Názory k článku
Většina antivirů nenajde nový virus ani po měsíci
-
P2010 (neregistrovaný)
A jsem zase rad, ze na Windows pod limited user uctem se zapnutou Software Restriction Policy, ktera nedovoli spustit zadny kod mimo presne vymezene systemove adresare :-) Je to soucast jiz od Windows XP Pro SP2 a muze to tak mit kazdy. Antivir co otravuje v systemu samozrejme nepouzivam, je zbytecny. Pouze jednorazove kontroluji stazene soubory pred spustenim instalace Clamwinem.
-
Virus (neregistrovaný)
Takže antivirus používáte, akorát nepoužíváte realtime scanování spouštěných a otevíraných souborů.
Software Restriction Policy je fajn věc, pro některé typy použití počítače a velmi otravná věc, pro jiná použití. A chrání před některými viry, ale rozhodně ne před všemi. Žít jako součást jiného programu v jeho adresářích a v jeho modifikovaných DLL souborech a šířit se s tím programem při instalaci - to je velmi stará strategie virů. A v současnosti je celkem populární.
Takže pokud ten váš Clamwin neodhalí nakažené instalační soubory, tak vám SRP vůbec nepomůže a o viru se nedozvíte v okamžiku, kdy bude zařazen do databáze vašeho antiviru - ale až poté, co bude v Clamwin databázi a vy pustíte test systémového/programového disku. Což možná ani neděláte, takže v tom případě se to nemusíte dozvědět nikdy.Suma sumárum - rozhodně jste viry ohrožen mnohem více, než jakýkoliv uživatel linuxu (včetně tzv. BFU). Neřekl bych, že je to nějaký úspěch, který stojí za prezentaci linuxovému uživateli, na kterého reagujete.
-
P2010 (neregistrovaný)
To co pisete jsou nesmysly. Jedine ohrozeni hrozi z potencialne infikovane instalace software, coz lze minimalizovat pouzitim duveryhodneho zdroje (a kontrolou hashe, certifikatu atd.). Zbyle riziko je pak stejne jako na vsech ostatnich platformach.
Pokud neni clovek "zkousec ruznych zbytecnych humusu", tak nevidim jediny duvod, proc by to melo byt na nejake platforme nebezpecnejsi nez jinde.
Na "linuxoveho uzivatele" reaguji, protoze me porad nebavi cist ty dementni hovadiny, ze Linux je bezpecnejsi nez X. Neni.
-
Virus (neregistrovaný)
Buď jste můj příspěvek nečetl, nebo jste velmi sebekritický, když vlasní názor vydáváte za nesmysly. Já totiž nepíši nic jiného, než vy - že vám hrozí riziko z infikovaného instačního balíku.
S tím rizikem se dá pochopitelně pracovat - jak jste psal - ale v principu je to riziko pořád zásadně větší, než stejné riziko pro linuxové uživatele. Repozitáře linuxových distribucí obsahují škodlivý kód zřídka (a většinou se jedná spíš o prkotiny, než skutečně nebezpečný kód). Oproti tomu instalační zdroje softwaru pro windows jsou celkově promořeny viry mnohem více.
Sám jste psal, že instalaci kontrolujete jednorázově antivirem - takže sám chápete, že kontrola hashe, certifikátu a důvěryhodnost zdroje pomáhají, ale nefungují vždy, nebo je není možné vždy použít.
Pokud není člověk zkoušeč různých zbytečných humusů... Aha, už tu máme nějakou omezující podmínku. Na linuxu mohu být zkoušeč různých "zbytečných humusů" a poměrně dlouho si vystačím s repozitářem (tedy riziko limitně nula) a pokud chci být zkoušek "zbytečných humusů" mimo repozitář, tak to riziko je pořád velmi malé (a zanedbatelné proti windows světu). To co je pro vás zbytečný humus může být pro někoho jiného třeba aplikace, která řeší jeho specifický problém. Anebo aplikace nezbytná pro jeho práci. Anebo aplikace, která mu přináší zábavu. Od toho všeho je osobní počítač.
Já tenhle příspěvek píši z windows a reaguji na vás proto, že v tomhle linux prostě bezpečnější je. A abyste se alespoň přiblížil výchozí bezpečnosti linuxu, tak musíte udělat to, co jste psal: Musíte si zapnout SRP (což, jak už jsem dříve psal může být pro některé uživatele výrazné snížení komfortu) a musíte velmi pečlivě prověřovat, co instalujete (a občas prostě doufat, že vydavateli někdo nehacknul ftp).
-
P2010 (neregistrovaný)
A jeste poznamka o virove databazi. Neni to tak davno co se psalo, ze nektere firmy ty databaze viru sdileji. Takze by rozdil v rozpoznani viru nemel byt tak velky.
