Здравствуйте, vladrsdn, Вы писали:
V>В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
V>PS: прогу изменить — не предлагайте..
Все таки предложу: если ты через сокеты делаешь банальную коммуникацию между двумя процессами и это все предназначено только для работы на той же машине (т.е. на сетевой вариант раширяться не планируется) то лучше было бы сделать через те же pipes
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
принимать tcp соединения на 127.0.0.1 - подозрительно ли?
В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
Многие файрволы считают это подозрительным (особенно открытие прослушивающего соединения) и посему на компах многих юзеров мой софт не запускается (у некоторых юзеров файрвол настроен таким образом, что не спрашивая блокирует любую подозрительную активность, даже если она случается первый раз). Естественно везде где только можно показываю варнинги юзерам — типа отрубите файрвол, или разрешите в файрволе моей проге делать такое.
Но часть юзеров параноики и просто не читают такие ворнинги или не знают-не хотят что-то сделать. Соответственно удается охватитть не всех пользователей, которых бы я мог охватить.
По-моему такое поведение файрволов — некорректно с точки зрения здравого смысла — локальный интерфейс он на то и локальный, что к нему никто не может подсоединиться — делай что хочешь.
Есть ли у кого такая проблема с их шароварой? Как решаете? УДалось ли убедить производителей файрволов как-то это исправить (для своих экзешников например)?
Re: принимать tcp соединения на 127.0.0.1 - подозрительно л
От:
Аноним
Дата:
14.02.08 09:52
Оценка:
Здравствуйте, vladrsdn, Вы писали:
V>В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
V>По-моему такое поведение файрволов — некорректно с точки зрения здравого смысла — локальный интерфейс он на то и локальный, что к нему никто не может подсоединиться — делай что хочешь.
V>Есть ли у кого такая проблема с их шароварой? Как решаете? УДалось ли убедить производителей файрволов как-то это исправить (для своих экзешников например)?
V>PS: прогу изменить — не предлагайте..
Только писать в FAQ и мануале что надо сделать чтобы все заработало. В настройках файрволов можно такую активность разрешить и проблемы не будет.
Re[2]: принимать tcp соединения на 127.0.0.1 - подозрительн
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, vladrsdn, Вы писали:
V>>В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
V>>По-моему такое поведение файрволов — некорректно с точки зрения здравого смысла — локальный интерфейс он на то и локальный, что к нему никто не может подсоединиться — делай что хочешь.
V>>Есть ли у кого такая проблема с их шароварой? Как решаете? УДалось ли убедить производителей файрволов как-то это исправить (для своих экзешников например)?
V>>PS: прогу изменить — не предлагайте..
А>Только писать в FAQ и мануале что надо сделать чтобы все заработало. В настройках файрволов можно такую активность разрешить и проблемы не будет.
Да, так и пишу и ворнинги при старте показываю.. Но много юзеров — сложные клинически, даже среди девелоперов ..
V>Да, так и пишу и ворнинги при старте показываю.. Но много юзеров — сложные клинически, даже среди девелоперов ..
у гугла, яндекса, майкрософт есть софты локального поиска
и порты открывают, и в браузер залезают. и ничего им за это не делается.
посмотри как они это решают.
Re[4]: принимать tcp соединения на 127.0.0.1 - подозрительн
Здравствуйте, ov, Вы писали:
V>>Да, так и пишу и ворнинги при старте показываю.. Но много юзеров — сложные клинически, даже среди девелоперов ..
ov>у гугла, яндекса, майкрософт есть софты локального поиска ov>и порты открывают, и в браузер залезают. и ничего им за это не делается. ov>посмотри как они это решают.
Им наверно из-за подписей софта все можно. Больше никаких идей как им это удается — нет.
АПИ что заткнуть рот файрволам есть только для файрвола встроенного в винду.
Здравствуйте, vladrsdn, Вы писали:
V>В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
V>Многие файрволы считают это подозрительным (особенно открытие прослушивающего соединения) и посему на компах многих юзеров мой софт не запускается
Ну, конечно, необходимость для пользователя покопаться в настройках фиревола может изрядно подсократить Вашу пользовательскую базу.
Попробуйте забиндиться на 127.0.0.1, указав в качестве порта 0, затем узнайте фактически назначенный порт с помощью getsockname(), и передайте его другой части Вашего софта, ну, не знаю, через именованную shared memory
С неродными фиреволами я еще не пробовал, а виндовсный фиревол на такие действия никак не реагирует. Если поможет, напишите, пожалуйста, в конференцию, а то у меня руки не доходят потестироваться с неродными фиреволами.
Re[2]: принимать tcp соединения на 127.0.0.1 - подозрительн
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, vladrsdn, Вы писали:
V>>В общем у меня софт сделан таким образом, что одна его часть начинает принимать соединения на локальном сетевом интерфейсе (с адресом 127.0.0.1), а другая часть софтины — подсоединяться к этому соединению.
V>>Многие файрволы считают это подозрительным (особенно открытие прослушивающего соединения) и посему на компах многих юзеров мой софт не запускается
Pzz>Ну, конечно, необходимость для пользователя покопаться в настройках фиревола может изрядно подсократить Вашу пользовательскую базу.
Pzz>Попробуйте забиндиться на 127.0.0.1, указав в качестве порта 0, затем узнайте фактически назначенный порт с помощью getsockname(), и передайте его другой части Вашего софта, ну, не знаю, через именованную shared memory
Pzz>С неродными фиреволами я еще не пробовал, а виндовсный фиревол на такие действия никак не реагирует. Если поможет, напишите, пожалуйста, в конференцию, а то у меня руки не доходят потестироваться с неродными фиреволами.
С родным вообще проблем никаких нет — пишешь в реестр определенный ключ (с путем к своей проге) и он больше никога не пикнет. Чем наверно вирусы и пользуются повсеместно.
А с чужими — как руки дойдут, попробую, сообщу тут.
Здравствуйте, vladrsdn, Вы писали:
Pzz>>С неродными фиреволами я еще не пробовал, а виндовсный фиревол на такие действия никак не реагирует. Если поможет, напишите, пожалуйста, в конференцию, а то у меня руки не доходят потестироваться с неродными фиреволами.
V>С родным вообще проблем никаких нет — пишешь в реестр определенный ключ (с путем к своей проге) и он больше никога не пикнет. Чем наверно вирусы и пользуются повсеместно.
Ну я имею ввиду, честным путем. Ключ в реестре мелкософтовцы рано или поздно отломят.
Re[3]: принимать tcp соединения на 127.0.0.1 - подозрительн
От:
Аноним
Дата:
14.02.08 16:10
Оценка:
Здравствуйте, vladrsdn, Вы писали:
V>С родным вообще проблем никаких нет — пишешь в реестр определенный ключ (с путем к своей проге) и он больше никога не пикнет. Чем наверно вирусы и пользуются повсеместно.
V>А с чужими — как руки дойдут, попробую, сообщу тут.
Гы И чего вы такое собираетесь сделать с несколькими сотнями существующих файрволов? Настройка для loopback в общем случае делается только вручную, если не считать микрософтовской поделки. Можно подписать экзешник чтоб антивирусы отвалили, в мануале пару строк черкнуть. Решить описанную проблему на все случаи все равно не выйдет.
Гораздо хуже когда в файрволе некоторые настройки жестко забиты, без возможности что-то изменить. Например Comodo блокирует входящие соединения на локальные порты, которые не забиндены ни на один слушающий сокет. На фига он это делает совершенно не ясно, просто на всякий случай наверное. На секурность это все равно не влияет, но отключить настройку нельзя. Пришлось обходить проблему через гланды, как всегда. А вы говорите
Re[4]: принимать tcp соединения на 127.0.0.1 - подозрительн
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, vladrsdn, Вы писали:
V>>С родным вообще проблем никаких нет — пишешь в реестр определенный ключ (с путем к своей проге) и он больше никога не пикнет. Чем наверно вирусы и пользуются повсеместно.
