Ha játék közben beszívnánk egy malware-t, vagy ha a támadó egy WiFi driver bug-ot használna ki, az nem lenne kihatással a többi taskra, attól még a "banking" VM-ben futó bankoló szoftverünk nem lenne veszélyben.
"Nem leszünk képesek minden általunk használt szoftverben levő összes bugot kijavítani vagy az összes rosszindulatú szoftvert felismerni. Következésképpen más megközelítésre van szükségünk ahhoz, hogy biztonságos rendszereket építsünk." - mondta Rutkowska.
A Rutkowska és kollégája, Rafal Wojtczuk által tervezett rendszer jelenleg alpha állapotban van, éles felhasználásra nem alkalmas. A tervek szerint az év végére kerülhet "stabil" állapotba. Noha a Qubes nyílt és ingyenes marad, a tervek szerint a fejlesztők fizetős szolgáltatásokat (bővítményeket) építenének köré.
A részletek itt és itt. A projekt honlapja itt. A koncepcióról bővebben ebben a PDF-ben. Képernyőképek itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
És persze még gyors is lesz. :)
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Miben kulonbozik ez a Citrix megoldasaitol (XenDesktop, XenApp) ? (azon kivul, hogy ingyenes)
Magyarul, nem ok talatak fel a fagyallos bort.
- A hozzászóláshoz be kell jelentkezni
A citrixtol nem nehez... pl hogy mukodik ;o)
- A hozzászóláshoz be kell jelentkezni
Hidd el megy az is csak egy kis varazslat kell hozza... :D
- A hozzászóláshoz be kell jelentkezni
kicsit Plan9 koncepcióhoz hasonlít, virtualizációval megfejelve.
a banking+virtualizációt egyébként eléggé kézenfekvő, én is alkalmazom már egy ideje, szintén biztonsági okokból.
- A hozzászóláshoz be kell jelentkezni
Én is, de én azért mert a banki szoftver csak win alatt fut, a win meg a virtualizációban fut a linuxon.
Persze ez biztonságtechnikailag semmit nem tesz hozzá a dolgokhoz, mert amikor a virtuális windows fut és a bankkal kommunikál, elképzelhető, hogy ilyen-olyan remote kihasználható bugon keresztül beszopok férget, keyloggert, botnetet, akármit.
G
- A hozzászóláshoz be kell jelentkezni
A hardveresen szeparált virtuális gépek -a kor hardverének szintjén- már az OS/2 WARP-ban is megvoltak.
Nincs új a nap alatt, ettől függetlenül jól hangzik a dolog!
-
"Attempting to crack SpeedLock can damage your sanity"
- A hozzászóláshoz be kell jelentkezni
Az a gond, hogy ez sem iktatja ki a rendszerből a leggyengébb láncszemet "felhasználó". Hiszen ha nekiáll azon a task-on pornót nézni amelyiken éppen bankol "hiszen már nyitva van" akkor ez az egész semmit nem ér.
- A hozzászóláshoz be kell jelentkezni
Aki balfék az vessen magára.
Ha az "User defined AppVMs" azt jelenti hogy a rendszer a felhasználó által elindított összes folyamatot külön "homokozóban" indítja el akkor a pancser sem tud hibázni.
Ha pedig ennek eldöntése a gép előtt ülő biológiai PC-re van bízva akkor az egész elképzelés csak egy lehetőség a képzettebb fölhasználóknak de nem általános gyógyír a bajokra.
- A hozzászóláshoz be kell jelentkezni
Á, már úgyis túl nagy teljesítményűek a hardverek. Ezt valamivel fel kell zabáltatni, különben ki venné meg az újat...?
- A hozzászóláshoz be kell jelentkezni
Mert a Xen hypervisor bizonyára abszolút biztonságos, feltörhetetlen. :)
--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.
- A hozzászóláshoz be kell jelentkezni
Pont Joannáék tartottak előadást, hogy nem az. Persze törekedni lehet rá, csak a hypervisoron kívül is van élet. :)
Közös pont a megjelenítési réteg is és a processzor hibákról sem érdemes elfelejtkezni.
- A hozzászóláshoz be kell jelentkezni
itt van az, hogy a jó AMD Pacifica megbízhatóbb, mint az Intel Vanderpool.
- A hozzászóláshoz be kell jelentkezni
Ebben koránt sem vagyok biztos.
- A hozzászóláshoz be kell jelentkezni
>pehelysúlyú
400 mega idlebe.. tudom 1000 a memoria.. de ez sok
- A hozzászóláshoz be kell jelentkezni
a mozgékonysága fontosabb szerintem. meg hát persze mihez képest pehelysúly. ez win7 se 60k-n fut. meg azért gyanítom, hogy nem mariska néni a célközönség, aki csak 2 szoftvert futtat életében, hanem az, aki tudatosan törekszik ennek az előnyeit kihasználni. az meg eleve többet költ. ha működőképes a modell, akkor még akár lehet is belőle valami.
--
xterm
- A hozzászóláshoz be kell jelentkezni
Kicsit mikrokernel ize van a dolognak. Na persze szorosabban semmi koze a dologhoz :) csupan az jutott eszme, hogy ott a cel egy monolitikus kernelben osszezsufolt funkcionalitas szetosztasa egymastol jobban szeparalt reszekre, es ami ide kapcsolodik az csupan az, hogy elsosorban azzal is az a fo gond, hogy a szeparaltsag miatt performanciaban nem tundokol annyira. Ott is azt mondjak, hogy "mai hw-nek meg sem kottyan, regebben ez tenyleg problemas volt lassu vassal", megis: ha ma mar nem problema, es csak ez volt a gond, akkor miert nem terjed mint a futotuz mara mar?
- A hozzászóláshoz be kell jelentkezni
a Mac OSX is mikrokerneles rendszer, mégsem "lassú" vagy underperformer desktop os az X, sőt. régebben még inkább általánosságban érzékelhető volt a µkernel előnye. amikor éppen hogy elég volt a vas egy szabvány Mpeg2 Pal/Ntsc video lejátszásához, jól jött a µkernel azon képessége, hogy biztosította a videolejátszó program számára, garantáltan megkapja a video lejátszásához szükséges számítási kapacitást.
szerverként a monolitikus kernel adja ma is a maximális teljesítményt.
- A hozzászóláshoz be kell jelentkezni
a Mac OSX is mikrokerneles
nem az, max. hibrid.
- A hozzászóláshoz be kell jelentkezni
tudom wikipedia:) de a Mach alap miatt az OSX sokkal inkább mikrokerneles mint hibrid.
- A hozzászóláshoz be kell jelentkezni
Nem wikipedia a lényeg, nézzed meg, hogy hogyan épül fel. Ugyanazon a privilégium szinten fut a memóriakezelés, a filerendszer, a hálózatkezelés, a video driver is. Hol van itt mikrokerneles filozófia, szeparált memóriaterületeken futó alrendszerek? Sehol.
Amiért hibridnek lehet nevezni (bár szerintem még az is erős túlzás), hogy egyes driverek userlandben futnak. De ez igaz a Windowsra is és ráfogható a Linuxra is.
- A hozzászóláshoz be kell jelentkezni
Naja, foleg a fuse kapcsan, en pl rendszeresen hasznalok sshfs-t, es ez mikorkernel izu dolog kisse, de ez nem eleg, hogy a linux-ot mikorkernelnek hivjuk azert :)
- A hozzászóláshoz be kell jelentkezni
abban igazad van, hogy nem használják ki jelenleg a lehetőségeket OSXben. a linux kernelre viszont sehogyan sem fogható rá.
- A hozzászóláshoz be kell jelentkezni
Dehogynem, a Linux kernelre is pontosan annyira fogható rá. Vegyes architecktúra az is, pl ott a FUSE mikrokernel megoldásnak.
---
Internet Memetikai Tanszék
- A hozzászóláshoz be kell jelentkezni
ezt remélem viccnek szántad:D
- A hozzászóláshoz be kell jelentkezni
Hát csak féligmeddig... Ha jobban belegondolsz, hogy a FUSE hogy is működik, milyen interfészt használhatsz, milyen CPU ringben fut, akkor lehet, hogy nem is annyira vicc ez.
A lényeg azonban nem ez, hanem az, hogy ma már nincs tisztán mikrokernel és monolitikus architektúrájú kernel, összevissza kavarnak mindenféle megoldásokat mind a Linuxban, mind az OSX-ben. Legfeljebb 1-1 alrendszer esetén lehet arról beszélni, hogy ez most mikrokernel-szerűen van-e megoldva vagy sem.
De hogy mondjak egy másik még aljasabb példát: Xorg, KMS nélkül. Amiben egy teljesen userspace folyamatban fut egy hardver meghajtóprogram... a definíciónak még ez is megfelel.
---
Internet Memetikai Tanszék
- A hozzászóláshoz be kell jelentkezni
itt tárgyaltuk a témát. amikor tanultunk róla úgy emlékszem rakétavezérlő volt a vicces példa:) azóta lehet kikerült az előadások anyagából.
a mikrokernel előnyei ott érezhetőek igazán, ha éppen csak elég a számítási kapacitás egy feladathoz. ma lassan lejáró divat szerint "úgyis van vas", ezért szorulhattak háttérbe a mikrokernelek. a másik előny az egyszerűbb fejlesztés, de fejlesztőkből sincs hiány ma akár linux, akár windows kernele körül.
a FUSE vagy a linux kernel modularizálása soha nem fog tudni olyan képességeket, amit egy valódi mikrokernel.
figyelemreméltó aktuális mikrokerneles projekt a Drezdai Egyetem L4Linuxa.
- A hozzászóláshoz be kell jelentkezni
találtam róla egy magyar nyelvű áttekintést
- A hozzászóláshoz be kell jelentkezni
amiatt repült Gabu anno a hupról, ha jól emlékszem. nem a tartalom, hanem a stílus miatt.
- A hozzászóláshoz be kell jelentkezni
Szerinted amagda kicsoda? Második hozzászólásából levághatod, hogy ismét visszatért boldogítani...
És nem, nem amiatt repült legalább 127 csillió alkalommal (innen és 100 más helyről). Hanem mert képtelen az emberi kommunikációra.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ezért találta meg ilyen hamar a saját linkjét:) az valóban látható, hogy nem newbie, de elsőre Drastikra tippeltem volna:) egyébként teljesen igazad van.
- A hozzászóláshoz be kell jelentkezni
Na de nővé operáltatta magát? :)
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Melyik 100 másik helyről lett még?
- A hozzászóláshoz be kell jelentkezni
Na akkor mégiscsak ugyanarról beszélünk.
Azon azért vitáznék, hogy a mikrokernelek akkor jók, ha korlátozott a kapacitás, mert inkább pont az a jellemző, hogy a monolitikushoz képest több teljes CPU kontextusváltással járnak. Talán éppen ezért ritkák az igazán teljesen "ground up" mikrokernel architektúrák, bizonyos nagyon gyakran használt és relative egyszerű funkciókat teljesítményszempontból mégiscsak jobb a magban tartani. Sokkal erősebb szempont az egyszerű fejlesztés, illetve jobb hibatűrés, jobb izoláció. És szerintem ezt nem kompenzálja a több fejlesztő sem. Szerintem a legfőbb ok, amiért ódzkodnak tőle, hogy sokkal inkább stabil API/ABI kell hozzá, mint a monolitikushoz. De ezzel már egy másik flame témába csapnánk át. :)
FUSE vagy a linux kernel modularizálása soha nem fog tudni olyan képességeket, amit egy valódi mikrokernel
Persze. Nem is mondtam ilyet, inkább csak arra próbáltam rávilágítani, hogy itt sem fekete és fehér a világ.
---
Internet Memetikai Tanszék
- A hozzászóláshoz be kell jelentkezni
Elvetemült vagyok, ha azt mondom, Debian+Xen, némi buhera, egy jó x86-os vas, és minden megvan?
KisSzikra - TTZ Modding Csoport
- A hozzászóláshoz be kell jelentkezni
neeeeeeem, abban nincs elég hype :D ha már obsd nem lehet dom0, akkor legyen netbsd a dom0 debi helyett :D
jó, reggel van nah :D
- A hozzászóláshoz be kell jelentkezni
Van különbség aközött, hogy firefoxon megyek mindenfele, közbe operán bankolok vagy ezen a csodabogáron megy egy barangoló firefox task és egy bankos firefox task?
Pörgős csaj ez a Joanna :) meg okos is.
