Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>Ты точно ТОКБ не изучал? KV>Заметно? У меня вообще по безопасности ничего отдельного не было.
Скорее наоборот — больно точно ты говоришь своими словами некоторые основные утверждения...
DOO>>Абсолютная корректность субъектов друг относительно друга и монитора безопасности — достаточное условие изолированной программной среды KV>Дык корректность еще доказывать надо, в таком случае. А тут она как следствие, сама собой вытекает.
Ну насчет "как следствия" это еще подумать надобно А вообще да — было бы интересно посмотреть на нее с точки зрения системы, реализующей достаточное условие ИПС.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вчера стало понятно, чем занималась все это время Джоанна Рутковска во главе своего же стартапа Invisible Things (та самая Джоанна, которая несколько лет назад наделала шуму по части использования технологий виртуализации в руткитах). Они разрабатывали собственную секьюрную операционку с картами и девушками на базе linux и xen.
А что такое (или кто такие) девушки на базе Линукс ?
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Вчера стало понятно, чем занималась все это время Джоанна Рутковска во главе своего же стартапа Invisible Things (та самая Джоанна, которая несколько лет назад наделала шуму по части использования технологий виртуализации в руткитах). Они разрабатывали собственную секьюрную операционку с картами и девушками на базе linux и xen.
PD>А что такое (или кто такие) девушки на базе Линукс ?
База у Линукса есть. А там девушки. Все из себя такие Оpen Source.
Здравствуйте, Aen Sidhe, Вы писали:
AS>С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа.
Есть, т.к. в VM для серфинга мы разрешили все и юзеру никто не помешает ходить в банковское приложение оттуда. Да, я понимаю, ты ошибся — хотел сказать "...а в VM для серфинга разрешаем все, кроме банковского сайта", но ведь и админ, который будет это настраивать, тоже может ошибиться.
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Вчера стало понятно, чем занималась все это время Джоанна Рутковска во главе своего же стартапа Invisible Things (та самая Джоанна, которая несколько лет назад наделала шуму по части использования технологий виртуализации в руткитах). Они разрабатывали собственную секьюрную операционку с картами и девушками на базе linux и xen.
PD>А что такое (или кто такие) девушки на базе Линукс ?
Девушки на базе линукс — страшная вещь. Их надо постоянно поправлять и объяснять очевидные вещи, у них вечно проблемы с внешними интерфейсами: то нижний гейтвей в самый неподходящий момент закроется, то верхний вообще не закрывается по несколько часов. Их друзья весьма злобные и надменные, считающие себя умнее других, спрашивать у таких совета — себе дороже. Зато секс с такими девушками обеспечен с утра до вечера. На любителя, короче.
Ты же недавно запускал у себя убунту? Ну вот представь, что это был не запуск, а первое свидание с такой девушкой
Но, думаю для тебя был бы понятен такой перефраз насчет карт и девушек: "они разработали свой собственный велосипед с нестирающимеся шинами из полиструктурного волокна с вырожденными аминными связями и неполными кислородными группами"
On 11/04/2010 08:59, Pavel Dvorkin wrote:
> KV>Вчера стало понятно, чем занималась все это время Джоанна Рутковска > во главе своего же стартапа Invisible Things (та самая Джоанна, которая > несколько лет назад наделала шуму по части использования технологий > виртуализации в руткитах). Они разрабатывали собственную секьюрную > операционку с картами и девушками на базе linux и xen. > А что такое (или кто такие) девушки на базе Линукс ?
Blackjack and hookers?
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
ПРочитал и сразу вспомнил классику. Решил ее поискать, и к удивлению своему, не нашел. Может, плохо искал... Или с поиском что-то не так...
Ну да ладно, баян так баян, невелика беда.
Если модераторы перенесут в КУ — ничего против не имею.
Апгрейд Девушки 1.0 до Жены 1.0
В прошлом году один мой друг заапгрейдил Девушку 1.0 до Жены 1.0 и
обнаружил, что она занимает кучу памяти и оставляет очень мало системных
ресурсов для других приложений. И недавно он заметил, что Жена 1.0 еще и
запускает дочерние процессы, которые тоже отнимают ценные ресурсы. Ни в
рекламных листках, ни в документации такой феномен не был описан, хотя по
информации, полученной от других пользователей, подобного и следовало
ожидать, в связи с природой данного приложения.
Вдобавок ко всему Жена 1.0 инсталлируется таким образом, что всегда
запускается при инициализации системы и следит за процессом работы.Он
обнаружил, что некоторые приложения, в том числе Футбол 10.3, Пивцо 1.5 и
Рыбалка 7.0 вообще перестали работать в его системе, вызывая аварийный сброс
при попытке выполнения (хотя никогда раньше таких проблем не было).
