267 ответов в этой теме

[SergSG]

Реализация админ режима на сколько я вижу целиком сейчас повторяет логику маков. Т.е. стала более по месту. Без перезапуска приложения пока не обойтись, чтобы реализовать как в винде, это целая эпопея с COM объектами, что дыряво, не безопасно и может сломаться под действием внешних факторов.

Мак - это хорошо. А есть еще хоть в каком нибудь АВ подобное порно с перезапуском приложения? Хотелось бы посмотреть  И зачем вообще для GUI админ полномочия?

[SergSG]

SergSG, Предложи рабочую непротиворечивую схему? Не имеющую логических дыр вот так, навскидку. Чтобы всем было удобно и уровень безопасности от юзера не ниже текущего.

Простейший способ - при нажатии в меню на кнопку ЦБ, сразу открывать окно от имени админа. Если номер не прошел, тогда уже открывать в юзер моде.

Хотя что бесправному юзеру делать в агенте, я не понимаю. Разве что, поудалять "ненужные" записи из журналов статистики. В некоторых АВ юзера вообще в агент не пускают. И наверно это правильно.

 

После разделения на агент и меню, все можно упростить - меню должно работать в юзер моде, а агент должен быть один, но разрешать доступ и открываться в зависимости от прав текущего пользователя. Агент должен иметь возможность полного и ограниченного доступа независимо от имени кого он запущен.

Проверяем права текущего пользователя.

Дальше возможны четыре режима:

1. Разрешать всем - если юзер под админом и не установлен пароль, агент с полным доступом запускается в юзер моде.

2. Запрещать всем - независимо от прав, после ввода пароля агент с полным доступом запускается в юзер моде.

3. Разрешать только админам -  если юзер это юзер, запрос на запуск от имени админа и, если он прошел, агент с полным доступом запускается в админ моде.

4. Ограниченный доступ - если юзер это юзер и запуск от имени админа не прошел, агент с ограниченным доступом запускается в юзер моде.

Не знаю, понятно ли описал.

Сообщение было изменено SergSG: 12 Ноябрь 2018 - 22:42

[usverg]

агент с полным доступом запускается в юзер моде

Тогда вопрос, как быть с правами доступа, к примеру, к защищённым веткам реестра с настройками? Сейчас просто применена классическая схема с повышением прав. Дабы избавиться от "морганий окна" и оставить защиту от "шаловливых ручек", на мой взгляд, достаточно разделить интерфейс управления в агенте (который достаточно запускать с правами пользователя), от собственно полезной нагрузки, осуществляющей модификацию настроек (эта часть постоянно запущена с административными, пардон, "system" правами), и организовать между ними IPC (над логикой которого в плане безопасности надобно ещё помыслить),

Сообщение было изменено usverg: 13 Ноябрь 2018 - 09:26

[maxic]

SergSG, схема вполне рабочая.

[VVS]

IMHO вас куда-то не туда понесло.

Сделать бы юзабельным то, что есть, а уж потом можно бы и о улучшизмах поговорить.

[maxic]

VVS, всё в рамках дискурса 

[SergSG]

 

агент с полным доступом запускается в юзер моде

Тогда вопрос, как быть с правами доступа, к примеру, к защищённым веткам реестра с настройками?

 

Сейчас просто применена классическая схема с повышением прав. Дабы избавиться от "морганий окна" и оставить защиту от "шаловливых ручек", на мой взгляд, достаточно разделить интерфейс управления в агенте (который достаточно запускать с правами пользователя), от собственно полезной нагрузки, осуществляющей модификацию настроек (эта часть постоянно запущена с административными, пардон, "system" правами), и организовать между ними IPC (над логикой которого в плане безопасности надобно ещё помыслить),

Вы же не думаете, что агенту достаточно стартовать в админ моде, чтобы чего то писать в защищенные ветки?

Агент уже сейчас работает в связке с сервисом. Если что. Там уже давно обо все помыслили.

[Konstantin Yudin]

админ режим это искусственное ограничение. так же не хотелось бы терять связи с правами пользователя системы.

[SergSG]

админ режим это искусственное ограничение. так же не хотелось бы терять связи с правами пользователя системы.

Вы и без админ режима знаете под кем работает текущий пользователь. Так что, терять особо нечего.

[usverg]

Так что, терять особо нечего.

как минимум надо более или менее стандартным способом предупредить пользователя о возможных нежелательных последствиях его действий

что агенту достаточно стартовать в админ моде, чтобы чего то писать в защищенные ветки?

в любом случае, реализовано именно штатным (ровно по мсдн) способом

[SergSG]

 

Так что, терять особо нечего.

как минимум надо более или менее стандартным способом предупредить пользователя о возможных нежелательных последствиях его действий

Каких? Пользователю не все равно, с какими правами Доктор запускает свой GUI? Можете калькулятор запустить от админа, можете от юзера - что изменится?

 

 

 

что агенту достаточно стартовать в админ моде, чтобы чего то писать в защищенные ветки?

в любом случае, реализовано именно штатным (ровно по мсдн) способом

Безусловно. Только здесь абсолютно ничего не меняется. В нынешнем варианте созданы искусственные ограничения для юзер мода.

[usverg]

с какими правами Доктор запускает свой GUI

вроде как не калькулятор , и можно себе навредить более чем делением на ноль или запуском "%0|%0". Без предупреждения, можно программно открыть GUI и с размахом пощёлкать по кнопочкам в момент запуска скринсейвера.

[SergSG]

вроде как не калькулятор , и можно себе навредить более чем делением на ноль или запуском "%0|%0". Без предупреждения, можно программно открыть GUI и с размахом пощёлкать по кнопочкам в момент запуска скринсейвера.

Попробуйте сделать это сейчас в юзер модном агенте. Для этого там достаточно открытых функций.

[usverg]

SergSG, отключение защиты всё же попросит повышения и привлечёт внимание пользователя. Возможно, я неправ (каюсь, не безгрешен). Коли так, тогда пруф в студию.

Сообщение было изменено usverg: 13 Ноябрь 2018 - 19:03

[SergSG]

SergSG, отключение защиты всё же попросит повышения и привлечёт внимание пользователя. Возможно, я неправ (каюсь, не безгрешен). Коли так, тогда пруф в студию.

Зачем? Вы попробуйте с доступными в юзер моде функциями агента что то сделать. Не получится даже это.

 

Поймите наконец, админ мод и сейчас используется только для идентификации прав пользователя. Агент и сейчас один и тот же, независимо от админа или юзера он запущен. Ничего не меняется. Только логика условий, при которых агент открывает доступ к настройкам. И то не меняется, а слегка модифицируется. Переделок на пол часа работы.

[usverg]

SergSG, т.е. пруфа не будет? и как работают вещи вроде SilkTest,Sikuli и пр. Вы не в курсе (я к тому, что в пользовательском режиме то, что может нажать пользователь, может нажать и скрипт, написанный скрипт-кидди)?  а SIDы и GIDы всякие от лукавого? переход должен быть, должно быть привлечение внимания...

[usverg]

Агент и сейчас один и тот же, независимо от админа или юзера он запущен. Ничего не меняется. Только логика условий, при которых агент открывает доступ к настройкам.

он и должен быть тем же (не вспоминать же старые добрые времена и не "запихивать в MZ стаб второй образ"), а логика-то как раз и обеспечивает безопасность (хотя бы через запрос "повышения"). "Полноправный юзер-мод" GUI имеет смысл только в корпоративной среде с жёстким разграничением прав, для домашней машины - запрос должен быть

админ режим это искусственное ограничение. так же не хотелось бы терять связи с правами пользователя системы.

тут я полностью согласен с Константином.

[SergSG]

 

Агент и сейчас один и тот же, независимо от админа или юзера он запущен. Ничего не меняется. Только логика условий, при которых агент открывает доступ к настройкам.

он и должен быть тем же (не вспоминать же старые добрые времена и не "запихивать в MZ стаб второй образ"), а логика-то как раз и обеспечивает безопасность (хотя бы через запрос "повышения"). "Полноправный юзер-мод" GUI имеет смысл только в корпоративной среде с жёстким разграничением прав, для домашней машины - запрос должен быть

 

админ режим это искусственное ограничение. так же не хотелось бы терять связи с правами пользователя системы.

тут я полностью согласен с Константином.

 

Жалко, что другие производители АВ обо всем этом не знают. И M$, по ходу, тоже.

[Konstantin Yudin]

Зачем нам знать что знают другие? Это наша идея и наша логика, мы ее и эволюционируем от версии к версии. И считаем что без прав админа даже виртуальных нельзя менять настройки, это защита не только от юзеров но и от эмуляции вирусами. Хотя за эти годы уже спорно что UAC надёжней

[usverg]

но и от эмуляции вирусами

sic! вот и я о том же.