Vlákno názorů k článku
Simplocker: ransomware pro Android schovávající se v síti Tor
od Lael Ophir - Wow. Takováhle věc se vážně dostane na Google...
-
Lael Ophir (neregistrovaný)
Wow. Takováhle věc se vážně dostane na Google Play?
Následující vidím jak smrtící kombinaci:
- Spotřební elektroniku, kterou používají technicky nezkušení uživatelé, kteří neumí a nechtějí administrovat počítače.
- Bezpečnostní model, ve kterém aplikace může udělat se zařízením v podstatě cokoliv.
- Špatná kontrola aplikací, díky které se do oficiálního obchodu dostává malware.
- Nedostupnost oficiálního obchodu pro zařízení postavená na AOSP, což se v Q4/2013 týkalo už 25% prodaných smartphonů (převážně v rozvojovém světě). Tihle uživatelé pak stahují aplikace z míst, která jsou ještě méně bezpečná, než oficiální Google Play. -
Lael Ophir (neregistrovaný)
Desktopový OS je ale trochu jiná kategorie, než spotřební elektronika. U uživatele se předpokládá důkladné školení, a systém vyžaduje administraci (byť se její množství snaží například Microsoft minimalizovat). Proto je pochopitelné, že nesprávnou manipulací můžete systém poškodit (rm -rf /)
Smartphony jsou určené i pro děti, důchodce a zemědělce v rozvojovém světě. U takových zákazníků nemůžeme realisticky vyžadovat žádné IT znalosti, stejně jako je nevyžadujeme u uživatelů klasických telefonů, GPS navigací, televizí a další spotřební elektroniky.
http://www.opengardensblog.futuretext.com/wp-content/uploads/misc/masai.JPG -
Kaacz (neregistrovaný)
Co to blábolíte?!?
Jaké školení? Jaká administrace? Viděl jste někdy uživatele desktopu od Apple? Nic takového nedělají a nepotřebují! LOL...
Mimochodem: desktop OS, na kterém bují tahle svinstva, určitě není ten, který může admin sejmout tím příkazem.
Tak tenhle výpad byl od vás FAKT UBOHOST. LOL.. :) -
Lael Ophir (neregistrovaný)
Ad školení - myslíte si snad, že se uživatelé Applu narodili se schopností používat počítač, a žádné školení (ať formální nebo neformální) nepotřebovali?
Ad administrace na Macu - co je podle vás přidání uživatelského účtu, nastavení oprávnění, nastavení backupu, instalace aplikace nebo upgrade MacOS na novou verzi, když ne administrace systému?
-
Lael Ophir (neregistrovaný)
Ad Vy jste se nerodil se schopnosti pouzivat (chytry) telefon - ne, musel jsem se to naučit. Ovšem na rozdíl od většiny populace zvládnu víc než "tady klepni, a uvidíš SMSky".
Ad do africanu se taky navazet nemusíte - já se o nich někde zmiňoval, nebo se do nich dokonce navážel?
-
jrix (neregistrovaný)
Tedy stejne tak se musi lide naucit ovladat chytry telefon. Kdyz ho nebudou umet pouzivat, nebude je poslouchat stejne jako ty zavirovane windows. Jen u telefonu je sance zneuziti nizsi. Nikdy ne nulova.
Africane:
http://www.opengardensblog.futuretext.com/wp-content/uploads/misc/masai.JPG -
Lael Ophir (neregistrovaný)
Některé věci se jim dají vysvětlit. "Sem klepni prstem, uvidíš SMSky", "tady zmáčkni, a uvidíš mapu kde jseš" apod. Bohužel jiné věci jim těžko vysvětlit. Například "pokud si instaluješ aplikaci z Google Play, může ti nadělat z telefonu kůlničku na dříví", nebo "instalovat aplikace z jiného místa než Google Play je ještě rizikovější", zvlášť pokud mají telefon s AOSP, který Google Play vůbec nemá.
Ad Afričané: ilustrační obrázek, který ukazuje, že dneska používají mobily i masajští válečníci. Podobně je používají i zemědělci, pastevci a další. Pro spoustu lidí, a v rozvojovém světě zvlášť, je mobil jejich první osobní zkušeností s čímkoliv počítačovým. A smartphony k nim už také dávno dorazily. Zpátky k tématu: v čem se do Masajů navážím?
-
Lael Ophir (neregistrovaný)
Pokud uživatel svůj stroj (typicky domácí) i administruje, samozřejmě potřebuje účet admina.
Na Linuxu sice máte jeden fixní účet root (protože vám jaksi moc nefungují role), ale neprivilegovaný uživatel musí při admin úkonech zadávat heslo roota, a to lze triviálně odchytit přes X11 events. Nic moc, že? -
Lael Ophir (neregistrovaný)
Pokud uživatel počítač sám spravuje a nejede pod adminem, musí zadávat heslo při změně konfigurace sítě, instalaci aplikací, a spoustě dalších admin aktivit. Protože uživatelům nějak nepřirostlo k srdci věčné zadávání hesla, implementoval Microsoft UAC.
