Здравствуйте, Vamp, Вы писали:
C>>Для NVidia есть аналогичные хохмочки. Товарищи, которые реверсят драйвера для того, чтобы портировать их в Линукс, нашли уже не один пример, когда абсолютно легальная последовательность команд завешивает драйвер NVidia и/или компьютер. V>Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.
Там и переполнения есть. Просто особо никто не искал их пока целенаправленно. Как бы, в драйверах NVidia внутри целый полномасштабный компиятор есть.
Здравствуйте, Vamp, Вы писали:
V>>>То есть именно заботой о безопасности авторан сделали по умолчанию включенным, и отключаемым только через реестр? И ты спрашиваешь пол зеленое и красное? KV>>У тебя какой-то пунктик на авторан, да? V>А просто пример хороший. И ты все никак не можешь признать, как капитально сели в лужу — и сидели в ней до самого последнего времени. Я даже не уверен, что вылезли — как там у 7 бейзик, включен ли авторан по дефолту?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Чем в винде оно менее тщательное? C>>Тем. Нет аналога D-BUS'а и связанных с ним ConsoleKit, PolicyKit и т.п., к примеру. KV>А кто сказал, что там должны быть прямые аналоги, чтобы обеспечить аналогичный уровень защищенности? Функции всего, перечисленного тобой (касающиеся безопасности) реализованы в винде иным образом, только и всего
Не особо. Скажем, в Линуксе сейчас если мне надо сделать какую-то программу, осуществляющую административные действия, то я делаю backend на D-BUS'е. Аутентификация — с помощью ConsoleKit, плюс PolicyKit (с централизованными политиками) для авторизации. Ну и фронтэнд как обычное приложение, возможно защищённое AppArmor'ом. Всё очень просто и удобно.
В Винде нет подобных аналогов. Я могу сделать out-of-process COM-сервер, для него есть COM Security: http://msdn.microsoft.com/en-us/library/ms693319%28v=VS.85%29.aspx Однако, она жутко неудобная на практике. Скажем, политики и ACLи управляются не централизованно. Да и вообще, оно всё очень жуткое. Ещё там есть прикольная архитектурная уязвимость, что клиент может заставить приложение вечно висеть в памяти, просто не сбалансировав вызовы LockServer (жутко достаёт при отладке).
Так что большинство приложений в Винде не заморачиваются разделением привилегий и тупо повышают привилегии для всего приложения.
C>>>>И нежелание использовать полурабочие решения. KV>>>Ты как-то загадками изъясняешься. Чье нежелание и о каких решениях идет речь? C>>Разработчиков Линукса. KV>Ты говоришь о каких-то конкретных полурабочих решениях, или так, абстрактно?
Да, о конкретных полурабочих решениях.
C>>>>В Линуксе ещё есть PaX и grsecurity: http://grsecurity.net/ В частности, с правильным аналогом PatchGuard, KV>>>В винде тоже много чего есть. Вопрос в том, как это влияет на безопасность десктопов, которым сулят отсутствие малвари сразу же после перехода на линух? C>>Ну как бы, grsecurity+PaX позволяют сделать полноценную защиту памяти ядра, к примеру. KV>Полноценную — по каким критериям? Если лень писать — дай плс ссылку, где можно почитать конкретно об этом. http://en.wikipedia.org/wiki/PaX — тут неплохо описано.
C>>Ещё как имеет. Целью PatchGuard'а было как можно больше обфусцировать его, а не добиться лучшей безопасности. KV>Ну вот, опять домысел без какой-либо конкретики Ну вот скажи, тебе было тяжело привести статью того же мышъха (http://www.insidepro.com/kk/163/163r.shtml) и тем самым закрыть этот вопрос? Почему я должен тебе помогать?
Я думал, что уже все читали "Bypassing PatchGuard on Windows x64".
C>>Можешь мне привести пару-тройку примеров массовых эпидемий вирусов для Линукса? KV>Их отсутствие обусловлено отнюдь не более высокой защищенностью этой системы. Я в исходном посте написал чем.
Роутеров с Линуксом — уже примерно столько же, как и машин с Windows.
C>>>>Зачем домохозяйке конфигурировать SELinux? KV>>>Предлагаешь использовать конфигурацию из коробки? На все случаи тяжелой жизни домохозяйки? C>>Да. А какие проблемы? KV>Отложим разговор о дефолтной конфигурации SElinux до понедельника, ок? У меня сейчас линуха под рукой нет, чтобы предметно общаться на эту тему, а впустую я тут уже и без того натрепался
Без проблем.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему).
