И снова кто-то неправ в интернетах, как тут промолчать? Нынче, сразу в нескольких ветках, в хвост и в гриву критикуют Windows 10... а я вот, в силу того, что немножко в теме %subj%, хочу сказать пару слов в её защиту.
TL/DR: в настоящий момент, даже голая десятка в конфигурации по умолчанию и со всеми установленными обновлениями, представляет собой в разы более защищённую ОС, чем все прочие версии винды и (внезано) всевозможные дистры десктоп-линукса и прочих BSD (исключение здесь составляют разве что только Qubes и Subgraph, но подойдут они далеко не каждому, т.к. первая накладывает определённый workflow на повседневную работу с приложениями, а вторая является ещё сырой альфой).
Чуть подробнее.
Да, в ранних версих W10 действительно имели место несколько privacy-внезаностей, за которые её справедливо критиковали все, кому не лень, ключая и меня Однако сейчас в десятке, в этом плане, не осталось ничего такого, чего бы не появилось в 7 и 8.1 и рекомендовать их, ссылаясь на наличие в 10 "шпионских" модулей, по меньшей мере странно -- в 7 и 8.1 они тоже уже есть. Кроме того, в 10 практически всё или опционально, или отключено по умолчанию, а вот в 7 и 8.1 нововведения "шпионских" модулей отключить не всегда так же просто. Конечно, можно долго спорить на тему того, является ли сбор телеметрии или отправка в облако кастомного словаря спеллчекера и т.п. нарушением приватности, но, на мой взгляд, нет смысла использовать любую версию любой ОС от любой компании, если ты не готов в достаточной степени доверять тем обязательствам, которые эта компания берёт на себя в ToS и соглашении о приватности. А в этом отношении, что Microsoft, что Canonical, что RedHat, что _впиши_название_поставщика_любимого_дистрибутива_ -- мало чем отличаются друг от друга.
Да, в случае компрометации системы, вся эта "приватная" информация, передающаяся наружу действительно может быть перехвачена атакующим. И здесь встаёт вопрос об устойчивости ОС к компрометации. И вот тут-то 10 и рвёт всех прочих, как тот Тузик. Вопреки сложившемуся мнению, в этой версии появилось дохрена защитных механизмов, отсутствующих как в предыдущих версиях винды, так и во всех этих наших линуксах. Растекаться по древу не буду -- вот обзорная презентация с последнего BlackHat и вот статья, рассматривающая эти механизмы в работе на примере нескольких реальных уявзимостей.
Поэтому, если встаёт вопрос о том, какую версию винды сейчас использовать и вопросы безопасности для вас имеют определяющее значение, то кроме 10 вменяемых вариантов просто нет. Если хотите получить в Linux уровень защищённости, сравнимый с 10, то ставьте Qubes OS или гуглите на тему "hardened _ваш_любимый_дистрибутив_". Правда во втором случае вы получите несколько менее защищённую (чем 10) систему, зато имеющую проблемы с запуском многих десктопных приложений.
Вот, как-то так
UPD: Большинство нововведений в плане механизмов безопасности, а также послаблений в плане "шпионских "модулей, десятка получила летом прошлого года с anniversary update. До этого момента, она мало чем отличалась от предыдущих версий с т.з. security и там действительно был реальный ппц с т.з. privacy.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Да, в ранних версих W10 действительно имели место несколько privacy-внезаностей, за которые её справедливо критиковали все, кому не лень, ключая и меня Однако сейчас в десятке, в этом плане, не осталось ничего такого, чего бы не появилось в 7 и 8.1 и рекомендовать их, ссылаясь на наличие в 10 "шпионских" модулей, по меньшей мере странно -- в 7 и 8.1 они тоже уже есть.
Господи, ну и дурь!... "десятка стала более защищённой, потому что в семёрку тоже вставили телеметрию" — так штоле?!!! А если я НИЧЕГО в семёрке не обновлял?
Боже, спаси ИТ от этих пропагандонов! НЕ БУДЕМ мы ставить это десятое позорище, хоть выпрыгните из штанов!
KV>Конечно, можно долго спорить на тему того, является ли сбор телеметрии или отправка в облако кастомного словаря спеллчекера и т.п. нарушением приватности, но, на мой взгляд, нет смысла использовать любую версию любой ОС от любой компании, если ты не готов в достаточной степени доверять тем обязательствам, которые эта компания берёт на себя в ToS и соглашении о приватности. А в этом отношении, что Microsoft, что Canonical, что RedHat, что _впиши_название_поставщика_любимого_дистрибутива_ -- мало чем отличаются друг от друга.
Пусть хоть ToS срамные места прикроют, хоть с нимбом выйдут — не готов выпустить в инет ОС которая беспрерывно куда-то что-то шлёт. Недели две назад ставил Win 10 LTSB, причём половину "фич" зарубил ещё на стадии создания образа, а вторую по всем инструкциям в инете. Всё было отключено по максимальному фен-шую — и всё равно роутер докладывал что она безостановочно ломилась в инет, а монитор показывал беспрерывную писанину на диск (возможно логи о том что в инет не пустили). Которые на пару жрали под 2% ресурсов ЦПУ. Снёс и вернул win7, с которой я пока могу добиться 0 байт траффика что в сети что на диске.
В итоге вечерами почитываю про жизнь на линухе, там хотя-бы автообновления можно отключить. Если не выйдет win11 с отключением всей хрени одной большой красной кнопкой — устрою себе локальный вендекапец. А ведь с 90-х жил на их ОС и технологиях мля.
Такой прелестный ответ, что я даже попрошу модераторов закрыть глаза на "пропагандонов"
K>Господи, ну и дурь!...
Вот здесь, вместо трёх точек стоило поставить две, причём одну над другой.
K>"десятка стала более защищённой, потому что в семёрку тоже вставили телеметрию" — так штоле?!!!
Нет, не так. Стоит перечитать написанное мной ещё раз, пока не станет понятно, почему именно не так.
K>А если я НИЧЕГО в семёрке не обновлял?
В этом случае, есть около 2 десятков (минимум) известных способов поиметь её удалённо, всеми желающими, без шума и пыли.
K>Боже, спаси ИТ от этих пропагандонов! НЕ БУДЕМ мы ставить это десятое позорище, хоть выпрыгните из штанов!
Позорище -- то, на что я сейчас отвечаю, учитывая, что это писал (вроде бы) инженер. Пост был для тех, кто способен ходить по предложенным ссылкам и принимать осознанное решение на основе вновь полученной информации, либо подвергать её обоснованной критике. Что будут использовать все остальные -- мне до одного места, это определённо не те люди, которым имеет смысл что-либо доказывать.
Здравствуйте, hi_octane, Вы писали:
_>Пусть хоть ToS срамные места прикроют, хоть с нимбом выйдут — не готов выпустить в инет ОС которая беспрерывно куда-то что-то шлёт. Недели две назад ставил Win 10 LTSB, причём половину "фич" зарубил ещё на стадии создания образа, а вторую по всем инструкциям в инете.
на мой взгляд, нет смысла использовать любую версию любой ОС от любой компании, если ты не готов в достаточной степени доверять тем обязательствам, которые эта компания берёт на себя в ToS и соглашении о приватности.
Здравствуйте, hi_octane, Вы писали: KV>>Конечно, можно долго спорить на тему того, является ли сбор телеметрии или отправка в облако кастомного словаря спеллчекера и т.п. нарушением приватности, но, на мой взгляд, нет смысла использовать любую версию любой ОС от любой компании, если ты не готов в достаточной степени доверять тем обязательствам, которые эта компания берёт на себя в ToS и соглашении о приватности. А в этом отношении, что Microsoft, что Canonical, что RedHat, что _впиши_название_поставщика_любимого_дистрибутива_ -- мало чем отличаются друг от друга. _>Пусть хоть ToS срамные места прикроют, хоть с нимбом выйдут — не готов выпустить в инет ОС которая беспрерывно куда-то что-то шлёт. Недели две назад ставил Win 10 LTSB, причём половину "фич" зарубил ещё на стадии создания образа, а вторую по всем инструкциям в инете. Всё было отключено по максимальному фен-шую — и всё равно роутер докладывал что она безостановочно ломилась в инет, а монитор показывал беспрерывную писанину на диск (возможно логи о том что в инет не пустили). Которые на пару жрали под 2% ресурсов ЦПУ. Снёс и вернул win7, с которой я пока могу добиться 0 байт траффика что в сети что на диске. _>В итоге вечерами почитываю про жизнь на линухе, там хотя-бы автообновления можно отключить. Если не выйдет win11 с отключением всей хрени одной большой красной кнопкой — устрою себе локальный вендекапец. А ведь с 90-х жил на их ОС и технологиях мля.