V okamziku kdy by byl nejaky virus detekovan az po instalaci je to stejne jedno, protoze uz je to v haji a musi vse pryc. Nedokazu si predstavit jine 100% reseni, nez pocitac vubec nezapinat :-) Potom uz jsou rizika srovnatelna, pokud zabranite nezadoucimu spusteni "dat" jako "kodu", coz je dnes nejcastejsi problem deravych prohlizecu (vsech, bez rozdilu), prehravacu (vsech) a dalsich pluginu (opet vsech).
Pouziti uctu s omezenymi pravy a SRP tyto problemy na Windows platforme eliminuje (jeste ve spojeni s ASLR). Vse ostatni uz je jen hloupost uzivatele, a ta je zcela multiplaftormni.
Lze sice tvrdit, ze statisticky jsou uzivatele systemu X hloupejsi (mene opatrni atd.) nez systemu Y. To ale nevypovida vubec nic o skutecnych technickych moznostech bezpecnosti systemu X a Y. Ktera je pouze rozdilne (ne)vyyuzita. A to je to, co me na techto neustalych zjenodusenych tvrzenich znacne vadi (cimz se omlouvam za mozna zbytecne hruby komentar vyse).
-
Virus (neregistrovaný)
Statisticky lze tvrdit, že windows jsou cílem, na který se útočí nejčastěji, což je kauzální s tím, že na windowsech jsou ty útoky nejčastěji úspěšné.
Je to kombinace technických možností systému, jeho rozšíření v kombinaci s jednotností systému a i typu uživatelů, kteří systém používají. Ale to je fuk. I kdyby to nakrásně bylo tím, že "Bůh prostě nemá windows rád", tak to nic nemění na tom, že widnows jsou vůči virům méně bezpečné.Pokud budete tvrdit např. toto
...
"pokud se zkušený uživatel windows vzdá části pohodlí a možností, které mu windows nabízejí, tak dosáhne bezpečnosti v zásadně srovnatelné s tím, co ostatní plaformy nabízejí, aniž by se musel omezovat"
...
tak nebudu namítat vůbec nic. Pokud budete jenom psát, že linux není bezpečnější, než windows, tak budu proti a budu to sem psát (pokud mne tedy nezačnete nudit). -
P2010 (neregistrovaný)
"pokud se zkušený uživatel windows vzdá části pohodlí a možností, které mu windows nabízejí, tak dosáhne bezpečnosti v zásadně srovnatelné s tím, co ostatní plaformy nabízejí, aniž by se musel omezovat"
Ano, to jste popsal zcela spravne. Jen bych to neoznacoval jako "pohodli", ale spise vzdani se principu nebezpecnosti ve vychozim nastaveni (aby to nebylo pro masove uzivatele "slozite"), kterou ma pak udajne resit anitivir. O cemz vime, ze je to blbost. Podobnym syndromem "jednoduchosti" trpi treba Android.
Potiz je, ze standardni prvky bezpecnosti (omezene uzivatelske ucty atd.) bezne na jinych platformach, jsou v pripade Windows povazovany za "omezovani". Pritom tam existuji uz od roku 1995 (Windows NT 3.51) a v "konzumnich" edicich od roku 2001 (Windows XP) a lze je pouzivat. Ze je typicti uzivatele nevyuzivaji vymenou za "jednoduchost" neni podstatne, to uz je jejich hazard. Zkratka pokud chci, dosahnu na Windows stejne bezpecnosti jako jinde a neprijde mi to nepohodlne, protoze to z principu jinak nejde.
To ze je statisticky vice pokusu o utoky na Windows nez Linux souvisi logicky s rozsirenim a typem uzivatelu, podobne je to i s Androidem. To ovsem nijak nesnizuje bezpecnost systemu jako takovou, pouze rizikovost pri instalaci software (prevazne neznameho puvodu).
-
Virus (neregistrovaný)
Já to označuji jako pohodlí, protože zapnout SRP může znamenat značné snížení pohodlí. Pro někoho vůbec, pro někoho značné - to je velmi individuální. Pochopitelně hodně záleží na tom jak je ta konkrétní aplikace, kterou chci/potřebuji napsaná, pro některé se musí dělat v SRP výjimky = otrava navíc.
Další věc, co jsme myslel pod pohodlím a možnostmi je opět to, co už jsem popisoval - tedy možnost bezpečně instalovat širokou nabídku aplikací ("tzv. zbytečné humusy"). Toho se prostě pod windows musím vzdát - anebo musím riskovat, že bude instalace infikovaná.
To jsou dva konkrétní příklady nepohodlí a omezení, které musím akceptovat, abych dosáhl bezpečnosti běžné na linuxu.
Vy jste vnesl do diskuze další příklad - uživatelské účty, to jsem vůbec neměl na mysli, to je na samostatnou diskuzi. I to je problém windows, že vychovaly vývojáře a uživatele, že uživatel = admin a tak ti, kteří používali účet s omezenými právy velmi dlouho bolestivě trpěli. Ale teď je rok 2012 a aplikací, které mají problém s omezeným účtem je minimum, takže tohle už nemá cenu řešit.
