Здравствуйте, kochetkov.vladimir, Вы писали:
KV> Кто там говорил, что никсы по определению безопаснее?
ранодмизация адресного пространства появилась сначала на никсах. так же на никсах первыми начали бороться с переполнением стека. и к тому времени как ms реализовала примитивную защиту стека в компиляторе путем поклажи магических пирожков, никсы ушли далеко вперед и стали размещать буфера так, чтобы они были за переменными и указателями. сами указатели тоже стали защитать первыми на нисках. и я молчу о том, что неисполняемый стек и куча впервые появился на никсах, а под виндой браузер допили в первом сервис-паке висты, т.е. лет эдак двадцать спустя.
теперь давайте обсудим вопрос бинарной совместимости. хакеру очень важно знать куда бросать управление. в винде куча библиотек, которые не меняются даже от хрюши к семерке (взять хотя бы рантайм от си), а потому атаковать систему проще пареной репы. в никсах с этим сложнее. намного сложнее. там вообще нет ничего предсказуемого. ну или практически нет.
KV> А кто им возражал, что вопрос только в популярности платформы?
вы же знаете, что вопрос не только в популярности. вопрос и в бинарной (не)совместимости, и в фичах компилятора (у gcc намного более сильная защита от разных типов ошибок, чем у ms vc). надеюсь, что вы писали сплоиты под никсы и под винды и потому знаете разницу. хотя разница эта нивилируется багами оракла в жабе. но разница все-таки есть.
KV> P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, KV> чья безопасность и рядом не стояла с труъ-никсовыми системами
каким образом дыра в жабе относится к безопасности оси? что ось может сделать? не дать прав рута? ну, допустим. но это зависит от. даже если ось не дает рута, то атака лишь чуть-чуть усложняется. кстати, в маках очень непрозрачно с правами доступа. хрен поймешь кто ты. я вот юзаю мак для просмотра видео и совершенно не в курсе рут я или не рут.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, ArtemGorikov, Вы писали:
AG>>Просто чем голословно и теоретически поливать макось, уже давно бы подкопил денег на мак и подружился с убунтой.
KV>По делу есть что сказать? Или это максимум того, что ты можешь сформулировать на второй день существования темы?
Ок, сформулирую по-другому: у меня мак, и я им доволен. За исключением игр, но коробоксы- отдельная тема. У тебя, как я понял, есть только дырявая как решето винда. И вот, надо же, нашли дырку в маковской реализации жавы, поднялось столько шума от виндузятников "маки тоже можно взломать". Ну это как заявить что форд тоже ломается, поэтому он не лучше жигулей. Идея понятна?
Здравствуйте, Andrey.V.Lobanov, Вы писали:
AVL>Здравствуйте, Erop, Вы писали:
AVL>"пиво в вашем холодильнике заблокировано. для разблокировки отправьте смс на номер хххх"
вы будете смеяться, но холодильник, управляемый через интернет, я уже видел. на одной выставке. и хохма была в том, что хакеры из новы сменили пароль по умолчанию (admin) и заблокировали холодильник. а как обресетить пароль никто не знал. минут через полчаса приехал нужный человек и обресетил пароль путем механического вмешательства, но я задумался...
а мои часы сами лезут в интернет за прогнозом и синхронизуют время со спутником и потому попытка установить неправильное время ни к чему не приводит. через несколько минут оно снова правильное.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, ArtemGorikov, Вы писали:
KV>>По делу есть что сказать? Или это максимум того, что ты можешь сформулировать на второй день существования темы? AG>Ок, сформулирую по-другому: у меня мак, и я им доволен. За исключением игр, но коробоксы- отдельная тема. У тебя, как я понял, есть только дырявая как решето винда. И вот, надо же, нашли дырку в маковской реализации жавы, поднялось столько шума от виндузятников "маки тоже можно взломать". Ну это как заявить что форд тоже ломается, поэтому он не лучше жигулей. Идея понятна?
Идея-то понятна, но я просто теряюсь в плане того, как ее прокомментировать. Пожалуй, я сохраню интригу и просто признаюсь, что да — я виндузятник, в глаза не видевший других систем, сидящий на дырявой как решето винде, просто потому что никсы неосилил, а на мак тупо не хватает денег. Вот, случайно услышал звон о ботнете и, не имея ни малейшего представления о данной предметной области, поспешил радостно заявить здесь о дырявости этой системы. Ок?
Замечу только, что я нигде не утверждал, что какая-либо система ЛУЧШЕ каких-либо других
Здравствуйте, dimgel, Вы писали:
D>P.S. И кстати, не считая крошечного загрузчика, основное тело он протаскивал по сети таки в исходных кодах и компилял прямо на заражаемой машине, так что, Берсерк, зря смеёшься. Правда, у многих ли на убунте будет gcc, гыгы...
Питон будет у многих. Тьюринг-полный баш, в общем-то тоже.
Здравствуйте, Real 3L0, Вы писали:
KV>>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами R3>Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз.
Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, alpha21264, Вы писали:
KV>станет заметно, что я говорил не про Юникс, а про никсы. KV>Объясню в чем разница, никсы — от слова "юниксоподобные".
объясните пожалуйста разницу межу операционной системой и приложением от посторонней компании. модель безопасности жаба оказалась порочной, а сами атаки носят системно-независимый характер в стиле download&execute. и то, и другое делается жабой. чему может воспрепятствовать ось? download'у? так у жабы есть права (а если их нет, то exe файл можно встроить в апплет). запретить execute? не может ось этого делать. точнее не должна, ибо это не входит в ее функциональные обязанности.
KV> А в них я, помимо прочего, говорил еще и том, что понятие "безопасна" KV> является состоянием, а не количественной характеристикой. Система KV> не может быть "более" или "менее" безопасна. Это как беременность.
все операционные системы не безопасны, а потому качественная характеристика "безопасности" лишена смысла. все известные операционные системы бессильны против дыр в приложениях, следовательно они все небезопасны -- так? но ведь это смешно. безопасность вполне количественная характеристика, которая поддается измерениям. по крайней мере никсы можно обезопасить при желании и чувствовать себя как у христа за пазухой. по крайней мере никсы спокойно грузятся с read-only носителей, а вот у винды это возможно только в теории (на практике работать с такой системой крайне затруднительно и реально она используется только для диагностики).
> Мое сообщение говорит о том, что МакОС не является безопасной
оракл уже поглотил яблоко или яблоко поглотило оракла? зачем вообще яблоку жаба? она легко сносится. давайте все-таки определимся с терминологией. я согласен, что "макбуки не являются безопасными", но не согласен, что "мак-ось является небезопасной". хотя, вру. согласен. дыра в авторизации телнета была заюзана на маке в живой природе. но заюзана через ROP. а ROP требует полной бинарной совместимости. а у маков куча-куча-куча версий оси и мак-буки, купленные с интервалом в один сезон, скорее всего будут бинарно несовместимы, а потому атаковать их очень затруднительно, хотя атаки были. семерку атаковать легче благодаря стандартным библиотекам, которые изначально входят в дистр.
> Следовательно, она ничем не отличается от винды.
с точки зрения жабы -- да. у жабы своя модель безопасности. от оси независящая. и жаба требует прав без которых становится невозможной работа многих апплетов.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, мыщъх, Вы писали:
KV> давай уже определимся, а то в почте вроде на "ты", в четных сообщениях на RSDN тоже, KV> а в нечетных откуда-то "вы" взялось? — сбивает с толку), но есть пара моментов:
на "ты" я очень редко. и тоже сбиваюсь. по привычке пишу "вы" для нейтральности, но постоянно путаюсь с кем я на "ты", а с кем на "вы". хорошо в английском. там "ты" осталось только в словарях.
KV> 1. В том треде, который я упоминал, вставал вопрос о платформо-независимых уязвимостях, KV> на что мне возразили мол, в никсах система прав и разграничения доступа сильнее, KV> ничего у такой малвари не выйдет. Обсуждаемый пример говорит об обратном.