Этот список адресов где-то имеется в публичной официальной документации?
А то из-за их количества естественно возникает мысль не пропущено ли что и не появится ли что-то с очередным обновлением, а также все ли можно перекрыть в hosts.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>И снова кто-то неправ в интернетах, как тут промолчать? Нынче, сразу в нескольких ветках, в хвост и в гриву критикуют Windows 10... а я вот, в силу того, что немножко в теме %subj%, хочу сказать пару слов в её защиту.
KV>TL/DR: в настоящий момент, даже голая десятка в конфигурации по умолчанию и со всеми установленными обновлениями, представляет собой в разы более защищённую ОС, чем все прочие версии винды и (внезано) всевозможные дистры десктоп-линукса и прочих BSD (исключение здесь составляют разве что только Qubes и Subgraph, но подойдут они далеко не каждому, т.к. первая накладывает определённый workflow на повседневную работу с приложениями, а вторая является ещё сырой альфой).
Linux тоже на месте не стоит, чуть ли не с каждой новой версией ядра добавляются какие-то новые механизмы безопасности. В hardened не все программы заработают? Ну так и в 10-ке с hardened не все должны работать (даже если MS утверждает иначе), просто потому что технология такая.
Здравствуйте, Michael7, Вы писали:
M>Linux тоже на месте не стоит, чуть ли не с каждой новой версией ядра добавляются какие-то новые механизмы безопасности. В hardened не все программы заработают? Ну так и в 10-ке с hardened не все должны работать (даже если MS утверждает иначе), просто потому что технология такая.
Да, я в курсе того, какие механизмы безопасности добавились в Linux (или в MacOS, если уж на то пошло) за последние несколько лет. Не так уж и много количественно и местами "никак" качественно. Понятия технологий "hardened" в десятке нет, что работало в ней до anniversary update, то вполне имеет возможность работать и после, в отличии от Linux, где после накатывания Grsecurity/PAX начинается страна чудес в мире иксовых приложений. Собственно, Grsecurity существует уже около 15 лет и за это время не появилось ни одного вменяемого десктоп-дистрибутива с этим набором патчей. В W10 же основной упор сделан на защиту ядра, исходя из возможной его компрометации и с минимальным воздействием на пользовательский уровень.
Хоть какие-то механизмы защиты на базе гипервизора (единственное в настоящий момент направление, дающие хоть какие-то объективные гарантии защиты ядра, см. https://rsdn.org/forum/security/6716795.1
) для Linux есть только в Qbues OS и то -- в виде разнесения пользовательских приложений и системных сервисов по виртуальным контейнерам, что накладывает некоторые ограничения на работу рядовых пользователей с такой системой. О чём я и написал
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Позорище -- то, на что я сейчас отвечаю, учитывая, что это писал (вроде бы) инженер.
Темы про 10ку вызывают удивление, граничащее с изумлением. Отключение обновлений, которым так щеголяют современные луддиты, не поддаётся никакому разумному объяснению. Их древние кореша хотя бы экономическими причинами руководствовались.
Другая крайность — паранойя. Вы уже разбили свои эплы и андроиды ? Нет ? Так чего истерите тогда ? С мобилы чувствительной информации собирается гораздо больше. Но нет, вы прочли где-то в СМИ о обезличенной телеметрии, и радостно взвыли с остальным стадом. А в отличие от мобил десктопу _пока_ещё_ можно запретить лазать в инет. Учитывая нежелание ставить обновления — задача из простой становится тривиальной.
