C>>Правда. Вы чем слушаете? Всего парой постов выше я говорил о Win7 и как там это работает.
AF>Если я напишу небольшую прогу, которая делает take ownership и удаляет все файлы с диска C:\ какие может, отправлю мылом коллеге, а он ее запустит из под админского аккаунта — что произойдет?
Система спросит дать ли права этой программе. Если права будут даны, то те файлы, которые возможно удалить, будут удалены. Так было, есть и будет, и не зависимо от ОС.
C>>Это не ответ на вопрос. Какие правила?
AF>Тогда должен бы понимать. Для каких путей и расширений файлов приложению можно писать в файлы и удалять, для каких — нет.
Расширений существует тысячи, путей — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?
Здравствуйте, criosray, Вы писали:
AF>>О боги, не перестаю удивляться, как невнимательно люди читают, но при этом все равно пишут и пишут... C>Так в какой?
не, ну разве непонятно — намек на то, что венда отстой по причине отсутствия selinux/apparmor а про "в какой" так тут (в КСВ) вообще никакого разнообразия выбора
Здравствуйте, Antikrot, Вы писали:
AF>>>О боги, не перестаю удивляться, как невнимательно люди читают, но при этом все равно пишут и пишут... C>>Так в какой?
A>не, ну разве непонятно — намек на то, что венда отстой по причине отсутствия selinux/apparmor а про "в какой" так тут (в КСВ) вообще никакого разнообразия выбора
Так про аналоги уже написали. Есть они. ОС то тут при чем... не ясно.
Здравствуйте, Andrei F., Вы писали:
AF> M>С этого и надо было начинать. А то — хочу того, ен знаю чего. AppArmor является сторонней к ОС утилитой. Ставишь аналогичную систему под винду (кажется, ZoneAlarm что-то такое предоставляло) — и вперед. Причем тут ОСь и МС?
AF> Не знаю насчет ZoneAlarm, но некоторые производители фаерволов делают шаги в этом направлении — перекрывают опасные API без специального разрешения, например. AF> Только зачем делать систему безопасности сторонней от ОС утилитой? Чтоб юзерам жизнь медом не казалась, что ли?
Тогда зачем кивать в сторону AppArmor? Это тоже сторонняя от ОС утилита — Или это в качестве иллюстрации того, что хочется?
Открываю глаза на страшную истину: расширения файлов и папки — это, как бы помягче выразиться, прошлый век. Все (вменяемые) операционные системы отходят от понятия папок, как отражения какой-то физической структуры на диске. Расширение файлов я последний раз видел хз, в прошлом году, наверное
1. Возьмем банальное приложение — Adobe Photoshop. Едиинственное ограничение для него — это не писать в системные папки. А так — куда хочу, туда и сохраняю
2. Возьмем банальное приложение — Miranda. Единственное ограничение для него — это не писать в системные папки. Историю сообщений я могу сохранить, где угодно. Принимаемые файлы я могу хранить, где угодно
3. Возьмем банальное приложение — браузер. Лезть он вообще никуда не должен, но при этом должен позволить мне сохранить любой файл в любое удобное мне место
Ну и какие ограничения должна вводить система на фоне их трех примеров? Разве что ограничение по правам пользоваелей — вряд ли больше. То есть пользователь ограничен папками своего аккаунта, а что он в них делает — это проблема пользователя.
Сам я AppArmorom/SEinux'ом не пользовался, интересно, как они реают эти проблемы
Здравствуйте, criosray, Вы писали:
C>Система спросит дать ли права этой программе. Если права будут даны, то те файлы, которые возможно удалить, будут удалены.
Что спросит и какие права?
C>Расширений существует тысячи, путей — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?
Портов тысячи, хостов в интернете миллионы — неограниченное фактически количество вариантов. Как пользователю задать эти права и какой пользователь захочет заниматься этим?
Нет, фаервол — это однозначно невозможно.
Здравствуйте, Mamut, Вы писали:
M>Расширение файлов я последний раз видел хз, в прошлом году, наверное
Ппц. То есть никаких расширений нет, если ты их не видишь?
