Inget OS kan skydda mot SBT - "skit bakom tangentbordet"...

Det gäller ju att vara försiktig med vad man själv installerar också. Jag har klarat mig hittills, trots att jag varit rätt slarvig, men det här gav mig ändå en tankeställare. Två gånger på kort tid som nån lagt upp ett tema på gnome-look, packat som en .deb-fil, som innehåller kommandot "rm -rf /" i installationsskriptet... Raderar allt på alla skrivbara filsystem som är monterade för tillfället... (De var visserligen snabba att ta bort det när de blev uppmärksammade på det, men inte kul för de som hann råka ut för det innan dess.)

Mycket klokt har skrivits här!
Som t.ex. att användaren är själv sitt eget största hot mot sin datormiljö.

Men.. ca skrev att data och kod är samma. Det kan det vara om man väljer att se det så! Tyvärr hjälper det inte att t.ex. hårdvaran kan separera dessa delar (rdos huvudargument) om separationen inte utnyttjas korrekt. Den hjälper inte heller mot trojaner som lyckas installera programinstruktioner där den betraktas som just.. programinstruktioner.

rdos argument om total kontroll över vad som görs på systemet fungerar endast om man har tillräcklig kunskap att upprätthålla denna kontroll. I praktiken blir detta en ohanterlig börda för sisådär 99.99% av välrdens befolkning.. och inte ens de 0.001 % som mäktar hålla koll är perfekta i sin övervakning..

En föreläsare in datasäkerhet sade "Det enda helt säkra systemet är det som inte aktiveras utan låses in i ett kassaskåp som inte kan öppnas", dvs en helt oanvändbar lösning.

Vi kan inte vänta oss ett helt säkert system, någonsin! Gödels "Incompletness Theorem" visar att det är så. Så vad vi kan göra är att vara uppmärksamma, ta backup på viktiga data och, när skiten träffar fläkten, installera om från grunden. (Virtualisering kan göra detta enklare )

rdos skrev:Förvisso, men metodiken att användaren ska kunna ställa in vad som ska kunna köras är användbar även på skrivbordet. Hade det t.ex. i Windows funnits en inställning som inte tillät VB-script så skulle jag direkt använt denna. Liksaå borde det finnas en inställning som stoppar websidor ifrån att starta nya sessioner, eller att byta URL utan att fråga användaren. Självklart ska websidor inte kunna göra något ö.h.t. på den lokala datorn som inte är grafik. Kan inte vara så svårt att fixa. Sedan ska man separera media som är säkra (ingen support för script som kan ändra något på lokala datorn), som t.ex. bilder och filmer ifrån skit som skrivits med script och som då inte ska köras utan att fråga användaren. Då skulle t.ex inte Windows-mail behöva blockera bilder och formaterad mejl som idag är nödvändigt då man inte separerar sin egen skit (VB-script) ifrån ofarlig formatering och bilder.

http://tekabhi.blogspot.com/2008/04/dis ... stwsh.html
Sen angående browser som inte tillåter redirects är jag övertygad om att det går.
Men att surfa skulle bli så enormt jobbigt då.

rdos skrev:Liksaå borde det finnas en inställning som stoppar websidor ifrån att starta nya sessioner, eller att byta URL utan att fråga användaren. Självklart ska websidor inte kunna göra något ö.h.t. på den lokala datorn som inte är grafik. Kan inte vara så svårt att fixa.

Men vad webbläsaren gör är ju inte direkt operativets ansvar, webbläsare är ju byggda för att automatiskt köra all okänd kod den kan hitta

Vad menar du med sessioner?

Kör du Firefox så finns det ju addons för att hantera redirects, RequestPolicy är bra men är bara för skydda mot cross-site requests.
Men vill du sitta och spendera 15sek med att klicka ja/nej på alla 301/302 requests varje gång du laddar en sida så finns det ju addons för det också.

Technology Overview

Native Client (NaCl) is a technology that allows a web browser to run compiled code with about the same level of security as ordinary Javascript. NaCl is an easy way to get games into a browser without the cost of rewriting your frameworks. It lets you reuse existing C/C++ libraries and game engines on the web. And it boosts performance by providing access to special instruction sets like SSE and NEON.
[...]
NaCl Features:
Native code compilers from many langagues including C, C++, and C#
Integration with Chrome’s Javascript engine
Secure application sandbox
POSIX-style Operating System
OpenGL ES 2.0 with extensions
CD quality stereo audio
Keyboard and mouse input
[...]
When NOT to use NaCl:
Applications that do heavy DOM manipulation
Applications that need direct access to the OS, hardware, or device drivers

http://code.google.com/intl/sv-SE/games ... eb-browser

Chrome har ju redan virtualisering inbyggd så för andra att hinna ikapp detta lär det väl dröja utan att sänka säkerhetsnivån ett antal steg.

By putting a native client into Chrome, Google is making the web browser the single most important application in the operating system. There will now be even fewer reasons to minimise the web browser.

http://www.theinquirer.net/inquirer/new ... eb-browser

Nacl är väldigt intressant tycker jag. Ska titta närmare på det och prova att utveckla lite. Ett sådant subset av funktionalitet i en sandlåda vore lämpligt för spel också.

https://www.youtube.com/watch?v=jmCxEUZ9tVk OpenBSD Talk på Norska ikväll

Hej, OpenBSD och FreeBSD är båda mycket trevliga fast de lider båda av liknande problem som linux*(samma programvaror och till stor del samma deps).

*OpenSSL har ju själv haft ganska många problem senaste åren.

Till RDOS: Du kan slå av vbscript genom att ändra i grupp-policyn(Även på en dator som inte är ansluten till en domänkontrollant så går det att ändra maskin/användarpolicy för ex, vbscript och massor av saker).

Jag har jobbat i en miljö där man körde med ett helt fysiskt skiljt nät(där data flyttades på stickor som kasserades efter användning) och jag tror att detta i kombination med fysisk accesskontroll så är det en kanske den säkraste lösningen man kan köra med oavsett os.(sen är det självklart beroende på vilket behov man har).

Allra bästa är ju ett sk live-OS som läggs på ett skrivskyddat medium.
Då är det totalt omöjligt att hacka det.

Tänk dig att du tar ett live-OS (ett sådant som bootar in i RAM).
Lägg detta på ett USB-minne typ som detta: https://www.dustinhome.se/product/5010798349/

Sedan låser du minnet med skrivskyddsknappen.
Sätt detta i en disklös dator - dvs en dator där du rent fysiskt tagit ur hårddisken.

När det är låst är det sedan OMÖJLIGT att förändra något på minnet. I kombination med att det bootar in i ram i ett live-OS, så skulle man få in ett virus, eller ett "rm -rf /" skämt så är det bara att starta om med strömknappen så är du tillbaka på banan igen.

Plus att varje gång du startar din dator, så kan du vara 100% säker på att den är ren och pålitlig att använda. Perfekt att t.ex. göra bankärenden på.

Varje gång du startar om datorn så är det lite som att köra kirurginstrument i autoklaven - totalt 100% virus och bakteriefritt.

Behöver du sedan uppdatera OSet eller liknande, så låser du upp med knappen igen. Poängen är att det inte går, att över nätet, sticka ut en arm genom datorskärmen och trycka på knappen, så den fysiska skrivskyddsknappen gör att du får ett fullgott skydd.