Здравствуйте.
Мы большая организация, в которой используется внутреннее веб-приложение для расчетов с клиентами (в том числе и при личном контакте).
Наши операторы, общающиеся с клиентами, стали испытывать неожиданные проблемы с бесследным внезапным исчезновением Firefox прямо во время общения с клиентом через окошко. Это любого человека обескуражит и заставит неприятно нервничать, особенно если к окошку стоит очередь из людей (их тоже это заставит нервничать).
Версии Firefox Mozilla Firefox 31.6.0 ESR (x86 ru) в обоих нижеперечисленных случаях (да, известно что они устарели, но системы авто распространения и обновления софта у нас пока нет).
На сервере стояла версия, предшествующая версии ES 10 11-08-2016 04:00:00.
Выясняется, что падать начинает после автоматического обновления агента на версию 11. Нашел, что в логах появляется такое:
-----------------
2016-Aug-24 09:40:07.776418 [2604] [INF] [2136] [arkdll]
id: 4457, type: ShellGuard (50), flags: 1 (wait: 1), cid: 2988/1828:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
hips: type: 23, action: deny [5]
address: 0x2eaaa818
Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x0035E938
ECX = 0x2EAAA818
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x0035E8AC
EBP = 0x0035E8D4
ESI = 0x00000002
EDI = 0x05DA0AE0
ThreadId = 1828
Instruction address is 0x2EAAA818
signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 4457 ==> denied [5], time: 0.625811 ms
2016-Aug-25 09:40:02.585420 [2804] [INF] [event-manager] process_hips_event
2016-Aug-25 09:40:02.585420 [2816] [INF] [2296] [arkdll]
id: 3413, type: ShellGuard (50), flags: 1 (wait: 1), cid: 528/3692:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
hips: type: 23, action: deny [5]
address: 0x37ac6df0
Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x002CE2F8
ECX = 0x37AC6DF0
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x002CE26C
EBP = 0x002CE294
ESI = 0x00000002
EDI = 0x05F8BEE0
ThreadId = 3692
Instruction address is 0x37AC6DF0
signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 3413 ==> denied [5], time: 0.329648 ms
----------------------------
Наши операторы начинают массово жаловаться, что они не могут обслуживать клиентов, клиенты начинают жаловаться на нас, начинаются волнения в очередях, и .т.пп - в общем, очень неприятное напряжение начинается.
Внимание, вопросы
1. "DEP-triggered exception" - это то, что называется в новой версии сервера "Защита от Эксплойтов"?
2. чтобы ее отключить, надо сначала догадаться что сервер надо обновить до версии "11-08-2016 04:00:00.", потому что иначе в интерфейсе ее просто нет?
3. Почему эта функция срабатывает на _подписанном_ приложении из белого списка ( "status: db_cert_white_list, signed,") ?
4. сообщение в логе
-------------
2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] reinit excludes. Got 0 values
2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] Set ShellGuard status: disable
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects...
2016-Aug-25 09:51:48.135809 [2800] [INF] [HIPSObject] Total 156 values for protect
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects success
-----------------
говорит о том, что на этой станции эта защита отключена?
5. почему при попытке изменить эту настройку (версия сервера обновлена до "11-08-2016 04:00:00."), т.е. выбор в выпадающем списке значения "разрешать" и нажатие на кнопку "сохранить" появляется окно "эта страница просит вас подтвердить, что вы хотите уйти", и два выбора - остаться (ничего не меняется) и уйти - интерфейс управления пропадает и появляется json-список на пустом белом фоне такой:
-------------
http://drweb.samges.ru:9080/esuite/network/enterpriseagent.ds?editSettings=1
{"can_fade_out":true,"elements":["Операция успешно завершена"],"className":"info","personal":0,"with_fade_icon":true,"title":"SAMG103. Заданы персональные настройки."}
------------
И фиг поймешь, сохранилась настройка или нет. (на самом деле сохранилась).
6. ну и вопрос риторический - не могли бы вы осторожнее подходить к таким обновлениям, которые вводят новые функции, и не вызывать народных волнений более тщательным кодированием и тестированием ?
Прошу ответить так же попунктно, пожалуйста.
ЗЫ так же пришлось вносить в исключения другую специфичную для нас программу сторонней разработки, которая тоже перестала запускаться...