с этим я согласен (что пример говорит об обратном). но дыры в жабе оракл ликвидирует рано или поздно. по крайней мере у него есть такая возможность. а вот что делать с уязвимыми апплетами? допустим, апплет имеет паблик метод, который принимает имя программы в качестве аргумента и запускает ее без всяких проверок. по моим данным из 200 апплетов, которые юзают студенты, 20 — малварь и 50 апплеты с дырками. по есть порядка ~20% апплетов дырявые. и тут мы натыкаемся на фундаментальную проблему. даже после ликивдации всех дыр в жабе и оси -- браузер спрашивает нас: апплет такой-то, вендор такой-то... вы ему доверяете? вы -- конечно! и тут откуда ни возьмись выпрыгивает коварный хакерский скрипт, который использует эту дырку. лично у меня нет идей как этой угрозе можно противостоять. апплеты пишут все кому не лень.
KV>2. ОС может много чего сделать, если речь идет, скажем, о мандатном доступе. KV>Но это не в тему, на маках с этим все плохо, AFAIK.
будем считать, что мы доверяем жабе и загружаемым апплетам, подписанным известным вендором. будем считать, что они просят права на все-все-все и мы эти права им даем, ибо доверяем.
KV> Однако, если подняться с бинарно-нативного уровня чуть выше, KV> то эта проблема отпадет сама-собой (см. что я писал выше про питон и баш).
в винде сейчас три основых вектора атак: pdf, swf и jar. на маках только один — jar. все-таки есть разница. чтобы обезопаснить винду мне потребуется много чего снести и после этого компьютер можно выбрасывать на свалку ибо ничего не работает. на маках и никсах достаточно отключить жабу или пускать ее с ограниченными правами.
обезопасить винду я не могу. вот пример из жизни. есть корпоративное приложение на дот-нете. приложение работает с секьюрными данными. не то, чтобы супер-секретными, но доступ к ним жестко регламентирован. и вот оно перестало работать. стал разбираться. убил весь день. оказалось, что в дот-нете soap запрос неявно берет настройки IE в котором у меня был прописан локальный прокси, который упал. потому оно и не работало... твою мать, а!!! нет, ну кто бы мог подумать!!! выходит, чтобы перехватить очень ценные данные достаточно прописать в IE прокси и дотнет клиент пойдет через него. вот такая "прозрачная" система, да. допустим, я не пользуюсь IE. допустим, у меня там пропсан чей-то прокси. допустим, я запускаю дот-нет клиента, который вообще ничего не знает ни о каком IE, но ходит через прописанный в нем прокси-сервер. это ж прямая угроза безопасности.
KV> 4. Безопасность не может быть количественной характеристикой, потому что это состояние информации. Истина или ложь.
по такой трактовке все системы небезопасны. и с этим я не согласен. т.к. есть разные угрозы. от целевых атак до троянов на фейсбуках. допустим, есть система А и Б. под А каждый день на фейсбуке пачки троянов. под Б трояны попадаются раз в год. разве это не колличественная оценка? оценка угрозы, конечно.
к целевым атакам так же применимы метрики. например, стоимость разработки неуловимого "мстителя", который не детектируется никакими известными системы и нацелен на неизвестные (а потому и незаткнутые) дыры. допустим, под систему А это стоит $1,000 и черный рынок плавно переходит в белый. под систему Б никто такое писать не берется, а если и берется, то просит $100,000 авансом. следовательно, если атака принесет злоумышленику $10,000 то систеум А атаковать очень выгодно, а систему Б убыточно. и систему А будут атаковать сотни барыг, а систему Б -- разве что из спортирного интереса.
> А то, о чем говоришь ты, правильнее называть защищенностью.
проблема в терминологии. есть угрозы, есть риски. есть метрики. есть всякие формулы по которым оценивается вероятность ущерба и сумма убытков. на корректности этих формул и точности вычислений зиждется вся страховая система. и они работают не только с компьютерами, но и вообще со всей инфраструктурой в целом. потому как сейчас на нас движется торнадо. а торнадо это очень нехилая такая угроза. кстати, информационная. потому как информация о приближении тордано очень важна и ддос атака на почтовый сервер рискует принести миллиарды убытков. откуда ж мы узнаем о торнадо как не из почты?!
> И на этих уровнях, модели уже не будут зависеть от конкретных ОС, как таковых.
и да, и нет. винда на многих объектах сша не сертефицирована. именно в силу своей непрозрачности. именно в силу трудности построения модели угроз. в силу зависимости от вендора. в силу невозможности отбранчить винду и заниматься ее безопасностью самостоятельно. допустим, мы решили выкинуть дотнет. допустим, мы его выкинули. а он снова пришел с очередным обновлением.
если бы модели не зависели от осей -- какая проблема заюзать винду? а вот такая, что под винду нет метрик. так что все упирается не в защищенность системы, а в ее непрозрачность и зависимость от вендора.
KV>Во всем остальном — полностью согласен.
я тоже со всем согласен. у нас разногласия только в терминологии
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Roman Odaisky, Вы писали:
KV>>Кто там говорил, что никсы по определению безопаснее? KV>>https://news.drweb.com/show/?i=2341&lng=ru&c=14 RO>Разница в возможности сделать rm -r /home/$affected_user. В некоторых других ОС, которые я не стану называть, вроде Windows, если в системе вирус, то она поражена вся.
Потому умный вирус будет делать "sudo rm -Rf /*"
Ещё более умный вирус с помощью ptrace заттачится к нужной консоли с sudo-авторизацией и за-inject-ит туда код.
Здравствуйте, alpha21264, Вы писали:
A>Не все то Юникс, что ядро. Ваш КО.
Если внимательно вчитаться в мое сообщение, то станет заметно, что я говорил не про Юникс, а про никсы. Объясню в чем разница, никсы — от слова "юниксоподобные".
A>Ваше сообщение говорит лишь о том, что МакОС не является абсолютно безопасной. A>Но никак не опровергает утверждения о том, что она безопаснее, чем Винда. A>Вы уж простите, что я Вас формальной логике учу.
Да ничего страшного, простительно для человека, который не участвовал в тех топиках. А в них я, помимо прочего, говорил еще и том, что понятие "безопасна" является состоянием, а не количественной характеристикой. Система не может быть "более" или "менее" безопасна. Это как беременность. Мое сообщение говорит о том, что МакОС не является безопасной (употребляя количественную оценку я лишь цитировал утверждения моих собеседников). Следовательно, она ничем не отличается от винды.
Здравствуйте, Roman Odaisky, Вы писали:
C>>Потому умный вирус будет делать "sudo rm -Rf /" RO>sudo должна требовать пароль при вызове не с известного ей (псевдо-)терминала.
Необязательно. Куча товарищей работает с ALL=NOPASSWD (в том числе и я).
C>>Ещё более умный вирус с помощью ptrace заттачится к нужной консоли с sudo-авторизацией и за-inject-ит туда код. RO>Есть патч, запрещающий PTRACE_ATTACH к процессам, кроме собственных дочерних процессов, входит в последние версии Убунту.
Называется Yama, но он тоже обходится.
Я уж не говорю про мегатонны локальных ядерных уязвимостей.
ты написал очень правильные вещи (кстати, давай уже определимся, а то в почте вроде на "ты", в четных сообщениях на RSDN тоже, а в нечетных откуда-то "вы" взялось? — сбивает с толку), но есть пара моментов:
1. В том треде, который я упоминал, вставал вопрос о платформо-независимых уязвимостях, на что мне возразили мол, в никсах система прав и разграничения доступа сильнее, ничего у такой малвари не выйдет. Обсуждаемый пример говорит об обратном. Ок, постараюсь найти ту тему, чтобы дать здесь ссылку.
2. ОС может много чего сделать, если речь идет, скажем, о мандатном доступе. Но это не в тему, на маках с этим все плохо, AFAIK.
3. Да, я писал эксплоиты и баловался с малварью несколько лет тому назад. Мы общались на васме, только тогда я еще не подписывался своим реальным именем. В основном (хотя и не во всем) — я баловался с этим под виндой, но и этого достаточно, чтобы понимать, что с зоопарком систем сделать что-то сложнее, чем всего с десятком версий вместе со всеми сервиспаками. Однако, если подняться с бинарно-нативного уровня чуть выше, то эта проблема отпадет сама-собой (см. что я писал выше про питон и баш).
