forum.opennet.ru

Составление сообщения

Исходное сообщение

"Руководство по использованию Capsicum для изоляции выполнени..."
Отправлено Kibab, 18-Май-12 20:55

> Ну все замечательно, конечно, но это аж 2 программы. При том далеко
> не самые проблемные в плане реальных взломов через них. Что это
> напоминает? Правильно, похоже на microsoft‑windows‑xp‑with‑firewall.jpg
Знаете, сейчас один из самых реальных и действенных способов ломануть юзера (помимо social engineering, ликвидация проблем в этой области находится вне компетенции программистов) -- это через браузер, через его дыры. В этом плане безусловным молодцом является так нелюбимый на этом форуме Google Chrome, который как раз интенсивно использует доступные на целевой платформе технологии обеспечения безопасности. Кстати говоря, поддержка Capsicum была туда уже добавлена в ходе изначального эксперимента, см. подробнее публикации по Capsicum. Там же было хорошее сравнение различных механизмов безопасности на различных ОС, и Linux выглядел не в самом лучшем свете. Правда, seccomp filter там ещё не было. Но, судя по тому, что я видел в факе по ссылке выше, особо ничего не поменялось. Такая же наколеночная поделка.
>> Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета,
>> и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum.
> Я рад за вас, но к чему это все? Попонтоваться?
"Попонтоваться" можно было бы, если бы это был я ;)))
> А вот тут то и
> будет основной болт, ровно такой же как случился в винде. У
> которой технически есть куча пермиссий на все что можно, но практически
> - оно настолько задрюкано что прикладники просто кладут на это.
Ещё раз настоятельно рекомендую ознакомиться с публикациями про Capsicum. В том числе там подробно рассказано, почему механизмы безопасности Windows, призванные защищать данные одного юзера от другого, плохо работают для сендбоксинга приложений.
> это дружно. Прикладники положили - юзерам пришлось сидеть под админом. Иначе
> половина прикладух ломается непредсказуемым образом. Но некоторые видимо не хотят учить
> чужие ошибки. Да, это кстати и к seccomp filter относится. Ну
> и будет еще два раза по microsoft‑windows‑xp‑with‑firewall.jpg
> на практике.
Да, у большинства авторов руки растут из жопы и про безопасность они не думают. Что, это повод пользоваться дырявым софтом?
> То-есть, бсдшники положат сами на себя? Помнится им тут однажды paxuser довольно
> конкретно раздал, сравнив разные технологии hardening-а.
Кто это? я его не знаю. Можно ссылку на дискуссию? Было бы интересно почитать!

Исходное сообщение
"Руководство по использованию Capsicum для изоляции выполнени..." Отправлено Kibab, 18-Май-12 20:55
> Ну все замечательно, конечно, но это аж 2 программы. При том далеко > не самые проблемные в плане реальных взломов через них. Что это > напоминает? Правильно, похоже на microsoft‑windows‑xp‑with‑firewall.jpg Знаете, сейчас один из самых реальных и действенных способов ломануть юзера (помимо social engineering, ликвидация проблем в этой области находится вне компетенции программистов) -- это через браузер, через его дыры. В этом плане безусловным молодцом является так нелюбимый на этом форуме Google Chrome, который как раз интенсивно использует доступные на целевой платформе технологии обеспечения безопасности. Кстати говоря, поддержка Capsicum была туда уже добавлена в ходе изначального эксперимента, см. подробнее публикации по Capsicum. Там же было хорошее сравнение различных механизмов безопасности на различных ОС, и Linux выглядел не в самом лучшем свете. Правда, seccomp filter там ещё не было. Но, судя по тому, что я видел в факе по ссылке выше, особо ничего не поменялось. Такая же наколеночная поделка. >> Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета, >> и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum. > Я рад за вас, но к чему это все? Попонтоваться? "Попонтоваться" можно было бы, если бы это был я ;))) > А вот тут то и > будет основной болт, ровно такой же как случился в винде. У > которой технически есть куча пермиссий на все что можно, но практически > - оно настолько задрюкано что прикладники просто кладут на это. Ещё раз настоятельно рекомендую ознакомиться с публикациями про Capsicum. В том числе там подробно рассказано, почему механизмы безопасности Windows, призванные защищать данные одного юзера от другого, плохо работают для сендбоксинга приложений. > это дружно. Прикладники положили - юзерам пришлось сидеть под админом. Иначе > половина прикладух ломается непредсказуемым образом. Но некоторые видимо не хотят учить > чужие ошибки. Да, это кстати и к seccomp filter относится. Ну > и будет еще два раза по microsoft‑windows‑xp‑with‑firewall.jpg > на практике. Да, у большинства авторов руки растут из жопы и про безопасность они не думают. Что, это повод пользоваться дырявым софтом? > То-есть, бсдшники положат сами на себя? Помнится им тут однажды paxuser довольно > конкретно раздал, сравнив разные технологии hardening-а. Кто это? я его не знаю. Можно ссылку на дискуссию? Было бы интересно почитать!

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Ну все замечательно, конечно, но это аж 2 программы. При том далеко 
>> не самые проблемные в плане реальных взломов через них. Что это 
>> напоминает? Правильно, похоже на microsoft‑windows‑xp‑with‑firewall.jpg

> Знаете, сейчас один из самых реальных и действенных способов ломануть юзера (помимо 
> social engineering, ликвидация проблем в этой области находится вне компетенции программистов) 
> -- это через браузер, через его дыры. В этом плане безусловным 
> молодцом является так нелюбимый на этом форуме Google Chrome, который как 
> раз интенсивно использует доступные на целевой платформе технологии обеспечения безопасности. 
> Кстати говоря, поддержка Capsicum была туда уже добавлена в ходе изначального 
> эксперимента, см. подробнее публикации по Capsicum. Там же было хорошее сравнение 
> различных механизмов безопасности на различных ОС, и Linux выглядел не в 
> самом лучшем свете. Правда, seccomp filter там ещё не было. Но, 
> судя по тому, что я видел в факе по ссылке выше, 
> особо ничего не поменялось. Такая же наколеночная поделка.

>>> Далее, один из основных разрабочиков OpenSSH сидит от меня через два кабинета, 
>>> и он в кулуарных разговорах высказывал заинтересованность в поддержке Capsicum.
>> Я рад за вас, но к чему это все? Попонтоваться?

> "Попонтоваться" можно было бы, если бы это был я ;)))

>> А вот тут то и 
>> будет основной болт, ровно такой же как случился в винде. У 
>> которой технически есть куча пермиссий на все что можно, но практически 
>> - оно настолько задрюкано что прикладники просто кладут на это.

> Ещё раз настоятельно рекомендую ознакомиться с публикациями про Capsicum. В том числе 
> там подробно рассказано, почему механизмы безопасности Windows, призванные защищать данные 
> одного юзера от другого, плохо работают для сендбоксинга приложений.

>> это дружно. Прикладники положили - юзерам пришлось сидеть под админом. Иначе 
>> половина прикладух ломается непредсказуемым образом. Но некоторые видимо не хотят учить 
>> чужие ошибки. Да, это кстати и к seccomp filter относится. Ну 
>> и будет еще два раза по microsoft‑windows‑xp‑with‑firewall.jpg 
>> на практике.

> Да, у большинства авторов руки растут из жопы и про безопасность они 
> не думают. Что, это повод пользоваться дырявым софтом?

>> То-есть, бсдшники положат сами на себя? Помнится им тут однажды paxuser довольно 
>> конкретно раздал, сравнив разные технологии hardening-а.

> Кто это? я его не знаю. Можно ссылку на дискуссию? Было бы 
> интересно почитать!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру