Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Tutorial / How-To / F.A.Q.

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 21-11-2007, 15:22   #1
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Sandbox "fai da te" :D

Premessa: apro per ora un piccolo thread per questo argomento, dal momento che e' in "ristrutturazione" il contenuto che mettero' in "Windows Hardening" e questo topic ne fara' in seguito parte (il tempo e' quello che e'..)

Leggendo nel forum si nota spesso (e non e' una sorpresa, ovvio) come la maggioranza degli utenti preferiscano utilizzare un account Administrator in Windows perche' "piu' pratico" (sorvolando un attimo sulle possibili soluzioni in merito cui si e' accennato in precedenza - discorso non abbandonato dal momento che proporro' appena possibile degli sviluppi in proposito); preferendo dunque ovviare alle limitazioni di un account, appunto, di tipo limitato, molti di questi utenti fanno dunque uso di applicazioni di terze parti di varia classificazione (a seconda di cio' che sono in grado di fare) cosi' da poter prevenire i problemi (e/o ridurne i rischi) potenzialmente possibili a causa dell'account amministratore.

Queste applicazioni spesso offrono funzionalita' di sandboxing con la possibilita' (che poi e' il loro principale uso per certi versi) di eseguire un browser in una modalita' ristretta e protetta, tale da impedire modifiche reali al sistema e da impedire che il browser (o qualunque applicazione sandboxata) esegua processi che esso non dovrebbe a causa ad es. di un malware che abbia sfruttato una vulnerabilita'.
I benefici in termini di sicurezza sono ovvii.

Si sara' capito dalle precedenti discussioni che (non essendo un grande fan di tutte queste applicazioni dal momento che ritengo possibile, in determinate condizioni, farne a meno configurando il sistema in maniera ottimale con quanto esso gia' offre) di solito preferisco usare Windows cosi' com'e' senza ricorrere a tools esterni, perlomeno quando e' realmente possibile farne a meno senza rischiare troppo.

Supponiamo dunque che abbiate il vostro account Administrator (o cmq il discorso vale anche per LUAs) e volete eseguire una applicazione (es. il browser) in modo che non possa eseguire processi o apportare modifiche al sistema. Potete ottenere questo - in linea di massima - col solo Windows in questi semplici passaggi:

- Create un account limitato di nome es. "NoChange", dal pannello di controllo oppure con questo comando

Codice:
net user "NoChange" /add
Codice:
net user "NoChange" qualunque_password /add
(importante: NoChange DEVE avere una password non vuota)

- Nascondete questo utente dal Welcome Screen (se lo usate) andando alla chiave (nel registro)

Codice:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
Create al suo interno un valore REG_DWORD di nome "NoChange" con valore 0.

- Andate nelle proprieta' di ciascun drive del vostro pc, nel tab "Security"

- Aggiungete l'utente "NoChange" appena creato

- Togliete tutti i permessi apparte quelli di lettura (cosi' scrittura ed esecuzione sono bloccate)

- Andate nella cartella dove si trova l'eseguibile del browser o programma da sandboxare, e aggiungete solo per quella cartella i diritti di esecuzione ma non quelli di scrittura

- Andate nella sottocartella dove il browser (se e' un browser) salva i file temporanei nella cache, e - al contrario - consentite per NoChange i diritti di scrittura ma non quelli di esecuzione

- avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura.

- Create una icona del browser/applicazione che vi interessa, e modificate il percorso del programma da eseguire aggiungendovi, all'inizio, il solito comando

Codice:
Runas /user:NoChange /savecred
(Chi usa Windows XP Home Edition puo' leggere qui una alternativa a /savecred, non disponibile in HE)

Cosi' facendo, quando eseguite quel browser (programma) nel contesto dell'utente NoChange, esso sara' gia' molto limitato (per via di LUA), inoltre non potra' modificare ne' eseguire nulla.
Nel 99% dei casi questo e' piu' che sufficiente, senza programmi di terze parti.
A meno che siate cosi' fortunati da visitare un sito cosi' malvagio () da riuscire a bypassare lo LUA in primo luogo, e le negazioni di permessi aggiuntive in secondo luogo.

