Идиотская безопастность в XP

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Идиотская безопастность в XP

Сообщение jangle » 25.06.2010 (Пт) 11:29

С правами USER`а можно запускать любой экзешник скачанный с сети. Но нельзя зарегистрировать OCX компонент который этот экзешник использует. Просто маразм. Никакой логики. Если запрещаете установку OCX логично вообще запретить запуск EXE установленных не под админом. Т.е. вирус имеет право запускаться под юзером, а честное приложение не имеет права зарегить свои компоненты. Бред.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 25.06.2010 (Пт) 12:09

User,у - ограничен доступ к HCR - и это логично - разве нет ?

Joo
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 762
Зарегистрирован: 14.08.2008 (Чт) 11:55
Откуда: Казахстан

Re: Идиотская безопастность в XP

Сообщение Joo » 25.06.2010 (Пт) 13:10

А что этот OCX не подхватывается если его положить рядом с программой?
"Им будет не просто, тем кто полагается на истину авторитета, вместо того чтобы полагаться на авторитет Истины"
Джеральд Месси, Египтолог

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 25.06.2010 (Пт) 13:30

Dmitriy2003 писал(а):User,у - ограничен доступ к HCR - и это логично - разве нет ?


Идиотская концепция безопасности. Получается с правами User`a я имею право на запуск только части приложения. Без ActiveX библиотек, что собственно не имеет смысла. Поскольку с незарегенными OCX программа все равно не запустится. Причем при регистрации через REGSVR32 утилита говорит, что все ОК, твои компоненты зарегистрированы, но фактически записи в реестр не попадают. Еще одна засада для пользователя.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 25.06.2010 (Пт) 14:41

jangle писал(а):Еще одна засада для пользователя.

А по мне, так наоборот повод задуматься программисту и не предполагать, что все сидят под админом, и если необходимы особые разрешения для установки извещать пользователя, согласен что этот механизм не продуман в хр - (Win7 уже лучше), но это все-же лучше чем ничего.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Идиотская безопастность в XP

Сообщение Хакер » 25.06.2010 (Пт) 15:46

Бред.


Не бред.

Смысл в том, что пользователь может сколько угодно запускать гадость от своего имени — максимум, чего он добьётся, гадость испортить объекты пользователя, но это никак не отразится на других (пряморуких) пользователях в силу межпользовательской изоляции.

ActiveX-сервер же регистрируется глобально, и поэтому, если он содержит вредоносный код, вредоносный код получит возможность быть выполненным от имени любого пользователя в системе, а не только от имени пользователя-идиота.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Shkolnik
Продвинутый пользователь
Продвинутый пользователь
Аватара пользователя
 
Сообщения: 119
Зарегистрирован: 06.06.2010 (Вс) 11:09

Re: Идиотская безопастность в XP

Сообщение Shkolnik » 25.06.2010 (Пт) 15:57

Бурные и продолжительные аплодисменты.

hclubmk
Бывалый
Бывалый
Аватара пользователя
 
Сообщения: 240
Зарегистрирован: 19.06.2009 (Пт) 14:23
Откуда: От-туда

Re: Идиотская безопастность в XP

Сообщение hclubmk » 03.07.2010 (Сб) 9:54

ActiveX-сервер же регистрируется глобально

состоявшийся факт, но что мешало
в силу межпользовательской изоляции

сделать регистрацию "гадости"
от имени пользователя-идиота
только в его профиле?
Научились ли Вы радоваться трудностям?

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 03.07.2010 (Сб) 14:44

hclubmk - согласен на все 100%, почему бы не сделать регистрацию COM библиотеки доступной только текущему пользователю? Или доступной всем пользователям, если регистрация происходит под админом.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Идиотская безопастность в XP

Сообщение Хакер » 03.07.2010 (Сб) 18:22

Угу, теперь представьте себе огромное дерево CLASSES_ROOT внутри каждого SID-ского раздела.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 03.07.2010 (Сб) 18:53

jangle писал(а):hclubmk - согласен на все 100%, почему бы не сделать регистрацию COM библиотеки доступной только текущему пользователю? Или доступной всем пользователям, если регистрация происходит под админом.


То-то мы так (корпоратив останется за кадром) стремимся ограничить пользователя в правах, строим леса АД, настраиваем профили, и прочую муть по много часов...

А вас послушать так потом дермо лопатой не разгребеш, - программы однозначно должен устанавливать админ, а уж те которые интегрируются в систему и приносят нам радость повторного использования кода тем более. И да лично я вообще против возможности регистрации компонентов в профиле пользователя ( :wink: ну за парой исключений).

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 03.07.2010 (Сб) 19:24

Хакер писал(а):Угу, теперь представьте себе огромное дерево CLASSES_ROOT внутри каждого SID-ского раздела.