A jak už jsem psal, ve slušně administrovaných firmách jedou uživatelé jako restricted. -
To neni proto, ze by jim to neporirostlo k srdci, to je o tom, ze je MS leta trenoval v tom, aby jeli pod adminem. Jednak tim, ze admin byl default, jednak tim, ze to MS mel tak blbe udelane, ze pro obycejneho usera se nebylo mozne k administraci dostat jinak, nez odlogovanim a zalogovanim pod adminem. Zadne su, zadne sudo a Run as... treba s Windows Explorerem nefungovalo a snad jeste ve W 7 nefunguje. Cloek to muze obejit instalaci Free Commanderu, coz ale vetsina lidi nevi, navic FC tu nebyl vzdycky. Cili asi tak. Pristup k administrativnim nastojum je bez instalace dodatecnych nastroju ve Widlich tak tezkopadny, ze se na to kazdy radsi vykasle, v Linuxu je to na to delane snad odjakzivat a tak to tak lidi delaji a roota nepotrebuji. Zadavani hesla jim zretekne nevadi, zatimco useri Widli by asi dostali vyrazku.
-
Lael Ophir (neregistrovaný)
Při instalaci Windows XP se účty vytvářejí s admin právy. U dalších přidávaných účtů si jejich typ už vybíráte.
http://pad3.whstatic.com/images/thumb/b/bd/Create-a-New-User-Account-in-Windows-XP-Step-6.jpg/600px-Create-a-New-User-Account-in-Windows-XP-Step-6.jpgVe Windows XP je Run As v kontextovém menu (možná jen při přidržení shiftu). Pro přihlášení pod adminem se nemusíte odhašovat - stačí si otevřít druhou session.
Ad v Linuxu zadavani hesla jim zretekne nevadi - také ho používá 1% uživatelů desktopu :)
-
Při instalaci Windows XP se účty vytvářejí s admin právy. U dalších přidávaných účtů si jejich typ už vybíráte.
Aha. A defaultne je zaskrtnuto co, mily Watsone?
Ve Windows XP je Run As v kontextovém menu (možná jen při přidržení shiftu). Pro přihlášení pod adminem se nemusíte odhašovat - stačí si otevřít druhou session.
Akorat, ze takto si sice spustite aplikace, ale ne treba Control Panel (=Windoze Explorer). Nemuzete se tak defakto dostat k administrativnim polozkam typu Computer management atd. Ledaze byste pouzil aplikaci treti strany, ktera k nim umozni pristup pod userem, pod kterym sama bezi. Napriklad Free Commander.
-
A tady jsme u toho, cemu vdecime za ty krasne botnety nebo spam v mnozstvi vetsim, nez hojne. MS by mel platit za bandwidth, ktery to pohlti.
Aby uzivatel nedrzkoval a nemusel se nic ucit, tak mu MS nastavi defaultne admina uplne vsude. Mohl mu dat defaultne usera a kdyz chce user nejakou privilegovanou akci, mohl mu nahodit hlasku, ze to vyzaduje administrativni prava a tlacitko s helpem, kde by bylo vysvetlene, jak jich dosahnou a proc je vhodne normalne pouzivat ucet s nizkymi pravy, postrasit ho viry atd. Nejlepsi zpusob, jak donutit uzivatele se neco naucit, je postavit mu do cesty prekazku. Ovsem v MS davaji prednost zachazeni s uzivateli jako s chovanci ustavu pro lidi s mentalni retardaci. A tak se to s Widlemi tahne po desetileti, Widle jsou plne berlicek a pokrok v nedohlednu. Uzivatele jinych OS asi musi byt znacne inteligentnejsi, kdyz dokazi zvladnout to, co widlaci asi nejsou schopni pochopit.
-
Pepa (neregistrovaný)
xD opravdu pobavilo...
Uvědomte si fakt, jak dlouho Microsoft na trhu je... Kdyby tohle byl důvod botnetů a všeh toho spamu, nemyslíte si, že by si to dávno v MS pěkně vyžrali?
MS se k tomu postavil více než dobře. Díky UAC a podpisům aplikací ;)
Jak je ochráněn Linux? Jste schopen odpovědět na to, jak je GNU/Linux ochráněn proti potencionální hrozbě a BFU? Odpovím vám - něják :) z vlastní zkušenosti s takovým BFU a systémem Ubuntu...
Ke zbytku viz. zprávička nahoře ;-) Ovsem v Google davaji prednost zachazeni s uzivateli jako s chovanci ustavu pro lidi s mentalni retardaci. A tak se to s Androidem tahne od pocatku, je plny berlicek a pokrok v nedohlednu... xD -
Lael Ophir (neregistrovaný)
Ono to už bylo někde v diskusi psáno, ale nemám problém to zopakovat. To že běžíte jako restricted used vaše PC neuchrání od toho, aby se stalo součástí botnetu. Browser i ostatní aplikace jsou průstřelné úplně stejně bez admina i s adminem. A rozesílání spamu a podobné radosti může malware klidně provádět pod restricted userem.
Jasně, UAC je vlastně zbytečnost. Lepší je mít běžné dialogy pro zadávání admin hesla, s tím že není problém odchytit to heslo přes X11 events :)
-
Lael Ophir (neregistrovaný)
Jistě, keylogger pro Windows se také najde. Jenže to má výrazně těžší. UAC messages se zobrazují na Secure Desktopu, který má window messages oddělené od normálního desktopu. Jinými slovy keylogger běžící v session uživatele z interakce s UAC nezachytí klávesy, a nemůže tam ani žádné stisky kláves poslat. Samozřejmě to může udělat kernelový driver, jenže 64-bitové Windows nepodepsaný driver vůbec nezavedou, a 32-bitové před tím uživatele varují.
Naopak na Linuxu můžete při zadávání hesla roota odchytit X11 events i v té samé session, což lze udělat i skriptem (jak mi to někdo ukazoval před pár měsíci).
