Dnia Fri, 29 Jun 2012 10:38:52 +0200, Tom01 napisał(a):
> W dniu 29.06.2012 07:04, Przemysław Ryk pisze:
>> No i mam zagwozdkę, czy o czymś nie wiem. :(
>
> Ano najwidoczniej. Uprawnienia w Windows są słabo związane z fizycznymi
> plikami i folderami.
Serio? Wziąłem laptopa. Skonfigurowałem. Siostra ma usera z ograniczonymi
prawami, ja admina. Prawa dostępu do folderów na dysku nadane. W swoich
sobie może grzebać do woli, moich nie ruszy. Wiadomo - grzebać można, w
końcu zabezpieczenia się złamie szczególnie, jak masz fizyczny dostęp do
maszyny. Mówisz, że przy środowiskach korpo z Active Directory i polisach
grupowych też owe uprawnienia słabo są powiązane? Jakoś mnie się… :D
> Przez co obejść uprawnienia może bez problemu każdy
> napisany w tym celu program i ukryć się w tle pod pozorem procesu
> systemowego działającego z uprawieniami administratora.
Ktoś na uruchomienie danego softu z podwyższonymi uprawnieniami musi jednak
zezwolić. Faktem jest, że polityka Microsoftu, gdzie od XP w górę domyślnie
user ma zakładane konto z prawami administratora, jest dla mnie
niezrozumiała.
> To dlatego backdoory i inne robactwo pod Win jak wlezie, ciężko je
> wywalić. Jeśliby uprawnienia działały jak należy, to z uprawnieniami
> administratora powinieneś móc zatrzymać proces wirusa i go skasować. Tak
> jest w każdym normalnym systemie. A w WIn najczęściej nie można i trzeba
> się posługiwać programami narzedziowymi, działającymi nomen-omen na tej
> samej zasadzie co robal.
Tu masz często kwadraturę koła. Na przykład: kupujesz legalny soft (gra),
który używa SecuROMa. SecuROM drze Ci ryj, jeżeli kiedykolwiek od ostatniego
logowania był uruchomiony Process Explorer. Soft jak najbardziej legalny i
do tego darmowy. Ale SecuROM darł mordę i koniec. Dlaczego? Bo Process
Explorer zbyt dokładnie pokazywał, gdzie SecuROM i jak grzebał. Wściec się
można? Można. Masz legalnie kupiony soft, który Ci pysk drze, że nie możesz
jednocześnie używać innego, całkowicie legalnego softu. Nie w celach
jakiegoś crackowania czy coś. Masz kłerwa kaprys, że zamiast systemowego
Menedżera Zadań chcesz Process Explorera i koniec. Wolno Ci? No wolno.
Wściec się możesz? No możesz. I co? I pompka. Wielbiciele edycji
torrentowych turlają się ze śmiechu, a Ty się wściekasz.
Z drugiej strony - na Maczku sobie tak nie pograsz. I nie wyjeżdżaj mi
proszę z konsolami, gdyż w mojej skromnej opinii celowanie pod casualowego,
konsolowego gracza i możliwości techniczne tych maszyn, już dawno sporo gier
wykastrowało.
> Zresztą samodzielnie też można, nawet niechcący,
> doświadczyć nieprawidłowości działania uprawnień. To nic nadzwyczajnego.
Jakiś przykład? Tak z ciekawości. Bo jeszcze mi się nie udało…
> W uprawnieniach unixowych natomiast, jeśli program który wlazł na dysk i
> się uruchomił chce działać, będzie działał wyłącznie z uprawnieniami
> usera na którego wlazł.
Domyślnie user w pingwinowatych AFAIR nie dostaje praw admina. I to mi się
podoba. Windows próbuje to wymuszać, ale znowu - masz często kwadraturę koła
w postaci zgodności w dół (by daleko nie szukać - postaw sobie na koncie z
ograniczonymi uprawnieniami 40tude Dialog w domyślnym katalogu instalacyjnym
i nie dostań wścieku, że nie zapamiętuje ustawień konfiguracyjnych. System
winien? Nie. Autor olewający od lat dostępną dokumentację Microsoftu
opisującą gdzie trzymać dane softu, gdzie userów).
> Nie rozszerzy działalności. Uprawnienia są częścią atrybutów, zapisanych i
> obsługiwanych na niższym poziomie przez prodedury dostępu do systemu
> plików. Dodatkowo aktywność robala będzie widać z kilometra. To jest
> główna przyczyna braku realnych zagrożeń na OSX i podobne systemy. Po
> prostu robactwo nie ma przestrzeni do życia.
O ile user nie pacnął „a korzystaj se z podwyższonych uprawnień”. Czyż nie
tak było w przypadku MacDefendera?
-- [ Przemysław "Maverick" Ryk ICQ: 17634926 GG: 2808132 ] [ Świat jest zły i jeszcze mu się to ułatwia. ] [ (Franz Kafka) ]Received on Wed 04 Jul 2012 - 18:15:09 MET DST
To archiwum zostao wygenerowane przez hypermail 2.2.0 : Wed 04 Jul 2012 - 18:51:00 MET DST