4. Безопасность не может быть количественной характеристикой, потому что это состояние информации. Истина или ложь. Это не я придумал, если что. Конфиденциальность информации нарушена — она перешла в состояние, противоположное безопасности. Убили всех тех, кто завладел ей не имея на это прав — информация снова в состоянии безопасности. Если ей завладел неопределенный круг лиц — значит она останется в этом состоянии перманентно. А то, о чем говоришь ты, правильнее называть защищенностью. Проблема только в том, что количественно измерить ее можно только при наличии полной и актуальной модели угроз или информации о наличии в ней известных на данный момент уязвимостях (обратная характеристика, причем уже не столь объективная). Построить модель угроз, покрывающую все информационные потоки ОС — это все равно что разработать эту ОС с нуля (в плане трудозатрат). Поэтому при построении таких моделей, системы рассматривают на более высоких уровнях абстракции, объединяя потоки информации в более укрупненные логические единицы. И на этих уровнях, модели уже не будут зависеть от конкретных ОС, как таковых. Я в состоянии настроить себе винду также, как ты можешь настроить линукс при равном функционале. Но тогда вопрос сравнения их защищенности сведется к наличию в них зиродеев, что опять-таки, сделает и эту характеристику зависимой от конкретного промежутка времени.
Здравствуйте, Lazytech, Вы писали:
L>Это еще как посмотреть. Кирку да лопату можно найти где угодно, а батискафы-то не у всех есть.
В том то и дело глубоководного батискафа с платформой для спуска у меня нет и чтобы его использовать мне придется раскрыть ключ (большую часть) стороннему участнику. А кирка у всех есть и у меня есть, но они не знают ключа. Разница в том кому доверять: великой (псевдо)случайности или пособнику-посреднику-другу.
Встречный вопрос какую систему проще защитить сохранив необходимую функциональность самой системы?
Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Кто там говорил, что никсы по определению безопаснее?
KV>https://news.drweb.com/show/?i=2341&lng=ru&c=14
KV>А кто им возражал, что вопрос только в популярности платформы?
KV>
KV>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами
Не все то Юникс, что ядро. Ваш КО.
Ваше сообщение говорит лишь о том, что МакОС не является абсолютно безопасной.
Но никак не опровергает утверждения о том, что она безопаснее, чем Винда.
Вы уж простите, что я Вас формальной логике учу.
Здравствуйте, Erop, Вы писали:
E>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
"ваша стиралка отключена от интернета за рассылку грязных носковспама"
"пиво в вашем холодильнике заблокировано. для разблокировки отправьте смс на номер хххх"
Здравствуйте, Erop, Вы писали:
E>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
С домашними маршрутизаторами история уже знает примеры
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Проблема только в том, что количественно измерить ее можно только при наличии полной и актуальной модели угроз или информации о наличии в ней известных на данный момент уязвимостях. KV>Но тогда вопрос сравнения их защищенности сведется к наличию в них зиродеев, что опять-таки, сделает и эту характеристику зависимой от конкретного промежутка времени.
Собственно поэтому в Европе и лучших домах Филадельфии (с) уязвимости уже исключают из модели угроз. Просто есть угроза того, что будет проэксплуатирована какая-то уязвимость системы. Можно пытаться вычислить вероятность ее реализации через какую-нибудь статистику по zero-day'ям конкретных систем и уже сравнивая такие вероятности пытаться говорить, что какая-то система лучше защищена "ис каропки" — но это тоже какая-то профанация будет.
Здравствуйте, Cyberax, Вы писали:
KV>>>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами R3>>Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз. C>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов.
Андроид это линукс или нет ? Откуда на нём малваре ?
Здравствуйте, Tanker, Вы писали:
R3>>>Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз. C>>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов. T>Андроид это линукс или нет ? Откуда на нём малваре ?
От пользователей, ставящих левые программы, очевидно.
C>>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов.
D>Моррис писал червя под конкретную машину и конкретную версию конкретной OS (смутно вспоминается что-то типа VAX). Уложил всю Америку. Я думаю, если заточат под x86 и убунту/минт, то всё у них будет хорошо.
Чего хоть под x86-то? Она потихоньку умирает же. Или ориентируемся на ноут/нетбуки?
D>P.S. И кстати, не считая крошечного загрузчика, основное тело он протаскивал по сети таки в исходных кодах и компилял прямо на заражаемой машине, так что, Берсерк, зря смеёшься. Правда, у многих ли на убунте будет gcc, гыгы...
Сурово.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Erop, Вы писали:
E>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
Так уже — линуксбоксы (это всякие роутеры, сеттопбоксы, погодные станции, медиаплееры и прочая мелочь) ломаются только в путь, и ботнеты на них уже есть.
Здравствуйте, icWasya, Вы писали:
W>Первая же глава начиналась с вопроса: сколько времени нужно на работу W>"пробитие в бетонной стене толщиной в 1 фут отверстия 1.5 х 2 фута"(что бы пролез не очень толстый человек
W>один из ответов: W>двое рабочих с отбойными молотками — 23 минуты.
Согласен, сейф из хрупкого бетона — плохая защита. Но я не скажу какой у меня сейф, и в каком месте Сахары он закопан. Блин все равно выдал лишнюю информацию из-за недокументированной избыточной функциональности "болтливый язык". Учли, уже работаем над устранением, патч будет в следующей версии
Здравствуйте, Lazytech, Вы писали:
L>Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа.
Здравствуйте, fin_81, Вы писали:
L>>Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
_>Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа. _>
Взять из дурки особо буйного помешанного на морском плавании психа(ну, чтоб рандом был трудноповторяемым), посадить его на корабль в окияне, который через некоторое время затонет вместе с сейфом.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Sinclair, Вы писали:
DOO>>Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси... S>Для него нужно иметь соответствующий сертификат на прокси.
Конечно нужно.
DOO>>Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым. S>Ты имеешь в виду — трастить в соответствии с локальными политиками, а не с личными предпочтениями?
Скорее не с локальными, а корпоративными
S>В принципе, это, наверное, всё едино. Если кто-то злостно подменил настройки прокси, то уж добавить сертификат в Trusted Roots тоже сможет. С другой стороны, ничто не помешает ему и влезть в программу, и подменить thumbprint прямо там.
Поэтому пусть лучше будет одно хранилище, которое надо контролировать на предмет несанкционированных изменений, чем 100500 таких хранилищ, про которые не все даже знают.
Здравствуйте, ArtemGorikov, Вы писали:
AG>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Здравствуйте, ArtemGorikov, Вы писали:
AG>>>Просто чем голословно и теоретически поливать макось, уже давно бы подкопил денег на мак и подружился с убунтой.
KV>>По делу есть что сказать? Или это максимум того, что ты можешь сформулировать на второй день существования темы? AG>Ок, сформулирую по-другому: у меня мак, и я им доволен. За исключением игр, но коробоксы- отдельная тема. У тебя, как я понял, есть только дырявая как решето винда. И вот, надо же, нашли дырку в маковской реализации жавы, поднялось столько шума от виндузятников "маки тоже можно взломать". Ну это как заявить что форд тоже ломается, поэтому он не лучше жигулей. Идея понятна?
Понятно, сынку. Я вот тебе намек дам, что Кочетков таки профессиональный спец по безопасности. И тем больше от этого ты смешон, ну что на слоника собачка маленькая гавкнула
Здравствуйте, Cyberax, Вы писали:
М>>вы що?! проспали публичные браузерные сплоиты? достаточно зайти на сайт и все... а с учетом кросс-скрипт атак зайти можно даже на респектабельный сайт. были зафиксированы массовые взломы сайтов через дыру в... черт, забыл... но точно помню, что буквально за неделю подломали сотни сайтов (сотни -- из числа респектабельных). C>Мой AppArmor от этого меня бережёт А вообще, sandboxing рулит для этого.
Я ваш Линукс ядро писаль!
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами
А что тут рассказывать? Ясен пень, что всё можно сломать. Был бы смысл
Кстати, а айфоны-то уже все сломали? По идее там можно прямо непосредственно денежки клиента пощупать...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами
Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз.
