Sezeni spravce a prohlizec pod user pravy
Dobry vecer preju, zajimalo by mne, zda v pripade, ze z ruznych duvodu pracuji pod administratorskym uctem ve Win XP, zda ma nejaky smysl poustet takto prihlaseny pod adminem webovy prohlizec pod uzivatelem s user pravy (mam na mysli klik pravym na browser > spstit jako > vybrani uzivatele s user pravy).
Podle mě je to stejný, jako kdyby jsi ho spustil pod admin právy, protože (jen teoreticky), kdyby se ti do PC dostal nějaký vir/červ... tak se ti do systému dostane, poněvadž máš učet pod admin právy. Můžeš si zde na Poradně přečíst Vladimírovi články týkající se této problematiky.
Prave i tohle me napadlo, ale na druhou stranu pokud jede prohlizec pod user pravy tak by mela mit havet omezene moznosti se do systemu dostat ... kdyz se pak i presto dostane, tak to uz je samo asi jina, jelikoz bude moci operovat v prostredi s pravy admina.
Vladimirovy clanky znam, ovsem nevsiml jsem si ze tam popisuje neco takoveho na co se ptam.
jde to, proč by to nešlo? mám na ploše takového runas zástupce, kdybych nermomocí pod adminem potřeboval na net.
ostatně podobný vnucený způsob ochrany používá vista pro internet explorer.
ale s tím že člověk něco stáhne na disk, a přes správce souborů k tomu už přistupuje s administrátorskými právy, samozřejmě počítáš.
taky proto mi více vyhovuje pracovat v omezeném účtu, a jen pro oddělené operace si spouštím admošské prostředí v salamanderu.
Ze to jde je jasny, spise mne zajimalo zda to ma z bezpecnostniho hlediska (z pohledu moznosti "probiti" haveti do systemu pres browser) vubec nejaky smysl .... to, ze jak neco samovolne stahnu, uz si to muze operovat pod adminem s tim pocitam.
IMHO ne. Když ti do PC něco vlítne tak se to pustí pod tebou (adminem). Na user účtu máš stejné záplaty/firewall stejný jako admin takže ti tam vlítne setjná havěť, a jak ti tam vlítne tak jede pod adminem. Je to pouze podle mého názoru - můžou v tom být chyby, ale myslím, že to tak je
Kdyz vlitne tak je to jasny .... me spise zajima, zda prohlizec pod user pravy jako takovy tomu "vlitnuti" nejak muze zabranit nebo cela filosofie uctu pod userem je o tom, ze se to do systemu tak ci tak fyzicky dostane ale nanadela to tolik bordelu (v nejlepsim pripade zadny).
Jak jsem psal nahoře - IMHO má user stejný zabezpečení jako admin (firewall,záplaty). Nevím jak jsou tybreberky programovaný ale jestli tam budeš pod userem a bude naprogramovanej aby se zapsal do C:/Windows tak se nestáhne - hodí mu to chybu že nemá práva. To jsou ale debaty. NEvím co je jak programované...
Edit : Pokud máš náladu na to, ufrt klikat aby se tam hlásil jako user tak to tak dělat můžeš. Nic tim nezkazíš. Ale upřímně. Kolik virů ti tam vlítne tak, že se zrovna stáhnou ?? Myslím, že spíš ti tam vir vlítne tak, že ho tam rozbalíš třeba z nějakého STÁHNUTÉHO RARu. Ovšem když ho rozbalíš tak ho rozbaluješ pod amdinem - ADMIN PRÁVA.
V vytváření virů jsem fakt kozel na ledě - možná píšu blbosti, ale píšu to, co si myslím ....
ale kdyz se ta havet bude snazit zapsat do c:\windows napriklad ... povede se ji to pokud se o to bude snazit pres browser co bezi na user pravy?
