информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медSpanning Tree Protocol: недокументированное применениеСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Вы внимательно читаете? Моя злоба направлена как раз... 06.12.05 15:02  Число просмотров: 2942
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> При правильном использовании такого быть не должно. А
> вообще мне не особо понравилась идея ПОЛНОГО отказа от
> виндовых DACL. Как по мне, такая система защиты должна
> уметь только СУЖАТЬ права, а не расширять их. Таким
> образом, если пользователю стандартными средствами
> запрещена запись в определенный каталог, то дополнительный
> слой защиты может к примеру запретить еще и чтение, но уж
> никак не разрешать запись.

Тут и обсуждать нечего. Мне такой подход тоже не нравится.

> Выполняя предельный переход получим, что каждому процессу
> нужно по пользователю и при правильной настройке прав это
> будет идеальным вариантом. Опять таки воспользовавшись
> бритвой Оккама отбросим ненужную мишуру (собственно, самого
> пользователя) и получим, что с каждым процессом можно
> напрямую сопоставить отдельный дескриптор защиты, минуя
> всякие лишние звенья.

Это при параиноидальной защите. В приципе достаточно будет запрета на запись/модификацию тому, кому это не нужно.

> Сервисы можно запускать от имени любого зарегестрированного
> пользователя уже сейчас.

Да, но если я назначу какому-либо сервису другую учетную запись с другими правами, не нарушу ли я какой-нибудь патент?

> Сегментную организации ОСеписатели очень не любят хотя бы
> потому, что я не могу припомнить ни одного процессора,
> кроме IA, поддерживающего ее. Наряду с требованием

Не скажу про исполнение, но чтение/запись/недоступность присутствует в подавляющем большинстве серьезных процессоров, начиная и PDP-11. Всякие 580/Z80 рассматривать не будем.

> переносимости использование сегментов становится
> невозможным. И наоборот, во всех архитектурах (из известных
> мне), кроме IA, защита от исполнения возложена на страницы
> (хотя последние AMD вроде тоже научились это делать).

Ну правильно, не на сегменты, но и не на страницы, а на дескрипторы. Дескриптор описывает каждый кусок памяти, с которым программа может хоть что-то сделать.
<site updates> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach