[B]p2u[/B], да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий. :)
Printable View
[B]p2u[/B], да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий. :)
[QUOTE=ananas;298679][B]p2u[/B], да Вы и сами упоминали еще про WWDC, который тоже кое-чего умеет. Но широкая рассейская душа требует мегапакета с мегавозможностями и с минимумом всяких усилий. :)[/QUOTE]
Олег даст вам такой инструмент, я в этом уверен - за бесплатно. :)
У меня, например, вот это:
[IMG]http://s40.radikal.ru/i087/0810/4e/7516c52eafee.jpg[/IMG]
Ссылку не дам - один раз обжёгся. Надо все параметры понимать до того, как отметить и нажать 'ОК'. То, что некоторые элементы неотмечены ничего не говорит о том, что это мой выбор - Службы Server, например, нет (то есть - недоступна; я её... да, жестоко УДАЛИЛ). Тогда и тоже не будет галочки... На Workstation, Messenger Service и RPC Locator я тоже крест поставил. Файл Hosts, например, у меня переименнован в Xhosts; недоступен системе, то есть не отмечен в программе параметр 'Set Read Only for Hosts File'. Можно создать BackUp до того, как изменить параметры, и восстановить из этого же BackUp одним кликом.
P.S.: Ещё XPTweaker есть.
Paul
[QUOTE=p2u;298681]Олег даст вам такой инструмент, я в этом уверен - за бесплатно.[/QUOTE]Нет. Не мне. Я не прошу, в топике про восстановление параметров по-умолчанию уже высказался, что мне более интересно и по-душе прикладывать усилия самому. И хорошо, когда есть возможность проконсультироваться с более знающими и, тем более - с экспертами. Спасибо всем.
[quote=p2u;298681]
У меня, например, вот это:
Ссылку не дам - один раз обжёгся.
Paul[/quote]
Спасибо ссылка и так видна. :D Но я никому не скажу ;)
Но я не из тех кто бездумно экспериментирует на своей системе. Я лучше буду экспериментировать на чужой. Может с сотого раза высчитаю универсальную конфигурацию. :P
[QUOTE=sergey888;298720]Спасибо ссылка и так видна. :D [/QUOTE]
Признайте, признайте... У меня чувство юмора есть... :laugh3:
Paul
Уважаемые форуманы, всё по сути и в тему, [b]HO[/b]
проблема в том что
[b]1.[/b] ВСЮ работу никто не хочет делать
[b]2.[/b] а если делать, то делать "на уровне"
[b]3.[/b] определить целевую аудиторию
[b]4.[/b] как лучше визуалировать и реализовать
[b]5.[/b] инфа [u]постоянно[/u] обновляется
... и по моему самое главное
такие проекты выполняются либо для личного пользования, либо в свободное время свободными мастерами, например вот что пишет Volker Birk /автор Shutdown Windows' servers/
[quote][b]Why are you doing this?[/b]
I developed it on Easter Monday - I was bored a little bit then ;-)
And: I think, that the work of Frank Kaune and Torsten Mann can be used by many people. Especially Ansgar Wiechers, Uli Dangel, Dominik Meyer and Stephan Weber of Chaostreff Bad Waldsee as well as Umut Dilbaz are helping me with support.
Third, at last: it's useful, isn't it?[/quote]
[quote][b]Зачем Вы это делаете?[/b]
Я сделал это на Пасху в понедельник - мне было децл скушно ;-)
А ещё я считаю что работа Frank Kaune и Torsten Mann может пригодится многим. Особенно Ansgar Wiechers, Uli Dangel, Dominik Meyer и Stephan Weber из Chaostreff Bad Waldsee, как и Umut Dilbaz и тем, кто помогает мне.
В третьих, наконец-то: это ведь нужно, не так ли?[/quote]
Так что предлагаю создать опрос по пунктам и... мучить Олега :P
[QUOTE=NRA;298884] например вот что пишет Volker Birk /автор Shutdown Windows' servers/[/QUOTE]
Volker Birk - великий специалист по файрволам, кстати. Его идеи по этому поводу практически совпадают с моими - то есть: бессмысленно пытаться контролировать код в системе с помощью файрвола - отрубить или удалить надо нежелаемый код (множество служб Windows в эту группу входит). :)
[quote=Volker Birk]Если привилегированная системная служба открывает порт, то тогда это брешь в системе защиты[/quote]
Жаль, что до сих пор так мало людей это понимают. Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.
[IMG]http://s47.radikal.ru/i116/0810/a2/3d9b3f663e55.jpg[/IMG]
Paul
[b]Paul[/b], несмотря на Ваши, как мне кажется, немного радикальные идеи, я всё же пользуюсь относительно стабильным фаерволлом и стараюсь "контролировать" запущеные процессы и выполняемые ими действия ;)
Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?
Ближе к теме:
даже очень хорошие специалисты (такие как Volker Birk или Олег) развивают свободные проекты в [u]свободное[/u] время.
[quote]мне было децл скушно[/quote]
Что в принципе логично, но очень замедляет реализацию идей (в данном случае - воплощение книги).
[u]Вывод:[/u]
надо поддерживать таких людей - это обоюдная выгода, главное не превратить AVZ в очередную твикалку
[u]P.S.[/u]последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ
[QUOTE=NRA;298905]немного радикальные идеи[/quote]
Не стесняйтесь, не стесняйтесь - ОЧЕНЬ даже радикальные. Но андергаунд не шутит, так что в вопросах безопасности по другому никак...
[QUOTE=NRA;298905]Кстати, a как Вам TCP LISTENiNG 1110,19780 [AVP.EXE]?[/quote]
Не знаю... Что это такое? У себя не заметил... :laugh3:
А если серьёзно - разве кто-нибудь будет пытаться блокировать свой собственный антивирус? Риск - минимален и оправдан в данном случае (вы же знаете для чего он) пока не находят огромную дыру в коде. Грустные примеры уже были с ZoneAlarm и с Symantec...
