…

so gibt es keinen whitelist und ist nicht nur das gebaute in sandboxing ungenügend, scheint es, die Auswahl zu töten, einen 3. Parteisandkasten zu verwenden, um wettzumachen, es sind Mängel … es ist hübsch, verstehen Sie mich nicht falsch, ich mag den Blick davon - ich mag auch die Idee von schneller javascript, aber ich bekomme mehr Sicherheit mit meiner gegenwärtigen Browser-Einstellung, und wenn, wie man manchmal findet, legitime Seiten wie Post von Yahoo oder CNN böswilligem Inhalt dienen, dass Sicherheit ziemlich wichtig wird … so there’s no whitelist and not only is the built in sandboxing insufficient, it appears to kill the option of using a 3rd party sandbox to make up for it’s deficiencies… it’s pretty, don’t get me wrong, i like the look of it - i also like the idea of faster javascript, but i get more security with my current browser setup and when legitimate sites like yahoo mail or cnn are sometimes found to be serving malicious content that security becomes pretty important…