Здравствуйте, DOOM, Вы писали:

DOO>Деньги из кармана пользователей
То-то и оно.
DOO>Это же рынок — еще пока формирующийся, но достаточно быстро растущий.
Брр. Рынок чего? Средств индивидуальной защиты? Ну так если хочется иметь быстрорастущий рынок — то как бы глупо требовать от МС задавить его в зародыше выпуском своего решения.

DOO>Тут примерно та же идея — то, что другие делают как хак, MS может встроить в систему аккуратно.
Это совсем другой фиче-реквест, чем озвучен топикстартером.

DOO>Почему? Ты потенциальную прибыль оценивал?
Нет, оценивал потенциальный убыток.

S>>Я не против антивирусов, как и не против систем изоляции. Я просто отвечаю на вопрос в его оригинальной постановке — "что мешает Microsoft встроить ограничения в API".
S>>Вот ровно это и мешает — предлагаемые ограничения будут мешать только хорошим. В результате, поделив прибыль на затраты, получим чистый убыток.
DOO>Не ясна логика. Я с трудом берусь оценить прибыль от этого добра и уж точно не могу вот так за 5 минут оценить затраты.
Очевидно, что затраты весьма велики. То есть речь не идет о паре функций на двадцать строк каждая. Очевидно, что потенциальных улучшений — кот наплакал.

Здравствуйте, Andrei F., Вы писали:
AF>Расскажи на конкретном примере уязвимости, к которой это может привести.
Я тебе привёл конкретный пример — веб-клиент к банку сохраняет куки, к которым получает доступ скрипт со странички "даунлоады варезов".
После чего скрипт коннектится к сайту веб-клиента, и ты больше никогда не видишь своих денег.

AF>

Не допускается проявление грубого или неуважительного отношения к другим участникам форума. Оскорблять и обзывать собеседника, ставить под сомнение его профессиональную квалификацию

Здравствуйте, Andrei F., Вы писали:
AF>Ок. Злоумышленник хакнул браузер и получил доступ к файлам, которые доступны браузеру — его служебным файлам. Доступа к другим файлам у него нет.
AF>Как минимум — это лучше, чем то что мы имеем сейчас.
Это иллюзия. Точно такая же, как и была в своё время про защищенный режим x86. Типа "максимум, к чему получит доступ вирус — виртуальное адресное пространство хакнутого процесса. Остальные процессы надёжно изолированы". При этом вирусам времён ДОС и не снились масштабы виндовых эпидемий. Sapienti sat.

Здравствуйте, waricom-11, Вы писали:

W1>Мне кажется, не совсем корректно смешивать атаки технические, и атаки социальные.
А мне кажется — вполне корректно. Потому что имеет значение только чистый результат.

W1>Защиту пользователя от самого себя сделать невозможно, и не нужно. То есть лох, он и есть лох. Лого виндовс нарисовано, ага... а на заборе х... написано, но там дрова лежат.
А речь и не идет о защите пользователя от самого себя. Речь идет о том, что защита, построенная на квалификации пользователя, нежизнеспособна. И обсуждать перспективы ее широкого внедрения — самообман.

W1> С другой стороны, почему бы не добавить в task manager функцию, по определению, какой окно какому процессу принадлежит.
Потому что думать надо не со стороны таск менеджера или winAPI, а со стороны конечного пользователя.

W1>UAC могла бы выдавать более осмысленные вопросы. А сейчас "неизвестно кто, хочет неизвестно чего. разрешить?". Причем, это относится не только к сторонним программам, а и к самой системе.
Ну, в семёрке всё более-менее нормально.

Здравствуйте, Sinclair, Вы писали:

S>Это ты утверждал, что всё просто.

Идея — проста, реализация как всегда добавляет много мелких сложностей. Для тебя это новость?

AF>>Расскажи список категорий.

Не увиливай от ответа. А то сдается мне, что число функций ты просто с потолка взял — чтобы выглядело пострашнее.

AF>>Кстати, интересная у тебя логика. Если в системе защиты можно найти хотя бы одну уязвимость — значит, лучше не делать защиту вообще. Гениально
S>Конечно. Я считаю, что нефиг вкладывать деньги в усиление двери, если непонятно, как обеспечить усиление окна. Есть масса других вещей, в которые можно вложить деньги.

Расскажи-ка подробнее, что это за другие проекты по безопасности винды. Кроме UAC, естественно

Здравствуйте, Sinclair, Вы писали:

S>Я тебе привёл конкретный пример — веб-клиент к банку сохраняет куки, к которым получает доступ скрипт со странички "даунлоады варезов".
S>После чего скрипт коннектится к сайту веб-клиента, и ты больше никогда не видишь своих денег.

