Здравствуйте, Mamut, Вы писали:
M>А профили типа «писать только в эту папку», «писать повсюду» и т.п.? Добавление делается автоматически или пользователь должен разрешить приложению записаться в ту или иную категорию? При обновлении приложения оно может перейти в другую категорию?
У AppArmor-a есть возможность задать профили. Производителю фотошопа, насколько я понимаю, достаточно дописать в нужную папочку файлик с описанием того, что он будет писать и куда. Всё!!!
Есть какие-то предопределённые профайлы, они покрывают большую часть вариантов. Собственно ничего сложного.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, Mamut, Вы писали:
M>Как ты отличишь «зловредный» WriteFile, записывающий неверно куку из IE, от «незлонамерненного» WriteFile того же IE, который скачивает файл?
M>Как ты отличишь WriteFile из твоего любимого примера с ICQ, который должен писать только в документы, от WriteFile того же примера с ICQ, но который принимает файл, и который я сохраняю, куда угодно?
АппАрмор, видимо, просто перехватывает обращения к файловой системе, и основываясь на профайлах, определяет чего делать: запретить, спросить и т.п.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, Andrei F., Вы писали:
AF> M>и который я сохраняю, куда угодно?
AF> Куда угодно — это куда? В c:\windows, что ли?
И этот человек обвиняет меня в том, что я невнимательно читаю, ага.
Куда угодно, кроме системной пап, естественно.
Еще раз
1. IE/FF/Opera/etc. должен сохранять куки только в одну определенную папку
2. IE/FF/Opera/etc. должен сохранять скачиваемый файл туда, куда я захочу (кроме системных папок, естественно)
Как отличить пункт 1. от пункта 2.?
Усложняем задачу.
3. IE/FF/Opera/etc. обзавелись злым плагином, скачаным с сайта плагинов, которые перенаправляют запись кук в левую папку.
Как отличить и запретить пункт 3.?
Возвращаясь к твоему примеру:
Клиент-ICQ не должен иметь никаких дисковых прав, кроме права писать в свою подпапку в Documents.
1. Клиент ICQ должен писать только в папку Documents
2. Мой собеседник присылает мне смешное фото, которое я должен смочь сохранить в папку /Users/dmitriid/Pictures/Funny/Unsorted, которая находится вне папки Documents
Как отличить пункт 1. от пункта 2.? Как разрешить пункт 2.?
Ключевой момент — разрешить прозрачно для пользователя.
Здравствуйте, Mamut, Вы писали:
M>2. Мой собеседник присылает мне смешное фото, которое я должен смочь сохранить в папку /Users/dmitriid/Pictures/Funny/Unsorted, которая находится вне папки Documents M>Как отличить пункт 1. от пункта 2.? Как разрешить пункт 2.?
пишешь в правилах, что писать в /users можно
M>Ключевой момент — разрешить прозрачно для пользователя.
Пишешь в правилах и забываешь.
И еще один вариант — если ты системным диалогом "save to" выбираешь файл, то доступ к этому файлу временно разрешается.
Все такие проблемы решаются, при наличии желания.
Здравствуйте, dr.Chaos, Вы писали:
C> M>А профили типа «писать только в эту папку», «писать повсюду» и т.п.? Добавление делается автоматически или пользователь должен разрешить приложению записаться в ту или иную категорию? При обновлении приложения оно может перейти в другую категорию?
C> У AppArmor-a есть возможность задать профили. Производителю фотошопа, насколько я понимаю, достаточно дописать в нужную папочку файлик с описанием того, что он будет писать и куда. Всё!!! C> Есть какие-то предопределённые профайлы, они покрывают большую часть вариантов. Собственно ничего сложного.
То есть, если я напишу, что пишу куда угодно и что угодно (ну, в пределах пользовательской папки), то оно мне разрешит?
Здравствуйте, dr.Chaos, Вы писали:
C> M>Как ты отличишь «зловредный» WriteFile, записывающий неверно куку из IE, от «незлонамерненного» WriteFile того же IE, который скачивает файл?
C> M>Как ты отличишь WriteFile из твоего любимого примера с ICQ, который должен писать только в документы, от WriteFile того же примера с ICQ, но который принимает файл, и который я сохраняю, куда угодно?
C> АппАрмор, видимо, просто перехватывает обращения к файловой системе, и основываясь на профайлах, определяет чего делать: запретить, спросить и т.п.
Вот в том-то и дело — как в этом профайл отличить один вызов риложения от другого?
AF> M>2. Мой собеседник присылает мне смешное фото, которое я должен смочь сохранить в папку /Users/dmitriid/Pictures/Funny/Unsorted, которая находится вне папки Documents AF> M>Как отличить пункт 1. от пункта 2.? Как разрешить пункт 2.?
AF> пишешь в правилах, что писать в /users можно
То есть, изначальное заявление, что ICQ должно строго писать в Documents идет лесом, я так понимаю?
AF> M>Ключевой момент — разрешить прозрачно для пользователя. AF> Пишешь в правилах и забываешь.
Ты не поверишь. Такая система уже давно существует. Называется «пользователь и приложения, запущеные от имени пользователя, могут писать куда угодно в пределах папки пользователя». Очень удобно, рекомендую
AF> И еще один вариант — если ты системным диалогом "save to" выбираешь файл, то доступ к этому файлу временно разрешается.
А как же поступать с «фотошоп не имеет права удалять .doc-файлы»? Тоже лесом?
AF> Все такие проблемы решаются, при наличии желания.
Проблемы решаются при наличии внятного описания проблемы
Здравствуйте, Andrei F., Вы писали:
I>>Во первых, любая защита преодолевается при наличии должного интереса. I>>Т.е. задача "щит и меч" не имеет решения в общем случае.
AF>Нормального качества защита ломается достаточно долго, чтобы ломающий за%;№ся и бросил.
Я так и думал, ты "решил" задачу "щит и меч". Поздравляю.
Сейчас уже ломаются сервера Windows Update со вполне понятными целями.
Твоя идея уже устарела.
Кроме того, сейчас практически незачем искать уязвимости в программах вроде инсталеров.
+Всякий мусор, пиратские сборки, сервиспаки и тд и тд.
Здравствуйте, Andrei F., Вы писали:
AF> M>То есть, изначальное заявление, что ICQ должно строго писать в Documents идет лесом, я так понимаю?
AF> Оно должно писать строго туда, куда ему разрешили. По моему, ты ни слова не понял из всего прочитанного.
Еще раз. По буквам. Чем отличается разрешение писать куда угодно в /users/ от рарешения писать куда угодно в ппках пользователя?
Аналогично для первой и второй категории приложений:
- есть туева хуча приложений, которая может и будет писать куда угодно, кроме системных папок. Это текстовые и графические редакторы, да и вообще редакторы всех типов — от редаторов заметок, до дизайнера электрических схем.
— есть туева хуча приложений, которые в большинстве случаев должны писать только в определенные места, а когда надо — писать кдуа угодно. Это мессенджеры всех мастей (историю — в одно место, принимаемые файлы — куда угодно), почтовики (почту — в одно место, аттачменты — куда угодно), браузеры (историю и куки — одно место, скачиваемые файлы _ куда угодно)
— есть некоторое количество приложений, которые должны сидеть в своей норке и не высовываться. Сходу не придумаю, но, думаю, такие есть.
Повторяю еще раз, по буквам. Приложение может писать только туда, куда ему разрешили — непосредственно этому приложению или классу однотипных приложений. Как именно разрешать — это отдельный большой вопрос, но он точно решаем. Ключевой момент — разрешение доступа на уровне приложений, а не пользователей. Доступ к опасным возможностям должен даваться отдельными категориями, а не "всё или ничего", как сейчас.
Дальше продолжать не вижу смысла.