При инсталляции Жена 1.0 не предоставляет выбора, устанавливая нежелательные
добавки, вроде Тещи 55.8 и бета-релиза Шурина. Также кажется, что
производительность системы падает с каждым днем.
В следующем релизе Жены 2.0 нам хотелось бы увидеть такие возможности:
кнопка "Не напоминай мне больше"; кнопка минимизации; опция в Uninstall,
позволяющая установить Жену 2.0 таким образом, чтобы в любой момент можно
было удалить ее без потери cash и других системных ресурсов; опция,
позволяющая запустить сеть в режиме неразборчивости, что сделает функцию
опробования системного оборудования значительно более полезной.
Лично я решил избежать всех головных болей, связанных с Женой 1.0 и
продолжать использовать Девушку 2.0. Но все равно у меня с ней возникли
проблемы.
Оказывается, невозможно поставить Девушку 2.0 поверх системы с Девушкой 1.0:
сперва необходимо удалить Девушку 1.0. Другие пользователи говорят, что это
очень старая ошибка, и что я должен был бы о ней знать.
Говорят, разные версии Девушек конфликтуют по поводу совместного
использования порта ввода-вывода. Думаю, они давно могли бы и исправить
такую глупую ошибку. Хуже того, программа удаления Девушки 1.0 работает
нестабильно, иногда оставляя в системе следы работы приложения. Еще один
неприятный момент: все версии Девушки постоянно выводят короткие надоедливые
сообщения о необходимости апгрейда до Жены 1.0.
ПРЕДУПРЕЖДЕНИЕ ОБ ОШИБКЕ
У жены 1.0 есть недокументированная ошибка. Если попытаться установить
Любовницу 1.1 без удаления Жены 1.0. Жена 1.0 уничтожит все файлы MS Money и
затем сама себя удалит. Затем Любовница 1.1 откажется продолжать установку,
заявляя о недостаточности ресурсов.
КАК ОБОЙТИ ОШИБКУ
Чтобы обойти описанную выше ошибку, попробуйте установить Любовницу 1.1 на
другой системе и никогда не запускайте приложения для передачи данных вроде
LapLink 6.0. Также берегитесь аналогичных shareware-приложений, способных
перенести вирусы и заразить Жену 1.0. Еще одно решение — работать с
Любовницей 1.0 анонимно через провайдера. Но и здесь приходится быть
осторожным, чтобы случайно не скачать себе по UseNet вирус, и подсадить
ресурсы MS Money.
Здравствуйте, LuciferSaratov, Вы писали:
LS>Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
Да вроде безопасного режима, когда ходишь по банкам должно хватить.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, LuciferSaratov, Вы писали:
LS>Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
Относительно банкинга:
XSS использовался для получения "кук и логинов для банка" лет эдак пять назад. Сейчас он используется для CSRF (атака, при которой, через XSS на стороннем сайте отправлятся запрос к интернет-банку, при условии, что в этом же броузере в этом момент открыт сеанс работы с банкингом) или подсадки на машину трояна через непропатченную уязвимость, который потом соберет логины и пароли от всех банкингов безотносительно количества инсталляций браузеров.
Здравствуйте, dr.Chaos, Вы писали:
DC>Здравствуйте, LuciferSaratov, Вы писали:
LS>>Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
DC>Да вроде безопасного режима, когда ходишь по банкам должно хватить.
Здравствуйте, Aen Sidhe, Вы писали:
DC>>Да вроде безопасного режима, когда ходишь по банкам должно хватить.
AS>Считайте меня параноиком — мне не хватает.
VM + Linux + Lynx?
Вообще в приватном режиме не остаётся, по идее, никаких кук и запомненных паролей и т.п. Т.е. xss не сможет подхватить сессии банков и т.п. (описанная тобой ситуация), что, правда, не отменяет возможностей трояна по перехвату аутентификационных данных во время работы в этом режиме.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Они разрабатывали собственную секьюрную операционку...
Вы хотели сказать "изолированную операционку"? К секурности я вижу только косвенное отношение.
Беда совр. компа отнюдь не в изоляции, а ДАННЫХ. Скажем, запустил я браузер, скачал свежий (инфицированный) софт. Куда его девать? Держать в песочнице с браузером? Нет, я его скачал, чтобы юзать. Ладно, запускаю его в песочнице. Для чего? Конечно, чтобы обрабатывать МОИ ФАЙЛЫ. Ну дам я файл вирусованному редактору — он мне его и испортит! Дальше что?
