Neregistrovaný Přihlásit Registrovat

Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Bezpečnost OS Windows 7

UAC by bolo dobre vtedy keby s pravami system bezlo LEN to uplne najdolezitejsie a 100% bezpecne.

Jak toho chceš docílit? Drivery budou pod userskými účty? To jako ovladač grafiky bude mít každý svůj?:-D 100% bezpečný ovladač grafiky či jakýkoliv je utopie. MS zapracoval na izolaci jádra a boot drivery se integrují jako pluginy(jdou odstřelit bez následků), zapracovali a důsledně využívají hiearchie oprávnění (narozdíl od aplikací, u kterých programátoři neví která bije), "sandboxu" a izolace aplikací. Pochopitelně je spousta bugů (tak jako jinde) , průzkumník nevyjímaje.

V MS ale o takom niecom mozu len snivat, studentoprogramatori.

To je proto, že nevíš mechanismus toho okna. UAC je pouze userská hláška. S mechanismem to nemá nic do činění.

Systém se řídí při přístupu především účty a oprávněním. Vše je zdokumentováno a systém nabízí tyto mechanismy i ostatním programům.

Jeden příklad za všechny:
IE8 prakticky vůbec "nepřistupuje" uživatelsky na disk v chráněném režimu. IE předá požadavky socketu, trident zrenderuje - prostě standardka, ALE pokud chceš uložit nějaký soubor, stránku, nebo kešování, tak se mechanismem zdegraduje na nejposlednějšího usera, který může pouze do předem povolených adresářů- nikam jinam.
Jak to funguje:
Už ze starodávných dob existují mandatory label (nejsou na kartě oprávnění- není to pro home admins), který je pořádně využit až od Vist. ML určuje oprávnění přístupu a spuštění. Proces s ML střední může spustit nebo přistupovat k ML střední či nízká, ne vysoká. IE s ML střední (lokální bezpečná síť) + ML nízká (internet) při ukládání zavolá proces IELowutil s nízkou ML = IELowutil nemůže ukládat do sys. adresářů, root c:, prg files a 90% sys. adresářů, něco spouštět - všude je vyšší ML. Tzn. že útočník nemá šanci se dostat k systému přes okno i kdyby měl účet papež, jeho mandatory label je totiž nízké. Systém umožňuje využití i programům třetích stran. Proč ho nevyužívá třeba Firefox a nectí systém?
----
Tímhle dlouhým monologem chci říct, že UAC (ne okýnko, ale mechanismus) má smysl. Smysl nemají ignorace a prasečiny ostatních programátorů, kteří dají nálepku pro W7 a konfigurák si naivně pašují do program files.

Reakce na odpověď

1 Zadajte svou přezdívku:
2 Napište svou odpověď:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět do poradny