9:09
3/6/2014

Jeden z naszych czytelników, najwyraźniej pracujący w Ministerstwie Spraw Zagranicznych, przesłał nam bardzo ciekawą wiadomość, jaka 27 maja została rozesłana wszystkim pracownikom ministerstwa przez zastępce dyrektora ds. systemów informatycznych, Jacka Nucińskiego. W skrócie, komunikat informował o niemożliwym do wyeliminowania zagrożeniu bezpieczeństwa w Google Chrome i usunięciu tej przeglądarki z komputerów pracowników. W zamian dostali …Internet Explorera.

Zamienił stryjek, siekierkę na kijek…

Oto wiadomość, z której pracownicy MSZ dowiedzieli się, że już nie mają Google Chrome, a Internet Explorera 11…

Szanowni Państwo,

W związku z pojawiającymi się zagrożeniami bezpieczeństwa wynikającymi z korzystania przeglądarki Google Chrome, których niestety nie da się wyeliminować, jesteśmy zmuszeni odinstalować z Państwa komputerów alternatywną przeglądarkę.

W celu wyeliminowania dotychczasowych problemów związanych z przeglądaniem stron w przeglądarce Internet Explorer 10 zainstalowana została na Państwa komputerach najnowsza przeglądarka IE 11. W przypadku problemów z otwieraniem stron internetowych w najnowszej przeglądarce Internet Explorer np. stron związanych z bankowością internetową placówki, proszę o zgłoszenie wniosku w ITSM z podaniem adresu strony lub adresów stron, z którymi mają Państwo problemy.

Z poważaniem,

Jacek Nuciński
Zastępca Dyrektora ds. systemów informatycznych
Biuro Informatyki i Telekomunikacji
Ministerstwo Spraw Zagranicznych

MSZ ma 0day’a na Google Chrome?

Ponieważ w naszej opinii Google Chrome jest przeglądarką, która najmocniej dba o bezpieczeństwo użytkownika końcowego (filtry Anti-XSS, sandboxing tabów, własna implementacja pluginu Flasha, certificate pinning, automatyczne aktualizacje, itp.) wpadliśmy w przerażenie.

Może MSZ rzeczywiście ma 0day’a na Chrome’a albo wie o czymś, o czym nie wiedzą światowej sławy specjaliści do bezpieczeństwa? Sprawdziliśmy, na ich Twitterach ani słowem nie wspomina się o dziurach w Google Chrome. Pełni obaw, przełączając się na wszelki wypadek na Firefoksa, przesłaliśmy do MSZ następujące pytania:

1. O jakie “zagrożenia bezpieczeństwa wynikające z korzystania z
przeglądarki Google Chrome, których nie da się wyeliminować” chodzi?

2. Czy MSZ będące w posiadaniu wiedzy na temat zagrożeń w przeglądarce
Chrome, których rzekomo nie da się wyeliminować, przesłało informację
na ich temat do producenta, firmy Google?

W odpowiedzi, rzecznik prasowy MSZ odpisał co następuje:

W resorcie spraw zagranicznych, podobnie jak w innych miejscach pracy, funkcjonuje sieć teleinformatyczna w której instalowanie oprogramowania odbywa się zgodnie z obowiązującymi wewnętrznymi procedurami. Sieć resortu jest jedną z najrozleglejszych sieci teleinformatycznych administracji rządowej. Ze względu na konieczność zapewnienia bezpieczeństwa teleifnormatycznego centrali w Warszawie i placówek zagranicznych nie przekazujemy szczegółowych informacji o jej funkcjonowaniu.

Z wyrazami szacunku,
Biuro Rzecznika Prasowego
Ministerstwo Spraw Zagranicznych

MSZ, jak widać, zastosowało w swojej odpowiedzi szyfr dyplomatyczny, albo naprawdę wiernie wyznaje zasadę security by obscurity — w każdym razie, nie udzielono nam żadnej rzeczowej informacji. No cóż, obywatel, zwłaszcza ten niekorzystający z “najrozleglejszej sieci teleinformatycznej administracji rządowej”, powinien przecież znać swoje miejsce w szeregu…

Być może MSZ wzoruje się na kiepskich webmasterach, jak ten na którego stronę trafił inny nasz czytelnik:
unnamed-1

A może MSZ chce inwigilować pracowników?

Jakbyśmy mieli strzelać, skąd ta nagła chęć wyrugowania Google Chrome z komputerów pracowników i jego zamiana na nieszczęsne IE, to podejrzewalibyśmy, że chodzi tu o chęć wdrożenia przez MSZ nowego firewalla lub HTTP proxy, których zadaniem będzie rozpruwanie połączeń szyfrowanych HTTPS nawiązywanych przez pracowników ministerstwa, czyli ich inwigilacja. Oczywiście, wykonywana w dobrej wierze, tj. w ramach weryfikacji, czy któryś z urzędników nie zapragnął pójść w ślady Snowdena i nie zaczął kopiować tajnych danych na rosyjskie serwery.

Musicie bowiem wiedzieć, że przeglądarka Google Chrome, z racji wbudowanego w swój kod źródłowy (czyli niemożliwego do wyłączenia) mechanizmu o nazwie HTTPS Certificate Pinning, skutecznie uniemożliwia podstawienie fałszywego certyfikatu HTTPS pod kilka kluczowych domen (m.in. Facebooka i GMaila) — po prostu nie otworzy strony, która przedstawia się innym niż zahardcodowany certyfikat, wyświetlając przy tym duże czerwone ostrzeżenie użytkownikowi.

To jak MSZ, zgadliśmy? Jeśli tak, to dajcie znać, da się obejść ten “problem” w Chrome, podpowiemy jak. Jeśli nie zgadliśmy — no cóż, jakby była jasna odpowiedź, nie byłoby domysłów i orwellowskich podejrzeń.

