Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » WinRAR (часть 3)

Модерирует : gyra, Maz

Maz (27-08-2020 19:31): WinRAR (часть 4)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199

   

gyra

Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По вопросам лечения (кряки, патчи и т.д.), а также разблокировки архивов, обращаемся в «Варезник».
Отдельная тема по сборкам WinRAR
Предыдущие части темы: Часть 1 | Часть 2



Официальный русский сайт: win-rar.ru
Официальный e-mail разработчика WinRAR (писать на русском): dev@rarlab.com
 
Финальная английская версия: 5.91 x86 | x64 (29.06.2020)
Финальная русская версия:  5.91 x86 | x64 (29.06.2020)
 
Список изменений на английском языке
(на родном – смотрите файл WhatsNew.txt в дистрибутиве на вашем языке)
Скачать RAR для macOS, FreeBSD, Linux, Android можно здесь.

 
Скачать ранее вышедшие версии также можно с официального сайта.

Версия 3.62 (ru) с подарочным ключом (респект камраду elmorte)

Коллекция всех ранее выходивших версий WinRAR (1995-2020): скачать (253 МБ) [обновлено 30.03.2020]

вместо F.A.Q. || альтернативные архиваторы

Почему опять задерживается русская версия? А при русском разработчике на языке XXX уже давно есть. Не захламляйте тему подобными вопросами.

Кому не нравится новая тема оформления - скачайте с официального сайта rarlab.com (из раздела Themes) и установите себе WinRAR Classic theme by Francesco Indrio: Стандартная (48x36). Мелкие кнопки (24x24)

В теме активно отвечает на вопросы автор архиватора Евгений Рошал! Ситуация уникальная, прошу пользоваться. :)

Всего записей: 7932 | Зарегистр. 18-02-2006 | Отправлено: 12:00 14-12-2016 | Исправлено: Domin0, 13:37 26-08-2020
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vasevase

Цитата:
Лучше не надо. Кому надо - и так следит (или не обломится зайти на сайт).
Какие-то поползновения в Интернет могут счесть за "зловредное поведение", имхо.
Плюс, думаю, немало машин стоит в offline-режиме. Нафига на таких данная функция?

Я пока не решил. Если делать, то, конечно, опционально. Но если она будет выключенной по умолчанию, выключенной она у большинства пользователей и останется. Так что ее основная задача - информирование о важных обновления - останется невыполненной. Если ее делать включенной по умолчанию, многие корпоративные пользователи будут недовольны. Там может быть своя политика по обновлению программ и доступу в интернет, так что админам придется еще и выключать у каждого пользователя эту галку. Потом и обычные пользователи могут насторожиться из-за попыток архиватора молча лезть в сеть. От архиватора каких-то сетевых функций люди обычно не ждут. Но на другой чаше весов - информирование о важных обновлениях.
 
Сейчас я прикинул как это реализовать, если все-таки до этой функции дойдет дело. Мне не нравится идея с автоматическим скачиванием и установкой новой версии. Мне кажется, что сообщение о новой версии с кнопкой "Open download page" и безопаснее, и надежнее, хоть и менее удобно. В случае WinRAR ситуация осложняется тем, что есть много переводов на разные языки, а некоторые дистрибьюторы предпочитают выкладывать переведенную версию сначала на своем сайте, а не rarlab.com.
 
Тогда в WinRAR должна быть строка с https based download page URL, которую переводчик или дистрибьютор может менять. И должен быть централизованный https://rarlab.com/version_information.txt с примерно следующей структурой:
 
5.71     English     2     default
5.71     Russian    2     default
5.70     Slovak      4     https://rarlab.com/download.htm
5.71b1  Slovak     1     https://rarlab.com/download.htm
 
Первая колонка - номер версии, вторая - язык, третья - важность обновления (1 - beta, 2 - regular release, 3 - important security fix, 4 - critical security fix, может потом еще что-то придумается), четвертая - URL (используем стандартный из winrar.exe или переопределяем в случае если со стандартным какие-то проблемы).  Читаем этот файл из winrar.exe через InternetReadFile и выдаем соответствующее сообщение. Или не выдаем.
 