Ты вообще ничего конкретного про именно те сплоиты не написал, всё общими словами...
В первом своём посту ты привёл как пример "сплоиты" под Линух. Я залез ради интереса, и что же я там увидел? Цырк на дроце. Либо не написанные сплоиты для Линух черех железяку, при этом под Вин они уже есть и рабочие. Либо сплоиты от 2003 года. Либо для 3rd party софта: Анрил сервер, либо для ВмВаре. При том что для ВмВаре сплоит ну никак не может быть закрыт ОС. Ибо дыра в эмуляторе, позволяющая в нём делать всё что угодно. Не затрагивая хост систему. Это равносильно дыре в калькуляторе позволяющей делать 2х2=5.
Дальше, извини, я копаться не стал. Всё таки это твой аргумент, а не мой. Видно только одно, что
Здравствуйте, Vamp, Вы писали:
V>Справедливости ради следует отметить, что "завешивает" не есть угроза безопасности.
А с каких пор возможность реализации DoS'а перестали считать уязвимостью?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, SleepyDrago, Вы писали:
SD>> www.semiaccurate.защитаотнажатия.com/2010/09/01/amd-outs-bulldozer-based-orochi-die/ SD>>и пробило и фокс со всеми плагинами и 7ку x64 с UAC и Nod32 даже не пискнул. И даже без перезагрузки.
KV>Что это доказывает?
вам может и ничего. Мне вот придется фокс на работе запускать через противогаз линукса. Не потому что он безопаснее теоретически, а потому что он реже является целью ненаправленной атаки.
и кстати после загрузки с лайвсиди скан так и не нашел драйвер который вешался на сетку и теперь мне придется переставлять все на чистый винт. Так что если есть полезные вещи про безопасность — пишите их, а не эти сравнения теорий про теплое и мягкое.
Здравствуйте, alpha21264, Вы писали:
A>Здравствуйте, ЯпонИц, Вы писали:
ЯИ>>p.s. Считаю линукс более защищенным именно в результате его слабой распространенности, а не в результате большей защищенности самой ОС.
A>И охота же некоторым маркетинговые бредни повторять. A>А авторан это следствие распространенности или следствие тупости микрософта?
У меня в убунте авторан включен А в висте отключен Причем я в настройки авторана не лез.
A>Вопрос не праздный — школа в которой работает моя жена КАЖДЫЙ ГОД имеет эпидемию rawmon.exe A>с начала учебного года и до его конца. В этом году будет переход на Линукс. A>Эпидемия повторится? Делаем ставки.
Так как .exe не запустятся на линуксе без wine — то врядли.
Здравствуйте, hattab, Вы писали:
H>Здравствуйте, ЯпонИц, Вы писали:
ЯИ>> E__>>Вобщем, поинт в том, что безопастность уж очень сильно зависит от того, кто именно сидит за компьютером.
ЯИ>> KV>Ок, а насколько она зависит от того, какая из двух обуждаемых осей крутится на компе?
ЯИ>> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
H>Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
В том то и дело что сижу каждый день в убунте. И для меня эта ОС лучше виндовса в 95% случаев. Но ведь не это является причиной отсутствия вирусов, у меня и в винде их нет. Сижу и там, и там с настройками по дефалту, делаю обновления каждый раз как о них сообщит система, не запускаю все подряд, не захожу на подозрительные сайты.
Может конечно под линуксом я и мог бы заходить куда угодно, запускать любой экзешник в вайне, зная что дальше вайна вирус не уйдет, но разве это много скажет о защищенности линукса?
Здравствуйте, ononim, Вы писали:
O>Кстати по той же логике, если сейчас убрать (стереть из памяти и интернета) накопленный опыт программирования под винду, оставив один только мсдн — софт под винду станет гораздо секурнее.
А что, в МСДН уже стали давать примеры без ошибок?
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> ЯИ>> В связи с высоким порогом входа в ОС Линукс требуется большая комп.грамотность
ЯИ> H>Ты когда последний раз Ubuntu или Mint видел? В современных десктоп-ориентированных дистрах все делается очень и очень просто, местами проще чем под Виндами. Как только будут преодолены проблемы с поддержкой линуксов производителями железа и игроделами, так в хоум-секторе он и случится (я гарантирую это )
ЯИ> В том то и дело что сижу каждый день в убунте. И для меня эта ОС лучше виндовса в 95% случаев. Но ведь не это является причиной отсутствия вирусов, у меня и в винде их нет. Сижу и там, и там с настройками по дефалту, делаю обновления каждый раз как о них сообщит система, не запускаю все подряд, не захожу на подозрительные сайты. ЯИ> Может конечно под линуксом я и мог бы заходить куда угодно, запускать любой экзешник в вайне, зная что дальше вайна вирус не уйдет, но разве это много скажет о защищенности линукса?