[QUOTE=NRA;298905]надо поддерживать таких людей - это обоюдная выгода[/quote]
Ещё как! Если маркетинговые специалисты в ЛК немного подумают, то тогда они осознают, что это мощный инструмент даже для рекламы. Хотя сама Майкрософт будет не очень довольна, я это твёрдо знаю.
Ещё хотелось бы повторять просьбу про модуль похоже на NoScript, в котором можно управлять скриптами по третьим сторонам в браузере, но это, возможно будет сложнее немного.
Paul
[QUOTE=p2u;298902]...Отчёт netstat в идеале не должен показать ничего на 'LISTENING'.
[IMG]http://s47.radikal.ru/i116/0810/a2/3d9b3f663e55.jpg[/IMG]
Paul[/QUOTE]-извините, Paul, но такие настройки не всегда приемлемы...
-взять хотя бы мобильный лэптоп, в один момент времени он работает в одной сети и с одними внешними устройствами, а в другой уже сеть может измениться да и прочая периферия тоже... каждый раз менять конфигурацию вручную?. согласитесь, не очень удобно... так и на работу времени не останется ;)
[QUOTE=Alex Plutoff;298918]-извините, Paul, но такие настройки не всегда приемлемы...
[/QUOTE]
Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? У меня, например, нет желания кого-либо в анонимном Интернете 'обслуживать' если только в виде помощи здесь на форуме или в других местах.
Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе... ;)
Paul
[QUOTE=p2u;298919]Ну, я добавил 'в идеале'... Идеалы часто не достигаются, но давайте всё-таки стремиться хоть. То, что обязательно - обязательно; тут ничего не поделаешь. Но вы будете хоть знать ПОЧЕМУ. А пока Индустрия Безопасности только занимается симптомами, а не причинами. Кого мы оказываем услуги со своими ('Доверенными', прошу заметить!) службами на самом деле? ...[/QUOTE]-стремиться, конечно же нужно, я против этого не возражаю!.. однако акцентирую внимание на том, что нельзя одним махом отключить все потенциально уязвимые службы и при этом не потерять функциональность системы... т.е. подход к достижению 'идеала' не должен быть столь однозначным, а как раз наоборот, дифференцированным.
[QUOTE=p2u;298919]Напоминаю пост 78, в котором я добавил инфу коричневым цветом, которую вы, возможно, ещё не читали. Там идёт речь о программном коде Майкрософта, который большинство юзеров после прочтения НЕ ХОТЯТ на своём компе... ;)
Paul[/QUOTE]
-спасибо, с интересом перечитал ещё раз и Ваш пост и статью на которую Вы ссылаетесь.
-извините, но я не увидел аналогий...
-[U]отключение[/U] UAC ведёт к уязвимости целевой системы(ведь статья именно об этом, ещё об бестолковости пользователей и замечательном ПО от PC Tools), в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз [U]отключив[/U] потенциально уязвимые системные службы :>
[QUOTE=Alex Plutoff;299031] - отключение UAC ведёт к уязвимости целевой системы (ведь статья именно об этом)[/quote]
Сославшись на добавленную инфу, я намекал не на UAC - её, естественно не надо бы отключить - а на часть про тулзу MRST Майкрософта, [u]якобы[/u] призванную для удаления malware...
[QUOTE=Alex Plutoff;299031](ещё об бестолковости пользователей)[/quote]
На Win2000 более толковые юзеры, чем на Висте? Именно поэтому там меньше заражений, чем на Висте с отключённым UAC? ;)
[QUOTE=Alex Plutoff;299031]в то время как мы обсуждаем возможность повысить защищённость системы в целом, но как раз отключив потенциально уязвимые системные службы :>[/QUOTE]
Предотвращение установки нежеланного программного кода тоже входит в 'повышении защищённости системы в целом'. Если такой программный код уже установлен, то тогда мы либо отключаем, либо удаляем. :)
Paul
[QUOTE=p2u;299037]...На Win2000 более толковые юзеры, чем на Висте? ...l[/QUOTE]-рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей ;)
[QUOTE=Alex Plutoff;299043]-рискну предположить, что таки да, более толковые, т.к. эта ОС всё ещё продолжает использоваться, в основном, на предприятиях и в учреждениях, а там, как известно, имеются профессиональные админы, штатные или приходящие, которые как раз и призваны защищать систему от "чрезмерной толковости" пользователей ;)[/QUOTE]
Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...
P.S.: Я рискну предположить, что Виста опаснее гораздо, чем предшествующих ОС - ладно, там переписали ядро, но то, что над этим ядром стоит даже ещё хуже, чем на XP. Поэтому, если отключить UAC или не умеете отвечать на её многочисленные криптограммы, то тогда вам не сладко будет...
Paul
[QUOTE=p2u;299048]Допустим, что это так. В таком случае надо именно этих админов обвинять в некомпетентности - на Win2000, как и на XP заражение не обязательно. Я настроил достаточно много экземпляров этой чудесной ОС - и там заражения не замечено...
Paul[/QUOTE]
-что тут можно возразить?.. :)
-мне, равно как и моим коллегам, в силу своей профессиональной деятельности, приходится много разъезжать и при этом пользоваться ноутбуками, на которых Win XP со стандартной конфигурацией системных служб + NOD32 (ESET - политика фирмы), заметьте, пользуемся мы ими не только для настройки/тестирования нашего оборудования или для обработки специфических данных, но в свободное время и для отдыха/развлечения, Интернет сёрфинга в том числе... так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...
[QUOTE=Alex Plutoff;299066]так вот, эти многострадальные служебные ноуты, если и инфицируются, то только исключительно по вине их пользователей...[/QUOTE]
А поставить действительно надёжную песочницу/HIPS на них не судьба или мешает политика компании? Простым пользователям нужны технические средства, позволяющие их защищать, а просто утверждать, что они сами и виноваты в заражении не есть конструктивно.
[QUOTE=Зайцев Олег;298240]...я вот читаю обсуждение и все больше прихожу к выводу, что должно быть как минимум два уровня:
1. Книга - для продвинутых юзеров, желающих прочитать, понять, придти сюда поспорить/подискутировать наконец о каких то позициях и т.п....
2. Скрипт AVZ и (или) небольшая программулина (написать которую несложно, а еще проще сделать такую подсистему в AVZ на основании обновляемой базы), с большой красной кнопкой "Хочу, чтобы была безопасность"....[/QUOTE]
Преимущество (ЦЕННОСТЬ) АВЗ в том, что АВЗ обычно "говорит" о том, какие изменения будут выполнены в системе. Имхо, следует (по возможности) придерживаться единообразного алгоритма работы всех мастеров (исследование системы, поиск и устранение проблем, безопасность...) по внесению изменений_исправлений в систему: выбор_анализ параметров исследования, генерация (html) лог-файла с возможностью выбора действия, автогенерация скрипта в зависимости от выбора действия, исполнение скрипта в режиме "выполнить скрипт".
Привет всем еще раз :)
Прошу прощения за задержку с ответом.
[b]p2u[/b]
Вы говорите
[quote]преимущество XP в том, что её можно настроить так, что и конфиденциальность не страдает. Этого на Висте нельзя делать - НЕЛЬЗЯ.[/quote]
Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?
Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты :) Например, я не вполне разделяю подход, при котором отключается передача любых данных в Microsoft. Это мера предотвращает пересылку конфиденциальных данных (однако не личных данных/файлов пользователя), но не факт, что она повышает безопасность. Возьмем, например, службу WER (Windows Error Reporting). Во всех твикерах и рук-вах есть твики отключения отправки отчетов в Microsoft, и огромное кол-во пользователей отключают. Ок, позаботились о конфиденциалности, молодцы. А им приходит при этом в голову, что если отослать отчет, то может статься так, что решение найдется в [url=http://oca.microsoft.com/en/Welcome.aspx]MOCA[/url]? Вряд ли приходит... Да, предлагаемые решения зачастую тривиальны - типа, пойдите и установите такой-то хотфикс. Но уж какие есть... (буквально пару недель назад таким образом я восстановил IE6, который падал при заходе в Gmail - да, и IEFix пробовал, и в бубен стучал - сразу в голову не пришло, что корпоративная машина не пропатчена, а MOCA сразу написал и ссылку любезно предоставил).
Скажу также и о том, что WER помогает отловить баги в продуктах МС, т.е. сделать их лучше. Разве это не в интересах пользователей? У меня нет свежей статистики, но вот, что [url=http://msdn.microsoft.com/en-us/isv/bb190483.aspx]попалось под руку[/url] (Sucess stories внизу). Такие сведения для производителя намного ценнее, чем многочисленные стенанания в форумах по поводу "глючной винды".
Меня не удивляет нежелание пользователей делиться информацией с МС, но у меня стойкое ощущение, что в большинстве случаев это скорее связано с негативным образом Microsoft или Windows, чем с трогательной заботой о конфиденциальности. Ну и с советами экспертов по безопасности, конечно :) Я не ставлю под сомнения ваши экспертные знания. Я просто привожу еще один аргумент в пользу того, что "закручивая гайки", пользователи лишаются различных средств поддержания системы в актуальном и/или работоспособном состоянии.
Конечно, если WER или MSRT, передавая данные, открывают дыру в системе, и нет другого способа ее предотвратить, тогда да, нужно отключать без вопросов. Но если это не так, то нужно пытаться достичь баланса функциональности и безопасности, как бы скептически вы не относились к такой идее :) Но та же WER передает данные только после того, как пользователь сам согласится на отправку отчета (ЕМНИП, поправьте, если ошибся).
Что же касается доверия к стат. отчетам, то я не защищаю и не превозношу MSRT. Какими бы низкими способностями отлова живности утилита не обладала, она дает МС статистику в огромных объемах. Да, она также дает им возможность делать какие-то маркетинговые ходы на основе этих данных, но больший объем статистики трудно собрать. И статистика PCTools меня как-то не очень убеждает (я помню эту новость). Точнее, не статистика, а выводы, о том, что 2к безопаснее Vista. На ХР они нашли в 1.5 раза больше заражений, чем на Vista. Я вообще не знаю, где они нашли достаточное кол-во машин с 2000. Дело в том, что эта ОС никогда не ставилась на ПК домашних пользователей ОЕМ производителями и в розничной продаже ее, скорее всего, не было - домашним пользователям пихали МЕ. В секторе домашних ПК в США вы найдете 98, ME, XP, Vista, но не 2000. Предположу, что это были корпоративные машины, которые должны быть лучше защищены - согласен с [b]Alex Plutoff[/b]. Равно как и с [b]p2u[/b] - PCTools не должны стоять на такой машине, без них админы должны уметь настроить все :)
Да, статистика с вашего форума была бы мне (и не только мне) наиболее интересна, но вряд ли ее можно собрать - руками устанешь, а автоматизации нет. Но посчитать удельный вес заражений на ее основе было бы любопытно.
Спасибо, что поделились своими предпочтениями по поводу будущей ОС :) Учитывая то, что ваши требования к управлению параметрами безопасности и конфиденциальности на порядок выше, чем у обычного пользователя, логично смотреть в сторону продуктов с открытым исходным кодом ОС. По поводу даунгрейда с Vista до ХР замечу, что проблема тут такая: негативное паблисити, сформированное в немалой степени самими вендорами, комплектовавшими Vista слабые машины (и ноутбуки в первую очередь) + ставящими свое bloatware. Конечно, МС тоже виновна в том, что была выпущена ОС, опережающая по требованиям существующее на рынке железо низшей ценовой категории и маргинально подходящая для средней (хотя с ХР было то же самое - ведь ОС делается на перспективу). Тем самым вендорам выбора не оставили - пропихивали новую ОС. Но так или иначе, проблема комплектации компьютера и настройки ОС ОЕМ производителями весьма актуальна, даже сейчас - ведь если что не так, то виновата ОС :) На эту тему недавно Андрей Бешков писал в блоге, кстати [url=http://blogs.technet.com/abeshkov/archive/2008/10/15/3136873.aspx]Почему у меня не тормозит Windows Vista?[/url] (автор работает в МС). Сорри за оффтоп.
