>>Это за него сделает браузер(через какой-нибудь zero-day)...
>
>Вот только дебиян секурити тим или кто там еще - все-таки не
>майкрософт, месяц ждать пока всех поимеют они не будут. Если вы
>не заметили - файрфокса и в винде не сильно то ломают. Спорить не буду, в целом согласна.
>>$(bash) /tmp/virus.sh
>
>Браузер может иметь свою точку зрения на то куда качать временный файл.
>Нет, в принципе может наверное прокатить что-то такое. Но как-то очень
>геморройненько, эффект сомнительный, а запатчат быстро и апдейты раздадут.
Это детали реализации.
>>Сможет спамить и DDoS-ть, и переписать любые файлы в хомяке, а так
>>же забиндится на любой порт, залить свою копию с эсплойтом по
>>тому самому дурацкому ftp, и т д
>
>И куда он эту копию лить будет? :)
Ну как виндовая мразь распространяется? Через кривой, в дизайне, ftp (кто бы из уважаемых деятелей написал rfc, о том, что ftp устарел, юзайте только ftps?)
>>Но все это будет быстро перекрыто, так как SELinux, грамотно настроенный, никогда
>>не даст сделать
>
>Есть и иные методы. У корпоративщиков например стандартная тактика - "все через
>прокси с авторизацией". В итоге троян получит от ворот поворот. А
>откуда он логин и пасс к проксе возмет?
Да, все что не разрешено, должно быть запрещено (с) и это правильно :)
>[оверквотинг удален]
>в нем сам запутаюсь и чтонить напортачу, так что уж отвечать
>за последствия я как-то совсем не хочу. ИМХО в случае паранои
>проще порезать систему которую параноидально охраняем на виртуальные контейнеры с простой
>конфигурацией, где в силу простоты конфиги будет просто мониторить всю левую
>активность и можно заменить системные утилсы на капканы. В итоге взломщик
>попросту немедленно спалится а дальше - ну можно например автоматически рубануть
>с хоста проблемный контейнер и отослать аларм админу. При этом все
>остальные контейнеры будут не затронуты фактом взлома совсем. Как по мне
>- поимение одного виртуального контейнера всяко лучше чем поимение всей
>железяки.
Посмотрите SELinux Sandbox. Я не видела (пользуюсь им более "хардкорно"), но говорят, что вполне юзерофильно.
Это же классно, что проблемы вирусной угрозы, что бы не пели Windows-фанатики про малораспространненность платформы, просто нет начисто, она решается бесповоротно, а на Windows десктопе Вы обречены вечно пользоваться неудобно сделанными технологиями 70-х годов (UAC и AD, неудобность, конечно, в большей степени про UAC) и 90-х (антивирусы), а новых решений как не было все эти годы, так и нет.
Проще было насильно "толкать" тормозное Aero ноутбучным вендорам, что бы заставить конечных пользователей еще раз купить Vista Business с правом даунгрейда.
Зачем что-то делать, если и так все работает, да еще и налоги за дыры можно собирать?