Jest jeszcze jedna opcja — MSZ może przygotowywać się na coroczną wizytację hackera Alladyna2 na swoich serwerach i tym razem postanowiło, zmianą Chroma na IE, jeszcze bardziej ułatwić mu zadanie? :-)

A może chodzi o coś zupełnie innego? Pogdybajmy, od MSZ się przecież raczej nie dowiemy, co jest “nie tak” z Chromem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

117 komentarzy

Dodaj komentarz
  1. A kto to Chrome pracownikom MSZ kiedyś zainstalował i po co? Bo chyba nie jest tak, że praacownicy MSZ mogą sobie sami instalować programy na służbowych komputerach?

    • Chrome można zainstalować dla pojedynczego usera na zwykłym koncie bez uprawnień. Nie można go co prawda ustawić jako domyślną, ale używać się da bez żadnych ograniczeń w zasadzie.

  2. Chrome najbezpieczniejszą przeglądarką??? No bez żartów!
    Przed zwykłymi złodziejaszkami może i chroni najlepiej ale ministerstwo musi również, a może przede wszystkim, chronić się przed tymi bardziej wyrafinowanymi, również z zaprzyjaźnionych państw Ameryki Północnej.
    Fakt, że zamiana na IE raczej nie jest idealnym wyborem (najlepiej by było mieć własną przeglądarkę) ale może jednak zwiększającym bezpieczeństwo.

    • Hahaha, a może to właśnie Google nie chce z MSZ-em “współpracować”, a Microsoft nie robi problemów? ;P

    • Google się podstawia tak samo jak i Microsoft.

    • Niech im lynksa zainstalują

    • > Chrome najbezpieczniejszą przeglądarką???

      Tak, autorzy tekstu kompetentnie wyjaśnili dlaczego (gratulacje!).

      Chociażby sandboxing procesu odpowiedzialnego za wyświetlanie danych. Ma go tylko Chrome i IE chyba od wersji 11. Certificate pinning – chyba tylko Chrome.

      Z całym szacunkiem? – Dlaczego miałbyś uważać, że np. FF czy Opera (czy Safari czy IE) są bezpieczniejsze – znasz ich wewnętrzną architekturę i mechanizmy zabezpieczeń, czy to raczej ‘.. a bo ja używam Safari i mie nigdy jeszcze nic nie ukradł…

    • sss3, a o Chromium nie słyszałeś? Nikt chyba nie słyszał. Nie rozumiem tego.

  3. Google Ultron sam uktualizuje Adobe Readera… i wszystko jasne

    • Google ultron został shackowany, dlatego ta deinstalacja…

    • http://ultronbrowser.info/ Wszystko na temat Ultrona ;) można się nieźle usmiac

  4. Hej! To nie sprawiedliwe. Dlaczego z ministerstwem chcecie się podzielić informacją o obchodzeniu mechanizmu certificate pinning a z resztą czytelników nie? ;)
    Może osobny artykuł?

    • Chodzi zapewne o modyfikację binarek.

  5. ciekawe czy alladyn2 znowu ich pozamiata :)

    z jednej strony bym nie chciał, bo to bezpieczeństwo mojego państwa itp, ale z drugiej trzymam kciuki za tego łotra :)

  6. “…w naszej opinii Google Chrome jest przeglądarką, która najmocniej dba o bezpieczeństwo użytkownika końcowego” – o bezpieczeństwo, może i tak, ale co z prywatnością? Być może MSZ obawia się podsłuchu przez NSA itp. Aczkolwiek gdyby tak było, są lepsze alternatywy niż IE.

    • A czym w tym kontekście różni się MS od Google’a?

  7. Chrome niby taki bezpieczny, a to chyba jedyna przeglądarka jaką znam, która automatycznie pobiera pliki .exe na dysk, bez pytania użytkownika.

    • I pewnie jeszcze sama je odpala? Zmiana ustawień folderu zapisu to nie problem.

    • Kiedy ostatnio się orientowałem .pdf i .exe skutkowały ostrzeżeniem o “niebezpiecznym pliku”.

  8. Jest sporo różnych przeglądarek (a chińskich zatrzęsienie) a każda ma swoje podatności. Załóżmy, że tylko połowa pracowników nie lubi IE. Na ile zagrożeń podatna jest instytucja? Znane podatności chrome: http://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224
    Może chodzi o WSUS-a, którym nie można zaktualizować chrome? Jeżeli użytkownik ma możliwość anulowania aktualizacji lub wyłączenia na stałe aktualizacji automatycznych – to dla mnie sprawa prosta – aktualne oprogramowanie w pracy, a śmietnik w domu.

    • też bym obstawiał update’y – jeśli użyszkodnicy nie mają admina (a nie powinni), to jest trochę więcej zabawy z aktualizacją u wszystkich – a lepszy chyba aktualny IE niż jakaś antyczna wersja Chrome’a…

    • Ano – WSUS lub inne zintegrowane MS’owe mechanizmy. Może łatwiej jest odgórnie nakazać (a w tym przypadku zakazać ;) ), niż pojedynczo tłumaczyć ;) (bo przecież user i tak wie lepiej ;) ).

    • Można go łatwo aktualizować choćby podpinając w GPO na komputer skrypt wywołujący z share aktulnego setupa z parametrami.

  9. A czy przypadkiem nie jest tak, że google ma wgląd do transmisji nawiązywanych z Chroma?

    • Podobno zaglądają też pod dywan i do szafy.

  10. “Ponieważ w naszej opinii Google Chrome jest przeglądarką, która najmocniej dba o bezpieczeństwo użytkownika końcowego”.

    Focus shifting. Ta reka pokazuje sandboxowane taby a druga wysyla dane do 3literowych agencji wyjka Sama? :P

    “To jak MSZ, zgadliśmy?”

    Po co zgadywac? https://www.grc.com/revocation/crlsets.htm

    Pozdrawiam.

    Andrzej

    • Od razu o tym pomyślałem. Pasuje do opisu z maila i jest jakimś pretekstem.

    • bardzo ciekawe opracowanie. nie mialem pojecia o tym ze google ma tak słaby system sprawdzania certyfikatów. Praktycznie jakby go tam nie było!!!

    • Przepraszam Piotrze.

      Zapomnialem ze u Was rowniez widzialem wpis o tym. Podlinkowalbym do Was tez.

      Pozdrawiam.

      Andrzej

    • Dokładnie to samo (CRLSet) przyszło mi do głowy jak zobaczyłem nagłówek posta. Może spece z rządowego CERTu znaleźli więcej takich perełek?

  11. Jakbym miał zgadywać, chodzi zapewne o to: https://niebezpiecznik.pl/post/google-chrome-kontrowersje-dot-odwolanych-certyfikatow/

  12. MSZ pewnie chodzi o to, ze Chrome tak naprawde nie wspiera CRLow (Certificate Revocation Lists), gdyz doszli do wniosku, ze caly pomysl na weryfikowanie waznosci certyfikatow SSL jest zle zaprojektoway u podstaw (co i tak nie zwalnia ich z obowiazku poinformowania o tym uzytkownikow).

    Dla zainteresowanych blog Adama Langley z Google: https://www.imperialviolet.org/2012/02/05/crlsets.html

  13. Ten artykuł jest trochę nie fair. Chyba nie znacie środowiska MSZ żeby oceniać która przeglądarka jest dla nich bezpieczniejsza? Może chcą wdrożyć wszędzie IE11 + EMET, a to chyba dość bezpieczne połączenie? Zresztą na każdą przeglądarką są jakieś sposoby – vide pwn2own

    • W mojej opinii redakcja nie ocenia decyzji MSZ jako słuszenej/niesłusznej – ale sposób komunikacji “zagrożenia bezpieczeństwa (…) których nie da się usunąć (…) ale nie mżemy powiedzieć jakie”.

      Ciekawe co pomyśli Pani Hania, jak wróci do domu. Też sobie odinstaluje Chrome’a bo w pracy dyrektor pisał, że ma zagrożenie bezpieczeństwa?

    • przepraszam bardzo ale ja akurat sie zgadzam z ta idea MSZ
      na palacach mozna policzyc ile bylo “pelnych ” wersji Chroma
      albo popatrzec tutaj:
      http://www.filehippo.com/pl/download_google_chrome/history

      jesli google nie bierze odpowiedzialnosci za swoja wlasna przegladarke i wrzuca ludziom non stop bete to jak ja mam myslec o takiej firmie / produkcie ?
      szkoda tylko ze nie wrzucili czegos innego, jest sporo przegladarek bezpiecznych
      na nieszciescie najnowsze – firefox, opera, etc. – jada na tym samym silniku co chrome

  14. A może chodzi o to, że Chrome ignoruje Autocomplete=off ?

    • Szczerze – też sądzę, że to było powodem. Ktoś pewnie dostał się w ten sposób do jakiegoś intranetowego systemu MSZ i zobaczył coś, czego zobaczyć nie powinien. Albo posiał służbowego notebooka…

  15. Chrome nie sprawdza czy certyfikaty SSL sa wazne (nie zostaly uniewaznione) i to jest najwieksza slabosc tej przegladarki.

    https://www.grc.com/revocation/crlsets.htm

    Czytalem argumenty za i przeciw, ja osobiscie stoje na stanowisku ze to ja powinienem otrzymac informacje, czy CRL jest niedostepna, czy jest dostepna i cert uniewaznony, i to ja chce podjac decyzje czy kontynuowac polaczenie.

    • wyglada na to, ze ktos z departamentu IT w MSZ slucha Gibsona on regular basis.

  16. Epic Privacy Browser…tylko kto im to podpowie?
    Przynajmniej częściowo i jako tako będą mieli ową “prywatność”
    No chyba,że powrót do przeszłości i…gołębie jako pocztyliony
    :-))

  17. Ja tam sądze że przyczyną jest jakiś ‘Pan Dyrektor’ któremu nie pasowało Chrome i odgórnie narzucił żeby było IE bo ‘przeczytał że to najbezpieczniejsze’. Tak jak jakiś rok temu pisał do Niebezpiecznika admin z budżetówki, on nie ma tam wiele do gadania bo tam rządzi “Dyrektor”.

  18. Doprawdy – wiara w to, że ktoś z MSZ udzieli informacji na ten temat była szczytem naiwności.
    Argumentów za IE jest akurat całkiem sporo. Tak samo zresztą jak za większością przeglądarek. To, że firma/ministerstwo chce standardyzować przeglądarki jest akurat pozytywne, bo ułatWia administrowanie środowiskiem i utrzymywanie go na odpowiednim poziomie.
    Aha – to, że MSZ dba o bezpieczeństwo informacji, a nie o prywatność poszczególnych urzędników (którzy z pewnością i tak mają zakaz otwierania prywatnej poczty), to raczej nie powinno dziwić.

    • Niezapytanie byłoby z kolei szczytem nierzetelności. Przedstawiono racje obu stron + komentarz. A że jedna ze stron się wstrzymała – ich prawo.
      Pamiętaj, że niebezpiecznik.pl to de facto prasa internetowa, a dziennikarz (bądź wannabe dziennikarz) powinien starać się być obiektywnym.

  19. Problemem jest to, że Chrome można zainstalować jako zwykły user bez uprawnień administratora, co bardzo utrudnia wdrażanie polityk bezpieczeństwa. Dodatkowo, dużym problemem jest dodatek Remote Desktop, którego ciężko wyciąć na firewallu.