Bezpečnost systému pro mne zahrnuje všechny aspekty a včetně pravděpodobnosti, že mne při nějakém chování ohrozí virus. A v tom jsou windows prostě hůře. Je jedno, že technicky windows tohle a windows tamto.
-
AlyoSHA (neregistrovaný)
Hello,
Antiviraky odstranuju nasledky, ale nikdy neriesili problem. Je to ako ked ste uprostred mora na lodi v ktorej mate dieru. Namiesto aby ste ju zapchali tak len donekonecna vylievate vodu. Neefektivne. Hlupe. Taketo veci sa maju riesit na urovni OS a nie nejakeho kurvitka ktore iba plytva prostiedkami PC. Nikdy som celkom nepochopil komu toto vyhovuje kedze vecsina antivirov je zadarmo.
-
AlyoSHA (neregistrovaný)
Sam antiviraky nepouzvam lebo neni duvod. Bol som v tom ze vecsina AV je zadara. Alebo je to tak velky kseft ? Co ma s toho M$ okrem toho ze im to kazi meno? Je to vec nejakej tichej dohody ? Nie ze by ma to zaujimalo, ale ked uz o tom diskutujeme moze mi niekto objasnit ze quo bono ?
-
Lael Ophir (neregistrovaný)
Kdepak, jde o Windows Defender. Výrobci ostatních antivirových nástrojů mají samozřejmě velmi dobrou motivaci ho označovat za nedostatečný :D
Windows Defender má velkou výhodu v tom, že nezpůsobuje takové ty běžné problémy antivirů: nemaže omylem neškodné knihovny nebo systémové procesy (zdravím třeba autory AVG, které mazalo user32.dll), nezpomaluje počítač nehorázným způsobem (zdravím autory Norton Antiviru), neblokuje heuristicky akce které jsou ve skutečnosti v pořádku (zdravím autory McAfee díky kterému kolabovala instalace Service Packu), nezpůsobuje problémy s používáním aplikací (zdravím autory ESETu který způsobuje problémy v Outlooku). -
Radovan (neregistrovaný)
Defender a antivirus? Tohle slovní spojení nejde dohromady :-D
A to že McAfee narazil na vládní spyware fakt není jejich chyba, stejně jako to že Outlook je bezpečnostní díra velikosti kanálu La Manche, nebo to že nejlepší, nejstabilnější a nejbezpečnější operační systém (jehož části, třeba user32.dll, se občas chovají jako viry) nenechává dost prostoru a výkonu pro ostatní aplikace, ale žere veškeré zdroje sám, protože prý se tak (podle M$ mindfucku) lépe využije počítač... -
Lael Ophir (neregistrovaný)
To není PR kec. Když je ve Windows vestavěný antivirus, domácí uživatelé i menší firmy nemají ve Windows 8 moc důvodů hledat alternativu od třetí strany. Ke zmenšení trhu antivirových produktů samozřejmě může dojít bez ohledu situaci u té které korporace; to víte stejně dobře jako já.
-
jos (neregistrovaný)
shodou okolností mam už pár let možnost vidět PR kecy přímo na budově centrály M$ (BBC, Vyskočilova), při vydání visty i sedmiček se tam objevovaly vzletný fráze o tom, jak je ten novej systém bezpečnejší; a stalo se HOVNO; domácí uživatelé a menší firmy už teď mají antivir zadarmo (kayž na to maj žaludek), kolik z nich je součástí botnetů je ve hvězdách
to, že to teď není jen další PR kec, je jen tvoje zbožný přání, čimž netvrdim že se ti nesplní, ale pokud tomu moje korporace neuvěří, tak to bude kurevsky špatnej signál (buďto toho, že nevěří svýmu hlavnímu dodavateli desktopovejch OS, nebo že sou manageři už prostě zvyklí na to to takhle prostě dělat)
a jakkoliv takový situaci nefandim, tak bych se nedivil, kdyby zasáhla EU a ten tvuj slavnej defender dopadne jako IE (myslim ballot screen, ne stále ještě nesmyslně vysokej podíl na trhu)
-
Lael Ophir (neregistrovaný)
Novější verze Windows opravdu jsou bezpečnější. A že se situace s rozšířením malwaru až tak výrazně nezměnila? Tady si pomůžu citátem: 'Now, here, you see, it takes all the running you can do, to keep in the same place. If you want to get somewhere else, you must run at least twice as fast as that!'
-
Lael Ophir (neregistrovaný)
Ono je to trochu složitější. Viry se šíří primárně třemi cestami:
1. Blbost uživatele. Sem spadá například instalace aplikace z neověřeného zdroje, včetně nelegální distribuce SW, keygenů apod. A samozřejmě různé svinstvo šířené emailem. Když uživateli v mezinárodní firmě dojde mailem například upozornění vyzývající k vyzvednutí souborů naskenovaných síťové multifunkční tiskárně a obsahuje to jako přílohu executable s ikonou dokumentu PDF, spousta lidí na to klikne, potvrdí jakékoliv varování, a je vymalováno. Někteří dovedou i rozzipovat přiložený soubor pomocí hesla přiloženého v obrázku, a spustit zavirovaný executable. Tohle primárně řeší vzdělávání uživatelů, a trochu tomu lze pomáhat výraznějšími varovnými dialogy a antivirem. Systém to může řešit jen za cenu toho, že budou instalace omezeny na digitálně podepsaný SW (tedy uzavřená distribuce SW jako u iPhonu a Windows Phone).
