Конференция VBStreets

[jangle]

С правами USER`а можно запускать любой экзешник скачанный с сети. Но нельзя зарегистрировать OCX компонент который этот экзешник использует. Просто маразм. Никакой логики. Если запрещаете установку OCX логично вообще запретить запуск EXE установленных не под админом. Т.е. вирус имеет право запускаться под юзером, а честное приложение не имеет права зарегить свои компоненты. Бред.

[Dmitriy2003]

User,у - ограничен доступ к HCR - и это логично - разве нет ?

[Joo]

А что этот OCX не подхватывается если его положить рядом с программой?

[jangle]

User,у - ограничен доступ к HCR - и это логично - разве нет ?

Идиотская концепция безопасности. Получается с правами User`a я имею право на запуск только части приложения. Без ActiveX библиотек, что собственно не имеет смысла. Поскольку с незарегенными OCX программа все равно не запустится. Причем при регистрации через REGSVR32 утилита говорит, что все ОК, твои компоненты зарегистрированы, но фактически записи в реестр не попадают. Еще одна засада для пользователя.

[Dmitriy2003]

Еще одна засада для пользователя.

А по мне, так наоборот повод задуматься программисту и не предполагать, что все сидят под админом, и если необходимы особые разрешения для установки извещать пользователя, согласен что этот механизм не продуман в хр - (Win7 уже лучше), но это все-же лучше чем ничего.

[Хакер]

Бред.

Не бред.

Смысл в том, что пользователь может сколько угодно запускать гадость от своего имени — максимум, чего он добьётся, гадость испортить объекты пользователя, но это никак не отразится на других (пряморуких) пользователях в силу межпользовательской изоляции.

ActiveX-сервер же регистрируется глобально, и поэтому, если он содержит вредоносный код, вредоносный код получит возможность быть выполненным от имени любого пользователя в системе, а не только от имени пользователя-идиота.

[Shkolnik]

Бурные и продолжительные аплодисменты.

[hclubmk]

ActiveX-сервер же регистрируется глобально

состоявшийся факт, но что мешало

в силу межпользовательской изоляции

сделать регистрацию "гадости"

от имени пользователя-идиота

только в его профиле?

[jangle]

hclubmk - согласен на все 100%, почему бы не сделать регистрацию COM библиотеки доступной только текущему пользователю? Или доступной всем пользователям, если регистрация происходит под админом.

[Хакер]

Угу, теперь представьте себе огромное дерево CLASSES_ROOT внутри каждого SID-ского раздела.

[Dmitriy2003]

hclubmk - согласен на все 100%, почему бы не сделать регистрацию COM библиотеки доступной только текущему пользователю? Или доступной всем пользователям, если регистрация происходит под админом.

То-то мы так (корпоратив останется за кадром) стремимся ограничить пользователя в правах, строим леса АД, настраиваем профили, и прочую муть по много часов...

А вас послушать так потом дермо лопатой не разгребеш, - программы однозначно должен устанавливать админ, а уж те которые интегрируются в систему и приносят нам радость повторного использования кода тем более. И да лично я вообще против возможности регистрации компонентов в профиле пользователя ( ну за парой исключений).

[jangle]

Угу, теперь представьте себе огромное дерево CLASSES_ROOT внутри каждого SID-ского раздела.

Насколько огромное? У меня сейчас, суммарный объем жестких дисков на домашнем компе приближается к 1 терабайту. Лишние несколько сотен мегабайт для рееста погоды не сделают.

[Dmitriy2003]

Лишние несколько сотен мегабайт для рееста погоды не сделают.

Вот это уже действительно звучит по идиотски

[jangle]

То-то мы так (корпоратив останется за кадром) стремимся ограничить пользователя в правах, строим леса АД, настраиваем профили, и прочую муть по много часов...

А вас послушать так потом дермо лопатой не разгребеш, - программы однозначно должен устанавливать админ, а уж те которые интегрируются в систему и приносят нам радость повторного использования кода тем более. И да лично я вообще против возможности регистрации компонентов в профиле пользователя ( ну за парой исключений).

Я не против установки программ админом. Но в таком случае запрещайте запуск любых EXE файлов установленных не под админом. А то получается, что вирус или троян ты можешь спокойно запустить, а законный ActiveX компонент (даже c цифровой подписью производителя) нет. Где логика и последовательность?

[Proxy]

Где логика и последовательность?

Не там ищешь. В ХР её точно нет, я давно уже писал об этом тут.

[Хакер]

что вирус или троян ты можешь спокойно запустит

Почему бы и нет?

[Dmitriy2003]

Но в таком случае запрещайте запуск любых EXE файлов установленных не под админом.

Ты ведь понимаешь, что конфигурация такой системы станет тошнотворным занятием, у меня к примеру 4027 ехе файлов и как прикажешь быть пробегаться по списку и ставить галочки, о половине из них я и понятия не имел пока не выполнил поиск по маске, но ведь многие взаимосвязаны, так забудешь разрешить что-нить и система перестанет работать. Так что это мне кажется неосуществимым решением.

Где логика и последовательность?