Насколько огромное? У меня сейчас, суммарный объем жестких дисков на домашнем компе приближается к 1 терабайту. Лишние несколько сотен мегабайт для рееста погоды не сделают.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 03.07.2010 (Сб) 19:36

jangle писал(а):Лишние несколько сотен мегабайт для рееста погоды не сделают.

Вот это уже действительно звучит по идиотски :D

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 03.07.2010 (Сб) 21:09

Dmitriy2003 писал(а):То-то мы так (корпоратив останется за кадром) стремимся ограничить пользователя в правах, строим леса АД, настраиваем профили, и прочую муть по много часов...

А вас послушать так потом дермо лопатой не разгребеш, - программы однозначно должен устанавливать админ, а уж те которые интегрируются в систему и приносят нам радость повторного использования кода тем более. И да лично я вообще против возможности регистрации компонентов в профиле пользователя ( :wink: ну за парой исключений).


Я не против установки программ админом. Но в таком случае запрещайте запуск любых EXE файлов установленных не под админом. А то получается, что вирус или троян ты можешь спокойно запустить, а законный ActiveX компонент (даже c цифровой подписью производителя) нет. Где логика и последовательность?

Proxy
Профессор VB наук
Профессор VB наук
Аватара пользователя
 
Сообщения: 2941
Зарегистрирован: 31.08.2007 (Пт) 4:41

Re: Идиотская безопастность в XP

Сообщение Proxy » 03.07.2010 (Сб) 21:42

Где логика и последовательность?

Не там ищешь. В ХР её точно нет, я давно уже писал об этом тут.
Follow the white rabbit.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Идиотская безопастность в XP

Сообщение Хакер » 03.07.2010 (Сб) 21:52

что вирус или троян ты можешь спокойно запустит

Почему бы и нет?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 03.07.2010 (Сб) 22:19

jangle писал(а):Но в таком случае запрещайте запуск любых EXE файлов установленных не под админом.

Ты ведь понимаешь, что конфигурация такой системы станет тошнотворным занятием, у меня к примеру 4027 ехе файлов и как прикажешь быть пробегаться по списку и ставить галочки, о половине из них я и понятия не имел пока не выполнил поиск по маске, но ведь многие взаимосвязаны, так забудешь разрешить что-нить и система перестанет работать. Так что это мне кажется неосуществимым решением.
jangle писал(а):Где логика и последовательность?

Логика - вроде была - обрезать пользователю полет фантазии, а он у них сам знаеш какой бывает. Последовательность - тоже есть, вспомни к примеру сколько лет понадобилось Microsoft, что-бы мы на наконец могли в Visual Basic инициализировать переменные при объявлении, а казалось бы все что требуется - Dim i as Integer = 4096, вроде так просто :wink:

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16478
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Идиотская безопастность в XP

Сообщение Хакер » 03.07.2010 (Сб) 22:23

что-бы мы на наконец могли в Visual Basic

А вы так и не смогли. Вы в VB.NET смогли.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 03.07.2010 (Сб) 22:35

С моей точки зрения, у каждого пользователя должна быть независимая "песочница", в которой он может инсталлировать все что угодно, но при этом это не должно касатся других пользователей. А не как сейчас сделано, установил COM компонент, и он автоматически доступен всем юзерам этой машины, хотя он им может и нафиг не нужен.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 03.07.2010 (Сб) 22:50

Хакер писал(а):А вы так и не смогли. Вы в VB.NET смогли.

Да, Хакер, забываю постоянно что Visual Basic мёртв.

jangle писал(а):С моей точки зрения, у каждого пользователя должна быть независимая "песочница", в которой он может инсталлировать все что угодно, но при этом это не должно касатся других пользователей. А не как сейчас сделано, установил COM компонент, и он автоматически доступен всем юзерам этой машины, хотя он им может и нафиг не нужен.


Гламурненько, тока не надо забыть что это у тебя сейчас суммарный размер дисков к терабайту приближается, а в том далеком году когда вышла XP,
помниться частенько еще 10-20 GB встречалось. И цены были не такие розовые.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 04.07.2010 (Вс) 10:58

Dmitriy2003 писал(а):Ты ведь понимаешь, что конфигурация такой системы станет тошнотворным занятием, у меня к примеру 4027 ехе файлов и как прикажешь быть пробегаться по списку и ставить галочки, о половине из них я и понятия не имел пока не выполнил поиск по маске, но ведь многие взаимосвязаны, так забудешь разрешить что-нить и система перестанет работать. Так что это мне кажется неосуществимым решением.


