Heise - Za brskalnik Chrome, ki ga zdaj uporablja že vsak peti uporabnik interneta, je od sinoči v beta kanalu na voljo že različica 14. Za videti ni veliko novega, so pa zato spremembe pod pokrovom toliko večje.
Predvsem bo brskanje s štirinajstico bolj varno. Pri vzpostavljanju https povezave se bo domena najprej razrešila s protokolom DNSSEC, kar bo preprečilo štose z /etc/hosts oz. lažnivimi DNS strežniki na lokalnem omrežju. Dalje, morebitne javascript skripte, ki so vključene znotraj https strani, vendar izvirajo z nezavarovane http domene, bodo po novem blokirane (razen, če bo brskalnik pognan s stikalom --allow-running-insecure-content, kar bo verjetno pomembno v določenih okoljih). Istočasno so poskrbeli še za dodatno zaščito pri nameščanju aplikacij z Chrome Web Stora.
Za razvijalce vtičnikov je pomembna nova knjižnica Pepper, ki omogoča pisanje vtičnikov kar v C in C++. Pognani bodo v dvojnem peskovniku (sandbox), s čimer bo onemogočeno mahiniranje s pisanjem po disku in podobno, dovoljen pa jim do dostop do vseh elementov na strani, vključno z javascipt kodo. V prihodnjih mesecih si tako lahko obetamo še več hitrih in stabilnih pluginov.
Mac uporabniki bodo verjetno veseli podpore za OSX Lion.
Zadnja novost je poseben vmesnik za zvok Web Audio API s podporo za natančno krmiljenje, sintezo in mešanje zvoka. V kombinaciji s Canvas ali WebGL tehnologijo bo mogoče pripraviti precej realistične igrice, beatboxe ali vsaj winamp 2 (!) lookalike z vsemi pritiklinami, vključno z vizualizacijami. Na voljo je že kar lepa zbirka primerov.
Vse lepo in prav, ampak še vedno ne morejo vgraditi Master Passworda ali pa vsaj opcije, da ti ne pokaže gesla. Morebiti se bo dalo vsaj sedaj spisati takšen plugin na lastno pest.
Vse lepo in prav, ampak še vedno ne morejo vgraditi Master Passworda ali pa vsaj opcije, da ti ne pokaže gesla. Morebiti se bo dalo vsaj sedaj spisati takšen plugin na lastno pest.
Chrome je super. Nadomestil firefox in firebug za razvoj spletnih strani. Najboljše je da je lightweight. Ko sm prvič prišel z firefoxa na chrome sm se počutil kot da bi zalavfal utorrent namesto azareusa. Firefox napreduje v pravo smer. Novejše verzije so že veliko boljše, odzivne. To bo še zanimivo.
Mah FF je res počasen pri zagonu :) Včasih sem se sploh ne zažene. Ko pa je zagnan pa dela kot mora. Če kaj hitro rabim uporabim Chrome drugače pa FF (vse ostalo)
Podpora pluginov, napisanih v C/C++, je nekaj zelo zanimivega. Nokia za Qt5 pripravlja prepis GUI elementov za lažjo integracijo v nova okolja, npr. brskalnike. Manjka še to, da lahko C/C++ kodo poganjaš s spletnih strani mimo vtičnikov. Boh ve, kaj bo s tega ratalo..
Tako oblika, kot nekatere tehnološke rešitve "pod pokrovom" bi bilo pošteno reči, da "konkurenca" v tem trenutku sledi smernicam, ki jih postavlja Chrome, ki se resnično intenzivno razvija tudi zaradi ChromeOS.
Edino "hitrost" in "lightweight" ne vem če je smiselno mešati skupaj. Se pravi tudi če se Chrome "hitreje zažene", kot to stori konkurenca to samodejno ne pomeni, da izrablja pri tem manj sistemskih sredstev.
Google je pomoje "ketna" dol padla, saj ima že 15 v pripravi, pa ravno kar so 13 poslali ven, eno verzijo na mesec potem, luxus in 14 je očitno beta. http://googlechromereleases.blogspot.co...
Dalec od tega. Native client ima enake pravice kot javascript.
Kako pa browser poskrbi, da ta "native client" oziroma strojna koda ne pobere/popaca drugih delov pomnilnika znotraj procesa? Če se ne zažene kot nov proces, ki potem preko IPC komunicira z glavnim procesom, potem je strojna koda "neobvladljiva".
I can do API, me.
Če citiram kar Chena osebno: "The inner-sandbox uses static analysis to detect security defects in untrusted x86 code. Previously, such analysis has been challenging due to such practices as self-modifying code and overlapping instructions. In our work, we disallow such practices through a set of alignment and structural rules that, when observed, enable the native code module to be disassembled reliably and all reachable instructions to be identified during disassembly. With reliable disassembly as a tool, it's then feasible for the validator to determine whether the executable includes unsafe x86 instructions. For example, the validator can determine whether the executable includes instructions that directly invoke the operating system that could read or write files or subvert the containment system itself."
Mnja, super. Bomo videli koliko časa bo potrebno, da se bo to statično analizo prelisičilo, nato znova poflikalo, prelisičilo, poflikalo, ... JavaScript to ni in že s tem imajo nekateri težave.
Če citiram kar Chena osebno: "The inner-sandbox uses static analysis to detect security defects in untrusted x86 code. Previously, such analysis has been challenging due to such practices as self-modifying code and overlapping instructions.
V x86 page table lahko nastaviš bite NX in Read-Only. Koda je na read-only staneh, podatki so na no-execute (NX) straneh. Tako podatkov ne more izvajati, kode pa ne spreminjati med run-time.
Edina ranljivost tu so far jump / far call ukazi in pa INT xx ukaz. Hja, kako rešiti "overlapping instructions" problem znotraj navadnega OS procesa, pa nimam pojma. Ker ti našteti ukazi so zelo kratki (npr. call far [ebx]), ta opcode pa je lahko del mov eax, immediate ukaza.
Najbolj čisto bi bilo, če bi plug-in laufal v svojem VM.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Ha, ha, ha... in self-modifying code je edina težava, ali kaj? Sicer pa je ta načeloma že nekaj let DOA, če imaš sistem ustrezno nastavljen. Samo še kakšne DRM in anti-piratske packarije jo uporabljajo.
Oh, kaj pa vem... branje drugega dela pomnilnika, recimo sosednjega zavihka v katerem imaš odprto spletno banko, je čisto benigna zadeva, mar ne?
Skratka tveganja so pri neposrednem izvajanju strojne kode vsaj za magnitudo večja, kot pa so tveganja pri interpretiranem jeziku, ki nima niti konstrukta za neposreden dostop do lastnega pomnilnika.
Sicer pa bo prihodnja zgodovina pokazala koliko poskusov bo potrebnih, preden se stvar dovolj zavaruje.
Oh, kaj pa vem... branje drugega dela pomnilnika, recimo sosednjega zavihka v katerem imaš odprto spletno banko, je čisto benigna zadeva, mar ne?
Če je plug-in v svojem procesu, uporablja svoj naslovni prostor - torej pomnilnik ni deljen.
Do podatkov spletne banke lahko s FF add-on že sedaj dostopaš. Tudi simuliraš lahko klike in izpolnjuješ polja. Pa je vse v JS (z Mozilla API)...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Za plug-in je v tem trenutku navedeno, da se zažene v lastnem procesu pod Linux-om. Za ostale bom moral še preveriti. Če pa bi izvolil še enkrat prebrati kaj sem napisal, boš opazil, da ponavljaš za menoj. Vendar tudi to ni nujno 100% rešitev. Kaj se zgodi, če dobiš dostop do nastavitev launcherja? To bo potrebno pogledati, če so zapečene v kodo ali pa bivakirajo kje med ostalimi podatki.
