Обсуждение книги " Безопасный Интернет. Возможно ли это?"

[XP user]

Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?

Как-нибудь в другой раз, пожалуйста, и точно не здесь. О проблемах такого рода можно толстую книгу писать. Причём, не надо, чтобы все всё знали. Я с вами свяжусь.

Я согласен, что конфиденциальность - важный аспект, однако я не связываю его с безопасностью автоматически, несмотря на ваши протесты

Три примера всего, если настаиваете :

1) Майкрософт сохраняет ОЧЕНЬ многого в реестре о том, что мы делаем - часто эти данные самому юзеру НЕДОСТУПНЫ. При этом хочу подчёркивать, что было бы ещё ничего, если ваши данные остались бы только у Майкрософта. Но как я выше уже показал, Майкрософт охотно делится с органами. Это не может нравиться каждому...

Пинч, троян-вор, просматривает именно эти данные, допустим в многочисленных ключей MRU (=Most Recently Used) в реестре. Оттуда он определяет путь к программам, которые не требует установки, и крадёт на нужном месте ваши пароли. Это лишь один из многочисленных примеров в Windows, где конфиденциальность и безопасность тесно связаны.

2) Как только у вас или у ваших друзей украли пароль или номер кредитной карточки из кэша браузера или Windows, передайте как резко изменилось ваше мнение о соотношении конфиденциальность-безопасность. На сайтах, где вы 'банкируете' это очень просто делать через XSS атаки. Уязвимости в памяти браузерах делают остальное. Без скриптов сайт вашего банка, естественно, работать не будет.

3) Когда компании стирают свои бухгалтерские данные от органов, знаете, сколько можно ещё найти 'благодаря' Индексирования Майкрософта? CCleaner и подобные что-то делают, но до конца они НЕ МОГУТ убрать следов.

Про Error Service хочу тоже ещё что-то сказать: Мало того, что некоторые зловреды под её косят (показывают вам поддельных алертов этой службы, и что бы вы ни нажали - да/нет/отмена - задуманное автором выполняется); она ещё тесно связана с 'великим' Dr.Watson, отладчиком Microsoft.
Когда у вас программы падают, Dr.Watson сразу же пишет dump-файл. Всё об этом сеансе, включая ваши пароли, и другая драгоценная информация может попасть в такие файлы. Для того, чтобы Dr.Watson этого больше не делал, отредактируем реестр как указано:
HKLM\Software\Microsoft\DrWatson\CreateCrashDump - (REG_DWORD) 0
Кроме, возможно, программистам, этот отладчик никому пользу не приносит. Error Service тем более. Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.

И то, что можно ВСЕ ликтесты Матусека проходить без файрвола и/или HIPS для многих тоже удивительное открытие, я предполагаю.

Для меня - открытие

Специально для вас я скоро в отдельном топике покажу как это делается + скриншоты моей победы над каждим ликтестом отдельно. Отчёт уже отослал Матусеку.

Paul

[ananas]

Что конкретно вы имеете в виду? Вы уже не первый раз об этом говорите. Может мы вместе найдем эти настройки?

Vadim Sterkin, а что тут долго искать. Всего один пример.
Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? )

[XP user]

Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? )

Это тем более интересно если знать, что, вопреки всем заверениям Microsoft, сетевой стек Висты намного менее надёжен и безопасен, чем в XP.
Глубины и вершины сетевого стека Висты.
Symantec про векторы атак Висты (Это документ .pdf, к сожалению на английском)

Paul

[Vadim Sterkin]

p2u
Я не говорил, что конфиденциальность и безопасность не связаны. Я просто говорил о том, что я не связываю их автоматически. Спасибо за примеры! Я не настаивал, я побуждал к дискуссии

Пример 1. Согласен, но МС не собирает эти данные. Да, они могут использоваться зловредами. Но я бы лучше защищал периметр, чем отключал MRU....

Пример 2. Используйте режим InPrivate в IE8 И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...

