La magia dietro UAC

Diciamolo, la feature che mi piace di più di Vista è UAC. Recentemente ho ripetuto più volte che il comportamento di default di Windows XP, di assegnare poteri immensi a tutte le applicazioni, è dannoso non solo tenendo in mente la prospettiva del malware. Un'applicazione normale, per colpa di qualche bug, potrebbe accidentalmente sovrascrivere tutti i settori dell'hard disk riempiendoli di 0. Siccome l'ho visto accadere coi miei occhi in una macchina virtuale, la possibilità che questo accada nella mia testa è stata riqualificata come "pratica" anziché solo "teorica".

Su UAC ci sarebbe ben poco da aggiungere, soprattutto dopo il post esauriente di Vik sull'argomento, ma lo scopo di questo post è di chiarire cosa avviene under the cover e di fare alcune considerazioni su due modi diversi di loggarsi in Vista.

Uno dei punti del contendere più spesso dibattuti[1] a riguardo è se convenga sia dal punto di vista della sicurezza che dell'usabilità loggarsi come amministratore (non necessariamente Administrator ma inteso come utente appartenente al gruppo degli amministratori; d'ora in poi SuperPippo) oppure come utente normale (Pippo) avendo avuto l'accortezza di creare un utente aggiuntivo di amministrazione.

Un'analisi delle differenze può aiutare a decidere meglio:

  • ai fini di ottenere l'elevazione, se ci si logga come SuperPippo (in gergo Admin Approval Mode o AAM), di default appare il cosiddetto prompt "Mi Consenta" dove basta cliccare "Continue" per proseguire:
    UAC Consenta 
    Nel caso ci si è loggati come Pippo, è necessario digitare la password di SuperPippo (o altro utente Admin) per proseguire, nello stesso gergo Over The Shoulder (OTS) authentication:
    UAC Password
  • Nel caso in cui ci si logghi come Pippo, un processo che ottiene elevazione, girerà con le credenziali di SuperPippo. Se ad esempio crea un file in %Documents% il file verrà scritto nella cartella Documents di SuperPippo e non di Pippo come ci si potrebbe aspettare!

Se il primo dei due punti può rappresentare un piccolo vantaggio in termini di sicurezza (password invece che un click magari maldestro), il secondo è decisamente uno svantaggio in termini di usabilità. È però possibile loggarsi come SuperPippo e fare in modo che anziché un prompt "Mi Consenta", si venga accolti con una richiesta di password, tramite un setting disponibile via Local Security Policy:

SecPol

In realtà per i super-paranoici è possibile richiedere il three-finger-salute (CTRL+ALT+DEL) prima del prompt "Mi Consenta" o richiesta di password, tramite l'apposita opzione nelle group policy:

TrustedPath

Questa era addirittura l'opzione di default nelle prime beta di Vista, abbandonata precocemente per motivi di usabilità. Interessante è un post di Jim Allchin che dettaglia tutti i motivi che anno portato a tutte le attuali scelte di default.

Il migliore dei mondi possibili (unico utente SuperPippo, ma richiesta di password anziché "Mi Consenta") è perció solo ad una manciata di click di configurazione.

Ma dal punto di vista della sicurezza, cosa cambia tra quando ci si logga come SuperPippo e quando ci si logga come Pippo? Assolutamente niente[2].

Un facile esperimento è quello di loggarsi come SuperPippo, aprire un Command Prompt non elevato e cercare di scrivere in %SYSTEM%: il risultato è quello di Access Denied. Se si tenta l'operazione da un Command Prompt elevato, l'operazione va complessivamente in porto.

Come avviene la magia che da il titolo a questo post? Cosa succede a SuperPippo se l'AAM è attivato? Perché l'amministratore non riesce ad accedere in scrittura a folder che sono accessibili all'amministratore?

