Enforcer
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я тоже отправил все что тут изложил  Посмотрим, что будет с контролем компонентов в следующей версии Аутпоста.
Добавлено
2 dmut op
Извините, уважаемый, но по вашему посту у меня сложилось впечатление, что вы просто не хотите осознавать проблему, которую я подробно изложил на предыдущей странице этого топика... Я мог конечно, вместо трех постингов отправить один, более лаконичный, но в целом суть проблемы - это никакой не флейм, а весьма серьезный недостаток Аутпоста, сводящий к нулю эффективность контроля компонентов. По сути, из-за этого недостатка ОП 2(хоть он и следит за внедрением DLL в процессы, которым разрешен доступ в сеть), почти не отличается от OP 1.
>ситуация такая - под виндой очень сложно или вообще невозможно кореестно отследить доступ к сети отдельной DLL процесса, поэтому отслеживается весь процесс.
т.е. значит, если это очень сложно, то пускай разработчики умывают руки, и дальше Аутпост будет давать в этом диалоге пользователю по сути только один выбор: Обновить этот компонент и разрешить ему доступ! Так ведь получается? Ведь два других выбора (Запретить доступ приложению и Отключить контроль компонентов) - это плохие варианты. А откуда пользователь может знать, можно ли этот компонент пускать в сеть от имени другого приложения (которому разрешен доступ в Аутпосте), или нельзя? Как можно узнать, безопасно ли пускать компонент? Разве что в дизассемблере его покопать Но подавляющее большинство пользователей это конечно делать не будут. Вот и получается, что все юзеры Аутпоста дружно разрешают доступ компонентам, и нажимают ОК, не задумываясь, что за компонент такой они пускают в сеть... А насчет того, что невозможно запретить доступ отдельному компоненту - ведь Сигейт Про умеет это делать. Я проверял на версии 5.5.2516. Там тоже вылезает диалог, что такая-то DLL стучится в сеть, через допустим Оперу, и я запрещаю доступ этому конкретному компоненту, и Опера продолжает нормально бродить по сайтам.
>Если в пространстве загруженного процесса, для которого прописаны правила, появляется новая DLL, например keyhook от lingvo или PuntoSwitcher, OP выдаёт окно с предупреждением, из которого мы может узнать измененный процессб и нажав кнопку "Detail", увидеть полную инфу об присоединившихся компонентах: название, путь, инфу из ресурсов
хе хе... инфу о присоединенном компоненте мы можем увидеть... и что эта инфа даст? она мне скажет, что этот компонент не что иное как троянская DLL? автор компонента любезно укажет это в стрингах из ресурсов? или название DLLки мы увидим, и путь к ней... и что, вот так сразу по этим данным можно определить, что пускать компонент в инет безопасно? а возьмем простейшую ситуацию, когда троян возьмет и поместит свою DLL например в каталог Оперы или Флешгета! Да пусть даже вообще в любой каталог уже установленного приложения. Что в этом случае увидит рядовой пользователь в диалоге Аутпоста, и догадайтесь, какой он сделает выбор? нет уважаемый, точно узнать, не является ли этот компонент опасным, можно по анализу его кода в дизассемблере, а никак не по ресурсам, названию компонента и пути к нему... и что с того, если мне Аутпост говорит, что такая-то DLL была загружена в адресное пространство конкретного процесса (например, Опера)? Сам факт того, что компонент попытается вылезти в сеть именно через Оперу, скажет мне, что это безопасный компонент? А если компонент попытается вылезти через IE - то это обязательно троянский компонент и его надо глушить вместе с осликом? И даже если каким-то чудом пользователь узнает, что этот компонент нельзя пускать в сеть, то какую возможность нам предлагает Аутпост? Запретить доступ приложению, и ничего больше! Ну запрещу, компонент не пролез в этот раз. Опера отрубилась. Делаю рестарт Оперы. И опять этот компонент лезет в сеть через Оперу! Какие будут варианты действий? Опять отрубать Оперу, и так далее по кругу. Или пускать компонент.
>"Чего ж тебе ещё надо, собака?" (С) Х/Ф "Иван Васильевич...."
Господи, да я уже десять раз сказал, что мне надо. Нормальный контроль компонентов! Чтобы при появлении этого диалога Аутпоста я мог ЗАПРЕТИТЬ ДОСТУП КОНКРЕТНОМУ КОМПОНЕНТУ, НЕ ЗАПРЕЩАЯ ДОСТУП ПРИЛОЖЕНИЮ, через которое компонент пытается пролезть в инет. И еще мне надо, чтобы в Параметры -> Приложения, кнопка Компоненты, можно было вручную явно указать, разрешать или запрещать доступ компонентам, там перечисленным. Этот на тот случай, если я ошибусь, и дам доступ троянскому компоненту, или наоборот запрещу доступ нормальному компоненту, чтобы я мог сразу исправить это вручную (а не удалять компонент из списка, как это сделано сейчас, и не ждать следующего появления диалога Аутпоста насчет этого компонента, где должна быть возможность запретить доступ компоненту)
>Честно говоря я давно смотрел SygatePro и как там деализован контроль компонентов не помню, но вы уверены что он может запретить доступ именно DLLке?
Я смотрел вчера Sygate Pro 5.5, и как раз в этой ситуации он мне выдал диалог, и я там запретил доступ посторонней DLLке (уже упомянутая мной transsys.dll из пакета Translate Now), которая стучалась в инет через IE, а сам IE продолжил нормально функционировать. Поэтому данную фичу с запретом на доступ компонента реализовать можно. Другое дело, что не у всех разработчиков фаерволов это получается. Вот у разработчиков ЗонАларма это также не получилось нормально, правда там чуть получше сделано, чем в Аутпосте (в ZAP можно все-таки для каждого компонента не только разрешить ему доступ, но и указать, чтобы при каждой следующей попытке компонента вылезти в сеть через какое-то приложение, ZAP спрашивал бы пользователя... но все равно, и в ZAP нельзя запрещать доступ компонентам. Единственный фаервол, в котором я встретил нормальный контроль компонентов, это Sygate Pro. Хотя у него имеется другая неприятная фича - до сих пор нет контроля доступа на локалхост)
|