Вопрос еще в том, нужна ли для этого файла цифровая подпись, проверяемая в WinRAR после чтения. Она может быть полезна в случае, если сломали сервер и предложили пользователям обновиться на malware под видом critical security update. Сломанный сервер обнаружат и выключат в течение часов, но сколько-то людей обновиться успеет. А минус подписи, что без нее можно было бы сделать генерацию этого файла полностью автоматической на основе анализа каталога ftp. А так его придется переподписывать вручную после выкладки каждого перевода. А переводов много. Если его подписывать автоматически на сервере, тогда подпишутся и изменения, внесенные злоумышленниками.
 
И еще вопрос - какие атаки злоумышленников на предложенную схему нужно принять во внимание. Если version_information.txt отдается по https, то, видимо, подменить его не получится. Или есть варианты? Если дойдет дело до реализации, надо будет думать и по поводу безопасности.
 
Добавлено:

Цитата:
четвертая - URL (используем стандартный из winrar.exe или переопределяем в случае если со стандартным какие-то проблемы)

А может нужно убрать возможность переопределять URL из соображений безопасности и всегда использовать hard coded https URL из winrar.exe. Тогда злоумышленнику ни при каких вариантах не удастся направить пользователя на свою страницу. Правда если какой-то из дистрибьюторов закрылся, пользователи все равно увидят сообщение об обновлении, но не смогут открыть страницу для скачивания.

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 12:43 20-03-2019 | Исправлено: EugeneRoshal, 12:49 20-03-2019
Inoz2000



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пока у меня с глазами всё нормально, я сам могу видеть, что появилась новая версия https://rarlab.com/rarnew.htm и чсх нужна ли она, судя по описанию.

----------
Мы все умрём. (-:

Всего записей: 4878 | Зарегистр. 23-04-2009 | Отправлено: 13:02 20-03-2019
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Правда если какой-то из дистрибьюторов закрылся, пользователи все равно увидят сообщение об обновлении, но не смогут открыть страницу для скачивания.

Или, как вариант, проверять на чтение какой-нибудь https://distributorURL/active.txt и если он недоступен, использовать стандартный и не подлежащий редактированию https://rarlab.com/download.htm

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 13:03 20-03-2019 | Исправлено: EugeneRoshal, 13:07 20-03-2019
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EugeneRoshal
 
По HTTPS всё так же замечательно подменяемо, особенно если для упрощения под соусом "оно в винде есть из коробки!" продавят алгоритмы MD5/SHA-1 - оба мало того что давно скомпрометированы, так ещё и для простейших сегодняшних ЦП время их атаки коллизией алгоритма находится в пределах нескольких часов счёта, а для более шустрых времени уйдёт меньше.  
 
Протокол HTTPS требует значительно более сложных решений для гарантированной проверки подлинности чем то что массово используется. К примеру достаточно просто подменить сертификат сервера на промежуточном хосте при установке сеанса и этого никто не заметит. Как и поставить редирект пакетов на произвольный хост (привет РКН и ФЗ-149) где используя коллизию алгоритмов можно выложить целый зоопарк на все вкусы и случаи жизни. Альтернатива - алгоритмы семейства SHA-2, а поколение Кнопки Старт от них шарахается как чёрт от ладана - "цифирей много!"...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33120 | Зарегистр. 31-07-2002 | Отправлено: 13:04 20-03-2019
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Inoz2000

Цитата:
Пока у меня с глазами всё нормально, я сам могу видеть, что появилась новая версия https://rarlab.com/rarnew.htm и чсх нужна ли она, судя по описанию.

Согласен для обычной ситуации. Но если нашли какую-нибудь дыру, вопрос в том, сколько времени потребуется большинству пользователей, чтобы узнать об этом и обновиться. Впрочем, тут гиперболизированные статьи в прессе могут сыграть и положительную роль.
 
Добавлено:
Victor_VG

Цитата:
По HTTPS всё так же замечательно подменяемо

Про https удивлен. Посмотрел RFC8446, вроде SHA-1 и MD5 объявлены deprecated. Или это не о том? Если https небезопасен, то какой метод тогда считается безопасным для чтения данных из интернета?

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 13:06 20-03-2019
Loafer



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Victor_VG
Я Вас убедительно прошу, не комментировать мои сообщения, или делать это по существу вопроса.  
Вы можете их просто игнорировать, например, добавив меня в свой список слабоумных...  
А то сколько лет Вас на форуме помню, столько и несет Вас сразу вразнос, простите, если грубо.
И да, вы можете "извращаться" как вам вздумается, я высказал свое мнение, не более того.
 