[quote]Но обычно описание той или иной функциональсности как страшный чёрный ход для зловредов более, чем достаточно для обычного юзера для того, чтобы отказаться от такой функциональности, какой удобной она ни была бы.
[/quote]
Конечно, но я бы все равно информировал пользователей о последствиях. И обоснования тоже разные бывают - вспомним то же восстановление системы в книге...
[quote]И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.[/quote]Для меня - открытие :) [quote]При этом, КАЖДЫЙ может эффективно работать на моём компе, я в этом более, чем уверен; функциональность не страдает, и удобство не страдает. Некоторые вещи, возможно, непривычны, но 'непривычно' и 'неудобно' - разные вещи.[/quote]К удобному быстрее привыкают :) Да и выбора у ваших домашних нет, хотя он может им и не нужен особо - если сразу внушить, что это работает так, то вопросов может и не возникнуть. Впрочем, я могу согласиться с тем, что многим пользователям достаточно весьма ограниченного набора приложений и функционала ОС - почта, интернет, мультимедиа.
Теперь я все-таки пару слов скажу по поводу большой красной кнопки и того, почему я ее не люблю :) В этом вопросе я весьма консервативен. Она по праву любима пользователями, ибо отменяет потребность в мыслительном процессе. Однако множество проблем в интерфейсе и функциональности ОС пользователи создают себе сами таким вот кнопками (и не только ими - "я скачал [i]с вашего сайта[/i] REG-файл с сотнями твиков, и теперь у меня не работает бла-бла-бла" - видели, знаем; но они в этом плане немного лучше, поскольку дают визуальный путь в реестре). Причем создав проблему, они зачастую обнаруживают ее много позже, никак не связывая с твикингом системы, произведенным две недели назад. Поэтому я и приветствую идею мастера, который подразумевает бОльшую информативность, чем расставление флажков.
[quote=zerocorporated;298571]Было бы хорошо сделать ползунок (Или что то подобное с упоминанием этого) "Безопасность - Удобства(Пока не привыкнешь)"[/quote]
Красивая идея, хотя не знаю, насколько реализуемая :)
Более того, производители этих красных кнопок иногда автоматически переносят твики с одной ОС на другую, не утруждая себя проверками (это, кстати, одна из тем нашего разговора). А потом, знаете ли, бывает трудно установить, почему в проводнике Vista пропала панель ссылок, если не знать, что это вызвано использованием горячо любимого твика для XP по удалению стрелок с ярлыков. Разница же в том, что в указанной библиотеке нет прозрачного значка по старому адресу (и вообще нет), а значит нужно поставлять его вместе с твиком. И твикеров с такой проблемой кто-то привел с пяток на осзоне (и популярный XP Tweaker в том числе) - я не проверял, конечно.
[quote=NRA;298905]
P.S.последний раз мне очень понравился вариант с .СHM-книгой со встроеными .REG-файлами: прочитал описание, понравился твик - клик мышкой и подтверждение - готово. Но для наших пользователей придётся добавить большущую красную кнопку - ПЕРЕДУМАЛ[/quote]
[url=http://soft.oszone.net/program/3930/Registry_Tweaks/]Оно[/url]? :)
Ок, в заключения я приведу таки рез-ты опроса по поводу использования автоматического обновления в [url=http://forum.oszone.net/poll.php?do=showresults&pollid=366]ХР[/url] и [url=http://forum.oszone.net/poll.php?do=showresults&pollid=367]Vista[/url]. Они весьма любопытны :) На момент отправки этого сообщения АО использует 70% пользователей Vista и менее 30% XP. Я не думаю, что такая большая разница обусловлена только WGA... Может оно все-таки удобнее в Vista? :)
Спасибо всем участвущим в дискуссии!
Когда сделают нормальную обновлялку, которая не будет использовать для своего функционирования Bits, или какой-либо другой сервис- тогда и будет удобно. Засунул его в шедуллер, поставил время когда включать и всё. А пока это не удобно, а одна большая дырка.Пусть проверяют легальность, но зачем же такую дырку (bits) использовать для меня не понятно.
[QUOTE=Vadim Sterkin;300131]Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?[/quote]
Как-нибудь в другой раз, пожалуйста, и точно не здесь. О проблемах такого рода можно толстую книгу писать. Причём, не надо, чтобы все всё знали. Я с вами свяжусь.
[QUOTE=Vadim Sterkin;300131]Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты :) [/QUOTE]
Три примера всего, если настаиваете ;):
1) Майкрософт сохраняет ОЧЕНЬ многого в реестре о том, что мы делаем - часто эти данные самому юзеру НЕДОСТУПНЫ. При этом хочу подчёркивать, что было бы ещё ничего, если ваши данные остались бы только у Майкрософта. Но как я выше уже показал, Майкрософт охотно делится с органами. Это не может нравиться каждому... :>
Пинч, троян-вор, просматривает именно эти данные, допустим в многочисленных ключей MRU (=Most Recently Used) в реестре. Оттуда он определяет путь к программам, которые не требует установки, и крадёт на нужном месте ваши пароли. Это лишь один из многочисленных примеров в Windows, где конфиденциальность и безопасность тесно связаны.
2) Как только у вас или у ваших друзей украли пароль или номер кредитной карточки из кэша браузера или Windows, передайте как резко изменилось ваше мнение о соотношении конфиденциальность-безопасность. На сайтах, где вы 'банкируете' это очень просто делать через XSS атаки. Уязвимости в памяти браузерах делают остальное. Без скриптов сайт вашего банка, естественно, работать не будет.
3) Когда компании стирают свои бухгалтерские данные от органов, знаете, сколько можно ещё найти 'благодаря' Индексирования Майкрософта? :> CCleaner и подобные что-то делают, но до конца они НЕ МОГУТ убрать следов.