Пример 3. Эээ... ну так тут и без индексирования можно восстановить. Как-то читал про эксперимент амер. студентов, изучающих безопасность. Они покупали на ebay старые компьютеры и восстанавливали инфу с жестких дисков. Много интересного находили, включая номера кредиток.

WER. То, что зловреды под нее косят, не слишком сильный аргумент. Это если вы точно помните, что вы отключили WER и вам всплыло сообщение от нее, вы насторожитесь. Но я думаю, что пользовтелей, помнящих конфиг своих служб назубок, единицы.
---добавлено позже---

Может быть вам повезло, не знаю, но я лично от Майкрософта никогда никакой поддержки не получал, хотя у меня всё лицензионно.

Речь все-таки не о поддержке, а встроенных механизмах диагностики проблем и поиска решений. Честно говоря, я раньше тоже всегда отключал отчеты об ошибках, ибо в сети советов по отключению полно, а аргументов в пользу этой функции - минимум. Но она мне однажды помогла, и я поверил в то, что в ней есть смысл После этого она помогала мне еще несколько раз. Конечно, если отключать отчеты, то и о пользе их узнать невозможно. Я не знаю, какой ценности в ней больше - отлов багов для МС и вендоров или предоставление решений пользователям. Наверное, она реже помогает пользователям, чем восстановление системы, но пользу приносит. Если смотреть на большую картину, а не на отдельно взятый компьютер.

Dr. Watson. Его нет в Vista И, ЕМНИП, его данные не передавались службой WER. Он скорее для отправки в поддержку другими средствами. Вот тут об этом говорится, например.
---конец добавления----

Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.

Vadim Sterkin, а что тут долго искать. Всего один пример.
Вопрос: как на висте закрыть 135-й порт?
Ответ: ни как.
Спросите, зачем мне это нужно?
Или расскажете, почему этого не следует делать? )

И в режиме повышенной безопасности никак? Или из командной строки нечто типа

Код:

netsh advfirewall firewall add rule name="Block port 135"
dir=out action=block enable=yes profile=public
localIP=any remoteIP=any remoteport=135 protocol=TCP interfacetype=any

не работает? Профиль и направление поменять по нбх. И я точно знаю, что можно заблокировать все исходящие SMB соединения, вкл. порт 135. И да, я спрошу, зачем вам это нужно. У меня есть предположения, но я же не к гадалке пришел Я не говорил, что у меня есть волшебная палочка, с помощью которой я нахожу все настройки. Я просто предложил помочь разобраться, так что ваш сарказм мне видится неуместным.

[XP user]

Пример 2. Используйте режим InPrivate в IE8 И, если я вас правильно понял, украсть могут не только из кэша ИЕ. Так что проблему нужно адресовать разработчикам браузеров...

IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров. Уже годами производители этих браузеров пытаются решать проблему памяти, но никак не получается... Так ОС работает; что тут делать?

Пример 3. Эээ... ну так тут и без индексирования можно восстановить.

Использовать посторонные программы для восстановления, что входит в рекомендации Книги. Всё связано, видите?

Ссылку на тему про ликтесты скиньте мне в ПМ, плиз, если не трудно и не забудете. А то я не читаю весь форум.

Обязательно.

И в режиме повышенной безопасности никак? Или из командной строки нечто типа netsh advfirewall firewall add rule name="Block port 135"

Файрволом блокировать, 'прикрыть', 'перекрыть' (или как это всё по-русски называется) открытые службами Windows порты? - Это так не делается... Отключается то, что открывает этот порт; другие решения - ложные. На Висте это (пока?) невозможно - сети не будет.
P.S.1: Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.
P.S.2: Кроме того, Windows файрвол пропускает входящие 'групповые' протоколы, что бы вы ни делали.