Здравствуйте, Real 3L0, Вы писали:
R3>Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз.
Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Разница в возможности сделать rm -r /home/$affected_user. В некоторых других ОС, которые я не стану называть, вроде Windows, если в системе вирус, то она поражена вся.
А возможность воспользоваться уязвимостью в каких-то клиентских программах, наверное, будет всегда.
_>Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
Здравствуйте, Cyberax, Вы писали:
C>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов.
Моррис писал червя под конкретную машину и конкретную версию конкретной OS (смутно вспоминается что-то типа VAX). Уложил всю Америку. Я думаю, если заточат под x86 и убунту/минт, то всё у них будет хорошо.
P.S. И кстати, не считая крошечного загрузчика, основное тело он протаскивал по сети таки в исходных кодах и компилял прямо на заражаемой машине, так что, Берсерк, зря смеёшься. Правда, у многих ли на убунте будет gcc, гыгы...
Здравствуйте, fin_81, Вы писали: _>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Кто там говорил, что никсы по определению безопаснее? KV>>https://news.drweb.com/show/?i=2341&lng=ru&c=14
_>Встречный вопрос какую систему проще защитить сохранив необходимую функциональность самой системы?
Зависит от трактовки понятий "проще", "защитить" и "необходимая функциональность"
_>Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
Я ж уже не единожды писал об этом. В этом случае, нарушается условие доступности информации, следовательно она не находится в состоянии безопасности
Здравствуйте, Cyberax, Вы писали:
C>Потому умный вирус будет делать "sudo rm -Rf /"
sudo должна требовать пароль при вызове не с известного ей (псевдо-)терминала.
C>Ещё более умный вирус с помощью ptrace заттачится к нужной консоли с sudo-авторизацией и за-inject-ит туда код.
Есть патч, запрещающий PTRACE_ATTACH к процессам, кроме собственных дочерних процессов, входит в последние версии Убунту.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>4. Безопасность не может быть KV>то, о чем говоришь ты, правильнее называть защищенностью
Вообще говоря, с терминологией тут — полный швах, причем и в английском языке тоже. И это касается не только безопасности/защищенности. Кто-то называет атаки угрозами, кто-то уязвимостями, кто-то говорит, что атака это одно, а угрозы и уязвимости — другое, но единое целое и т.п. Именно поэтому, я стараюсь в подобные споры не влезать, вообще-то (бес вот попутал — влез), очень неблагодарное занятие
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>2. ОС может много чего сделать, если речь идет, скажем, о мандатном доступе. Но это не в тему, на маках с этим все плохо, AFAIK.
Мандатный доступ и прочая фигня — это всё ерунда полная. Она никак не спасает от ошибок ядра, которые чаще всего сейчас локально и эксплуатируются. Особенно кавайно выглядела пара-тройка эксплоитов в самой реализации MAC.
Более интересны меры по противодействию и уменьшению эффективности эксплоитов. Тут пока неплохо лидирует Хром. В новых Андроидах тоже делают интересные вещи.
Здравствуйте, kochetkov.vladimir, Вы писали:
_>> системник которого отключен от всего KV> В этом случае, нарушается условие доступности информации, следовательно она не находится в состоянии безопасности
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>https://news.drweb.com/show/?i=2341&lng=ru&c=14
KV>P.S: Ну давайте, рассказывайте теперь, что макось — это такие неправильные никсы, чья безопасность и рядом не стояла с труъ-никсовыми системами
Сходил, почитал, зевнул. Не интересно.
Вот когда появится такой вирус, который сам пролезет на мой mythtv сервер, из средств ввода к которому подключен только пульт ДУ и DVB карта и который в интернет только за списком обновлений ходит, тогда станет интересно
Здравствуйте, Real 3L0, Вы писали:
R3>то где искать аналогичного человека в случае линуха — лично я хз.
Там же. Современный "шаращий в компутерах" паренек с вероятность 99% постоянно играется с линуксом.
Здравствуйте, мыщъх, Вы писали:
М>каким образом дыра в жабе относится к безопасности оси? что ось может сделать? не дать прав рута? ну, допустим. но это зависит от. даже если ось не дает рута, то атака лишь чуть-чуть усложняется. кстати, в маках очень непрозрачно с правами доступа. хрен поймешь кто ты. я вот юзаю мак для просмотра видео и совершенно не в курсе рут я или не рут.
Тут скорее разговор не про ОС, а про платформу в целом.
Если платформа завязана на Java чуть более, чем полностью, то уже не по-джентельменски говорить, что Java — не ОСь.
Здравствуйте, мыщъх, Вы писали:
М>по крайней мере никсы спокойно грузятся с read-only носителей, а вот у винды это возможно только в теории (на практике работать с такой системой крайне затруднительно и реально она используется только для диагностики).
А если подробнее? WAIK'ом можно спокойно запилить винду на большую флешку и таскать с собой...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вообще говоря, с терминологией тут — полный швах, причем и в английском языке тоже. И это касается не только безопасности/защищенности. Кто-то называет атаки угрозами, кто-то уязвимостями, кто-то говорит, что атака это одно, а угрозы и уязвимости — другое, но единое целое и т.п. Именно поэтому, я стараюсь в подобные споры не влезать, вообще-то (бес вот попутал — влез), очень неблагодарное занятие
Не соглашусь. В англоязычной среде с терминологией все достаточно хорошо (если популярные статьи не читать) — просто переводят ужасно почти всегда.
Помню читал 2 варианта перевода 27001 — это ужас, чтобы что-то понять надо открывать оригинал.
Здравствуйте, мыщъх, Вы писали:
М>в дот-нете soap запрос неявно берет настройки IE в котором у меня был прописан локальный прокси, который упал. потому оно и не работало... твою мать, а!!! нет, ну кто бы мог подумать!!! выходит, чтобы перехватить очень ценные данные достаточно прописать в IE прокси и дотнет клиент пойдет через него. вот такая "прозрачная" система, да. допустим, я не пользуюсь IE. допустим, у меня там пропсан чей-то прокси. допустим, я запускаю дот-нет клиента, который вообще ничего не знает ни о каком IE, но ходит через прописанный в нем прокси-сервер. это ж прямая угроза безопасности.
Неужто ты никогда не слыхал про http_proxy environment variable? Та же фигня, по сути.
А общесистемная настройка прокси это как раз повышает прозрачность, чем наличие 100500 мест, где его можно прописать.
М>по такой трактовке все системы небезопасны. и с этим я не согласен. т.к. есть разные угрозы. от целевых атак до троянов на фейсбуках. допустим, есть система А и Б. под А каждый день на фейсбуке пачки троянов. под Б трояны попадаются раз в год. разве это не колличественная оценка? оценка угрозы, конечно.
Это плохая оценка. Допустим пачки уязвимости в системе А выпиливаются в течение нескольких секунд, в системе Б — висят годами. В результате имеем, что систему Б имеет, кто хочет и когда хочет, несмотря на ее "большую защищенность".
М>к целевым атакам так же применимы метрики. например, стоимость разработки неуловимого "мстителя", который не детектируется никакими известными системы и нацелен на неизвестные (а потому и незаткнутые) дыры. допустим, под систему А это стоит $1,000 и черный рынок плавно переходит в белый. под систему Б никто такое писать не берется, а если и берется, то просит $100,000 авансом. следовательно, если атака принесет злоумышленику $10,000 то систеум А атаковать очень выгодно, а систему Б убыточно. и систему А будут атаковать сотни барыг, а систему Б -- разве что из спортирного интереса.
Но найдется такой заинтересованный спортсмен, который напишет, да еще раздаст результат всем желающим... И?
Или систему Б использует такое ведомство, что там и миллиона не жалко (а ты даже не знал, что это ведомство ее использует и вообще, что такое ведомство есть) — напишут пресловутый "мститель" и снова раздадут всем страждующим... И ты, ВНЕЗАПНО, оказался в худшем положении, чем пользователь системы А.