Про Error Service хочу тоже ещё что-то сказать: Мало того, что некоторые зловреды под её косят (показывают вам поддельных алертов этой службы, и что бы вы ни нажали - да/нет/отмена - задуманное автором выполняется); она ещё тесно связана с 'великим' Dr.Watson, отладчиком Microsoft.
Когда у вас программы падают, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано:
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Кроме, возможно, программистам, этот отладчик никому пользу не приносит. Error Service тем более. Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.
[quote=p2u]И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.[/quote]
[QUOTE=Vadim Sterkin;300131]Для меня - открытие[/quote]
Специально для вас я скоро в отдельном топике покажу как это делается + скриншоты моей победы над каждим ликтестом отдельно. Отчёт уже отослал Матусеку.
Paul
[QUOTE=Vadim Sterkin]Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?[/QUOTE][B]Vadim Sterkin[/B], а что тут долго искать. Всего один пример.
Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? :))
[QUOTE=ananas;300431] Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? :))[/QUOTE]
Это тем более интересно если знать, что, вопреки всем заверениям Microsoft, сетевой стек Висты намного менее надёжен и безопасен, чем в XP.
[url=http://www.insidepro.com/kk/180/180r.shtml]Глубины и вершины сетевого стека Висты[/url].
[url=www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf]Symantec про векторы атак Висты[/url] (Это документ .pdf, к сожалению на английском)
Paul
[B]p2u[/B]
Я не говорил, что конфиденциальность и безопасность не связаны. Я просто говорил о том, что я не связываю их автоматически. Спасибо за примеры! Я не настаивал, я побуждал к дискуссии :)
Пример 1. Согласен, но МС не собирает эти данные. Да, они могут использоваться зловредами. Но я бы лучше защищал периметр, чем отключал MRU....
Пример 2. Используйте режим [url=http://vadikan.spaces.live.com/blog/cns!3270464DC78ABAEE!847.entry]InPrivate[/url] в IE8 :) И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...
Пример 3. Эээ... ну так тут и без индексирования можно восстановить. Как-то читал про эксперимент амер. студентов, изучающих безопасность. Они покупали на ebay старые компьютеры и восстанавливали инфу с жестких дисков. Много интересного находили, включая номера кредиток.
WER. То, что зловреды под нее косят, не слишком сильный аргумент. Это если вы точно помните, что вы отключили WER и вам всплыло сообщение от нее, вы насторожитесь. Но я думаю, что пользовтелей, помнящих конфиг своих служб назубок, единицы.
---добавлено позже---
[quote=p2u]Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.[/quote]Речь все-таки не о поддержке, а встроенных механизмах диагностики проблем и поиска решений. Честно говоря, я раньше тоже всегда отключал отчеты об ошибках, ибо в сети советов по отключению полно, а аргументов в пользу этой функции - минимум. Но она мне однажды помогла, и я поверил в то, что в ней есть смысл :) После этого она помогала мне еще несколько раз. Конечно, если отключать отчеты, то и о пользе их узнать невозможно. Я не знаю, какой ценности в ней больше - отлов багов для МС и вендоров или предоставление решений пользователям. Наверное, она реже помогает пользователям, чем восстановление системы, но пользу приносит. Если смотреть на большую картину, а не на отдельно взятый компьютер.
Dr. Watson. Его нет в Vista :) И, ЕМНИП, его данные не передавались службой WER. Он скорее для отправки в поддержку другими средствами. Вот [url=http://support.microsoft.com/kb/308538]тут[/url] об этом говорится, например.
---конец добавления----
Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.
[quote=ananas;300431]Vadim Sterkin, а что тут долго искать. Всего один пример.
Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? )[/quote]
И в режиме [url=http://www.oszone.net/5202/]повышенной безопасности[/url] никак? Или из командной строки нечто типа [code]netsh advfirewall firewall add rule name="Block port 135"
dir=out action=block enable=yes profile=public
localIP=any remoteIP=any remoteport=135 protocol=TCP interfacetype=any[/code] не работает? Профиль и направление поменять по нбх. И я точно знаю, что можно заблокировать все исходящие SMB соединения, вкл. порт 135. И да, я спрошу, зачем вам это нужно. У меня есть предположения, но я же не к гадалке пришел :) Я не говорил, что у меня есть волшебная палочка, с помощью которой я нахожу все настройки. Я просто предложил помочь разобраться, так что ваш сарказм мне видится неуместным.
[QUOTE=Vadim Sterkin;300536]Пример 2. Используйте режим InPrivate в IE8 И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...[/quote]
IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров. Уже годами производители этих браузеров пытаются решать проблему памяти, но никак не получается... Так ОС работает; что тут делать?
[QUOTE=Vadim Sterkin;300536] Пример 3. Эээ... ну так тут и без индексирования можно восстановить.[/quote]
Использовать [b]посторонные[/b] программы для восстановления, что входит в рекомендации Книги. Всё связано, видите? ;)
[QUOTE=Vadim Sterkin;300536]Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.[/quote]
Обязательно. :)
[QUOTE=Vadim Sterkin;300536]И в режиме [url=http://www.oszone.net/5202/]повышенной безопасности[/url] никак? Или из командной строки нечто типа netsh advfirewall firewall add rule name="Block port 135"[/quote]
Файрволом блокировать, 'прикрыть', 'перекрыть' (или как это всё по-русски называется) открытые службами Windows порты? - Это так не делается... Отключается то, что открывает этот порт; другие решения - ложные. На Висте это (пока?) невозможно - сети не будет.
P.S.1: Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.
P.S.2: Кроме того, Windows файрвол пропускает входящие 'групповые' протоколы, что бы вы ни делали.
Paul
[b]p2u[/b], спасибо, что ответили за меня. Именно так и есть, закрыть и блокировать - разные понятия.
