ЯИ>p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
И охота же некоторым маркетинговые бредни повторять.
А авторан это следствие распространенности или следствие тупости микрософта?
Вопрос не праздный — школа в которой работает моя жена КАЖДЫЙ ГОД имеет эпидемию rawmon.exe
с начала учебного года и до его конца. В этом году будет переход на Линукс.
Эпидемия повторится? Делаем ставки.
Здравствуйте, kochetkov.vladimir, Вы писали:
C>>Тщательное разделение привилегий. KV>Чем в винде оно менее тщательное?
Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру.
C>>И нежелание использовать полурабочие решения. KV>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь?
Разработчиков Линукса.
C>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух?
Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру.
C>>который сделан не для анального изнасилования пользователей DRM'ом. KV>Про идеологию мне сейчас общаться неинтересно, это не имеет ни малейшего отношения к безопасности.
Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности.
KV>>>xz: А что есть в уже упомянутом метасплоите по линуксячью душу? http://www.metasploit.com/framework/search?osvdb=&cve=&bid=&msb=&text=linux&commit=Search+Modules — мама дорогая, да там полный набор... C>>И что дальше? KV>То, что линукс прекрасно взламывается, вопреки выкрикам о его мега-безопасности.
Тебе уже про смехотворность твоих доводов сказали.
Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса?
C>>Зачем домохозяйке конфигурировать SELinux? KV>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки?
Да. А какие проблемы?
C>>Мимо. KV>"Аргументировано"
Ага. Убийственный аргумент.
Здравствуйте, Vamp, Вы писали:
KV>>В NT разделение привилегий было изначально. V>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
Я даже больше скажу, многие из этих пользователей сидели за 3.11, а еще раньше за DOS, а еще раньше за спектрумами, амигами, атарями, БК и, не побоюсь этого слова: ДВК (ибо сам играл на нем в орегонскую тропу). Что это доказывает?
Черт, я еще Радио-86РК забыл и нечто, что предлагали собрать в ЮТ "Для умелых рук".
Основная масса пользователей вообще не застала линейку 9х, если что.
KV>>Ты не прав. Хотя бы потому что Я не сижу под админом (нефиг обощать свой опыт на ВСЕХ). Хотя бы потому что из трех десятков тысяч пользователей под админом у нас сидит не более пары тысяч и то, до перехода на семерку. V>Я обобшаю то, что вижу своими глазами.
Какое количество пользователей ты видишь своими глазами?
KV>>Ответил парой сообщений выше. V>Ответ не релевантен.
Это либо к гуглу либо изволь выразиться конкретнее.
KV>>Они не имеют отношения к обсуждаемой теме. V>Отчего же?
См. заголовок темы.
KV>>UAC, маркеры с пониженными привилегиями. V>Как связаны UAC и судо?
Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы.
KV>>Дискреционно-ролевой доступ есть в винде изначально. V>Не так и не то. В солярке по умолчанию вообще нету пользователя рут — есть роль рута, которая разрешена определенным пользователям.
В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше.
V>>>суид, мощные средства монтирования с носуид, ноэекзек, рид-онли и проч. KV>>Реализовано через права в NTFS. V>Суид есть в НТФС? Ты ничего не путаешь?
Суида нет, недоглядел, когда цитировал.
V>>>4. В винде НАМЕРЕННО встраивают дырки. Включенный по умолчанию авторан на сменных носителях, через которые был мной подхвачен вирус на винде — это же кто придумал такое? KV>>Ошибки были есть и будут везде. V>Это не ошибка, это такая дыра в безопасности, что это как раз и есть детсад. Или, скажешь, нормальное дело?
Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного.
Здравствуйте, ononim, Вы писали:
O>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС.
Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества?
Здравствуйте, netch80, Вы писали:
N>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Достали уже комменты в стиле "переходи на линукс и не парься, там нет никаких вирусов!" или "а я вот под 64-разрядной виндой сижу и горя не знаю, на ней современные сплоиты отваливаются". Если бы только здесь, так нет же, эти красноглазые весь интернет оккупировали
N>Мнэээ... хочется начать с вопроса — а чего собственно ты завёлся-то? Ну оккупировали, так "твоих" (если уж рассчитывать в терминах противостояния) на порядки больше — вон, >90% десктопа оккупировано виндой.
Как мне сказала недавно, в соседнем форуме, одна умная и добрая девушка:
с чего вы взяли что я здесь (или где-либо еще) все делаю — всерьез? если я не ставлю смайликов или не делаю явных и даже дураку-понятных-знаков что я шючю — это еще ничего не значит.