2. Zero day vulnerability. Tohle se naštěstí nestává moc často, ale na to dojde, je to celkem problém. Tohle jednoznačně má řešit autor OS nebo SW.
3. Využívání starších zranitelností SW, které je možné díky absenci záplat na stroji. Tohle je opět na uživatele, a občas na autory aplikací, kteří implementují aktualizace špatně či vůbec.Drtivá většina problémů jde na vrub uživatelům. Díra v lodi v téhle situaci jaksi není, uživatel si ji "chytře" vyrobí sám. A za to pak zaslouží díru do hlavy :)
-
Lael Ophir (neregistrovaný)
Předpokládám že ideálním novým začátkem je vzít nějaký UNIX ze sedmdesátých let s monolitickým kernelem, ten opsat jedno volání API po druhém, použít "osvědčené technologie" jako systém stovek terminálů a jejich definic, pomalé a ohledně specifikace rozpatlané X11, systém major/minor node (na RAIDu to udělá fakt radost), nějaký "klasický" FS typu ext2/3, a k tomu vymyslet i něco inovativního, jako třeba OOM Killer :D. A samozřejmě když tu to má být OS unixového stylu, tak radši bez POSIX kompatibility :)
-
Lael Ophir (neregistrovaný)
Windows jsou odjakživa celkem spolehlivý systém. Spousta lidí má samozřejmě trochu jinou zkušenost. Proč? To vezmete pár kusů necertifikovaného a nevyzkoušeného HW, vadnu paměť. sestavíte to v garáži, naplácáte k tomu necertifikované drivery které někdo zprasil, k tomu naintalujete nějakou aplikaci co přepíše pár systémových knihoven beta verzemi, a je vymalováno.
I já jsem viděl instalace dojebané tak že padaly na blue screen co hodinu, a sestavy na kterých nešlo bez chyb dokončit an instalaci Windows. Nicméně tohle není problém Windows. -
Clovece, vy mate dneska nejakou veselou opici. Widle odjakziva celkem spolehlive? Takovou blbost jsem jiz dlouho neslysel. Widle zacaly byt jakz takz stabilni s prichodem rady NT 3.x. Melo to sice strasny meziksicht, ale co se tyce stability, byl to obrovsky pokrok. Pouzitelne GUI tomu prinesla rada 4.0. Nekdy po SP 3 to bylo celkem stabilni. Ale i tak s tim byly problemy a obcas se clovek reinstalaci nevyhnul. Ale aspon to nebylo take kazdy mesic, jako u starsich Widli.
Pro srovnani: Linux jsem musel reinstalovat jen jednou a to pouze nedostatkem znalosti, kdy jsem si dokurvil Gentoo a tehdy jsem v tom moc neumel chodit a nevedel jsem, jak to opravit. Jinak reinstaluji jen tehdy, kdyz chci jine distro a to dnes moc casto neni. Debian mam na desktopu uz dlouho, predtim jsem mel na routeru Debian nekdy od Brambory. Nikdy jsem ho nepreinstalovaval, pouze prendaval disk do rychlejsiho stroje nebo preleval pomoci Knoppixu na vetsi ci mene ojety disk.
-
Lael Ophir (neregistrovaný)
Windows 3.x měly samozřejmě svoje mouchy, konkrétně kooperativní multitasking a nedokonalé oddělení aplikací. Nicméně i takový systém může celkem úspěšně fungovat, pokud máte vychovavé aplikace a funkční drivery.
Reinstalace systému je typické řešení pro uživatele bez znalostí, který si systém rozhasil tak, že už neví co s ním.
-
Hm, je skoda, ze MS s instalacnimi disketami nedodaval i seznam vsech tri vychovanych aplikaci a vsech sedmi funkcnich driveru, aby se uzivatel zbytecne vyvaroval zklamani z nestabilniho systemu. BTW, pocitam, ze kdyz se pozdeji objevil IE, tak by na tom seznamu nebyl.
