2 de setembro de 2008 Nenhum Comentário2 September 2008 No Comment

parece que todo o mundo está falando sobre o novo browser de google chamado cromo … google até fez um livro cômico sobre o produto …seems like everyone is talking about google’s new browser called chrome… google even made a comic book about the product…

o cômico descreve muito do que entrou no cromo e toca como google tomado algumas decisões de desenho muito interessantes, como criação dele uma aplicação de multi-processo em vez de simplesmente multi-roscado, ou o seu novo motor javascript … ele também captura o estético google bastante bem … the comic describes a lot of what went into chrome and it sounds like google made some very interesting design decisions, like making it a multi-process application instead of simply multi-threaded, or their new javascript engine… it also captures the google aesthetic quite well…

aqueles não são bastante para fazer-me browseres de comutador contudo … eu gosto de certo nível da segurança com a minha organização atual e gostaria de pelo menos um nível equivalente de qualquer browser alternativo mas não parece que eu seria capaz de adquirir isto do cromo …those aren’t enough to make me switch browsers however… i enjoy a certain level of security with my current setup and would like at least an equivalent level from any alternative browser but it doesn’t seem like i’d be able to get that from chrome…

o cromo implementa dois de três paradigmas preventivos sobre os quais escrevi antes … especificamente implementa colocar na lista negra de sítios (tanto sítios conhecidos apresentar malware como sítios conhecidos ser páginas phishing) e implementa sandboxing … o que não parece implementar (pelo menos o cômico não fez nenhuma menção dele e não vi nenhum sinal quando o testei fora) é whitelisting …chrome implements two of the three preventative paradigms i’ve written about before… specifically it implements blacklisting of sites (both sites known to host malware and sites known to be phishing pages) and it implements sandboxing… what it doesn’t seem to implement (at least the comic made no mention of it and i saw no sign when i tested it out) is whitelisting…

há um par de razões porque whitelisting pode ter sido deixado fora da mistura … o mais simplista do qual ser eles simplesmente não foram familiares com o conceito - de fato, as listas negras de site web estão na maior parte de browseres modernos agora portanto eles são bem conhecidos, e houve um boom mini do browser sandboxing instrumentos (bastante que google de fato adquiriu greenborder chamado daquele no ano passado) portanto eles devem estar no radar de google também … pelo que o conteúdo de web ativo whitelisting vá, contudo, não há muitos jogadores - noscript destaca-se como o único no qual posso pensar (outro do que a zona confiada de IE que quase ninguém usa porque não é usuário simpático) …there are a couple of reasons why whitelisting may have been left out of the mix… the most simplistic of which being they simply weren’t familiar with the concept - indeed, website blacklists are in most modern browsers now so they’re well known, and there was a mini boom of browser sandboxing tools (enough that google actually acquired one called greenborder last year) so they should be on google’s radar too… as far as whitelisting active web content goes, however, there aren’t a lot of players - noscript stands out as the only one i can think of (other than IE’s trusted zone which almost no one uses because it’s not user friendly)…

se supomos que google fosse familiar com o conteúdo de web ativo whitelisting em geral e noscript especialmente então outra razão possível já que é exclusão emerge - quando você vê a freqüência de atualizações de noscript (atualizações que são mais do que somente uma nova lista como você viria com uma atualização de lista negra, atualizações do próprio codebase) você solta-se com a impressão que a tecnologia como noscript é muito melhor de como um plug-in do que incorporado no browser … não penso que alguém quer atualizar o seu browser inteiro isto muitas vezes …if we assume google was familiar with whitelisting active web content in general and noscript in particular then another possible reason for it’s exclusion emerges - when you look at the frequency of noscript updates (updates that are more than just a new list as you’d get with a blacklist update, updates to the codebase itself) you come away with the impression that technology like noscript is far better off as a plugin than built into the browser… i don’t think anyone wants to update their entire browser that often…

finalmente, um pensamento que se formou comentando blog de farnum's de Michael - lá parece ser um conflito filosófico fundamental entre o default - negam o paradigma que os whitelists representam e o crescimento orgânico de ecossistemas aplicados … o modo que o conteúdo de web é desenvolvido pode ser considerado ser a mesma incorporação do crescimento orgânico e google fá-lo bastante claro que eles querem contribuir para isto, não chegam é caminho, portanto pode muito ser bem que whitelisting simplesmente não se ajusta na sua visão de segurança …finally, a thought that formed while commenting on michael farnum’s blog - there seems to be a fundamental philosophical conflict between the default-deny paradigm that whitelists represent and organic growth of application ecosystems… the way web content is developed can be considered to be the very embodiment of organic growth and google makes it pretty clear that they want to help that along, not get in it’s way, so it could very well be that whitelisting simply doesn’t fit in their security vision…