Здравствуйте, IID, Вы писали:
IID>Отключение обновлений, которым так щеголяют современные луддиты, не поддаётся никакому разумному объяснению.
На самом деле, поддается очень легко — после апдейтов регулярно что-нибудь ломается или какая-нибудь полезная функциональность исчезает. Эта тенденция, на самом, касается не только винды, а и другого софта тоже. Но остальные хоть руки не выкручивают.
Здравствуйте, Kesular, Вы писали:
K>Здравствуйте, IID, Вы писали:
IID>>Отключение обновлений, которым так щеголяют современные луддиты, не поддаётся никакому разумному объяснению.
K>На самом деле, поддается очень легко — после апдейтов регулярно что-нибудь ломается или какая-нибудь полезная функциональность исчезает.
И пруфы, конечно же, будут ? Из того, с чем сталкивался лично, а не нагугленное в интернетах.
За ~7 лет постоянных обновлений (начиная с 7beta в 2009) могу припомнить разве что жирный апдейт к 2016 server в прошлом году, который никак не мог установиться. Помогло отключение RRAS + PS, а после установки включение их обратно. Но даже он не годится как пример заявленных проблем.
K>Эта тенденция, на самом, касается не только винды, а и другого софта тоже.
Заботятся о безопасности. И правильно делают. Меня вот категорически не устраивает обратная ситуация. Когда продукт есть, дыры есть, а обновлений нет.
K>Но остальные хоть руки не выкручивают.
Хром выкручивает. Например заявляя, что куски функционала GMAIL, якобы, скоро перестанет работать.
А винда всего лишь настаивает. При этом отключить апдейты (при желании) не может разве что полный ламер.
Здравствуйте, IID, Вы писали:
IID>И пруфы, конечно же, будут ? Из того, с чем сталкивался лично, а не нагугленное в интернетах.
Из того, с чем сталкивался лично — после обычного обновления вся оболочка винды просто перестала реагировать на команды — пусковое меню, десктоп и так далее. Из известных решений, мне ни одно не помогло.
Прощай, система, хорошо, что был бэкап.
IID>Заботятся о безопасности. И правильно делают. Меня вот категорически не устраивает обратная ситуация. Когда продукт есть, дыры есть, а обновлений нет.
Я что-то не уловил, каким образом удаленный или сломанный функционал способствует безопасности.
IID>А винда всего лишь настаивает.
Не "настаивает", а просто не дает возможность отключить.
А что ты там можешь нахачить в потрохах системы — это уже совсем другой вопрос.
Здравствуйте, Kesular, Вы писали:
K>Здравствуйте, IID, Вы писали:
IID>>И пруфы, конечно же, будут ? Из того, с чем сталкивался лично, а не нагугленное в интернетах.
K>Из того, с чем сталкивался лично — после обычного обновления вся оболочка винды просто перестала реагировать на команды — пусковое меню, десктоп и так далее. Из известных решений, мне ни одно не помогло. K>Прощай, система, хорошо, что был бэкап.
А ты уверен что проблема была в винде ? А не, например, в стороннем антивирусе, у которого снесло крышу ? Антивирусу с проактивной защитой впасть в дедлок проще простого. Вообщем давай пруфы, Билли.
IID>>Заботятся о безопасности. И правильно делают. Меня вот категорически не устраивает обратная ситуация. Когда продукт есть, дыры есть, а обновлений нет.
K>Я что-то не уловил, каким образом удаленный или сломанный функционал способствует безопасности.
Попробуй перестать паясничать. Может тогда уловишь.
IID>>А винда всего лишь настаивает.
K> K>Не "настаивает", а просто не дает возможность отключить.
Отключается в два клика.
K>А что ты там можешь нахачить в потрохах системы — это уже совсем другой вопрос.
Здравствуйте, red75, Вы писали:
K>>Не "настаивает", а просто не дает возможность отключить. R>Штатный редактор групповой политики.
Доверия этой системе — ноль. Доверие — такая штука, зарабатывать которую нужно долго, а потерять можно мгновенно. После того, что сделали в Windows 10, никакого доверия "отключениям обновлений" и даже занесениям данных в hosts нет и быть не может (а у кого еще есть — снимите розовые очки). Всё может измениться в любое время с новыми обновлениями, а то и без них.
