Bluegem
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
Цитата: По сути вам надо разрешить запуск и активность файлов firewall.cpl и WININET.dll
Вы можете сделать системные файлы доверенными или исключить их из автопесочницы по маске (не знаю, какая именно маска вам нужна) |
Не совсем, мне нужно ограничить некоторые потенциально опасные системные функции, более подходящий тут пример - стрОки с использованием regsvr32.exe и различные powershell команды.
Цитата: Логика там есть и учет разных факторов оправдан.
Другое дело, что портит картину скрытость и неотключаемость «списка чистых файлов». Когда-то я просил сделать его отключаемым, но увы.
Этот список как-то связан с антивирусным модулем, Comodo обращается к нему, даже если антивирус как будто не установлен. Можно сдампить внутреннюю базу в файл (есть такая скрытая фича для отладки), но этого списка там не будет. |
Я не спорю, что обывателю все это хозяйство, наверное, жизненно необходимо, но меня смущает, как я уже написал, его непрозрачность и отсутствие возможности избавиться от этого "добра". Тут наша точка зрения совпадает.
Цитата:
Вот до 10-й, вернее, 8.2.какой-то версии рейтинг был по-настоящему дырявым. Сейчас переработан. |
Проблема в самой реализации, что есть какая-то система, которая тебе спускает свыше решение сделанное по неизвестно каким критериям. Не знаю, как вы, а я реально сомневаюсь, что сидят специалисты из Comodo и исследуют каждый файл индивидуально, скорее всего это какая-то болванка на базе статистики и доверенных подписантов, что само по себе не хорошо, потому что закрытые ключи можно украсть, как и было с RealTek и JMicron.
Цитата:| Ох... Бритва Хэнлона рулит. |
В подобных вопросах мне больше импонирует закон Мерфи и его следствия.
А так, я бы в это поверил как бы не весь остальной дизайн Comodo, просто такой перекос слишком бросается в глаза.
Farik90
Цитата:| По поводу "белого листа": для этого есть правило "все программы" в самом низу списка правил. Я и сам многое туда добавил. |
Не совсем понял, как это применимо к моему случаю.
Цитата:| В чем проблема очистить базу или сразу настроить как надо? У меня все прозрачно, ручной режим, тут такое есть, да. |
В том что есть скрытая база, которая непонятно где и как существует, и видимо благодаря которой у меня левый файл сразу становится "доверенным". Кстати, этого не происходит, если включено облако, то же лишний повод задуматься. Впрочем тут я пишу про 10ю версию, 8ю версию не пробовал.
Цитата:| 1) Целостность файлов программ достигается отсутствием прав админа у просто юзера и его программ - банальная истина для любого админа. |
Я не админ и не программист, по крайней мере профессионально этим не занимаюсь. Но даже я понимаю, что есть уязвимости позволяющие выполнить повышение привилегий. И ради всего святого не пишите, что нужно ставить патчи, тогда все будет ОК. Не будет, всегда есть ZDV, и собственно говоря от них я весь этот огород и горожу. Если бы я рассчитывал, что собственные средства безопасности приложений и ОС способны справиться с различными угрозами, я бы ими и пользовался сейчас. Раньше, к слову я так и делал - ограниченный пользователь, AppLocker с жесткими, настроенными вручную, политиками, набортный фаэрволл с контролем трафика в обе стороны.
Цитата:| 3) Ну допустим, злобный хакер, у которого есть пароль админа, сел за ваш комп, пока вы отвернулись и подменил недоверенный файл, который контролируется созданным правилом. Какая, к черту разница? Он ограничен правилом, а значит не сможет навредить (правило "разрешить все" не рассматриваем). |
Если вы думаете, что запороленная учетка админа вас защитит - не буду вас разубеждать. Что до правила, то о каком контроле идет речь? У многих приложений есть карт бланш на сетевой доступ как минимум с возможностью чтения ФС, этого уже достаточно.
Да и речь сейчас даже не о практической атака, а о ее возможном векторе, который должен быть закрыт, если все делать по уму.
Цитата:| 4) Делаем доверенной и запрещаем все ненужные активности: вуаля, права программы урезаны только нужными, при этом после подмены она лишится даже их. |
Вариант возможный, но не совсем то, что мне нужно. В некоторых случаях я хочу принимать решение на месте, а не запретить все задним числом.
Цитата:| 5) После каждого обновления будете заново вручную назначать прогам рейтинг доверенных по хешу? Ну-ну. |
У меня мало софта, который постоянно обновляется, поэтому обновить хэши на то, что обновилось абсолюно не проблема. Впрочем, чего я распинаюсь, если вы никогда не пользовались anti-exec'ами, то вы не можете знать, что это занимает минут 5 времени от силы на средний набор программ.
Цитата:| Не доверяете рейтингу - ставьте параноид режим, целостность контролируется пунктами 1, 2, 3. |
Ответил выше.
Цитата:| Если программа системная или требует больших прав, то наверняка подписана, и можно не заморачиваясь добавить ее по подписи, ибо какой смысл пытаться ее ограничить. |
Действительно, какой смысл. После этого я думаю, что можно и не продолжать, все равно мы друг друга не поймем, а тратить свое время на объяснение почему иногда это нужно и почему это нужно лично мне я не собираюсь.
Цитата:| SRP политики позволяют сделать белый лист разрешенных к запуску по хешу - но так никто ни делает. |
Не понял суть данного высказывания.
Я так делал на XP, на 7ке и на 2008r2 использовал уже AppLocker, и каюсь, создавал правила и по ЦП. И я далеко не один такой.
Цитата:| Моим браузерам не разрешено запускать файл virus.exe из папки temp. |
Если вы думаете, что это единственный способ запустить payload, мне также нечего сказать, точнее не хочется, потому что писать придется много, да и на благодарного читателя вы не похожи, а это значит, что я потеряю свое время впустую.
Цитата:| Bluegem, судя по последнему сообщению, вы высказываете уже свои убеждения, а не вопросы/проблемы, а значит использовать хипс не собираетесь. Как я и предупреждал, хипс не для простого юзера. Но тогда кому и что вы доказываете? |
Не понял, что вы имели в виду. Что до меня, то я тестирую Comodo на предмет пригодности для своих задач, если чего-то не знаю - спрашиваю, если что считаю плохо сделанным - так и пишу. Вам же я отвечаю на адресованные мне сообщения, доказывать я вам ничего не собирался и не собираюсь, со временем либо вы сами все поймете, либо вам это не нужно. |