Il trucco è semplice. Nel momento in cui ci si logga come SuperPippo in AAM, il sistema crea un token[3] secondario (detto anche split-token) rimuovendo alcuni permessi associati al token dell'amministratore. I permessi che vengono rimossi sono indicati in questa pagina MSDN. Qui di sotto la differenza di permessi tra i due token, quello usato per processi che richiedono elevazione e quello usato per tutto il resto delle operazioni:

Split Token

Inoltre, e questo è il punto fondamentale per capire cosa succede quando si accede ad un file, il SID associato al gruppo Amministratori è marcato come Deny  come si può notare da questa figura:

SID

Questo significa che l'utente SuperPippo verrà considerato appartenente al gruppo degli Amministratori solamente in caso di matching di ACE di tipo Deny. Normalmente invece l'accesso ai folder per gli Amministratori è definito da una ACE di tipo Allow, per cui a tutti gli effetti, il token secondario di SuperPippo, quello usato di default, è il token di un utente "normale". Questo meccanismo accoppiato con le ACL più aggressive per default di Vista (dettagliate in questo interessantissimo articolo su TechNet) rende di fatto SuperPippo un utente normale. Ergo affermazioni come la seguente sono palesemente false:

Con Vista Microsoft prosegue con la politica di “tutti amministratori”, laddove i controllori di identità (UAC) si limitano ad evitare che un malware ne approfitti

In realtà con Vista si persegue la politica opposta: "nessun amministratore", con l'antipaticissimo UAC a tenere le chiavi del paradiso proibito.

Conclusione: tra loggarsi come SuperPippo (AAM) e loggarsi come Pippo (OTS) non c'è nessuna differenza a livello di sicurezza: se si preferisce il prompt con la richiesta di password, basta cambiare una policy per ottenere lo stesso effetto. Dal punto di vista pratico però, la modalità AAM ha qualche piccolo vantaggio di usabilità. Un ulteriore consiglio da tenere in mente, se si preferisce la modalità AAM, è quello di creare comunque un account amministrativo secondario in caso di disaster recovery.

-quack

Technorati tags: ,


[1] Si veda ad esempio questo post di Jeff Atwood alquanto critico nei confronti di Vista: Microsoft didn't have the guts to make standard users the default-- as they absolutely should have-- in Windows Vista.

[2] Cioé la differenza tra autenticazione AAM (mi loggo come SuperPippo e inserisco una password o clicco consenta) e OTS (mi loggo come Pippo e inserisco la password di SuperPippo) è nulla in quanto UAC non costituisce un security boundary. Si veda questo interessante post di Russinovich, tenendo presente che uno squatting attack è estremamente complicato da portare a compimento.

[3] Un token è un oggetto di sistema che rappresenta un set di privilegi.

Potrebbero interessarti anche:
Commenti (35): [ Pagina 1 di 2  - più vecchi ]
6. Paperino
martedì 5 febbraio 2008 alle 12:43 AM - unknown unknown unknown
   

Domanda per gli esperti Linux/Ubuntu:

qual'è l'equivalente di RunAs sotto Linux? Non parlo di sudo, ma di avere la possibilità di lanciare una applicazione/terminale come un utente diverso (non necessariamente amministratore).

   
7. mille984
martedì 5 febbraio 2008 alle 9:03 AM - unknown unknown unknown
   

@Paperino

>Domanda per gli esperti Linux/Ubuntu: qual'è l'equivalente di RunAs sotto Linux?

su

da "man su":

su is used to become another user during a login session. Invoked without a username, su defaults to becoming the super user. The optional argument - may be used to provide an environment similar to what the user would expect had the user logged in directly.

   
8. Chris
martedì 5 febbraio 2008 alle 9:18 AM - unknown unknown unknown
   

Ottimo articolo da tenere sempre a portata di mano :D

   
9. sirus
martedì 5 febbraio 2008 alle 12:00 PM - unknown unknown unknown
   

@ Paperino

Quello che intendevo è che sarebbe interessante poter utilizzare UAC come sudo alle volte, ossia eseguire un processo con i privilegi di amministrazione e nel frattempo restare nel contesto dell'utente che ha deciso di elevare quel processo.

   
10. zakk
martedì 5 febbraio 2008 alle 3:00 PM - unknown unknown unknown
   

Lasciando stare sudo che non è standard su tutte le distro (e che odio per motivi miei) la soluzione su UNIX è nella sottile differenza nel chiamare il comando su.

su -             crea una nuova shell con privilegi di amminstratore, settando le variabili d'ambiente di conseguenza

su               prende la shell attuale e gli dà privilegi di amministratore.

   
11. Blackstorm
martedì 5 febbraio 2008 alle 3:09 PM - unknown unknown unknown
   

@Sirus:

Ma scusa non lo fa di default uac? O forse non ho capito cosa intendi...