Забота о безопасности кук от доступа с других сайтов — это забота разработчиков браузера. Предложенная мной идея решает другие проблемы, и не надо говорить что она бесполезна, потому что не решает абсолютно все мыслимые проблемы.
Хотя, при большом желании, можно найти решение и для этой проблемы.

Здравствуйте, Sinclair, Вы писали:

S>Это иллюзия. Точно такая же, как и была в своё время про защищенный режим x86. Типа "максимум, к чему получит доступ вирус — виртуальное адресное пространство хакнутого процесса. Остальные процессы надёжно изолированы". При этом вирусам времён ДОС и не снились масштабы виндовых эпидемий. Sapienti sat.

А вот это уже демагогия, точнее — доказательство по аналогии.

Здравствуйте, Sinclair, Вы писали:

Pzz>>Ну давайте я назову. Проверки, имеет ли право данная программа делать ту или иную операцию. Например, открывать такой-то файл на чтение.
S>Осталось понять, что такое "данная программа". Как отличить код процесса, загруженный из его екзешника, от кода, загруженного из кошерной DLL?

А надо ли отличать?

S>Как с достаточной надёжностью проверить стек? Как гарантировать, что злое приложение не передало в OpenFileDialog callback, который будет расположен ниже по стеку, чем OpenFileDialog, и получит все привилегии еще до того, как пользователь что-то там подтвердил?

Ну очевидно же, надо вынести сам диалог в отдельный процесс, сведя функцию OpenFileDialog() к коммуникации с этим процессом.

Здравствуйте, Sinclair, Вы писали:

S>Нет, оценивал потенциальный убыток.

Убыток по каким причинам?

S>Очевидно, что затраты весьма велики. То есть речь не идет о паре функций на двадцать строк каждая.

Всё, что больше "пары функций на двадцать строк" — это уже очень большие затраты?
Они на совершенно нежизнеспособные проекты выделяют суммы во многие миллионов долларов, и ничего — живее всех живых.

Здравствуйте, Sinclair, Вы писали:

S>Однако хитрые хлопцы показывали пример мата в два хода: сначала скрипт пишет путь к нужному файлу в клипборд, а потом в нужный момент делает ловкий paste в input type=file. В итоге пользователь отправляет совсем не тот файл, который он думал. Немного соц. инженерии — и малишс страничка готова; пользователи сабмиттят свои файлы от ms money бешеными темпами.

А вот общение между процессами (обращение к клипборду в том, числе) AppArmor не контроллирует, это делает PolicyKit + D-Bus. Тут тоже возможности скрипта можно ограничить.

Здравствуйте, Sinclair, Вы писали:

S>Я тебе привёл конкретный пример — веб-клиент к банку сохраняет куки, к которым получает доступ скрипт со странички "даунлоады варезов".
S>После чего скрипт коннектится к сайту веб-клиента, и ты больше никогда не видишь своих денег.

Вообще, я думаю кто к чему имеет доступ в контексте приложения, браузера в данном случае, должен заботиться само приложение. Если бы система имела подобные механизмы, то тот же Хром мог бы ими воспользоваться.

Здравствуйте, Andrei F., Вы писали:
AF>Идея — проста, реализация как всегда добавляет много мелких сложностей. Для тебя это новость?
Нет. Для меня новость — мысль о том, что можно предложить нереализуемую идею, и отказываться обсуждать детали. Таких стратегов, Сова, много. Нам тактик нужен.
AF>Не увиливай от ответа. А то сдается мне, что число функций ты просто с потолка взял — чтобы выглядело пострашнее.
Вот тебе список категорий.
http://msdn.microsoft.com/en-us/library/aa383686(VS.85).aspx
Там почти нет категорий, которым не нужна безопасность. Велкам.

AF>Расскажи-ка подробнее, что это за другие проекты по безопасности винды. Кроме UAC, естественно
Начнем с азов: http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista

Здравствуйте, Pzz, Вы писали:
Pzz>А надо ли отличать?
Надо.

S>>Как с достаточной надёжностью проверить стек? Как гарантировать, что злое приложение не передало в OpenFileDialog callback, который будет расположен ниже по стеку, чем OpenFileDialog, и получит все привилегии еще до того, как пользователь что-то там подтвердил?