Здравствуйте, Andrei F., Вы писали:
AF>Повторяю еще раз, по буквам. Приложение может писать только туда, куда ему разрешили — непосредственно этому приложению или классу однотипных приложений. Как именно разрешать — это отдельный большой вопрос, но он точно решаем.
Ну вот когда придумаете КАК решаем, тогда возвращайтесь — мы продолжим обсуждение. Пока это все пустые слова и фантазии.
Здравствуйте, criosray, Вы писали:
C>Ну вот когда придумаете КАК решаем, тогда возвращайтесь — мы продолжим обсуждение. Пока это все пустые слова и фантазии.
Вопрос всего лишь в том, как задавать правила, чтобы обеспечить максимум безопасности и минимум проблем совместимости. И здесь точно нет никаких нерешаемых проблем.
А обеспечить выполнение правил — элементарно.
Здравствуйте, Andrei F., Вы писали:
AF>Здравствуйте, anton_t, Вы писали:
_>>Вот только этот код исполняется в процессе фотошопа.
AF>Верно. Но он является частью ОСи — значит, его можно не подвергать проверкам и ограничениям.
Что бы такое устроить, нужно что-то типа дотнетовского CAS, только для всего нативного кода винды. В реальности такого я очень сильно сомневаюсь.
Здравствуйте, Andrei F., Вы писали:
C>>Ну вот когда придумаете КАК решаем, тогда возвращайтесь — мы продолжим обсуждение. Пока это все пустые слова и фантазии.
AF>Вопрос всего лишь в том, как задавать правила, чтобы обеспечить максимум безопасности и минимум проблем совместимости. И здесь точно нет никаких нерешаемых проблем. AF>А обеспечить выполнение правил — элементарно.
Все еще пустые слова. Вы даже сформулировать внятно не можете что это за права и как их раздавать, и чтоб это не превратилось в UAC #2 но в сто раз более анноящее...
Здравствуйте, criosray, Вы писали:
C>Все еще пустые слова. Вы даже сформулировать внятно не можете что это за права и как их раздавать, и чтоб это не превратилось в UAC #2 но в сто раз более анноящее...
Ладно, на вопрос темы ты уже ответил, и на том спасибо
Здравствуйте, Andrei F., Вы писали:
AF>Почему они этого не сделали?
Потому, например, что в куче софта есть плагины... потому, что есть хуки, и много чего ещё есть...
Главное же тут, то, что ничего не поможет, если пользователь не озабочем безопасностью своего компа, но админит его при этом...
Захотят ли пользователи покупать комп, который они не могут админить --
Если ввести ответсвенность за участие твоего компа в ботсети, то может и захотят, но захотят ли производители защиты брать ответсвенность на себя?
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, Andrei F., Вы писали:
AF>Права приложения должны определяться назначением этого приложения, а не тем кто его запускает — как это сделано сейчас. AF>Здесь будут возражения?
В зависимости от пользователя могут быть доступны разные операции. Скажем апгрейд FF может быть доступен админу и недоступен рядовому пользователю...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, Andrei F., Вы писали:
AF>Что мешает Microsoft встроить в API ограничения, например — любое приложение по умолчанию имеет право писать на диск только в свой профиль в My Documents, или только в файлы с заданным расширением? Если приложение запущено не из Program Files — то прав на запись на диск нет вообще? Право ставить хуки, слать оконные сообщения в чужой процесс, использовать отладочное API — только по специальному разрешению? AF>Для файлов *.scr — вообще никаких прав, кроме вывода на экран? AF>Почему они этого не сделали?
Желание сидеть под админом и не париться? Типа, хочу, что бы у меня все было и мне за это ничего не было. Так не бывает.
Здравствуйте, gandjustas, Вы писали:
G>И вот в висте чтобы победить проблему сделали UAC, который права админа искуственно понижает, далеко не всем понравилась эта идея.
Не понравилась не идея, а реализация. Идея замечательная, и давно уже работает в Unix-подобных системах.