   
12. Paperino
martedì 5 febbraio 2008 alle 7:56 PM - unknown unknown unknown
   

@Sirus:

credo di aver capito cosa intendi. Ti logghi come Pippo, elevi un processo ma questo, anche se ha il token di amministatore, usa comunque il profilo di pippo. Ma a questo punto che differenza ci sarebbe nel rendere Pippo un amministratore e tenere abilitato UAC?

In XP c'era un modo per farlo usando il file batch RunAsAdmin di Aaron Margosis: quello che faceva era di aggiungere Pippo agli amministratori, aprire una finestra terminale con quel token e immediatamente rimuoverlo dal gruppo. In Vista lo script non funziona per via di UAC... che tramite l'AAM permette di fare quanto detto sopra.

@zakk:

sempre su Unix, se io mi loggo come Pippo (non amministratore), lancio un nuovo terminale con "su -" e faccio "cd ~" qual'è la directory di destinazione? (dovrebbe essere /home/root, giusto?).

@tutti quelli che hanno menzionato 'su':

c'è un modo per eseguire una applicazione come un altro utente sempre non amministratore? Cioè loggandosi come pippo e lanciare l'applicazione/terminale come pluto?

   
13. Pr3d
martedì 5 febbraio 2008 alle 10:36 PM - unknown unknown unknown
   

Ah ottimo, aspettavo questo articolo. :D

Quello che dice Sirus non è sbagliato, se per esempio elimino una folder contenuta in una dir di sistema questa finisce nel cestino dell'altro utente.

Ok, non è la fine del mondo ma preferirei che tutto restasse nel contesto del mio utente.

L'altro giorno ho fatto uno scan con hijackthis (collegare al pc il disco usb che uso per fare assistenza è molto rischioso :p) e l'ho dovuto eseguire con permessi amministrativi. Mi ha salvato il log ma di default lo ha fatto sul desktop dell'utenza amministrativa, ecco un esempio.

   
14. Paperino
martedì 5 febbraio 2008 alle 11:16 PM - unknown unknown unknown
   

La mia domanda resta: perché non loggarsi quindi come amministratore (AAM)? Smile

   
15. Pr3d
martedì 5 febbraio 2008 alle 11:48 PM - unknown unknown unknown
   

Visto che la sicurezza è la stessa direi che è fattibile per risolvere l'eventuale problema.

Io comunque, come detto in passato, ammetto l'ignoranza. Pensavo che tra utente del gruppo Users e utente del gruppo Administrators + UAC ci fossero alcune differenze nelle restrizioni delle ACL.

   
16. Paperino
mercoledì 6 febbraio 2008 alle 12:08 AM - unknown unknown unknown
   

@Pr3d:

tranquillo, ignoravo anche io i dettagli più interessanti della questione, fino a quando mi son imbattuto nei post suddetti. Smile

Il mio insistere era solo per essere sicuro di quello che tu intendessi voler fare.

   
17. gino
mercoledì 6 febbraio 2008 alle 12:53 PM - unknown unknown unknown
   

@tutti_quelli_che_su

su nomeutente

si apre una shell dell'utente specificato

su senza parametri è come dare su root

oppure con sudo

sudo -u nomeutente nomecomando

   
18. zakk
mercoledì 6 febbraio 2008 alle 2:29 PM - unknown unknown unknown
   

@gino:

stavamo parlando non dell'utilizzo generale di su, ma della sottile differenza tra "su -" e "su"

@Paperino:

sì... ti ritrovi in /root/ (/home/root non esiste, ma il concetto è  quello)

   
19. gino
mercoledì 6 febbraio 2008 alle 6:29 PM - unknown unknown unknown
   

zakk ok ma io stavo in ogni caso specificando la domanda strana di paperino!

prima ha chiesto come si faceva a far andare un comando non da root ma da un altro utente...

sudo esiste apposta per quello...

se non si danno parametri piglia root come utente target ma altrimenti si può far fare come altro utente qualunque, basta avere i permessi settati bene in /etc/sudoers

dalla prima riga di man sudo

sudo, sudoedit - execute a command as another user

   
20. Paperino
mercoledì 6 febbraio 2008 alle 6:43 PM - unknown unknown unknown
   

@gino:

in realtà avevo due domande da fare e mi son espresso male. Tra l'altro la risposta alla seconda era pure disseminata all'interno di altri commenti.

