Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Вы внимательно читаете? Моя злоба направлена как раз... 06.12.05 15:02 Число просмотров: 3200
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> При правильном использовании такого быть не должно. А > вообще мне не особо понравилась идея ПОЛНОГО отказа от > виндовых DACL. Как по мне, такая система защиты должна > уметь только СУЖАТЬ права, а не расширять их. Таким > образом, если пользователю стандартными средствами > запрещена запись в определенный каталог, то дополнительный > слой защиты может к примеру запретить еще и чтение, но уж > никак не разрешать запись.
Тут и обсуждать нечего. Мне такой подход тоже не нравится.
> Выполняя предельный переход получим, что каждому процессу > нужно по пользователю и при правильной настройке прав это > будет идеальным вариантом. Опять таки воспользовавшись > бритвой Оккама отбросим ненужную мишуру (собственно, самого > пользователя) и получим, что с каждым процессом можно > напрямую сопоставить отдельный дескриптор защиты, минуя > всякие лишние звенья.
Это при параиноидальной защите. В приципе достаточно будет запрета на запись/модификацию тому, кому это не нужно.
> Сервисы можно запускать от имени любого зарегестрированного > пользователя уже сейчас.
Да, но если я назначу какому-либо сервису другую учетную запись с другими правами, не нарушу ли я какой-нибудь патент?
> Сегментную организации ОСеписатели очень не любят хотя бы > потому, что я не могу припомнить ни одного процессора, > кроме IA, поддерживающего ее. Наряду с требованием
Не скажу про исполнение, но чтение/запись/недоступность присутствует в подавляющем большинстве серьезных процессоров, начиная и PDP-11. Всякие 580/Z80 рассматривать не будем.
> переносимости использование сегментов становится > невозможным. И наоборот, во всех архитектурах (из известных > мне), кроме IA, защита от исполнения возложена на страницы > (хотя последние AMD вроде тоже научились это делать).
Ну правильно, не на сегменты, но и не на страницы, а на дескрипторы. Дескриптор описывает каждый кусок памяти, с которым программа может хоть что-то сделать.
|
|
|