М>проблема в терминологии. есть угрозы, есть риски. есть метрики. есть всякие формулы по которым оценивается вероятность ущерба и сумма убытков. на корректности этих формул и точности вычислений зиждется вся страховая система. и они работают не только с компьютерами, но и вообще со всей инфраструктурой в целом. потому как сейчас на нас движется торнадо. а торнадо это очень нехилая такая угроза. кстати, информационная. потому как информация о приближении тордано очень важна и ддос атака на почтовый сервер рискует принести миллиарды убытков. откуда ж мы узнаем о торнадо как не из почты?!
Только вот когда на таком уровне начинаешь все обсчитывать, получается, что уязвимости системы влияют на уровне погрешности вычислений
Здравствуйте, DOOM, Вы писали:
E>>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов DOO>С домашними маршрутизаторами история уже знает примеры
Ну да, но пока это не "волна"
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, мыщъх, Вы писали:
AVL>>"пиво в вашем холодильнике заблокировано. для разблокировки отправьте смс на номер хххх" М>вы будете смеяться, но холодильник, управляемый через интернет, я уже видел. на одной выставке. и хохма была в том, что хакеры из новы сменили пароль по умолчанию (admin) и заблокировали холодильник. а как обресетить пароль никто не знал. минут через полчаса приехал нужный человек и обресетил пароль путем механического вмешательства, но я задумался...
Прочиталось "путём хирургического вмешательства".
М>а мои часы сами лезут в интернет за прогнозом и синхронизуют время со спутником и потому попытка установить неправильное время ни к чему не приводит. через несколько минут оно снова правильное.
Пояс хоть дают настроить?
А вставные секунды поддерживают?
Здравствуйте, Берсерк, Вы писали:
C>>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов. Б>Есть выход — распространять в исходных кодах
Если устранить ложное допущение и преобразовать это предложение в "распространять в переносимом виде", получатся общеизвестные сейчас методы — через Flash, через JScript в браузерах, через Java...
А заражать машинные коды — метод малополезный, если учесть, сколько сейчас всякого разного реализовано уровнем выше.
Здравствуйте, kochetkov.vladimir, Вы писали:
_>>Встречный вопрос какую систему проще защитить сохранив необходимую функциональность самой системы?
KV>Зависит от трактовки понятий "проще", "защитить" и "необходимая функциональность"
Надо сделать хттп-сервер для раздачи статики.
Дано:
линукс + nginx/lighttpd со всеми исходниками для пересборки с необходимыми и достаточными для этого ключами и модулями.
win server + iis [:trollface:]
У какой системы более растянутый, более изученный/дырявый/не-меняющийся-со-временем фронт для атак. У какой системы есть возможность уменьшить длину этого дырявого фронт, например убрать не нужный и потенциально дырявый графический модуль с дырявыми драйверами для видеокарты. Как бороться с уязвимостью избыточной функциональности (или как это правильно называется)
_>>Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
KV>Я ж уже не единожды писал об этом. В этом случае, нарушается условие доступности информации, следовательно она не находится в состоянии безопасности
Ну как бы в требованиях не было что хттп сервер должен работать.
Защищенность — это практически отсутствие функциональности, которой нет в требованиях к системе. Саму безопасность требований рассматривать не будем.
Не спец.
Здравствуйте, dimgel, Вы писали:
D>P.S. И кстати, не считая крошечного загрузчика, основное тело он протаскивал по сети таки в исходных кодах и компилял прямо на заражаемой машине, так что, Берсерк, зря смеёшься. Правда, у многих ли на убунте будет gcc, гыгы...
А я и не смеюсь. Именно про то что вирус тянет свое тело и компилирует его сам я и читал когда то давно, правда не смог найти конкретно про какой вирус.
Здравствуйте, Cyberax, Вы писали: C>Очень вряд ли. Вирусописатели замучаются с парком дистрибутивов.
Ну, на винде они же как-то научились справляться с парком антивирусов.
Скрытый текст
Я сам не далее как в январе получил по email троян, угоняющий пароли и ключи WebMoney.
Всё бы ничего, только его первоначально не детектировали 39 из 41 антивируса на VirusTotal.com
Я этот троян чисто нюхом определил, поскольку дражайший avast! тоже молчал как партизан.
Здравствуйте, netch80, Вы писали:
N>Здравствуйте, мыщъх, Вы писали:
N>Пояс хоть дают настроить?
да, но только предлагают на выбор один вариант из трех. и все три в штатах.
N>А вставные секунды поддерживают?
вставные это какие? нет, не поддерживают, т.к. безотносительно времени, установленного мной, они каждые несколько минут начинают мигать значком "спутник" и скачкообразно меняют время.
разговор с техспецам навел на мысль, что это все-таки не спутник, а радио. в штатах есть каналы по которым передают и сигналы точного времени и закодированный прогноз погоды.
а вот это уже любопытно. если узнать на какой частоте они это делают, и собрать передатчик, то можно заставить часы показывать то, что мне нужно, при условии, что мой передатчик находится близко (или у него направленный сигнал). а это ведет к возможности атаки на...
зря смеетесь. один пацак с направленной антенной продемонстрировал как он может управлять кардиостимуляторами. и хотя производитель онных говорит, что риска никакого нет, на ютубе уже проскакивали ролики. кстати, таким способом можно не только пиво закрыть в холодильнике. таким способом можно и убить. а производитель который делал удаленный контроль как-то не подумал ее защищать от злоумышленников...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>3. Да, я писал эксплоиты и баловался с малварью несколько лет тому назад. Мы общались на васме, только тогда я еще не подписывался своим реальным именем. В основном (хотя и не во всем) — я баловался с этим под виндой, но и этого достаточно, чтобы понимать, что с зоопарком систем сделать что-то сложнее, чем всего с десятком версий вместе со всеми сервиспаками. Однако, если подняться с бинарно-нативного уровня чуть выше, то эта проблема отпадет сама-собой (см. что я писал выше про питон и баш).
Просто чем голословно и теоретически поливать макось, уже давно бы подкопил денег на мак и подружился с убунтой.
Здравствуйте, ArtemGorikov, Вы писали:
AG>Просто чем голословно и теоретически поливать макось, уже давно бы подкопил денег на мак и подружился с убунтой.
По делу есть что сказать? Или это максимум того, что ты можешь сформулировать на второй день существования темы?
AG>>>Просто чем голословно и теоретически поливать макось, уже давно бы подкопил денег на мак и подружился с убунтой.
KV>>По делу есть что сказать? Или это максимум того, что ты можешь сформулировать на второй день существования темы? AG>Ок, сформулирую по-другому: у меня мак, и я им доволен. За исключением игр, но коробоксы- отдельная тема. У тебя, как я понял, есть только дырявая как решето винда. И вот, надо же, нашли дырку в маковской реализации жавы, поднялось столько шума от виндузятников "маки тоже можно взломать". Ну это как заявить что форд тоже ломается, поэтому он не лучше жигулей. Идея понятна?
Вообще-то, если почитать хотя бы даже загловок темы, то речь не про макось
R3>>Следующей волной ботнетов будут компы с линухами, которые установлены "думающими об экономии" сотрудниками конторы или "заботливыми" друзьями. И если в случае с виндой, человек, который может как минимум проверить на вирусы, может найтись в соседнем отделе или подъезде, то где искать аналогичного человека в случае линуха — лично я хз.
E>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
С одной стороны, там в каждом девайсе будет своя сборка из черти-каких исходников, потому универсально врядли выйдет. С другой, полюбасу масса производителей на безопасность тупо забьет, тупо пуская все процессы от рута, и не особо парясь с остальными аспектами безопасности. И новости типа "Холодильники серии 'гнусмас xx-yy' положили сервера ЖэЖэ" станут реальностью .
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, dimgel, Вы писали:
E__>Чего хоть под x86-то? Она потихоньку умирает же. Или ориентируемся на ноут/нетбуки?