Здравствуйте, matumba, Вы писали:
M>Вы хотели сказать "изолированную операционку"? К секурности я вижу только косвенное отношение. M>Беда совр. компа отнюдь не в изоляции, а ДАННЫХ. Скажем, запустил я браузер, скачал свежий (инфицированный) софт. Куда его девать? Держать в песочнице с браузером? Нет, я его скачал, чтобы юзать. Ладно, запускаю его в песочнице. Для чего? Конечно, чтобы обрабатывать МОИ ФАЙЛЫ. Ну дам я файл вирусованному редактору — он мне его и испортит! Дальше что?
Разница в том что все действия изолированной сессии контролируемы , в том числе и работа с файлами и т.п. И могут осуществляться в песочнице.
Здравствуйте, Aen Sidhe, Вы писали:
AS>Потому что в браузерах дыры, в почтовых клиентах дыры, в играх дыры, етс Я бы сделал так:
AS> AS>Виртуалка для игр AS>Виртуалка для серфинга — там только браузер, если что — сносится и ставится новая. AS>Виртуалка для секурного сёрфинга — почта, инет-банкинг. AS>Виртуалка для работы (там впн настроенные, рабочий софт, етс) AS>
AS>Как-то так. Если пробивают что-то одно (наиболее вероятно — игровую или сёрфинговую), то остальные остаются защищёнными. AS>Если я верно понял цель проекта.
а как сюда вписывается Steam и прочие интернет-игры? как-минимум система для игр должна иметь выход на интернет. И сразу вопрос: если одну интернет-игру пробьют, то под удар попадут и остальные в этой виртуальной машине. То есть, разделять уже по каждой игре?
Здравствуйте, Aen Sidhe, Вы писали:
AS>Здравствуйте, dr.Chaos, Вы писали:
DC>>Здравствуйте, LuciferSaratov, Вы писали:
LS>>>Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
DC>>Да вроде безопасного режима, когда ходишь по банкам должно хватить.
AS>Считайте меня параноиком — мне не хватает.
в банк — только ногами и в черных очках?
Здравствуйте, March_rabbit, Вы писали:
M_>Здравствуйте, Aen Sidhe, Вы писали:
M_>а как сюда вписывается Steam и прочие интернет-игры? как-минимум система для игр должна иметь выход на интернет. И сразу вопрос: если одну интернет-игру пробьют, то под удар попадут и остальные в этой виртуальной машине. То есть, разделять уже по каждой игре?
Всё, что играется через интернет (обычно), сохраняет все данные на своих серверах. Это не страшно — переставил заново и играйся дальше.
Здравствуйте, Aen Sidhe, Вы писали:
AS>Всё, что играется через интернет (обычно), сохраняет все данные на своих серверах. Это не страшно — переставил заново и играйся дальше.
Здравствуйте, minorlogic, Вы писали:
M>Здравствуйте, matumba, Вы писали:
M>>Ну дам я файл вирусованному редактору — он мне его и испортит! Дальше что?
M>Разница в том что все действия изолированной сессии контролируемы , в том числе и работа с файлами и т.п. И могут осуществляться в песочнице.
Перечитайте ещё раз коммент, вы не до конца поняли проблему. *медленно, тепреливо*: Мне не нужны пять porno.avi в пяти песочницах — редактируется ОДНА копия файла.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вчера стало понятно, чем занималась все это время Джоанна Рутковска во главе своего же стартапа Invisible Things (та самая Джоанна, которая несколько лет назад наделала шуму по части использования технологий виртуализации в руткитах). Они разрабатывали собственную секьюрную операционку с картами и девушками на базе linux и xen. Песочницы, основанные на независимых виртуальных машинах используются вовсю (и компонентами системы и на уровне пользовательских процессов. Например дисковые операции вынесены в отдельную песочницу), под это дело разработан GUI, представляющий все это безобразие в виде окошек на десктопе и т.п. Обещают релиз к концу года
KV>http://qubes-os.org/ , пока представляет скорее академический интерес, особенно довольно подробным описанием архитектуры системы:
KV>
KV>Архитектуру качать тут: http://qubes-os.org/files/doc/arch-spec-0.3.pdf
KV>И похоже, что у них есть все шансы сделать по настоящему безопасную ОС
У меня вообще по безопасности ничего отдельного не было.
А вообще да — было бы интересно посмотреть на нее с точки зрения системы, реализующей достаточное условие ИПС.