Paul

[ananas]

p2u, спасибо, что ответили за меня. Именно так и есть, закрыть и блокировать - разные понятия.
Vadim Sterkin, за ссылку на микроблог отдельный респект. Почитал, посмеялся. У меня никогда не тормозила и не тормозит виндоуз виста. Но как далеки они там от народа... И почему-то после прочтения этого микроблога у меня возникло смутное предположение, что его автору упала на башку коробка с дистрибутивами линукс, от того и такие советы у него родились. )

[Vadim Sterkin]

p2u, как всегда, спасибо за развернутые ответы

Вы не обидите меня (угу, я подписан на тему ) в том случае, если поделитесь ссылками на материалы / обсуждения данного вопроса применительно к обоим ОС. Я не являюсь экспертом по инфобезу, поэтому мое незнание сленга или мои соображения могут показаться экспертам наивными. Однако я стараюсь не упускать случаев для повышения уровня знаний путем самообразования.

Замечу, впрочем, что направление моего ответа вполне соответствовало заданному вопросу. Когда речь заходит о закрытии портов, то в обычном понимании этого вопроса подразумевается использование встроенного брандмауэра или сторонних решений. В данном же случае речь, как я понял, идет о том, как полностью исключить возможность использования данного порта на отдельно взятом компьютере. Посему, ув. ananas, каков вопрос, таков и ответ.

Кроме того, приказать Microsoft блокировать самого себя - не знаю, что из этого выйдет.

Ну можно попробовать и посмотреть, если знать, на что смотреть В контексте вопроса я привел встроенные средства ОС, поскольку со сторонними файрволами знаком еще меньше.

IE у меня нет уже - это само по себе очень положительно влияет на поведение других браузеров.

Гм... что вы имеете в виду?

На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала. Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание...

Использовать посторонные программы для восстановления, что входит в рекомендации Книги. Всё связано, видите?

Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.

Оффтоп.
Привожу его только потому, что он косвенно связан с автообновлением, о котором тут много говорилось Возможно, экспертов это не удивит, но факт мне показался любопытным. Сейчас в массовые СМИ (по кр. мере западные) активно продвигается тема ботнетов - т.е. до сознания обычных юзеров доводят мысль о том, что их компьютер может быть подчинен такой сети. В NYT на днях была опубликована статья, в которой приводится свидетельство одного из работников Майкрософт, занимающихся исследованием ботнетов. По его словам, они были поражены, когда обнаружили, что вредоносный код одной из таких сетей включает Windows Update (очевидно, чтобы защитить компьютер от конкурентов).

[XP user]

как полностью исключить возможность использования данного порта на отдельно взятом компьютере.

Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.

(про то, как убрать IE положительно влияет на поведение других браузеров)

Гм... что вы имеете в виду?

Это тема непростая. Надо подумать как это объяснить, чтобы всем было доступно. Скажем так - параметры IE в Windows почти что приказывают параметры запуска других приложений альтернативными браузерами (надеюсь, что не получилось по-китайски ). Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления. Не говорим уже об ActiveX модули в IE, которые могут быть вызваны другими браузерами в пространстве IE. Что делать против этого описано здесь.

На самом деле, появление InPrivate в IE8 подтолкнуло разработчиков Firefox к срочному внедрению аналогичного функционала.

Это кто говорит, сама Майкрософт? Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью...

Я помню, что когда для обсуждения статьи об InPrivate я создал тему на форуме, первым вопросом в ней было "Как такое реализовать в FF?". Очевидно, разработчики FF получили достаточное кол-во таких вопросов. И разработчики Chrome тоже учли этот момент. Привет разработчикам Safari, которые это сделали первыми Как видите, даже если так работает ОС, разработчики браузера могут предоставить пользователям средства для защиты конфиденциальных данных. Было бы желание...

Ааа... 'Porn Mode'...
Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: Distrust
При желании можно ещё найти. Мне это даже не нужно - у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
* Принимает куки только с 3 сайтов
* История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
* Пароли нельзя запоминать
* Автодополнение отключено
* Кэш даже отключён полностью.
* При выходе отчистит память о сессии.

Честно говоря, не вижу, где об этом говорится в книге... Зато заметил там упоминание о Norton GoBack, которого уже не существует, AFAIK.