у ЧервЯ там была эксплутация двух дыр. одна из них точно переполнения стека. за другую уже не помню. и там еще был брут паролей на логин по словарю. и никто пока не привел данных какой вектор оказался наиболее успешным.
x86, действительно, умирает. в основном 64 бита. маки выгоды тем, что у них предсказуемая конфигуация, их очень много и за ними сидит куча домохозяек. мои коллеги дают настоящие никсы детям и женам, но с урезанными правами. кстати, атака на маки подтверждает мой тезис, что в штатах их не 10%, а скорее 90%. по крайней мере грубая прикидка по разным слоям общества показывает, что ни среди студентов, ни среди топ-манегеров винды никак не больше 30%. конечно, у обладателей мака есть и винда. практически у всех на виртуалке внутри мака. и практически у всех на отдельном ноуте. и практически у всех есть рабочая станция с виндой же. теперь считаем. три винды на каждого мак-пользователя. отсюда и рынок маков оценивается в лучшем случае в 30%, даже если он подбирается под 90%.
ну откуда бы еще хакеры набрали пол-миллиона зобми, если маки такие нераспростаненные?
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Кто там говорил, что никсы по определению безопаснее? KV>https://news.drweb.com/show/?i=2341&lng=ru&c=14 KV>А кто им возражал, что вопрос только в популярности платформы?
кстати, вы уже дизассемблировали то, что описано в статье? ну в смысле c898cde665db8d62fea634c28e284139 ? там не только упаковщика нет, но ни анти-отладки, ни анти-дизассемблера, что сильно упрощает нашу с вами задачу. под вынью реверсить малварь сложно, ибо слишком много протекторов, в том числе разработанных исключительно для защиты малвари от анализа. под маки ничего такого нет и вряд ли скоро появится. а вот средства анализа есть. во всяком случае на иде это можно и под эмулятором прогнать...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, landerhigh, Вы писали:
L>Сходил, почитал, зевнул. Не интересно. L>Вот когда появится такой вирус, который сам пролезет на мой mythtv сервер, из средств ввода к которому подключен только пульт ДУ и DVB карта и который в интернет только за списком обновлений ходит, тогда станет интересно
Канал по которому оно ходит за обновлениями — защищен?
KV>> 1. В том треде, который я упоминал, вставал вопрос о платформо-независимых уязвимостях, KV>> на что мне возразили мол, в никсах система прав и разграничения доступа сильнее, KV>> ничего у такой малвари не выйдет. Обсуждаемый пример говорит об обратном. М>с этим я согласен (что пример говорит об обратном). но дыры в жабе оракл ликвидирует рано или поздно. по крайней мере у него есть такая возможность. а вот что делать с уязвимыми апплетами? допустим, апплет имеет паблик метод, который принимает имя программы в качестве аргумента и запускает ее без всяких проверок. по моим данным из 200 апплетов, которые юзают студенты, 20 — малварь и 50 апплеты с дырками. по есть порядка ~20% апплетов дырявые. и тут мы натыкаемся на фундаментальную проблему. даже после ликивдации всех дыр в жабе и оси -- браузер спрашивает нас: апплет такой-то, вендор такой-то... вы ему доверяете? вы -- конечно! и тут откуда ни возьмись выпрыгивает коварный хакерский скрипт, который использует эту дырку. лично у меня нет идей как этой угрозе можно противостоять. апплеты пишут все кому не лень.
Хм. Даже не думал про такое. Я апплетов уже лет 5 ни одного не видел.
М>обезопасить винду я не могу. вот пример из жизни. есть корпоративное приложение на дот-нете. приложение работает с секьюрными данными. не то, чтобы супер-секретными, но доступ к ним жестко регламентирован. и вот оно перестало работать. стал разбираться. убил весь день. оказалось, что в дот-нете soap запрос неявно берет настройки IE в котором у меня был прописан локальный прокси, который упал. потому оно и не работало... твою мать, а!!! нет, ну кто бы мог подумать!!! выходит, чтобы перехватить очень ценные данные достаточно прописать в IE прокси и дотнет клиент пойдет через него. вот такая "прозрачная" система, да. допустим, я не пользуюсь IE. допустим, у меня там пропсан чей-то прокси. допустим, я запускаю дот-нет клиента, который вообще ничего не знает ни о каком IE, но ходит через прописанный в нем прокси-сервер. это ж прямая угроза безопасности.
Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Ночной Смотрящий, Вы писали:
E>>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
НС>Так уже — линуксбоксы (это всякие роутеры, сеттопбоксы, погодные станции, медиаплееры и прочая мелочь) ломаются только в путь, и ботнеты на них уже есть.
Увы, во всякой китайчатине производители слабо задумываются о безопасности. Работает, и ладно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, landerhigh, Вы писали:
L>>Сходил, почитал, зевнул. Не интересно. L>>Вот когда появится такой вирус, который сам пролезет на мой mythtv сервер, из средств ввода к которому подключен только пульт ДУ и DVB карта и который в интернет только за списком обновлений ходит, тогда станет интересно
KV>Канал по которому оно ходит за обновлениями — защищен?
А какая разница, если сам он только список обновлений качает? Нет, конечно, "злоумышленник" может сделать фейковый сервер чисто для меня, но зачем? А о взломе ubuntu репозиториев в газетах, наверное напишут.
Здравствуйте, мыщъх, Вы писали:
> кстати, в маках очень непрозрачно с правами доступа. хрен поймешь кто ты. я вот юзаю мак для просмотра видео и совершенно не в курсе рут я или не рут.
Все точно так же, как и в линуксе. Те же юзеры, группы, etc/passwd, sudoers и так далее. Набери в консоли whoami и узнаешь кто ты.
Здравствуйте, fin_81, Вы писали:
_>Встречный вопрос какую систему проще защитить сохранив необходимую функциональность самой системы? _>Лучше всего защищен написанный за 5 минут хттп-сервер, системник которого отключен от всего, включая от сети питания, и закрытый в герметичный пожароустойчивый сейф.
_>
Как-то очень давно попалась брошурка "Защита данных".
Первая же глава начиналась с вопроса: сколько времени нужно на работу
"пробитие в бетонной стене толщиной в 1 фут отверстия 1.5 х 2 фута"(что бы пролез не очень толстый человек
один из ответов:
двое рабочих с отбойными молотками — 23 минуты.
Здравствуйте, fin_81, Вы писали:
_>Согласен, сейф из хрупкого бетона — плохая защита. Но я не скажу какой у меня сейф, и в каком месте Сахары он закопан. Блин все равно выдал лишнюю информацию из-за недокументированной избыточной функциональности "болтливый язык". Учли, уже работаем над устранением, патч будет в следующей версии
Признавайтесь, что на самом деле погрузили сейф в батискаф, который потом затопили в Марианской впадине.
Здравствуйте, Eugeny__, Вы писали:
E__>Хм. Даже не думал про такое. Я апплетов уже лет 5 ни одного не видел.
+1
E__>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае.
А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит.
Делается это всё на дотнете крайне несложно.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, Erop, Вы писали: E>>Да ладно, намного прикольнее будет, когда волной ботнетов станут холодильники и стиралки с теликами, в которые наустанавливали встроенных лялхов
E__>С одной стороны, там в каждом девайсе будет своя сборка из черти-каких исходников, потому универсально врядли выйдет.
А зачем универсально? Скорее всего сборка будет не в каждом девайсе, а у каждого производителя, например, или в каждом девайсе какой-то платформы...
А холодильников, например, довольно много на свете
E__>"Холодильники серии 'гнусмас xx-yy' положили сервера ЖэЖэ" станут реальностью .
Ну типа того.
Можно будет по болотным шляться с лозунгом "даже мой холодильник работает против этого вороватого правительства"
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, fin_81, Вы писали:
_>Марсианская впадина по площади поиска меньше (легче по вычислимости ключа), основную трудность составляет сложность доступа (сложность применения ключа), тем самым заставляет использовать стороннюю силу. А это потенциальная дыра в безопасности. Лучше усложнить поиск ключа, чем усложнить применение ключа. _>
Это еще как посмотреть. Кирку да лопату можно найти где угодно, а батискафы-то не у всех есть.
E__>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>Делается это всё на дотнете крайне несложно.
А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Взять из дурки особо буйного помешанного на морском плавании психа(ну, чтоб рандом был трудноповторяемым), посадить его на корабль в окияне, который через некоторое время затонет вместе с сейфом.
Как уже говорил Кочетков, теряется доступность. Мне нужен мой нерабочий за 5 минут написанный хттп-сервер. Я и ключа не знаю, и не имею достаточных средств для подбора ключа в виде батискафа и платформы.