[b]Vadim Sterkin[/b], за ссылку на микроблог отдельный респект. Почитал, посмеялся. У меня никогда не тормозила и не тормозит виндоуз виста. Но как далеки они там от народа... И почему-то после прочтения этого микроблога у меня возникло смутное предположение, что его автору упала на башку коробка с дистрибутивами линукс, от того и такие советы у него родились. :))
[B]p2u[/B], как всегда, спасибо за развернутые ответы :)
Вы не обидите меня (угу, я подписан на тему :)) в том случае, если поделитесь ссылками на материалы / обсуждения данного вопроса применительно к обоим ОС. Я не являюсь экспертом по инфобезу, поэтому мое незнание сленга или мои соображения могут показаться экспертам наивными. Однако я стараюсь не упускать случаев для повышения уровня знаний путем самообразования.
Замечу, впрочем, что направление моего ответа вполне соответствовало заданному вопросу. Когда речь заходит о [I]закрытии портов[/I], то [U]в обычном понимании этого вопроса[/U] подразумевается использование встроенного брандмауэра или сторонних решений. В данном же случае речь, как я понял, идет о том, [I]как полностью исключить возможность использования данного порта[/I] на отдельно взятом компьютере. Посему, ув. [B]ananas[/B], каков [url=http://virusinfo.info/showpost.php?p=300431&postcount=102]вопрос[/url], таков и ответ.
[QUOTE=p2u]Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.[/QUOTE]Ну можно попробовать и посмотреть, если знать, на что смотреть :) [I]В контексте вопроса[/I] я привел встроенные средства ОС, поскольку со сторонними файрволами знаком еще меньше.
[QUOTE=p2u]IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров. [/QUOTE]Гм... что вы имеете в виду? :)
На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала. Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми :) Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание...
[QUOTE=p2u]Использовать посторонные программы для восстановления, что входит в рекомендации Книги. Всё связано, видите? ;)[/QUOTE]Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.
[COLOR="Gray"]Оффтоп.
Привожу его только потому, что он косвенно связан с автообновлением, о котором тут много говорилось :) Возможно, экспертов это не удивит, но факт мне показался любопытным. Сейчас в массовые СМИ (по кр. мере западные) активно продвигается тема ботнетов - т.е. до сознания обычных юзеров доводят мысль о том, что их компьютер может быть подчинен такой сети. В NYT на днях была опубликована [url=http://www.nytimes.com/2008/10/21/technology/internet/21botnet.html]статья[/url], в которой приводится свидетельство одного из работников Майкрософт, занимающихся исследованием ботнетов. По его словам, они были поражены, когда обнаружили, что вредоносный код одной из таких сетей включает Windows Update (очевидно, чтобы защитить компьютер от конкурентов).[/COLOR]
[QUOTE=Vadim Sterkin;300936] [I]как полностью исключить возможность использования данного порта[/I] на отдельно взятом компьютере. [/quote]
Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.
(про то, как убрать IE положительно влияет на поведение других браузеров)
[QUOTE=Vadim Sterkin;300936] Гм... что вы имеете в виду? :)[/quote]
Это тема непростая. Надо подумать как это объяснить, чтобы всем было доступно. Скажем так - параметры IE в Windows почти что [b]приказывают[/b] параметры запуска других приложений альтернативными браузерами (надеюсь, что не получилось по-китайски ;)). Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления. Не говорим уже об ActiveX модули в IE, которые могут быть вызваны другими браузерами в пространстве IE. Что делать против этого описано [url=http://virusinfo.info/showthread.php?t=31891]здесь[/url].
[QUOTE=Vadim Sterkin;300936]На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала.[/quote]
Это кто говорит, сама Майкрософт? :> Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью...
[QUOTE=Vadim Sterkin;300936]Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми :) Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание... [/quote]
Ааа... 'Porn Mode'... ;)
Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: [url=https://addons.mozilla.org/en-US/firefox/addon/1559]Distrust[/url]
При желании можно ещё найти. Мне это даже не нужно - у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
* Принимает куки только с 3 сайтов
* История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
* Пароли нельзя запоминать
* Автодополнение отключено
* Кэш даже отключён полностью.
* При выходе отчистит память о сессии.
[QUOTE=Vadim Sterkin;300936]Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.[/quote]
Действительно; в книге не указано явно, что надо заменить службу Восстановление Системы Windows чем-нибудь другим.
P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает. [url=http://en.wikipedia.org/wiki/GoBack]GoBack - Wikipedia[/url]
Paul
[quote=p2u;300995]Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.[/quote]
Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий :) Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об [url=http://www.oszone.net/display.php?id=2590]RPC[/url]?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs :)), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.
[quote] Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления. [/quote]
Спасибо, так понятнее :) Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. [url=http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx]Было[/url] меньше года назад, хотя Vista не была в списке подверженных уязвимости.
[quote]Это кто говорит, сама Майкрософт? Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью...
[/quote]Ну зачем же так сразу... Баг (предложение) на мозилле был открыт в 2006 году, но внедрили его только к 3.1. Вероятно, технически внедрить фичу могли и раньше, но не считали приоритетным. Однако выход ИЕ8 бета сильно подтолкнул к этому. С альтернативной точкой зрения я вряд ли соглашусь :) Ссылки (EN):
[url]http://blogs.zdnet.com/security/?p=1893[/url]
[url]https://wiki.mozilla.org/Platform/2008-09-09[/url] (п. 2)
[url]https://bugzilla.mozilla.org/show_bug.cgi?id=248970[/url]
[quote]Ааа... 'Porn Mode'...
Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: Distrust[/quote]
Не хотелось бы устраивать холивар на тему браузеров... :) Тем более, что ИЕ не является моим браузером по умолчанию, и я не продвигаю его использование. Тем не менее, я считаю важным рассказывать людям о возможностях бразуера, особенно, если считаю их интересными. Замечу, впрочем, что встроенный функционал браузера и функционал после установки расширений - это очень разные вещи. К ИЕ тоже аддонов [url=http://www.ieaddons.com/en/]хватает[/url] (вроде для IE8 теперь там... или совмещено с IE7, не суть).
А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.
[quote]у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
* Принимает куки только с 3 сайтов
* История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
* Пароли нельзя запоминать
* Автодополнение отключено
* Кэш даже отключён полностью.
