Конференция VBStreets

Последнее время попадаются кривые инсталляторы. Стало интересно, а что думают на эту тему.

Пояснение к пункту

Установка НЕ должна быть выполнена так, что будут пользователи, которые ЗАВЕДОМО не смогут пользоваться программой

Тут имеется в виду, что нет настройки, способной изменить такую ситуацию.
Пример: Для установки требуются права администратора. Установка делается в %userprofile%\Local Settins\Application Data, возможности изменить путь нет.

Думаю, структура понятна. Прошу ответить на все 7 вопросов.

Сам считаю так:

Всё, что не требует прав администратора для выполнения не должно требовать их и для установки - да
Инсталлятор при запуске (вместо установки) должен запускать установленное приложение - нет
Установка НЕ должна быть выполнена так, что будут пользователи, которые ЗАВЕДОМО не смогут пользоваться программой - да
Инсталлятор должен позволять указать путь для установки - да
Флажок Создать ярлык на рабочем столе и установка поверх
- [не отмечен] - удалить существующий
- [отмечен] - оставить существующий
- хотя бы один из способов должен позволять оставить старый ярлык - да

хотя бы один из способов должен позволять оставить старый ярлык - да

В свойствах ярлыка могут быть заданы параметры и сочетание клавиш для вызова, добавленые пользователем. При пересоздании они будут уничтожены.

Qwertiy писал(а):Пример: Для установки требуются права администратора. Установка делается в %userprofile%\Local Settins\Application Data, возможности изменить путь нет.

Тут нужно не ситуацию менять, а создателя пакета линейкой по руками бить. А если не помогает - то и по голове.

В целом же, пункт "Установка МОЖЕТ быть выполнена так, что будут пользователи, которые ЗАВЕДОМО не смогут пользоваться программой" вполне имеет смысл в некоторых ситуациях, когда устанавливается ПО, доступ к которому должен быть только у определённой группы пользователей.

А насчёт прав администратора.. ЛЮБАЯ установка должна требовать права администратора. Другой вопрос, что какой-то софт, не требующий прав администратора, может вообще не требовать установки. Впрочем, многие системные администраторы тоже готовы бить линейкой по рукам создателей такого софта, и я их понимаю.

iGrok писал(а):В целом же, пункт "Установка МОЖЕТ быть выполнена так, что будут пользователи, которые ЗАВЕДОМО не смогут пользоваться программой" вполне имеет смысл в некоторых ситуациях, когда устанавливается ПО, доступ к которому должен быть только у определённой группы пользователей.

Если такая необходимость есть, то это можно настроить через права доступа руками. Под словом "заведомо" я подразумевал именно то, что независимо от того, что хочет получить тот, кто ставит программу, создаётся ситуация невозможности её использования частью пользователей.

iGrok писал(а):А насчёт прав администратора.. ЛЮБАЯ установка должна требовать права администратора.

Многие программы сделаны так: для установки спрашивают права администратора, а если просто скопировать на компьютер папку, в которую она была установлена, то всё будет работать. Зачем требовать лишние действия (принести файлы установленной программы), когда в них нет никакого смысла?

Qwertiy писал(а):Многие программы сделаны так: для установки спрашивают права администратора, а если просто скопировать на компьютер папку, в которую она была установлена, то всё будет работать. Зачем требовать лишние действия (принести файлы установленной программы), когда в них нет никакого смысла?

Разделение прав на пользователя и администратора - не чья-то блажь.

Пользователь должен пользоваться компьютером, а администратор - отвечать за его работоспособность. Поэтому установкой ЛЮБЫХ программ вне зависимости от их требований должен заниматься администратор. Потому что в случае чего, именно с него будут спрашивать, почему ничерта не работает, а не с пользователя.

Инсталлятор должен позволять указать путь для установки - да

В Windows предпочитаю кастомные директории, иначе начинается полнейший бардак в разделах, в иных ОС как-то в этом не испытывал необходимости особой, так и так всё отправляется туда, куда должно. Не знаю почему так завелось, Пуск наверное слишком неудобный (думаю нужно было либо основное меню расширить, т.к. не влазит ничего, либо "все программы" сделать основным, как раньше, но только запретить иерархию внутри, чтобы не было бессмысленных папок с наименованиями вендоров), если бы был удобным (с дефолтными категориями как в KDE), то меня бы вполне устроило, что весь софт целится в Program Files.

Всё, что не требует прав администратора для выполнения не должно требовать их и для установки - да

Ну тут палка о двух концах. С одной стороны пользователь не должен каждый раз дёргать администратора для установки софта, которому никаких прав для работы не требуется, кроме как этого пользователя. С другой стороны некоторым пользователям (а есть ещё и учётки не для одной персоны, гость тот же или общие учётки в ВУЗах, где администраторы ленивее котов) я бы даже ярлычки на рабочем столе не разрешил создавать, т.к. сами всё загадят, а потом жалуются, что тормозит или что места не хватает. Но это уже требования к ОС, а не к инсталляторам.

iGrok писал(а):Разделение прав на пользователя и администратора - не чья-то блажь.

Я и не говорил, что оно просто так. Посмотрите ещё раз на формулировку

Всё, что не требует прав администратора для выполнения не должно требовать их и для установки

т. е. программу дефрагментации диска, которую может использовать только администратор, должен ставить только администратор. А текстовый редактор, проигрыватель или архиватор вполне может поставить и пользователь.

iGrok писал(а):Пользователь должен пользоваться компьютером, а администратор - отвечать за его работоспособность. Поэтому установкой ЛЮБЫХ программ вне зависимости от их требований должен заниматься администратор. Потому что в случае чего, именно с него будут спрашивать, почему ничерта не работает, а не с пользователя.

А если смотреть не с позиции кто должен, а с позиции как оно реально происходит? Неадминистратору понадобилась некоторая программа. Вдруг выясняется, что для её установки нужны права администратора. Есть два основных варианта:
1. Первое, что будет сделано - поиск портативной версии в интернете. Как правило, такой версии на сайте производителя нет. Т. е. пользователь находит портативную версию программы на неком постороннем сайте, после чего ставит её. Что получается для администратора? Только повышение вероятности найти на компьютере вирус. Очевидно же, что безопаснее поставить программу с сайта разработчика, чем неизвестно откуда.
2. Копируется папка с установленной программой. Пользователь получает тот же результат, что и при установке (или почти тот же), но затрачивает на это больше усилий.

PS: надо было написать сразу, но как-то не подумал. Подразумеваются прежде всего бесплатные программы. Разумеется, программы, которые требуют оплаты, в большинстве случаев должны ставиться администратором.

Проголосовавший за

Флажок Создать ярлык на рабочем столе и установка поверх

я не понимаю, что можно под этим подразумевать. Если это не ошибка, поясните, пожалуйста. (А если ошибка, то исправьте.)

Qwertiy писал(а):А текстовый редактор, проигрыватель или архиватор вполне может поставить и пользователь.

Он-то может и может. Вот только не должен, ибо не положено.

Qwertiy писал(а):А если смотреть не с позиции кто должен, а с позиции как оно реально происходит? Неадминистратору понадобилась некоторая программа. Вдруг выясняется, что для её установки нужны права администратора. Есть два основных варианта:
...
PS: надо было написать сразу, но как-то не подумал. Подразумеваются прежде всего бесплатные программы. Разумеется, программы, которые требуют оплаты, в большинстве случаев должны ставиться администратором.