-
Lael Ophir (neregistrovaný)
Takže uživatel na jedné straně nezná rozdíl mezi userem a adminem, a na druhé straně nemá problém zjistit že malware se týká jen daného účtu, a vyčistit počítač od malwaru založením nového účtu a manuálním zkopírováním neproblematických částí profilu? :)
BTW představte si tenhle scénář na Linuxu. Uživateli se nakazí jeho neprivilegovaný účet. Na prvním místě se provede odposlech X11 events. A pak se jej počká, než uživatel poprvé zadá heslo uživatele root při nějaké administraci, a to heslo se odposlechne, protože jde chytře přes X11 events, kterým může (na rozdíl od UAC ve Windows) naslouchat každý program v dané session. Nakonec prostě malware to heslo roota prostě použije pro kompromitaci zbytku systému. Jinými slovy si nijak nepomůžete.
-
Takže uživatel na jedné straně nezná rozdíl mezi userem a adminem, a na druhé straně nemá problém zjistit že malware se týká jen daného účtu, a vyčistit počítač od malwaru založením nového účtu a manuálním zkopírováním neproblematických částí profilu? :)
Pokud uzivatel dusledne respektuje oddeleni privilegii, je nakaza celeho stroje nepravdepodobna. Uzivatel je pak pravdepodobne tak blby, ze nevi, co s tim. Tak si zavola manika a dale se scenare lisi. V jednom manik za pul hodiny vykopiruje uzivateli nekam jeho data a smaze profil, ve druhem pak stravi pul dne zachranovanim dat a reinstalaci Widli do jakehosi zakladniho stavu, nacez uzivatel sam cely den instaluje aktualizace a restartuje jak blazen, pak jeste stravi cely den reinstalaci aplikaci a ovladacu na priferie.
BTW, vas scenar z Linuxu porad jeste je mene tragicky, nez si myslite. Zasejvuji seznam balicku a /etc, vykopiruji data. Provedu minimalni instalaci, jedni prikazem nainstaluji balicky podle ulozeneho seznamu. Nasypu zpet /etc nebo par konfiguraku, o kterych vim, ze jsem je menil (pdnsd, defaults, resolve.conf, hosts - vic bych asi nepotreboval). Cele zalezitost maximalne na par hodin, podle ychlosti vaseho downlinku.
-
Lael Ophir (neregistrovaný)
Ad Pokud uzivatel dusledne respektuje oddeleni privilegii - díky UAC ho respektovat musí. A jestli odklepne hlášku UAC, nebo napíše heslo roota (což podle vás na rozdíl od UAC vůbec neobtěžuje - LOL), to přece z hlediska bezpečnosti nehraje roli.
Ad scenar z Linuxu porad jeste je mene tragicky - jistě. Výsledkem bude systém, který je do jisté míry podobný tomu minulému, ale nejspíš nebude konzistentní. Navíc když si nakopírujete například do /etc ze starého systému, můžete s ním natáhnout i malware. Nebo snad neumíte napsat rc skript, který při spuštění založí executable s malwarem (ten může být třeba ve formě base64 přímo ve skriptu) a spustí ho? A takových možností je spousta.
-
Lael Ophir (neregistrovaný)
Ad kdyz chce user nejakou privilegovanou akci, mohl mu nahodit hlasku, ze to vyzaduje administrativni prava - tomu se říká UAC. U něj zase nadáváte, že je to spousta zbytečných hlášek. Tak si vyberte - buď chcete aby uživatel musel admin akce potvrdit (případně včetně zadání hesla), nebo aby ho neobtěžovaly hlášky. Těžko mít obojí najednou.
-
Ne, tomu se rika hlaska. UAC je berlicka, ktera stoji mezi uzivatelem, ktery jede pod adminem a pripadnou administrativni akci. Kdyz jsem admin, nema me system co otravovat hlaskami. Kdyz admin nejsem, system mi rekne, ze nemam narok. To je hlaska. Ja pak vyvinu intelektualni usili k ziskani prav aministratora na danou akci. Vede to k tomu, ze uzivatel chape rozdil mezi adminem a jinym uctem, protoze mu nic jineho nezbyva.
-
Potiz je, ze na starych Widlich se clovek k administrativnim uloham dostal jen prepnutim uzivatele. Na novych zase zavedli UAC. Ani jedno uzivatele nemotivuje k tomu, aby dusledne respektoval oddeleni privilegii. Neco na zpusob sudo, inteligentne integrovaneho do systemu, by to vyresilo. A ne, Run as... sxe na vsechno opravdu pouzit neda.
-
Lael Ophir (neregistrovaný)
Výchozí nastavení UAC je takové, že upozorňuje na rizikové akce i když běžíte pod adminem (technicky je token uživatele rozdělený na restricted usera a admina). Můžete si to nastavit. Default je takhle nastavený přesně proto, že spousta uživatelů pracuje pod adminem, a nepodařilo se jim nabušit do hlavy, že to nemají dělat. Takže když jim prostřelí aplikaci nějaký malware, díky UAC to neinfikuje celý stroj. Měl byste spíš ocenit, že jde o dobré řešení, které počítá s tím, jak uživatelé reálně fungují.
-
Lael Ophir (neregistrovaný)
To že musí mít uživatel smartphonu s Androidem více-méně tolik znalostí, jako uživatel PC, je velmi smutný fakt, který jsem už kritizoval.
Ohledně náročnosti používání PC: pokud si uživatel to PC také sám spravuje, musí mít těch znalosti poměrně dost (BTW na Linuxu daleko víc než ve Windows). Samozřejmě pokud má uživatel k dispozici administrátora, jak je zvykem ve firmách, tak ho spousta věcí nemusí trápit. Stačí zvednout telefon, říct "nefunguje to", a jít k jinému počítači nebo na kafe, dokud s tím někdo něco neudělá.