Я вообще-то ответил на твою фразу о высоком пороге вхождения в Линукс
Здравствуйте, ЯпонИц, Вы писали:
ЯИ> H>Я вообще-то ответил на твою фразу о высоком пороге вхождения в Линукс
ЯИ> А, извиняюсь, не так понял
ЯИ> Хотя порог вхождения все ещё до сих пор выше.
Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
Здравствуйте, hattab, Вы писали:
H>Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
В том, что многие вещи не так хорошо оттестированы как хочется. Вот сегодня прилетело, новое ядро, сказал обновить, а оно чего-то исходники ядра обновлять не стало (чего-то прописать забыли). Из-за этого не собрался автоматом nvidia модуль для ядра и иксы не стартовали. Ну я просто установил хедера, и загрузил модуль, а Домохозяйка, врядли даже с помощью рабочего ядра предыдущей версии не загрузится из груба.
И такое, к сожалению, не такая уж и редкость.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, master_of_shadows, Вы писали:
__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Кто? Ты, да Vamp (ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему).
__>Да ну? Ты так и не ответил на мой пост про хохмы: http://www.rsdn.ru/forum/flame.comp/3944126.1.aspx
Ты в первом же предложении написал мне там, что я слишком серьезен. Соответственно, я отнесся к твоему остальному сообщению с юмором и дальше не читал
__>Ты вообще ничего конкретного про именно те сплоиты не написал, всё общими словами... В первом своём посту ты привёл как пример "сплоиты" под Линух. Я залез ради интереса, и что же я там увидел? Цырк на дроце. Либо не написанные сплоиты для Линух черех железяку, при этом под Вин они уже есть и рабочие. Либо сплоиты от 2003 года. Либо для 3rd party софта: Анрил сервер, либо для ВмВаре. При том что для ВмВаре сплоит ну никак не может быть закрыт ОС. Ибо дыра в эмуляторе, позволяющая в нём делать всё что угодно. Не затрагивая хост систему. Это равносильно дыре в калькуляторе позволяющей делать 2х2=5. __>Дальше, извини, я копаться не стал. Всё таки это твой аргумент, а не мой. Видно только одно, что __>
__>мама дорогая, да там полный набор...
__>Мягко говоря преувеличение.
Потом я тебе привел массу других. Чем не устраивают они?
Здравствуйте, dr.Chaos, Вы писали:
C> H>Чем характеризуется? Установка ОС проста. С установкой софта вообще ребенок справится В чем сложности?
C> В том, что многие вещи не так хорошо оттестированы как хочется. Вот сегодня прилетело, новое ядро, сказал обновить, а оно чего-то исходники ядра обновлять не стало (чего-то прописать забыли). Из-за этого не собрался автоматом nvidia модуль для ядра и иксы не стартовали. Ну я просто установил хедера, и загрузил модуль, а Домохозяйка, врядли даже с помощью рабочего ядра предыдущей версии не загрузится из груба.
Это может указывать на недостаточную проработанность, и с этим я вполне себе согласен, но ни как не указывает на высокий порог вхождения. Когда говорят о высоком пороге, обычно подразумеваются вещи которые новичку приходится преодолевать изо дня в день. Скажем, когда диски нужно было руками монтировать это несомненно было сложной операцией для хоум юзера. Когда все конфигурирование сводилось к правке текстовых конфигов это тоже было сложно.
Теперь на счет проработанности. От ошибок не застрахован никто. Пример из жизни. Неделю назад звонит мне знакомая, которой я помогал купить компьютер и настроить ОС (XP SP3), жалуется, что у нее все сломалось. Прихожу, а там Винда жалуется на невозможность загрузки hal.dll. Устраиваю допрос с пристрастием, чего делала, куда лазала. Включила, говорит, скачалось какое-то обновление и потребовало перезагрузиться. Перезагрузки не получилось. Я восстановил hal.dll с дистрибутива — не помогло, зависание в момент загрузки. Со свежайшего лайв-сиди Dr.WEB проверил диск — ни одного вируса. Систему пришлось ставить с нуля (ставиться поверх она не стала), никакой софт, никакие настройки сохранить не получилось.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ты в первом же предложении написал мне там, что я слишком серьезен. Соответственно, я отнесся к твоему остальному сообщению с юмором и дальше не читал
Тогда откуда такой вывод:
ну еще master-of-shadows эксплоиты меты развеселили, но после дополнительных ссылок он как-то перестал спорить на эту тему
?