Да не в этом дело. Если дело происходит дома, и это твой собственный компьютер - то у тебя есть права администратора (не обязательно у твоего аккаунта, но по крайней мере, ты можешь зайти под администратором).
Если дело происходит в организации, то НЕ ДОЛЖЕН пользователь запускать/приносить/ставить ничего из того, что не одобрено администратором. А если он что-то такое делает, то это нарушение, и за это нужно давать по рукам, а то и по трудовой, ибо это есть нарушение. И если где-то происходит иначе, то это "проблема в организации", а не "как оно реально происходит".

Ну а уж P.S. - так это вообще что-то непонятное. При чём тут вообще платность или бесплатность ПО?

iGrok писал(а):Если дело происходит в организации, то НЕ ДОЛЖЕН пользователь запускать/приносить/ставить ничего из того, что не одобрено администратором. А если он что-то такое делает, то это нарушение, и за это нужно давать по рукам, а то и по трудовой, ибо это есть нарушение. И если где-то происходит иначе, то это "проблема в организации", а не "как оно реально происходит".Ну а уж P.S. - так это вообще что-то непонятное. При чём тут вообще платность или бесплатность ПО?

Обычно установка бесплатного ПО как нарушение не рассматривается. Если лицензионное соглашение позволяет такое использование, то никак оно не наказывается. Кроме того, программа может быть запущена с флешки - тут даже установки нет, только запуск, который никто и проверять не будет.
Что касается платности и бесплатности ПО. Если программа действительно нужна, то пробная версия скорее всего не годится, следовательно кто-то должен оплатить лицензию. Очевидно, что такими вещами должен заниматься администратор (иначе у него могут быть проблемы, если пользователь сделает что-то не так). Если же программу можно свободно использовать, то такой необходимости нет.

iGrok писал(а):Если дело происходит в организации, то НЕ ДОЛЖЕН пользователь запускать/приносить/ставить ничего из того, что не одобрено администратором.

Если просто "НЕ ДОЛЖЕН", то почему то, что он ФИЗИЧЕСКИ НЕ МОЖЕТ, должно быть заложено в инсталлятор?

Qwertiy писал(а):Обычно установка бесплатного ПО как нарушение не рассматривается.

Речь не о лицензионных соглашениях, авторском праве, и прочей фигне, а исключительно о политике IT-безопасности в организации. И само разделение прав во всех ОС сделано в первую очередь для этого. Пересмотри всё написанное с этой точки зрения, и поймёшь, что твои аргументы ну вообще не в ту степь.

iGrok писал(а):исключительно о политике IT-безопасности в организации

Прочитайте ещё раз:

Qwertiy писал(а):Есть два основных варианта:
1. Первое, что будет сделано - поиск портативной версии в интернете. Как правило, такой версии на сайте производителя нет. Т. е. пользователь находит портативную версию программы на неком постороннем сайте, после чего ставит её. Что получается для администратора? Только повышение вероятности найти на компьютере вирус. Очевидно же, что безопаснее поставить программу с сайта разработчика, чем неизвестно откуда.
2. Копируется папка с установленной программой. Пользователь получает тот же результат, что и при установке (или почти тот же), но затрачивает на это больше усилий.

и скажите, в каком месте тут повышение безопасности?

Или вирусы тоже должны спрашивать права администратора перед установкой?

Qwertiy писал(а):А если смотреть не с позиции кто должен, а с позиции как оно реально происходит? Неадминистратору понадобилась некоторая программа. Вдруг выясняется, что для её установки нужны права администратора.

В нормальной конторе неадминистратору не может вдруг понадобиться какая-либо программа. Если ли же вдруг это случилось, то ему путь к админу, вернее даже к руководству конторы.

iGrok писал(а):Если дело происходит в организации, то НЕ ДОЛЖЕН пользователь запускать/приносить/ставить ничего из того, что не одобрено администратором. А если он что-то такое делает, то это нарушение, и за это нужно давать по рукам, а то и по трудовой, ибо это есть нарушение.

Если это действительно так, то почему же существует огромное количество сайтов, предоставляющих портативыные версии программ? И для чего собственно такие версии создаются?