    • Jak w MSZ jadą na Windows XP to może i jest problem. Przy domenie na poziomie funkcjonalności zgodnej z Windows 7 (i wyżej) możesz za pomocą “Global Policy” zablokować wszystko. Nawet nieautoryzowane klucze USB.

    • “Przy domenie na poziomie funkcjonalności zgodnej z Windows 7 (i wyżej) możesz za pomocą “Global Policy” zablokować wszystko. Nawet nieautoryzowane klucze USB.”

      Co to za gadka bez sensu? Zarówno bez domeny się da jak i WindowsXP się da, na wcześniejszych Windowsach też się da :/

  20. Problem z chrome jest taki, że jest od google! To jest nic innego jak perfekcyjna maszynka NSA. Jak wszyscy pewnie się domyślają firma google – jest pod kontrolą NSA. Oczywiście google promuje swoją przeglądarke jako najlepszą i najbezpieczniejszą – i najlepiej im to wychodzi bo mają na to najwięcej funduszy. Od ponad 10 lat google jest kontrolowane i wspierane finansowo przez rząd – stąd nagle “wyszukiwarka” google zaczyna rozszerzać swoje zainteresowania na telefony komórkowe i systemy operacyjne (i przeglądarkę), nie wspominając o google maps i google street, na dodatek zwykłego użytkownika to nic nie kosztuje.

    Pamiętajcie – w życiu nie ma nic za darmo.

    • Niezłe trolowanie, aż się podczepię.

      Zawsze wiedziałem, że IE z MS na czele nie są pod kontrolą NSA!!!!111

    • NSA kierują kosmici, a zarabianie na reklamodawcach i klientach biznesowych to jedna wielka ściema.

    • Dev0 – owszem. Ale gadanie przez niebiezpiecznik o tym jak to rzekomo Chrome jest najbezpieczniejszą przeglądarką jest godne pożałowania. Tekstów tak niskiej jakości to można się było spodziewać po onet.pl albo gadzetomania.pl, a nie stronie która zajmuje się tematyką bezpieczeństwa na poważnie.

    • Sky: w naszej opinii jest. Pokaż drugą, która ma sandboxing (zacznijmy od najgrubszych spraw).

    • Różnica pomiędzy Google a Microsoft jest taka, że google JEST firmą rządową, a Microsoft dostarcza (świadomie lub nie) informacji o swoich użytkownikach.
      MSZ wielkiego wyboru nie ma (dziurawy Firefox lub inne wynalazki które nie wiedzą co to znaczy HTML5 lub CSS 3), wybierając IE wybrali mniejsze zło – tam dziury są przynajmniej łatane a nie hodowane, ale ja na ich miejscu wybrał bym norweską operę.

    • @Piotr Konieczny

      A co z CRLami w chrome? Czy takie podejście nie dodaje pewnej luki w PKI ?
      Artykuł opisujący działanie jak chrome radzi sobie z unieważnionymi certyfikatami:
      https://www.grc.com/revocation/crlsets.htm

    • Problem jest (pisaliśmy o tym) i dotyczy odwołanych certyfikatów (a nie wszystkich, jak niektórzy w komentarzach tu sugerują). Dobrą lekturą uzupełniającą zazwyczaj bardzo obfite, niekiedy wręcz fanatyczne posty Gibsona, jest to: https://www.imperialviolet.org/2014/04/29/revocationagain.html

      Moim zdaniem całe PKI nie jest zbyt dobrym mechanizmem bezpieczeństwa, co regularnie pokazują całkiem spore fuckupy z certyfikatami/CA.

    • @PiKey… Fanatyczne? Auc…

      Pozdrawiam.

      Andrzej

    • @Piotr Konieczny

      “Chrome ma sandboxing (zacznijmy od najgrubszych spraw).”

      Dziwne stwierdzenie skoro to IE7 był pierwszą przeglądarką z sandboksem (Protected Mode), od wersji 10 Enhanced Protected Mode (domyślnie wyłączony w wersji desktop). Flash i inne wtyczki activex od początku są ograniczone i działają w low integrity.

    • > Dziwne stwierdzenie skoro to IE7 był pierwszą przeglądarką z sandboksem (Protected Mode),

      Sandboxing współecześnie to ograniczenie komponentów (w przypadku przeglądarek) do najmniejszego możliiwego zestawu uprawnień. Działa to różnie w różnych OS, na Linuksie i Mac to są whitelisty syscalli (i ich parametrów), na Windowsie (Vista and up) integrity levels.

      IE7 miał kiepski “sandbox”, bardziej to były ograniczenia nakładane na userów przez przeglądarkę, niż zabezpieczenie przed “wydostaniem” się atakującego z procesu przeglądarki na zewnątrz (do systemu). Wynikało to z tego, że IE7 był jednym wielkim procesem, więc i tak musiał mieć dostęp do wszystkiego (plików, wykonywania binarek itp). Dopiero Chrome miał podzielone to na proces główny (pliki, sieć – wysokie uprawnienia) i procesy renderowania i pluginów (niskie uprwanienia), i OIDP dopiero IE11 to naśladuje.

    • A jakieś dowodziki że NSA jest firmą państwową rządu USA? Ostatni raz jak sprawdzałem to była spółka prywatna notowana na giełdzie (NASDAQ: GOOG) a rząd USA nie prowadzi nacjonalizacji.

      Fajne trolololo, better luck next time.

      A i jeszcze to: “Pamiętajcie – w życiu nie ma nic za darmo.”

      Google jest, Dropbox jest, Mega jest, oneSzajDrive jest, jak bym wymieniał dalej to by terabajtów na serwerze Niebezpiecznika zabrakło.

    • @JOhnBJovi
      “Sandboxing współecześnie to ograniczenie komponentów (w przypadku przeglądarek) do najmniejszego możliiwego zestawu uprawnień. Działa to różnie w różnych OS, na Linuksie i Mac to są whitelisty syscalli (i ich parametrów), na Windowsie (Vista and up) integrity levels.
      IE7 miał kiepski “sandbox”, bardziej to były ograniczenia nakładane na userów przez przeglądarkę, niż zabezpieczenie przed “wydostaniem” się atakującego z procesu przeglądarki na zewnątrz (do systemu).”

