Mozilla wypuszcza narzędzia testujące

03.08.2007 19:34, Autor: Grzegorz Niemirowski (gniemirowski), Kategoria: News

Podczas konferencji Black Hat w Las Vegas Window Snyder i Mike Shaver z Mozilli zaprezentowali nowe narzędzia do testowania Firefoksa oraz innych przeglądarek.

Wypuszczone programy to tzw. protocol fuzzer i Javascript fuzzer, służące do generowania przypadkowych danych za pomocą których można potem badać zachowanie przeglądarek. Metodę tę stosował już w przeszłości Michał "lcamtuf" Zalewski, który dzięki swojemu manglerowi wykrył kilka dziur, m.in. w Internet Explorerze i Mozilli.

Window Snyder powiedziała, że Firefox cieszy się bardzo aktywną społecznością a testowe buildy są sprawdzane przez tysiące osób. Wyraziła przekonanie, że dzięki nowym narzędziom i potencjałowi użytkowników będzie można sprawić, że przeglądarka Firefox będzie jeszcze bezpieczniejsza.

JavaScript Fuzzer napisany przez Jesse Rudermana jest dostępny tutaj.

Źródło: CNET

komentarze (9)

r e k l a m a

Komentarze (9)

punkomuzykant (niezalogowany) | 03.08.2007 19:47#1

dobry pomysł

Ludvick (niezalogowany) | 03.08.2007 19:58#2

@punkomuzykant
fakt, niezly, tylko, nie za bardzo moge go sciagnac
nie to, zebym nie znal angielskiego, ale ta stronka nie wyglada mi na taka, na ktorej mozna potestowac ten skripcik...

NIC (niezalogowany) | 04.08.2007 8:38#3

"Window Snyder"

To jest takie imię?!

Z przeglądarkami jest jak z PHP+SQL. Tzn. na tej samej zasadzie można się włamać... Po polsku mówiąc "nigdy nie ufaj danym z zewnątrz".

gniemirowski (niezalogowany) | 04.08.2007 11:58#4

@NIC: tak, to jest takie imię :)

http://en.wikipedia.org/wiki/Window_Snyder

xxx (niezalogowany) | 04.08.2007 19:07#5

Tradycyjnie opensource wszystko odgapia od microsoftu, który kreuje trendy.

Ktos (niezalogowany) | 04.08.2007 19:35#6

I niby co ja tym moge zrobic?

stefek (niezalogowany) | 04.08.2007 22:25#7

IMO to twórca programu powinien szukać luk, a nie finalny użytkownik. Ostatnio dużo dziur jest w FF. Chyba będzie trzeba przenieść się na operę.

Holyboy (niezalogowany) | 05.08.2007 23:11#8

@gniemirowski

Zdanie na temat Lcamtuf'a, jego manglera oraz tego, ze znalazl kilka dziur w IE przy pomocy tego narzedzia, jest delikatnie mowiac niefortunne, niezetelne i krzywdzace dla IE. Ja rozumiem ze pisanie jak to IE jest 'fujj' to calkiem modne, ale prosze nie kop lezacego.

Oto co napisal Lcamtuf po dokonaniu testow:

"It appears that the overall quality of code, and more importantly, the
amount of QA, on various browsers touted as "secure", is not up to par
with MSIE; the type of a test I performed requires no human interaction
and involves nearly no effort. Only MSIE appears to be able to
consistently handle [*] malformed input well, suggesting this is the
only program that underwent rudimentary security QA testing with a
similar fuzz utility.

This is of course not to say MSIE is more secure; it does have a number
of problems, mostly related to its security architecture and various
features absent in other browsers. But the quality of core code appears
to be far better than of its "secure" competitors."

gniemirowski (niezalogowany) | 05.08.2007 23:28#9

@Holyboy: nie napisałem, że IE jest fuj i nie kopię go. Chodziło o to, że mangler się przydał.

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.