Qwertiy писал(а):Если это действительно так, то почему же существует огромное количество сайтов, предоставляющих портативыные версии программ? И для чего собственно такие версии создаются?

Что значит, "для чего"? Слово "портативный" ни о чём не говорит, разве? Чтобы иметь возможность носить такую программу с собой. Всё остальное - побочные эффекты.
Спроси ещё, для чего создаются анонимайзеры и веб-прокси, позволяющие заходить на заблокированные ресурсы..

Qwertiy писал(а):Если это действительно так, то почему же существует огромное количество сайтов, предоставляющих портативыные версии программ? И для чего собственно такие версии создаются?

Запускают только потому, что в Windows нету встроенного толкового механизма, блокирующего пользователям возможность запускать какие попало исполнимые файлы (хотя в политиках безопасности емнип что-то малоэффективное присутсвовало). К счастью некоторые файрволы спасают, но это тоже весьма долго, нужно ещё сам файрвол от посягательств пользователя уберечь. А в целом нет никакой разницы в потенциальном ущербе от того, был ли софт портативным или требовал инсталляции (от простого копирования, до регистрации компонент).
А насчёт нарушения лицензионного соглашения и портативного софта тоже может быть не всё гладко. Во-первых вообще нет гарантий, что софт чист, во-вторых бывает ПО с бесплатным использованием не для корпорации (платите только если зарабатываете с помощью наших инструментов), пользователю тут ничто не помешает согласиться с eula, невзирая на то, что условия соглашения однозначно нарушаются. Ответственное лицо будет вникать в eula, пользователь не читая согласится, а потом в случае чего попробуй докажи, что это он сам это скачал/притащил.
По уму пользователю вообще нельзя давать возможность запуска неподтверждённых администратором исполнимых файлов (хотя не везде так).

Proxy, браво! Это почти то же самое, что писал я.

Proxy писал(а):Запускают только потому, что в Windows нету встроенного толкового механизма, блокирующего пользователям возможность запускать какие попало исполнимые файлы

Это не совсем так. По крайней мере, в XP есть возможность ограничить разрешаемые для запуска программы конкретным списком. Хотя сомневаюсь, что кто-нибудь рискнёт это опробовать

Proxy писал(а):А в целом нет никакой разницы в потенциальном ущербе от того, был ли софт портативным или требовал инсталляции (от простого копирования, до регистрации компонент).

Я про это и говорил. Только софт с официального сайта "чистый", а вот с какого-нибудь сайта распространяющего портативные версии - не факт. Нет никакой гарантии, что пользователь не выберет сомнительный сайт. Именно поэтому нет смысла требовать права администратора на установку там, где они не требуются для совершения каких-либо действий.

Proxy писал(а):А насчёт нарушения лицензионного соглашения и портативного софта тоже может быть не всё гладко. Во-первых вообще нет гарантий, что софт чист, во-вторых бывает ПО с бесплатным использованием не для корпорации (платите только если зарабатываете с помощью наших инструментов), пользователю тут ничто не помешает согласиться с eula, невзирая на то, что условия соглашения однозначно нарушаются. Ответственное лицо будет вникать в eula, пользователь не читая согласится, а потом в случае чего попробуй докажи, что это он сам это скачал/притащил.

Как раз про такие программы я и сказал, что их должен ставить только администратор.

Proxy писал(а):По уму пользователю вообще нельзя давать возможность запуска неподтверждённых администратором исполнимых файлов (хотя не везде так).

Вот именно, не везде

Qwertiy писал(а):Хотя сомневаюсь, что кто-нибудь рискнёт это опробовать

Зря. Как раз этим-то механизмом зачастую и пользуются в организациях с жёсткой политикой безопасности.

iGrok писал(а):Зря. Как раз этим-то механизмом зачастую и пользуются в организациях с жёсткой политикой безопасности.

