Vlákno názorů k článku
Německá vláda údajně varuje své podřízené instituce před používáním Windows 8
od Kolemjdoucí - Smartscreen je technologie z IE a dá se...
-
No otázka je, jak dlouho na wiresharku musíte sedět aby jste provoz zachytil. Jestli ho kdosi použije jednou za rok a navíc pouze na kritické infrastruktuře? Někde v kanceláři ministerstva atp?
Nevím jak tyhle věci fungují. Každopádně W8 jsou povedený kus SW (Předávání kritických chyb NSA týdny před zveřejněním, SmartScreen, TPM a kdo ví co ještě). Když k tomu připočteme Google, Skype, Facebook, Twiter, Flicker a další + nástroj který umí katalogizovat a třídit informace...Opravdu se mi zdá, že krůček po krůčku vyměňujeme vlastní soukromí a bezpečnost za pohodlí.
Pak se nějaký manažer například uherskobrodské zbrojovky diví a diví, že nemůže nikde nic prodat, že američani je pořád podlézají cenou. A hele, odpověď se skrývá ve widlích. Možná je to blud a možná holá realita.
-
Lael Ophir (neregistrovaný)
SmartScreen spočívá v tom, že MSIE pošle URLdo MS, a tam se ověří, jestli URL není na seznamu známých sites, které šíří malware. Při prvním použití se MSIE ptá, které vyhledávače má použít, a v dalším kroku také jestli chcete používat SmartScreen (doporučená hodnota je enabled). Ve firemním prostředí samozřejmě není problém SmartScreen vypnout centrálně pro všechny stroje pomocí Group Policy.
http://technet.microsoft.com/en-us/library/jj618329.aspxTPM je prostě čip, do kterého lze uložit hesla nebo kryptografické klíče. Bez podobného úložiště šifrovacích klíčů totiž těžko zaručit, že se nikdo nedostane k datům na ukradeném HDD. TPM nekomunikuje po síti. Specifikace TPM je k dispozici zde:
http://www.trustedcomputinggroup.org/developers/trusted_platform_modulePodle mého názoru zase někdo zmatlal dohromady pár konspiračních článků.
-
Sten (neregistrovaný)
SmartScreen spočívá v tom, že MSIE pošle URLdo MS, a tam se ověří, jestli URL není na seznamu známých sites, které šíří malware
MS asi nezná hashe, které používají všichni ostatní.
Jinak se neposílá jenom URL, ale ještě spousta dalších informací, které s filtrováním malware nemají vůbec nic společného.
Bez podobného úložiště šifrovacích klíčů totiž těžko zaručit, že se nikdo nedostane k datům na ukradeném HDD
Zajímavé, že Linux (LUKS) to umí i bez TPM ;-)
-
Lael Ophir (neregistrovaný)
MS zná hashe, ale pokud by hash korespondoval s URL, tak se MS to URL stejně dozví. Navíc se hash liší mezi server.cz, www.server.cz, http://server.cz, http://server.cz/ a http://server.cz/index.htm.
Windows to také umí i bez TPM, ovšem musíte mít klíč na USB klíčence. Pokud máte klíč na šifrovaném systému, tak můžete použít obfuscation, ale v principu ho lze vytáhnout.
-
j (neregistrovaný)
TPM nema se zabezpecenim dat na disku zhola nic spolecnyho, TPM zajistuje to, ze na stroji nebude spusten neautorizovany SW ... a tu autorizaci provadi M$ ... a aby to mohlo fungovat, musi stroj M$ odeslat potrebne informace - tedy minimalne hash aplikace, ale posila se toho mnohem vic, jak bylo opakovane prokazano.
Nemluve o tom, ze uloziste klicu, ke kteremu ma OS pristup, je uloziste khownu a to po vsech strankach. Aby bylo bezpecne, nesmi se system ke klicum vubec dostat. Jenze widle ty klice muzou (a musej, jinak by po aktualizaci jaksi nenastartovaly) kdykoli menit. Zaroven je 100% jiste, ze vsechny klice maji pekne i u sebe a nejen u sebe.
-
j (neregistrovaný)
Aha, ty zjevne vubec netusis, jak veci fungujou ... pokud ma neco (je jedno co) overit, ze podpis ... trebas widli ... je pravy ... jak to udela? No bud ten podpis porovna se sadou podpisu nekde ulozenou ... a takova sada bude mit chte nechte omezenou platnost a je tudiz treba ji pravidelne aktualizovat ... navic, jak jiste vubec netusis, libovolny podpis lze revokovat ...
Nebo musi ... poslat data M$ ... a je jedno jestli v podobe podpisu aplikace nebo hashe ... nebo nazvu binarky ...
A kupodivu, to porovnani nemuzou delat samy widle ... protoze to jaksi ehm ... kdyz je nekdo upravi, tak by to moc nefungovalo ze ...
Ale to je pro tebe stejne zcela mimo, protoze ty s chapanim koncis u prvni carky ve vete.
-
Lael Ophir (neregistrovaný)
Ve Windows se v rámci Secure Boot kontroluje podpis zaváděných binárek. Úvodní kontrolu kernelu provádí UEFI (případná revokace vyžaduje podpis existujícím klíčem). Ověřený kernel poté může ověřit podpisy natahovaných driverů (případná revokace je čistě v režii OS). K tomu kernel umí zapsat do TPM informace o pre-boot prostředí i zaváděných driverech; lze také odmítnout zavedení revokovaných driverů. Na konci procesu lze z TPM vyčíst informace o bootu, a pokud něco smrdí, tak systém zastavit.
Pořád nikde nevidím nutnost komunikace s MS, ani žádné vynášení dat.
http://msdn.microsoft.com/en-us/library/windows/hardware/br259097.aspxTakže kde konkrétně je ta nutnost říkat MS co na počítači běží, a komunikovat se serverem? Máte link na specifikaci TPM i na popis Secured Boot and Measured Boot. Pořád nikdo nic neukázal.