Здравствуйте, Eugeny__, Вы писали:
E__>А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ.
Я говорю о том, что мыщьх ничего не написал про использованный протокол. Из описания подходят оба, так что не факт, что прога кривая.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Sinclair, Вы писали:
E__>>А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ. S>Я говорю о том, что мыщьх ничего не написал про использованный протокол. Из описания подходят оба, так что не факт, что прога кривая.
Ну, я не думаю, что он бы так нервничал, будь там хттпс. Ибо ловить траф хттпс — занятие весьма бесполезное, особенно для "не особо, но критичных" данных.
Ну и таки да, тип протокола прописывается в проге обычно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, мыщъх, Вы писали:
М>у ЧервЯ там была эксплутация двух дыр. одна из них точно переполнения стека.
в gets при чтении из сокета
М>за другую уже не помню.
бэкдор в sendmail
М>и там еще был брут паролей на логин по словарю. и никто пока не привел данных какой вектор оказался наиболее успешным.
наиболее успешным был словарь (300 слов).
Здравствуйте, Sinclair, Вы писали:
E__>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>Делается это всё на дотнете крайне несложно.
Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси...
Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Sinclair, Вы писали:
E__>>>Ну это прямая кривость проги. Сколько-нибудь важные данные, передаваемые по сети, нужно шифровать в любом случае. S>>А может быть и не кривость. Проге достаточно ходить по https и трастить только прошитому в неё сертификату (или выданному прошитой в неё certification authority). И прокси может хоть запроксироваться — MITM атака ему не светит. S>>Делается это всё на дотнете крайне несложно. DOO>Да, но не надо забывать про легальный MITM — дешифрацию HTTPS на прокси...
Для него нужно иметь соответствующий сертификат на прокси. DOO>Вообще, если уж работать с SSL под дотнетом, то надо использовать стандартные виндовые средства, чтобы пространство доверия было управляемым.
Ты имеешь в виду — трастить в соответствии с локальными политиками, а не с личными предпочтениями?
В принципе, это, наверное, всё едино. Если кто-то злостно подменил настройки прокси, то уж добавить сертификат в Trusted Roots тоже сможет. С другой стороны, ничто не помешает ему и влезть в программу, и подменить thumbprint прямо там.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
М>а вот это уже любопытно. если узнать на какой частоте они это делают, и собрать передатчик, то можно заставить часы показывать то, что мне нужно, при условии, что мой передатчик находится близко (или у него направленный сигнал). а это ведет к возможности атаки на... http://ru.wikipedia.org/wiki/DCF77
В России есть свое, в штатах наверно тоже
Как много веселых ребят, и все делают велосипед...
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, Tanker, Вы писали:
T>>Андроид это линукс или нет ? Откуда на нём малваре ? C>От пользователей, ставящих левые программы, очевидно.
вы що?! проспали публичные браузерные сплоиты? достаточно зайти на сайт и все... а с учетом кросс-скрипт атак зайти можно даже на респектабельный сайт. были зафиксированы массовые взломы сайтов через дыру в... черт, забыл... но точно помню, что буквально за неделю подломали сотни сайтов (сотни -- из числа респектабельных).
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, Sinclair, Вы писали:
E__>>>А хттпс — это разве не шифрование? Я говорил "шифровать", но не оговаривал способ. S>>Я говорю о том, что мыщьх ничего не написал про использованный протокол. Из описания подходят оба, так что не факт, что прога кривая. E__>Ну, я не думаю, что он бы так нервничал, будь там хттпс. Ибо ловить траф хттпс — занятие весьма бесполезное, особенно для "не особо, но критичных" данных.
дело не в этом. дело в том, что дотнет (по словам автора) делает "соап реквест" (не спрашивайте, что это такое -- все равно не знаю), а система считает, что IE8 "the only browser" и потому берет с него настройки прокси. это непрозрачно и нелогично, тем более что настройки браузера не есть общесистемные настройки. к тому же там еще на права нужно смотреть. насколько я могу судить -- их можно менять даже не под админом.
в моей ситуации вообще конфликт возник... после обновления с Ie6 до IE8 внезапно перестал работать клиент на дотнете. последний раз я его запускал в прошлом месяце и потому в системе многое поменялось -- хз что именно развалило его работу. гугл показал, что есть такой конфликт. редкий но меткий. и лечится сбросом установок IE8 на установки по умолчанию.
это же жоподробительно!!! "когда болит горло лечи хвост" (с). или в нашем случае -- когда не работает соап реквест на дотнете (клиент -- exe файл командной строки), то сбрасывай настройки IE8. причем, соап реквест выдает ошибку коннекта, а могучий шарк показывает, что оно даже не пытается резолвить днс-имя и не шлет вообще никаких пакетов. загадка -- как можно узнать, что вас обломали на коннкет, если вы в сеть ничего не послали?! гребанная винда -- в ней локальная петля нормально не снифается. в никсах -- синифается и потому там с этим легче...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>дело не в этом. дело в том, что дотнет (по словам автора) делает "соап реквест" (не спрашивайте, что это такое -- все равно не знаю), а система считает, что IE8 "the only browser" и потому берет с него настройки прокси. это непрозрачно и нелогично, тем более что настройки браузера не есть общесистемные настройки. к тому же там еще на права нужно смотреть. насколько я могу судить -- их можно менять даже не под админом.
Ну что в винде 1) IE не имеет собственных настроек сети, 2) системные настройки (персональные для юзера, как минимум) объявлены "настройками интернета" и доступны через IE, известно ещё где-то со времён 95-й. "Дети, это невозможно понять, это надо запомнить."
М> загадка -- как можно узнать, что вас обломали на коннкет, если вы в сеть ничего не послали?! гребанная винда -- в ней локальная петля нормально не снифается. в никсах -- синифается и потому там с этим легче...
Здравствуйте, netch80, Вы писали:
N>Здравствуйте, мыщъх, Вы писали:
N> Ну что в винде 1) IE не имеет собственных настроек сети, 2) системные настройки (персональные для юзера, как минимум) объявлены "настройками интернета" и доступны через IE, известно ещё где-то со времён 95-й. "Дети, это невозможно понять, это надо запомнить."
тогда объясните почему большинство программ на эти настройки кладут болт и прокси у них надо прописывать явно? или вы хотите сказать, что если я пропишу в свойствах иннета адрес прокси, то через него в иннет пойдет wget или links или чисто виндовый Teleport Pro? если он юзает downloadurltofile то, конечно, пойдет, а так нет. молчу за фокса и оперу. а жаба если не ошибаюсь, юзает "настройки иннета". так что полный бардак...
N> Тут искренне сочувствую.
вот я и говорю -- система непрозрачная.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>дело не в этом. дело в том, что дотнет (по словам автора) делает "соап реквест" (не спрашивайте, что это такое -- все равно не знаю), а система считает, что IE8 "the only browser" и потому берет с него настройки прокси. это непрозрачно и нелогично, тем более что настройки браузера не есть общесистемные настройки. к тому же там еще на права нужно смотреть. насколько я могу судить -- их можно менять даже не под админом.
Ага понятно, Вы считаете, что если прога криво написана, то это виноват дотнет и винда. Хотя эта тема 100500 раз обсосана программистами и в документации, лечится изменением "парустрок" в конфигурационном файле здесь
If the defaultProxy element is empty, the proxy settings from Internet Explorer will be used.
Все черным по белому написано. >>вот я и говорю -- система непрозрачная.
Непрозрачная она потому, что кое-кому лень читать мануалы
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, Roman Odaisky, Вы писали:
C>>>Потому умный вирус будет делать "sudo rm -Rf /" RO>>sudo должна требовать пароль при вызове не с известного ей (псевдо-)терминала. C>Необязательно. Куча товарищей работает с ALL=NOPASSWD (в том числе и я).
что уж там, выдавайте всем авторизацию при ssh запросах на машину...
разрешите рута через ssh
сделайте ему пароль 12345.
вы же не оставляете квартиру открытой, когда уходите из нее
NOPASSWD надо делать с перечислением комманд, которые точно нужны.
