Clamorosa falla nello UAC di Win7!!! Avete voluto meno prompt? Ben vi sta!

[hexaae]

Quote:

Originariamente inviato da II ARROWS

No, non è vero. Se la scelta venisse fatta con una casella di controllo dentro al desktop sicuro, abbinata all'eseguibile memorizzato in quel percorso, se vogliamo anche con quell'hash, non può comunque essere superata.

Sì certo... e una volta memorizzata la scelta ci hai pensato? Con quello stesso identico VBS disabiliterai l'UAC.

[xsim]

Quote:

Originariamente inviato da II ARROWS

Certo, infatti le implementazioni su XP e Linux sono scadenti, e non parliamo di 2-3% che potrebbero dipendere da una implementazione diversa delle funzioni. DX10 si basa sulla gestione della memoria di Vista che è completamente diversa da quella di XP.

UAC è peggio! Una gestione completamente diversa dei permessi dell'utente, non si può cambiare il sistema con un SP. Specie se il sistema è bucato prima dell'installazione, non servirebbe a nulla.

L'UAC concettualmente non mi sembra chissà che cosa..secondo me in XP era implementabile senza RIVOLUZIONI.
Per le DirectX 10 non saprei..ma secondo me anche quello.
Ma a quel punto allora staremo ancora con un Win95 SP578.

[II ARROWS]

Quote:

Originariamente inviato da xsim

La sicurezza si misura in numero di sistemi operativi infettati su base installata..

La tristezza si misura in litri di lacrime, per esempio io una volta ero triste 13 litri.
Per lo meno, Elio e le storie tese le canzoni le scrivono con lo scopo di far ridere.

La sicurezza non si misura perchè non è misurabile. La sicurezza è un dato valutabile, si può valutare in base alla difficoltà nel bucare il sistema.

Il computer staccato dalla rete è più sicuro di uno collegato ad internet perchè:

Computer staccato:
Devi essere fisicamente presente sulla macchina.

Computer attaccato ad internet senza firewall:
Puoi sfruttare eventuali falle per eseguire delle operazioni ANCHE(parola magica) senza essere nelle vicinanze.

Computer attaccato ad interneto con firewall(hardware):
Devi avere i diritti per accedere alla rete locale, quindi devi sfruttare una eventuale falla per accedere alla rete locale, E sfruttare eventuali falle per eseguire delle operazioni.

Quote:

Originariamente inviato da xsim

L'UAC di per se becca tutto..ok..positivi e negativi..e un utonto cliccherà yes sempre..anche perchè sembra un messaggio per nulla allarmante.

Già risposto, mettiamo più allarmante la finestra di UAC.

[hexaae]

Quote:

Originariamente inviato da xsim

No..il contrario..sto dicendo che NON è colpa del Windows ma del fatto che è l'unico sistema operativo che davvero interessa chi sviluppa software malevoli.
Ed ecco che allora per avere più sicurezza tocca spingersi in un prato verde piuttosto che districarsi in un campo minato.
Logica..non ideologia..non me ne frega un caxxo di usare quello piuttosto che quello per questioni ideologiche.

La tua logica finisce quando si dimostra illogico dover cambiare città, casa, macchina (per fare un parallelo) se sopraggiunge un piccolo problema. Gli utenti hanno protestato per piccoli cambiamenti di abitudine da XP a Vista, figuriamoci ogni tot anni (dopo che l'OS di turno più usato sarà impestato dai Virus) dover ogni volta reinventare la ruota...

Pensaci bene: non è meglio invece educare gli utonti a cosa sono i permessi e farne uso? E insegnargli che le ditte di antivirus ti prendono in giro quando ti convincono che installare un AV = stare sicuri sul proprio PC, invece di dirti l'unica verità: gira gratis con privilegi ridotti?

[hexaae]

Quote:

Originariamente inviato da xsim

L'UAC concettualmente non mi sembra chissà che cosa..secondo me in XP era implementabile senza RIVOLUZIONI.

No no, era penetrabilissimo per tanti motivi, tra cui (sempre paragonato a Vista) mancanza totale di seria e netta separazione utente/admin (es. il Superuser di XP!!), mancaza di protezioni come il DEP (solo parzialmente presente), l'ASLR, SEHOP, Integrity Levels etc. etc.
Vista non ha solo l'UAC per essere più sicuro. È sbagliato credere che XP fosse altrettanto sicuro semplicemente girando con account user invece che admin come di default. Vista offre ben altro ma mi sa che la gente è molto poco informata su Vista e infatti non mi sorprende la ahimé scarsa reputazione che hanno affibbiato a questo buon OS.

[II ARROWS]

Quote:

Originariamente inviato da hexaae

Sì certo... e una volta memorizzata la scelta ci hai pensato? Con quello stesso identico VBS disabiliterai l'UAC.

Eh? Di che parli?

Una volta memorizzata la scelta ti ritroverai un file criptato con le informazioni. UAC una volta avviato un file in cui vede l'impostazione come sicuro(da una chiave di registro) controlla che l'impronta coincida(stesso ragionamento delle password). Se non coincide cancella la chiave e mostra la finestra.

Questa è la soluzione a livello di memorizzazione, lo stesso livello di protezione delle password.

[hexaae]

Quote:

Originariamente inviato da II ARROWS

Eh? Di che parli?

Una volta memorizzata la scelta ti ritroverai un file criptato con le informazioni. UAC una volta avviato un file in cui vede l'impostazione come sicuro(da una chiave di registro) controlla che l'impronta coincida(stesso ragionamento delle password). Se non coincide cancella la chiave e mostra la finestra.

Questa è la soluzione a livello di memorizzazione, lo stesso livello di protezione delle password.

Guarda che con un VBS che imita gli input utente passa tranquillamente DOPO CHE L'UTENTE HA MEMORIZZATO... riflettici meglio. Sarebbe un'altro "design flow".

[II ARROWS]

Quote:

Originariamente inviato da hexaae

Guarda che con un VBS che imita gli input utente passa tranquillamente DOPO CHE L'UTENTE HA MEMORIZZATO... riflettici meglio.

Eh?

Se l'utente ha memorizzato l'abilitazione allora è logico che passa: è l'utente che ha detto essere sicuro.

[hexaae]

Quote:

Originariamente inviato da II ARROWS

Eh?

Se l'utente ha memorizzato l'abilitazione allora è logico che passa: è l'utente che ha detto essere sicuro.

Non hai capito: una volta che è stato salvata l'impostazione secondo cui è "sicuro" eseguire quell'app senza UAC requester, se ti imito gli input event per arrivare lì siamo punto e a capo: tramite quello stesso VBS ti disattivo l'UAC. Il problema di design criticato nel primo messaggio di questo thread è quello: non confermare ogni volta che si lanciano le impostazioni non è sicuro.

[II ARROWS]

Quote:

Originariamente inviato da hexaae

Non hai capito: una volta che è stato salvata l'impostazione secondo cui è "sicuro" eseguire quell'app senza UAC requester, se ti imito gli input event per arrivare lì siamo punto e a capo: tramite quello stesso VBS ti disattivo l'UAC. Il problema di design criticato nel primo messaggio di questo thread è quello: non confermare ogni volta che si lanciano le impostazioni non è sicuro.

Ma perchè? L'hai letto il mio messaggio?

Ti conviene rileggere che non hai capito.

[hexaae]

Quote:

Originariamente inviato da II ARROWS

Ma perchè? L'hai letto il mio messaggio?

Ti conviene rileggere che non hai capito.

No sei tu che mi sembra non abbia capito che non è questione di rendere sicura la memorizzazione della preferenza utente ma semplicemente che il problema è che se non c'è conferma da Amministratore ogni volta che si toccano le impostazioni, saranno modificabili tramite vari trucchi tra cui il più semplice è quel VBS.
Se invece mi stai dicendo di far comparire l'UAC SOLO SE le impostazioni sono cambiate è un altro discorso, ma ha poco senso perché se lanci l'eseguibile per cambiare le impostazioni di solito è perché le vuoi cambiare quindi un requester di conferma ti compare in tutti e due i casi (con memorizzazione ma check-cambiamento, o UAC forzato).

[xsim]

Sia ben chiaro..io NON sono contro l'UAC..ma per un suo ulteriore sviluppo..ossia renderlo ancora più efficace (con un messaggio più allarmante per esempio, ma non soltanto).
Ed inoltre se per navigare in internet (per fare un esempio) utilizzo Linux con Firefox 3 invece del Windows con Internet Explorer (so che c'è anche Firefox..lo so) non mi sento un alieno..ma un pò più tranquillo si.
Ma NON sono nemmeno contro Windows..fa quasi miracoli visto quanto è tartassato..avrei voluto vedere altri sistemi operativi nell'occhio del ciclone.
Certo..la struttura del registro, l'NTFS e altre cosucce non l'aiutano..

[hexaae]

Quote:

Originariamente inviato da xsim

Ed inoltre se per navigare in internet (per fare un esempio) utilizzo Linux con Firefox 3 invece del Windows con Internet Explorer (so che c'è anche Firefox..lo so) non mi sento un alieno.

E qui ricasca l'asino (scusa eh ) perché IE7/Vista con Modalità protetta + DEP è più sicuro di FFox/Vista, sempre che tu sappia cosa sono la Modalità protetta e il DEP...
Anche quelli di mozilla la invidiano:
https://wiki.mozilla.org/Mozilla_2/Protected_mode
https://wiki.mozilla.org/Firefox/Fea...rming:Security

[II ARROWS]

Quote:

Originariamente inviato da hexaae

il problema è che se non c'è conferma da Amministratore ogni volta che si toccano le impostazioni, saranno modificabili tramite vari trucchi tra cui il più semplice è quel VBS.