-
Lael Ophir (neregistrovaný)
Protože Puppy Linux, Simplicity Linux a některá další distra jedou by default pod uživatelem root.
http://puppylinux.com/technical/root.htm -
Lael Ophir (neregistrovaný)
Jo jo, rm -rf / je tak "oblíbené", že do POSIXu přidali speciální výjimku pro root directory :). Ale těch možností, jak desktopový OS poškodit, existuje daleko víc:
- dd if=/dev/random of=/dev/sda
- echo hi there > /dev/sda
- mkfs.ext4 /dev/sda1
- Smazání rc skriptů, kernelu, důležitých knihovenVe Windows je těch zjevných možností o něco méně, protože systém nedovolí smazat ani přepsat řadu souborů (některé jsou otevřené, jiné Windows File Protection nahradí okamžitě zpátky), nedovolí naformátovat systémový disk, a dokonce by default ani neukáže systémové soubory. Ale jistě se shodneme, že i Windows může uživatel celkem snadno poškodit.
A také se snad shodneme, že je to věc specifická pro desktopové OS, a že spotřební elektroniku by uživatel neměl být schopen poškodit něčím tak triviálním, jako je instalace aplikace z oficiálního obchodu. Co by podle vás řekl zákazník, kdyby mohl výběrem z menu snadno a nechtěně nainstalovat podobnou hračku, jako je Simplocker, na televizi nebo ledničku s brouzdátkem internetu ve dveřích?
http://www.samsung.com/us/appliances/refrigerators/RF4289HARS/XAA -
Lael Ophir (neregistrovaný)
Pokud uživatel spravuje stroj sám, tak k tomu oprávnění má (ať už je přihlášený jakkoliv). A to je případ většiny domácích uživatelů. Firemní uživatelé zpravidla mají po ruce nějaké power usery a adminy, kteří na rozdíl od nich mají nějaké IT znalosti (no, většinou je mají).
Pokud jde o neprivilegované uživatele, i ti mohou třeba stáhnout malware, který ukradne, zničí nebo zašifruje data, rozesílá spam apod. Na nic z toho není třeba oprávnění administrátora. Uživatelé jsou schopní dokonce rozbalit archiv přiložený v mailu pomocí hesla, které přečtou v přiloženém obrázku. V balíčku samozřejmě má být pěkný screensaver nebo zpráva z banky, odesílatel se podepsal jako IT admin...
-
Lael Ophir (neregistrovaný)
Neznám, ale je to vtipné. Článek v podstatě říká "když takové IT lamy, že vaši uživatelé dodnes jedou pod adminem, tak s tím konečně něco udělejte". To se týká hlavně malých firem, které nemají (kompetentní) IT oddělení. Ve slušně administrovaných firmách jedou uživatelé jako restricted.
Navíc když uživatel nejede pod adminem, jeho Adobe Flash, browser, MS Word, a další jsou prakticky vždy zranitelné stejně, jako když pod adminem jede. Sice malware většinou může běžet jen v kontextu uživatele, ale to přece nevadí. Přesto může rozesílat spam, krást, mazat nebo šifrovat data, posílat ven data z kamery atd.
Je pravda, že některé aplikace neběží bez práv admina, i když je technicky nepotřebují. Typickým příkladem je Total Commander, který ukládal nastavení do instalačního adresáře, protože to někdy v době Windows 3.x přišlo autorovi jako dobrý nápad, a nechal to tak až do nedávna (autor je prase, Q.E.D.). Pro admina s trochu elementárních schopností ale není problém povolit TC zápis do toho jednoho souboru. Podobné zásahy mohou být potřeba pro jiné aplikace. Dneska je to naštěstí lepší. Ne že by vymřeli idioti, ale od Windows Vista prudí UAC i uživatele-adminy, a uživatelé pak prudí autory SW, aby s tím něco udělali.
-
Pepa (neregistrovaný)
Jo no :) Vy to nepotřebujete ;-)
Tyhle kecy a narážky na to, že Windows používají pro primárního uživatele práva Administrátora jsou taky zhovadilost, protože například takové Ubuntu to díky sudo dělá podobně... jen s rozdílem, že Windows varuje uživatele o tom, že operace vyžaduje zásah administrátora a Ubuntu zobrazí výzvu k zadání hesla uživatele ;)
A vlastně na co, že? Když někdo nepovolaný potřebuje, tak se ten "neprůstřelný" OS přizpůsobí :D - Tak trochu si "s3r3t3" do vlastního hnízda :P"Objevená bezpečnostní díra v linuxovém jádře umožňuje lokálnímu uživateli shodit systém nebo získat práva uživatele root. Chyba CVE-2014–3153 byla objevena v jaderné funkci futex a například Debian už vydal opravenou verzi jádra pro větev stable." - http://www.root.cz/zpravicky/bezpecnostni-chyba-v-jaderne-funkci-futex-umoznuje-ziskat-roota/
-
Tohle jsou pekne hovadiny. Provozovat system porad pod adminem a delat pod rootem pouze administrativni zalezitosti jsou dve uplne odlisne veci. U uzivatelu Widli pak to vecne potvrzovani UAC hlasek vede k tomu, ze vsechno bez mysleni odklepnou, i kdyz se treba jedna o spusteni filmu, pricemz se ale ve skutecnosti jedna o "film" a pak to treba konci u mne, abych to preinstaloval, protoze je to zavirovane a dokurvene na maximum.