   
21. Whitenoise
giovedì 7 febbraio 2008 alle 4:32 PM - unknown unknown unknown
   

Per lanciare come altro utente un comando basta usare:

su superpippo -c "comando"

esempio (da non provare!!!!):

su altroutente -c "ls -l; ls -al; rm -rf .mozill4;echo "p0wn3d, ora la tua home è libera :-D :-D""

altra cosa..IMHO (sudo != su)

sudo è pensato IMHO per abituare gli utenti a non essere amministratori...o per dare alcuni comandi di amministratori a certi utenti...per il resto, piuttosto che tenere sudo con l'abilitazione a TUTTI i comandi, tanto vale usare su per diventare root IMHO.

Ad ogni modo poi dipende dall'abitudine dell'utente ;-)

ciao

Luca

   
22. sirus
venerdì 8 febbraio 2008 alle 10:27 AM - unknown unknown unknown
   

@ Paperino

Considerando che a livello di sicurezza non cambia assolutamente nulla effettuando la login come amministratore limitato oppure come utente standard direi che il tuo ragionamento non fa una piega.

Ad ogni modo la presenza di su e sudo nei vari sistemi UNIX è molto comoda perché con il primo si effettuano tutte le operazioni che si effettuano con UAC, mentre utilizzano il secondo è possibile avere un controllo superiore su cosa è permesso ad un utente e cosa no.

   
23. Paperino
venerdì 8 febbraio 2008 alle 7:04 PM - unknown unknown unknown
   

Su Windows c'è l'equivalente comando (o voce di menù) RunAs. Anche quella molto comoda.

   
24. EnricoG
venerdì 8 febbraio 2008 alle 7:40 PM - unknown unknown unknown
   

Nota a latere: RunAs va bene per elevare i privilegi, ma non per "abbassarli".

In particolare su XP (ma questo vale anche su Vista) se si e' admin e si vuole eseguire un processo con privilegi piu' bassi si puo' usare RunAs, ma non e' una garanzia, perche' un programma che gira con privilegi piu' bassi ha comunque la possibilita' di mandare "window messages" alla shell e far eseguire tasks con i privilegi di admin.

   
25. Paperino
venerdì 8 febbraio 2008 alle 8:14 PM - unknown unknown unknown
   

Enrico, tutto corretto tranne un paio di piccoli particolari:

1) In Vista la Console (se per shell intendi questa) gira con livello di integrità molto alto indipendentemente dall'utente (perché in realtà è solo un'interfaccia a caratteri per il processo di sistema CSRSS): è per lo stesso motivo che il drag-'n-drop tra explorer e la shell non funziona (explorer gira con IL medio); quindi l'applicazione lanciata non può mandare windows messages alla shell.

2) Se ti logghi in AAM, Explorer gira come utente normale. Anche in quel caso non possono essere fatti eseguire tasks con privilegi di admin.

   
26. EnricoG
sabato 9 febbraio 2008 alle 1:52 AM - unknown unknown unknown
   

OK, buono a sapersi, un altro punto a favore di Vista su XP ;-)

   
27. Di ME
giovedì 14 febbraio 2008 alle 2:52 PM - unknown unknown unknown
   

Tanto l'utonto che vuole runnare il file.exe del programma che ti installa lo screensaver con le donne nude (e 58 adware) che gli ha passato l'amico per email se ne frega di UAC, premera' continua, accetto, esegui, mettera' anche la password finche' non lo avra' fatto installare infettando la macchina. Indi per cui UAC e' una cosa inutile, anzi pure seccante se si deve proprio usare Vista, un cartello di attenzione non rende piu' sicuro il sistema.

Facendo esempi assolutamente cretini e' come invece di progettare auto con gli airbug, cinture, barre anti intrusione, l'implosione controllata dal vano motore etc si fossero semplicemente limitati a mettere una voce registrata che parte quando infili la chiave: "attenzione guidare e' pericoloso perche' se ti schianti contro un muro a 150 all'ora potresti morire"... Vrrrrom...

