>>А какая разница, где они находятся? Главное, что и я, и зловред,
>>внедрившийся в исполняемый браузером код, туда можем записать что-то. Если браузер
>>взломали, скажем, через ошибку в libjpeg, то следующая программа, которой я
>>открою этот файл (или просто файловым менеджером в папку зайду со
>>включённым показом превьюшек), скорее всего, схлопочет тот же stack code execution.
>
>совсем не факт :) $ sqlite3 /usr/local/share/sqlports "SELECT COUNT(*) FROM Ports WHERE LIB_DEPENDS GLOB '*jpeg*' OR WANTLIB GLOB '*jpeg*';"
320
$
И это лишь первый пришедший в голову пример. Уверен, что человек, съевший собаку на взломе чужих машин и задавшийся целью написать такой вот зловред, её достигнет. Возможно, у него на это уйдёт на это, скажем, в пять раз больше времени, чем в винде — пусть. Цели он своей достигнет, а дальше проблемы будут ваши.
>>MAC в большинстве случаев не ставит стену против взломщика, а лишь сужает
>>пролом. Если на сервере ещё как-то можно обычно поставить толковые ограничения,
>>то на десктопе найти универсальные политики по определению нереально.
>
>В корпоративной среде вполне реально,
При условии достаточной квалификации _постоянных_ админов, и наличии у них времени и желания этим заниматься.
> а для дома сойдут и какие-то обще-типовые варианты + сgroups.
Не сойдут. «Дома» все по жизни плюют на безопасность, взгляните в лицо реальности. Только гики, и то не все, знают и действительно себя берегут. Остальные — кто по незнанию, а кто и целенаправлено («мне бояться нечего, а вот игрушки не работают») отключают все защитные механизмы, как только они им начинают мешать. По опыту, те, кто всё же не отключает, компенсирует это сообразительностью вроде отсылки SMS на сайтах, обещающих тонны халявы.
>+, как я уже сказала, имхо, готовые правла для кучи приложений будут
>рулить.
>Зачем вот, например, mc возможность соединяться с портом 25 на удаленных машинах?
mc, может, и незачем. Но кто мешает запустить - абсолютно легально! - тот же dcop командой вроде той, что я приводил несколькими постами ранее? И посыпется спам с авторизованного ящика — прямо-таки счастье для спамера.
>Поэтому зачем нужно будет создателям ботнетов пытаться с этим справиться? Можно будет
>как и раньше мучать винду, на которую и патчи выходят после
>появления эсплойта в паблике, и куча людей метасплойтом умеет пользоваться (труд
>таких кодеров более дешев), и нет ничего подобного MAC: ломаем любой
>сервис под SYSTEM, и получаем SYSTEM привелегии :)
Ну, положим, если бы всё было так легко, вендекапец бы наступил давным-давно. :) А нужно, повторюсь, будет ломать то, что популярно. Это просто: ботнетам нужны компы, много компов. Вот и будут их собирать с самых распространённых платформ. Уж на что я люблю OpenBSD, но готов поспорить, что окажись он внезапно самой популярной ОСью на свете, и за его пользователей тоже примутся.
>>MS пробовали сделать роль Power Users — и что вышло?
>
>У MS проблема кучи legacy софта, написанного криво, и требующего, для работы,
>административных привелегий.
Эм, я вам про Фому, вы мне про Ерёму…
>[оверквотинг удален]
>вкус пользователя будет занимать у HelpDesk службы как и сейчас гораздо
>больше времени.
>После того, как всех немного поколбасит, будут и готовые сценарии для того
>же Puppet, и искоробочные решения вроде Sandbox (если что, я его
>еще не смотрела, но радует существование таких начинаний)
>
>>Например, я слабо представляю себе, как сделать MAC-политики для kdeinit, под
>>которым выполняется куча сервисов, а-ля services.exe в винде.
>
>В KDE, с интеграцией WebKit/khtml наступают, увы, на грабли Microsoft.
Наступают, не наступают, суть та же: MAC здесь бессилен.
>>А ещё домашние юзеры будут банально отключать MAC.
>
>Сперва, на первой волне, да. Но это не неповоротливый Microsoft, и не
>смотря на то, что Windows фанатики все еще будут вопить про
>вирусы в Linux, так вдруг окажется, что этим можно будет удобно
>пользоваться.
Ага. Если объяснить пользователям, как он работает. Только если сейчас с его настройкой зачастую не справляются специалисты, то что говорить про простых юзеров? Понимаете, что в итоге получится? Пару раз юзер тыркнется, обязательно напорется на собственный косяк, и тут добрая душа посоветует: «А отключи нафиг». Таким образом постоянно отключают фаерволы, антивирусы и прочее — всё, что мешает работать. Если же сделать такие средства защиты неотключаемыми, никто просто не будет пользоваться этой системой, а будет пользоваться другой, где они не включены и поэтому удобнее.
>+ еще будут удобные технологии вроде повсеместного выполнения таких приложений, как браузеры
>в контейнерах.
Угу, и дырки будут искать не только в браузерах, но ещё и в контейнерах.
>>К слову, вы и сами сказали, что MAC не пользуетесь,
>
>На десктопе не пользуюсь, так как сейчас нет смысла. Зачем обвешивать хижину
>на необитаемом острове амбарными замками, противопожарными системами безопасности, и пр?
Чтобы уметь ими пользоваться, когда понадобится, например. :)
>>и надеетесь,
>>что не придётся.
>
>Не совсем так: не хочу, что бы кто-то пытался проломить MAC на
>тех наших серверах, где он используется, а вдруг у него получиться?
>
>Но вот его наличие греет душу.
То есть вы говорите, что вам греет душу наличие механизма, на который не можете положиться?!