Действительно; в книге не указано явно, что надо заменить службу Восстановление Системы Windows чем-нибудь другим.
P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает. GoBack - Wikipedia

Paul

[Vadim Sterkin]

Полностью всё равно не исключить, конечно - как только зверь проникнет и включит службу, порт всё равно будет открыт. Но служба есть служба - она хочет кого-то обслуживать (то есть принимать данные извне). Глупость включить функционал и пытаться его блокировать файрволом, особенно если речь идёт о самой системе.

Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об RPC?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs ), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.

Для того, чтобы осознать опасность, надо хорошо понять, что Internet Explorer = Explorer (то есть - это расширение оболочки самой системы). Потом будет здесь на форуме ещё отдельный топик об этом. Кто заранее хочет узнать, параметры поиска в Гугле - "Cross Application Scripting" и/или "URI Vulnerabilities" дают более, чем достаточно повода для размышления.

Спасибо, так понятнее Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. Было меньше года назад, хотя Vista не была в списке подверженных уязвимости.

Это кто говорит, сама Майкрософт? Кто что у кого взял, любопытно... В Редмонде они как Японцы - не очень отличаются оригинальностью...

Ну зачем же так сразу... Баг (предложение) на мозилле был открыт в 2006 году, но внедрили его только к 3.1. Вероятно, технически внедрить фичу могли и раньше, но не считали приоритетным. Однако выход ИЕ8 бета сильно подтолкнул к этому. С альтернативной точкой зрения я вряд ли соглашусь Ссылки (EN):
http://blogs.zdnet.com/security/?p=1893
https://wiki.mozilla.org/Platform/2008-09-09 (п. 2)
https://bugzilla.mozilla.org/show_bug.cgi?id=248970

Ааа... 'Porn Mode'...
Только тот, кто Firefox и его возможности с дополнениями (extensions) плохо знает думает, что этого нет. Даю один пример: Distrust

Не хотелось бы устраивать холивар на тему браузеров... Тем более, что ИЕ не является моим браузером по умолчанию, и я не продвигаю его использование. Тем не менее, я считаю важным рассказывать людям о возможностях бразуера, особенно, если считаю их интересными. Замечу, впрочем, что встроенный функционал браузера и функционал после установки расширений - это очень разные вещи. К ИЕ тоже аддонов хватает (вроде для IE8 теперь там... или совмещено с IE7, не суть).

А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.

у меня Firefox так уже настроен в 'Porn Mode' по умолчанию:
* Принимает куки только с 3 сайтов
* История = 0 дней - при выходе сразу же очистит всё (в отличие от IE, который сохраняет всё равно 24 часа (даже если количество дней поставлен на '0'), и только потом удалит).
* Пароли нельзя запоминать
* Автодополнение отключено
* Кэш даже отключён полностью.
* При выходе отчистит память о сессии.

Гм... извините, но так работать неудобно! Опять мое любимое слово Я даже по пунктам разбирать не буду. Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности Ничего личного, конечно. Суть конфиденциального режима ИЕ в том, что он не ограничивает пользователя до такой степени как вы - он просто не сохраняет ничего из конф. сессии, но может считывать ранее сохраненные куки, например. В общем, я довольно подробно описал функционал в статье, так что не буду повторяться.

P.S.: Norton GoBack до сих пор ещё есть, Симантек его заменит на Norton Save and Restore в 2009. Norton GoBack на Висте не работает.

А, жив курилка Я знал, что отдельного продукта уже нет, они, оказывается, в комплект его впихнули давно. У МС есть своя система глобального отката - SteadyState, но это не замена восстановлению системы, а средство для поддержания конфигурации в общественной среде. Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...

[XP user]

Мне нравится общаться с экспертами по инфобезу потому, что они все рассматривают с точки зрения наихудшего развития событий Как я понял, суть проблемы в том, что в XP можно отключить службу (речь о какой, об RPC?), сохранив при этом сеть, а в Vista - нельзя. Что касается полного исключения, то да, теоретически всегда найдется сценарий, при котором службу можно включить, но практически... Насколько я понимаю, для включения службы нужны права админа. Если пользователь ограниченный, на админе стойкий пароль (и, как вы советуете, нет RunAs ), то включить службу получается затруднительно. Поправьте, если не так. А по поводу блокирования файрволом... если функционал не нужен, то да, конечно, его лучше отключать в корне. Но... если речь об RPC, то на нее очень много функционала завязано.

Отключить службы и настроить политики надо, естественно, делать в учётке админа. На самом деле Windows будет нормально работать только с тремя службами, и даже ещё со всеми службами отключены (только выходить из сессии нельзя будет ) но нет, - RPC не желательно отключить - вам будет очень неприятно работать на компе. Почти весь функционал explorer.exe от неё зависит. Только некоторые из её компонентов надо отключить. Я на самом деле про уязвимость в службе Server, например, которая тоже связана с портом 135. Эта дыра уже давно; я неоднократно за 5 лет предупреждал Майкрософт об этом. Слушать не желают. Теперь, вдруг, как вир-лабы ЛК, DrWeb и MessageLabs тоже проснулись, и заявляют о том, что уже месяца полтора черви ползуют через эту дыру, надо вдруг обязательно патчить. И так продолжаем, потому что у меня список - длинный. И посмотрите в Security Bulletin от 23 октября 2008 г. - 'Наличие эксплоита: Нет' говорит Майкрософт. Очередной 'Zero-day', как это модно называется...

Я уже предвижу ваш ответ - 'ну, пропатчили же?' Но это будет закрыть глаза на то, что есть - сколько людей уже заразилось червями, а? Естественно обвинять чайника в тупость - проще. НЕПОНЯТНО, почему Майкрософт сделала так, что порт 135 на Висте нельзя полностью закрывать. Идеи есть, но озвучивать их здесь лучше не буду...

Спасибо, так понятнее Такие уязвимости в Windows патчились, я по своему списку хотфиксов помню. Было меньше года назад, хотя Vista не была в списке подверженных уязвимости.

Смотрите выше. Патчменеджмент выражается в BASIC так:

Код:

10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10

Думаю, что суть будет понятна, даже если вы не программист. Для тех, которые всё равно не поняли:
Программная схема начинается на 10 (ищем дыры). Если дыр не найдено (20), идём на 50 (= поздравляем себя). Если дыра найдена, то тогда идём на 30 (патчить) и потом на 40 (говорит - иди на 10, снова искать дыры). Идём дальше на 60 = нас хакнули всё равно через ещё неизвестные дыры. Идём на 70, который говорит: иди на 10, дальше искать дыры. И так без конца, уже 10 лет подряд. Тупость - программа не закончится НИКОГДА. Нельзя из лоскутков делать прочное одеяло...

А вы, как специалист по безопасности, разве не относитесь к расширениям настороженно? Или вы безоговорочно доверяете контенту, загруженному с оф. сайта дополнений Firefox? Я без сарказма спрашиваю, просто интересно.

Естественно, я и без сарказма отвечу: - чем меньше их, тем лучше. У меня всего 2:



Без них я даже не могу рекомендовать Firefox как браузер.

Тем тоже нет, кроме той, по умолчанию:



И от плагинов я вообще избавился:



так как они могут работать в пространстве IE.

Даже если это супер-безопасно, так будут делать только параноики и эксперты по безопасности

Ваше право - если нужно, можно патчить дыры задним числом, правильно?
P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?

Я не знаком с функционалом GoBack, но осмелюсь предположить, что в его точку отката может затесаться зловред точно так же, как и в точку встроенного восстановления системы...

Теоретически да, НО... В GoBack можно после возврата назад отменить изменения по отдельности. Кроме того, можно даже каждый файл по отдельности вернуть на более ранее состояние, без общего восстановления системы, и т.д. То есть - если зверь проник - то тогда он погибнет по любому. Но я лично никогда в жизни не видел, чтобы GoBack мешал лечить компьютер.

