- A hozzászóláshoz be kell jelentkezni
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
így elsőre olyan mint egy furcsa seccomp v2 :)
de biztos nem az, mert az előbb volt linuxon mint openbsd-n, szóval ez tuti jobb!
ha az irónia detektor nem mozdult meg tessék megkocogtatni vagy újra cserélni!
ui (szerk): nem csak én haluztam be :)
[ http://firmwaresecurity.com/2015/11/12/kees-on-linux-seccomp-and-openbs… ]
ui2: ettől még...
1) tévedhetek (©: a tévedés jogát fenntartom)
2) akár jó is lehet :)
- A hozzászóláshoz be kell jelentkezni
Egesz ugyesen kitalalta Theo.
- A hozzászóláshoz be kell jelentkezni
Jópofa. Pl. a gzip fejlesztője belerakja a kodba, hogy csak pledge("stdio"), és akkor bármi vackot is küldenek be neki, nem lehet rávenni, hogy mondjuk futtasson valamit vagy a neten kommunikáljon, mert megfogja a kernel.
Gondolom ez csak addig működik, amíg egy rosszindulatú appot nem futtat valaki, ami nem mond le a jogairól. Mindenesetre nagyon hasznos, hogy kielemzik a progijaikat és megpróbálják szigorú keretek közé szorítani őket.
- A hozzászóláshoz be kell jelentkezni
Talán zamboriz ajánlotta nekem az egyik topic-omban azt az ötletet, hogy vizsgálni kellene a rendszer működését és ha eltér a megszokottól, akkor stop legyen és dönteni tudjunk még a végrehajtás előtt - vagy legalább utólag infót kapni. Ez szerintem is azért lenne egy jó biztonsági megközelítés, mert olyan nagy mértékű a már meglévő eszközök száma és ugyanilyen nagy a naponta újonann megjelenőké - ráadásul a meglévők is változnak folyamatosan - hogy ezt manuálisan lekövetni olyan mennyiségű hiba lehetőséget rejt, hogy gyakorlatban minimális az esélye szerintem a helyes és elegendő megvalósításának. Nehezíti még a dolog kivitelezését és megfelelő mértékű tesztelését, hogy hatalmas a meglévő rendszerek különbözőségeinek kombinációja.
Ezzel szemben egy automatikus figyelő szolgáltatás nagy közönség által használható lenne minimális hozzáértéssel.
- A hozzászóláshoz be kell jelentkezni