      IE7 miał sandbox protected mode oparty właśnie o integrity levels. Podział na wiele procesów nie gra tu żadnej roli bo to tylko szczegół implementacyjny. Zresztą w Chrome ten sam mechanizm jest także używany w piaskownicy pod Windowsami(do tego dochodzą ograniczony token oraz obiekty job i desktop za pomocą których nakładane są dodatkowe ograniczenia).

      “Wynikało to z tego, że IE7 był jednym wielkim procesem, więc i tak musiał mieć dostęp do wszystkiego (plików, wykonywania binarek itp).”

      IE7 w Viście uruchamiał proces potomny w sandboksie. Ten proces działał na poziomie low integrity i co za tym idzie nie mógł dokonywać żadnych zmian w kontekście użytkownika (nie mówiąc już o zmianach w kontekście systemu) bo miał tylko prawo odczytu. Zapis miał ograniczony tylko do kilku folderów i kluczy rejestru. W tym procesie działały także wtyczki activex, rozszerzenia, bho itd. Co za tym idzie także one podlegały tym ograniczeniom. Zgoda że piaskownica Chrome nakłada dodatkowe ograniczenia.

      “Dopiero Chrome miał podzielone to na proces główny (pliki, sieć – wysokie uprawnienia) i procesy renderowania i pluginów (niskie uprwanienia), i OIDP dopiero IE11 to naśladuje.”

      IE7 jako pierwsza przeglądarka miała proces główny w Medium IL i potomny w Low IL. IE8 wprowadziła podział na oddzielne procesy dla kart działające w Low IL. I dopiero tutaj pojawiło się Chrome które wprowadziło podobny model (Process-per-site-instance) także oparty m.in. mandatory integrity control i medium i low IL. Zaś IE10 wprowadziło tzw. enhanced protected mode gdzie wykorzystywany jest mechanizm appcontainers. Niestety na desktopie jest on domyślnie wyłączony.

  21. Jak po oświadczeniu MSZ poruszać się ruchem konika szachowego podstawiając co drugą literę wg daty urodzin ministra to wychodzi tekst: “quoniam nos postulo muto pasco nsa habet tribulationem super chrome audiendo”
    (sorka, nie mogłem się powstrzymać) :)

    • A jak sie czyta od konca to jest szatanska przyspiewka? :D

      Pozdrawiam.

      Andrzej

  22. Nie żebym się czepiał ale na stronie https://niebezpiecznik.pl/szkolenia/ jest napisane:

    “Nasi klienci
    Współpracujemy z największymi. Oto lista wybranych klientów:

    INTEL
    Ministerstwo Spraw Zagranicznych


    to jak już z nimi współpracujecie to ładnie ich tak publicznie obśmiewać ?

    • no i tu wlasnie DUZY SZACUN dla niebezpiecznika za to ze nie ma taryfy ulgowej i pietnuje takze zachowania wymagajace pietnowania nawet wsrod swoich klientow. Zreszta jak popatrzec po liscie klientow, to czesto na serwisie pojawiaja sie artykuly dotyczace firm, z ktorymi niebezpiecznik w jakims zakresie wspolpracowal.

      Ty bys pewnie za wszelka cene bronil znajomkow, nawet jakby pletli od rzeczy… i taka to polska wlasnie kumoterska.

    • Chyba się nie zrozumieliśmy :) szkoda że tak z góry oceniasz ludzi. Po prostu wydawało mi się że jak z kimś się współpracuje to zdania typu: “To jak MSZ, zgadliśmy? Jeśli tak, to dajcie znać, da się obejść ten “problem” w Chrome, podpowiemy jak. Jeśli nie zgadliśmy — no cóż, jakby była jasna odpowiedź, nie byłoby domysłów i orwellowskich podejrzeń.” kieruje się do zainteresowanego bezpośrednio, chyba że się tylko “współpracuje” a może zwyczajnie się nie znam.

    • Nie wygląda mi to na obśmiewanie.

    • a mi owszem – wygląda na artykuł na zasadzie “ahaha w MSZ pracują palanci nie mający pojęcia o tym jakie trzeba instalować przeglądarki”

  23. Zamienił stryjek szpiegowanie przez Google/Microsoft/NSA na szpiegowanie przez Microsoft/Microsoft/NSA, ot co.

    • Przynajmniej mniej firm/organizacji szpieguje. To zawsze krok w dobrą stronę ;)

  24. Chodzi nie o jakieś modyfikacje binarek, tylko fakt, że IE można “zabezpieczać” z poziomu Administratorów systemu. Jak wszystko na M$ stoi, to tak się można właśnie zabezpieczyć. Dlatego ruscy urzędnicy na Linuksie siedzą. Oczywiście dystrybucja państwowa.

  25. Jednego nie rozumiem dlaczego wewnętrzna korespondencja dotycząca infrastruktury IT czyli bezpieczeństwa wypływa z ministerstwa i nikogo to nie dziwi…

    • A dlaczego ma dziwić?

      Po pierwsze informacja w sprawach publicznych jest… publiczna.
      Po drugie security by obscurity raczej nie ma oparcia w praktyce ani nauce, to po co wdrażać?

  26. 0daya. bez apostrofu. To nie jest ani nazwisko, ani nieme “y”. A jesli traktujesz jako skrót: 0day-a

  27. Chrome jest rzeczywiście najbezpieczniejszą przeglądarką… przesyłałem znajomemu na FB kody mojego programu wraz z plikami Batch (*.bat) w postaci archiwum ZIP. Żeby nie było, pliki czyste jak łza jeśli chodzi o wirusy. Jak wysłać na Firefoxie mogłem, tak kolega nie może tego za skarby narodowe odebrać na Chromie. Po prostu przeglądarka mu nie pozwala pobrać tych plików “bo tak”… paranoja.

