Discussion :

[Hinault Romaric]

Chrome 15 sort : anti-BEAST et récompense record de 26 500 $
La détection des bogues du navigateur coûte cher à Google

Mise à jour du 26 octobre 2011 par Idelways


La 15e itération stable du navigateur Chrome vient de sortir, propagée discrètement depuis ce matin via le système de mise à jour automatique.

Les utilisateurs de Chrome remarqueront des remaniements perceptibles de l'écran Nouvel Onglet du navigateur. Des améliorations destinées à mettre plus en avant les applications du Chrome Web Store (boutique d'applications HTML5 et natives pour l'OS et le navigateur Chrome).
Passer des pages souvent visitées aux applications installées ne nécessite plus qu'un clic (voir capture d'écran ci-devant)

Mais cette version réalisée en cinq semaines est essentiellement centrée sur la sécurité.

Le remède anti-BEAST entre en production. Google a pour rappel choisi une technique d'injection de texte aléatoire, destinée à empêcher le décryptage des données transitant par les anciennes versions vulnérables des protocoles SSL/TLS.

Mais si cette vulnérabilité n'est pas spécifique à Chrome, d'autres le sont, et leur détection coûte cher à l'entreprise qui, rappelons-le, récompense généreusement ceux qui en trouvent.

170 000 dollars ont été distribués jusque-là en 2011.

Pour Chrome 15, Google vient de distribuer une prime record de 26,511 $ à quatre chercheurs ayant ensemble détecté 18 vulnérabilités. Le record précédent était à 17K $.

Sergey Glazunov et « miaubiz » (des chasseurs de primes habitués) ont collecté la majorité du pactole avec respectivement 13.674 $ et 10.337 $.

Leurs découvertes ont été combinées dans un seul identifiant CVE du dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Ce bulletin décrit notamment une faille de violation du principe de la même origine.

Ironiquement, la majeure partie des vulnérabilités sont découvertes à l'aide d'AddressSanitizer, un outil de détection des erreurs mémoires créé par l’équipe du navigateur.

Certains diront que Google paye des chercheurs pour utiliser ses outils !


Télécharger Chrome 15

Source : Hall of Fame sécurité de Chromium


Refonte complète de la page Nouvel Onglet
Avec une meilleure organisation des éléments, pour Chrome 15 bêta


À peine cinq jours après la publication de la version finale de Chrome 14, Chrome 15 pointe « le bout de son nez » sur le canal bêta.

Cette nouvelle mouture du navigateur apporte comme nouveauté majeure une refonte complète du design de la page « Nouvel Onglet ».

La nouvelle page affiche désormais les sites les plus visités, les applications Web installées depuis le Chrome Web Store et les marque-pages dans trois sections différentes avec des flèches à gauche et à droite pour défiler dans chaque section.

Le navigateur enregistre la dernière section que l’utilisateur a visitée, et l’affiche automatiquement lors de la prochaine ouverture de la page. Les onglets récemment fermés sont accessibles depuis un menu déroulant affiché au bas de la page.



Par ailleurs, de nouvelles fonctionnalités d’organisation sont disponibles pour améliorer l’expérience utilisateur. L’on peut faire désormais glisser et déposer des éléments de l’une des trois sections vers le bas de la page pour créer de nouvelles sections personnalisées. La suppression d’un élément se fera en le glissant simplement dans un coin inférieur droit de la page, et une icône d’une corbeille apparaitra dans laquelle sera déposé l’élément.

On notera comme autres nouveautés : une synchronisation de l’historique avec la barre d’adresse Omnibox, l’activation par défaut de l’API JavaSCript Fullscreen ainsi que la possibilité d’installer les applications du Chrome Web Store directement depuis le site officiel de l’éditeur.

Télécharger Chrome 15 bêta

Source : Notes de version


Et vous ?

Que pensez-vous de la nouvelle page Nouvel Onglet ?

[kOrt3x]

Cette interface là est bien plus jolie que dans la version 9 de Firefox (UX).
Mais Chrome consomme encore pas mal de mémoire.

[Aiekick]

Mode Apple : on

Ho, ils ont copié l'iphone. On va leur interdire leur navigateur.

Mode Apple : off

[mangasource]

J'veux pas dire, mais Chromium est largement en avance sur Chrome ...
D'ailleurs, si je me souviens bien Chrome n'est qu'une copie de Chromium, avec spywares ajoutés (100% Matières Grasse !).

Pour preuve, Chromium intègre cette interface depuis déjà un moment.
Je sais pas si Google a acheté les droits ou quoi que ce soit, mais quit à choisir, ce sera Chromium !

@kOrt3x, poure rester sur ce principe, Chromium consomme moins il me semble.

