emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Fafy 21:15 23-06-2016 Цитата: Сегодня заметил как Comodo Firewall 5.9.221665.2197 тупо пропускает (даже не спрашивая) в сеть Orbitum браузер или его веб установщик | CIS 5.9 не проверял. На CIS 8.4 поведение не подтверждается: ни установка, ни работа браузера невозможны без разрешений фаервола, когда он в пользовательском режиме. Хотя установщик (вернее, его дочерний процесс) прямо соединяется с интернетом, он зачем-то обращается еще и к BITS, так что можно до кучи заблокировать этот интерфейс. All Вообще-то этот веб-установщик меня тоже напугал, но кое-чем другим. Я запустил его при отключенной автопесочнице и включенном в безопасном режиме хипсе, при этом получил оповещение о запуске установщика, мол, неопознанный, а о дальнейшей его активности — нет. Как оказалось, после запуска файл угодил в доверенные, причем с указанием поставщика — значит, основанием доверия была подпись. Однако облако было отключено, и записей в журнале Защиты+ об облачной проверке не было; также в журнале изменений конфигурации не было записей о новых поставщиках. Также я сравнил, как изменилась локальная база данных до и после запуска установщика. Как оказалось, в ней вообще не изменился список доверенных поставщиков. Изменились лишь списки файлов: в таблицы RatingFiles и FileCertificateInfo добавилось по 69 записей. Я повторил эксперимент, запретив интернет самому CIS'у, — и тогда установщик остался неопознанным и его активность контролировалась, как положено. Еще один эксперимент: я попытался добавить этот файл в список доверенных поставщиков — и получил ответ, что файл не подписан. Затем запустил файл, снова попытался добавить поставщика — и... получил ответ, что этот поставщик уже имеется! Получаем довольно странную ситуацию: CIS знает поставщика, но только через интернет выясняет, что определенный файл является подписанным. Причем это происходит, несмотря на отключение облачной проверки. Кто может объяснить, что все это значит? В архиве установщик и состояние базы до и после его запуска (пароль cis): https://mega.nz/#!zBMzTIzJ!qzDd55dYIeSSsGVAKEzeFen8ntuJVMwdvctYLZ0zMLA Вдобавок пару слов о подписи этого установщика. ОС на виртуальной машине считает этот файл подписанным, а на реальной — нет. Дело в том, что на реальной машине я активировал ужесточенную проверку подписи (рекомендую ликбез на эту тему). Скорее всего, установщик подписан «нестрого», и с этим может быть связано странное поведение CIS. | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 01:45 24-06-2016 | Исправлено: emhanik, 03:01 24-06-2016 |
|