V enem izmed Ubuntujevih neuradnih ohranjevalnikov zaslona najdena zlonamerna koda

Meni je tole hvaljenje, kako linuksači skoraj vsi po vrsti pregledujejo kodo, 24 karaten bullshit.

Če bi slučajno res bilo kaj na tem, blamaže z zakomentiranim Debianovim generatorjem naključnih števil ne bi bilo.

In po drugi strani, da se vrnem na novico, sem prepričan, da noben približno normalen admin, ne bo šel nalagat screensaver na nek strežnik, nek home user na svojo desktop mašino pa vsekakor. In kaj bo ugotovil, če bo namontiral tega iz novice? Da ne dela in bo naložil kaj drugega. Case closed.

Ne bi se čudil, da je tega še obilo, tudi na tem forumu je bilo, da so enemu zagrozili z odklopom neta zaradi spamanja, on pa se je čudil, kako je to mogoče, saj ima ja Linux, na njem pa virusov in podobnega sploh ni. Vejžda. Isto s*anje, samo drugo pakovanje.

Lepo povedano, toda, koliko je v resnici takih maherjev?

Z uporabnikom prijaznimi distroti se lahko zaključi, da vedno manj, saj so ti distroti pritegnili začetnike in tiste, ki jih ravno ne zanima kaj se dogaja pod pokrovom. Zanje je OS črna škatla. Enako kot Windows ali Mac OS. Mogoče znajo poštimati kakšno malenkost v izgledu, namestiti njim zanimiv dodatek ali program, to pa je tudi vse.

In ti so ciljna publika za tak "screensaver". Ne neki uber geeki, ki za dobro jutro na pešforda prevedejo pol jedra, ki so ga sami scmarili skupaj oz. nekaj v tem smislu.

Z uporabnikom prijaznimi distroti se lahko zaključi, da vedno manj, saj so ti distroti pritegnili začetnike in tiste, ki jih ravno ne zanima kaj se dogaja pod pokrovom. Zanje je OS črna škatla. Enako kot Windows ali Mac OS. Mogoče znajo poštimati kakšno malenkost v izgledu, namestiti njim zanimiv dodatek ali program, to pa je tudi vse.

To je tako, kot da bi neznanec pristopil do človeka, mu dal plišastega medvedka z vgrajeno kamero in rekel, naj ga postavi nasproti tipkovnice. Ampak v tem primeru je človek veliko manj zaupljiv do tega neznanca, kot pa do neke znane spletne strani. In poleg tega se ljudje ne zavedajo nevarnosti na internetu.

Tudi če neznanec nekomu pošlje paket v katerem je bomba, bo večina ljudi odprla paket in s tem potencialno aktivirala bombo. Enako je z emaili/MSN in .jpg.exe slikami. Nekdo ki se pa spozna, bo pa mogoče posumil kaj in zavrnil paket oz. ga ne bo odprl.

Bilo je na S-T ene 4 leta nazaj, rešili pa niso nič. Linka sedaj ne najdem.

Hmm, med stavkom si se delil? ;)

Haha, ja. Med takimi stavki ugotovim, da ma moj dan samo 25 ur, ne 40, in dam kaj narediti še komu drugemu. ;)

Hm, še vedno ni odgovora, zakaj ni dizajn linuxa nič bolj varen od dizajna Windows. Primerjava recimo med root uporabnikom na Fedori 12 z omogočenim SELinux in "zaščitenim" administratorjem na Windows 7 z omogočenim UAC. Je čisto resno vprašanje in ne provokacija... Če je že kdo primerjal kaj podobnega, bi bil vesel odgovora.

Meni se zdi, da se je MS sprijaznil s tem, da bodo uporabniki vsakodnevno uporabljali administratorski račun, zato je v sistem stlačil UAC. Ob namestitvi Windows 7 se privzeto ustvari samo en uporabnik ("zaščiteni" administrator), zato mi je to logičen zaključek.

Ampak implementacija UAC v Windows 7 je s stališča varnosti bolj tako tako. Če je nekdo prijavljen kot zaščiteni administrator, potem je možen samodejni dvig privilegijev delov programov, brez vednosti uporabnika, možnost, da programi sami onemogočijo prikaz UAC dialogov, spet brez vednosti uporabnika, itd. Nek tretji program lahko izkoristi dvignjene pravice nekega legitimnega procesa in se izogne UAC. Nič čudnega, saj dejansko delaš prijavljen kot administrator.

Od Fedore 11 naprej se npr. v grafično okolje kot root sploh ne moreš prijaviti, brez da bi pred tem ročno posegel kar globoko v nastavitve sistema. Red Hat gre torej v tej smeri, za druge distribucije bo moral povedati kdo drug.

Ne vem no... V linuxu vsaj veš, da če nekaj delaš kot root, lahko narediš pi..arijo. Če pa slabo razgledan uporabnik Windows kdaj vidi kak dialog ali pa še tega ne, pa mirno dela naprej, ne da bi sploh pomislil, kaj je naredil.

Slab dizajn sistema? Po moje ja... Nimaš kaj vsakodnevno počet v sistemu kot administrator, sam OS bi moral tako početje preprečevati in ne spodbujati.

Meni je tole hvaljenje, kako linuksači skoraj vsi po vrsti pregledujejo kodo, 24 karaten bullshit.

Kje pa si to prebral? Šel sem čez celo temo in ne najdem, verjetno sem spregledal.

Ales, v Ubuntu je praktično enako kot si opisal za Windows 7. Default uporabnik se lahko "poviša" v admina/root-a.
Prvič vpraša za geslo, pol pa več ne. V ukazni vrstici sploh vpraša nič več.

V Ubuntu 9.04 ni kljukice in vsakič ponovno vpraša.
V ukazni vrstici pa vpraša le prvič, pol pa freeride...

Zgleda, da je od primera do primera drugače.

Po mojih izkušnjah pa si Ubuntu v konzoli zapomni geslo za sudo za nekaj minut... čez določen čas pa zopet vpraša.

mah glede na precejšno število odkritih local exploitov v linuxu sploh ni važno kako deluje sudo.

Hm, še vedno ni odgovora, zakaj ni dizajn linuxa nič bolj varen od dizajna Windows. Primerjava recimo med root uporabnikom na Fedori 12 z omogočenim SELinux in "zaščitenim" administratorjem na Windows 7 z omogočenim UAC. Je čisto resno vprašanje in ne provokacija... Če je že kdo primerjal kaj podobnega, bi bil vesel odgovora.

ja ne vem kaj češ povedat , da sel često povzroča varnostne probleme?

Ima veze toliko, da ti zavajaš. Resnih local root exploitov v zadnjem času je bilo v Linuxu natanko 8 in seveda ima delovanje sudo še kako veze pri zagotavljanju varnosti.

greva počasi da bo vsem razumljivo , kaj ima sudo veze z windowsi?
in na kaj se opirajo zlonamerni programi? na sudo ali luknje v sistemu?

če pa že vlačiš notri windowse potem si oglej secunio
http://secunia.com/advisories/product/2...

http://secunia.com/advisories/product/1...

jebat ga , lepo se vidi , da nekateri uporabljate inferioren sistem. nekateri pač niste od "foha" in razumem , da se na zadeve ne spoznate kaj dosti. sicer je lepo , da nam predavate o družbeno korektnih rešitvah ampak to s samo tehniko nima kaj dosti.

Hm, na gnome-look.org lahko kdorkoli naloži karkoli. Nič "poluradnega" ni tukaj, samo stran je relativno popularna. Njihov proces preverjanja prispevkov je očitno popolnoma zatajil ali pa je neobstoječ, kaj takega se ne bi smelo zgoditi tako zlahka.

ja ne vem kaj češ povedat , da sel često povzroča varnostne probleme?

Sploh ne, povedati oz. vprašati sem nameraval točno to, kar sem napisal. Zdela bi se mi zanimiva primerjava, ampak je sam nimam časa naredit.

S stališča administratorja nimam nekega ravno visokega mnenja o SELinux-u, ker sem do zdaj 2x moral pisati nov policy modul in sem si ob tem pulil lase ven v šopih. Na srečo jih imam še dovolj za naslednjo priložnost.

greva počasi da bo vsem razumljivo, kaj ima sudo veze z windowsi?

ne vem, to si ti privlekel v debato.

Te bom citiral:

o linux exploitih linuxaši pač pogosto poročamo. Če bi enako vestno poročali tudi o windows exploitih, bi pa na s-t brali novice samo o tem. O wintendo exploitih poročamo zgolj takrat, ko gre za kakšne remote root exploite... Kar je pa leta 2009 ralo sramotno.

V splošnem pa se jaz ne naslajam nad dejstvom, da ima ena reč luknje. Ker del moje rešitve temelji tudi na čem drugem kot windowsi. že leta. Ideologijo se greš na žalost ti in predvsem ti. Sam kvečjem pribijem kako, čez tako opevano linux varnost. In glede tega sem ti dal statistiko ti pa zgolj nekaj žolča.

Pa ne morem da se nebi zoped spustil na osebni nivo. Od kdaj ti si linuksač jaz sem pa windowaš?

Glede konfikerja pa, le zakaj nas ni prizadel? (hint dobre prakse, ne pa svete vojne).