Vlákno názorů k článku
Jabbim Archive postihl velký únik dat VIP uživatelů od Oraculum - Za to muze Zuzana

Jenze personalistka maka nekde v nejake firme. Ta ma admina a ten ma personalistce skrouhnout prava a dat ji jen takova, jaka potrebuje. Urcite personalistka nema jet pod adminskym uctem s tim, ze to nejaky UAC ma odchytat.

Exel by pak v rozumnem OS mel mit pravo leda tak spadnout, ne shodit OS.

Řešením je nesandboxovat podle aplikace, ale podle dat. Takto se to řeší v QubesOS. Přílohy z e-mailů pak otevřete v DispVM.

Ještě doplním že třeba někdy existují překážky. Například OpenVPN pod Windows vyžadovala posledních 5-6 let lokálního administrátora k připojení a až poslední verze cca před měsícem toho ruší.

Tak to ale OpenVPN pro Widle bylo pekne hovadsky napsane. Admina muze vyzadovat nejvyse na instalaci a konfiguraci.

Samozřejmě nepotřebovala. Dělal jsem na to před lety řešení. Jen se přidaly 2-3 policy, např. pro změnu výchozí brány. Normálně to fungovalo pod uživatelem. Akorát ten kdo to adminuje nesmí mít obě ruce levé a řešit zdánlivou nefunkčnost programu přidělením administrátorských práv.

Pokud to neni nekde dostatecne viditelne v dokumentaci, tak ten, kdo to adminuje, se na to asi vysere, protoze si rekne, ze je to zase jedna dalsi prasacka aplikace. A bude mit pravdu, protoze kdyz aplikace bezi bud tak, ze se ji da admin, anebo tak, ze nekdo stravi pul dne patranim, co maji soudruzi blbe, tak je to prasacka aplikace.

Věřím, že správa politik je ve Windows zdokumentována jistě dostatečně dobře. Není mi jasné, proč by tohle mělo být dokumentováno u OpenVPN, pokud jsi měl na mysli tuhle dokumentaci. Administrátor tyhle věci má ovládat. Problém je v tom, že kdejaký jouda si myslí, že je administrátor, protože už nainstaloval Windows na 3 PC a umí klikat rychleji než sousedi :-/

@ByCzech: Promin, ale admin nema byt nucen k analyze aplikaci, aby vypatral, jak takovou vec zprovoznit. Jestlize aplikace vyzaduje nejake specialni vifikundace v nastaveni politik, ma o tom byt kapitola hned nekde na zacatku dokumentace, pricemz dokumentaci nemyslim zdrojak.

@Jarda_P: Jo, chápu tě jak to myslíš. Ono to IMO není ale tak jednoznačné. Práva omezují Windowsy. Aplikace nic speciálního nevyžaduje. Nastavit povolení něčeho pro aplikaci se musí v OS ne v aplikaci, ta funguje bezvadně. Kdybych měl pátrat o tom, kdo za to opravdu může, tak nejspíš skončím u špatného návrhu Windows a ne u chybné aplikace. A taky na jednu stranu chápu, že v dokumentaci by to zmínit mohli, ale na druhou stranu chápu, že předpokládají (tvůrci OpenVPN), že když někdo administruje Windowsy, tak ví, jak je omezen účet běžného uživatele a že když chtějí jako uživatel pouštět aplikaci, která má měnit nastavení sítě, je třeba v policy editoru příslušnému uživateli přiřadit příslušná oprávnění.
Kdybych stejně měl uvažovat u Linuxu, musel bych se zlobit, že v KDE dokumentaci není zmíněno, že pro uživatelské nastavování sdílení adresářů přes Sambu musím příslušného uživatele přidat do skupiny sambashare (= přidělit příslušná oprávnění), aby to fungovalo. To samé v bledě modrém se týká zvuku (skupina audio), možnost používat skener (skupina scanner) atd. Administrátor tyhle věci má má mít v malíčku a na aplikaci (KDE) se nemá co vymlouvat.
Takže v tomhle případě si opravdu myslím, že Černého Petra mají Wokna a ne OpenVPN.

Jo, chápu tě jak to myslíš. Ono to IMO není ale tak jednoznačné. Práva omezují Windowsy. Aplikace nic speciálního nevyžaduje. Nastavit povolení něčeho pro aplikaci se musí v OS ne v aplikaci, ta funguje bezvadně. Kdybych měl pátrat o tom, kdo za to opravdu může, tak nejspíš skončím u špatného návrhu Windows a ne u chybné aplikace. A taky na jednu stranu chápu, že v dokumentaci by to zmínit mohli, ale na druhou stranu chápu, že předpokládají (tvůrci OpenVPN), že když někdo administruje Windowsy, tak ví, jak je omezen účet běžného uživatele a že když chtějí jako uživatel pouštět aplikaci, která má měnit nastavení sítě, je třeba v policy editoru příslušnému uživateli přiřadit příslušná oprávnění.

Tak to mozna tehdy, kdyby OpenVPN delali jen s ohledem na ostrilene adminy. Jenze ne kazdy admin ma 14 MCSE certifikatu a OpenVPN urcite pouziva spousta lidi treba doma a nemusi to byt zrovna zkuseni admini.

Takze kdyz nekdo pise aplikaci, ktera pozaduje specialni nastaveni OS, mel by to zdokumentovat a jeste lepsi by bylo, kdyby pri instalaci overil, jestli potrebna nastaveni jsou pritomna v systemu a pak bud upozornil uzivatele na potrebu jejich nastaveni nebo dokonce by se instalator dotazal, ma-li nastaveni provest.

@Jarda_P: Nějak si pořád nemyslím, že součástí aplikace má být dokumentace k OS. Instalátor by musel být pěkně složitý, kdyby měl dávat ještě na výběr uživatele, u kterých to změnit. To není typické chování ani v Linuxu. Tím se právě dostáváme k tomu debilnímu návrhu Windows. Jednak k tomu, že výchozí uživatel Windows je "admin", taky k tomu, že jeden z důležitých nástrojů pro konfiguraci práv ani není v nabídce aplikací (policy editor). Když už MS tvrdí, že Windows jsou easy a user friendly, tak by měl vyskočit dialog, pokud aplikace zavolá nějakou funkci, která je privilegovaná a má běžet pod uživatelem, když už není možnost konfigurace takových oprávnění přímo ve správě uživatelů. OpenVPN je multiplatformí a pochybuju, že se někdo bude chtít babrat s logikou těchhle nelogičností ve Windows a dělat na to speciální konfigurátory.
Vzhledem k tomu, že spousta aplikací i od MS potřebuje větší práva než běžného uživatele a není součástí dokumentace k OS jak to konfigurovat v politikách OS a tak různě, tak bych to OpenVPN určitě nevyčítal. Nějak mi to prostě pořád neštymuje, aby aplikace nastavovala něco pro běžného uživatele, když adminovi to běží a je hlavně na něm, aby nastavil tyhle věci pro běžné uživatele a zajistil i jejich práva. A OpenVPN určitě hlásí správně chyby do logu, když se to pustí a je takové volání privilegovaná funkce OS odmítnuta. To že MS naučil uživatele stylu "co nejede pusť jako admin a je to OK", není problém tvůrců aplikace a ani neměli takové věci suplovat.

Nějak si pořád nemyslím, že součástí aplikace má být dokumentace k OS. Instalátor by musel být pěkně složitý, kdyby měl dávat ještě na výběr uživatele, u kterých to změnit. To není typické chování ani v Linuxu. Tím se právě dostáváme k tomu debilnímu návrhu Windows.

Tak prave proto, ze mluvime o Widlich, musi byt instalator slozity a na nenastavena opravneni by mel aspon upozornit. Musis brat v uvahu, ze na Widlich jsou lidi zvykli na spusteni aplikace, next, next, run. No, minimem by bylo dobre zdokumentovat pozadavky, aby clovek vubec tusil, ceho se ma chytit.

@Jarda_P: Ale taky jsou uživatelé zvyklí pouštět vše pod adminem, že :)

Ale taky jsou uživatelé zvyklí pouštět vše pod adminem, že :)

O duvod vic je v tom nepodporovat vydavani aplikace, ktera zdanlive pouze pod adminem chodi. Kdo ma pak porad mazat ten spam, co widlaci posilaji po tunach.

Vím kam tím míříš, ale proč by měl výrobce nějaké aplikace flikovat bezpečnostní problémy nebo chybné návrhy OS, který mu nepatří? :)

...proč by měl výrobce nějaké aplikace flikovat bezpečnostní problémy nebo chybné návrhy OS, který mu nepatří?

Treba proto, ze verzi sveho programu pro dany dementni OS vytvoril a chce patrne, aby ji useri na danem OS pouzivali? Nebo proto, aby nenechal sve uzivatele ve stychu?

@Jarda_P: Když to převedu třeba na auta, tak v principu požaduješ, aby výrobce pneumatik flikoval třeba chybně navržený motor vozu, který se do kopce zadýchává. Výrobce pneumatik taky chce, aby se jeho pneumatiky na voze používaly a nechce je nechat ve štychu ne? ;)
Takhle to ale nefunguje. Výrobce pneumatik si bude dělat své pneumatiky a tím to pro něj končí. Pokud výrobce vozu udělá nějaké udělátko, díky kterému je výměna pneumatik složitější, které běžní lidé neznají, není to jeho problém, no ne?
Stejně tak tvůrci OpenVPN si dělají svůj program a chtějí, aby byl OK. To že někdo neumí správně nakonfigurovat svůj OS nebo to výrobce dělá složité, nebo si to zjednodušuje tím, že výchozí uživatel v systému je admin, který není striktně oddělen od běžných uživatelů a běžně je přihlášen, není to jejich starost. Toť můj názor.