P.S.: Не поделитесь опытом? Методы обхода UAC

Paul

[Vadim Sterkin]

p2u
Да... я как раз вчера читал http://www.microsoft.com/technet/sec.../MS08-067.mspx и поражался как потенциальной опасности (полный контроль), так и тому, что уже есть случаи атак. Мне кажется, что это редкий случай, когда МС признает наличие атак при выпуске патча (конечно, МС может и не признавать, но это не значит, что атак нет). С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, ее только сейчас кто-то проэксплуатировал. Я не оправдываю МС и не защищаю компанию в этом вопросе. Но таки лучше патчить задним числом, чем вообще не патчить

Спасибо за ссылки. К сожалению, я не разбираюсь в вопросе настолько, чтобы понять комменты в secureblog Но я представляю себе, во что выливаются подобные уязвимости. В период эпидемий lovesan и sasser в форуме ХР создавалось по несколько тем в день, несмотря на наличие прикрепленной темы с решением... Вы это тоже видели в других форумах. И тогда, кстати, включенный [по умолчанию] брандмауэр препятствовал заражению, ЕМНИП, и было просто жаль видеть такое кол-во людей без какой-либо защиты периметра. Да, нехорошо обвниять таких пользователей в тупости, но если они пошли наперекор рекомендациям производителя ОС (отключили брандмаэур и не пропатчили систему), то и оправдывать их особо не стоит - ведь эпидемии пошли уже после выпуска патчей.

Конечно, я считаю, что нужно информировать о таких уязвимости, тем более есть патч - я повесил глобальное объявление на Осзоне в форумах Windows. Даже если это поможет всего сотне человек, хуже не будет. ИМХО, на этом форуме тоже можно было бы это сделать, но это прерогатива администрации, конечно.

P.S.: Я отрицаю, что это неудобно. Если вы хотите, чтобы браузер запомнил сайт, поставьте его в закладку (в IE - Избранные), и всё. Какие проблемы?

Например, использование кэша ускоряет загрузку страниц. А автозаполнение позволяет быстрее заполнить формы. Необязательно же номера кредиток туда вводить - мне, например, часто приходится вводить адрес. Другое дело, как это реализовано в конкретном браузере. Да, ИЕ, пожалуй, запомнит и номер кредитки, если автозаполнение включено, так именно поэтому я и приветствую появление InPrivate и аналогичных решений в других браузерах! История - тоже полезна, когда хочешь найти сайт, на котором был недавно (не все же в закладки вносить, это лишние действия на каждом сайте...). В блоге ИЕ приводились цифры относительно того, какой процент страниц пользователи посещают повторно. К сожалению, найти сейчас не могу, но он был весьма большим.

Понятно, что с точки зрения обеспечения полной конфиденциальности - это все не лучшая практика, но надо признать, что не все настолько озабочены этим вопросом. И даже если рассказывать реальные страшилки, свои привычки люди вряд ли изменят. Минимализм - он не для всех, тем более, что по умолчанию производители браузеров включают большинство этих фич. А множество пользователей никогда даже не меняет стандартные настройки.

[XP user]

С другой стороны меня несколько удивляет то, что если дыре пять лет, как вы говорите, ее только сейчас кто-то проэксплуатировал.

Это никто не утверждал. Они сейчас узнали то, что андерграунду уже давно известно. Я не ограничиваюсь в чтении только статьей признанных 'экспертов' (было бы поменьше таких, было бы возможно лучше) - я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM.

*****

Конечно, я считаю, что нужно информировать о таких уязвимости

Надо, но в первую очередь производителей самого продукта. Но что делать, если порядок там такой:

Я:

У меня есть логи сниффера. Посмотрите, пожалуйста. По моему имеется серьёзная уязвимость.

Майкрософт:

А кто ты, а что ты? Эксплойт есть? Если нет, отвали.

