> Добрый день, > давайте сначала. > Я еще раз омечаю, что на этом форуме первый раз, и меня > поразил способ дискуссии. > Посмотрите сами "Морду бить..." , "Воровство решений..." , > а уж переход на личности...и т.д. Я же не отказываюсь
Выражение эмоций от недопустимых на мой взгляд действий. Причем я вижу такие действия не в первый раз и Вы попали в КЛАСС, к которому лично у меня отношение УЖЕ сформировано. И оно крайне негативное.
> обсуждать, но в нормальной форме. Кроме того, что задело, в > стороне от обсуждения осталась сама идея нашей разработки, > как эффективного способа противодействия инсайдерам. Вот > что бы обсудить.
А чего тут обсуждать. Я несколько раз уже написал, что всецело приветствую такое решение, ибо оно позволяет произвести дальнейшее сужение прав субъекта до минимума, необходимого ему при работе.
> Теперь оо запатентованном решении. Его основа - это > противодействие расширению привиллегий (об этом есть в моих > иных публикациях). Целью было запретить возможность > модификации системного диска пользователю System Проблема в > том, что ряд процессов (я уже отмечалл, winlogon, lsas и > еще 4-5 штук) должны обязательно иметь туда право записи, > иначе - синий экран - проверяли. Проблема в том, что ОС > предоставляет сервисы по запуску приложений с правами этого > пользователя, а невозможность разграничить для него права > (иначе будет запрет и для всех системных процессов, т.е. > синий экран) приводит к тому, что любая ошибка в приложении > (7например, переполнение буфера) приводит к получению > полным управлением компьютером.
Это понятно
> Запатентованное решение состоит в следующем. Пользователю > разгпаничиваются права доступа и процессу, запускаемому > этим пользователем, т.е. наследующему его маркер защиты, > причем разграничения для процессов могут быть > эксклюзивными. Другими словами, мы запрещаем запись
Я все еще надеялся, что ЗАПАТЕНТОВАЛИ Вы что то другое, в РЕАЛИЗАЦИИ же чужих идей вообще говоря нет ничего криминального. Готов поверить, что Вы за пять лет так и не посмотрели на текущее положение вещей (хотя первый раздел любой научной работы - исследование текущего состояния), в таком случае Ваш патент выглядит чуть менее чудовищно, но все равно достаточно нелицеприятно. Как Вы можете видеть, несколько групп разработчиков НЕЗАВИСИМО от Вас (просто потому, что они выложили РЕАЛИЗАЦИЮ своей идеи раньше, чем Вы подали заявку на патент - фактически обнародовали - свою) пришли к такому же результату. Это не впервые в истории как науки так и технологии, и означает лишь то, что идея назрела и нуждается лишь в вербализации. Таким образом, совершенно БЕЗ ВАШЕГО УЧАСТИЯ, эта идея может прийти в голову и кому либо еще, но Вы законодательно застолбили за собой монополию на нее.
В принципе, если Вы посмотрите мой первый пост, то бОльшую вину я возлагаю не на Вас, а на работников патентного бюро, которые позволили запатентовать уже обнародованную идею. Насколько я могу судить, идеи, выложенные в public domain, не могут быть объектом авторского законодательства.
> пользователю System в системный диск, а необходмым пяти > системным процессам разрешаем, вне прав этого пользователя. > Имеем, что любое приложение, запущенное с правами System не > может модифицировать системный диск (то же и с реестром > ОС). Вот Вам противодействие атакам на расширение > привилегий (включая атаки на сервисы олицетворения) в общем > виде.
Это прекрасно, я Вас отлично понимаю и согласен, что такое решение сильно сужает поле деятельности злоумышленника.
> Если Вы считаете, что встречались с подобным решение, > пожалуйста, укажите ссылку, где это решение описано, > посмотрим.
Я уже давал ссылки на решения, которые делают субъектом распределения прав процесс (идентифицируемый по образу, из которого он запускается), а не пользователя. То что там идея РЕАЛИЗОВАНА под linux, а у Вас - под Windows не может служить оправданием, ведь Вы закрепили за собой монополию на ИДЕЮ, а не на РЕАЛИЗАЦИЮ (опять таки, как я уже писал, против того, что Вы будете пожинать плоды своей работы над РЕАЛИЗАЦИЕЙ я ничего не имею).
Кроме этого, системы защиты, которые я привел умееют очень много. Жаль, что Вы не ознакомились с предметом своего исследования до проведения собственно исследования.
|