Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. Скачал с сети программу .Net, открыл утилиту и проставил птички чего можно программе а чего нет. Можно на 100% быть уверенным, что программа, к примеру, на диск ничего писать не будет...
Почему до сих пор никто не додумался до такой утилиты? Неужели я такой гениальный
Re: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали: 0K>Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку.
По идее, это реализуемо через CAS. Нужно добиться того, чтобы интересующая тебя сборка попала в группу с соответствующими разрешениями. Подробнее можно почитать тут: http://www.codeproject.com/KB/security/UB_CAS_NET.aspx (наскоро нагуглено, но вроде то). Но на практике я этого, честно говоря, не применял.
Re[2]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, Mr.Cat, Вы писали:
MC>Здравствуйте, 0K, Вы писали: 0K>>Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. MC>По идее, это реализуемо через CAS. Нужно добиться того, чтобы интересующая тебя сборка попала в группу с соответствующими разрешениями. Подробнее можно почитать тут: http://www.codeproject.com/KB/security/UB_CAS_NET.aspx (наскоро нагуглено, но вроде то). Но на практике я этого, честно говоря, не применял.
Это для системных администраторов. И то не каждый сталкивался. А нужна простая утилита для пользователя. Запустил утилиту, выбрал файл, проставил птички (там не так уж много этих пермишенсов).
Re[3]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Это для системных администраторов. И то не каждый сталкивался. А нужна простая утилита для пользователя. Запустил утилиту, выбрал файл, проставил птички (там не так уж много этих пермишенсов).
А еще лучше, добавить с меню пункт "Запустить под ограниченными правами...". После чего открывается диалог, в котором нужно выбрать права. Почему такого еще нет? Ведь это главное преимущество управляемого кода, ради этого все и затевалось. Наверное Микрософт просто забыла об этом...
Re: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. Скачал с сети программу .Net, открыл утилиту и проставил птички чего можно программе а чего нет. Можно на 100% быть уверенным, что программа, к примеру, на диск ничего писать не будет... 0K>Почему до сих пор никто не додумался до такой утилиты? Неужели я такой гениальный
Зачем мне запускать программы, которым я не доверяю?
Или вы про кейгены и кряки? Дык на net их обычно не пишут.
И есть проверенные способы
— sandbox'ы (например виртуальные машины)
— фаерволы с антивирусами (пытаются отлавливать опасно\подозрительную активность)
— ограниченный пользователь
Re: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Почему до сих пор никто не додумался до такой утилиты? Неужели я такой гениальный
а зачем? можно использовать firewall + встроеную систему бузопасности NT. Там все элементарно — поставил галочки и готово...
Re: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. Скачал с сети программу .Net, открыл утилиту и проставил птички чего можно программе а чего нет. Можно на 100% быть уверенным, что программа, к примеру, на диск ничего писать не будет...
0K>Почему до сих пор никто не додумался до такой утилиты? Неужели я такой гениальный
Осталось только закачать в сеть .net программу.
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Re: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали: 0K>Это для системных администраторов. И то не каждый сталкивался. А нужна простая утилита для пользователя. Запустил утилиту, выбрал файл, проставил птички (там не так уж много этих пермишенсов).
Ну значит тебе нужно что-то типа фронтенда к caspol. И то не понятно, будет ли твоя программа в итоге значительно проще, чем оный caspol, и будет ли она вообще кому-нибудь нужна.
Re[4]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, Mr.Cat, Вы писали:
MC>Здравствуйте, 0K, Вы писали: 0K>>Это для системных администраторов. И то не каждый сталкивался. А нужна простая утилита для пользователя. Запустил утилиту, выбрал файл, проставил птички (там не так уж много этих пермишенсов). MC>Ну значит тебе нужно что-то типа фронтенда к caspol. И то не понятно, будет ли твоя программа в итоге значительно проще, чем оный caspol, и будет ли она вообще кому-нибудь нужна.