Ze se v jadre nebo necem objevi chyba, neni zadna novinka. Neni to prvni ani posledni. Typicky ta chyba je opravena jeste predtim, nez je zverejneno oznameni o chybe a kdo zaplatuje, ma to jiz opravene. Na Widlich tomu casto tak neni, pricemz, svete div se, se objevuji nebezpecne chyby take, i kdyz psledni dobou to eni trikrat tydne, jako kdysi. BTW, na Linuxu na opravu nemusite cekat na pristi zaplatovaci stredu, dostanete ji okamzite, s klidem v radu hodin pote, co byla chyba nalezena, nikoliv v radu let, jako u nekterych chyb Widli.
-
Pepa (neregistrovaný)
Shodnout se můžeme na tom, jak jste psal výše: "Zamozrejme, napriklad pri cteni mailu, cumeni na porno, hrani her a jinych aktivit, ktere 999 promile useru Widli pod adminem provozuje po 999 promile casu."
Ovšem Microsoft k tomu nikoho nenutí."U uzivatelu Widli pak to vecne potvrzovani UAC hlasek vede k tomu, ze vsechno bez mysleni odklepnou, i kdyz se treba jedna o spusteni filmu, pricemz se ale ve skutecnosti jedna o "film" a pak to treba konci u mne, abych to preinstaloval, protoze je to zavirovane a dokurvene na maximum."
Tedy zvládáte opravovat a přeinstalovat "Dokurvené a zavirované" Windows bez problémů :) Nechápu tedy, jak vám mohlo uniknout, že můžete správu účtů nastavit podobně, jako je tomu např. v případě Ubuntu.
Microsoft nikoho nenutí používat primárně účet s právy administrátora. Je to samozřejmě nejjednodušší řešení, ale není vynucené. Nikomu přece není bráněno vytvořit si účet Admin s administrátorskými právy a pak účet uživatele s osekanými právy... Pokud to tak neděláte, tak to neumíte nebo se vám s tím nechce dělat a řešíte tak stejné věci dokola "Dokurvené a zavirované..."
Určitě víte, že stabilita a kvalita systému je přímo úměrná kvalifikovanosti a kvalitě jeho administrátora ;-) Platí to jak pro Linux tak i pro Mac či Windows ;-) -
Ovšem Microsoft k tomu nikoho nenutí.
Ne, nenuti, ale navadi. Pri instalaci se vas to zepta na jmeno usera a to snad jeste ani ne na vsech verzich Widli, protoze jsem videl radu stroju, kde byl jenom Administrator. Ten user, pokud ho vytvorite, je admin. Vy ho musite rucne vyhodit ze skupiny Administrators (nebo na zkryplenych Widlich pro domaci uzivatele "ucinit neprivilegovanym uzivatelem"). A musite si udelat pro sebe admina. Cili to vetsinou konci tak, ze tohle nikdo neudela. Jiste, jde to, ale typicky user zustava u vseho v defaultu.
Oproti tomu Linuxovy instalator vas pozada o heslo pro roota a donuti k vytvoreni alespon jednoho neprivilegovaneho uzivatele. Pod rootem se pak defaultne do GUI typicky ani nemuzete prihlasit. Vidite rozdil v pristupu? Ve Widlich si bezpecne nastaveni musite vydupat vlastni iniciativou, v Linuxu jste k tomu donucen.
Tedy zvládáte opravovat a přeinstalovat "Dokurvené a zavirované" Windows bez problémů :) Nechápu tedy, jak vám mohlo uniknout, že můžete správu účtů nastavit podobně, jako je tomu např. v případě Ubuntu.
A co myslite, ze jsem udelal po preinstalovani? Jenze to uz bylo pozde. Ja nemuzu objizdet cele mesto, klepat u lidi na dvere a ptat se, jestli maji inteligentne nastelovana uzivatelska prava na Widlich.
Nikomu přece není bráněno vytvořit si účet Admin s administrátorskými právy a pak účet uživatele s osekanými právy... Pokud to tak neděláte, tak to neumíte nebo se vám s tím nechce dělat a řešíte tak stejné věci dokola "Dokurvené a zavirované..."
Takto provozuji Widle jiz od NT 4.0, tedy od mych prvnich Widli, kde to bylo mozne. Ale ne vsecny Widle jsou pod mou spravou. Asi byste se mel postavit s letaky na ulici a sirit osvetu po vzoru irskeho poulicniho kazatele. MS to nedela, ja to delat nebudu, tak je to na vas. Vy jste chytrej, jak predseda vlady, ale BFU toho o pocitacich moc nevi. Zastupy BFU cekaji na slovo bozi o zabezpeceni Widli
BTW, jiz leta stejne Widle zapinam tak ctyrikrat do roka. Od doby, kdy jsem presel na Linux, je jaksi moc nepotrebuji.
-
Pepa (neregistrovaný)
Jste dobrý :) Jen zkusím takový skromný dotaz... Kolik těch vašich BFU instaluje Linux nebo Windows?
"Vy jste chytrej, jak predseda vlady, ale BFU toho o pocitacich moc nevi." - tak proč po nich vůbec chtít instalovat Linux nebo Windows?Otázkou tedy je, kdo instaluje Linux či Windows do PC pro BFU? Většinou jsou to lidé, kteří mají ponětí o bootování z CD/DVD či USB... Ví, co to je rozdělování disku a znají další ty záležitosti kolem instalačního procesu atd. Pláčete tedy na špatném hrobečku. Převážná většina BFU ani neví, jak nainstalovat aplikaci nebo tiskárnu...