Проблема конфигурации такой системы это дело админа. Пускай он мучается, ему за это зарплату платят. А то вот к примеру ситуация, тебе надо обновить локальную БД у клиента, ты едешь к нему на другой конец Москвы, по 30 градусной жаре и пробкам. На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно. Все тупик. Ты материшь админа, Васю Пупкина из отдела автоматизации использовавшего comdlg32.ocx для стандартного диалога OpenFile, и вообще всех окружающих. А надо всего лишь сделать возможным регистрацию ActiveX с цифровой подписью производителя.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 04.07.2010 (Вс) 11:48

jangle писал(а):На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно. Все тупик.


Ну если все так утрировать, часто помогает - ElcomSoft-Password-Recovery-Studio.

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Re: Идиотская безопастность в XP

Сообщение Денис » 05.07.2010 (Пн) 15:32

Dmitriy2003 писал(а):Ну если все так утрировать, часто помогает - ElcomSoft-Password-Recovery-Studio.

Действительно, если утрировать, то программа для брута паролей к архивам и документам взломает вам пароль в системном экране логина. :lol:
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 05.07.2010 (Пн) 16:24

Денис писал(а):Действительно, если утрировать, то программа для брута паролей к архивам и документам взломает вам пароль в системном экране логина. :lol:


Денис - как всегда отличился умом и сообразительностью. :mrgreen:
Денис - если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля. :mrgreen:

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Идиотская безопастность в XP

Сообщение alibek » 05.07.2010 (Пн) 16:38

jangle писал(а):А то вот к примеру ситуация, тебе надо обновить локальную БД у клиента, ты едешь к нему на другой конец Москвы, по 30 градусной жаре и пробкам. На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно.

Это проблема того, кто не в состоянии пользоваться головой и планировать свои действия.
Если на компьютере пользователя софт уже устанавливался, то все компоненты будут зарегистрированы.
Если же софт не устанавливался (например, новый компьютер), то не нужно лезть не в свое дело. Подключение новых компьютеров — забота администратора, а не программиста.
Lasciate ogni speranza, voi ch'entrate.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 05.07.2010 (Пн) 20:12

Dmitriy2003 писал(а):Денис - если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля. :mrgreen:


Т.е. ты хочешь сказать, что любой пароль администратора в XP может быть сброшен этой программой, и эта уязвимость еще не устранена?

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Идиотская безопастность в XP

Сообщение jangle » 05.07.2010 (Пн) 20:21

alibek писал(а):Это проблема того, кто не в состоянии пользоваться головой и планировать свои действия.
Если на компьютере пользователя софт уже устанавливался, то все компоненты будут зарегистрированы.


"Все компонеты" это какой-то конкретный список?

Если же софт не устанавливался (например, новый компьютер), то не нужно лезть не в свое дело. Подключение новых компьютеров — забота администратора, а не программиста.


Если софт устанавливался админом под его учеткой?

Dmitriy2003
Постоялец
Постоялец
 
Сообщения: 690
Зарегистрирован: 27.05.2003 (Вт) 22:47
Откуда: Deutschland

Re: Идиотская безопастность в XP

Сообщение Dmitriy2003 » 05.07.2010 (Пн) 21:11

jangle писал(а):Т.е. ты хочешь сказать, что любой пароль администратора в XP может быть сброшен этой программой, и эта уязвимость еще не устранена?

Угу, и на висте тоже, на 7 еще не пробовал. Может загнется на зашифрованных дисках(типа BitLocker'a) - тоже пока не пробовал.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Re: Идиотская безопастность в XP

Сообщение alibek » 05.07.2010 (Пн) 21:24

jangle писал(а):"Все компонеты" это какой-то конкретный список?

Конечно. Или программист сам не знает, какие компоненты используются в его программе?

jangle писал(а):Если софт устанавливался админом под его учеткой?

Это вообще к чему?
Разумеется, софт устанавливается администратором под администраторской учетной записью.
Если программист является одновременно и администратором, то администраторский доступ у него есть.
Если доступа нет, значит нечего ему устанавливать ПО на компьютеры, за которые он не отвечает.
Lasciate ogni speranza, voi ch'entrate.

Денис
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2734
Зарегистрирован: 07.11.2006 (Вт) 13:55
Откуда: Ейск, Краснодарский край

Re: Идиотская безопастность в XP

Сообщение Денис » 06.07.2010 (Вт) 9:20

Dmitriy2003 писал(а):если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля. :mrgreen:


Я это могу проделать и без стороннего быдлософта, используя консоль "Управление компьютером/Локальные пользователи и группы". Нагло сбросить и перезаписать пароль любому пользователю. Ну и кто из нас отличился?
Программирование — богоизбранная дисциплина! Если бог и есть, то вселенную он скомпилировал, не иначе.

След.

Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

    TopList