Здравствуйте, Pzz, Вы писали:
Pzz>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)
Здравствуйте, CreatorCray, Вы писали:
N>>Как говорят в некоторых структурах, "в любом расследовании главное — не выйти на себя самого". CC>Дети — цветы жизци...
Велик могучим русский языка.
N>>Так что ты там поосторожнее. CC>Личным опытом делишься?
Здравствуйте, Pauel, Вы писали:
P>>>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции. P>·>Бред. А как ещё создавать выполняемые файлы на целевой системе? Собирать компилятором из исходников? И чем архиватор отличается от любой другой программы? Как операционка должна решать кому можно расставлять x-атрибуты, а кому нельзя? P>Про пакетный менеджер или инсталятор вы ничего не слышали, правильно понимаю?
Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор.
P>>>На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс." P>·>Так ведь это проблема в Виндовз. Причём тут линухи? P> В виндовс была ровно та же дыра, только больше — там пермишнов не нужно, достаточно расширения .exe. Была — потому, что пришлось кое как залатать.
Я точно историю не знаю, но по ощущениям в линухах эту дыру залатали ещё когда винды в планах даже не было.
P>Дыру пришлось заткнуть — если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг.
Это не залатали, это костыль присобачили.
P>И затыкали дыру именно по причине троянов, а не просто так, ради прикола
Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?!
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, serjjj, Вы писали:
Pzz>>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)
S>А можно с этого места поподробнее?
Здравствуйте, Pauel, Вы писали:
P>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец.
Потому что ты разраб и себе в ногу стрельнул кривым софтом. Вот у меня загалило path только поделие микрософта (ну не могут они в безопасность):
Здравствуйте, ·, Вы писали:
P>>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец. ·>Потому что ты разраб и себе в ногу стрельнул кривым софтом.
Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения.
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, serjjj, Вы писали:
Pzz>>>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)
S>>А можно с этого места поподробнее?
Pzz>Что именно непонятно?
Про ESC-последовательности я знаю, но чтобы выполнить любую произвольную команду (например, rm -rf $HOME)... Нужен пример.
Здравствуйте, Pauel, Вы писали:
P>>>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец. P>·>Потому что ты разраб и себе в ногу стрельнул кривым софтом. P>Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения.
Ставишь софт нестандартный. Питон какой-нибудь с user-only зависимостями. Впрочем, ~/.local/bin должен быть в конце PATH и изменять поведение системных тулзов не может.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Pauel, Вы писали:
P>Здравствуйте, Conductor, Вы писали:
C>>1. А что, в винде если исполнимый файл в архив запаковать, то после распаковки он перестанет быть исполнимым? Нет.
P>Цитирую себя P>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции. На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс."
И? Кто мешает всобачить зловреда в инсталлятор, который по сути и есть архив? Реальная защита что с архивом, что с инсталлятором одинаковая и она суть организационные меры: брать из надежных источников (критерии надёжности могут быть разными), проверять заявленную контрольную сумму, смотреть содержимое, если есть желание, то проверять аннтивирем, тестировать в песочнице и т.д. А ежели я архив распаковал или инсталлятор запустил, то значит принял решение, что это действие допустимо, и взял ответственность на себя. И я хочу видеть после распаковки то, что было упаковано.
Pzz>>Ну действительно, не дело это, когда выбор запускаемой программы зависит от текущей директории. _>А то, что он от PATH зависит, не смущает?
Те кто хочет запускать из текущей директории всегда могут сделать export PATH=$PATH:. так что это более универсальное поведение чем захардкоженный поиск в curdir
Как много веселых ребят, и все делают велосипед...
Здравствуйте, ononim, Вы писали:
O>Те кто хочет запускать из текущей директории всегда могут сделать export PATH=$PATH:. так что это более универсальное поведение чем захардкоженный поиск в curdir
Здравствуйте, CreatorCray, Вы писали:
P>>если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг. CC>Да ну! CC>И где такое чудо можно увидеть?
Давно уже в винде — запускаешь скачаный файл, винда кидает предупреждение. Подозреваю, ты это отключил.
скажем некоторые софтины используют zip в качестве проектного файла. Киданул в ~/ , распаковал, работаешь. А если подложить тот самый скриптец, то появятся весьма интересные последствия.
N>"Киданул в хомяк" это пять. Косяков.
Что именно вас смущает?
P>>Именно — такие файлы архиватору тоже нельзя давать менять. N>Осталось найти умный ИИ, который отделит архиватор от прочих приложений.
Какой еще ИИ? Нужен апи инсталяции и пакетный менеджер, который его использует. Все остальные автоматически обламываются.
P>>Более того, само наличие таких файлов в линукс говорит о том, что это каменный век. N>Ага, любая кастомизация тогда это каменный век.
У вас похоже кастомизация и .bashrc эквивалентны. На самом деле это не так.
P>>В свое время на винде ровно так же и рассуждали. А потом пришлось затыкать именно эти дыры. Сейчас трояны это денежный бизнес.
N>Только почему-то эти дырозащиты в принципе не работают в той схеме, как они задуманы, а трояны спокойно себе гуляют вдоль и поперёк.