Kdyby však MS řekl: "Hele, od teď povinně budete vytvářet účty dva, jako je tomu v linuxu..." Nemyslíte si, že by se pasoval do role diktátora? Je to přece pouze o možnosti volby. Technikům a lidem, kteří předinstalovávají systém do notebooků či PC přece nebrání nikdo dělat to tak, jako vy od NT 4.0 ;-)
BFU je většinou rád, že zapne PC, že najde svůj oblíbený prohlížeč, otevře si dokument, co mu přišel mailem, podívá se na nějáký film či fotky..."Zastupy BFU cekaji na slovo bozi o zabezpeceni Widli" - :D to mě pobavilo... konec konců stejně jako čekají na zástupy hipíků tlachajících o tom, jak je Linux vychytaný a bezpečný systém, s bohatou škálou aplikací a zdrojáky jako bonusem..." xD
BFU pak k tomu sedne a řekne: "Kde mám Movie Maker?"
Hipík: "No, doinstaluj si OpenShot nebo Kdenlive..."
BFU: "A jak to mám udělat?"
Hipík po vyčerpávajícím vysvětlení zjistí, že bude lepší, když to udělá sám...
BFU: "Ten OpenShot mi pořád padá... Včera jsem v něm chtěl nastříhat rodinné video a když už jsem to měl skoro hotové, tak to spadlo..."
Hipík: "Hmmm, zkus kdenlive...."
BFU: "Hrál jsem takovou pěknou hru v prohlížeči a teď mi to píše, že mám starej Flash... Jak si nainstaluju novou verzi?"
Hipík: "Nainstaluj si Chrome, to je skvělej a rychlej prohlížeč..."
BFU: "Ale já jsem zvyklej na Mozillu..."
Hipík: "Chrome je rulezzz!"
Hipík instaluje Chrome....
.... -
Kolik těch vašich BFU instaluje Linux nebo Windows?
BFU si koupi OEM plecku ze supermarketu. Tu zapne, prehraje mu to nejakou intro animaci, nahodi walpaper s logem vyrobce a tim defaultni zabezpeceni konci.
Kdyby však MS řekl: "Hele, od teď povinně budete vytvářet účty dva, jako je tomu v linuxu..." Nemyslíte si, že by se pasoval do role diktátora? Je to přece pouze o možnosti volby. Technikům a lidem, kteří předinstalovávají systém do notebooků či PC přece nebrání nikdo dělat to tak, jako vy od NT 4.0 ;-)
Nevim, co je diktatorskeho na tom, ze se vytvori Administrator a minimalne jeden neprivilegovany ucet. To BFU nebere zadnou volbu, nic mu nebrani, aby si vlastni iniciativou stroj dokurvil, jak jen se da. Jenze MS ucet Administrator skryje, jakmile je vytvoren jiny ucet a ten jiny ucet je administratorsky.
Jinak vas bych tak opravdu chtel za admina v nejake korporaci s tisicovkou masin. Vy byste jiste userum dal tolik volby, ze by uz nebyl zadny botnet, ve kterem jeste nejsou.
-
Pepa (neregistrovaný)
"To BFU nebere zadnou volbu, nic mu nebrani, aby si vlastni iniciativou stroj dokurvil, jak jen se da."
Malý návod pro uživatele, který by si chtěl ve Windows dokurvit vše ;-)
http://diit.cz/clanek/windows-8-spustit-jako-admin-vseWindows je bezpečný systém s jinou politikou, s jiným jádrem... prakticky diametrálně odlišný od Linuxu. Nemůžete tedy srovnávat jabka s hruškama byť jsou oboje ovocem.
Zcela jistě se dá říct, že nejslabším článkem bezpečnosti daného systému je uživatel. Myslete si co chcete, ale neznalý uživatel dokáže v obou zmiňovaných systémech napáchat dost škody. Jedno jestli s UAC a jedním účtem nebo se dvěma účty.
1. Uživatelé stahují kdejakou pitomost. (CCleaner...)
2. Hrají na internetu hry, které mohou ohrožovat bezpečnost.
3. Otevírají přílohy mailů, které také mohou orožovat bezpečnost.
4. Při instalaci aplikací nedávají pozor na co klikají, nečtou...(ASK toolbar...)Linux má mizerné procento používání na Desktopech. Prakticky je nesmyslné pro tento systém vytvářet malware či jinou havěť ač již nějáké pokusy zaznamenány jsou.
Windows jsou majoritním systémem a proto je na ně také vyvíjen větší tlak ze strany útočníků. V mnoha případech není na vině zabezpečení Windows, ale uživatel ignorující varování, uživatel, který by stejně jako kliká na potvrzení, že chce aplikaci spustit, jednoduše zadal heslo roota.
Bavit se tady o bezpečnosti či děravosti Windows a vychvalovat dokonalost Linuxu nemá smysl, protože drtivá většina firem stejně jako uživatelů, používá výhradně Windows. I přes dokonalost Linuxu i přes řeči o tom, jak s nástupem Visty příjde masivní příval nových uživatelů Linuxu, jak spousta uživatelů Windows opustí, protože je Metro... Nic z toho se neděje... Proč? Když ta bezpečnost je zdarma bez nutnosti mít v počítači antivir, UAC či účet s právy administrátora hned po instalaci? -
V mnoha případech není na vině zabezpečení Windows, ale uživatel ignorující varování, uživatel, který by stejně jako kliká na potvrzení, že chce aplikaci spustit, jednoduše zadal heslo roota.
Blbost. Widle uzivatele hlaskami otravuje tak, az rezignuje a automaticky vse odklika. Linux se sam na nic porad nepta. Pokud k tomu dojde, i nejvetsimu blbovi dojde, ze se jedna o neco podezreleho.
-
Lael Ophir (neregistrovaný)
Takže podle vás na jedné straně uživatelé naprostou většinu času nepotřebují jet pod adminem. Na druhé straně je věčně obtěžují UAC messages, které se zobrazí přesně ve chvíli, kdy potřebují udělat něco, na co toho admina potřebují. Zajímavý paradox, nemyslíte?
Jinak nevidím rozdíl mezi tím, když uživatel bez rozmyšlení odklepne UAC hlášku a když zadá heslo roota. Nakonec když jede jako restricted user, tak také musí zadat heslo nějakého admina. I když technický rozdíl je v tom, že na Linuxu lze to zadávání hesla roota snadno odchytit přes X11 events, a podobně lze přes X11 events to heslo "zadat" z kódu.
-
Na Linuxu zadam heslo a tim to konci. Na Widlich zadam heslo. Nasleduje "Chcete opravdu spustit blabla?". Ano. "Vite urcite, ze opravdu chcete spusti blabla?" Ano. "Nechcete si to radsi jeste rozmyslet? Ne. "Tak dobre, spustim blabla po stisku tlacitka Spustit. Ale kdybyste si to jeste chtel rozmyslet, stisknete tlacitko Nespustit".
Nasledne uzivatel prestane myslet a uz jen odklepava a necte.
-
Sam jste si to popsal. Mě napadá jediný příklad: spouští nepodepsanou binárku pod adminem, a vyjma vlastní UAC hlášky ještě potvrzuje dialog o absenci digitálního podpisu. vam nestaci? Dalsi priklad otravne hlasky je spusteni cmd nebo neceho jineho pres nejaky ten shift-enter nebo co to je. Zase otravna hlaska, kterou nikdo necte. MS uzivatele trenuje v necteni hlasek. K tomu si pridejte trebna moji oblibenou bublinovou hlasku z XP, ze mam na desktopu nepouzivane harampadi. Ta, pokud si bubliny uplne nevypnete nebo nekde nevypnete alespon tuhle pitomost, se musi odklepavat 2x po kazdem zalogovani. BTW, pokudd si bybliny vypnete, tak vam kolikrat nefunguje automaticke zasouvani listy. Neco se snazi neco hlasit (typicky zcela nezajimava hlaska), ale nejsou bubliny. A vy pak musite kliknout uplne na vsechno na taskbaru a v systrayi, protoze nevite, kdo za to muze. Obcas se musi i vypnout a zase zapnout automaticke zasouvani. Fuj!
-
Pepa (neregistrovaný)
Vidíte, výhoda Windows - varují uživatele o tom, že spouští nepodepsanou binárku jako Administrátor... To může být potencionální hrozba ;) Co máte v linuxu? AppArmor, SELinux? Jsou neprůstřelné? Nejsou... Uživatel spustí podstrčenou binárku, zadá heslo a bez varování... :)
Někdy je dobré uživatele varovat :) -
Lael Ophir (neregistrovaný)
Freeware samozřejmě může (a měl by být) být digitálně podepsaný. Pokud program není digitálně podepsaný, tak je poměrně výrazné riziko, že jde o malware. Uživatel by o tom měl vědět. BTW podepisování provádí developer, nikoliv MS. Developer požádá certifikační autoritu o privátní klíč, doloží svoje údaje a podepíše prohlášení o absenci malwaru. Na základě toho dostane privátní klíč, a tím pak SW podepisuje.
Ad ovladace od nonejmoveho výrobce - 64-bitové Windows z bezpečnostních důvodů vůbec nedovolí instalaci nepodepsaného ovladače, 32-bitové ze stejných důvodů při instalaci uživatele varují.
-
Jiz vidim, jak nejaky vyvojar, ktery da do placu napriklad nejakou malou, lec uzitecnou utilitu a ktery predstavuje tym o jednom cloveku a dava svuj soft na Dvekravy nebo Softpedii, resi papiry kvuli digitalnimu podpisu. Bylo by to sice hezke, ale on se na to spise vykasle. Zejmena, pokud to neni zadarmo a dostatecne jednoduche. Nevim, jak to v praxi probiha.
-
Lael Ophir (neregistrovaný)
Certifikát vyjde na cca 100 USD ročně. Fyzické osoby na rozdíl od firem nemusí dokládat DUNS number, kterým se dokládá, že firma existuje.
Pokud vývojář svůj SW nepodepíše, uživatel zcela správně dostane hlášku, že stažený SW je nepodepsaný, a představuje potenciální bezpečnostní riziko. -
Mozna v budoucnu, kdy konecne vybudujeme socialne spravedlivou spolecnost, budeme cestovat napric galaxiemi, zatocime se vsemi nemocemi.... a vsechny binarky, krome malware, budou podepsane. Ale k tomu nedojde, navic kdo by jeste pouzival Widle?
Dnes je vetsina binarek bez podpisu, takze to je na hovno a ma to spise nezadouci ucinek: http://en.wikipedia.org/wiki/The_boy_who_cried_wolf . Widle porad krici: "Wolf!" a tak na to nakonec kazdy kasle. Zcela jednoduchy psychologicke efekt.
-
Lael Ophir (neregistrovaný)
Pokud používáte počítač pro práci a ne na instalaci různých "užitečných" utilit, většinu binárek budete mít podepsanou. BTW co byste doporučil jako alternativu? Má MS prostě spouštět nepodepsané binárky, ze kterých velké procento může být malware, bez jakéhokoliv upozornění? Něco mi říká, že byste to pak také kritizoval :)
-
Lael Ophir (neregistrovaný)
Ad spouští nepodepsanou binárku pod adminem, a vyjma vlastní UAC hlášky ještě potvrzuje dialog o absenci digitálního podpisu. vam nestaci - ne, nestačí. Uživatel by měl být upozorněn, že spouští potenciálně nebezpečný program.
Ad bublinovou hlasku z XP, ze mam na desktopu nepouzivane harampadi - můžete si buď uklidit na desktopu, nebo tu hlášku vypnout.
Ad pokudd si bybliny vypnete, tak vam kolikrat nefunguje automaticke zasouvani listy - nemůžu potvrdit, protože jsem naposledy nechával taskbar schovávat v betě Windows 95.
Ad nejsou bubliny - to jsem nikdy neviděl. Ale když mi řeknete, jak problém reprodukovat, možná někde vyhrabu virtuál s Windows XP.
BTW Windows XP jsou 12 let starý systém, který je mimo podporu. Jakékoliv výtky mi proto připadají dost mimo.
-
Vzhledem k tomu, ze vetsina binarek, se kterymi uzivatel prijde do styku, vcetne velkeho podilu ovladacu, je ta UAC hlaska nesmirne dulezita.
Problem se zasouvaci listou pri vypnutych bublinach ve virtualu asi budete tezko reprodukovat. Vetsinou to pochazi od wifi, treba kdyz spadne a znovu se navaze spojeni a z virtualu se na wifi asi pripojovat nebudete.
Jinak se to reprodukuje tak, ze se nastavi u listy automaticke zasouvani a vypnou se bubliny. Mel jsem za to, ze je to jasne.
-
Lael Ophir (neregistrovaný)
Znovu opakuji, že 64-bitové Windows nepodepsaný driver ani nenainstalují, a 32-bitové před tím zcela správně varují. Profi SW bývá podepsaný, a spousta freewaru také (například Mozilla Firefox, Gimp, OpenOffice).
Ad bubliny - když se má zobrazit bublina, taskbar se sám objeví. Pokud není vidět, zakázal jste v jeho nastavení volbu "Always on Top" (proč proboha?), takže může být pod ostatními okny. Nepochybuji o tom, že někteří experti to zkoušeli řešit nějakým registry cleanerem, případně reinstalací :D
-
Ad bubliny: Ano a v tom je problem. Taskbar se objevi, bublina je ale zakazana a tak se taskbaru uz kolikrat nemuzete zbavit. Visi tam a visi tam a prijit na to, proc tam visi a donutit ho k zasunuti, je kolikrat nemozne. Premiovou vlastnosti pak je, ze aplikace si mysli, ze taskbar je zasunuty a ze muzou pouzivat celou obrazovku, takze nevidite spodek oken.
-
Sten (neregistrovaný)
Ne, desktopový OS není zase tak jiný. I ten je určený i pro děti, důchodce a zemědělce v rozvojovém světě. I ten se běžně prodává lidem, po kterých nemůžete realisticky vyžadovat žádné IT znalosti. Akorát kvůli tomu, jak zaplevelený a obtížně ovladatelný systém je ten majoritní, to vypadá jinak.
Když už tu máte ty Masaje:
http://www.7photographyquestions.com/images/4/laptop.jpg -
Lael Ophir (neregistrovaný)
PC je původně nástroj pro uživatele, kteří mají (samostatně či ve skupině) dostatek znalostí. Pravda, při prodeji se nevyžaduje "zbrojní průkaz", a prodají ho i negramotnému :)
Zaplevelený a obtížně ovladatelný? No já nevím. Instalaci Windows zvládne pokročilejší domácí uživatel, stejně jako jejich administraci. U Linuxu bych to tak slavně neviděl. Ale kdybych měl něco doporučil nezkušenému uživateli, byl by to tablet s Windows RT a klávesnicí, protože je prakticky vyloučené, aby si ho nějak rozbil. Tedy pokud ho nebude házet z výšky na zem :)
-
Sten (neregistrovaný)
Ano, původně. Tedy před 30 lety. Dnešní PC je asi tak stejně složité jako mobil. I dotykovou obrazovku to už často má.
U Linuxu je to naopak ještě jednodušší, protože se nainstaluje kliknutím na ikonu s nápisem „Instalovat“ a vyplněním pár údajů (jméno a heslo), aplikace se pak přidávají a odebírají po kliknutí na ikonu s nápisem „Centrum softwaru“ a víc z administrace dnes již uživatel umět nepotřebuje. Rozhodně nepotřebuje vědět jako ve Windows, odkud stáhnout programy, aby nebyly plné malwaru, či co znamenají ty hlášky antiviru, kterým často nerozumí ani profesionálové.
-
lol (neregistrovaný)
Zkušený uživatel? Jo to znám, mám tokového souseda, otravuje každou chvíli že dělal to či ono a ono se to nějak pos...
Pak znám tokové odborníky... jejich odborností je to, že jdou někomu vyčistit počítač - a to takovým způsobem že použijí ccleaner (nebo jak se to jmenuje...)
Sami ani nevědí co ten program dělá, jsou to pouze cvičené opičky které umí spustit jeden program a jsou z nich "odborníci"...
Jo ten dotyčný chudák se nemůže po takovém čištění dostat na svůj email protože jsou jaksi po zásahu ccleaneru vymazané cookies a on si chudák nepamatuje heslo... :-)