Логика - вроде была - обрезать пользователю полет фантазии, а он у них сам знаеш какой бывает. Последовательность - тоже есть, вспомни к примеру сколько лет понадобилось Microsoft, что-бы мы на наконец могли в Visual Basic инициализировать переменные при объявлении, а казалось бы все что требуется - Dim i as Integer = 4096, вроде так просто

[Хакер]

что-бы мы на наконец могли в Visual Basic

А вы так и не смогли. Вы в VB.NET смогли.

[jangle]

С моей точки зрения, у каждого пользователя должна быть независимая "песочница", в которой он может инсталлировать все что угодно, но при этом это не должно касатся других пользователей. А не как сейчас сделано, установил COM компонент, и он автоматически доступен всем юзерам этой машины, хотя он им может и нафиг не нужен.

[Dmitriy2003]

А вы так и не смогли. Вы в VB.NET смогли.

Да, Хакер, забываю постоянно что Visual Basic мёртв.

С моей точки зрения, у каждого пользователя должна быть независимая "песочница", в которой он может инсталлировать все что угодно, но при этом это не должно касатся других пользователей. А не как сейчас сделано, установил COM компонент, и он автоматически доступен всем юзерам этой машины, хотя он им может и нафиг не нужен.

Гламурненько, тока не надо забыть что это у тебя сейчас суммарный размер дисков к терабайту приближается, а в том далеком году когда вышла XP,
помниться частенько еще 10-20 GB встречалось. И цены были не такие розовые.

[jangle]

Ты ведь понимаешь, что конфигурация такой системы станет тошнотворным занятием, у меня к примеру 4027 ехе файлов и как прикажешь быть пробегаться по списку и ставить галочки, о половине из них я и понятия не имел пока не выполнил поиск по маске, но ведь многие взаимосвязаны, так забудешь разрешить что-нить и система перестанет работать. Так что это мне кажется неосуществимым решением.

Проблема конфигурации такой системы это дело админа. Пускай он мучается, ему за это зарплату платят. А то вот к примеру ситуация, тебе надо обновить локальную БД у клиента, ты едешь к нему на другой конец Москвы, по 30 градусной жаре и пробкам. На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно. Все тупик. Ты материшь админа, Васю Пупкина из отдела автоматизации использовавшего comdlg32.ocx для стандартного диалога OpenFile, и вообще всех окружающих. А надо всего лишь сделать возможным регистрацию ActiveX с цифровой подписью производителя.

[Dmitriy2003]

На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно. Все тупик.

Ну если все так утрировать, часто помогает - ElcomSoft-Password-Recovery-Studio.

[Денис]

Ну если все так утрировать, часто помогает - ElcomSoft-Password-Recovery-Studio.

Действительно, если утрировать, то программа для брута паролей к архивам и документам взломает вам пароль в системном экране логина.

[Dmitriy2003]

Действительно, если утрировать, то программа для брута паролей к архивам и документам взломает вам пароль в системном экране логина.

Денис - как всегда отличился умом и сообразительностью.
Денис - если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля.

[alibek]

А то вот к примеру ситуация, тебе надо обновить локальную БД у клиента, ты едешь к нему на другой конец Москвы, по 30 градусной жаре и пробкам. На месте выясняется, что у пользователя ограниченные права, и ты не можешь зарегить comdlg32.ocx чтобы указать путь к файлу БД в утилитке обновления. Местный админ взял отпуск, дозвонится до него невозможно.

Это проблема того, кто не в состоянии пользоваться головой и планировать свои действия.
Если на компьютере пользователя софт уже устанавливался, то все компоненты будут зарегистрированы.
Если же софт не устанавливался (например, новый компьютер), то не нужно лезть не в свое дело. Подключение новых компьютеров — забота администратора, а не программиста.

[jangle]

Денис - если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля.

Т.е. ты хочешь сказать, что любой пароль администратора в XP может быть сброшен этой программой, и эта уязвимость еще не устранена?

[jangle]

Это проблема того, кто не в состоянии пользоваться головой и планировать свои действия.
Если на компьютере пользователя софт уже устанавливался, то все компоненты будут зарегистрированы.

"Все компонеты" это какой-то конкретный список?

Если же софт не устанавливался (например, новый компьютер), то не нужно лезть не в свое дело. Подключение новых компьютеров — забота администратора, а не программиста.

Если софт устанавливался админом под его учеткой?

[Dmitriy2003]

Т.е. ты хочешь сказать, что любой пароль администратора в XP может быть сброшен этой программой, и эта уязвимость еще не устранена?

Угу, и на висте тоже, на 7 еще не пробовал. Может загнется на зашифрованных дисках(типа BitLocker'a) - тоже пока не пробовал.

[alibek]

"Все компонеты" это какой-то конкретный список?

Конечно. Или программист сам не знает, какие компоненты используются в его программе?

Если софт устанавливался админом под его учеткой?

Это вообще к чему?
Разумеется, софт устанавливается администратором под администраторской учетной записью.
Если программист является одновременно и администратором, то администраторский доступ у него есть.
Если доступа нет, значит нечего ему устанавливать ПО на компьютеры, за которые он не отвечает.

[Денис]

если нет пароля админа - вышеупомянутая прога его сбросит, после чего можешь делать с системой что хочешь, а под конец оставишь подарок админу в виде нового пароля.

Я это могу проделать и без стороннего быдлософта, используя консоль "Управление компьютером/Локальные пользователи и группы". Нагло сбросить и перезаписать пароль любому пользователю. Ну и кто из нас отличился?