Reinstalace systému je typické řešení pro nestabilni system, kteremu se pri krachu dokurvi soubory. A po pravde receno, W 3.1 timto jeste moc netrpely. Sice krachovaly dost casto a clovek je obvykle preventivne kazdou hodinu nebo pri podivnem chovani restartoval, ale i po krachu typicky najely bez problemu a s nainstalovanou Norton cache to ani netrvalo moc dlouho - bez ni to byl dost des. Potize zacaly az s 3.11, ktere prvni zavedly registry. Nastesti se ale zatim jednalo o duplicitni konfiguraci vytvorenou z textaku a tak stacilo registry vymazat, pri pristim startu se vytvorily nove a jelo se dal. Ten pravy pruser nastal az s W 95, ktere mely konfiguraci prakticky celou v registry, nicmene nebyly stabilnejsi, nez predchozi verze. Dnes uz kvuli registry moc Widle nekrachuji, vetsinou dochazi akorat ke znamemu bobtnani zasiranim prehistorickymi, neuklizenymi nebo poskozenymi klici a ke fragmentaci s naslednym zpomalovanim Widli, az cloveku rupnou nervy a radsi to preinstaluje, protoze ani snad po patnaci letech MS stale jeste nedodal nastroj na opravy a uklid registry. Nastroj na opravu by asi napsat sel, ale nastroj na uklid by nejspise byl dost husty - v takovem chlivu se uklizet neda. Kdo se o to kdy pokousel rucne, vi, o cem mluvim.
-
Lael Ophir (neregistrovaný)
Těch vychovaných aplikací bylo celkem dost. S drivery opět nebyl problém, pokud jste se držel Hardware Compatibility Listu. Samozřejmě tehdejší počítače ve východní Evropě byly nejlevnější plečky sestavené ze šrotu, takže na nich Windows fungovaly všelijak. V době Win9x mi prošla rukama řada strojů, na kterých neprošla ani instalace, spousty vadných paměťových modulů, desek na kterých Windows byly prostě nepoužitelné, zdrojů které způsobovaly nestabilitu stroje atd.
Windows se mi kvůli Registry zhroutily jen když odešel FS díky vadnému HW. Ovšem tam by mi konfiguráky nijak nepomohly. Fakt nevím, jaké problémy jste pořád řešil. Faktem ale je, že koupě počítače bez certifikace a bez důkladného ozkoušení byla tehdy v ČR sázka do loterie.
Bobtnání Registry je úplně stejný problém, jako bobtnání FS na unixech. Při odinstalaci aplikace se zpravidla neodinstalují závislosti. A když je odinstalujete, stejně vám zůstane po disku spousta konfigurace v /etc i v home adresářích uživatelů. A podobně jako ve Windows to vůbec není problém. Zpomalování Windows mají daleko spíš na svědomí hromady doplňků shellu, které si uživatelé tak rádi instalují. Integrace pěti kompresních programů, prohlížečky obrázků, antiviru, a hromady dalších nesmyslů... Každý z těch doplňků má vlastní knihovnu, často se zaregistruje na všechny typy souborů, a samozřejmě při zobrazení například kontextového menu musí proběhnout obsluha všech těch doplňků (které třeba u kompresního programu může zahrnovat kontrolu obsahu archivu). Skvělé jsou také shortcuty na UNC cesty ve Start Menu. Jinými slovy hledáte problémy úplně jinde, než kde ve skutečnosti jsou.
-
Nevim, jak jsou na tom jina distra, ale distra debianiho typu umi zavislosti vypucovat (apt-get autoremove, deborphan atd). Svincik nich celkem nevznika. Par souboru v /etc problemy nezpusobuje, krome toho se /etc da vycistit jednim prikazem. dotsoubory a adresare v /home take nikomu nevadi.
Na Widlich si nikdy nanosy srgor neinstaluji, nicmene rychlost je vzdy cim dal men ohromujici. Je to slimak, ktery se snazi uzivatele pripravit o nervy. Resit to lze asi jenom dukladne nadupanym HW. Pak clovek ziska odezvu srovnatelnou s Linuxem a mnohem slabsim stroji.
A uplne srackovy HW jsem mel jen jednou. Bylo v tom mobo Tomato a nebyl to zadny zazrak. Ale pady napriklad s W98 jsem mel i tom lepsim HW. Nastesti jsem mel W 98 zapakovane z W NT 4.0 a kdyz lehly, proste jsem je znovu nakopiroval na disk. Pouzival jsem je stejne akorat snad kvuli softu na scaner a nejake dalsi ptakovine, ktera na NT nesla. Na vetsi pouzivani byly 98 opravdu o nervy. BTW, videl jsem v zivote pouze jednu konfiguraci, na ktere 98 skoro nepadaly. Jinak to byla vzdy hruza.
-
Lael Ophir (neregistrovaný)
To je zatraceně zvláštní. Pár souborů v /etc nebo v home adresáři problémy nezpůsobuje, kdežto pár záznamů v HKLM nebo HKCU by podle vás problémy způsobovat mělo. V čem je tedy rozdíl? Jak konkrétně váš počítač zpomalí existence klíče HKLM\Software\Manufacturer\SomeProduct?
Srovnání rychlosti posledních mainstreamových dister Linuxu s poledními verzemi Windows rozhodně nevyznívá ve prospěch Linuxu.