Я:

Знаете, вообще-то логи сниффера достаточно всё просто доказывают; экслпойт, видимо, уже есть

Майкрософт:

0 реакции

*****

Например, использование кэша ускоряет загрузку страниц. [SNIP]

Я знаю назначение кэша, но дело в том, что там часто тоже находятся зловреды, которые сложно удаляются. Cчитается, например, что Опера чуть ли не самый безопасный браузер в мире. Вот журнал Др. Веб с апреля этого года:

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Scrip t.0 инфицирован VBS.PackFor

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm\Scrip t.1 инфицирован VBS.PackFor

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGG.htm - архив содержит инфицированные объекты

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHG.html инфицирован Trojan.DownLoader.46279

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGP.html инфицирован Trojan.DownLoader.46279

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm\Scrip t.0 инфицирован VBS.PackFor

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm\Scrip t.1 инфицирован VBS.PackFor

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EGY.htm - архив содержит инфицированные объекты

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EH0.html инфицирован Trojan.DownLoader.46279

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Scrip t.0 инфицирован VBS.PackFor

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Scrip t.1 инфицирован VBS.PackFor

>C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm\Scrip t.2 инфицирован VBS.PackFor

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHC.htm - архив содержит инфицированные объекты

C:\Documents and Settings\ИмяПользователя\Application Data\Opera\Opera\profile\cache4\opr00EHD.html инфицирован Trojan.DownLoader.46279

Причём, удаляется это всё не всегда так просто! Такие случаи здесь на форуме также встречаются. Ходят слухи, что в кэше Оперы зверь будет просто лежать в кэше и делать ничего не может. В Firefox и в IE, однако, я твёрдо знаю, что не так всё просто.

Про кэш Windows я в этот раз не буду. Достаточно сообщить, что он у меня чистится после каждого сеанса. Выход из Windows поэтому длится одну минуту дольше, чем обычно, но я считаю, что это того стоит.

Paul

[ir0n]

p2u
Паул, а как Вы при удалённых плагинах просматриваете YouTube?

[XP user]

p2u
Паул, а как Вы при удалённых плагинах просматриваете YouTube?

Не смотрю уже, и об этом не жалею - и там хакеры уже начали играть с перенаправлениями всякими. Сейчас точно не могу вспомнить, но была статья в разделе новостей об этом. Бывает, однако, что знакомые скачает оттуда файлы в формате .flv. Вот эти я могу смотреть.

Update: старею, видимо... ; тему сам создал:
Новый вирус маскируется под ролик YOUTUBE

Paul

[ir0n]

Статья очень интересная, большое спасибо, но конкретно эта опасность для соображающего пользователя едва ли уж так велика. Нормальный человек ни за что не согласится на такое скачивание.

А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?

[XP user]

А вот перенаправления... Значит, даже и без прав администратора туда ходить уже нельзя?

Это много сказано. Надо сравнить пользу с риском, всегда.

Paul

[ir0n]

Неужели даже Вы с Вашей суперзащитой, не сравнимой с моей, рискуете?
Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть

[ananas]

я предпочтительно хожу на 'чёрные' ресурсы, потому что там можно услышать чаще то, что больше похоже на правду, особенно через PM

p2u, наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?

[XP user]

Я отключил у себя в Лисе все плагины кроме Shockwave. Удалить совсем, вроде, жалко, хотя не могу сказать, для чего они мне могут понадобиться, если всё что можно я стараюсь сначала скачать, а только потом уже смотреть

Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу.

p2u, наверное, стоит предупредить любознательных, но неосторожных, что при хождениях по черным ресурсам можно на такую проверку нарваться, что в сравнении с заражением всякими троянчегами второе покажется лишь легким насморком?

А я разве призывал к этому? Не надо туда ходить если искать там нечего.

Paul

[ir0n]

Смотрите спокойно - риск (вероятность) - невелик. Никто не обязан жить, как я живу.

Спасибо, Паул!