Здравствуйте, Nuald, Вы писали:
N>Не проблема (чтобы не быть голословным, скажу что работаю в enforcing режиме больше двух лет). Для абсолютного большинства приложений хватает тех прав, которые раздает SELinux. Из оставшегося меньшинства остаются:
Это на Линуксе так. А на виндовсе есть определенных хаос в отношении разрабов к программам и так уже лет двадцать не меньше.
Здравствуйте, DOOM, Вы писали:
DOO>Еще раз: если собеседник настаивает на подтверждении только потому, что он шлангом прикидывается — тратить свои силы и время на проведение анализа и т.п. совсем не охота.
Судя по тому, что мы с тобой по разному определяем что же такое эффективность, диалога всё равно не получится.
Кроме того, не знаю как дать ссылку на то чего нет.
Посему могу только сравнить сказаной тобой же с текстом по конкретным ссылкам, которые ты не даёшь.
Здравствуйте, Pzz, Вы писали:
N>>Не спорю. Однако если вы пишите софт, который будут запускать на других серверах, надо быть готовым к тому, что там будет стоять SELinux, и так просто его проигнорировать вы не сможете.
Pzz>Насколько я понимаю, SELinux игнорирует софт, про который он ничего не знает.
Pzz>Но в принципе, если преспичит, разберусь. Но не ранее того. Голова, она не резиновая
Как виндовс переписать, так всё можно, а как SELinux изучить, так голова не резиновая
Здравствуйте, Pzz, Вы писали:
Pzz>Ну понимаете, если бы я зарабатывал деньги системным администрированием, я бы, наверное, мог бы позволить себе убить месяц жизни на то, чтобы изучить selinux. А для простого программиста это, хм, overkill.
А вот тут ты в корне не прав. Много лет назад ты бы наверное говорил примерно то же про защищенный режим
А сейчас ты даже не замечаешь его "неудобства".
Здравствуйте, DOOM, Вы писали:
Pzz>>Ну понимаете, если бы я зарабатывал деньги системным администрированием, я бы, наверное, мог бы позволить себе убить месяц жизни на то, чтобы изучить selinux. А для простого программиста это, хм, overkill.
DOO>А вот тут ты в корне не прав. Много лет назад ты бы наверное говорил примерно то же про защищенный режим DOO>А сейчас ты даже не замечаешь его "неудобства".
Защищенный режим процессора — это платформа, позволяющая на своей основе делать разные полезные штуки, а с selinux'ом я сталкиваюсь не в качестве платформы, а в качестве продукта.
selinux в качестве платформы предназначен, все же, для очень специфического круга девелоперов. Например для тех, кто делает дистрибутивы линуха.
P.S., Защищенный режим процессора, кстати, появился уже на моей памяти. Я даже написал небольшую програмку (для DOS'а), которая этот самый защищенный режим включает и в нем живет — что-то типа сильно недоделанного дос-екстендера.
I>Во вторых, "Всевозможные write process memory, DLL injection, хуки и тому подобное" используются повсеместно и настолько широко, что кто то на твоём месте уже повесился бы
И будет дальше использоватся.
Если закроют на уровне WinAPI возможность — ну есть другие пути.
Например та задача с доработкой которой я вожусь сейчас(и писал в cpp.applied) — ну не решается она иначе кроме через загрузку левого кода в адресное пространства процесса и ковыряние там. Просто — не решается.
Говорить что это кривая поставка задачи можно конечно — только вот иного способа сделать плагинную систему к приложению в котором это не предусмотрено — пока никто не придумал.
И между прочим система эксплуатируется даже в том виде недоделанном виде что сейчас — и пользу — приносит.
И опять же — _юзеру_ оно не проблем не создает-работает именно с его ведома(и не заметить активность-сложно).
Закроют в WinAPI-ну значит юзеры будут грузить драйвер для тех же целей.
Закроют возможность с драйвером патчить юзерспейс(как-не знаю-ну а вдруг)- значит будем трахатся с например исходниками BluePill и будем через него патчить(по ряду причин запускать все это хозяйство в "полноценной" виртуальной машине-пока не выход).
AF>>Разграничить доступ к отдельным разделам API на основе правил — это недорого и несложно, по крайней мере для MS. Не сильно сложнее, чем обычный фаервол. I>Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею.
I>Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться.
Про обратную совместимость тут проще забыть сразу imho.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Сказанное Синклером очевидно. Точкой удаленной атаки на десктопы, в 99% случаев, являются уязвимости прикладного кода, выполняемого в user-mode. Это очевидно настолько, что твоя попытка указать ему на отсутствие аргументов, в столь резкой форме, воспринимается как банальная грубость и попытка прицепиться к словам собеседника.
KV>Andrei F, теперь ты водишь. Рассказывай за что минус
Это всё очевидно, только речь вообще не шла о защите от удаленных атак.
Задача HIPS — изоляция зараженного процесса. Расскажи, каким боком user-mode функции относятся сюда?