* При выходе отчистит память о сессии.[/quote]
Гм... извините, но так работать неудобно! Опять мое любимое слово :) Я даже по пунктам разбирать не буду. Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности :) Ничего личного, конечно. Суть конфиденциального режима ИЕ в том, что он не ограничивает пользователя до такой степени как вы - он просто не сохраняет ничего из конф. сессии, но может считывать ранее сохраненные куки, например. В общем, я довольно подробно описал функционал в [url=http://www.oszone.net/7370/]статье[/url], так что не буду повторяться.
[quote]P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает.[/quote]
А, жив курилка :) Я знал, что отдельного продукта уже нет, они, оказывается, в комплект его впихнули давно. У МС есть своя система глобального отката - SteadyState, но это не замена восстановлению системы, а средство для поддержания конфигурации в общественной среде. Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...
[QUOTE=Vadim Sterkin;301398] Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий :) Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об [url=http://www.oszone.net/display.php?id=2590]RPC[/url]?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs :)), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.[/quote]
Отключить службы и настроить политики надо, естественно, делать в учётке админа. На самом деле Windows будет нормально работать только с тремя службами, и даже ещё со всеми службами отключены (только выходить из сессии нельзя будет :D) но нет, - RPC не желательно отключить - вам будет очень неприятно работать на компе. Почти весь функционал explorer.exe от неё зависит. Только некоторые из её компонентов надо отключить. Я на самом деле про [url=http://www.securitylab.ru/vulnerability/361770.php]уязвимость в службе Server[/url], например, которая тоже связана с портом 135. Эта дыра уже давно; я неоднократно за 5 лет предупреждал Майкрософт об этом. Слушать не желают. Теперь, вдруг, как вир-лабы [url=http://www.secureblog.info/articles/363.html#comments]ЛК, DrWeb и MessageLabs[/url] тоже проснулись, и заявляют о том, что уже месяца полтора черви ползуют через эту дыру, надо вдруг обязательно патчить. И так продолжаем, потому что у меня [url=http://forum.kaspersky.com/index.php?showtopic=30184]список - длинный[/url]. И посмотрите в Security Bulletin от 23 октября 2008 г. - '[u]Наличие эксплоита: [b][color=red]Нет[/color][/u][/b]' говорит Майкрософт. Очередной 'Zero-day', как это модно называется... :>
Я уже предвижу ваш ответ - 'ну, пропатчили же?' Но это будет закрыть глаза на то, что есть - сколько людей уже заразилось червями, а? Естественно обвинять чайника в тупость - проще. НЕПОНЯТНО, почему Майкрософт сделала так, что порт 135 на Висте нельзя полностью закрывать. Идеи есть, но озвучивать их здесь лучше не буду...
[QUOTE=Vadim Sterkin;301398]Спасибо, так понятнее :) Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. [url=http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx]Было[/url] меньше года назад, хотя Vista не была в списке подверженных уязвимости.[/quote]
Смотрите выше. Патчменеджмент выражается в BASIC так:
[code]10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10 [/code]
Думаю, что суть будет понятна, даже если вы не программист. Для тех, которые всё равно не поняли:
Программная схема начинается на 10 (ищем дыры). Если дыр не найдено (20), идём на 50 (= поздравляем себя). Если дыра найдена, то тогда идём на 30 (патчить) и потом на 40 (говорит - иди на 10, снова искать дыры). Идём дальше на 60 = нас хакнули всё равно через [b]ещё неизвестные[/b] дыры. Идём на 70, который говорит: иди на 10, дальше искать дыры. И так без конца, уже 10 лет подряд. Тупость - программа не закончится НИКОГДА. Нельзя из лоскутков делать прочное одеяло...
[QUOTE=Vadim Sterkin;301398]А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.[/quote]
Естественно, я и без сарказма отвечу: - чем меньше их, тем лучше. У меня всего 2:
[IMG]http://i059.radikal.ru/0810/90/5916135749af.jpg[/IMG]
Без них я даже не могу рекомендовать Firefox как браузер.
Тем тоже нет, кроме той, по умолчанию:
[IMG]http://s53.radikal.ru/i139/0810/0e/4e278f836a4c.jpg[/IMG]
И от плагинов я вообще избавился:
[IMG]http://s50.radikal.ru/i130/0810/1c/42c3e746a4d9.jpg[/IMG]
так как они могут работать в пространстве IE.
[QUOTE=Vadim Sterkin;301398] Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности :) [/quote]
Ваше право - если нужно, можно патчить дыры задним числом, правильно? :>
P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?
[QUOTE=Vadim Sterkin;301398]Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...[/QUOTE]
Теоретически да, НО... В GoBack можно после возврата назад отменить изменения по отдельности. Кроме того, можно даже каждый файл по отдельности вернуть на более ранее состояние, без общего восстановления системы, и т.д. То есть - если зверь проник - то тогда он погибнет по любому. Но я лично никогда в жизни не видел, чтобы GoBack мешал лечить компьютер.
P.S.: Не поделитесь опытом? [url=http://virusinfo.info/showthread.php?t=32711]Методы обхода UAC[/url]
Paul
[B]p2u[/B]
Да... я как раз вчера читал [url]http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx[/url] и поражался как потенциальной опасности (полный контроль), так и тому, что [I]уже[/I] есть случаи атак. Мне кажется, что это редкий случай, когда МС признает наличие атак при выпуске патча (конечно, МС может и не признавать, но это не значит, что атак нет). С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, ее только сейчас кто-то проэксплуатировал. Я не оправдываю МС и не защищаю компанию в этом вопросе. Но таки лучше патчить задним числом, чем вообще не патчить :)
Спасибо за ссылки. К сожалению, я не разбираюсь в вопросе настолько, чтобы понять комменты в secureblog :) Но я представляю себе, во что выливаются подобные уязвимости. В период эпидемий lovesan и sasser в форуме ХР создавалось по несколько тем в день, несмотря на наличие прикрепленной темы с решением... Вы это тоже видели в других форумах. И тогда, кстати, включенный [по умолчанию] брандмауэр препятствовал заражению, ЕМНИП, и было просто жаль видеть такое кол-во людей без какой-либо защиты периметра. Да, нехорошо обвниять таких пользователей в тупости, но если они пошли наперекор рекомендациям производителя ОС (отключили брандмаэур и не пропатчили систему), то и оправдывать их особо не стоит - ведь [I]эпидемии[/I] пошли уже после выпуска патчей.