N>И что дальше? Просто тенденция не нравится, что linux фактически погрёб под собой все рынки, кроме собственно десктопа?
Да мне пофиг Впрочем нет. Я рад каждому витку развития линукса, но по причинам, далеким от причин "красноглазых".
KV>>Чушь собачья. По сравнению с W7/2к8R2 эта архитектура существенно проще — да, выверенная годами (любопытная метрика, с т.з. ИБ. Где-то между яслями и детсадом, но...) — да. И? Что это дает конечному пользователю в плане безопасности его системы?
N>Да хотя бы то, что её можно понять. Изучая систему защиты винды я чуть не кончился, и это при том, что не первый год "в системе". А простому юзеру? Да он вообще ничего не поймёт, кроме того, что ему предлагают что-то разрешить — и он не разбираясь или разрешит, или запретит.
Зачем простому юзеру знать архитектуру безопасности системы?
KV>Основная масса пользователей вообще не застала линейку 9х, если что.
Да ну? Пользователей ЧЕГО?
KV>Какое количество пользователей ты видишь своими глазами?
Ну не знаю... допустим, человек 100.
KV>См. заголовок темы.
Линукс — это просто разновидость юникса.
V>>Как связаны UAC и судо? KV>Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы.
Только судо это делает лучше. Объяснить почему?
KV>В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше.
Ага. То есть речь уже только про семерку. То есть и 20 лет не пришло, как в Микрософт начали заимствовать решения, считающие стандартными в соседних ОС — и это повод считать Винду нормально защищенной? Странная логика.
KV>Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного.
Бывают разные ошибки. Можно забыть удалить указатель. А можно соорудить мессадж бокс "А что за х...я сейчас случилась — я хер его понимаю!" — реальный случай, у меня приятель в техподдержке 1С работал, однажды бухгалтер какая-та звонила и спрашивала, что значит такое сообщение.
А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, утвержденное на всех уровнях вполть до самого высокого, часть презентации системы. Почему утвердили — потому что о безопасности ВООБЩЕ не думали. То есть при проектировании системы безопасность просто не принималась во внимание. Отсюда все проблемы.
O>>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС. KV>Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества?
по сути да, только слова 'линукс-сообщество' я бы убрал
Как много веселых ребят, и все делают велосипед...
Здравствуйте, Vamp, Вы писали:
KV>>Основная масса пользователей вообще не застала линейку 9х, если что. V>Да ну? Пользователей ЧЕГО?
Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го.
KV>>Какое количество пользователей ты видишь своими глазами? V>Ну не знаю... допустим, человек 100.
Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин).
KV>>См. заголовок темы. V>Линукс — это просто разновидость юникса.
А все это — просто разновидность операционной системы. Ты всерьез готов рассуждать о том, что фря или солярка может составить конкуренцию на десктопах тому же линуксу.
V>>>Как связаны UAC и судо? KV>>Они решают одну и ту же задачу в контексте вопроса обеспечения безопасности системы. V>Только судо это делает лучше. Объяснить почему?
Будь так добр.
KV>>В семерке по умолчанию нет пользователя администратор (он отключен). Есть роль администраторов, доступная определенным пользователям. И про солярку — см. выше. V>Ага. То есть речь уже только про семерку. То есть и 20 лет не пришло, как в Микрософт начали заимствовать решения, считающие стандартными в соседних ОС — и это повод считать Винду нормально защищенной? Странная логика.
У понятия "нормально защищенная" есть четкие критерии оценки, вообще-то. В терминах угроз и рисков. Я пытаюсь здесь оперировать ими. От тебя же я еще не услышал ничего кроме "заимствовать решения", "делает лучше", "исторически спроектирована", "зоопарк архитектур" и постоянных попыток приплести сюда другие ОС и убедить меня в том, что зеленое это красное.
KV>>Дыра в безопасности — это нормальное дело даже безотносительно ОС. Не "правильное" или "хорошее", но "нормальное". Потому что дыра в безопасности — это такая же ошибка разраба, архитектора и т.п как и любые другие, но с определенными свойствами. То, что человеку свойственно допускать ошибки — норма, глупо было бы исходить из чего-то иного. V>Бывают разные ошибки. Можно забыть удалить указатель. А можно соорудить мессадж бокс "А что за х...я сейчас случилась — я хер его понимаю!" — реальный случай, у меня приятель в техподдержке 1С работал, однажды бухгалтер какая-та звонила и спрашивала, что значит такое сообщение.
