Come mai gli sviluppatori di Chrome non stanno prendendo iniziative contro crashsafari.com?

0

Come mai gli sviluppatori di Chrome non stanno prendendo iniziative contro crashsafari.com? È una vulnerabilità conosciuta e quindi dovrebbe correggerla. Non dovrebbero? Con questo intendo che dovrebbero essere "difensivi" e applicare patch al browser, non voglio dire che dovrebbero "attaccare il sito" - per coloro che potrebbero fraintendere la mia domanda.

    
posta Tilak Maddy 30.07.2016 - 10:45
fonte

1 risposta

2

Ci sono due problemi per questo, 394296 e 581237 , che è un duplicato di 394296.

Non è considerato un problema di sicurezza, il motivo è:

Removing security bits from the bug. As per http://www.chromium.org/developers/severity-guidelines, this is not a security bug.

Since this is just a generic DoS in the browser due to huge amount of IPC messages coming in, I'm unassigning myself from it for anyone interested in tackling this problem.

Dal documento collegato :

The security FAQ covers many of the cases that we do not consider to be security bugs, such as denial of service.

E perché non considerano il DOS un problema di sicurezza? Vedi qui :

Are denial of service issues considered security bugs?

No. While they are an inconvenience, we treat them as stability issues rather than security vulnerabilities, and they are not considered under the security VRP. That said, if you find a reproducible crash, we still encourage you to report it. The severity guidelines outline the types of bugs that are considered security vulnerabilities in more detail.

Quindi, anche se non è considerato un problema di sicurezza, è considerato un bug e assegnato a uno sviluppatore.

    
risposta data 30.07.2016 - 11:21
fonte

Leggi altre domande sui tag