[Camille_B]

Je sais pas si Google a acheté les droits ou quoi que ce soit, mais quit à choisir, ce sera Chromium !

Euh... Chromium c'est simplement la base open-source qui sert de développement à Google pour Chrome.

Bref, c'est un logiciel Google.

[Idelways]

Chrome 15 sort : anti-BEAST et récompense record de 26 500 $
La détection des bogues du navigateur coûte cher à Google

Mise à jour du 26 octobre 2011 par Idelways


La 15e itération stable du navigateur Chrome vient de sortir, propagée discrètement depuis ce matin via le système de mise automatique.

Les utilisateurs de Chrome remarqueront des remaniements perceptibles de l'écran Nouvel Onglet du navigateur. Des améliorations destinées à mettre plus en avant les applications du Chrome Web Store (boutique d'applications HTML5 et natives pour l'OS et le navigateur Chrome).
Passer des pages souvent visitées aux applications installées ne nécessite plus qu'un clic (voir capture d'écran ci-devant)

Mais cette version réalisée en cinq semaines est essentiellement centrée sur la sécurité.

Le remède anti-BEAST entre en production. Google a pour rappel choisi une technique d'injection de texte aléatoire, destinée à empêcher le décryptage des données transitant par les anciennes versions vulnérables des protocoles SSL/TLS.

Mais si cette vulnérabilité n'est pas spécifique à Chrome, d'autres le sont, et leur détection coûte cher à l'entreprise qui, rappelons-le, récompense généreusement ceux qui en trouvent.

170 000 dollars ont été distribués jusque-là en 2011.

Pour Chrome 15, Google vient de distribuer une prime record de 26,511 $ à quatre chercheurs ayant ensemble détecté 18 vulnérabilités. Le record précédent était à 17K $.

Sergey Glazunov et « miaubiz » (des chasseurs de primes habitués) ont collecté la majorité du pactole avec respectivement 13.674 $ et 10.337 $.

Leurs découvertes ont été combinées dans un seul identifiant CVE du dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Ce bulletin décrit notamment une faille de violation du principe de la même origine.

Ironiquement, la majeure partie des vulnérabilités sont découvertes à l'aide d'AddressSanitizer, un outil de détection des erreurs mémoires créé par l’équipe du navigateur.

Certains diront que Google paye des chercheurs pour utiliser ses outils !


Télécharger Chrome 15

Source : Hall of Fame sécurité de Chromium

[rawsrc]

170 000 dollars ont été distribués jusque-là en 2011.

Pour Chrome 15, Google vient de distribuer une prime record de 26,511 $ à quatre chercheurs ayant ensemble détecté 18 vulnérabilités. Le record précédent était à 17K $.

Sergey Glazunov et « miaubiz » (des chasseurs de primes habitués) ont collecté la majorité du pactole avec respectivement 13.674 $ et 10.337 $.

Communication merdique.
J'ose à peine imaginer la valeur marchande en terme de marketing ciblé de toutes les infos collectées par Google quand on fait usage de Chrome et ils trouvent que la découverte de failles leur revient cher ! Quand on lance carrément un défi à la communauté en annonçant que son navigateur est le plus sûr de tous, il faut savoir récompenser à sa juste valeur le travail des chercheurs qui arrivent à percer les défenses.
Parce que $26 511 pour 4 chercheurs, cela fait du $6 627 par bonhomme et $1 472 par faille -> c'est ridicule en comparaison du coût potentiel de l'exploitation de ces failles dans le monde de l'entreprise.
Et je suis prêt à mettre ma main à couper qu'un chercheur salarié chez Google touche bien plus que $6 627 mensuels.

Ce sont des pauvres petits malheureux et les autres sont des méchants/profiteurs (bien utiles quand même). Faut changer de comm les gars et arrêter d'être mesquin.

[grunk]

Ce sont des pauvres petits malheureux et les autres sont des méchants/profiteurs (bien utiles quand même). Faut changer de comm les gars et arrêter d'être mesquin.

Ce n'est pas Google qui affirme que ça leur coute cher , c'est une extrapolation de la news.

On se doute bien que 170k€ pour Google c'est de la rigolade C'est évident que c'est rentable pour eux. Un développeur lambda doit déjà couté au bas mot 50k€ à une entreprise (charge comprise) alors des expert en sécurité ^^.
T'imagine bien que google est content de leur filer du pognon

[vampirella]

Les utilisateurs de Chrome remarqueront des remaniements perceptibles de l'écran Nouvel Onglet du navigateur. Des améliorations destinées à mettre plus en avant les applications du Chrome Web Store (boutique d'applications HTML5 et natives pour l'OS et le navigateur Chrome).

