|
|
Risultati sondaggio: UAC o no? | |||
Uac attivato, utente classico |
![]() ![]() ![]() |
39 | 22.54% |
Uac attivato, utente Administrator |
![]() ![]() ![]() |
51 | 29.48% |
Uac disattivato, utente classico |
![]() ![]() ![]() |
14 | 8.09% |
Uac disattivato, utente Administrator |
![]() ![]() ![]() |
69 | 39.88% |
Votanti: 173. Non puoi votare in questo sondaggio |
|
![]() |
|
Strumenti |
![]() |
#21 | |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 16053
|
Quote:
Supponiamo che in Windows Vista ci sia una vulnerabilità simile a quella che permetteva al Sasser di aggredire il sistema. Ora tutti i virus (per essere tali) debbono sostituirsi a dei servizi e repplicarsi, per fare una cosa simile (a meno di bug del UAC mi sembra naturale) ora un virus dovrebbe chiedere un elevamente di permessi che può avvenire solo con il permesso dell'utente. ![]() Quindi un malware per Windows Vista può fare (attualmente) casino solo nelle directory dell'utente e non in tutto il sistema. ![]() Comunque Microsoft non ha ideato UAC per dire "Consentire" o "Non consentire", ha ideato UAC per inserire una password (tant'é che nelle guide di configurazione si mostra come dovrebbe essere configurato un sistema). Il primo account creato è utile solo per le operazioni iniziali di configurazione e si tratta di un amministratore (io l'ho chiamato "amministratore"), il secondo account deve essere creato dall'utente, si tratta di un account standard e va utilizzato per le operazioni giornaliere (il mio si chiama "sirus"). Riprendendo il tuo esempio di utente che si siede davanti al mio PC, per fare danni è sufficiente che prima consenti, se la configurazione è come quella che ho proposto io (e che propone Microsoft) deve inserire una password invece di consentire l'operazione. L'utilità di UAC è elevatissima. |
|
![]() |
![]() |
![]() |
#22 |
Senior Member
Iscritto dal: Jun 2006
Città: Costigliole d'Asti
Messaggi: 1578
|
Qui nn si dovrebbe discutere di utilità o meno ma se lo usiamo si o no....
__________________
Processore:Intel Core i5-6500 Scheda madre:Asus H170 ProRam:DDR3 HyperX Fury 2133MHz 32GBScheda video:RX480 Nitro Alimentatore:EVGA SuperNOVA G2 PSU 550W Hard disk:WD Blue 3D NAND M.2, 1 TB Case: Define R5 Monitor: ASUS PA248Q |
![]() |
![]() |
![]() |
#23 | |
Member
Iscritto dal: Dec 2005
Messaggi: 140
|
Quote:
grazie sei stato chiarissimo
__________________
![]() ![]() |
|
![]() |
![]() |
![]() |
#24 | |
Senior Member
Iscritto dal: May 2001
Città: Roma
Messaggi: 3084
|
Quote:
Capisco che in molti siti di esperti di sicurezza indicano così la configurazione ottimale, ma vorrei proprio capire a livello pratico la differenza. Alla fine il nocciolo della questione non dovrebbe essere operare in un ambiente con privilegi limitati e dare il proprio consenso (oppure no, chiaramente) ad alcuni tipi di operazioni? Se per dare il consenso metto la password o premo consenti che cambia? |
|
![]() |
![]() |
![]() |
#25 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 7110
|
Eh vabbeh, il sondaggio era impostato male.
![]() Facciamo chiarezza: - Vista a fine installazione fa creare un utente che inserisce nel gruppo AdministratorS, ergo è un utente amministratore. Fino a Xp non vi era differenza tra un utente inserito nel gruppo AdministratorS e l'utente Administrator. In Vista le cose invece cambiano. L'utente nel gruppo AdministratorS non ha i diritti dell'utente Administrator, che di default è tra l'altro disabilitato. |
![]() |
![]() |
![]() |
#26 | |
Senior Member
Iscritto dal: May 2001
Città: Roma
Messaggi: 3084
|
Quote:
![]() l'utente Sirus sostiene che l'UAC è nato non per essere usato dall'utente creato a fine installazione (quindi un utente che fa parte del gruppo administrators) e a cui di solito l'UAC chiede solo di esprimere il proprio consenso (o meno) per determinate operazioni, ma che invece il suo uso migliore è quello in accoppiamento con un secondo utente facente parte degl gruppo utenti standards e a cui quindi l'UAC per elevare i privilegi di certe operazioni non chiede un semplice consenso, ma anche di inserire la password. Ora, siccome l'utente creato a fine installazione fa parte del gruppo administrators ma di fatto per la maggior parte del tempo opera in uno spazio limitato (praticamente lo stesso dell'utente standard), a me pare che l'unica differenza tra le due soluzioni sia la seccatura di dover inserire in più la password da parte dell'utente standard, mentre come utente del gruppo administrators per elevare i privilegi devo solo dare il mio consenso. Quindi mi chiedo, alla fine perchè consigliano l'altra soluzione se l'importante non è mettere o meno la password ma operare in un ambiente con privilegi limitati? |
|
![]() |
![]() |
![]() |
#27 |
Senior Member
Iscritto dal: Jan 2004
Città: RM Mercatini: 150+
Messaggi: 3459
|
io l'ho levato, e utilizzo un account personale non coincidente con l'admin.