Pzz>Ну очевидно же, надо вынести сам диалог в отдельный процесс, сведя функцию OpenFileDialog() к коммуникации с этим процессом.
Капитан Очевидность?
На досуге можно еще продумать, каким образом это будет работать без перекомпиляции всех существующих программ.
Еще раз намекну на то, что полная модель безопасности, о которой идет речь, была предложена еще черти когда. Увы — она плохо совместима с легаси кодом под виндой.

Это в линуксе можно себе позволить выпустить фичу, сломав обратную совместимость с чем угодно. Для коммерческой ОС так делать нельзя — съедят-с.

И еще раз намекну на то, что даже в полном виде описанная модель безопасности ничего не гарантирует. Математика всего лишь доказала для нее неуязвимость в том случае, если пользователь принимает много корректных решений и ни одного некорректного.

Здравствуйте, Andrei F., Вы писали:

AF>Забота о безопасности кук от доступа с других сайтов — это забота разработчиков браузера. Предложенная мной идея решает другие проблемы, и не надо говорить что она бесполезна, потому что не решает абсолютно все мыслимые проблемы.
Твоя идея вообще ни от чего не защищает. Прежде всего потому, что ты ее никак не сформулировал. Ты даже не объяснил, что именно ты собираешься идентифицировать про приложение — путь запуска екзешника? Путь, откуда фактически он был скачан? Или еще что-то? Без этих уточнений, я повторяю, твоя идея сводится к "давайте изобретем порох непромокаемым".

AF>Хотя, при большом желании, можно найти решение и для этой проблемы.
Если нет желания — можно не предлагать неработоспособные решения.

Здравствуйте, March_rabbit, Вы писали:

AF>>>Это должно зависеть не от учетки, а от приложения. Например, приложение, которое запускается не из под Program Files — должно иметь пониженный набор привилегий.
CC>>У меня например ВСЁ, что ставилось отдельно от самой ОС запускается не из Program Files.
M_>а зачем?
M_>Я игры ставлю в другое место, но весь софт?
Удобнее.
У меня к тому же на C кроме системы ничего не ставится.
И всякие дурацкие Application Data перенесены на другой диск.

M_>эх... кто бы убил авторов-разработчиков StarForce....
Один фиг я в переведенное не играюсь — "озвучкой" портят всю атмосферу.
Так что мне на них уже фиолетово.

Здравствуйте, Andrei F., Вы писали:

AF>Временные — в каталоге temp, служебные — в специальной подпапке в профиле пользователя. Неужели для тебя это сюрприз?
Да шо вы говорите!
Это в теории все так гладко.
А на практике — они лежат так, как угодно разработчику.

Здравствуйте, Andrei F., Вы писали:

S>>Ну, в общем-то браузеры не совсем дураки пишут.

AF>А у меня временами сомнения закрадываются... сколько у них времени ушло, чтобы сделать нормальный рендеринг для drop-down? Вместо использования для этого win32 контрола?

Вот про это поподробнее.

Здравствуйте, Sinclair, Вы писали:

S>Нет. Для меня новость — мысль о том, что можно предложить нереализуемую идею

Для начала — перестань путаться в показаниях. То она у тебя принципиально нереализуемая, то бесполезная, то слишком дорогая.

S>Вот тебе список категорий.
S>http://msdn.microsoft.com/en-us/library/aa383686(VS.85).aspx
S>Там почти нет категорий, которым не нужна безопасность. Велкам.

Bitmap, Brush, Button, Caret — можно читать почти подряд. Это доступ к ним ты предлагаешь ограничивать?
Я так и думал, что цифра с потолка.

S>Начнем с азов: http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista

Расскажи, какая из этих фич помешает проге с троянцем отправить всю мою папку Documents своему хозяину?

Здравствуйте, Andrei F., Вы писали:

AF>Не будет осложнять. Один из плюсов моей идеи — законопослушный пользователь даже не узнает о существовании защиты, пока приложение не попытается сделать что-то неразрешенное.

Пользователь узнает это уже на этапе open-save диалог. Даже более того — при запуске многих приложений.

Здравствуйте, Sinclair, Вы писали:

S>Твоя идея вообще ни от чего не защищает. Прежде всего потому, что ты ее никак не сформулировал. Ты даже не объяснил, что именно ты собираешься идентифицировать про приложение — путь запуска екзешника? Путь, откуда фактически он был скачан? Или еще что-то? Без этих уточнений, я повторяю, твоя идея сводится к "давайте изобретем порох непромокаемым".

Путь к стартовому файлу процесса.