Ты мне это рассказывать будешь?
V>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение,
Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение? Ты же говоришь о решении "на самом высоком уровне", чтобы в одном параметре реестра было включено чуть больше единичек, чем это было нужно. Где тут архитектура?
V>утвержденное на всех уровнях вполть до самого высокого, часть презентации системы. Почему утвердили — потому что о безопасности ВООБЩЕ не думали. То есть при проектировании системы безопасность просто не принималась во внимание. Отсюда все проблемы.
О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают.
Не забывай, что ты говоришь здесь об архитектурном решении 11-ти летней давности, которое в последующих версиях было успешно устранено.
Здравствуйте, ononim, Вы писали:
O>>>И не смотря на слово _обычно_ и на то что этот фактор состоит из человеческого фактора немного меньше чем полностью — оно затмевает все остальные детали реализации безопасности каждой ОС. KV>>Т.е. линукс безопаснее винды исключительно за счет того, что данный фактор сформировал определенную культуру работы с ОС у линукс-сообщества? O>по сути да, только слова 'линукс-сообщество' я бы убрал
Из чего следует, что переметнись армия пользователей винды туда, и эта культура (равно как и преимущество) просто растворится в толпе, в силу численного превосходства екс-виндузятников?
KV>Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го.
То есть семерка вышла 5-6 лет назад? (Ты же про семерку свои хвалебные песни поешь)? Наверное, я все-же твой бред.
KV>Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин).
Бедолага.
V>>Только судо это делает лучше. Объяснить почему? KV>Будь так добр.
Потому, что судо — это явное желание пользователя. А юак — это окошко с вопросом. Если завтра найдут способ имитировать окошко юак — пользователь будет радостно жамкать "ДА!!!", разрешая мальвари делать свои вредные дела — потому, что его уже задолбали этим вопросом.
V>>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, KV>Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение?
Нет, это решение презентационного уровня. Оно еще выше. Я думаю, его лично Гейтс утверждал.
KV>О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают.
То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное?
Здравствуйте, Vamp, Вы писали:
KV>>Пользователей последних версий винды. Ты в курсе насколько выросло их количество за последние 5-6 лет? Считаешь, что каждый из них, в период с 2005 по 2011 становясь пользователем винды начинал с 9х? Так вот, их существенно больше, чем тех, кто сел за винду до 2000-го. V>То есть семерка вышла 5-6 лет назад? (Ты же про семерку свои хвалебные песни поешь)? Наверное, я все-же твой бред.
Называй себя как хочешь — твое право. Но зачем ты пытаешься увести разговор в сторону? Ты заявил, что:
V>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка?
KV>>Я вижу свыше 30000 наших пользователей + около полусотни родных, друзей и знакомых + около пары сотен коллег (их домашних машин). V>Бедолага.
Зато с более широким и статистически значимым углом обзора.
V>>>Только судо это делает лучше. Объяснить почему? KV>>Будь так добр. V>Потому, что судо — это явное желание пользователя. А юак — это окошко с вопросом. Если завтра найдут способ имитировать окошко юак — пользователь будет радостно жамкать "ДА!!!", разрешая мальвари делать свои вредные дела — потому, что его уже задолбали этим вопросом.
Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак.
V>>>А что до преслувотого авторана — его же не индус из Мумбай втихаря вставил в код. Это архитектурное решение, KV>>Да бог с тобой, какое архитектурное, ты вообще о чем? Назвать кнопку "пуском" — это тоже архитектурное решение? V>Нет, это решение презентационного уровня. Оно еще выше. Я думаю, его лично Гейтс утверждал.
Да, ты прав насчет бреда. Только он не мой, он самобытный, судя по всему.
KV>>О безопасности не думает Линус, о чем прямо говорил не так давно. И чем дискредитирует всю идею опенсорса. А в MS, равно как и в Debian, SuSE, Canonical и прочих игроках на рынке о безопасности более чем думают. V>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное?
KV>Называй себя как хочешь — твое право. Но зачем ты пытаешься увести разговор в сторону? Ты заявил, что:
KV>
V>>Да. Только основная масса пользователей (и, соответственно, программ) существовала отнюдь не под NT.
KV>Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка?
Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан. Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все.
KV>Зато с более широким и статистически значимым углом обзора.
Пойди и скорее возьми с полки пирожок!
KV>Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак.
Я уже писал десять раз, что за гтксудо надо убивать. Это решение сравнимое с автораном по идиотизму — а может и более вредное даже, с идеологичекой точки зрения. ЮАК ЛУЧШЕ, чем гтксудо, но хуже, чем нормальное судо.
