[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Flash-proxy

Jag tror att det kan vara en smart detalj att nämna att flashproxy använder sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap kommer att dra associationen till Adobe Flash...

Appropå säkerheten i det - med tanke på att det är rå _javascript_ så är det tio gånger större risk att inte använda NoScript än att köra Flashproxy, då alla eventuella säkerhetshål som utnyttjas isåfall är delar av HTML-standarden.

När man läser om flashproxy på W3C ( http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att största risken är just XSS (cross site scripting) och det är ju just den detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan.

Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar enormt mycket pengar på säkerhet och har väldigt mycket att förlora på öppna säkerhetshål i sina webbläsare.

Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är bara knappt större än med Skype/surfning/BitTorrent egentligen.

--
Emil Tullstedt


2013/6/27 Linus Nordberg <linus@xxxxxxxxxxx>
Jonatan Walck <jonatan@xxxxxxxx> wrote
Thu, 27 Jun 2013 12:05:09 +0200:

| On 2013-06-27 11:32, Linus Nordberg wrote:
| > Stefan Petersen <spe@xxxxxxxxx> wrote Thu, 27 Jun 2013 11:15:25
| > +0200:
| >> 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt
| >> plötsligt släpper in "vem som helst" i min browser? Fast är det
| >> inget problem kanske man inte ska ta upp det?
| >
| > Risken för att bli ägd genom browsern är nog större när du
| > rendrerar en sida med bilder (säger jag utan att ha läst koden!
| > :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy
| > isf. ;-)
|
| Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt
| säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash
| ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag
| håller med dig till fullo just i det här exemplet.

OK, låt oss droppa Adobe Flash från diskussionen. Och alla andra
plugins/addons också.

Vi försöker oss på en lista över skillnader och likheter mellan att köra
flashproxy mot att surfa dn.se. Endast aspekter på säkerheten i Firefox
beaktas.

Det här resonemanget baserar sig på en webläsare utan skydd mot besök på
tredjepartssidor (typ RequestPolicy för Firefox). Jag kan egentligen
ingenting om det här med surf som alla verkar vara så förtjusta i så
hjälp till att fylla på!


Skillnader mellan att köra flashproxy mot att surfa dn.se:

- dn.se joggar din rendreringsmotor, flashproxy dina websockets


Likheter mellan att köra flashproxy och att surfa dn.se:

- någon annan väljer vilka IP-adresser din browser besöker