Здравствуйте, Ikemefula, Вы писали:
I>Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею. I>Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться. I>Сделать могут. Только с первым же выходом системы с тким файрволом им придется судиться со всеми крупными игроками этого рынка.
Если не ставить most restrictive mode по умолчанию — всё будет работать и ни с кем судиться не придется.
I>Потому Микрософт делает именно вот такой убогий фаервол, что бы защитить не отрубая рук и при этом не задавить рынок фаерволов.
Другим производителям это не мешает писать нормальные фаерволы, а "как не задавить конкурентов" M$ всегда интересовало в самую последнюю очередь.
Ты полный идиот или тролль. Изыди, нечистая сила.
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Сказанное Синклером очевидно. Точкой удаленной атаки на десктопы, в 99% случаев, являются уязвимости прикладного кода, выполняемого в user-mode. Это очевидно настолько, что твоя попытка указать ему на отсутствие аргументов, в столь резкой форме, воспринимается как банальная грубость и попытка прицепиться к словам собеседника.
KV>>Andrei F, теперь ты водишь. Рассказывай за что минус
AF>Это всё очевидно,
Лукавишь. Если это для тебя очевидно, то зачем ты заявил, что "а то никаких фактов, зато словами вовсю швыряешься". Зачем тебе факты, подтверждающие очевидные для тебя же вещи?
AF>только речь вообще не шла о защите от удаленных атак.
Не приходило в голову, что локальную угрозу (с которыми и призваны бороться HIPS) может реализовывать удаленная атака?
AF>Задача HIPS — изоляция зараженного процесса. Расскажи, каким боком user-mode функции относятся сюда?
А как ты будешь получать ответ на вопрос, к примеру, "в контексте каких действий была вызвана NtFileCreate?", не перехватывая вызовы в usermode?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Лукавишь. Если это для тебя очевидно, то зачем ты заявил, что "а то никаких фактов, зато словами вовсю швыряешься". Зачем тебе факты, подтверждающие очевидные для тебя же вещи?
Сам факт очевиден. А то, что он вдруг перескочил с локальных угроз на удаленные — это совсем не очевидно.
KV>Не приходило в голову, что локальную угрозу (с которыми и призваны бороться HIPS) может реализовывать удаленная атака?
Брр, еще раз и внятнее?
KV>А как ты будешь получать ответ на вопрос, к примеру, "в контексте каких действий была вызвана NtFileCreate?", не перехватывая вызовы в usermode?
I>Andrei.F, у тебя есть готовое решение, как защититься от этой дыры ?
Дык он же как раз и предлагал НЕ ДАВАТЬ ПИСАТЬ КАКИМ ПОПАЛО ПРОЦЕССАМ в неподходящие места, например в места, где лежат dll нормальных рограмм...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, Erop, Вы писали: I>>Andrei.F, у тебя есть готовое решение, как защититься от этой дыры ? E>Дык он же как раз и предлагал НЕ ДАВАТЬ ПИСАТЬ КАКИМ ПОПАЛО ПРОЦЕССАМ в неподходящие места, например в места, где лежат dll нормальных рограмм...
А про запись никто и не говорит.
... << RSDN@Home 1.2.0 alpha rev. 677>>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Erop, Вы писали:
I>>Andrei.F, у тебя есть готовое решение, как защититься от этой дыры ? E>Дык он же как раз и предлагал НЕ ДАВАТЬ ПИСАТЬ КАКИМ ПОПАЛО ПРОЦЕССАМ в неподходящие места, например в места, где лежат dll нормальных рограмм...
Очень уместный комментарий, с учетм того, что никакой записи ни в какие файлы не предусматривает.
еще раз — длл грузится почти как обычный файл, патчится и на эту копию перенастраивается импорт-экспорт.
все в памяти процесса и никуда не сохраняется.
Это даёт 100% обход любых затычев сделаных в usermode
Здравствуйте, Andrei F., Вы писали:
I>>Ну ты и дуб. И ежу понятно, что технически можно сделать все что угодно. Вопрос в том, как сделать так, что бы не отрубать эндузерам руки по сраку или даже по шею. I>>Кроме того, вопрос в том, как это потом продвигать и как бороться с обратной совместимостью и знать с кем судиться. I>>Сделать могут. Только с первым же выходом системы с тким файрволом им придется судиться со всеми крупными игроками этого рынка.
AF>Если не ставить most restrictive mode по умолчанию — всё будет работать и ни с кем судиться не придется.
Ты не понял. Если они сделат файрвол по функциональности хотя бы сравнимый с существующими, то тем самым начнут душить рынок и придется судиться.
I>>Потому Микрософт делает именно вот такой убогий фаервол, что бы защитить не отрубая рук и при этом не задавить рынок фаерволов.
AF>Другим производителям это не мешает писать нормальные фаерволы, а "как не задавить конкурентов" M$ всегда интересовало в самую последнюю очередь.
Ага, с точностью до наоборот и ты прав.
AF>Ты полный идиот или тролль. Изыди, нечистая сила.