|
![]() |
![]() |
![]() |
#28 | |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 7110
|
In teoria ha ragione lui (ma secondo me non del tutto) in quanto l'utente creato a fine sistema fa sempre parte del gruppo administrators e ha privilegi amministrativi.
L'aggiunta dell'UAC lo limita in alcuni casi. L'utente facente parte del gruppo administators ha però sempre permessi di scrittura su tutto il sistema, mentre un utente facente parte del gruppo users ha diritti di scrittura limitatissimi. Esempio non ha permesso di installare nulla, altro che Uac, proprio perchè ha permessi su pochissime cartelle del sistema. Se ti pigli qualche porcheria da administrator, non interviene l'UAC anche se attivato. Se sei user, la porcheria non si scrive perchè non hai i permessi. Va anche detto che però farti creare un utente all'avvio e metterlo nel gruppo users, avrebbe voluto dire limitarti tantissimo, ergo andare contro alla famosa usabilità dei sistemi Microsoft. Hanno scelto una via a metà. In fondo l'uac per l'utente del gruppo administrators non è vero che chiede solo di premere ok. Con l'uac attivo per esempio IE7 non ha permessi di scrivere al di fuori delle cartelle dei file temporanei ed è una grandissima sicurezza visto che la porcheria maggiore arriva dal web. Quote:
Ultima modifica di Pr|ckly : 18-02-2007 alle 02:20. |
|
![]() |
![]() |
![]() |
#29 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 7110
|
Io però devo capire due cose:
- se l'utente del gruppo administrators senza uac attivo è tale a quale all'utente Administrators. - se ha senso usare l'utente Administator con l'uac attivo o non cambia nulla. |
![]() |
![]() |
![]() |
#30 | |
Senior Member
Iscritto dal: May 2001
Città: Roma
Messaggi: 3084
|
Quote:
Tu dici che l'utente standard non può installare nulla perchè ha diritti di scrittura limitatissimi mentre l'utente del gruppo administrator scrive in tutto il sistema e quindi se fai parte del gruppo admin e prendi un virus questo si iscrive in tutto il sistema e l'UAC non interviene mentre se sei standard la porcheria non si scrive perchè non ha i permessi... Io non sono convinto: magari ho capito male, ma secondo me l'utente creato a fine installazione viene normalmente eseguito come utente standard e non c'è differenza tra i due profili come diritti ed è assurdo pensare che se rpendo un virus l'UAC non intervenga. Deve intervenire per forza eprchè il virus dovrebbe andarsi a scrivere nelle cartelle di sistema e appunto lo user gruppo admin non può scrivere senza dare il consenso all'UAC. Quindi ribadisco che secondo me a livello di privilegi non c'è differenza tra i due utenti se non che come gruppo admin devo dare il consenso senza la password e come standard con la password. Intendo dire che i casi in cui l'UAC interviene per i due profili sono esattamente uguali, cambia solo la modalità per elevare i privilegi, perciò continuo a non capire che differenza fa... E' chiaro che col termine "ribadisco" non intendo essere arrogante, ma solo chiedere una psiegazione più approfondita a chi evetualmente sapesse confutare la mia posizione ![]() |
|
![]() |
![]() |
![]() |
#31 |
Senior Member
Iscritto dal: May 2001
Città: Roma
Messaggi: 3084
|
Ok, leggendo un articolo che fa il parallelo tra Mac OS X (quindi Unix Like) e Vista mi si è abbastanza chiarificato l'argomento.
Il problema, come sostenevo, non è in una differenza di livelli di privilegi base tra l'utente del gruppo admin e quello del gruppo standard (tutti gli utenti vengono infatti eseguiti come standard), del resto la guida di Windows è chiara in merito ai privilegi dei vari profili, riporto uno stralcio: "Quando si è connessi a Windows con un account standard, è possibile eseguire le stesse operazioni di un account amministratore, ma se si desidera eseguire un'operazione che ha effetto su altri utenti del computer, ad esempio l'installazione di software o la modifica di impostazioni di protezione, Windows potrebbe richiedere di inserire una password per un account amministratore" La differenza non sta quindi nel tipo di privilegio concesso, ma proprio nella differenza di concetto tra "autenticare tramite password" e "dare il consenso tramite click": In OS X di default l'utente loggato deve appunto dare il proprio consenso a determinate operazioni, inserendo la password, proprio come avverrebbe con l'accoppiata standard user + UAC. Dare il consenso non è la stessa cosa per due motivi: -anzitutto l'utente si romperà molto presto e inizierà a dare il consenso a tutto senza leggere oltre, o disabiliterà del tutto l'UAC mentre se devi inserire la password (e se l'OS ti chide il consenso solo su cose serie e non ogni 3x2, ma di questo aprlo alla fine...) non puoi ignorare quello che stai facendo, devi per forza fermarti per digitare... -chiunque debba autenticare deve conoscere la password, non basta essere fisicamente loggati nel sistema, mentre per dare il consenso chiunque sia seduto al nostro posto lo può fare, basta essere già loggati appunto. E' una differenza di concetto quindi, non di sostanza. Non cambia niente tra dare il consenso e inserire la password, visto che comunque i privilegi concessi all'utente standard e admin sono uguali come da guida, quello che alcuni trovano pericoloso è appunto la differenza di concezione che sottende le due soluzioni e che con l'utente medio, distratto e non molto esperto, può risultare inefficace nel caso della soluzione standard adottata da Microsoft. Chiaramente questi sono infatti due problemi generali, nel senso che poi dipende molto dal singolo utente. Ad esempio: io comunque preferisco leggere cosa mi dice l'UAC e autenticare invece che digitare ogni volta una lunga e complessa password e dopotutto io sono anche l'unico utente che usa questo PC, quindi anche il punto 2 non mi preoccupa. Però effettivamente a livello di ideazione l'implementazione da parte di Apple è pù corretta di quella Microsoft, soprattutto se aggiungiamo 1 altra, più generica considerazione e cioè che l'euristica che guida l'UAC non è ben programmata come quella dell'OS X, che chiede meno cose, ma non meno importanti. Nell'articolo portava l'esempio dell'installazione di Adobe Reader, in cui l'UAC anzitutto chiede l'autorizzazione per un processo avviato da un click manuale (perchè? Non può essere un virus...) e poi chiedeva mi pare almeno un'altra autorizzazione durante il processo, mentre magari su OS X non ti chiede niente... inoltre l'UAC protegge i files di alcune cartelle di sistema, ma... in maniera un po troppo paranoica: se distinguesse le estensioni ad esempio non mi chiederebbe l'autorizzazione per fare taglia/incolla di un jpg dalla cartella wallpapers al desktop... se sposto un wallpaper di Windows il sistema non smetterà certo di funzionare, mica sto spostando un DLL... Ultima modifica di SonicGuru : 18-02-2007 alle 03:45. |
![]() |
![]() |
![]() |
#32 | |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 872
|
Quote:
Ragiona prima di sparare a zero. Ultima modifica di Pandrin2006 : 18-02-2007 alle 08:47. |
|
![]() |
![]() |
![]() |
#33 |
Senior Member
Iscritto dal: Aug 2001
Città: Novara (NO)
Messaggi: 20054
|
io l'ho tolto perchè mi rompeva cliccare su consenti e mettere la password mi sembra ancora peggio.
come si fa a configurarlo per chiederti ogni tanto qlc e non per cagate tipo modificare il firewall o i colori dello schermo, faccio per dire. ![]() cioè farlo diventare meno sensibile.
__________________
ASUS N76VZ +crucial m500 Dell Latitude E5430 iPad 2017 Huawei nova 5t con Very samsung tv 55m5500 ps4,wiiu exVODA 82/18-78/16-77/13-90/11 exWIND 95/14-95/19-85/19-81/22 fritzbox 7490 su Tiscali 936/288 |
![]() |
![]() |
![]() |
#34 |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 16053
|
Scusate il ritardo...