V>>А с чужими — как руки дойдут, попробую, сообщу тут.
А>Гы И чего вы такое собираетесь сделать с несколькими сотнями существующих файрволов? Настройка для loopback в общем случае делается только вручную, если не считать микрософтовской поделки. Можно подписать экзешник чтоб антивирусы отвалили, в мануале пару строк черкнуть. Решить описанную проблему на все случаи все равно не выйдет.
А>Гораздо хуже когда в файрволе некоторые настройки жестко забиты, без возможности что-то изменить. Например Comodo блокирует входящие соединения на локальные порты, которые не забиндены ни на один слушающий сокет. На фига он это делает совершенно не ясно, просто на всякий случай наверное. На секурность это все равно не влияет, но отключить настройку нельзя. Пришлось обходить проблему через гланды, как всегда. А вы говорите
Так может что-нить придумаем — петицию там напишем, сбор подписей устроим и всех вендоров файрволов будем туда
тыкать?
Меня еще интересует — вообще, слушание на 127.0.0.1 — какие-то реальные проблемы с секьюрити может создать? Или у файрволописателей паранойа?
Re[5]: принимать tcp соединения на 127.0.0.1 - подозрительн
От:
Аноним
Дата:
14.02.08 16:48
Оценка:
Здравствуйте, vladrsdn, Вы писали:
V>>>С родным вообще проблем никаких нет — пишешь в реестр определенный ключ (с путем к своей проге) и он больше никога не пикнет. Чем наверно вирусы и пользуются повсеместно.
V>>>А с чужими — как руки дойдут, попробую, сообщу тут.
А>>Гы И чего вы такое собираетесь сделать с несколькими сотнями существующих файрволов? Настройка для loopback в общем случае делается только вручную, если не считать микрософтовской поделки. Можно подписать экзешник чтоб антивирусы отвалили, в мануале пару строк черкнуть. Решить описанную проблему на все случаи все равно не выйдет.
А>>Гораздо хуже когда в файрволе некоторые настройки жестко забиты, без возможности что-то изменить. Например Comodo блокирует входящие соединения на локальные порты, которые не забиндены ни на один слушающий сокет. На фига он это делает совершенно не ясно, просто на всякий случай наверное. На секурность это все равно не влияет, но отключить настройку нельзя. Пришлось обходить проблему через гланды, как всегда. А вы говорите
V>Так может что-нить придумаем — петицию там напишем, сбор подписей устроим и всех вендоров файрволов будем туда V>тыкать?
V>Меня еще интересует — вообще, слушание на 127.0.0.1 — какие-то реальные проблемы с секьюрити может создать? Или у файрволописателей паранойа?
Как разработчик одного из файрволов ответственно заявляю — да, паранойя! Но, как говорится, если у вас паранойя, то это не значит что за вами не наблюдают Соединения на loopback отслеживаются для полноты картины и "защиты от внутренних угроз". В вашем приложении кстати скорее всего блокируется сервер, т.е. ему слушать не разрешают. Но в некоторых файрволах действительно по дефолту черезчур жесткие настройки и loopback блокируется полностью.
Re: принимать tcp соединения на 127.0.0.1 - подозрительно л
А>Как разработчик одного из файрволов ответственно заявляю — да, паранойя! Но, как говорится, если у вас паранойя, то это не значит что за вами не наблюдают Соединения на loopback отслеживаются для полноты картины и "защиты от внутренних угроз". В вашем приложении кстати скорее всего блокируется сервер, т.е. ему слушать не разрешают. Но в некоторых файрволах действительно по дефолту черезчур жесткие настройки и loopback блокируется полностью.