Já měl například počítač, který několikrát denně padal. Byl tam driver nějaké málo rozšířené videokarty od ATI, necertifikovaný, ale vypadal od pohledu celkem rozumně. Na webu výrobce jiný driver nebyl. Po dvou dnech zkoumání jsem zjistil, že ovladač toho samého HW je v instalaci nějaké verze DirectX, když ji rozbalím (instalace ten driver ale sama od sebe neaktualizovala - možná měl ten od výrobce vyšší číslo verze). Nainstaloval jsem tenhle driver, a pak jsem pár let ten počítač naprosto bez problémů používal. Jindy jsem si koupil skvělou zvukovou kartu s 5.1 výstupem přes S/PDIF, což mimochodem není samozřejmost - běžně ty karty uměly jen AC3 passthrough a PCM stereo. Výrobce BlueGears, chip tuším C-Media 8738 (velmi okrajová záležitost). Driver byl necertifikovaný, ale risknul jsem to. A moje Windows 2000 najednou padaly co pár dní, aktualizace driveru nepomohly. Použil jsem driver od jiného výrobce (dalo trochu práce ho sehnat a donutit fungovat), a najednou bylo po problému. Stačí jediný špatný driver, a stabilita jde do háje.
-
>To je zatraceně zvláštní. Pár souborů v /etc nebo v home adresáři problémy nezpůsobuje, kdežto pár záznamů v HKLM nebo HKCU by podle vás problémy způsobovat mělo. V čem je tedy rozdíl?
Toz, to nevim, to byste mel vedet spise vy. Ale predstavuji si, ze cteni z registry neni az tak uzasne rychle, jak se nam snazite namluvit. Treba je ta konfigurace dementne rozptylena po tech nejakych 10 MB. Kousek tady, kousek tamhle, kde byla zrovna dira po nejakem zrusenem klici. Kdezto na Linuxu se precte typicky jeden soubor, typicky v jednom alokacnim bloku a mame vymalovano.
-
Lael Ophir (neregistrovaný)
Vaše představa o čtení konfigurace z konfiguráku je dost vtipná. Samozřejmě nejde o jeden blok. Ten soubor je na FS, takže musíte lokalizovar root, /etc, případný podadresář, ve struktuře adresáře najít referenci na soubor, a pak teprve můžete načíst ten blok s konfigurací. Ta vlastní konfigurace může být na opačném konci disku než informace o adresáři ve kterém se nachází (takže je čtení konfigurace doslova rozeseté po celém disku). A když už ty bloky s konfigurákem nakonec najdete, čeká vás slow search a parsing, abyste našel a načetl požadovanou hodnotu.
Čtení z Registry je ve srovnání s konfigurákem zatraceně rychlé, o zápisu ani nemluvě. Naprostá většina operací navíc díky cachování probíhá v RAM.
Jinými slovy pokud se vám Windows zpomalují, bude to spíš službami spouštěnými při startu, aplikacemi spouštěnými při přihlášení, různými doplňky shellu, a možná fragmentací FS (od Visty výše ale probíhá defrag FS automaticky na pozadí). Rychlost Registry s tím nemá co dělat.
-
Predpokladam, ze vetsina tec strasnych veci, o kterych pisete, ze se musi najit, nez bude cten vlastni konfigurak, bude k dispozici v cache po te, co bude prvne pristoupeno k cemukoliv v /etc.
Proc se Widle zpomaluji, nevim. Ale nejakymi sluzbami to nebude. Urcite ne u mne, protoze obcas si dam tu praci a zastavuji sluzby a blbosti s autostartem od ruzneho softu, ktery na stroji mam. A nemam ho tam az tak moc. Takze pri bootu toho az tak moc nezbyva.
-
>Drobný problém je v tom, že uživatelé potřebují spouštět programy.
Pokud uzivatel chce spoustet programy, bude si je na Linuxu muset nainstalovat nebo si na nich nastavit priznak - a pak muze nadavat akorat na sebe, kdyz vyvine tolik usili ke spusteni nejakeho svinstva. Tedy na smejd z mailu si muzete klikat treba tyden a nic se nedeje.
>ILOVEYOU byl mimochodem skript s dvojitou příponou .txt.vbs
No prave.
-
Lael Ophir (neregistrovaný)
Byli tu případy, kdy uživatelé rozbalili zaheslovaný archiv heslem přiloženým v obrázku, a program spustili. Před vlastní blbostí uživatele neochráníte. Navíc pokud netrváte na digitálním podpisu instalovaného SW a uzavřené distribuci, technicky nelze zajistit, aby si uživatel nespustil nebo nenainstaloval malware. Zkomplikovat to můžete, ale problém to neřeší, a je to za cenu složitějšího postupu při spouštění programů, instalací a skriptů.
Zrovna na Linuxu stačí mít nastavený příznak, co na removable mediu znamená trochu problém. A když ho dáte přimountovat jako noexec, zase z něj nic nespustíte - žádné oblíbené aplikace na USB klíčenkách apod.