KV>Да, ты прав насчет бреда. Только он не мой, он самобытный, судя по всему.
Самобытного бреда не бывает.
V>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>У тебя какой-то пунктик на авторан, да?
А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
Здравствуйте, Vamp, Вы писали:
KV>>Я объяснил тебе, что те, кто пополнил ряды пользователей винды и разработчиков под винды несколько лет назад (и далее, до сегодняшнего дня) вообще не застали такого явления как "не NT". Причем тут семерка? V>Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан.
Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор. Но с чего ты решил, что система должна быть защищенной из коробки? Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
V>Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все.
Я лучше знаю, что я имею ввиду. Но спасибо за подсказку, хотя и бесполезную.
KV>>Зато с более широким и статистически значимым углом обзора. V>Пойди и скорее возьми с полки пирожок!
Так что там случилось с тем, что ты "вижу своими глазами" (с) ?
KV>>Да ну? Я запускаю синаптик в убунте и мне показывают какое-то окно, которое я вообще не вызывал, где просят меня ввести мой пароль. Подделать такое окно не сложнее, чем окно юак. V>Я уже писал десять раз, что за гтксудо надо убивать. Это решение сравнимое с автораном по идиотизму — а может и более вредное даже, с идеологичекой точки зрения. ЮАК ЛУЧШЕ, чем гтксудо, но хуже, чем нормальное судо.
Тем не менее гтксудо в линуксе есть, и что, это делает его менее защищенным?
V>>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>>У тебя какой-то пунктик на авторан, да? V>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени.
Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
V>Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
Причем тут basic? В 7 авторан есть только для дисков типа DRIVE_CDROM и отключается политикой на раз. Расширить его на другие типы приводов нельзя.
KV>Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор.
Не ты ли тут про "домохозяек" говорил? Домохозяйка должна в реестр лазить? А главное, что ты просто об этом не знаешь. Я когда перелез в 98 на икспи просто не знал, что там есть авторан на флешке. И моментально словил какую-то дрянь.
KV>Но с чего ты решил, что система должна быть защищенной из коробки? Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
Я не знаю, правду ли ты сейчас сказал, но если это правда — то безусловно, убунта — отстой.
V>>Так что когда ты говоришь о защищенных системах, ты имеешь в виду 7. А ее 5-6 лет назад не было. Вот и все. KV>Я лучше знаю, что я имею ввиду. Но спасибо за подсказку, хотя и бесполезную.
Наверное лучше. Только свое знание ты тщательно маскируешь, говоря то одно, то другое, то говоря о преимуществах семерки, то упоминая, что система защищенная 6 лет — вот и приходиться догадываться, что ты маскируешь под этим набором слов и утверждений.
KV>>>Зато с более широким и статистически значимым углом обзора. V>>Пойди и скорее возьми с полки пирожок! KV>Так что там случилось с тем, что ты "вижу своими глазами" (с) ?
Ничего не случилось. Как видел своими глазами, так и вижу.
KV>Тем не менее гтксудо в линуксе есть, и что, это делает его менее защищенным?
В линуксе гтксудо нет. Гтксудо есть в убунте.
KV>Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
Приведи пример. Только все-таки признай сначала, что с автораном сели в лужу. А то некрасиво получается.
KV>Причем тут basic? В 7 авторан есть только для дисков типа DRIVE_CDROM и отключается политикой на раз. Расширить его на другие типы приводов нельзя.
"Отключается на раз" — в топку. Вопрос — по дефолту включен? Или задается ли вопрос при первом втыкании диска, типа — авторан включаем?
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>Притом, что я думаю, что даже ты не скажешь, что ХР была "нормально защищенная система" — упомянут тот же авторан. KV>Проблема с автораном исправляется изменением одного параметра в реестре, либо в групповой политике на выбор.
Таким образом 90% проблем исправляются.
KV>Но с чего ты решил, что система должна быть защищенной из коробки?
Ушло в "избранное". Теперь при упоминании "как домохозяйке конфигурировать SELinux" я буду говорить "пусть прочтёт мануал в 2000 страниц, никто ведь не говорит, что система должна быть защищена 'из коробки'".
KV>Если я сейчас установлю последний релиз убунту из официального исошника, то получу решето вместо системы до момента, пока не накачу все критические апдейты. Это говорит о том, что убунта не является защищенной?
Подменяешь понятия. Накладывание апдейтов — это вполне себе "из коробки", и не изменение настроек.