    • Zmień sobie rozszerzenie na .txt To nie przeglądarka ogranicza ruch, tylko poczta google.

  28. Wy tutaj o sandobxingu, certach itp. Fajnie, to istotne. Ale ja osobiście prułbym każdego httpsa, który stamtąd wychodzi na świat, bo to MSZ. A “zagrożenia bezpieczeństwa” to pewnie (moim zdaniem) brak kontroli przez gpo nad chrome. Ja zapewne bym tak napisał, żeby mi głupich pytań nikt nie zadawał. Nie wiem czemu się spodziewaliście, że Wam udzielą odpowiedzi na takie pytanie, czemu zmieniają przeglądarkę? Odpowiedź to nie szyfr dyplomatyczny, tylko takie “miłe” f..k you, mind your own business. Mają swoje powody, ale nie muszą ich od razu ujawniać. To nie jest inwigilacja pracowników jak sugerujecie, tylko bezpieczeństwo. Zachowujecie się jakbyście nigdy nikogo za rękę nie złapali i wierzyli, że wszyscy pracownicy są światli i prawi.

    • Chwila moment, ale kto powiedział że Google Chrome nie można zarządzać za pomocą GPO? Od tego jest wersja Google Chrome dla Firm oraz gotowe do pobrania szablony adm/admx.

      Tutaj instalka w formacie MSI gotowa do wdrożenia za pomocą instalacji zdalnych:
      http://www.google.pl/intl/pl/chrome/business/browser/admin/

      A tutaj szablony administracyjne gotowe do wrzucenia do magazynu centralnego na kontrolerze domeny:
      http://www.google.pl/intl/pl/chrome/business/browser/admin/

      Osobiście przetestowane, wdrożone i to po prostu działa. Chyba nawet lepiej niż w IE.

    • Poprawka drugiego odnośnika (do szablonów administracyjnych) – powinno być:
      https://support.google.com/chrome/a/answer/187202?hl=pl

      P.S. Jeśli to możliwe prosiłbym moderatora o podmianę linka w moim poprzednim poście.

    • Podpisuję się obiema rękoma pod Twoimi stwierdzeniami (zresztą napisałem coś podobnego). Ich sprawa co robią. Mogą miec plug-iny systemu DLP współpracujące z IE, a nie z Chrome. I co – będą o tym informowali wszystkich na świecie?
      Da się zarządzać przez GPO? Być może. W takim samym stopniu jak IE? Nie sądzę, ale nie przesądzam, bo nie próbowałem. Czy MSZ ma obowiązek zarządzania równolegle IE i Chromem tylko po to, żeby pani Halinka miała taką samą ikonkę jak w domu? Nie.
      O tym, że im więcej wspieranego w organizacji softu, tym więcej pracy nad utrzymaniem – nawet nie piszę, bo to oczywiste (choc chyba nie dla wszystkich).

    • Panowie, ale gubicie wątek ludzki w tym wszystkim. W MSZ nie tylko panie Halinki pracują, ale również osoby bardziej świadome, które nie na żarty się przeraziły wizja tego, że Chrome jest usuwany, bo jest dziurawy. MSZ ma oczywiście prawo i teleneta używać i jak najbardziej robić inspekcję ruchu wychodzącego (nawet powinno) – to ich jednak nie upoważnia do tego, aby zasiewać ziarno niepewności albo wprost poświadczać nieprawdę z powodu “bo tak jest łatwiej”. Każdy, kto na poważnie zajmuje się korporacyjnym bezpieczeństwiem wie, że bez współpracy, zrozumienia zespołu, nic nie da się zrobić – dlatego komunikacja tego typu zmian/ograniczeń powinna być wykonywana z należytą starannością, bez marginesu pozostawionego na domysły.

    • Częściowo się zgadzam.
      Są Panie Halinki, które i tak nie zrozumiały tego, co było napisane w mailu. Na kawie sobie ogarną, że będzie jakaś zmiana.
      Są ludzie, którzy coś tam wiedzą, że jest jakieś tam bezpieczeństwo. Wasz czytelnik, który twierdzi, że MSZ nie ma racji pisząc (w skrócie) o dziurze w chrome.
      Są ludzie, którzy takie rzeczy muszą robić, czyli tłumaczyć się ze zmian mających miejsce w organizacji, żeby usprawiedliwić złe nastroje, przestoje i pisać maile, które opublikowaliście. Ich błędem jest to, że napisali to tak jak napisali (zwłaszcza, że napisali za dużo), a Waszym, że wierzycie w to, że oni tak myślą (w sensie, że to zagrożenie bezpieczeństwa jednak istnieje).
      Zasłanianie się komunikacją jest dla mnie bezcelowe. Sprzątaczce (bez urazy dla zawodu) też tłumaczycie, czemu zakładacie firmę na Seszelach, która będzie Wam tylko marketing robiła? Ja wiem czemu, a ona tu tylko sprząta i niech każdy robi swoje. Welcome to corpo world.

  29. niech zainstaluja sobie IE6.0 :)

  30. Hmm najpierw rzekoma nieskuteczność TrueCrypta i rekomendacja BitLockera (oficjalna strona a nie wymysł jednego z polskich ministerstw) a teraz Internet Explorer zamiast Chrome z tym że to akurat rekomendacja polskiego Ministerstwa a nie samych twórców przeglądarki. Ale tak BTW. Czy tylko ja widzę lekką analogię?

  31. zamiast chroma zalecałbym iron

  32. A jak wygląda porównanie bezpieczeństwa przeglądarki Chromium w porównaniu do Chrome?

    • > A jak wygląda porównanie bezpieczeństwa przeglądarki Chromium w
      > porównaniu do Chrome?