Quel programma non funziona nel desktop sicuro!

Quindi a meno che l'utente non lo disabiliti manualmente, e in questo caso quel programma è completamente inutile, è sicuro.


Se invece dici che l'utente può memorizzare la scelta di non avvisare la modifica di UAC, consentiamo ai programmi progettati apposta di impostare un valore che vieti la memorizzazione.
I programmi vecchi non ce l'hanno e quindi non vedono differenze, quelli nuovi che non sono progettati per la sicurezza o continuano a non impostarlo o lo impostano negativamente, mentre quelli nuovi che sono critici come UAC stesso o un programma antivirus lo impostano positivamente.

UAC lo vede, non cerca se quel file è stato contrassegnato come sicuro e mostra la finestra senza la casella di controllo.

[II ARROWS]

Quote:

Originariamente inviato da xsim

Certo..la struttura del registro, l'NTFS e altre cosucce non l'aiutano..

Queste sono le frasi che la gente che non sa, tira in ballo.
Il registro è un database diviso in 3 file. In Linux usano file .ini.
La differenza?
Con il file .ini non devi passare attraverso un programma, essendo semplici file di testo qualunque programma può modificarlo una volta che ha i diritti di accesso. Potrebbe grazie ad un errore del programma cancellarlo completamente, oppure meno catastroficamente cancellare male una chiave oppure duplicarla.

Con il registro invece DEVI usare delle API. Una volta che hai i diritti di amministratore per eliminarlo dovresti cancellare una ad una tutte le chiavi, di cui devi sapere il nome. In questo ipotetico caso il DBMS del registro potrebbe anche accorgersene e bloccarti.
Non puoi duplicare una chiave già esistente, e non puoi cancellarla male perchè non è affar tuo come viene memorizzata ma ci pensa il DBMS.


NTFS invece secondo me è più avanzato in sistema di sicurezza, perchè si basa su una pianificazione più avanzata dei permessi utente di Windows. Anche in 2000.

[xsim]

Quote:

Originariamente inviato da hexaae

E qui ricasca l'asino (scusa eh ) perché IE7/Vista con Modalità protetta + DEP è più sicuro di FFox/Vista, sempre che tu sappia cosa sono la Modalità protetta e il DEP...
Anche quelli di mozilla la invidiano:
https://wiki.mozilla.org/Mozilla_2/Protected_mode
https://wiki.mozilla.org/Firefox/Fea...rming:Security

Io veramente ho scritto Linux + Firefox 3..di che asino parli ?

[Collision]

Quote:

Originariamente inviato da xsim

Ed inoltre se per navigare in internet (per fare un esempio) utilizzo Linux con Firefox 3 invece del Windows con Internet Explorer (so che c'è anche Firefox..lo so) non mi sento un alieno..ma un pò più tranquillo si.

Di Firefox si possono elogiare decine di altre cose... ma non è assolutamente più sicuro di Internet Explorer (7) in modalità protetta!

[xsim]

Quote:

Originariamente inviato da II ARROWS

Queste sono le frasi che la gente che non sa, tira in ballo.
Il registro è un database diviso in 3 file. In Linux usano file .ini.
La differenza?
Con il file .ini non devi passare attraverso un programma, essendo semplici file di testo qualunque programma può modificarlo una volta che ha i diritti di accesso. Potrebbe grazie ad un errore del programma cancellarlo completamente, oppure meno catastroficamente cancellare male una chiave oppure duplicarla.

Con il registro invece DEVI usare delle API. Una volta che hai i diritti di amministratore per eliminarlo dovresti cancellare una ad una tutte le chiavi, di cui devi sapere il nome. In questo ipotetico caso il DBMS del registro potrebbe anche accorgersene e bloccarti.
Non puoi duplicare una chiave già esistente, e non puoi cancellarla male perchè non è affar tuo come viene memorizzata ma ci pensa il DBMS.


NTFS invece secondo me è più avanzato in sistema di sicurezza, perchè si basa su una pianificazione più avanzata dei permessi utente di Windows. Anche in 2000.

Ferraglia..

[II ARROWS]

Il tuo...

Vuoi dare torto anche agli sviluppatori di Firefox? Sapranno i problemi del loro prodotto.

Quote:

Originariamente inviato da xsim

Ferraglia..

Come volevasi dimostrare.

[xsim]

Quote:

Originariamente inviato da Collision

Di Firefox si possono elogiare decine di altre cose... ma non è assolutamente più sicuro di Internet Explorer (7) in modalità protetta!

Esiste Internet Explorer per Linux ? No.
Ecco..con Linux + Firefox 3 mi sento più sicuro di Windows + Internet Explorer.
Questo ho scritto.
Discutibile ?
Certo..tuttavia..