Кстати, удалённых дырок в текущей установке Убунты нет. Часть локальных дырок закроет AppArmor.
KV>>>У тебя какой-то пунктик на авторан, да? V>>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. KV>Ты готов сейчас заявить, что в линуксе никогда не было не "архитектурных", а именно АРХИТЕКТУРНЫХ уязвимостей? А что их не может быть сейчас?
Конкретно фундаментальных архитектурных уязвимостей не было. Отдельные уязвимости от непредвиденного взаимодействия систем были (знаменитый "sendmail capabilities bug"), но сильно немного.
KV>Из чего следует, что переметнись армия пользователей винды туда, и эта культура (равно как и преимущество) просто растворится в толпе, в силу численного превосходства екс-виндузятников?
Если армия виндоус программеров переметнется на линукс, они не смогут так просто писать проги, придется читать мануалы и изучать готовые примеры (которых валом, благо опенсурс). А готовые примеры — написаны как полагается.
А юзера.. юзера будут юзать то, что им дают. А по дефолту во всех адекватных юниксах — шелл из под рута так просто не запустишь
Кстати по той же логике, если сейчас убрать (стереть из памяти и интернета) накопленный опыт программирования под винду, оставив один только мсдн — софт под винду станет гораздо секурнее.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, kochetkov.vladimir, Вы писали:.
KV>>>А само ядро, его примитивы, сетевой стек — это тоже попадает в "остальное"? M>>В этих местах серьезные дыры находят очень редко. Самая опасная была, кажется, в прошлом месяце обнаружена, но и то не совсем просто эксплуатировать ее. KV>Несколько раз в месяц только в ядре — это мало? http://secunia.com/advisories/search/?search=linux%20kernel
Да, мало. Так как большинство ошибок — в драйверах.
Для Винды такую статистику вообще собрать затруднительно, так как драйверы поставляются третьими сторонами. И большинство этих драйверов — полное Г. из-за того, что вендорам плевать на их качество. Показательна реакция разработчиков Линукса на драйвера в staging-каталоге (которые как раз и являются драйверами от вендоров, которые приводятся в нормальный вид) — при загрузке staging-драйверов на ядро ставится флаг TAINT_CRAP.
Я даже лично находил уязвимости в Винде. На моём предыдущем ноуте для работы с hotkey'ями использовался специальный драйвер, к которому прилагалась глючноуродская софтина. Ну и я решил пореверсить как оно работает. Нашёл, что софтина поллит драйвер через IOCTL, просниффил пакет в отладчике. Попробовал сделать так же из своего кода — BSOD из-за переполнения буффера в драйвере. Так как я неправильно прописал размер пакета.
Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, kochetkov.vladimir, Вы писали:
C>>>Тщательное разделение привилегий. KV>>Чем в винде оно менее тщательное? C>Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру.
А кто сказал, что там должны быть прямые аналоги, чтобы обеспечить аналогичный уровень защищенности? Функции всего, перечисленного тобой (касающиеся безопасности) реализованы в винде иным образом, только и всего
C>>>И нежелание использовать полурабочие решения. KV>>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь? C>Разработчиков Линукса.
Ты говоришь о каких-то конкретных полурабочих решениях, или так, абстрактно?
C>>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух? C>Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру.
Полноценную — по каким критериям? Если лень писать — дай плс ссылку, где можно почитать конкретно об этом.
C>>>который сделан не для анального изнасилования пользователей DRM'ом. KV>>Про идеологию мне сейчас общаться неинтересно, это не имеет ни малейшего отношения к безопасности. C>Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности.
Ну вот, опять домысел без какой-либо конкретики Ну вот скажи, тебе было тяжело привести статью того же мышъха (http://www.insidepro.com/kk/163/163r.shtml) и тем самым закрыть этот вопрос? Почему я должен тебе помогать?
Впрочем, эта статья лишний раз подтверждает сказанное мной о winx64
C>Тебе уже про смехотворность твоих доводов сказали.
Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему). У тебя, по крайней мере, нормальные аргументы появились. Но, судя по оценкам, вы немножко в меньшинстве, вообще-то.
C>Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса?
Их отсутствие обусловлено отнюдь не более высокой защищенностью этой системы. Я в исходном посте написал чем.
C>>>Зачем домохозяйке конфигурировать SELinux? KV>>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки? C>Да. А какие проблемы?
Отложим разговор о дефолтной конфигурации SElinux до понедельника, ок? У меня сейчас линуха под рукой нет, чтобы предметно общаться на эту тему, а впустую я тут уже и без того натрепался
C>Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер.
Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.