Linux хотят сделать «безопаснее»

0

1

http://www.opennet.ru/opennews/art.shtml?num=51345

Для этого такие компании Microsoft, Intel, IBM, Google объединилась в альянс под знаменами Linux Foundation и будут пихать в linux во все щели SGX и прочее trusted, чтобы в итоге можно было обрабатывать сквозным образом данные в зашифрованном виде. Это называется изоляцией данных в процессе вычислений. И все бы ничего, но к тому, что в недрах SGX обрабатывается не будет иметь доступ даже root.

Ссылка

←	Uncle Bob и Clojure

Китайцы представили процессор Intel Xeon с защитой от любых атак

→

С Debian уберут скорее всего.

~~Riniko~~ ★★
(23.08.19 20:54:55 MSK)

Ссылка

Ну и в чём проблема, если решения открыты?

к тому, что в недрах SGX обрабатывается не будет иметь доступ даже root

Да не, давайте сделаем стопицотую систему безопасности, которую можно отпердолить, получив права рута через очередную дыру. Очень нужная вещь, крайне необходимая!

Deleted
(23.08.19 21:03:40 MSK)
Последнее исправление: Deleted 23.08.19 21:04:39 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 23.08.19 21:03:40 MSK

Если кто-то получил доступ к ПК и знает рут, то безопасник и админ - такой себе.

~~Riniko~~ ★★
(23.08.19 21:11:44 MSK)

Ответ на: комментарий от Riniko 23.08.19 21:11:44 MSK

Канеш, ведь хороший безопасник и админ сами исправляют все уязвимости нулевого дня, причём за день до их выявления.

Deleted
(23.08.19 21:13:20 MSK)

Ответ на: комментарий от Deleted 23.08.19 21:13:20 MSK

Некоторым уязвимостям нужен физический доступ к ПК.

~~Riniko~~ ★★
(23.08.19 21:14:28 MSK)

Ответ на: комментарий от Riniko 23.08.19 21:14:28 MSK

Это возражение такое или просто сказал ради того чтобы что-то сказать?

Deleted
(23.08.19 21:15:14 MSK)

Ответ на: комментарий от Deleted 23.08.19 21:15:14 MSK

Да без разницы, можно двояко интерпретировать.

~~Riniko~~ ★★
(23.08.19 21:16:15 MSK)

Ссылка

Фигня, Китайцы сделали уже все за этих оболтусов Китайцы представили процессор Intel Xeon с защитой от любых атак

vasya_pupkin ★★★★★
(23.08.19 21:17:56 MSK)

Ссылка

Ответ на: комментарий от Deleted 23.08.19 21:15:14 MSK

Если есть физический доступ к ПК то можно запустить liveimg или просто вынуть накопитель и вытянуть все пароли и информацию, а что не вытянул, то потом утащить руткитом и по этой причине безопасность отдельного ПК при локальном доступе к нему не обсуждается.

torvn77 ★★★★★
(23.08.19 21:20:05 MSK)

Ответ на: комментарий от Riniko 23.08.19 21:11:44 MSK

Зачем вообще рут нужен? Если рабочая станция банально разлочена - ПК скомпрометирован, все важные данные на локальном ПК обычно лежат у самого юзера, или банально трояна скачал и все данные сливаются (хотя под шын10 хромой требовал пароль для операций с браузерным профилем и чтением паролей), вот такая вот «„„безопасность““» :)

https://imgs.xkcd.com/comics/authorization.png

~~FiXer~~ ★★☆☆☆
(23.08.19 21:37:44 MSK)
Последнее исправление: FiXer 23.08.19 21:40:18 MSK (всего исправлений: 2)

Ответ на: комментарий от FiXer 23.08.19 21:37:44 MSK

Зависит от степени технической грамотности и паранойи, админа и юзера. Обычно это один и тот же человек.

~~Riniko~~ ★★
(23.08.19 21:40:24 MSK)

Ссылка

Я еще могу понять эти всякие руты/защиты в продакшене на серверах и всяких заумных конторах, а безопасность данных обычного пользователя стремится к нулю, а ведроид/гугол вообще тырит воткрытую, а пользователь еще и говноед и сам сливает досье на себя в социалочках.

~~FiXer~~ ★★☆☆☆
(23.08.19 21:45:21 MSK)

Ответ на: комментарий от FiXer 23.08.19 21:45:21 MSK

Мы же на ЛОРе, тут есть параноики.

~~Riniko~~ ★★
(23.08.19 21:46:02 MSK)

Ссылка

Если весь нужный инструментарий для SGX будет в опенсурсе, с возможностью создавать свои защищенные окружения (вроде они назывались «анклавами») без «помощи» штеуд'а и мелкомягких - то это отличная вещь будет.

DawnCaster ★★
(23.08.19 22:20:48 MSK)

Ответ на: комментарий от Deleted 23.08.19 21:03:40 MSK

в root вся суть GNU/Linux.

если человек готов к решению ставить систему где невозможен root, то по мне так лучше этот человек вообще не будет приобретать компьютер; как вариант пользоваться им только по работе (т.е. на работе) или если это организация, то аутсорс.

Alexanderuser
(23.08.19 22:46:55 MSK)

Ссылка

Ответ на: комментарий от Deleted 23.08.19 21:03:40 MSK

Ну и в чём проблема, если решения открыты?

Больно хорошо все звучит. Или это шаг к дальнейшему огораживанию компьютера от пользователя. Сейчас неизвестно чем занимается Intel Me (AMT), AMD PSP, но эти штуки работают на отдельном маломощном процессоре, что все же сдерживает их возможности.

praseodim ★★★★★
(23.08.19 23:48:55 MSK) автор топика

Ответ на: комментарий от FiXer 23.08.19 21:37:44 MSK

https://imgs.xkcd.com/comics/authorization.png

а ну-ну, ведь у вас так и норовят ежеминутно ноутбук выдернуть из-под носа, пока вы в нём залогинены

рут нужен, чтобы очередной васян-калькулятор не мог нанести критичный ущерб

next_time ★★★★★
(24.08.19 00:47:16 MSK)

Ответ на: комментарий от Deleted 23.08.19 21:03:40 MSK

вообще, для ограничения прав рута есть SeLinux, но кто его использует...

next_time ★★★★★
(24.08.19 00:48:42 MSK)

Ссылка

Ответ на: комментарий от torvn77 23.08.19 21:20:05 MSK

если диск зашифрован, то ничего критичного не вытянешь

next_time ★★★★★
(24.08.19 00:49:34 MSK)

Ссылка

Ответ на: комментарий от Deleted 23.08.19 21:03:40 MSK

Ну да, ведь никогда не было дыр в хардварных системах безопасности. И интеловые анклавы не ломали. Интел и безопасность это вообще довольно далекие понятия, как показывает практика.

~~kirk_johnson~~ ★☆
(24.08.19 05:52:42 MSK)
Последнее исправление: kirk_johnson 24.08.19 05:54:18 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от next_time 24.08.19 00:47:16 MSK

норовят ежеминутно ноутбук выдернуть из-под носа

да банально скачать троянчик, или уязвимость браузера и всё, плакали данные

~~FiXer~~ ★★☆☆☆
(24.08.19 13:17:19 MSK)
Последнее исправление: FiXer 24.08.19 13:19:40 MSK (всего исправлений: 1)

Ответ на: комментарий от FiXer 24.08.19 13:17:19 MSK

вот чтобы троянчик ваши данные не слил и существует разграничение прав

next_time ★★★★★
(24.08.19 13:39:19 MSK)

Ответ на: комментарий от praseodim 23.08.19 23:48:55 MSK

А дальше прикрутить сюда systemD и сделать работу остальных дистров без системD невозможной на новых сверх безопасных процах.

Так же обязать пользователя подписывать договор о его безмерной радости и согласии на любые зонды типа IntelME.

~~simoshina~~
(24.08.19 16:52:58 MSK)

Ответ на: комментарий от simoshina 24.08.19 16:52:58 MSK

А еще петь песни хором, прославляющие великих вговняторов системГ.

~~simoshina~~
(24.08.19 17:50:39 MSK)

Ссылка

Ответ на: комментарий от praseodim 23.08.19 23:48:55 MSK

если что то делают intel & google это в любом случае будет в ущерб пользователям

BLOBster ★★★
(24.08.19 18:29:32 MSK)

Ссылка

Ответ на: комментарий от DawnCaster 23.08.19 22:20:48 MSK

только SGX закрытая проприетарная гадость да еще и дырявая

BLOBster ★★★
(24.08.19 18:30:33 MSK)

Ссылка

ты же можешь это не использовать. если ты не используешь проприетарщину, тебе это вообще не нужно. а так, в sgx можно загружать что тебе хочется. можешь свой собственный софт подписывать и проверять. правда, не очень понятно зачем.

Iron_Bug ★★★★★
(24.08.19 20:56:52 MSK)