Зачем нужна Group Policy, или Linux становится популярным

Dec. 10th, 2009 06:42 pm
wizzard: (Default)
[personal profile] wizzard
кажется, линуксоиды начинают понимать, что некоторые вещи являются не "страшной переусложненной хуйней", а имеют вполне аргументированные причины своему появлению, и принцип KISS применим тоже (увы) не ко всему.

а еще фраза "security from the ground up" очень двусмысленна теперь.

Просто под Linux никто не пробовал писать вирусы. А теперь смысл появился. Короче, проблему малой распространенности OSS-сообщество худо-бедно решило, "now they have two problems".
а именно, Security by Unnecessarity, по-нашему "Метод Неуловимого Джо", начинает давать сбои

>> притом почти никакие интеллектуальные средства защиты в популярные дистрибутивы не интегрированы, вся надежда на добросовестность и глазастость мантейнеров.
via анонимный комментатор на opennet
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2009-12-17 03:58 pm (UTC)
From: [identity profile] fi_mihej.livejournal.com
Ярлык на runas и вперед :)

Это не тру - не удобно - уже юзал под XP.

Ну, то есть, я серьезно не понимаю, в чем профит такой системы.

Профит в том, что если, к примеру, в браузере найдется 0-day уязвимость позволяющая получить контроль над браузером, и заразу, эксплуатирующую эту уязвимость, ты только что подхватил - то ничто не помешает браузеру-зомби стереть нафиг всю не системную, пользовательскую информацию. Даже получение рутовых привилегий ненужно. Мне например пофиг, будет ли снесена виндовая дирректория (систему переустановил и норм) - важно данные свои сохранить, а бекап занимает время, имеет заметный лаг, требует очень много места. Кроме того вполне можно наткнутся на "шутку", или просто ошибку некого программиста, приводящую к удалению всего, к чему у пользователя есть доступ. В случае браузера - запуск от имени другого пользователя не поможет, т.к. браузер полюбому будет иметь доступ ко всему, что сказал. А в скачанных данных могут быть и важные данные, которые еще незабекаплены.

Date: 2009-12-17 04:02 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
эээ, я думал, UAC именно от этого и защищает. Правда, защищает только в IE :)

(ну то есть, я реально пробовал, ActiveX самоподписанный не может удолять файлы из my documents, только create и append может. А firefox и опера можють, если йаваскрипту такое разрешить :))

А анальное огораживание браузера, кстати, не поможет, у флэша и у акробата отдельные хелпер-процессы, блиа.

Проблема понятна, короче. Но как ее решать - я не знаю, потому что, с одной стороны, браузеру все равно нужно куда-то писать (файлы качать, хистори писать\читать, букмарки, рсс кэшироватьь)

с другой стороны очень мало вирусов сейчас деструктивные, все в основном читаютъ.

Date: 2009-12-17 04:23 pm (UTC)
From: [identity profile] fi_mihej.livejournal.com
Решать (в т.ч. и для хелпер процессов) - не проблема: изначально - запрещено все (или не все - в зависимости от "интеллектуальности" защиты), но по попытке доступа - выдается запрос пользователю. Как и в случае нормальных фаерволов, которые в основном в Винде и живут (Comodo, Outpost, и т.д.) - в линуксе я вроде, только один, или два встречал.
Зато для Линупса - SELinux есть, который умеет запрещать не только писать, но и читать, а вот под Виндой - только пара программ, которые запретить читать не могут, но по крайней мере - выдают запросы пользователю, что сильно упрощает дело.

Date: 2009-12-17 04:55 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
(лирическое отступление)
аутпост? боже упаси. нет, нет и еще раз нет :)

был бы я админом, наверное, в приказном порядке его сносил бы. сколько он софта ломает, причем труднодиагностируемо - не перечесть...

"у нас при драгндропе из 3dsmax в фотошоп вылетает BSOD, если входить в сеть через VPN". шикарно, я считаю.

А еще он почему-то упорно не запоминает правила (точнее, пачками их генерирует, не ассоциируя их с программой после ее перезапуска), и приучает пользователей пофигистично кликать "Да", что вредно.

Задумки у них хороши, но юзабилити у проги ниже плинтуса, увы.
Надо кстати посмотреть насчет других фаерволов, я не думаю что такая идиосинкразия повальна :)

Date: 2009-12-17 05:41 pm (UTC)
From: [identity profile] fi_mihej.livejournal.com
Да уж - кошмар.

Я им когда то давно пользовался, но потом на Комодо бесплатный, перешел. Ну и сейчас, когда искал средство подходящее - поставил, увидел, что в нем нету того, что ищу - и снес. :)

Забавная штука: бесплатные и даже опенсорсные (в основном - просто постфактум, сканирующие систему на наличие изменеиний), хоть и неполные средства - есть, а платные - либо вообще отсутствуют, либо какие то монструозно-секретные, как в trend-micro: "оставьте свои данные - мы подумаем и может быть отправим вам ссылку на видео с презентацией того, что получится, когда сотрудник попробует скопировать конфиденциальные данные, а пока почитайте ту воду, которую мы вылили на сайт под видом описания". Мало того, что ихняя система, походу просто сканирует весь трафик между устройствами (ну быть может и память процессов - хз) на наличие сигнатур конфиденциальных данных (гигабайтов их - ага), так еще и наверно пользователей расстреливает на месте, рас уж такая секретность. :D

Date: 2009-12-17 05:44 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
Аутпост когда-то был хорош, кстати. Только он со временем все изговняется и изговняется, потому что фичи добавляются, а юзабилити не улучшается, а общая устойчивость системы падает
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

wizzard: (Default)
wizzard

January 2019

S M T W T F S
  12 345
6789101112
1314 1516171819
202122 23242526
2728293031  

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 24th, 2026 07:11 am
Powered by Dreamwidth Studios