-
Jo, k tomu si ale pripoctete, ze typicky widlak provozuje Widle pod adminem, coz v Linuxu delaji jen ti nejtezsi blbci. Linux je i udelany tak, ze se jako radovy user pouziva dobre. Kdyz chci spustit aplikaci, ktera potrebuje roota (treba Etherape), je v launcheru typicky pripravene nejake graficke sudo, rekne si o heslo a je to. Tohle jsem ve Widlich nikdy nevidel a vzdy jsem si to musel sam dodelat nebo otravne klikat na RunAs...
Dnes MS do systemu dodelal kokotiny, ktere obchazeji spatne navyky, ktere soudruzi z Redmondu v uzivatelich vytvorili. Vysledkem je, ze kdyz clovek chce chvili adminovat, tak zjisti, ze vlastne neni tak uplne admin a musi veci spoustet nejakym uchylnym zpusobem a se zvlastnim kloboukem na hlave, aby aplikace mela doopravdy prava admina. Coz jiste "zvysuje" pohodli administratora. MS na to jde zase uplne jinak, nez kdokoliv se zdravym rozumem. Nebudeme lidi nutit, aby neprovozovali Widle pod adminem, namisto toho z admina udelame poloadmina.
-
Lael Ophir (neregistrovaný)
Windows se pod řadovým uživatelem také používají snadno. Problém je v tom, že při administraci musíte pořád dokola zadávat heslo admina. A domácí uživatel, který si administruje stroj sám, se prostě radši učiní adminem.
Mimochodem používání počítače pod řadovým uživatelem dávno neposkytuje ochranu, kterou byste od toho asi čekal. Malware může prostě pracovat pod restricted userem. Úplně stejně může ukrást dokumenty, zúčastnit se DDoS útoku nebo rozesílat spam.
-
Ano, malware muze jet i pod radovym userem. V takovem pripade si ale snadno udelam novy profil, zkopiruji data a mam uklizeno. Zadne stealth rootkity a podobne.
Adminovat se da i pod radovym userem, staci si spustit treba FreeCommander pod adminem a z nej mam skoro vsechno pristupne. Kdyz to napadlo me, mohlo to napadnout i nejakeho genia z Redmondu a mohli na to napsat nejakou aplikaci.
-
Lael Ophir (neregistrovaný)
Pokud se dostane malware do profilu uživatele, je už pozdě. Například tomu vašemu grafickému sudo zadáváte rootovské heslo z klávesnice, a dá se snadno odposlechnout. Ve Windows před tímhle sice existuje ochrana, ale na nějakou formu privilege escalation může dříve či později dojít. Problémem jsou navíc hlavně ti uživatelé, kteří se o svůj stroj neumějí pořádně postarat. Ti mnohdy infekci ani nezjistí, natož aby si s ní uměli poradit.
Už nejméně 6 let můžete pustit pod adminem samozřejmě i Explorer.
BTW na unixech je mimořádně špatně řešená správa rolí. SUID je z hlediska bezpečnosti snad to nejhorší, co si člověk může vymyslet. Vůbec celý bezpečnostní koncept unixů je mizerný. Například čtení a změnu parametrů sítě může udělat jen root(!), a řeší se to utilitou která má nastavený SUID bit (ifconfig). API samozřejmě popsané není, protože takové věci jako nastavení sítě přece nikdo nepotřebuje :).
Srovnajte to s konceptem ve Windows. Na podobné akce existují dokumentovaná API (například IP Helper), a oprávnění se neřeší tak že root může vše, ale pomocí konfigurovatelných privileges a ACL (SeCreatePagefilePrivilege, SeDebugPrivilege, SeLoadDriverPrivilege apod). -
>Pokud se dostane malware do profilu uživatele, je už pozdě. Například tomu vašemu grafickému sudo zadáváte rootovské heslo z klávesnice, a dá se snadno odposlechnout.
Programu v userspace by nemelo asi byt povoleno zahakovat si klavesnici, zejmena, pokud bezi nejake sudo. A pokud vim, neco takoveho jsem nekde na Linuxu videl - bezi dialog na zadani hesla a ostatni jsou od klavesnice odstrizeni. Jak to je typicky resene tedy nevim.
>Už nejméně 6 let můžete pustit pod adminem samozřejmě i Explorer.
Mozna. XP to ale furt jeste neumi. Krome toho, pokud mam na vyber mezi FC a WE, tak na WE nesahnu ani klackem od hovna.
-
Lael Ophir (neregistrovaný)
X11 funguje pomocí X11 client messages. Každý uživatelský vstup vyvolá event, a aplikace je mohou legálně získávat. Navíc můžete monitorovat vykreslení dialogu s dotazem na heslo a překreslit přes něj vlastní okno, změnit titulek okna, nechat zmizet prvek GUI, a vůbec dělat hromadu špatných věcí. Dále můžete použít environment variable LD_PRELOAD pro filtrování/poslouchání/modifikaci volání API, nebo si třeba napsat X11 proxy a na tom pak odchytávat/modifikovat X11 messages. Aktivity browseru zase odchytíte skrytě nainstalovaným doplňkem, případně nastavením proxy bez vědomí uživatele. Fakt vás na tyhle unixové techniky musí upozorňovat uživatel Windows? :)
http://securityvulns.ru/articles/reveng/
http://john.nachtimwald.com/2009/11/01/x11-intercept-window-close-event/Ve Windows je feature zvaná Secure Desktop (ta zšedlá obrazovka), která minimálně problém s odchytáváním eventů celkem elegantně řeší. Na Secure Desktop totiž message nepošlete, ani nic nezahookujete. Nevím o žádné obdobně neprůstřelné implementaci na Linuxu.