- A hozzászóláshoz be kell jelentkezni
szerintem van különbség. az az egyik beadja a derekát, akkor azon keresztül a bankos borzoló is megfektethető. egy másik virtualizált környezetben való elhalás azt jelentené, hogy magát a virtualizációt kéne lerombolni. azt meg azért csak nehezebb, mint egy böngészőt.
--
xterm
- A hozzászóláshoz be kell jelentkezni
Ez igaz, de ez nem csak a támadónak okoz gondot. Ha frissíteni kell a browser-t akkor frissítheted mindegyiket külön.
- A hozzászóláshoz be kell jelentkezni
Elvileg nem, mert ugyan azt az image-t használja, mint a host. (ro módban, ha jól olvastam, meg van saját plusz irható terület/guest)
- A hozzászóláshoz be kell jelentkezni
olvasd el a pdf-t.... (van)
- A hozzászóláshoz be kell jelentkezni
Szerintem ígéretes a dolog, bár nem pehelysúlyú és zabálja az erőforrásokat az tény. A PDF vége felé található érdekes attacker use-case -k vannak, ajánlom elolvasni akit érdekel a téma.
- A hozzászóláshoz be kell jelentkezni
Félősen kérdezem meg, de szerintem ennek a cuccnak az a lényege, hogy "összecsomagolja" a már meglevő ötleteket, nem? Például, nem a felhasználó ügyködik a virtuális gépekkel hanem ha indul egy process, annak automatikusan csinál egyet és ott indítja, ha indul egy második, akkor azt meg ott, stb.?
********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu
- A hozzászóláshoz be kell jelentkezni
Szerintem még egy "hozzáértő" sem fogja tudni eldönteni egykönnyen, hogy melyik virtuális rendszerével dolgozzon, vagy hogy átvihet-e adatot egyikből a másikba.
- A hozzászóláshoz be kell jelentkezni
vagy hogy átvihet-e adatot egyikből a másikba.
Pontosan, szerintem is az egész koncepciónak itt a leggyengébb pontja. Mivel normál use case-ek esetén ezt meg kell oldani valahogy, ezért szeparáció tekintetében nagyon hamar ott vagyunk ahol a jelenlegi OS-ek is vannak.
---
Internet Memetikai Tanszék
- A hozzászóláshoz be kell jelentkezni
Bezzeg ha szakállas csúnya hackerember alkot valami nagyot, a fotója az nem kerül ki. Miért? :)
_________________________
Linux for human lemmings
- A hozzászóláshoz be kell jelentkezni
Nem igaz. :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ő nem szakállas:)
- A hozzászóláshoz be kell jelentkezni
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ő már megfelel a követelményeknek:)
- A hozzászóláshoz be kell jelentkezni
Megnyugodtam, legközelebb jobban figyelek. :)
(süti a piros kalapja)
_________________________
Linux for human lemmings
- A hozzászóláshoz be kell jelentkezni
honnét tudod, hogy nem szakállas? :D
- A hozzászóláshoz be kell jelentkezni
Szerintem remek ötlet.
Én is gondolkodtam már ilyesmin, csak a megvalósításig nem jutottam el.
ps.: nem azért remek ötlet, mert én is kitaláltam :)
- A hozzászóláshoz be kell jelentkezni
BugOS csinálja már ezt néhány éve, magyar gyártmány. Egy fickó alkotta, saját assemblerrel.
- A hozzászóláshoz be kell jelentkezni
Egy volt kollégám osztálytársa volt a fiú, én tőle hallottam erről a projectről, viszont nem nyílt a forráskódja, ha jól tudom.
_________________________
Linux for human lemmings
- A hozzászóláshoz be kell jelentkezni
Én is úgy emlékszem, nem volt hozzá forrás, viszont szabadon letölthető, rendelni is lehet - most is - a linuxmedia-tól.
- A hozzászóláshoz be kell jelentkezni
Ahelyett h. megnéznétek a honlapon, "úgy emlékeztek", csak nem értem miért.
- A hozzászóláshoz be kell jelentkezni
A honlapot akkor néztem, mikor letöltöttem, azért emlékszem, mert használtam.
- A hozzászóláshoz be kell jelentkezni
Ráadásul a belinkelt honlapon semmi licenc információ nincs. Csak csillagokat látok.
_________________________
Linux for human lemmings
- A hozzászóláshoz be kell jelentkezni