KV>Потом я тебе привел массу других. Чем не устраивают они?
Ты вообще-то привёл ещё один линк. В котором куча других линков, в которых надо усердно копаться. Что бы понять, устраивает или нет. Да и не важно это.
Я писал то строго про приведённый тобой линк. Глядя на него никак нельзя сделать вывод, что сделал ты:
мама дорогая, да там полный набор...
Если б ты написал, что да, по тому линку лажа, но вот у меня есть другой, то разговор бы и закончился .
Здравствуйте, hattab, Вы писали:
H>Это может указывать на недостаточную проработанность, и с этим я вполне себе согласен, но ни как не указывает на высокий порог вхождения. Когда говорят о высоком пороге, обычно подразумеваются вещи которые новичку приходится преодолевать изо дня в день. Скажем, когда диски нужно было руками монтировать это несомненно было сложной операцией для хоум юзера. Когда все конфигурирование сводилось к правке текстовых конфигов это тоже было сложно.
Ну другой пример: диски которые не прописаны в fstab монтируются через D-Bus, так вот они монтируются не от имени пользователя, который инициировал это мероприятие, так вот dolphin при копировании на ntfs-ный диск ругается, что не может изменить права файла, но при этом копирует.
H>Теперь на счет проработанности. От ошибок не застрахован никто. Пример из жизни. Неделю назад звонит мне знакомая, которой я помогал купить компьютер и настроить ОС (XP SP3), жалуется, что у нее все сломалось. Прихожу, а там Винда жалуется на невозможность загрузки hal.dll. Устраиваю допрос с пристрастием, чего делала, куда лазала. Включила, говорит, скачалось какое-то обновление и потребовало перезагрузиться. Перезагрузки не получилось. Я восстановил hal.dll с дистрибутива — не помогло, зависание в момент загрузки. Со свежайшего лайв-сиди Dr.WEB проверил диск — ни одного вируса. Систему пришлось ставить с нуля (ставиться поверх она не стала), никакой софт, никакие настройки сохранить не получилось.
В целом, я с тобой согласен, просто больше мелочей которые придётся допиливать самому, напильником по любому придётся лучше владеть .
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, dr.Chaos, Вы писали:
C> Ну другой пример: диски которые не прописаны в fstab монтируются через D-Bus, так вот они монтируются не от имени пользователя, который инициировал это мероприятие, так вот dolphin при копировании на ntfs-ный диск ругается, что не может изменить права файла, но при этом копирует.
Не-не, ты снова приводишь проблему конкретного софта. Ну вот я сейчас подключил внешник с ntfs к Ubuntu 10.04, скопировал на него кучу файлов — наутилус и не пикнул
C> В целом, я с тобой согласен, просто больше мелочей которые придётся допиливать самому, напильником по любому придётся лучше владеть .
Я по своему опыту (а я с Линуксом пока на уровне того хомячка) не могу сказать, что для обычной работы в Линуксе требуются какие-либо допиливания. Кстати, я только на Линуксе научился пользоваться графическим файл-менеджером Вот виндовым Explorer'ом пользоваться до сих пор не могу (только Far), а убунтовым Наутилусом запросто, благо двухпанельность поддерживается.
Здравствуйте, hattab, Вы писали:
H>Я по своему опыту (а я с Линуксом пока на уровне того хомячка) не могу сказать, что для обычной работы в Линуксе требуются какие-либо допиливания. Кстати, я только на Линуксе научился пользоваться графическим файл-менеджером Вот виндовым Explorer'ом пользоваться до сих пор не могу (только Far), а убунтовым Наутилусом запросто, благо двухпанельность поддерживается.
Я с Убунтой уже 3 года, периодически возникает необходимость, хотя я опять же юзаю Кеды, они может и меньше вылизаны .
С теми же icc-профилями вроде все их поддерживают, а единства и понятности нет. С печатью, вроде и дрова есть, вроде и пачатает, но... Какая-нить хрень да вылезет. Может и под виндой так ибо я уже 3 года туда ничего нового не ставлю и не экспериментирую. Про Убунту могу сказать точно: потихоньку пилят.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, dr.Chaos, Вы писали:
C> Я с Убунтой уже 3 года, периодически возникает необходимость, хотя я опять же юзаю Кеды, они может и меньше вылизаны .
Так я и говорю, то, что недоработки есть, так это есть везде, но порог вхождения этим не определяется.