Windows XP opravdu neumí pouštět Explorer pod adminem. Ale připadá mi dost irelevantní se bavit o 10 let starém systému.
Jako bývalý uživatel XTree Gold mám s Windows Explorerem daleko menší problém, než s různými těmi obšlehy NC, které přebírají jeho pravěký styl ovládání, naprosto odlišný od všech ostatních aplikací. F5 znamená ve Windows Refresh, nikoliv Copy. CTRL+C znamená Copy, nikoliv Drive-C. BTW Windows Explorer vám vykresluje i desktop, taskbar, Control Panels atd., tak si moc nestěžujte :) -
Radovan (neregistrovaný)
"Srovnajte to s konceptem ve Windows."
Třeba grafické služby přímo v jádře systému? To mohl vymyslet fakt jen úplný dement odchovaný na QBasicu! Aneb proč na zavirování systému stačí pouhý obrázek a sebevětší omezování usera tomu nemůže nijak zabránit...
Proti tomu jsou rozbujelé středověké X11 ryzí zlato :-D -
Lael Ophir (neregistrovaný)
Grafické služby v jádru mají daleko lepší výkon než v user space. Data stačí na zavirování systému v dlouhé řadě případů, když využijete vhodnou díru v obslužném SW. Příkladem mohou být díry v zlib a libpng. Tyhle knihovny jsou při práci uživatele velmi často používané, a tedy před nimi uživatele neochráníte.
Jasně, X11, to je výhra. Sice je velmi pomalé, specifikace je rozpatlaná, vzdálený přístup je nemožně pomalý, na přerušenou session se nelze znovu připojit, z řešení fontů by jednomu vypadaly vlasy a možná i nehty, ale jinak je to vlastně super technologie :). V devadesátých letech se účet X11 celkem trefně vtipkovalo. Víte jak zabít najednou CPU i network? Spusťte si xclock přes síť :). Dnes mámte sice rychlejší CPU i sítě, ale pointa zůstává.
-
Radovan (neregistrovaný)
Ono se v devadesátých letech celkem trefně vtipkovalo na různá témata, hodně těch bohužel vtipů platí dodnes:
Air DOS
Všichni roztlačuji letadlo až se vznese, pak do něj naskočí a nechají letoun letět, dokud zase nespadne na zem. Pak znovu roztlačují, naskakuji znova a tak dále ...Windows Air
Terminál je pěkný a barevný, stewardky jsou přátelské, odbavení je snadné, start je plynuly. Asi po 10 minutách ve vzduchu letoun bez varování exploduje.Windows NT Air
Stejně jako Windows Air, ale dražší, používají o mnoho větší letadla a exploze zničí zároveň všechna letadla v okruhu 50 km.To řešení fontů pochází z půlky osmdesátých let, a když ho porovnám s řešením fontů v poněkud novějším DOSu (když to o pár let později M$ konečně odněkud okopíroval), tak je to sněhobílá labuť proti kupě kravského lejna. A je zpětně kompatibilní dodnes, chtěl bych vidět jak font z DOSu 5 používáte v jehoVistách :-D
Ale hlavní je, že v jádře je to rychlejší, včetně rychlosti nabourání libovolným virem, kterých se sítí potulují miliony, co? Výhoda za všechny Gatesovy prachy, protože za chyby se platí (také jeden vtip z devadesátých)... -
Lael Ophir (neregistrovaný)
Už to nehulte. Řešení fontů v X11 je příšernost z půlky osmdesátých let, na tom se shodneme. Dál se vám to už nějak zamlžilo. MS podporu grafických fontů v DOSu vůbec neměl. Bitmapové i TrueType fonty z Windows 3.x můžete samozřejmě klidně používat i ve Windows 8. A v GDI byla za ty roky jediná kritická díra, což by se u open source vývoje jistě nestalo - bylo by jich daleko víc :)
http://fergdawg.blogspot.cz/2006/05/dhs-audit-flags-critical-x11-unixlinux.html
http://news.softpedia.com/news/Critical-Vulnerability-Silently-Patched-in-Linux-Kernel-152678.shtml -
My pouzivame Avast a kdyz chytneme neznamy virus pomoci nasich trap emailu a posleme jim ho tak ho do nekolika dnu zacnou detekovat.
Vylozene spokojenost. Jeste mame Avira antivirus a ty jsou jeste rychlejsi, vetsinou se jedna o radove hodiny.
Je to vsechno o penezich. Kdyz jste velky zakaznik, tak mate prioritu.