      Podstawowy sandboxing jest ten sam (seccomp-bpf, seatbelt, integrity levels). Jest certificate pinning (bo w source kodzie), nie ma w chromium autoupdate, czy craszreportingu (chociaz to drugie nie ma wplywu na bezpieczenstwo bezposrednio).

      No i z chromium nie przychodzi flash sandboxowany (PPAPI) tylko niesandboxowany NPAPI – a flash to podstawowe źródło bagów dzisiaj w przeglądarkach.

  33. Pół mojego bólu to używanie windy. Drugie pół to był Google. Wolę cierpieć w połowie. A za niedługo nie będę cierpiał w ogóle.

    Może jest sens popytać znajomych w państwówce dlaczego takie decyzje państwówka podejmuje, co? A nie święcie wierzyć w uczciwość, prywatność i poufność takich konglomeratów jak M$ czy Google… Bo są duzi, to na pewno są uczciwi… Już to widzę! Policzcie ilu agentów na co dzień siedzi w ich biurach tam w US i dopiero wtedy mówcie “nic nie widziałem!”.

  34. odmóżdżenie jest poważnym zagrożeniem bezpieczeństwa
    a użytkowanie chruma niestety do tego prowadzi, wolność i konfigurowalność na poziomie oferowanym przez przeciętną łyżkę do butów…

  35. I’ll just leave it here.

    http://9gag.com/gag/aEw5yne

  36. Ot, choćby głęboka integracja z chmurą. Nie da się zablokować na poziomie admina logowania użytkownika do usług Google. Czyli Amerykanie dostają np. wszystkie hasła zapamiętywane przez użytkownika, mają dostęp do drukarek lokalnych itp
    Wielu adminów by zezwoliło na Chrome które nie “dzwoni do domu”. Zwłaszcza w tak wrażliwych instytucjach jak MSZ.
    I nie, nie można liczyć, że użytkownik sobie sam pozaznacza właściwe opcje.

  37. pracowalem w msz i pracuja tam ludzie ktorzy wiedze o bezpieczenstwie maja na koncu swojej listy a na pierwszym umieszczaja allegro…

  38. Moim zdaniem powinni zainstalować ie 6.0. Ta przeglądarka jest juz stara i nikt nie pisze na nią wirusów a obecne są niekompatybilne

  39. Staram się nie używać niczego co pochodzi z firmy Google – po roku z Androidem tej firmie dziękuje!

  40. Jakby tak zakazać używania windowsa we wszystkich ministerstwach? Sporo kłopotu mniej, a ile dodatkowych miejsc pracy przy wdrażaniu pracowników ;)

  41. Właśnie, zawsze mnie zastanawiało: czy to, jak lądują windowsy na komputerach budżetówki, jest wynikiem jakiegoś przetargu? Czy można formułować przetarg w sposób typu “Przedmiotem przetargu jest 1000 komputerów z systemem Windows i system informatyczny, którego funkcje to X,Y,Z, pracujący w oparciu o system Windows” – w ten sposób sformułowany przetarg jest naprawdę zgodny z prawem? Kto i dlaczego decyduje, że to ma być rozwiązanie tej a nie innej komercyjnej firmy, blokując tym samym alternatywne rozwiązania?

  42. Niech jeszcze zablokują przyciski lubię to, itd. bo to też śledzi nasz ruch…

  43. Ale dlaczego chcecie im podpowiedzieć, jak inwigilować ludzi przez Chrome?
    Każda forma inwigilacji to pogwałcenie czyjejś prywatności, chyba ze chodzi o zapobieganie przestępstwom (a i to w ściśle uzasadnionych przypadkach!!!).

    • W pracy, zwłaszcza w takim miejscu, powinieneś być świadomy, że nie ma prywatności. Jeśli Ci to nie odpowiada, zawsze można zmienić pracę.

    • @Piotr: nie należy popadać w przesadę. Również w pracy jest miejsce na prywatność. Jeśli mają acceptable use policy czy podobny dokument, który dopuszcza incydentalne korzystanie z zasobów do celów prywatnych, to oczekiwanie prywatności jest jak najbardziej na miejscu.
      Zdanie “Jeśli Ci to nie odpowiada, zawsze można zmienić pracę” rodem z przemówienia Korwina. Od rozbieżności w oczekiwaniach do wypowiedzenia droga długa i jest miejsce na działania korygujące, dla jednej lub obu stron :)

    • imho w pewnych instytucjach w ktorych bzpieczenswo informacji ma najwyzszy priorytet nie mozna oczekiwac prywatnosci. kazde acceptable use moze byc naduzyte do snowden-like use…

    • Snowden fail nie miał nic wspólnego z AUP czy też zapewnieniem prywatności.

      Ciekawa analiza co należało/można było zrobić, żeby “Snowden” się nie wydarzył:
      http://cacm.acm.org/magazines/2014/5/174340-the-nsa-and-snowden/fulltext

  44. Naprawdę autor sądzi, że chodzi im o bezpieczeństwo w sensie technicznym? Chrome to produkt prywatnej i pazernej korporacji, i w pewnym sensie fragment większej całości. Oni żyją ze zbierania informacji. Ta “dziura nie do załatania” w Chromie – to po prostu ciągły rozwój technologii personalizacyjnych – i gromadzących dane.
    Dla zwykłego usera znaczy to tylko tyle, że gmail załącza reklamy tak, jakby czytał jego maile Albo, ze jedno logowanie w Chromie daje wygodnie dostep do Xnastu różnych usług. Userowi – i przeglądarce.
    Ale rozmawiamy o urzędnikach MSZu i informacjach objętych różnymi klauzulami.
    IMHO słuszna decyzja.
    PS. Nie wiem, czemu akurat wybrali IE, może po prostu lepiej znają się na MS…

    • > Chrome to produkt prywatnej i pazernej korporacji,
      > i w pewnym sensie fragment większej całości. Oni żyją ze zbierania informacji.

