Az MS "feltalálta" a chroot-ot

Microsoft Windows

A Zindexen olvasható:
"Kártékony kódokat internetezés közben lehet a legkönnyebben összeszedni, ezért a Microsoft egyik legfontosabb feladata az volt, hogy biztosítsa az új Internet Explorer 7 védelmét. Bár ezt a böngészőt már Windows XP alatt is futtathatjuk, az XP-s változatból pont a legfontosabb biztonsági funkció hiányzik, az úgynevezett Protected Mode. Ha ez be van kapcsolva, akkor az Internet Explorer úgy működik, mintha be lenne zárva egy ládába. Ilyenkor hiába robbantja szét egy vírus az Internet Explorer teljes védelmi rendszerét, sem a böngésző, sem a benne futtatott kiegészítők nem férnek hozzá az operációs rendszerhez (elméletileg)."

A Microsoft végre "feltalálta" a chroot/jail megoldást? :)))

  • 2837 megtekintés

( tamaas | 2006. 12. 01., p – 13:22 )

"mintha be lenne zárva egy ládába"

Vagyis nem mutat semmit? Vagy a netet is a ládába zárták? Akkor meg mi értelme a ládának... :-DDD

( Csigaa | 2006. 12. 01., p – 13:40 )

És akkor hogyan tudok majd fileokat menteni a Desktopra?
Fiktív support request: "Letöltöttem egy fájlt, de nem töltötte le!!! Mit csináljak? Valami temperature files-t mutatott az ablak teteje, de az nincs a gépen!!!"

Vagy a Desktopot látja? Akkor a következő exploit majd minden LNK-t kitöröl amit lát, ezzel okozva teljes káoszt a titkárságon ;)

( apal v | 2006. 12. 01., p – 14:20 )

hja, a lenyeg nem is ez hogy most chroot() vagy setuid() vagy barmi egyeb kultur-megoldasra akar ez hasonlitani, hanem hogy csak ott nem fogja'k megto"rni, ahol nem akarja'k...

( Celtic v | 2006. 12. 01., p – 14:46 )

Hmm, hat anno szo volt rola, hogy java-ra sem lehet virust irni, mert ugye virtualis gepben fut a program, aztan megis egesz szep lyukakat talaltak a virt. machine oldalan...
100 % biztonsag nincs, de erdemes minel jobban megkozeliteni.

( eax | 2006. 12. 01., p – 14:51 )

Amennyire en tudom nem chroot-jellegu, inkabb csak arrol van szo, hogy nem kapja meg a felhasznalo osszes jogosultsagat.

Jaja, chroot nem lehet semmi esetre sem, mert ha pl. csak fajlba le akarnal menteni, vagy betolteni egy oldalt, akkor a fajlbongeszo-ablakban csak a chroot jail-en belul tudnal bongeszni.

Egyebkent en nem tudok rola, hogy lehetne-e dos/windows-on chroot-olni, de meg merem kockaztatni, hogy abban a formaban nem ahogy *nix-okon. Legfeljebb csak kerulomegoldas letezhet, az pedig nem chroot.

Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

Ez csak részben igaz. Illetve nincs is ilyen szabály. Általában mondjuk egy esszében nem használjuk, de például élő beszédben, párbeszédben már lehet nyugodtan úgy kezdeni a mondatot.
Pl.:
- Sajnos nem tudok menni.
- És ez már biztos?

A fenti párbeszéd teljesen helyes nyelvtanilag, és nyelvhelyesség szempontjából is.

Jaja, chroot nem lehet semmi esetre sem, mert ha pl. csak fajlba le akarnal menteni, vagy betolteni egy oldalt, akkor a fajlbongeszo-ablakban csak a chroot jail-en belul tudnal bongeszni.

:)))

Nagyon értesz a Privilege Separation technikához... A te elgondolásod alapján akkor az összes OpenSSH-t futtató szerver, amelyik 'UsePrivilegeSeparation yes' beállítással működik, csak a /var/empty könyvtárba engedné be a felhasználókat... ;P

( rigidus | 2006. 12. 01., p – 15:49 )

"Bár ezt a böngészőt már Windows XP alatt is futtathatjuk, az XP-s változatból pont a legfontosabb biztonsági funkció hiányzik, az úgynevezett Protected Mode."

En ugy tudtam, hogy a "mai" operacios rendszerek - koztuk a windows is win95 ota, ill. emm386-tal a win3.1 is - Protected Mode-ban futnak.

Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

( Testa (nem ellenőrzött) | 2006. 12. 01., p – 23:19 )

Egyet áruljon el a kedves ms... Hogy a rákba csinálja ezt ha a teljes rendszeren ott az ie ... Csak nyison meg 1 my computert az is ie... Most akkor mi van ??? Ja értem a gépházam a doboz???? Mé eddig maguk zacskóba tartották ????

( saxus | 2006. 12. 01., p – 23:26 )

Mondjuk inkább azt találná fel az MS, hogy ha lenyomom a varázshármast (vagy valami mást), akkor az egész rendszer egy olyan módba kerül, ahol semmilyen programnak nincs egy deka prioritása se (magyarán ideiglenesen "befagyasztja" az egész rendszert), viszont elérhető lenne egy feladatkezelő, ahol kedvemre kilőhetném a progikat és azt bezárná cakkumpakk mindenestül (ugyebár, nem kap prioritást, a rendszeré a teljes CPU, gyakorlatilag csak nem kellene visszaadni neki a CPU-t).

Igaz, az talán az SP2 óta, mintha egész jó aránnyal lehetne kilőni a folyamatok fülön a feladatkezelőből a progikat, csak akkor van cumi, ha pl a gányul megírt játék miatt nem látszik.

( lzrd | 2006. 12. 01., p – 23:57 )

Láttunk már ilyent. Sudo pölö. És a 2000 is elég sokat tanult a posix szabványos oprendszerektől...
--
unix -- több, mint kód. filozófia.
Life is feudal