Tisto o add-onu za FF pa odmisli. Razširitve brkljalnika (FF add-on) so ena stvar, vtičniki uporabljeni na spletnih straneh so druga stvar (NPAPI in prijatelji). Ne mešati hrušk in jabolk.
Vse lepo in prav, ampak še vedno ne morejo vgraditi Master Passworda ali pa vsaj opcije, da ti ne pokaže gesla. Morebiti se bo dalo vsaj sedaj spisati takšen plugin na lastno pest.
O čem ti to govoriš? Vsi usernami in passwordi se ti shranjujejo po google docs, tako da so dosegljivi na vseh računalnikih, kjer si želiš da so. In kje ti Chrome pokaže gesla, da se lahko prečitajo??
Sicer pa ima Chrome nekaj kar smešnih bugov. Recimo pravkar sem odprl nov tab z ctrl-t in za vsebino dobim "Oops, something went wrong while displaying this page". Podobno se sicer zgodi tudi v FF, ko ga startaš, pa zajamra, da ni mogel restavrirati strani od prejšnjega zagon. "Strani" pa je v resnici en tab, ki bi naj prikazoval about:blank
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
smash kup bolsi komp... sam pluvat znate omg noben pa ne pove kaj je razlika med stable verzijo in tem in ce se sploh splaca posodobit...
ti bom kar še enkrat povedal, glede na to, da nisi zanikal..
FF še vedno rabi 5 sec za start, medtem co chrome prižge ko kliknem nanj
kar meni pomeni vse....nimam namreč brskalnika odprtega cel dan, ampak vsakic odpiram znova in mi je start najpomembnejši..in če jih primerjam po vrsti
Teh nekaj sekund prednosti pri zagonu ne odtehta večine slabih dodatkov v primerjavi s Firefoxovimi. Glede pomnilnika pa pri meni Chrome ni bil bistveno manj požrešen.
Pa saj so vsi brskalniki dobri Chrome, FF, Opera... pač vzameš tistega, ki se ti dopade ali po hitrosti ali po čem drugem! Jaz tudi vedno več uporabljam Chrome. FF mi na čas požira živce (včeraj 1GB rama pri 1 odprtem zavihku, flash)
Mislim, da lahko tudi samo preprosto skopiraš FF profil. Neke varnosti tu ni, vsak malware jih lahko izvozi in pošlje v "centralo".
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
MrStein, jaz sem spraševal, kje se njemu prikažejo passwordi, da si jih želi skriti - torej predvidevam, da vidi znake namesto zvezdic :)
Prikažejo se točno tam, po kliku na "Show password". Medtem ko recimo v FF to ne gre.
Err... dejansko gre. Tudi FF ima gumb "Show Passwords". Ampak to ni bistveno. Bistveno je, da lahko Chrome že ob neprevidnem kliku(*) na disk shrani gesela in ostale občutljive podatke tako, da niso šifrirani z uporabo ključa, ki si ga izbere uporabnik sam. Kar je naravnost čudovito za vse, ki zbirajo uporabniška imena, gesla in številke kreditnih kartic.
$ sqlite3 ~/.config/google-chrome/Default/Login\ Data sqlite> select * from logins; ...
Glej in občuduj...
(*) Nepreviden klik je npr. <Esc>, ko se prikaže KDE-jevo pogovorno okno za dostop do KWallet (ne uporabljam Gnome, ne vem kako je tam). V tem primeru bo Chrome brez nadaljnih ceremonij gesla nezaščitena spravljal kar na disk. Slaba podpora infrastrukturi se tako izkaže še slabšo in bolj nevarno od nikakršne podpore, ker nikoli ne veš kam gredo gesla - na varno v denarnico, ali pa naravnost hackerjem v roke.
(**) Chrome mi gre na jetra tudi že iz drugih razlogov. Morda je res hiter in vse, je pa v nekaterih pogledih tako polomljen, da bi mu res lahko rekel samo "borked by design". Ostali se vsaj trudijo...
smash kup bolsi komp... sam pluvat znate omg noben pa ne pove kaj je razlika med stable verzijo in tem in ce se sploh splaca posodobit...
ti bom kar še enkrat povedal, glede na to, da nisi zanikal..