И как там с подменой? Ограничивать изменение файлов? Тогда как ПО должно обновляться? Не доводилось пользоваться, файрвол первым делом для этого использую (с пасом на вход в настройки, выход и т.д), хотя это тоже далеко не надёжно и если соблюдать чистоту, то ещё и не бесплатно. На СОС лаба была на управление политиками безопасности в windows, но даже не стремился запомнить эту белиберду.

Ммм.. А х.з. Я сам тоже этим не пользовался.
Насколько я понимаю, локально все обновления отключены, всё, что нужно, раскатывается с домена.
А вопрос с переименованием в принципе можно решить прописав в вайтлист полные пути к разрешённым файлам, и отбиранием прав на их изменение.

iGrok писал(а):

Qwertiy писал(а):Хотя сомневаюсь, что кто-нибудь рискнёт это опробовать

Зря. Как раз этим-то механизмом зачастую и пользуются в организациях с жёсткой политикой безопасности.

Откуда такая информация?
Насколько я помню, этот механизм накладывает ограничения на систему, а не на учётную запись. Т. е. никто, в том числе и администратор, и сама система не может запустить ничего, что не прописано в разрешающем списке. А ещё есть вариант с запрещающим списком.
Кстати, подозреваю, что там используется внутреннее имя, а не имя файла.

Qwertiy писал(а):Насколько я помню, этот механизм накладывает ограничения на систему, а не на учётную запись. Т. е. никто, в том числе и администратор, и сама система не может запустить ничего, что не прописано в разрешающем списке. А ещё есть вариант с запрещающим списком.
Кстати, подозреваю, что там используется внутреннее имя, а не имя файла.

Система-то как раз всё сможет. Не смогут юзеры. Запрещающий список как раз легко обойти переименованием, в отличие от разрешающего.
Насчёт того, что не смогут даже админы, локально для одной тачки в этом всё равно нет большого смысла, а в домене можно это сделать для группы юзеров, и тогда администратор домена всё равно сможет запустить всё, что захочет. И ограничения как раз пишутся по имени файла и пути, а не по какому-то "внутреннему имени".

Вот, например: http://forum.ru-board.com/topic.cgi?for ... pic=8612#1

З.Ы. А вообще, конечно, все "методы обхода" решаются прописыванием соответствующих вещей в должностной инструкции. Нарушит пара человек, их штрафанут, остальным не захочется.

iGrok писал(а):Система-то как раз всё сможет. Не смогут юзеры. Запрещающий список как раз легко обойти переименованием, в отличие от разрешающего.

Кажется, мы про разные вещи говорим. Хотя найти информацию о том, что я имел в виду, сейчас не получается.

iGrok писал(а):Запрещающий список как раз легко обойти переименованием, в отличие от разрешающего.

Не пойму, чем вы пытаетесь запрещать? Насколько я помню (на работе были попытки запретить контру ) запрет устанавливается не на имя, а на контрольную сумму исполняемого файла, с помощью политик. Правда обходится, при доступе к файлу, изменением его контрольной суммы...

Я не знаю, чем запрещали у Вас, а политиками можно создать правило как для пути, так и для хэша файла.
Но я уже, кажется, написал, что запрещающую политику (чёрный список) достаточно легко обойти, в отличие от разрешающей (белый список), если она грамотно составлена.

iGrok писал(а):Я не знаю, чем запрещали у Вас, а политиками можно создать правило как для пути, так и для хэша файла.
Но я уже, кажется, написал, что запрещающую политику (чёрный список) достаточно легко обойти, в отличие от разрешающей (белый список), если она грамотно составлена.

И как там с апдейтами ПО обстоят дела? Только запретить обновление везде и вся, чтобы хэши не менялись? Или оно и с сертификатами дружит?

Насколько я помню, оно дружит с путями (включая маски, подстановку %% и ключи реестра), хэшами, сертификатами, и чем-то ещё четвёртым, не запомнил, а запускать виртуалку, чтобы проверить, влом.