Здравствуйте, ·, Вы писали:
P>>Про пакетный менеджер или инсталятор вы ничего не слышали, правильно понимаю? ·>Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор.
Вы там из 90х пишете?
В линуксе нет внятного апи инсталяции, пакетные менеджеры это лебедь рак да щука.
Поскольку пакетный менеджер — часть операционки, он имеет права создавать выполняемые файлы. Архиватор — юзерская программа, по дефолту таких прав не имеет, и апи иснталяции вызывать не сможет.
P>>И затыкали дыру именно по причине троянов, а не просто так, ради прикола ·>Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?!
Какие еще варнинги? Вам показывается модальный бокс. Что бы запустить файл, нужно или отключить эту фичу, или обратить внимание, согласиться с последствиям и нажать Run anyway.
Здравствуйте, Conductor, Вы писали:
P>>Цитирую себя P>>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции. На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс."
C>И? Кто мешает всобачить зловреда в инсталлятор, который по сути и есть архив? Реальная защита что с архивом, что с инсталлятором одинаковая и она суть организационные меры
Архив это просто какой то набор файлов, вы вспотеете подписывать такое. Инсталятор — запросто. А вот архив выбирают для обмена произвольными файлами на все случаи жизни. Например — кидаете в ~/ файл проекта и распаковываете, наблюдаете последствия. Рано или поздно ктото да распакует архив не туда.
Поскольку юзеров на линукс меньше 1%, и неоптных юзеров там вообще около нуля, то это страхует гораздо лучше — система сломается быстрее.
Запрет на инсталяцию-кастомзацию посредством архиватора это и есть часть организационных мер. Это гораздо проще, чем требовать подписи любых архивов. Подпись вашего соседа Васи, который заархивировал свой проект вас не спасет.
Здравствуйте, ·, Вы писали:
P>>Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения. ·>Ставишь софт нестандартный. Питон какой-нибудь с user-only зависимостями. Впрочем, ~/.local/bin должен быть в конце PATH и изменять поведение системных тулзов не может.
У вас по прежнему какая то телепатия. Как должно — неинтересно, это и ежу понятно. Я вам привожу пример того, как может быть. Вот этот фолдер у меня прямо с инталяции, я его обнаружил когда искал место куда подкидывать свои скрипты.
Здравствуйте, Pauel, Вы писали:
P>·>Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор. P>Вы там из 90х пишете? P>В линуксе нет внятного апи инсталяции, пакетные менеджеры это лебедь рак да щука.
MSI??! Спасибо, не надо, сами такое кушайте.
P>Поскольку пакетный менеджер — часть операционки, он имеет права создавать выполняемые файлы.
Ты конкретно говори, с деталями. Как операционка определяет, что пакетный менеджер, а что не очень? Предлагаешь ещё один атрибут для файлов ввести или что?
P>Архиватор — юзерская программа, по дефолту таких прав не имеет, и апи иснталяции вызывать не сможет.
Юзерам иногда надо иметь возможность ставить свои проги, без прав админа.
P>>>И затыкали дыру именно по причине троянов, а не просто так, ради прикола P>·>Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?! P>Какие еще варнинги?
У себя спроси. Ты сам написал: "операционка вам выдаёт варнинг".
P>Вам показывается модальный бокс. Что бы запустить файл, нужно или отключить эту фичу, или обратить внимание, согласиться с последствиям и нажать Run anyway.
И именно это и будет написано в инструкции как установить софтинку с трояном. Это не средство безопасности. Это костыль чтобы можно было разводить идиотов, что наша операционка супербезопасная, у нас же есть варнинги! Это уже с ActiveX и прочими макросами проходили, а воз и ныне там.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Pauel, Вы писали:
P>Здравствуйте, CreatorCray, Вы писали:
P>>>если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг. CC>>Да ну! CC>>И где такое чудо можно увидеть?
P>Давно уже в винде — запускаешь скачаный файл, винда кидает предупреждение. Подозреваю, ты это отключил.
Microsoft security в чистом виде: атрибутом помечен именно скачанный файл, а не, как было бы в нормальном варианте, атрибут (лучше как цифровая подпись) на проверенном и разрешённом файле. И, естественно, не все браузеры его ставят, этот атрибут. И не все скачанные файлы могут быть им помечены потому что идут не из Интернета.
Я могу только пособолезновать твоему уровню понимания секьюрити, раз такое советуешь
Здравствуйте, Pauel, Вы писали:
P>Давно уже в винде — запускаешь скачаный файл
А, так это не винда, это браузер ставит метку в alt stream ...:Zone.Identifier
Если файл попал на машину НЕ через браузер — системе об этом ничего не известно.
Здравствуйте, ·, Вы писали:
·>И именно это и будет написано в инструкции как установить софтинку с трояном. Это не средство безопасности. Это костыль чтобы можно было разводить идиотов, что наша операционка супербезопасная, у нас же есть варнинги! Это уже с ActiveX и прочими макросами проходили, а воз и ныне там.
Не, ну если мы уж начинаем допускать совсем конченых идиотов, то они и sudo rm -rf / сделают, если попросить
В виндовс была ровно та же дыра, только больше — там пермишнов не нужно, достаточно расширения .exe. Была — потому, что пришлось кое как залатать.