FF še vedno rabi 5 sec za start, medtem co chrome prižge ko kliknem nanj
kar meni pomeni vse....nimam namreč brskalnika odprtega cel dan, ampak vsakic odpiram znova in mi je start najpomembnejši..in če jih primerjam po vrsti
Pri meni gre tako: FF 5s od zagona do prikaza iGoogle. Chrome 2s od zagona do prikaza iGoogle! In to je že lep čas tak :) FF je šel samo na boljše iz prejšnih verzij Chrome ostaja enak.
Pri meni gre tako: FF 5s od zagona do prikaza iGoogle. Chrome 2s od zagona do prikaza iGoogle! In to je že lep čas tak :) FF je šel samo na boljše iz prejšnih verzij Chrome ostaja enak.
to je res, da se je FF izboljšal..prej mi je odpiral pol minute, zdaj pa v 5 sekundah..chrome pa težko kaj izboljša, ker nima kaj
lej sej tistim, ki imajo browser odprt cel dan, to ne pomeni nič, meni pa, tako da ni merodajno za vse
2 ali 5 sekund? Okol česa se vi kregate? Oslove sence! 3 sekunde razlike, to sta dva vdiha in izdiha.
Oba sta si tako podobna, da je res relevantno samo še to, ker ti je bolj všeč. Meni recimo je Chrome, verjetno zato, ker sem se ga navadil. FF je letel dol po enem tednu in to samo zato, ker mi ni sedel, nič drugega, vse je delalo skoraj enako v obeh.
2 ali 5 sekund? Okol česa se vi kregate? Oslove sence! 3 sekunde razlike, to sta dva vdiha in izdiha.
Oba sta si tako podobna, da je res relevantno samo še to, ker ti je bolj všeč. Meni recimo je Chrome, verjetno zato, ker sem se ga navadil. FF je letel dol po enem tednu in to samo zato, ker mi ni sedel, nič drugega, vse je delalo skoraj enako v obeh.
ja ni res...mogoče je tebi vseeno, meni je še kako pomembno da ne čakam 3 sekund za odprtje browserja, ker ko odpiram browserje kot po tekočem traku
Men se FF še najbolj dopade, vendar je pa zdej že par let isti problem. Memory leak. Če imam odprtih par tabov z naloženimi slikami mi s časom kr vedno več rama požre. Sicer je bilo v prejšnjih verzijah hujše(se s časoma tudi sesulo)
Spregledal si besedno zvezo "Master Password". Najbrž ne slediš pogovoru od začetka.
BitLocker, TrueCrypt?
Mhm. In kako te ta dva ali pa kateri koli tretji zaščitita pred "sosedovim trojancem" ali kakšnim preveč zavzetim DRM-jem, ki kliče domov? Ali pa kolegom, ki bo "samo nekaj skopiral"?
Poglej, saj stvar je enostavna. Če je zadeva berljiva iz diska, potem je odtujljiva na mnogo različnih načinov. BL in TC v osnovi te težave ne rešujeta oziroma jo rešujeta na popolnoma nepraktičen način. Super, če je tvoj računalnik izključen, ne tako zelo super, če ti uspe kdo kaj podtakniti, ali pa če na računalnik občasno spuščaš še koga. Torej zapre en vektor, vsi ostali ostanejo odprti.
To je fehler nekako takšne kategorije, kot je operina nepodpora pametnim karticam in ostali strojni navlaki za vsaj malo bolj varno hranjenje zasebnih ključev. Malo bolj varno v smislu, da ti tega ne bo pobral nekdo, ki ima 15min preveč časa in nič pametnejšega za početi.
Tudi pri uporabi Master Passworda pri Firefoxu so gesla varna samo do takrat, ko jih uporabiš. Od takrat naprej imaš master password in dešifrirano geslo v RAMu.