Ma invece sagagnare via una volta per tutte gli 8 quintali di spazzatura ereditata dalle vecchie versioni di Windows a partire dal 95, e fare un nuovo sistema, con una nuova architettura che fosse decente e moderna tagliando TOTALMENTE la compatibilita'. Poi se uno deve far girare le cose vecchie mette un wrapper stile Wine o Rosetta di mac, usa una macchina virtuale? Ma quand'e' che su Windows si abbandonera' quella piaga del registro di sistema per esempio che si trascinano dietro da Windows 1.0!!! e magari fare che un file non sia eseguibile solo per via della sua estensione? adottare un sistema di packaging unificato e cui la gestione dei pacchetti sia compito del SO e non rilegato a un setup.exe che se e' fatto bene ok se e' fato male mi scasina nel SO e lascia file dappertutto anche dopo che ho disinstallato il programma, ma sopratutto imporlo...

Per me e' ridicolo un coso che ti chiede conferma quando lanci un'eseguibile, tanto l'utente una volta lanciato non si ferma di certo alla finestra di conferma.

   
28. Scrooge McDuck
giovedì 14 febbraio 2008 alle 5:29 PM - unknown unknown unknown
   

> Poi se uno deve far girare le cose vecchie mette un wrapper stile Wine o Rosetta di mac

Che tra l'altro non c'entrano niente tra di loro.

Cosa volevi intendere?

E soprattutto, cosa vorresti emulare?

Io (e temo anche gli altri) mica l'ho capito.

> Ma quand'e' che su Windows si abbandonera' quella piaga del registro di sistema per esempio che si trascinano dietro da Windows 1.0!

Torniamo agli .ini quindi

Quello sì che sarebbe un passo avanti fondamentale!

> e magari fare che un file non sia eseguibile solo per via della sua estensione?

In questo modo quali problemi andremmo a risolvere?

La cosa non mi è tanto chiara.

> Per me e' ridicolo un coso che ti chiede conferma quando lanci un'eseguibile, tanto l'utente una volta lanciato non si ferma di certo alla finestra di conferma.

Parli di UAC?

Guarda che non chiede conferma al lancio di un eseguibile, chiede conferma quando un eseguibile vuole essere eseguito con i privilegi di amministratore (per via del manifest o per l'euristica sul nome del file).

Che è una cosa totalmente differente.

Non si può proteggere l'utente dalla sua stessa idiozia, si può però far sì che la maggioranza dei programmi non girino con i privilegi di amministratore e quindi non rappresentino dei pericoli gravi nel caso questi stessi programmi presentino bug più o meno gravi.

Un browser (per esempio) che gira con i privilegi di amministratore è un pericolo a prescindere, UAC vi pone rimedio (e il protected mode di IE7 fa anche di più), il resto è noia.

D'altronde puoi anche avere la macchina più sicura del mondo ma se ti schianti contro un muro di acciaio a 150km/h crepi lo stesso.

Bisogna conseguirne che i sistemi di sicurezza sono inutili?

A sentire i tuoi discorsi sì.

   
29. Di ME
giovedì 14 febbraio 2008 alle 6:03 PM - unknown unknown unknown
   

Wine e Rosetta hanno in comune che sono 2 wrapper. Microsoft dovrebbe abbandonare quel garbuglio che e' Windows, fare un nuovo SO, con un'architettura moderna, tagliare la compatibilita' totalmente col passato. Poi al massimo fa un wrapperone stile Wine/Rosetta e chi vuole usare la roba vecchia mette quello. Se c'e' riuscita apple che e' minuscola (rispetto microsoft) a fare il passaggio tra 2 SO incompatibili tra loro non vedo perche' non ci portrebbe riuscire MS.

Gli ini o quello che e' rispetto al registro di sistema sono SI un passo avanti. Sotto Linux, dentro la home dell'utente ci sono file di configurazione nascosti separati, dove ogni file di configurazione riporta il nome della stessa applicazione che lo ha generato, cosi' hai configurazioni separate per ogni utente e allo stesso tempo non e' troppo difficile per l'utente andare a resettare (ossia cancellare il file) i settaggi di qualche programma se ha pasticciato troppo. Con Windows e il suo registro di configurazione hai solo milioni di stringhe con nomi assolutamente incomprensibili e quando si sbudella quanche cosa non riesci piu' a mettere a posto le cose se non formattando od eseguendo un ripristino del sistema o del registro ... e non dire che non e' vero. il metodo Linux/Unix di slavare le impostazioni dei programmi e' assolutamente piu' maneggiabile/controllabile.

Poi non dico che le protezioni sono inutili, dico che UAC e' stupido, le domande che fa sono inutili, se vuoi far girare le apps in user space lo puoi fare senza chiedere conferma, ed e' inutile chiedere conferma quando una apps vuole partire con troppi privilegi perche' tanto l'utente dira' sempre permetti. semplicemente un programma non deve poter girare con privilegi di amministratore. L'approccio di Linux dove non e' il sistema che ti chiede se vuoi lasciar girare l'applicazionew come root ma devi essere tu in modo volontario e cosciente ad avviare la stessa come root e' migliore, chi e' idiota nel 2^ caso non ci arriva da solo o fa piu' fatica, quindi non fa danno.

Per il fatto dell'estensione, sempre paragonando windows e Linux. Per windows un file e' eseguibile perche' ha estensione exe, su linux devi dare permessi di eseguibilita'... quindi e' sempre piu' difficile che l'utente super ignorante faccia danni.

   
30. Scrooge McDuck
giovedì 14 febbraio 2008 alle 6:49 PM - unknown unknown unknown
   

~Rosetta~

Il paragone tra wine (che è appunto un wrapper delle api di windows) e rosetta (che trasla i programmi per power pc in modo da eseguirli su una cpu x86) continua a sembrarmi fuori luogo (tra l'altro rosetta non è stato fatto da Apple).

Inoltre mi pare che Vista con la virtualizzazione del registro e delle cartelle non faccia altro che quello che tu auspichi, taglia i ponti con il passato lasciando comunque dei servizi che assicurano la compatibilità del SO con tutto quanto funzionava precedentemente.

Si poteva fare di più? Forse, ma mi sembra che le tue critiche siano in parte eccessive.

~Ini vs Registro~

Il fatto che il registro sia usato MALE non mi pare che confermi la poca validità dell'approccio. Organizzato bene il registro secondo me avrebbe poco o nulla da invidiare ai file di configurazione. Tra l'altro a dirla tutta la applicazioni non devono nemmeno scrivere nel registro le proprie configurazioni, dovrebbero usare %APPDATA%. Se poi si comportano diversamente non è che si debba per forza dare la colpa a windows (per lo meno non a Vista)...

~UAC~

Fammi capire, la maggiore sicurezza di linux consiste nel fatto che l'utente potrebbe non essere capace di far girare un programma con i privilegi di root? Tra l'altro un'applicazione potrebbe tranquillamente chiederti la password di root e usarla per lanciare un eseguibile elevato. Io rimango convinto che un SO non possa proteggere l'utente dalla sua stessa idiozia.

~Eseguibile~

Stesso discorso di prima, linux è più sicuro perché l'utente potrebbe non essere in grado di eseguire un eseguibile? Dai, non scherziamo, un sistema non è idiotproof se gli idioti non riescono ad usarlo, anche perché in quel caso semplicemente userebbero un altro SO e quindi ciao ciao alla sicurezza.

   
31. Di_ME
giovedì 14 febbraio 2008 alle 9:34 PM - unknown unknown unknown
   

Non mi frega niente se rosetta faceva girare roba ppc su x86... il concetto e' cmq di un layer di compatibilita' con il passato.

Il discorso del registro non regge, prima tutto il registro di Windows non e' mai stato comprensibile, se non in minima parte, sopratutto quegli interminabili alberi di codici tra parentesi graffe, inutile dire che e' colpa di chi programma che lo usa male perche' Windows con questa struttura da corda a volonta' ai programmatori scimpaze', su sistemi Linux non c'e' quindi fai un file.conf dacisamente piu' facile da ricercare ed eliminare che se fosse disperso dentro a migliaia di stringe senza senso per l'essere umano.

La maggiore sicurezza di Linux sta nel fatto che non basta un click su un file per farlo partire, costringe l'utente a capire meglio cosa sta facendo visto che lo costringe a dare a questo eseguibile permessi di esecuzione, e se lo vuole avviare come root o apre una shell e fa su, oppure deve eseguire un "kdesu comando" in maniera abbastanza coscente, mentre su Windows tu clicchi un file questo parte, richiede permessi di amministratore e viene avviata una finestra di dialogo che la gente non sa cos'e' ne cosa vuol dire, imparando solo che deve premere continua.

Ancora il fatto che un file e' eseguibile solo perche' ha estensione .exe secondo me facilita o ha facilitato molto in passato cose come script vari nelle pagine web che di appoggiavano un exe nel PC e lo lanciavano infettantoti... io vorrei tanto vedere come poter fare una cosa uguale con Linux, se anche il browser appoggia un file .sh o binario nei miei temporanei come fa a fare un chmod +x file per eseguirlo dopo :D

Poi vero che gli strumenti contro gli utenti idioti sono sempre inefficaci perche' gli idioti continuano ad avere troppe risorse, ma visto che entrabe i sistemi cercano di arginare l'idizia dell'utente, bhe mi viene da dire che Linux ci riesce meglio mentre l'apporoccio di Windows continua ad essere fallimentare. Forse anche perche' Linux ti costringe un minimo a usare il cervello e non a cliccare a raglio qualsiasi tasto rechi la scritta "avanti" "continua" "prossimo" etc...

   
32. Pr3d
venerdì 15 febbraio 2008 alle 4:59 PM - unknown unknown unknown
   

La maggiore sicurezza di Linux sta nel fatto che non basta un click su un file per farlo partire, costringe l'utente a capire meglio cosa sta facendo visto che lo costringe a dare a questo eseguibile permessi di esecuzione, e se lo vuole avviare come root o apre una shell e fa su, oppure deve eseguire un "kdesu comando" in maniera abbastanza coscente, mentre su Windows tu clicchi un file questo parte, richiede permessi di amministratore e viene avviata una finestra di dialogo che la gente non sa cos'e' ne cosa vuol dire, imparando solo che deve premere continua.

Non mi pare proprio cosi, o lo era fino a qualche tempo fa.

Ora tramite gui puoi fare molte più cose, anche l'utente tonto può fare molte più cose.

Synaptic non mi pare che si discosti molto da UAC, box a comparsa, elevazione dei privilegi e installi quel razzo che ti pare.

Uac non è solo UAC, lega altre novità intorno a lui come gli IL e l'UIPI, tiene un browser in modalità protetta evitando che nulla vada al di fuori della cartella dei temporanei, fa lavorare l'utente come limitato e quello che prima accadeva ad insaputa dell'utente ora non succede più visto che le system folders non hanno permesso di scrittura.

Ora, non sarà ne una rivoluzione ne la soluzione dei problemi ma non mi pare corretto definirlo ridicolo.

   
33. Di_ME
venerdì 15 febbraio 2008 alle 9:25 PM - unknown unknown unknown
   

Synaptic come ogni altro gestore di package di Linux si basa sui repository, i repositori cui si consiglia l'uso normalmente sono posti sicuri dove prelevare software per una distribuzione. Dico sicuri pensando a repository come packman gestiti da grosse comunita', dove bisogna sudare per essere ammessi e tutto viene sempre controllato, e quindi e' difficile che qualcuno ti ci infili dentro roba compromessa. Installando quindi software alla maniera Linux non si rischia praticamente nulla... di certo nulla a confronto dallo scaricare e installare cose prense qua e la da migliaia di siti come capita con la stragrande maggioranza del freeware per Windows dove capita di frequente di incappare in adware etc...

Il fatto che IE sia blindato come dici te non esenta dal fatto che potrebbero esserci bug per riuscire ad uscire dalla blindatura... sinceramente penso che sia decisamente meglio che una volta per tutte elimino gli activex e i vbscript in explorer, una roba proprietaria che oltre ad essere totalmente fuori standard la usano solo per far funzionare windowsupdate e su siti malvagi per piantarti virus nel PC. Considerando che poi tutto quello che fai con questi "EXE" piantati dentro una pagina HTML lo puoi fare con altre tecnologie piu' standard e molto meno pericolose.

   
34. kEsoNNo
martedì 18 marzo 2008 alle 5:12 PM - unknown unknown unknown
   

Questo mi pare il posto migliore dove fare questa piccola segnalazione a Paperino (quando sarà tornato dalle vacanze, ovvio )

www.lostcreations.com/.../about

   
35. Paperino
lunedì 21 aprile 2008 alle 6:54 PM - unknown unknown unknown
   
   
[ Pagina 1 di 2  - più vecchi ]
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)