Paweł Goleń, dnia pon 14 lis 2005:
> > Tu jest błąd - źle identyfikujesz na czym polega zagrożenie.
> > Uszkodzenie systemu jest zagrożeniem niewielkim - odzyskasz sobie go w
> > ten czy inny sposób (płytkę instalacyjną masz, żadna wielka strata,
> > poza stratą czasu).
> Ogólnie to zgadzam się z 50% tez, które tutaj przedstawiłeś. Głównie
> chodzi o to, że jeśli system jest uszkodzony, to nie możesz mu ufać.
> Jeśli nie możesz mu ufać, to jesteś głęboko w krzakach jeśli chodzi o
> dostęp do poufnych danych. To jest pytanie poniekąd filozoficzne, co
> jest pierwsze - uszkodzenie systemu, czy dostęp do poufnych danych.
Z tym, że właśnie ja dokładnie o tym - nieuprawniony dostęp do poufnych
danych często nie wymaga uszkodzenia systemu, wystarczy modyfikacja
środowiska użytkownika. Ja tego nie określam w tym kontekście jako
system, przecież to co sobie uruchamia z własnego konta systemu nie
uszkodzi, ale do danych użytkownika dostęp ma, i tak działa większość
malware - bo malware nie ma na celu stricte uszkodzenia systemu (tak
jak to sugeruje tekst z którym polemizuje) tylko ma za zadanie kradzież
danych - i to jest największe zagrożenie.
> Osobiście boję się jednak tego pierwszego, że system, w którym pracuje
> będzie uszkodzony w taki sposób, że nie będę wiedział o fakcie
> uszkodzenia, a robactwo działające "pod spodem" wykradnie moje "tajne
> hasła", których bez czyhania na akcje z mojej strony nie jest w stanie
> pozyskać.
Też prawda - ale nadal identyfikujesz to w poprawny sposób - troszczysz
się o bezpieczeństwo danych, nie systemu (tzn. systemu pośrednio ze
względu na dane).
Generalnie ja wiem o co Ci chodzi - mi chodzi o to, że ten tekst jako
nastawiony do kogoś kto nie wie nic o temacie w zły sposób przedstawia
zagrożenie. Zagrożeniem jest kradzież, nie wandalizm.
W sensie prawdopodobnie dla kogoś kto nie ma pojęcia to "uszkodzenie
systemu" jest równoznaczne z, nie wiem, wybuchem monitora. ;) Kradzież
danych to jest właściwie określenie.
(...)
> > To jest święta racja, da się to obejść dając odpowiednie ACLe i
> > podobne voodoo odprawiając, no ale to faktycznie jest uciążliwe.
> Zapoznaj się wreszcie z Application Compatibility Toolkit i fixami LUA,
> jest na prawdę łatwiej.
Nadal jest to niewygoda w porównaniu z pracą z konta Administratora. I
to pokutuje.
-- + ' .-. . . http://kosmosik.net/ * ) ) * . . '-' . kKReceived on Mon Nov 14 22:25:16 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 14 Nov 2005 - 22:42:02 MET