Здравствуйте, IID, Вы писали:
IID>Темы про 10ку вызывают удивление, граничащее с изумлением.
Сразу вспоминается история с истерией вокруг Google Chrome, который нумеровал при установке профиль пользователя и цеплял этот ID'шник в каждый HTTP-запрос к сервисам Google. Тогда тоже было много криков про попранную прайваси и корпорацию зла. А то, что такие ID'шники отродясь летали между серверами Google в куках SID, HSID, NID и т.п. вместе с зашифрованной в них информацией о поисковых запросах пользователя, статистикой его работы с результатами поиска и прочей аналогичной хренью, вне зависимости от используемого браузера -- никого особо и не волновало. В куках же много чего летает, поди разбери, что там и откуда. А нумеровать пользователей осмелился только этот браузер -- чем не повод поистерить на тему "граждане, он меня посчитал!!11"?
Вот и сейчас... что такое эта самая телеметрия никто толком не знает, но зато, благодаря белкам-истеричкам с реддита и хабра, все знают, что это что-то плохое и связанное исключительно с W10 Хоть бы поинтересовались, что входит в эту самую информацию о телеметрии, прежде чем её своей прайваси объявлять
IID>IID>Другая крайность — паранойя.
Паранойя -- это когда вместо одного действия для защиты важной для тебя информации, ты предпринимаешь десяток (на всякий случай). А потом ещё пяток, потому что случай бывает разный. Когда же ради защиты информации об установленных обновлениях, аптайме, количества BSOD'ов и т.п. осознанно жертвуют безопаностью всей ОСи, ещё и пытаются этим размахивать на форумах -- это не паранойя, а банальная глупость. В лучшем случае, от незнания. А потом заводят жалобные темы о том, что у них увели деньги с карты или зашифровали диск и требуют выкуп Таким скажи, что матерное слово из трёх букв встречается в бинарниках каталога Windows 1786 раз, так они каждый из этих разов на свой личный счёт примут. И не дай бог об этом белки-истерички прознают -- MS вовек не отмоется.
Здравствуйте, AlexRK, Вы писали:
ARK>Доверия этой системе — ноль. Доверие — такая штука, зарабатывать которую нужно долго, а потерять можно мгновенно. После того, что сделали в Windows 10, никакого доверия "отключениям обновлений" и даже занесениям данных в hosts нет и быть не может (а у кого еще есть — снимите розовые очки). Всё может измениться в любое время с новыми обновлениями, а то и без них.
А какая система, на твой взгляд, заслуживает доверия? И почему именно она?
Здравствуйте, kochetkov.vladimir, Вы писали:
ARK>>Доверия этой системе — ноль. Доверие — такая штука, зарабатывать которую нужно долго, а потерять можно мгновенно. После того, что сделали в Windows 10, никакого доверия "отключениям обновлений" и даже занесениям данных в hosts нет и быть не может (а у кого еще есть — снимите розовые очки). Всё может измениться в любое время с новыми обновлениями, а то и без них.
KV>А какая система, на твой взгляд, заслуживает доверия? И почему именно она?
Любая винда до начала истерии с 10 (после начала истерии — обновления к 7/8 потенциально содержат бекдоры), линупс. Почему: раньше винда не проявляла бурной активности по рассылке всякой информации на серверы МС (абсолютно неважно, что она там шлёт — я хочу, чтобы не уходило НИЧЕГО); линупс имеет открытые исходники (не панацея, знаю, но тем не менее). Лично мне не нужна защищенность ценой размещения в жопе анального зонда.
Здравствуйте, kochetkov.vladimir, Вы писали:
K>>А если я НИЧЕГО в семёрке не обновлял? KV>В этом случае, есть около 2 десятков (минимум) известных способов поиметь её удалённо, всеми желающими, без шума и пыли.
я уверен что в случае с 10 будет 3 десятка, когда ей стукнет 9 лет. правда из-за перманентно включенного автообновления таких ПК будет крайне мало.