Конечно, я считаю, что нужно информировать о таких уязвимости, тем более есть патч - я повесил глобальное объявление на Осзоне в форумах Windows. Даже если это поможет всего сотне человек, хуже не будет. ИМХО, на этом форуме тоже можно было бы это сделать, но это прерогатива администрации, конечно.
[QUOTE]P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?[/QUOTE]Например, использование кэша ускоряет загрузку страниц. А автозаполнение позволяет быстрее заполнить формы. Необязательно же номера кредиток туда вводить - мне, например, часто приходится вводить адрес. Другое дело, как это реализовано в конкретном браузере. Да, ИЕ, пожалуй, запомнит и номер кредитки, если автозаполнение включено, так именно поэтому я и приветствую появление InPrivate и аналогичных решений в других браузерах! История - тоже полезна, когда хочешь найти сайт, на котором был недавно (не все же в закладки вносить, это лишние действия на каждом сайте...). В блоге ИЕ приводились цифры относительно того, какой процент страниц пользователи посещают повторно. К сожалению, найти сейчас не могу, но он был весьма большим.
Понятно, что с точки зрения обеспечения полной конфиденциальности - это все не лучшая практика, но надо признать, что не все настолько озабочены этим вопросом. И даже если рассказывать реальные страшилки, свои привычки люди вряд ли изменят. Минимализм - он не для всех, тем более, что по умолчанию производители браузеров включают большинство этих фич. А множество пользователей никогда даже не меняет стандартные настройки.
[QUOTE=Vadim Sterkin;301736]С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, [b]ее только сейчас кто-то проэксплуатировал.[/b][/quote]
Это никто не утверждал. Они сейчас узнали то, что андерграунду уже давно известно. Я не ограничиваюсь в чтении только статьей признанных 'экспертов' (было бы поменьше таких, было бы возможно лучше) - я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM. :)
*****
[QUOTE=Vadim Sterkin;301736]Конечно, я считаю, что нужно информировать о таких уязвимости[/quote]
Надо, но в первую очередь производителей самого продукта. Но что делать, если порядок там такой:
Я:
[quote]У меня есть логи сниффера. Посмотрите, пожалуйста. По моему имеется серьёзная уязвимость.[/quote]
Майкрософт:
[quote]А кто ты, а что ты? Эксплойт есть? Если нет, отвали.[/quote]
Я:
[quote]Знаете, вообще-то логи сниффера достаточно всё просто доказывают; экслпойт, видимо, уже есть[/quote]
Майкрософт:
[quote]0 реакции[/quote]
*****
[QUOTE=Vadim Sterkin;301736]Например, использование кэша ускоряет загрузку страниц. [SNIP][/quote]
Я знаю назначение кэша, но дело в том, что там часто тоже находятся зловреды, которые сложно удаляются. Cчитается, например, что Опера чуть ли не самый безопасный браузер в мире. Вот журнал Др. Веб с апреля этого года:
[quote] >C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Script.0 инфицирован VBS.PackFor
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Script.1 инфицирован VBS.PackFor
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm - архив содержит инфицированные объекты
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHG.html инфицирован Trojan.DownLoader.46279
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGP.html инфицирован Trojan.DownLoader.46279
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm\Script.0 инфицирован VBS.PackFor
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm\Script.1 инфицирован VBS.PackFor
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm - архив содержит инфицированные объекты
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EH0.html инфицирован Trojan.DownLoader.46279
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Script.0 инфицирован VBS.PackFor
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Script.1 инфицирован VBS.PackFor
>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Script.2 инфицирован VBS.PackFor
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm - архив содержит инфицированные объекты
C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHD.html инфицирован Trojan.DownLoader.46279[/quote]
Причём, удаляется это всё не всегда так просто! Такие случаи здесь на форуме также встречаются. Ходят слухи, что в кэше Оперы зверь будет просто лежать в кэше и делать ничего не может. В Firefox и в IE, однако, я твёрдо знаю, что не так всё просто.
Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит. :)
Paul
[b]p2u[/b]
Паул, а как Вы при удалённых плагинах просматриваете YouTube?
[QUOTE=ir0n;301834][b]p2u[/b]
Паул, а как Вы при удалённых плагинах просматриваете YouTube?[/QUOTE]
Не смотрю уже, и об этом не жалею - и там хакеры уже начали играть с перенаправлениями всякими. Сейчас точно не могу вспомнить, но была статья в разделе новостей об этом. Бывает, однако, что знакомые скачает оттуда файлы в формате [b].flv[/b]. Вот эти я могу смотреть.
Update: старею, видимо... :laugh3:; тему сам создал:
[url=http://virusinfo.info/showthread.php?t=30665]Новый вирус маскируется под ролик YOUTUBE[/url]
Paul
Статья очень интересная, большое спасибо, но конкретно эта опасность для соображающего пользователя едва ли уж так велика. Нормальный человек ни за что не согласится на такое скачивание.
А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?
[QUOTE=ir0n;301845] А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?[/QUOTE]
Это много сказано. Надо сравнить пользу с риском, всегда. :)
Paul
Неужели даже Вы с Вашей суперзащитой, не сравнимой с моей, рискуете?
Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть
[QUOTE]я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM[/QUOTE]
[B]p2u[/B], наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?
[QUOTE=ir0n;301855] Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть[/QUOTE]
Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу. :)
[QUOTE=ananas;301856][B]p2u[/B], наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?[/QUOTE]
А я разве призывал к этому? Не надо туда ходить если искать там нечего. :)
Paul
[quote=p2u;301857]Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу. :)[/quote]
Спасибо, Паул! :)