M>1. Возьмем банальное приложение — Adobe Photoshop. Едиинственное ограничение для него — это не писать в системные папки. А так — куда хочу, туда и сохраняю
Сохранять — ради бога. Но удалять doc файлы ему совершенно ни к чему, например. Равно как пытаться лезть в отладочный API и делать много других грязных делишек.
AF> M>Расширение файлов я последний раз видел хз, в прошлом году, наверное AF> Ппц. То есть никаких расширений нет, если ты их не видишь?
Их может и не быть. Но при этом файл останется определенного типа. Или ты уверен, что именно расширение определяет тип файла?
AF> M>1. Возьмем банальное приложение — Adobe Photoshop. Едиинственное ограничение для него — это не писать в системные папки. А так — куда хочу, туда и сохраняю
AF> Сохранять — ради бога.
Ну вот — фотошопу — ради бога, а не фотошопу — не ради бога В итоге польователь просто плюнет и скажет allow all для всех приложений.
Потому что в такм п*деце разбираться никто никогда не будет:
Не говоря уже о том, что существующие приложения нужно будет серьезно измнять, чтобы регистрироваться в этой системе
AF> Но удалять doc файлы ему совершенно ни к чему, например.
Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
AF> Равно как пытаться лезть в отладочный API
Это уже относится к способу организации памяти и доступности этго API в системе. Этонемного дургая область
AF> и делать много других грязных делишек.
Andrei F. с каким конкретно из моих утверждений ты не согласен?
AF>> C>Замечательно. А теперь расскажите пожалуйста каким образом ОС узнает о том какой программе надо разрешать писать на диск, а какой — запрещать. Внимательно слушаю. AF>> Не просто на диск, а в какие места диска. Например, запись в системные папки — по умолчанию перекрыть для всех non-system приложений.
То есть по банальной принадлежности этого приложения к тому или иному пользователю.
AF>> На основании таких признаков, как AF>> 1. Установлено ли приложение в систему по всем правилам, или это, к примеру, скачанный из инета файл
Неверный признак. Например, Google CHrome — это просто скачаный с инета файл, но является нормальным приложением
AF>> 2. Правила, заданные пользователем
О да. Хотел бы я на это посмотреть.
AF>> По сути — это то же самое что фаервол, только ограничивает доступ не к удаленным, а к локальным ресурсам. AF>> Еще вопросы?
А что, есть ОСи, в которых это реализовано? Или это просто «хачу, шобы МС так сделал»? на этот вопрос ответ получен
Здравствуйте, Andrei F., Вы писали:
AF>Почему они этого не сделали?
То, о чем ты пишешь называется "мандатное (принудительное, обязательное) управление доступом". И, начиная с Vista, в Windows это вполне реализовано посредством Windows Integrity Mechanism:
The integrity level is a representation of the trustworthiness of running applicationprocesses and objects, such as files created by the application. The integrity mechanism provides the ability for resource managers, such as the file system, to use pre-defined policies that block processes of lower integrity, or lower trustworthiness, from reading or modifying objects of higher integrity. The integrity mechanism allows the Windows security model to enforce new access control restrictions that cannot be defined by granting user or group permissions in access control lists (ACLs).
Здравствуйте, Mamut, Вы писали:
M>Их может и не быть. Но при этом файл останется определенного типа.
Да какая разница вообще?? Значит — правилу надо проверять не расширение, а тип файла. В чем ты здесь проблему нашел?
M>Потому что в такм п*деце разбираться никто никогда не будет:
predefined rules для известных приложений спасут отца российской демократии. Некоторые фаерволы так и делают.
M>Не говоря уже о том, что существующие приложения нужно будет серьезно измнять, чтобы регистрироваться в этой системе
никакие изменения в приложениях не нужны
AF>> Но удалять doc файлы ему совершенно ни к чему, например. M>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.
M>Например —
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>То, о чем ты пишешь называется "мандатное (принудительное, обязательное) управление доступом". И, начиная с Vista, в Windows это вполне реализовано посредством Windows Integrity Mechanism:
Звучит грозно, но ни разу не видел чтобы это срабатывало
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>То, о чем ты пишешь называется "мандатное (принудительное, обязательное) управление доступом". И, начиная с Vista, в Windows это вполне реализовано посредством Windows Integrity Mechanism:
AF>Звучит грозно, но ни разу не видел чтобы это срабатывало
Если бы это работало из коробки, то оно бы поломало обратную совместимость с кучей как сторонних приложений, так и приложений самих MS. Тем не менее, там есть что наконфигурить, что достичь желаемого тобой результата. Там есть примеры, если что.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Если бы это работало из коробки, то оно бы поломало обратную совместимость с кучей как сторонних приложений, так и приложений самих MS.
Можно сделать ограничения так, чтобы не ломало. Пользы от этой технологии — с гулькин нос
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, Mamut, Вы писали:
AF>>> Но удалять doc файлы ему совершенно ни к чему, например. M>>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
AF>Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.
Вот только этот код исполняется в процессе фотошопа. "Программеру стыдно не знать такие вещи."
Здравствуйте, Andrei F., Вы писали:
AF>Ну например — AppArmor, очень похожая идея. Теперь, когда я дал ссылку на авторитет, мои слова уже можно начинать читать и даже немного пытаться понять?
Да что там, AppArmor . Вот PolicyKit + D-Bus позволяют добится ещё более впечатляющих результатов, т.к. так всё сконцентрировано вокруг действия, т.е. вполне можно разрешить апплету, как-то поменять настройки сетевого интерфейса или поднять ещё один и при этом ни дать ему никаких других полномочий админа.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, anton_t, Вы писали:
_>Здравствуйте, Andrei F., Вы писали:
AF>>Здравствуйте, Mamut, Вы писали:
AF>>>> Но удалять doc файлы ему совершенно ни к чему, например. M>>>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
AF>>Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.
_>Вот только этот код исполняется в процессе фотошопа. "Программеру стыдно не знать такие вещи."
В данном контексте правильнее утверждать, что он имеет метку доступа фотошопа, а не системы. А то мало-ли
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Если бы это работало из коробки, то оно бы поломало обратную совместимость с кучей как сторонних приложений, так и приложений самих MS.
AF>Можно сделать ограничения так, чтобы не ломало.
Сделай.
AF>Пользы от этой технологии — с гулькин нос
AF> Да какая разница вообще?? Значит — правилу надо проверять не расширение, а тип файла. В чем ты здесь проблему нашел?
О, хорошо. Хоть здесь ты пошел на уступки, что надо не по расширению, а по типу файлов Что произойдет, когда приложние научится читать новый тип файлов?
AF> M>Потому что в такм п*деце разбираться никто никогда не будет: AF> predefined rules для известных приложений спасут отца российской демократии. Некоторые фаерволы так и делают.
Опиши пример predefined rule для того же Фотошопа, например
AF> M>Не говоря уже о том, что существующие приложения нужно будет серьезно измнять, чтобы регистрироваться в этой системе
AF> никакие изменения в приложениях не нужны
Ага. Система сама узнает о нетривиальных возможностях приложения. Не говоря уже о взаимодействии прилоежний
AF> AF>> Но удалять doc файлы ему совершенно ни к чему, например.
AF> M>Почему? Я люблю в стандартном диалоге открытия/сохранения файла, если замечу косяк — переименовать/удалить файл. Удобно.
AF> Этот диалог — часть кода оси, а не приложения. Программеру стыдно не знать такие вещи.
Но операцию я произвожу из Фотошопа, не? То есть этот диалог производится в контексте безопасности Фотошопа
Продолжим дальше. Что делать с браузером? Он-то сможет удалить любой файл — мало ли что я там качаю с инета и мало ли куда я что схораняю.
AF> M>Например — AF> Чукча не читатель?
Это всё суета и неважно. Можно долго придумывать и решать заковырки, но это ничего не даст.
Моя основная идея проста:
Права приложения должны определяться назначением этого приложения, а не тем кто его запускает — как это сделано сейчас.
Здесь будут возражения?
а про "в какой" так тут (в КСВ) вообще никакого разнообразия выбора
Или это в качестве иллюстрации того, что хочется?