To rozhodně ne
. Ale nevím o tom že by se vir přímo ztahoval aniž bys o tom věděl (znovu upozorňuji : v tomhle jsem kozel na ledě)
No. Možná pro tebe lepší, když počkáš příchodu někoho vzdělanějšího než já - všechno co jsem psal je můj názor a můžou tam být HRUBÉ CHYBY. Já mizím - počkej přichodu třeba kmochny, karla, eveninga - prostě těch co s tim uměj
no vsak jo, diskuse je otevrena
.. diky za postrehy, taky nevim jesli neplacam nejake krviny 
samotný prohlížeč zabezpečený je. i pokud mu nezakážu spouštět skripty - a prohlížeč je spuštěn s právy omezeného účtu - nemůže "malware-skript" spuštěný ze škodlivé stránky třeba zapsat do systémové části registru kam může jen admin.
ale přesto nejde o 100% ochranu, protože jsou běžné případy kdy si nějaká aplikace nebo url odkaz sám spustí prohlížeč, ten už samozřejmě neběží přes runas ale s tvými admošskými právy - a pokud si to neuvědomíš, rázem nejsi chráněn.
i když si stáhnu .rar archív a rozbalím ho, ještě se nemusím nutně zavirovat když tento vir nespustím (anebo nechť tedy tento power-admin používá antivir). ale riziko tu je, že i na hloupé rozbalování archívu z podezřelého zdroje jsem admin.
a nakonec tu jsou bezpečnostní chyby, které překonají něco co zdánlivě nikdy překonat neměly (zdravím třeba pány blastera a sassera, ale mají kámoše i z loňského roku). chyby má každá aplikace, natož celý systém, ale hustota zneužití ve windows je samozřejmě největší. pro takový červ/vir je pak prostředí s admošskými právy ideální.
furt mi proto vychází líp omezený účet, a jen některé kontrolované činnosti v extra spuštěném admošském prostředí, kdy jsem ale pozornější co dělám - a z tohoto prostředí nespouštím třeba žádné internetové prohlížeče.
Diky, myslim, ze vcelku vycerpavajici jasna odpoved
to jsem byl ja, pardon, nejak se mi tam vmestnalo do prezdivky neco jineho
ještě jen tak připadám odkaz na milovanou pálivou medvědici - je to sice nejhezčí a nejbezpečnější prohlížeč na světě, ale mouchy se najdou.
čili počítat s chybami se musí u každé aplikace, proto upřednostňuju utnout právům celému prostředí.
FF mi nejak neprirostl k srdci (hlavne proto, ze uzivatelske rozhrani toho programu mi prijde pomale), mam Operu ale chapu co chces rici
... diky
Má a velký. Podobně to funguje s IE ve Vistě. Když už pracuješ jako admin, tak IE spuštěný z tohoto účtuv podstatě nemá práva admina.
V XP funguje dědičnost práv u procesů, takže z prohlížeče spuštěného s právy usera, má i potenciálně spuštěný spyware práva usera, takže si ani neškrtne.
tak tak
uvahy typu:
su nezmyselne
Myslím že co tu chybí jasně vysvětlit je, jaký je rozdíl mezi síťovými červy typu sasser a jaký je rozdíl mezi běžným trojanem downloaderem který nemá žádný síťový "payload". Jakmile to lidi pochopí, přestanou si snad plést antvir a firewall navzájem.
aha. já měl červíka na mysli jako příklad zneužití chyby v systému, ale nedošlo mi že se to nehodí do threadu o uživatelských právech - nemá s nimi nic společného a zaviruje systém stejně (pokud mu pro změnu nestojí v cestě ten firewall, ale to se tu neřešilo).
takže sorry za matoucí příklad.
Chystám článek o virech vs. červech. Ale je to hloupé téma. Lidi chtějí slyšet něco, co všechno vyřeší bez toho, aby museli myslet. Když se jim řekne o uživatelském účtu, berou to jako magii co vyřeší všechno.
no ja te treba pochopil, sitoveho cerva browserem pod user pravy neovlivnim. Dle dalsi diskuse to chapu dale tak, ze kdyz se neco (trojan, spyware) samovolne spusti prostrednictvim browseru, treba nejakym zaskodnym scriptem na webu, ... tak to zdedi prava po browseru.
Už nevím, kde jsem to viděl, ale myslím, že přímo od Microsoftu se dal stáhnout nějakej program/nástroj, díky kterýmu se dal v admin účtu spouštět prohlížeč s omezenými právy, právě kvůli bezpečnosti. Pokud bys tedy na nějaké www stránce spustil škodlivý kód, měl by jen omezená práva, jako ten prohlížeč.
Takže tvůj nápad má smysl.