Здравствуйте, Calc, Вы писали:
RO>>>sudo должна требовать пароль при вызове не с известного ей (псевдо-)терминала. C>>Необязательно. Куча товарищей работает с ALL=NOPASSWD (в том числе и я). C>вы же не оставляете квартиру открытой, когда уходите из нее C>NOPASSWD надо делать с перечислением комманд, которые точно нужны.
Ну мне точно нужна команда "bash".
Пароль у меня — это шестнадцать случайных (pwgen рулит) алфавитноцифровых символов, которые параллельно используются для шифрования домашнего каталога. Вводить их каждый раз при необходимости сделать команду под рутом? Нет, спасибо.
По SSH, кстати, разрешена авторизация только по ключам.
C>разрешите всем пользователям делать su
У меня на компьютере пользователь ровно один — это я сам. Остальные пользователи — системные, и не имеют login shell'а.
Многим продвигателям Линукса стоит очнуться от комы — сейчас не 1992-й год, а 2012-й.
Здравствуйте, мыщъх, Вы писали:
T>>>Андроид это линукс или нет ? Откуда на нём малваре ? C>>От пользователей, ставящих левые программы, очевидно. М>вы що?! проспали публичные браузерные сплоиты? достаточно зайти на сайт и все... а с учетом кросс-скрипт атак зайти можно даже на респектабельный сайт. были зафиксированы массовые взломы сайтов через дыру в... черт, забыл... но точно помню, что буквально за неделю подломали сотни сайтов (сотни -- из числа респектабельных).
Мой AppArmor от этого меня бережёт А вообще, sandboxing рулит для этого.
Здравствуйте, мыщъх, Вы писали:
N>> Ну что в винде 1) IE не имеет собственных настроек сети, 2) системные настройки (персональные для юзера, как минимум) объявлены "настройками интернета" и доступны через IE, известно ещё где-то со времён 95-й. "Дети, это невозможно понять, это надо запомнить." М>тогда объясните почему большинство программ на эти настройки кладут болт и прокси у них надо прописывать явно?
Это называется "WinINet", кривые проги да, кладут болт. Большинство же обычных виндовых прог (IE в том числе) его и используют и даже показывают proxy authentication dialog если надо (или просто ntlm).
M>или вы хотите сказать, что если я пропишу в свойствах иннета адрес прокси, то через него в иннет пойдет wget или links или чисто виндовый Teleport Pro? если он юзает downloadurltofile то, конечно, пойдет, а так нет. молчу за фокса и оперу. а жаба если не ошибаюсь, юзает "настройки иннета". так что полный бардак...
wget/links не используют wininet, у них своя имплементация, работающая с winsock напрямую, и прокси настраивается переменной окружения HTTP_PROXY (как и в линухе, и, соответственно в большинстве спорченных с линуха тулзов).
В Фоксе есть "use system proxy settings", который, к счастью (к сожалению?) не выбран по умолчанию.
N>> Тут искренне сочувствую. М>вот я и говорю -- система непрозрачная.
Так если данные хоть сколько-то секретные, то не использовать http вместо https для их передачи это некомпетентность.
Под линухом достаточно поставить переменную окружения — даже проще, чем лазить по настройкам IE, и практически всё будет ходить через прокси.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Cyberax, Вы писали:
C>>NOPASSWD надо делать с перечислением комманд, которые точно нужны. C>Ну мне точно нужна команда "bash". C>Пароль у меня — это шестнадцать случайных (pwgen рулит) алфавитноцифровых символов, которые параллельно используются для шифрования домашнего каталога. Вводить их каждый раз при необходимости сделать команду под рутом? Нет, спасибо. C>По SSH, кстати, разрешена авторизация только по ключам.
А что будет, если ты не сможешь зайти туда по ключу? Например, погибнет хранилище ключа?
Возможность входа паролем с ограниченного числа доверенных адресов неизбежна для исправления нештатных ситуаций.
А для sudo можно и другой пароль задать (хоть и непрямым методом)
C>>разрешите всем пользователям делать su C>У меня на компьютере пользователь ровно один — это я сам. Остальные пользователи — системные, и не имеют login shell'а.
Если это твоя домашняя система, то как ты туда ходишь только по ключу?
Если боевой сервер, то почему ты там один?
C>Многим продвигателям Линукса стоит очнуться от комы — сейчас не 1992-й год, а 2012-й.
При чём тут кома, если у тебя нестандартная и извращённая обстановка?
Здравствуйте, netch80, Вы писали:
C>>По SSH, кстати, разрешена авторизация только по ключам. N>А что будет, если ты не сможешь зайти туда по ключу? Например, погибнет хранилище ключа?
Локально — пофиг. На удалённом хосте будет долгий трах через IPMI с загрузкой в single mode и заменой пароля.
Кроме того, я слабо представляю как можно повредить /root/.ssh/id_rsa, но при этом оставить /etc/shadow. Руками разве что "rm -Rf" набрать.
N>Возможность входа паролем с ограниченного числа доверенных адресов неизбежна для исправления нештатных ситуаций.
Зачем?
C>>>разрешите всем пользователям делать su C>>У меня на компьютере пользователь ровно один — это я сам. Остальные пользователи — системные, и не имеют login shell'а. N>Если это твоя домашняя система, то как ты туда ходишь только по ключу?
Локально — с клавиатуры. SSH только по ключу, после чего всё равно надо ввести пароль (чтоб расшифровать домашку).
N>Если боевой сервер, то почему ты там один?
А зачем на боевом сервере много пользователей? Там только админы.
C>>Многим продвигателям Линукса стоит очнуться от комы — сейчас не 1992-й год, а 2012-й. N>При чём тут кома, если у тебя нестандартная и извращённая обстановка?
Стандартный домашний ноутбук — это извращённая обстановка? Ну я так и предполагал, в принципе.
Ещё раз:
1) Если работаем локально, то пользователь (скорее всего) только один. И если вирус сделает "rm -Rf *" в домашке без админовских прав, то для типичного пользователя это всё равно будет максимально возможное повреждение. То что система останется работать — это будет как в анекдоте про рабочего в каске, на которого упала плита.
2) Если работаем удалённо, то в большинстве типичных админовских задач первой же командой является "sudo bash".
Времена, когда были рабочие станции с кучей не-административных пользователей — уже давно прошли. Потому нужны новые механизмы работы с правами. По сути, защищающие пользователя от самого себя.
М>тогда объясните почему большинство программ на эти настройки кладут болт и прокси у них надо прописывать явно?
Вообще-то, все обстоит с точностью до наоборот. Все нормальные программы как раз первоначально берут системные настройки прокси.
К нормальным программам не могут относиться наколеночные порты чего попало откуда попало. И уж тем более wget и иже с ними, кои вообще к "нормальным программам" в винде отнести нельзя.
Примерно с тем же успехом можно ругаться на зоопарк window manager'ов в Linux.
Здравствуйте, Cyberax, Вы писали:
C>Времена, когда были рабочие станции с кучей не-административных пользователей — уже давно прошли. Потому нужны новые механизмы работы с правами. По сути, защищающие пользователя от самого себя.
Нет, к сожалению. В той очень немаленькой компании, что я работаю, сугубо личных компов воообще ни у кого нет, вот я как раз сейчас в командировке в Москве — работаю за чьим-то компом.
Здравствуйте, v2kochetov, Вы писали:
V>Нет, к сожалению. В той очень немаленькой компании, что я работаю, сугубо личных компов воообще ни у кого нет, вот я как раз сейчас в командировке в Москве — работаю за чьим-то компом.
Вообще-то для этого придумали ноутбуки
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, v2kochetov, Вы писали:
V>>Нет, к сожалению. В той очень немаленькой компании, что я работаю, сугубо личных компов воообще ни у кого нет, вот я как раз сейчас в командировке в Москве — работаю за чьим-то компом. DOO>Вообще-то для этого придумали ноутбуки
Кто бы спорил. Особенно если учесть, что посадочного места постоянного в принципе тоже нет — с удовольствием работал бы на ноуте. Но ноут этот тоже был бы многопользовательским, а свой нельзя, ибо безопасность, приходится калькуляторами пользоваться.
Ваш КО.