Hmmm ... ça tombe bien, j'ai installé une belle extension pour rediriger les nouveaux onglets vers une page principale.
Depuis le temps d'ailleurs, je suis surpris que cela ne soit pas en option de base dans les options de Chrome. Sans doute pour mieux nous vendre / rediriger vers leurs produits ou ceux de leurs associés

Remarque, en matière de redirection pour les nouveaux onglets, la concurrence (je pense à Firefox) ne fait pas forcément mieux de ce côté-là ...


Quant à la sécurité, ma foi ... tant qu'il y aura des gens du "domaine public" qui sont suffisamment motivé par le montant de la prime / par la chasse aux failles, la prime restera inférieur à ce qu'ils pourraient dépenser pour un expert en sécurité. En un sens, c'est logique.

[Christophe P.]

developpez.com :

récompense record de 26 500 $, la détection des bogues du navigateur coûte cher à Google

http://investor.google.com/earnings/..._earnings.html :

Google reported revenues of $9.72 billion for the quarter ended September 30, 2011, an increase of 33% compared to the third quarter of 2010.

26 500 sur 9 720 000 000... qu'est-ce que ça coûte cher à Google !

[rawsrc]

Ce n'est pas Google qui affirme que ça leur coute cher , c'est une extrapolation de la news.

Euh, je n'aurais jamais pensé qu'Idelways extrapole dans ses news, par contre, j'aurais bien vu un service de comm poser ce genre de qualificatif totalement absurde voire stupide.
Et puis cela coûte cher par rapport à quoi ? Parce que si l'on prend pour dénominateur l'océan de profits qu'engendre Google, j'en rigole encore. Merci à Christophe P. pour son lien.

Pour le reste, je maintiens totalement ce que j'ai dit.
Google a bâti son empire sur l'intelligence individuelle et collective et connait parfaitement le niveau interne de ses équipes ainsi que le savoir, les compétences et l'expérience nécéssaires pour arriver à faire tomber leurs produits.
Personnellement, je trouve que vu les niveaux de rémunérations de ces exploits (parce qu'il s'agit bien d'exploits), Google se moque ouvertement des chercheurs qui contribuent à sécuriser lesdits produits. Pour leur image, ils devraient s'abstenir de communiquer sur ces primes. Ils ont l'image d'être une société élitiste en matière de développement et jusqu'à maintenant il m'a toujours semblé y voir une forme de prime à l'intelligence, au génie, là je dois dire que c'est pas trop le cas. Ils ne devraient pas s'éloigner des fondamentaux surtout dans leur position.

[Idelways]

Bonjour,

Je reconnais en effet qu'il s'agit d'une "extrapolation" personnelle pas des plus pertinentes. Mais quand on regarde la liste des gagnants des primes avec les même noms qui reviennent des dizaines de fois et récoltent à chaque passage 1000 dollars, moi je dis que c'est de l'argent facile. Surtout sachant que la plupart des failles sont découvertes avec un outils de détection des erreurs mémoire développé par l'équipe de Chromium.

D'où l'ouverture de l'article. Mais un titre "Google jette-t-il son argent par la fenêtre" aurait été encore moins pertinent.

Ça y est, je n'extrapolerai plus

Cordialement
Idelways

[nicorama]

Un développeur lambda doit déjà couté au bas mot 50k€ à une entreprise (charge comprise) alors des expert en sécurité ^^.

Un développeur coûte 100k$ minimum HORS CHARGES et bonus. Et encore, ils font attention à les prendre plutôt jeune.
http://www.geekpedia.com/Report4_Sal...And-Yahoo.html

[Uther]

Mais quand on regarde la liste des gagnants des primes avec les même noms qui reviennent des dizaines de fois et récoltent à chaque passage 1000 dollars, moi je dis que c'est de l'argent facile. Surtout sachant que la plupart des failles sont découvertes avec un outils de détection des erreurs mémoire développé par l'équipe de Chromium.

C'est quand même loin d'être aussi simple, un problème de gestion mémoire n'engendre pas systématiquement une faille, et même si c'est le cas il n'est pas toujours évident de l'exploiter.

S'il suffisait d'utiliser un outil pour découvrir et exploiter les failles, je pense que Google les aurait toutes corrigées depuis longtemps.

[SurferIX]

Marrant parce que pour tout ce qui est refonte de trucs personnalisés, je ne les vois jamais : pour information je lance Chrome avec cette ligne de commande :

"C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe --start-maximized --incognito"

Ainsi il est lancé en mode privé, donc lorsque je quitte aucune trace, et il est lancé en mode "fenetre maximisée", ce qui est différent du mode "plein écran".

En espérant que cela puisse être utile à certains au travail...