Bohužel pro vás tento argument kazí aktualizace OpenVPN vydaná minulý měsíc - to že nyní již není potřeba local admin účet pro připojení jen ukazuje, že do ted byla OpenVPN na vině ...najednou to jde :)

@bez přezdívky: Nějak vám uniklo, že jsem psal, že nebyl nutný ani předtím, viďte ;-)

Takhle to ale nefunguje. Výrobce pneumatik si bude dělat své pneumatiky a tím to pro něj končí.

Vyrobce pneumaik tezko neco udela s blbe navrzenym autem. Nicmene vyrobce OpenVPN nic nestoji, aby do read.me dal par radku s upozornenim: "Pozor, v Redmondu jsou debilove, musite nastavit to a to."

Muze tak ucinit zejmena tehdy, kdyz neadresuje svuj produkt vyhradne certifikovanym adminum. Pokud ovsem prave to je jeho zamerem, tak prosim.

Take bych rekl, ze kdyz nekdo stravi tolik clovekohodin vyvojem takoveho kusu SW, tak par radek v read.me uz ho nezabije.

Jenže tvůrci OpenVPN jsou očividně dobří na tvorbu OpenVPN, ale ne už tak dobří na administraci Windows. Viz https://openvpn.net/index.php/open-source/faq/79-client/275-why-cant-i-run-openvpn-on-windows-from-a-non-admin-user-account.html
Takže to až tak jednoduché jak si představuješ očividně není. Chceš totiž nutit tvůrce FOSS softu, který dělají z radosti, aby dělali něco, co je nejspíš nebaví a mají k tomu odpor.

Právě proto to nová verze OpenVPN řeší přes službu, takže uživatel nepotřebuje lokal admina pro připojení.
On to není objev kola - když se podíváte na ostatní VPN, tak třeba:

Cisco VPN (clasic) má svoji službu
Cisco anyconnect má svoji službu
FortiVPN má svoji službu
Check Point VPN má svoji službu
Juniper VPN má svoji službu
...

Jak vidíte - u zákazníků komerčního SW váš argument že je to chyba Windows - oni to prostě vyřeší aby připojující uživatel nemusel být local admin :)

@bez přezdívky: Potřetí, snad ti to bude stačit. Předchozí verze to uměly taky, stačilo nastavit přes policy editor co bylo třeba. Pokud to nechápeš ani na potřetí, doporučuji vyhledat odbornou pomoc!

Ale já vám rozumím, potřetí se oháníte článkem z roku 2005, který dnes odkazuje už na neexistující službu (cca před rokem byla přejmenována na legacy, právě protože existuje:https://github.com/xkjyeah/openvpnserv2 )
A mohu citovat z webu OpenVPN:
"OpenVPNServi­ceLegacy tends to work poorly, if at all, on newer Windows versions (8+) and its use is not recommended."
Oni v OpenVPN jsou známi svou rychlostí, například bug, že služba nepřežije sleep mode tam byl otevřený 5,5 let :-)
Takže příště, až budete poskytovat někomu dobrou radu, doporučuji se napřed zamyslet a podrobit svůj postov kritickému myšlení. - Konkrétně: to že je na něco postup/ návod, neznamená že výsledek je funkční, použitelný, dobrý.
Dobrou noc:)

Vy to děláte naschvál? Já se žádným článkem neoháněl, já na to dělal vlastní řešení a jinak než popisuje nějaký článek z roku 2005. Naučte se číst, pak můžete přijít diskutovat!

Tak zrovna spam může odesílat i malware, který běží pod neprivilegovaným uživatelem.

Ano, muze. Ale nemuze (za nomalnich okolnosti) infikovat cely system od binarek az po registry, nemuze infikovat ucty dalsich uzivatelu, pokud je to ransomware, tak nemuze zakodovat data jinych uzivatelu.... A k jeho vycisteni staci vymazat jen ten infikovany profil, zatimco v pripadu malware, ktery se dostal do admina, je nejlepsi smazat cele Widle.

Ale fungujou. To že si Ti to nechce za ně aktualizovat a tak si jim toho admina raději nechal, aby Ti nepřidělávali prací, je věc druhá..

Někdy to platí, někdy ne. Ale zobecňování ještě nic dobrého nepřineslo :)

Která konkrétně nefunguje bez admin práv?