Здравствуйте, Mr.Cat, Вы писали:
MC>Здравствуйте, 0K, Вы писали: 0K>>Это для системных администраторов. И то не каждый сталкивался. А нужна простая утилита для пользователя. Запустил утилиту, выбрал файл, проставил птички (там не так уж много этих пермишенсов). MC>Ну значит тебе нужно что-то типа фронтенда к caspol. И то не понятно, будет ли твоя программа в итоге значительно проще, чем оный caspol, и будет ли она вообще кому-нибудь нужна.
Ничего нельзя заранее знать наверняка пока не попробуешь.
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Зачем мне запускать программы, которым я не доверяю?
А почему бы и нет? Вы же сайты, которым не вполне доверяете, не боитесь открывать?
NW>- sandbox'ы (например виртуальные машины) NW>- фаерволы с антивирусами (пытаются отлавливать опасно\подозрительную активность) NW>- ограниченный пользователь
Это не то. Не дает полного контроля над программой. Управляемый код -- именно для того и нужен, что над ним полный контроль. Просто про это все забыли. Теоретически .Net приложение ничем не опаснее сайта (даже еще более управляемо).
Re[2]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, alexsoff, Вы писали:
A>а зачем? можно использовать firewall + встроеную систему бузопасности NT. Там все элементарно — поставил галочки и готово...
Мало там галочек. Нужен более полный контроль...
Re[2]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, TK, Вы писали:
TK>Осталось только закачать в сеть .net программу.
Зачем закачивать в сеть? Вы, вероятно, плохо знакомы с возможностями .Net безопасности. Можно просто указать SHA-1 хеш программы или ее расположение на диске.
Re[2]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Собственно подумалось вот что. Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. Скачал с сети программу .Net, открыл утилиту и проставил птички чего можно программе а чего нет. Можно на 100% быть уверенным, что программа, к примеру, на диск ничего писать не будет...
А если есть права на создание COM-объектов, или p-invoke, то все идет лесом.
Да и вообще, модель безопасности дотнета кривая до безобразия, особенно в местах явной проверки прав в системных библиотеках. Там бардак размазан на императивном уровне исполнения, и даже не существует в природе документа, в котором достоверно можно найти, на каком уровне что разрешено, а что вылетит с исключением. Познавать этот бардак by design приходится исключительно методом антинаучного тыка + рефлектором.
Re[4]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Нужно сделать простую и удобную утилиту, с помощью которой пользователь может ограничить в правах любую .Net сборку. 0K>Почему такого еще нет? Ведь это главное преимущество управляемого кода, ради этого все и затевалось. Наверное Микрософт просто забыла об этом...
Подозреваю, что всё ровно наоборот: всё затевалось ради "выкатим-ка мы что-то, потому что на тухлом C++/MFC писать стало невозможно", "А, точно, у нас в мусорке валяются исходники почившей Жабы!" и понеслась... А секурити там прицепили просто потому что БЕЗ неё — закидают ссаными тряпками. Не удивительно, что главная утилита, работающая с правами — это позорная "командлайновая" поделка, употребление которой всерьёз даже не подразумевалось. Кроме того, строить защиту в .NET-нахлобучке над дырявыми Икспями — курам на смех, поэтому решили без гемороя — full trust и вперёд! А кто не доверяет мягкому решету, тот враг народа и писатель утилит на мильён долларей.
Re[3]: Идея .Net утилиты на 1 млн. у.е. (или уже есть?)
Здравствуйте, 0K, Вы писали:
0K>Здравствуйте, TK, Вы писали:
TK>>Осталось только закачать в сеть .net программу.
0K>Зачем закачивать в сеть? Вы, вероятно, плохо знакомы с возможностями .Net безопасности.
Ой, что-то я не думаю, что TK плохо с этим знаком...
А секурити там прицепили просто потому что БЕЗ неё — закидают ссаными тряпками. Не удивительно, что главная утилита, работающая с правами — это позорная "командлайновая" поделка, употребление которой всерьёз даже не подразумевалось. Кроме того, строить защиту в .NET-нахлобучке над дырявыми Икспями — курам на смех, поэтому решили без гемороя — full trust и вперёд! А кто не доверяет мягкому решету, тот враг народа и писатель утилит на мильён долларей. 