é uma parte minha bastante importante, contudo, tão no mínimo não estarei ligando ao cromo até que alguém faça um plug-in noscript-parecido para ele as coisas … não serão toda a luz solar e pirulitos quando isto acontece, embora se suponha que … como mencionei antes, o browser tenha sandboxing construído em e na superfície que soa grande … infelizmente eles não compreenderam como a plug-ins de caixa de areia … isto me parece um acordo bastante grande porque o relâmpago é um plug-in e shockwave é um plug-in e quicktime é um plug-in, etc. … o conteúdo muito ativo que não está sendo controlado por meio de um whitelist não está sendo ao que parece contido pela sua técnica sandboxing nenhum … isto parece um pouco para trás porque estou regularmente seguro que atrás durante os dias quando greenborder esteve ainda em volta se você dirigiu o seu browser naquela caixa de areia os plug-ins não ficaram na caixa de areia também … nenhuma preocupação, dirigiremos somente o cromo dentro de outra caixa de areia como sandboxie - direito? tente-o e você também pode ser cumprimentado “com a etiqueta triste” …it’s a rather important part of mine, however, so at the very least i won’t be switching to chrome until someone makes a noscript-like plugin for it… things won’t be all sunshine and lollipops when that happens, though… as i mentioned earlier, the browser is supposed to have sandboxing built in and on the surface that sounds great… unfortunately they haven’t figured out how to sandbox plugins… this seems like a pretty big deal to me because flash is a plugin and shockwave is a plugin and quicktime is a plugin, etc… the very active content that isn’t being controlled by way of a whitelist is apparently not being contained by their sandboxing technique either… this seems a little backwards because i’m fairly sure that back in the days when greenborder was still around if you ran your browser in that sandbox the plugins stayed in the sandbox too… no worries, we’ll just run chrome inside another sandbox like sandboxie - right? try it and you too may be greeted with the “sad tab”…
não tenho nenhuma idéia porque (não sou nenhum usuário do poder sandboxie) mas todas as páginas levam triste dentro de uma segunda caixa de areia e os úteis recarregam o conselho às vezes leva à etiqueta congelada (e o rapaz faz ele parece frio) …i’ve no idea why (i’m no sandboxie power-user) but all pages lead to sad inside a second sandbox and the helpful reload advice sometimes leads to the frozen tab (and boy does he look cold)…
das olhadas de coisas no explorador de processo, cada processo de etiqueta corre em um processo de sandboxed com o processo de browser unsandboxed como o pai mas quando o processo de browser é sandboxed não parece ser capaz de criar são próprias crianças sandboxed (embora um sandboxed firefox possa lançar vlc na caixa de areia sem preocupação) …from the looks of things in process explorer, each tab process runs in a sandboxed process with the unsandboxed browser process as the parent but when the browser process is sandboxed it doesn’t appear to be able to create it’s own sandboxed children (even though a sandboxed firefox can launch vlc in the sandbox without trouble)…

assim não há nenhum whitelist e não só é o construído em sandboxing insuficiente, parece matar a opção de usar uma 3a caixa de areia partidária para compensar são deficiências … é bonito, não me adquira mal, eu gosto da olhada dele - eu também gosto da idéia de mais rápido javascript, mas adquiro mais segurança com a minha organização de browser atual e quando se considera às vezes que sítios legítimos como correio de brutamontes ou cnn estão servindo ao conteúdo malicioso que a segurança fica bastante importante … so there’s no whitelist and not only is the built in sandboxing insufficient, it appears to kill the option of using a 3rd party sandbox to make up for it’s deficiencies… it’s pretty, don’t get me wrong, i like the look of it - i also like the idea of faster javascript, but i get more security with my current browser setup and when legitimate sites like yahoo mail or cnn are sometimes found to be serving malicious content that security becomes pretty important…