      Czyli jak przeglądarka wypuszczona zostanie przez Polski Czerwony Krzyż to użyjesz jej bez względu jaką ma architekturę i jak jest zaimplementowana (po ludzku: “czy jest bezpieczna”), bo PCK to altruistyczna organizacja, więc przeglądarka musi być ok.

      Masz kod chromium – przeaudytuj lub zawierz tym którzy przeaudytowali i którym ufasz.

  45. *0daya

  46. Usuwa, bo informatycy zdali sobie sprawę, że są nie potrzebni, bo chrome sam aktualizuje adobe readera.

  47. Pracuje w Orange i też zakazana jest przeglądarka Google Chrome. Każda instalacja Chrome kończy się zdalnym usunięciem:( Systemy standaryzowane są pod IE6 sic! Alternatywą jest Firefox dostępny w instalacji zdalnej. Teraz czekamy na aktualizację z WinXP do Win7

  48. > Czyli jak przeglądarka wypuszczona zostanie przez Polski Czerwony Krzyż
    > to użyjesz jej bez względu (…)
    > Masz kod chromium – przeaudytuj lub (…)

    Gdzieś Ty to wyczytała w moim poście? Żadnego softu w ich sytuacji nie użyłbym bez audytu i analizy. Tyle, że rozwijana zgodnie z określoną polityką aplikacja wymagałaby takiego audytu po każdej aktualizacji.
    Może inaczej – ja w ogóle nie twierdzę, że Chrome i produkty z rodziny mają jakieś dziury w sensie technicznym.
    Ja twierdzę, że jeśli poprzez jedno bezmyślne klikniecie “zgadzam się” przez nieuważną urzędniczkę mogą wypłynąć – potencjalnie – jakieś informacje, to z dostępnych browserów właśnie Chrome stwarza największe ryzyko. Tak samo, jak nie używałbym na ich miejscu usług online Google ( konkurencyjnych oczywiście też nie). Po prostu efekty ludzkiego błędu mogą być dużo większe – z uwagi na integrację browsera z usługami, wynikającą z polityki firmy…
    Patrząc przez pryzmat Snowdena oraz teorie spiskowe: jeżeli polski MSZ chciałby jakieś informacje trzymać z dala od NSA, to aplikacji i usług której firmy powinien unikać przede wszystkim? Nawet, jeśli technicznie (w danym momencie ofkoz) – są nienaganne..?

    Więc nie wybrałbym softu PCK; wybrałbym aplikację maksymalnie pozbawioną ukrytych – bądź “prawie” ukrytych (jedno klikniecie…) mechanizmów integracji, trackingu itp. Oczywiście bezpieczną w sensie technicznym, wiec również – rozwijaną i aktualizowaną.
    Ewentualnie taką, którą da się pod tym względem, biorąc pod uwagę własne kompetencje najłatwiej “opanować” – pewnie dlatego wybrali MS.

  49. Nie jest przypadkiem tak, że Google coraz bardzie “zamyka” kod źródłowy Chrome?
    Kiedyś chrome i chromium leżały blisko, a teraz…

    Do kodu Windowsa i IE MSZ ma pewnie dostęp, a do kodu Chrome nikt im go zapewne nigdy nie da. A kto wie co “polepszającego odczucie użytkownika” dokłada Google?

  50. A dlaczego nie piszecie o tzw. “eksperymentach” Google Chrome? W przeglądarce zaszytego jest mnóstwo kodu (część dostępna jest też w Chromium bo inaczej im się nie udało go ukryć) który zmienia zachowanie przeglądarki i raportuje do Google co robi użytkownik. Oczywiście “anonimowo” ;) No i oczywiście nie można tego wyłączyć.

  51. Jednym z powodów jest prawdopodobnie blog o nazwie Radca Minister…

  52. Być może głębszych przyczyn omawianej akcji należy szukać w incydentach takich jak ten: http://www.computerworld.pl/news/388909/Dane.finansowe.wyciekaja.z.polskich.placowek.dyplomatycznych.html

  53. Chrom od lat znany jest z tego że jest szpiegującym programem. Dziwię się że redakcja przedstawia go jako bezpieczną przeglądarkę. Zresztą każda przeglądarka (choć osobiście zaufał bym chyba tylko ff) może szpiegować i mieć dziury. Stąd rozumiem że skoro IE i tak jest na każdym komputerze ograniczyli się do minimalnego zła i wywalili potencjalne dziury gdzie mogli.

    • Czy możesz pokazać przykłady tego szpiegowania? Na czym konkretnie polega? Jakie informacje są zagrożone? Będziemy wdzięczni – bo “ogólnie wiadomo, że chrome szpieguje” to kiepski argument…

  54. PS. Nie zapominajmy że google współpracuje z wywiadem amerykańskim i może czytać maile przechodzące przez ich konta lub produkty (zunifikowana licencja). Jeśli czyta maile – może przekazywać ich treść po cichu swoim płacodawcom.

  55. Powiem tak, jeżeli panowie Larry Page and Sergey Brin pędzą zobaczyć się wpierw z rządem Izraela po utworzeniu firmy Google – może po zastrzyk pieniędzy ale wtedy to już wiadomo czemu to ma służyć – a wiemy dobrze, ze nie są to aniołki… to jest to dla mnie wielce niepokojące.
    I nie widzę powodu do szukania dowodów – jest to znak, ze mamy kolejnego partnera nie tylko NSA!!!
    Poza tym można to między bajki włożyć jakoby są oni wielce zmartwieni praktykami NSA!
    Google i Microsoft nigdy nie będą po naszej stronie – reszta to papka dla naiwnych!

Odpowiadasz na komentarz d66

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: