February 2026

S M T W T F S
1234567
891011121314
15161718192021
22232425262728

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

айфон

stas: (Default)
[personal profile] stas
Friday, January 29th, 2010 06:05 pm

Я с продуктами Эпла вообще и с Айфонами в частности ни по работе, ни в быту практически не контактирую. Но тут до меня дошёл слух, что для того, чтобы разрабатывать софт для Айфона, надо покупать криптографический сертификат за сто баксов даже для того, чтобы запускать программы на собственном Айфоне. Это правда, что ли? И если да, то как они всё это издевательство терпят?
(да, я знаю про jailbreak и проч. - я хочу понять, правда ли, что так оно было задумано?)

Tags:
Flat | Top-Level Comments Only

[identity profile] meshko.livejournal.com
Sunday, January 31st, 2010 04:08 am (UTC)
Кстати тут я несогласен. Что значит что бы было, если бы все могли бы ставить любой софт на видноуз? Ты что, никогда не видел, во что превращается виндоуз в руках опытного домашнего пользователя? Вот это и было бы. И наоборот, если бы на обычной, не сломанной каким-нибудь хитрым способом Винде, нельзя было бы запускать анонимные программы, мы сейчас не имели бы ботнетов на миллион нодов. Жить было бы слегка спокойней. Скажем так: я считаю, что то, что они не продают открытой версии айфона и борются с jailbreak'ами -- свинство, но для обычного конечного пользователя закрытая система во многом лучше.

stas: (Default)
[personal profile] stas
Sunday, January 31st, 2010 04:17 am (UTC)
Это я понимаю, тупым людишкам нельзя доверят - везде бардак разведут. Надо, чтобы всем управляли Знающие Люди.

[identity profile] meshko.livejournal.com
Sunday, January 31st, 2010 04:23 am (UTC)
Опа. Я ж говорю, дать людям выбор, два режима работы ОС/телефона: открытый и закрытый. По умолчанию закрытый. Тебя SSL не раздражает, нет? Ничего что там Знающие Люди решают доверять серверу или нет?

stas: (Default)
[personal profile] stas
Sunday, January 31st, 2010 04:32 am (UTC)
Я думаю, ты имеешь в виду не SSL, а сертификаты, да? Там не знающие люди решают, там знающие люди мне говорят, что они проверили (или не проверили) этот сервер на принадлежность тому, кому он заявлен принадлежащим. А дальше я уже могу решать, что мне с этим знанием делать.
Впрочем, если кто-то желает себе на компьютере добровольно сделать такой режим, чтобы, не заплатив кому-то специально, нельзя было ничего установить - флаг ему в руки, я не против. Я считаю такое положение несколько дурацким - большинство вирусов сейчас обслуживаются двумя программами - Windows и MSIE. Никаких суперсертификатов и закрытых режимов, способных мановением волшебной палочки обезопасить пользователя от этой двойки, не было и нет. Тот, кто выдумает такой способ, станет очень богательнким - but I wouldn't hold my breath.
Но если кто сам желает - это пожалуйста. Видимо, фанбойцы Айфона таки желают. Флаг им в руки в таком случае.

[identity profile] meshko.livejournal.com
Sunday, January 31st, 2010 04:38 am (UTC)
Через IE получают доступ, но потом червь устанавливает свой исполняемый модуль. Если все исполняемые модули должны быть подписаны, проблема решена, нет?

stas: (Default)
[personal profile] stas
Sunday, January 31st, 2010 04:59 am (UTC)
Ничуть. Никакой такой особой сущности, называемой "исполняемый модуль", нет. Это зависит от интерпретации битиков на диске кернелом и платформой. Теперь, если в кернеле и платформе бежит ваш код, то кто определяет, кто тут модуль и чем он должен быть подписан? Ага.
Ну и - ты думаешь, водители ботнетов не смогут спереть один несчастный ключик у одного из тысяч девелоперов?

Нет, конечно, можно попробовать сделать многоуровневую систему разграничения с непробиваемыми уровнями доступа. Но возникнут следующие проблемы:
а. Висту с вопросами "вы уверены, что действительно хотите нажать кнопку, подтверждающую, что вы хотели нажать кнопку?" помним?
б. Система либо должна слишком много знать об MSIE, либо разрешить MSIE гонять внутри себя вирусы. Возможно, она сможет защитить другие программы от MSIE, но какая тебе разница, где именно будет бежать код, который украдет у тебя банковский пароль?
в. Что будет, если в самой системе баг? Ага.
г. Рано или поздно разработчки MSIE попросят от разработчков системы обеспечить им возможность делать одну крутую штуку, от которой все пользователи просто слюнями текут, и опять же ага.
и т.п. Т.е. от большинства путей, которыми сейчас распространяется всякое дерьмо, это никак не защитит.

[identity profile] meshko.livejournal.com
Sunday, January 31st, 2010 06:39 pm (UTC)
С какой стати IE будет иметь право менять ядро? Что, нельзя сделать так, что у пользователя есть право менять все настройки (чтобы не было как в Висте) но не было права менять системные (и вообще какие бы то ни было) программы?
Ключ сопрут -- revocation list.
Короче, я не хуже тебя понимаю, что нельзя сделать абсолютно надежную ОС общего назначения, вроде Винды. Но поднять планку вполне можно и этого достаточно для моих целей (не чистить вирусы с компьютеров родственников и знакомых раз в месяц). Оно уже через Фаерфокс поперло, кстати.

stas: (Default)
[personal profile] stas
Sunday, January 31st, 2010 08:36 pm (UTC)
Что, нельзя сделать так, что у пользователя есть право менять все настройки (чтобы не было как в Висте) но не было права менять системные (и вообще какие бы то ни было) программы

Нет, нельзя. Поскольку пользователи, гады такие, желают устанавливать на свои компьютеры новые программы. А все, что может сделать пользователь, может сделать и вирус, маскирующийся под пользователя. Плюс он еще знает три десятка дыр в системе безопасности, о которых (включая само существование этих систем) пользователь понятия не имеет.

Ключ сопрут -- revocation list.

Где? Кто его будет обновлять и проверять? Что делать с легитимными программами, подписанными этим ключом?

Но поднять планку вполне можно и этого достаточно для моих целей (не чистить вирусы с компьютеров родственников и знакомых раз в месяц).

Don't hold your breath. Это технически неразрешимая задача.

[identity profile] meshko.livejournal.com
Sunday, January 31st, 2010 11:12 pm (UTC)
Нет, нельзя. Поскольку пользователи, гады такие, желают устанавливать на свои компьютеры новые программы. А все, что может сделать пользователь, может сделать и вирус, маскирующийся под пользователя

Одно дел поменять настройки в реестре, другое -- поменять системную библиотеку. Одно разрешить, другое нет. Разрешить добавлять новые (подписанные) программы, не разрешать менять уже установленные.

Revocation list - часть windows update. То же самое -- с дырами в системе. Я прошу не 100% защиты для любой системы, я прошу 95% для системы с установленными патчами.

Don't hold your breath. Это технически неразрешимая задача.

Еще раз повторяю: на 100% решения нет, на 95% есть. То как есть сейчас меня не устраивает. Впрочем, может с Вистой и лучше стало, пока неизвестно.

stas: (Default)
[personal profile] stas
Monday, February 1st, 2010 03:27 am (UTC)
Одно дел поменять настройки в реестре, другое -- поменять системную библиотеку.

Это может оказаться одним и тем же делом, если настройка, например, говорит, откуда брать системную библиотеку.

Revocation list - часть windows update.

Ага-ага. Патчи к дырам в виндовсе - тоже часть windows update. Что не мешает ботнетам спокойно годами пользоваться этими дырами.

я прошу 95% для системы с установленными патчами.

Она уже есть. Не ставь неизвестных программ, конфигурируй файрвол, ходи в www под Firefox+NoScript. 95% это обеспечит.

Еще раз повторяю: на 100% решения нет, на 95% есть.

Можешь считать, что вирусы забираются через 5%, а не через 95%. Легче стало?
Flat | Top-Level Comments Only