Konrad Kosmowski napisał(a):
> ** www.fijaksoft.prv.pl :), 2006-02-01 10:35:
>
>>> - po pierwsze ActiveX - powinni to całkowicie wyłączyć, jeżeli ktoś jest
>>> od tego zależny (aplikacje intranetowe czy coś), to niech samemu
>>> świadomie to włączy (tak jest zdaje się w 2003 Server).
>
>
>> przyznasz ze musza byc tzkie rzeczy jak activex, pluginy itp, a swiadome
>> wlaczanie jest problemem
>
>
> A padnięta od malware stacja robocza nie jest problemem? Kwestia
> kompromisu - wolę jednak aby coś było wyłączone i wprawiało w
> zakłopotanie użytkownika, niż coś było włączone i demolowało
> użytkownikowi wszystko dookoła. Coś jak z zabezpieczeniami na mocne leki
> - w sensie, że trzeba zrobić myk aby odkręcić opakowanie. Przecież jakaś
> emerytka może mieć z tym problem - mimo wszystko się to stosuje aby
> chronić dzieci.
>
>> o tyle ze wielu uzytkownikow jetst za glupich by cos swiadomie wlaczyc.
>
>
racja, ale cos mi sie wydaje ze MS$ kladzie nacisk na ladny, uzyteczny
(czasami az za bardzo) fajny multimedialny i duperelowaty, a nie
wewnetrznie spojny bezpieczny i wydajny OS, niestety.
> W przypadku MSOE OK. Ale np. bodajże Norton Antivirus wykorzystuje MSIE
> W przypadku GG np. Konnekt jest przykładem, że da się inaczej - chociaż
> Być może różnica jest taka, że GG jest robione "na odwal się", aby było.
>
sa programisci i prosgramisci, gg jest przykledem ladnego uzytecznego i
prostego w tworznieu a nie bezpiecznego wydajnego i z zaawansowanymi
opcjami (no bop i po co skoro i tak wiekszosc ludzi tego nie dostrzeze -
tak chyba mysla), i niestety z tego co widze (rozne programy) jest to
czesta praktyka, chyba jedynym rozwiazaneim jest oprogramowanie otwarte,
nie ma wtedy miejsca w programie na odpieprzanie maniany przez
programistow, i jest to w miare bezpieczne i w miare wydajne, i w jakims
kiedrunku idzie, a nie tylko dorabianie glupot.
> Uruchamianie wybranych rzeczy na obniżonych prawach nie jest
> rozwiązaniem, rozwiązaniem jest uruchamianie *wszystkiego* na obniżonych
> prawach i wybranych rzeczy (konfiguracja np.) na wyższych.
no tak, ale teraz sie juz jakgdyby nie da (moze w nowym win bedzie inne
podejscie do tego) bo istniejace programy czesto wymagaja jakis tam
praw, wlasnie z powodu niemadrosci, i zlych przyzwyczajen, jesli od
poczatku windowsow byloby podejscie uzytkonicy-administrator (np gdyby
nie bylo 9x, no ale musialy byc, a domyslnie po zainstalowaniu user
bylby typu user) tworcy oprogramowani byliby zmuszeni tworzyc
oprogramownaie takjl, iz gdy nie jest to wymagane program moze dzialac
na koncie usera zwyklego, a jesli wymagane sa prawa to najlepiej gdyby
pytal o pass.
btw
jestem w trakcie tworzenia programu ktory dzialajac jako usluga hookuje
wszystkie wywolania WinApi (we wszytskich procesach, albo tylko
procesach uzytkownikow - chyba by wystarcztlo) i ew. blokowanie ich,
mialoby to na celu blokowanie instalowania globalnych hakow szczegolnie
klawiatury (bo niestety hak klawiatury moze nawet zalozyc user) blokowac
rozwniez domyslnie wstrzykiwanie kodu (CreateRemoteThread), ktore czesto
jest wykorzyustywane jako ominiecie np firewalli (zlosliwy kod nie jest
wykonywany jako jakistam proces, bo bylby domyslnie zablokowany) a np
jako uruchomiony IE ktory moze gadac z netem, moze rowniez sluzyc do
manipulowania innymi procesami tak aby dzialaly w nieoryginalny sposob
ze tak powiem. moj programn mialby za zadanie rowniez monitorowac
wywolania nowych programow (CreateProcessxxx) i jesli znajduje sie na
liscie programow ktore sa zaznaczone jako niepotrzebujace praw admina
(np te ktore jak wspominasz sa narazone na zly kod IE czyli np OE,GG)
system wtedy uruchamia ale przy zmniejszonych parwach (jako inny
uzytkownik, albo cos by sei wymyslilo), nie wydaje mi sie tutaj dobrym
aby domyslnie wszystkie programy odpalac mna niskich prawach, ale
moglaby byc taka opcja, + w zwiazku z tym mozliwosc blokowania
nieznajdujacych sie na liscie exekow w ogole, ale np automatycznie na
liste z "niskimi programami" ladowalyby programy ktore korzystaja z netu.
zastanawiam sie czy taki soft bylby dobrym dodatkimem do antywira i
firewalla, wydaje mi sie ze tak, poniewaz tak jak napisalem mozna latwo
napisac keyloggera ktory wysyla dane komus nawet jestli ktos jest
tylko userem, a tu byloby zabezpieczenie przed takim czyms, przed
programami ktore jako dodatkowe dzialanie maja funkcje szpiegowskie, czy
po prostu przed dedykowanymi atakami na kogos konkretnie. Wydaje mi sie
ze soft ma sens ale chcialbym poznac opinie.
--
(* www.fijaksoft.prv.pl *)
(* Programy, Instalki, Varia *)
(* Delphi Pascal Dokumentacje FAQ *)
{7777772E-6669-6A61-6B73-6F66742E706C}
Received on Wed Feb 1 12:10:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 01 Feb 2006 - 12:42:00 MET