Ciaps

Ultima modifica di Sisupoika : 21-11-2007 alle 19:44.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 15:43   #2
ShoShen
 
Messaggi: n/a
ciao sisupoika ,potresti specificarmi se questo modo funziona anche su vista e se comunque abbia una sua utilità considerando la presenza di uac ? (ovviamente pongo questa domanda perché interessato ad una procedura simile )...non so se possa essere utile segnalo comunque anche questo articolo di mark Russinovich in cui si spiega come fare per utilizzare programmi con diritti limitati anche disponendo di un account amministratore con il solo utilizzo dell utility process explorer ...sistema che potrebbe rivelarsi valido per tutti gli utenti che utilizzano xp solo in modalità amministratore
http://blogs.technet.com/markrussino...-easy-way.aspx

Ultima modifica di ShoShen : 21-11-2007 alle 15:57.
  Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 17:30   #3
forum1
Bannato
 
Iscritto dal: Sep 2006
Città: Non vivo da nessuna parte
Messaggi: 347
http://altagradazione.blogspot.com/2...-explorer.html

potrebbero essere utili anche questi due script, anche se sono pensati per fare il contrario ovvero eseguire da un account non admin (preferibile) programmi con credenziali admin.

l'opzione /savecred non è disponibile in xp Home edition

Ultima modifica di forum1 : 21-11-2007 alle 17:40.
forum1 è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 17:55   #4
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da ShoShen Guarda i messaggi
ciao sisupoika ,potresti specificarmi se questo modo funziona anche su vista e se comunque abbia una sua utilità considerando la presenza di uac ?
IMHO Si'.

Quote:
segnalo comunque anche questo articolo di mark Russinovich in cui si spiega come fare per utilizzare programmi con diritti limitati anche disponendo di un account amministratore con il solo utilizzo dell utility process explorer ...sistema che potrebbe rivelarsi valido per tutti gli utenti che utilizzano xp solo in modalità amministratore
http://blogs.technet.com/markrussino...-easy-way.aspx
In realta' ci sono varie alternative per fare praticamente la stessa cosa e quella suggerita nell'articolo e' soltanto una di queste.
Questa semplice alternativa che propongo qui e' diversa nel fatto che non richiede tools esterni.

Quote:
Originariamente inviato da forum1 Guarda i messaggi
http://altagradazione.blogspot.com/2...-explorer.html

potrebbero essere utili anche questi due script, anche se sono pensati per fare il contrario ovvero eseguire da un account non admin (preferibile) programmi con credenziali admin.

State attenti a utilities che si trovano in giro per la rete senza sorgenti: potrebbero esse stesse eseguire processi con livelli amministrativi una volta che gli dite la password o fare altro (parlo in generale).

Quote:
l'opzione /savecred non è disponibile in xp Home edition
Puoi provare ad ovviare con la redirezione dell'input.


- apri il command prompt
- digita
Codice:
copy con nome_file_qualsiasi.txt
- digita all'interno del file il valore della password dell'utente NoChange e premi invio
- premi CTRL-Z seguito da invio per salvare il file
- aggiungi al collegamento che contiene "Runas..." la stringa
Codice:
 <nome_del_file_di_testo_creato_con_dentro_la_password.txt

Ultima modifica di Sisupoika : 21-11-2007 alle 18:01.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 18:04   #5
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Ho aggiunto una nota in proposito nel primo post per chi ha HE
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 18:09   #6
sirus
Senior Member
 
Iscritto dal: Mar 2004
Messaggi: 16052
Quote:
Originariamente inviato da ShoShen Guarda i messaggi
ciao sisupoika ,potresti specificarmi se questo modo funziona anche su vista e se comunque abbia una sua utilità considerando la presenza di uac ?
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
IMHO Si'.
Dipende.
Internet Explorer 7.0 è già eseguito in una sandbox in Windows Vista e questa sandbox è attiva finché lo è UAC.
Se però si utilizzano browser differenti allora la procedura di sandboxing è valida.

In proposito qualcuno ha già scritto un valido articolo: Running Vista Every Day! by Joanna Rutkowska.

PS: in generale la procedura di sandboxing è utile con tutti quei programmi che devono necessariamente dialogare con Internet.
sirus è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 18:19   #7
ShoShen
 
Messaggi: n/a
vi ringrazio...
  Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 19:44   #8
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Perdonatemi, ho dimenticato nel primo post un passo molto importante (aggiungo adesso)

- Dopo aver seguito i passi prima elencati, avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura.


Quote:
Se però si utilizzano browser differenti allora la procedura di sandboxing è valida.
Quote:
PS: in generale la procedura di sandboxing è utile con tutti quei programmi che devono necessariamente dialogare con Internet.
Esatto

Quote:
Originariamente inviato da sirus Guarda i messaggi
Dipende.
Internet Explorer 7.0 è già eseguito in una sandbox in Windows Vista e questa sandbox è attiva finché lo è UAC.
Anche con la modalita' di esecuzione in UAC di IE7 sotto Vista, hai i seguenti vantaggi:

- hai la quasi certezza di negare l'esecuzione di qualunque cosa dal contesto del browser, al di fuori del browser stesso, poiche' l'utente NoChange con cui il browser viene eseguito NON puo' eseguire da se' altre applicazioni; dunque se anche una vulnerabilita' venisse sfruttata, sarebbe molto difficile - per quanto se ne sa al momento - che esso riuscisse a bypassare la negazione dell'esecuzione e sfruttare quella vulnerabilita' per far eseguire un processo/eseguibile esterno (es. un malware scaricato con un attacco drive-by) attraverso il browser, mentre dall'interno del browser stesso sarebbe altrettanto difficile avviare comandi nocivi per via sia delle limitazioni dell'LUA NoChange sia perche' in aggiunta, come descritto in precedenza e riportato subito qui di seguito, la scrittura su disco e su registro e' negata
- hai la quasi certezza di negare che un processo non autorizzato scriva o sovrascriva qualcosa su disco (qualunque locazione essa sia) attraverso il browser
- hai la quasi certezza di negare la scrittura e la modifica del registro (quindi virus, spyware ecc non potrebbero facilmente sporcare il sistema)

Queste "quasi certezze" (che al momento per me sono praticamente piene, dato che non ho ancora sentito di vulnerabilita' in grado di bypassare limitazioni dell'utente sui processi, sul disco, e sul registro allo stesso tempo e questo attraverso un browser eseguito in una modalita' gia' ristretta per via dello LUA) sono "quasi" solo perche' "non si puo' mai sapere"

IMHO anche sotto Vista quando suggerito e' una protezione aggiuntiva, e il motivo e' semplice: quando usi UAC alla fine e' come se usassi (piu' o meno) un processo con delle restrizioni, ma all'interno del contesto di un utente che, nativamente, e' quasi amministratore a meno di configurazione diversa.
Nel modo suggerito, invece, l'utente con cui il processo viene avviato e', forzatamente, limitato gia' di per se'.

Questo comporta due cose molto importanti:

1. E' tecnicamente molto piu' probabile bypassare delle restrizioni nel contesto di un utente amministratore, che effettuare una scalata di privilegi da LUA ad amministratore in una situazione in cui esecuzione e scrittura sia su disco che su registro (e il registro e' importante soprattutto perche' e' all'interno di esso che si definiscono i servizi di Windows e la loro modalita' di esecuzione)
sono entrambe negate

2. Vista ha una gestione delle installazioni IMHO & AFAIK ridicola perche' ti forza ad eseguire un setup con privilegi di amministratore per come questa gestione e' stata implementata; con le restrizioni dello UAC, ma sempre amministratore.
Dico "ridicola" perche' in XP questo non accade e volendo, con le restrizioni sul software e una configurazione custom dei permessi, non solo puoi eseguire un setup come LUA, ma puoi anche restringere cosa quel setup puo' fare.
Questo ha importanza significativa per due ragioni: a) se esegui un setup di qualcosa, ad esempio, scaricato, in Vista esso girerebbe senza restrizioni, mentre in XP (e anche 2000) avresti la possibilita' limitare cio' che quel setup puo' fare (detto tra noi in realta' nessuno lo fa realmente; io per es. per semplicita' mi limito ad usare un altro utente nascosto per i setup - "SetupOnly" - che ha delle restrizioni su alcune cartelle del disco e alcune sezioni del registro nelle quali ci si aspetta che un normale setup non scriva. Uso questo utente con RunAs ogni volta che installo una applicazione normale, giusto per essere sicuro di sapere dove quel setup puo' scrivere su disco e nel registro; non mi metto ovviamente a creare rules ad hoc per ogni specifico eseguibile ovviamente, perche' non sarebbe umano e quello che faccio con l'utente apposito e' forse gia' di per se esagerato, cio' non toglie che quello che dicevo e' una possibilita' presente in XP ma non in Vista.
Non ho idea del perche', non ho trovato ancora nessun articolo esplicativo in merito. Ma la mia personale opinione e' che Microsoft si stia fidando troppo di UAC, e questo e' un grossolano errore IMHO.
Tornando al discorso dei setup, questo vale in molti casi anche per plugins e componenti installati nel browser (come gli addons di IE7) come ad es. roba tipo il plug in di Windows Media Player, quello di Flash, Java e cose di questo tipo; in effetti li esegui dal browser ma sono setup veri e propri riconosciuti da UAC e eseguiti comunque come amministratore
Se dunque uno di questi plugins vuol fare roba illecita, potrebbe anche essere in grado di bypassare le restrizioni della UAC et voila'... UAC e' roba nuova, e non e' detto che cio' non sia possibile.
Col semplice sistema da me suggerito, invece, qualunque roba eseguita dal broeser - e dunque anche il setup di plugins - avviene nel constesto dell'utente limitato, quindi NON avrebbe lo stesso potere che - almeno teoricamente - avrebbe in Vista.

Vista ha introdotto molte cose e sinceramente non ci ho giocato ancora molto, pero' non sarei l'unico a far presente che non tutte le "innovazioni" introdotte sono cosi' ottimali come si potrebbe pensare a prima...ehm..."Vista"

('zzo sta frase me la quoterei da solo, che poeta che sono )

Quote:
In proposito qualcuno ha già scritto un valido articolo: Running Vista Every Day! by Joanna Rutkowska.
Questa donna l'amo (ehm... in senso tecnico...amo solo la mia ihana dolce meta' ), adesso leggo.

Ultima modifica di Sisupoika : 21-11-2007 alle 20:00.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 19:55   #9
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Grazie per aver linkato l'articolo

Joanna mi ha tolto un piccolo dubbio che cmq avevo, circa parte di quello che ho scritto (dubbio perche' finora ho perso non piu' di poche ore su Vista poiche' non ce l'ho ancora io e non mi va di sborsare adesso..)

Quote:
One thing that I found particularly annoying though, is that Vista automatically assumes that all setup programs (application installers) should be run with administrator privileges. So, when you try to run such a program, you get a UAC prompt and you have only two choices: either to agree to run this application as administrator or to disallow running it at all. That means that if you downloaded some freeware Tetris game, you will have to run its installer as administrator, giving it not only full access to all your file system and registry, but also allowing e.g. to load kernel drivers! Why Tetris installer should be allowed to load kernel drivers?

How Vista recognizes installer executables? It has a compatibility database as well as uses several heuristics to do that, e.g. if the file name contains the string “setup” (Really, I’m not kidding!). Finally it looks at the executable’s manifest and most of the modern installers are expected to have such manifest embedded, which may indicate that the executable should be run as administrator.

To get around this problem, e.g. on XP, I would normally just add appropriate permissions to my normal (restricted) user account, in such a way that this account would be ale to add new directories under C:\Program Files and to add new keys under HKLM\Software (in most cases this is just enough), but still would not be able to modify any global files nor registry keys nor, heaven forbid, to load drivers. More paranoid people could chose to create a separate account, called e.g. installer and use it to install most of the applications. Of course, the real life is not that beautiful and you sometimes need to play a bit with regmon to tweak the permissions, but, in general it works for majority of applications and I have been successfully using this approach for years now on my XP box.
Inoltre mi da del "paranoico", in pratica
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 19:57   #10
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Sto pensando di includere l'automazione di questa cosa nel programmino che sto facendo di cui parlai qualche thraead fa
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:02   #11
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
La tipa e' femminista, parla sempre al femminile, avete notato?


Ho imparato una cosa che non sapevo e che apre un mare di possibilita'

Quote:
How Vista recognizes installer executables? It has a compatibility database as well as uses several heuristics to do that, e.g. if the file name contains the string “setup” (Really, I’m not kidding!).
Praticamente se scrivo un eseguibile maligno e metto la parola "Setup" nel nome del file, Vista gli dara' diritti di amministratore pieni
WOW, that sounds cool. doesnt it?

Ultima modifica di Sisupoika : 21-11-2007 alle 20:07.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:10   #12
sirus
Senior Member
 
Iscritto dal: Mar 2004
Messaggi: 16052
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
Praticamente se scrivo un eseguibile maligno e metto la parola "Setup" nel nome del file, Vista gli dara' diritti di amministratore pieni
WOW, that sounds cool. doesnt it?
ho già provato, non funziona.
sirus è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:14   #13
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da sirus Guarda i messaggi
ho già provato, non funziona.
LOL

Prova cosi': crea un eseguibile che modifica qualche chiave a tromba e mettilo in un InstallShield o altro installer, stando a quanto dice Joanna dovrebbe eseguirlo come admin

porca vacca peccato che non posso provarlo da me
Improvvisamente m'e' venuta voglia di Vista sul mio laptop
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:15   #14
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.

Ultima modifica di riazzituoi : 11-02-2010 alle 13:50.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:18   #15
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Cmq mi permetto di (forse) correggere la mitica Joanna

Il comando per verificare i permessi e' CACLS, almeno su XP ecc.
Non so se e' ICACLS su Vista...

sirus puoi controllare per curiosita'?

riazzituoi, corri a comprarlo, dai
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:19   #16
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
Cmq mi permetto di (forse) correggere la mitica Joanna

Il comando per verificare i permessi e' CACLS, almeno su XP ecc.
Non so se e' ICACLS su Vista...

sirus puoi controllare per curiosita'?

riazzituoi, corri a comprarlo, dai
Mi quoto da solo, ecco svelato il mistero

http://en.wikipedia.org/wiki/Cacls

e' un duplicato con qualche piccola differenza.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 20:58   #17
sirus
Senior Member
 
Iscritto dal: Mar 2004
Messaggi: 16052
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
LOL

Prova cosi': crea un eseguibile che modifica qualche chiave a tromba e mettilo in un InstallShield o altro installer, stando a quanto dice Joanna dovrebbe eseguirlo come admin

porca vacca peccato che non posso provarlo da me
Improvvisamente m'e' venuta voglia di Vista sul mio laptop
In questo caso è ovvio che funzioni.

Su un blog di un programmatore Microsoft ho parlato di questo sistema per verificare gli installer (che ritengo pessimo) e mi ha spiegato il motivo per cui tutti gli installer (o meglio, tutti i software che devono scrivere in locazioni del disco condivise da più utenti) debbano essere eseguiti da subito con i privilegi di amministrazione.
Di fatto in Windows è impossibile modificare il "proprietario" di un processo, se io dispongo di un processo con determinate credenziali e permessi io non posso modificare queste informazioni.
Se non ci fosse questa limitazione si potrebbe agire in modo differente, ossia elevare i permessi (e non garantire tutti i permessi) solo nel momento in cui l'installer deve per forza di cose agire su locazioni condivise del disco.

Ad ogni modo ritengo che il sistema migliore per gestire l'installazione (se installazione si può chiamare) delle applicazioni sia quello adottato da Mac OS X.
sirus è offline   Rispondi citando il messaggio o parte di esso
Old 21-11-2007, 21:15   #18
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da sirus Guarda i messaggi
In questo caso è ovvio che funzioni.

Su un blog di un programmatore Microsoft ho parlato di questo sistema per verificare gli installer (che ritengo pessimo) e mi ha spiegato il motivo per cui tutti gli installer (o meglio, tutti i software che devono scrivere in locazioni del disco condivise da più utenti) debbano essere eseguiti da subito con i privilegi di amministrazione.
Di fatto in Windows è impossibile modificare il "proprietario" di un processo, se io dispongo di un processo con determinate credenziali e permessi io non posso modificare queste informazioni.
Se non ci fosse questa limitazione si potrebbe agire in modo differente, ossia elevare i permessi (e non garantire tutti i permessi) solo nel momento in cui l'installer deve per forza di cose agire su locazioni condivise del disco.

Ad ogni modo ritengo che il sistema migliore per gestire l'installazione (se installazione si può chiamare) delle applicazioni sia quello adottato da Mac OS X.
LOL

Cmq ho postato sul blog di Joanna e sono curioso di leggere la sua risposta
Appena lo accetta (ha la moderazione attiva) avviso.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 22-11-2007, 09:41   #19
forum1
Bannato
 
Iscritto dal: Sep 2006
Città: Non vivo da nessuna parte
Messaggi: 347
"Originariamente inviato da forum1 Guarda i messaggi
http://altagradazione.blogspot.com/2...-explorer.html

potrebbero essere utili anche questi due script, anche se sono pensati per fare il contrario ovvero eseguire da un account non admin (preferibile) programmi con credenziali admin.

State attenti a utilities che si trovano in giro per la rete senza sorgenti: potrebbero esse stesse eseguire processi con livelli amministrativi una volta che gli dite la password o fare altro (parlo in generale)."

Intanto gli script sono una mia creazione, secondo nel file zip c'è sia l'exe compilato sia lo script in plain text per chi non si fida.

"Puoi provare ad ovviare con la redirezione dell'input"

questo metodo presuppone che venga memorizzata la password in chiaro in un file di testo, che non mi sembra il massimo della sicurezza, anche se ovviamente dopo si può sempre cancellare sovrascrivendolo.
forum1 è offline   Rispondi citando il messaggio o parte di esso
Old 22-11-2007, 11:11   #20
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da forum1 Guarda i messaggi
"Originariamente inviato da forum1 Guarda i messaggi
http://altagradazione.blogspot.com/2...-explorer.html

Intanto gli script sono una mia creazione, secondo nel file zip c'è sia l'exe compilato sia lo script in plain text per chi non si fida.
LOL sorry mate!
Pensavo fosse qualcosa trovata chissa' dove! Non avevo guardato bene

Quote:
questo metodo presuppone che venga memorizzata la password in chiaro in un file di testo, che non mi sembra il massimo della sicurezza, anche se ovviamente dopo si può sempre cancellare sovrascrivendolo.
Certo, ma tieni presente che stiamo parlando di Home Edition, che e' comunque limitato per diversi aspetti sotto il profilo della sicurezza e ci sarebbero modi ben piu' immediati per comprometterla che i possibili (tuttavia, per quello che suggerisco di seguito, remoti) rischi legati a questa password salvata in chiaro in un file di testo.

Tuttavia per i paranoici (in senso positivo ) c'e' una semplice soluzione che propongo di seguito, dopo una premessa.

Quello che dici a proposito della password in chiaro e' perfettamente corretto ma da' per scontato che questo sia un problema evidente; su questo non sono d'accordo, perche' non e' scontato che lo sia.
Il problema delle password in chiaro sussiste in realta' solo quando hai bisogno di inviarla attraverso la rete per avviare, ad esempio, processi da remoto su un altro pc; infatti a meno di usare un canale cifrato, e' possibile sniffare la password.

Quando parliamo di avviare programmi in locale, pur restando che la password rimane in chiaro il discorso sulle concrete complicazioni dovute a cio' e' molto diverso.

1 - Non invii la password in rete, quindi lo sniffing di rete e' tagliato fuori
2 - A meno di avere un sistema gia' compromesso che abbia un keylogger, non rischi realisticamente che la tua password venga rilevata; e anche se ci fosse un keylogger, si tratterebbe di una sequenza di tasti inviati apparentemente a caso dal momento che non sarebbero associati ad un campo di tipo 'password' in una applicazione/form di Windows, quindi non sarebbe facile farne uso improprio (IMHO).
2 - Il file con la password puo' avere qualunque nome tu vuoi, ed essere in qualunque cartella del sistema a tua scelta
3 - Puoi evitare di mettere il nome e percorso del file direttamente nel comando rimpiazzandolo con una variabile d'ambiente di nome es. %miofileconpassword% che abbia come valore il percorso di quel file; in questo modo, se anche una applicazione rilevasse la presenza di questa variabile nei link ai programmi, essa dovrebbe "sapere" che quella stringa e' il nome di una variabile di ambiente, e non il percorso diretto ad un file.

Premesso cio', e fatto leva che dei punti elencati (non mi viene in mente altro al momento) l'unico realmente degno di attenzione per i (cmq non elevati) possibili rischi che la password venga rilevata, e' il (1), circa i keyloggers.
La soluzione e' abbastanza semplice: la redirezione dell'input non fa altro che simulare, letteralmente, la pressione dei tasti immettendone i codici ASCII nel buffer di tastiera elaborato dal sistema operativo: e' sufficiente installare una applicazione o driver come KeyScrambler che cripta le keystrokes a livello di kernel rendendo impossibile (per quel che si sa') "leggerne" i valori anche con un keylogger.
Questo risolve le uniche possibilita' delle quali ci si potrebbe preoccupare in merito alla questione da te sollevata con indubbi vantaggi in termini di sicurezza per il sistema in generale.
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
Tesla bot Optimus: ecco quanto costa il ...
ECOVACS DEEBOT T30 PRO OMNI con sconto d...
Disney+: perché il colosso ha cam...
Prezzo bomba per Google Pixel 8: ora cos...
Google Pixel 9 arriverà in tre ve...
One UI 6.1 con Galaxy AI da oggi, 28 mar...
Ninja, il famoso streamer ha scoperto di...
Xi Jinping: nessuno può fermare i...
Un veicolo elettrico su quattro venduto ...
Super portatile HP a prezzo di svendita:...
Motorola spopola su Amazon: prezzi assur...
Il treno svizzero Flirt H2 è da G...
SpaceX: secondo static fire per Starship...
SpaceX: lanciati i primi due satelliti S...
Broadcom fa un mezzo dietrofront sugli o...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 09:12.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www3v