![]() A livello pratico utilizzare un account appartenente al gruppo Administrators piuttosto che un account appartenente al gruppo Users è la stessa identica cosa, a meno della pressione di un pulsante invece dell'inserimento di una password. Personalmente preferisco inserire una password dato che sono abituato a farlo su Mac OS X, su archlinux e lo ero anche su Windows XP dato che utilizzavo sempre un account limitato; l'inserimento di una password anche perché non sono l'unica persona ad utilizzare il PC di casa e tra gli utenti c'è anche chi lo deve solo usare e mai amministrare quindi la password è la cosa migliore per evitare danni in quanto sappiamo tutti che quando c'è solo da premere un pulsante la voglia di leggere scappa un po' a tutti. ![]() Continuano la mia riflessione, c'è da dire che nonostante l'esecizione di UAC in SecureDesktop (avete notato che il mouse non può uscire dall'area della finestra di UAC durante un elevamento di permessi?) potrebbe avere anche una falla, e scrivere un programma che muova il mouse verso un pulsante è semplice, trovare la password lo è sempre di meno. ![]() PS: ultimo commento, questa volta su Mac OS X. Il primo utente che viene creato dopo l'installazione del sistema operativo ha diritto di amministrare la macchina dato che è l'unico presente... quindi per molte delle operazioni Mac OS X non chiede nessun tipo di elevamento di permessi (per esempio per installare un programma) cosa che per me è assolutamente illogica... è meglio lo è in parte, il primo utente creato in Mac OS X è molto simile all'utente Administrator che in Windows Vista è disabilitato di default. ![]() Utilizzando un account privo dei privilegi di amministrazione anche in Mac OS X si ritorna alla stessa identica situazione che si trova in Windows Vista utilizzando un account limitato. Ci sono anche dei dettagli di implementazione di UAC che non gradisco, in primis il fatto che si basi su un sistema euristico per decidere se elevare i permessi o meno ( ![]() ![]() Scusate se mi sono dilungato... spero anche che la conclusione sia facilmente estrapolabile! Amministratore si, ma solo se l'ambiente di utilizzo è monoutente. ![]() |
![]() |
![]() |
![]() |
#35 | |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 16053
|
Quote:
Il problema è che fino a qualche tempo fa potevamo lamentarci della sicurezza del sistema, ora che ci sono i sistemi di sicurezza li disabilitiamo... allora è inutile lamentarsi. ![]() |
|
![]() |
![]() |
![]() |
#36 | |
Senior Member
Iscritto dal: Jun 2006
Città: Costigliole d'Asti
Messaggi: 1578
|
Quote:
__________________
Processore:Intel Core i5-6500 Scheda madre:Asus H170 ProRam:DDR3 HyperX Fury 2133MHz 32GBScheda video:RX480 Nitro Alimentatore:EVGA SuperNOVA G2 PSU 550W Hard disk:WD Blue 3D NAND M.2, 1 TB Case: Define R5 Monitor: ASUS PA248Q |
|
![]() |
![]() |
![]() |
#37 | |
Senior Member
Iscritto dal: Aug 2001
Città: Novara (NO)
Messaggi: 20054
|
Quote:
sono monoutente
__________________
ASUS N76VZ +crucial m500 Dell Latitude E5430 iPad 2017 Huawei nova 5t con Very samsung tv 55m5500 ps4,wiiu exVODA 82/18-78/16-77/13-90/11 exWIND 95/14-95/19-85/19-81/22 fritzbox 7490 su Tiscali 936/288 |
|
![]() |
![]() |
![]() |
#38 | |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 16053
|
Quote:
![]() ![]() |
|
![]() |
![]() |
![]() |
#39 |
Senior Member
Iscritto dal: Aug 2001
Città: Novara (NO)
Messaggi: 20054
|
quindi non c'è modo di ridurre il livello di rottura di balle dello uac?
__________________
ASUS N76VZ +crucial m500 Dell Latitude E5430 iPad 2017 Huawei nova 5t con Very samsung tv 55m5500 ps4,wiiu exVODA 82/18-78/16-77/13-90/11 exWIND 95/14-95/19-85/19-81/22 fritzbox 7490 su Tiscali 936/288 |
![]() |
![]() |
![]() |
#40 |
Senior Member
Iscritto dal: Mar 2005
Città: Pisa
Messaggi: 2033
|
Il problema è che l'UAC di Vista è troppo invasivo, provate ad esempio a creare una cartella con un nome qualsiasi in c:\programmi, bisogna cliccare su conferma per ben 4 volte. Oppure entro nel pannello di controllo e ogni operazione che faccio la devo confermare. Era più giusto fare come nei sistemi linux, cioè viene chiesta la password o il consenso entrando nel pannello di controllo e poi al suo interno si può fare quello che si vuole, oppure nel caso precedente avviare una finestra con privilegi elevati e poter modificare o creare file come si vuole. I virus vengono ovviamente bloccati comunque non avendo i privilegi per accedere alle parti protette del sistema.
|
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:32.