EugeneRoshal
Я много лет именно с "новостных лент" и получаю информацию об обновах, WinRAR в частности, мне не тяжело. Будет лишь сообщение о выходе новой версии - вполне достаточно. По сути, это вряд ли вопрос первой важности.
 
Как корпоративный "пользователь", я был бы против включения галки на обнову по умолчанию, о чем ранее сказал. Спасибо.

----------
Никнейм зарегистрирован

Всего записей: 6440 | Зарегистр. 09-12-2001 | Отправлено: 14:37 20-03-2019 | Исправлено: Loafer, 14:39 20-03-2019
DimmY



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Loafer

Цитата:
Я много лет именно с "новостных лент" и получаю информацию об обновах, WinRAR в частности, мне не тяжело. Будет лишь сообщение о выходе новой версии - вполне достаточно. По сути, это вряд ли вопрос первой важности.

Вы, наверное, не представляете, как много людей до сих впадают в ступор, когда им попадается архив RAR5, а архиватор говорит им, что архив повреждён. Про новый формат они и знать не знают.

Всего записей: 4682 | Зарегистр. 22-04-2002 | Отправлено: 15:19 20-03-2019
senderman

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
   Не всегда есть смысл отказываться от уже установленной версии программы и обновлять её до последней версии, особенно при использовании не самых новых компьютеров и ОС, а так же при возникновении необходимости приобретать новую платную лицензию для проведения обновления. В таких случаях лучше внести изменения в пакет установленных компонентов программы.
   Так как причиной возникновения ACE-уязвимости является наличие в числе компонентов архиватора WinRar библиотеки UNACEV2.DLL, то избавиться от уязвимости можно удалив эту библиотеку, или заместив её пустышкой.
Вопрос: что правильнее сделать ( удалить или заместить пустышкой ) и надо ли те же манипуляции произвести с файлом ace.fmt?
 
P.S. Зрелое поколение будет очень настороженно относиться к идее самопроизвольного обновления, ибо это потенциальная угроза безопасности, а юное будет категорически за - ничего самому делать не надо.

Всего записей: 1488 | Зарегистр. 16-03-2019 | Отправлено: 15:45 20-03-2019 | Исправлено: senderman, 15:47 20-03-2019
ALeXkRU



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
был бы против включения галки на обнову по умолчанию

можно ведь при установке спросить, какой вариант включить...

Всего записей: 11765 | Зарегистр. 03-12-2003 | Отправлено: 15:48 20-03-2019
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EugeneRoshal
 
Подмена осуществляется путём правки IP получателя в заголовке пакетов - РКН именно так блочит ресурсы. Правда это заметно по времени и требует доступа к промежуточным хостам маршрута, но это возможно. Так же возможна атака путём подмены сертификата сервера - и это известный приём. Первые его в 93-м в среде SCALA янки использовали, атакованный банк разорился, а Неуловимый Джо как всегда ушёл. Тогда атака была комбинированной - подмена DNS, сертификатов SCALA и ложный KERBEROS. Банк положили за три часа выведя все средства с его счетов, был скандал, но его замяли... Ну а я запомнил где соломку стелить...

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33120 | Зарегистр. 31-07-2002 | Отправлено: 15:58 20-03-2019
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
senderman

Цитата:
Вопрос: что правильнее сделать ( удалить или заместить пустышкой )

Сработают оба метода, но теоретически надежнее пустышкой, чтобы поиск для загрузки не продолжался по другим папкам. А практически правильно установленный WinRAR пытается загружать эту DLL только из своей папки, так что особой разницы нет.

Цитата:
и надо ли те же манипуляции произвести с файлом ace.fmt?  

Не надо. Разве что, чтобы было меньше мусора.

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 16:16 20-03-2019
Pasha_ZZZ



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Victor_VG
Опять какой-то набор бреда от всеми любимого генератора оного...
Цитата:
РКН именно так блочит ресурсы
РКН не блочит ресурсы. Блочат провайдеры. Каждый по-своему.
Цитата:
Так же возможна атака путём подмены сертификата сервера - и это известный приём.
Возможна, надо только получить сертификат от промежуточного или корневого ЦС на этот же сайт. Тогда браузер возможно не заорет, если он старый.
А в новых, с их Certificate Pinning и HTTP Public Key Pinning, и это не прокатит.




1. Есть что сказать пользователю - идите в ПМ.
2. Запрет на пост 14 суток, как и было обещано.

Всего записей: 12360 | Зарегистр. 11-03-2002 | Отправлено: 16:21 20-03-2019 | Исправлено: Maz, 20:34 20-03-2019
insorg



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть много RAR4 архивов с паролем (одинаковый на все архивы).
 
Необходимо вытащить из них список имен файлов и CRC по каждому из них.
 
В идеале вида:
CRC11111 *Dir\Name1.Ext
CRC22222 *Dir\Name2.Ext
и т.д.
 
GUI версия при открытии архива показывает колонку с суммами, значит они доступны без распаковки.
 
Как это можно сделать?

Всего записей: 15544 | Зарегистр. 04-11-2010 | Отправлено: 16:29 20-03-2019 | Исправлено: insorg, 16:30 20-03-2019
Benchmark



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EugeneRoshal
 
Соглашусь с мнением Loafer

Цитата:
Будет лишь сообщение о выходе новой версии - вполне достаточно. По сути, это вряд ли вопрос первой важности.  
 
Как корпоративный "пользователь", я был бы против включения галки на обнову по умолчанию, о чем ранее сказал. Спасибо.

Так и есть. Но без включения галки по умолчанию смысл функции теряется чуть менее чем полностью.
 
Поэтому считаю, что такая функция не нужна.
 
Архиватор - не та программа, которая должна без спроса лезть в сеть (неважно зачем). По-хорошему, подобному софту в сети вообще делать нечего. Случай с библиотекой UNACE, к которой нет исходных кодов - из ряда вон. Насколько я понимаю, в составе WinRAR других таких "неуправляемых" компонентов больше нет.

Всего записей: 6832 | Зарегистр. 01-10-2002 | Отправлено: 16:31 20-03-2019
senderman

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В ближайшее время у рядовых пользователей, кроме терминала, ничего не будет. Большинство программ будут располагаться на серверах. Поэтому на вопрос о том должна ли, например, самовольничать программа, установленная на сервере серьёзного учреждения, ответ однозначный - нет! За обновлениями должна следить специальная служба. Но программное обеспечение терминала должно обновляться автоматически, так как массовый рядовой пользователь не должен разбираться в тонкостях устройства этого терминала и выполнять не свойственную ему работу. Исходя из этих соображений и следует подходить к перспективным разработкам.

Всего записей: 1488 | Зарегистр. 16-03-2019 | Отправлено: 17:19 20-03-2019
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
insorg

Цитата:
 
Необходимо вытащить из них список имен файлов и CRC по каждому из них.
 
В идеале вида:
CRC11111 *Dir\Name1.Ext
CRC22222 *Dir\Name2.Ext
и т.д.  

 
rar v -ppwd *.rar >list.txt
или "vt" вместо "v". А дальше уже самому преобразовывать в требуемый вид.
 
Benchmark

Цитата:
Насколько я понимаю, в составе WinRAR других таких "неуправляемых" компонентов больше нет.

Еще cabinet.dll для .cab архивов. Но это компонент Windows, поддерживаемый Microsoft, так что тут патч в случае чего должен прийти оперативно.

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 19:26 20-03-2019
insorg



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EugeneRoshal
спасибо, в справке такого ключа не нашёл, но сработало.

Всего записей: 15544 | Зарегистр. 04-11-2010 | Отправлено: 00:17 21-03-2019
EugeneRoshal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
insorg
Это в rar.txt надо смотреть, не в winrar.chm. Rar.txt для rar.exe, winrar.chm для winrar.exe.

Всего записей: 2239 | Зарегистр. 29-04-2013 | Отправлено: 14:49 21-03-2019
BRTAndrey



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите решить проблему!
В WinRaR шрифт стал настолько большим что не помещается в окне программы (система Win7, x64).  
Удаление предыдущей версии и установка новой - не помогают.  
Сброс на дефолтные настройки шрифтов, проблему не решила...
В остальных программах всё ок!

Всего записей: 486 | Зарегистр. 21-09-2006 | Отправлено: 20:52 22-03-2019
Inoz2000



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BRTAndrey
см стр. 100  -->

Всего записей: 4878 | Зарегистр. 23-04-2009 | Отправлено: 22:29 22-03-2019
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199

Компьютерный форум Ru.Board » Компьютеры » Программы » WinRAR (часть 3)
Maz (27-08-2020 19:31): WinRAR (часть 4)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru