LINUX.ORG.RU
ФорумTalks

[hig гм] Улучшают-ли безопасность ОС / браузера сообщения о запуске опасного объекта?


0

0

Приветствую. В последних версиях популярных браузеров и операционных систем становится все больше сообщений о запуске потенциально опасного объекта с требованием от пользователя разрешить или запретить это действие.

Если я нашел плагин для firefox на оффсайте, а браузер спрашивает: "Доверяете-ли вы источнику?", я просто не знаю, зачем он это спросил. Мне нужен плагин и я никак не могу знать его издателя, конечно я отвечу "да". Так зачем об этом спрашивать? Другой пример, в файловом менеджере открыта директория со скриптами. Если попытаться запустить скрипт даблкликом, появится окно с вопросом "действительно-ли я хочу это выполнить?". Мне кажется, что надо просто различать производится-ли запуск в результате интерактивного действия пользователя - тогда надо без лишних сообщений сделать что просят, либо автоматически, например, сайт сам пытается незаметно поставить свой плагин - вот в этом случае надо об этом сообщить пользователю.

По моему мнению, это явное перекладывание всей ответственности за безопасность с разработчика программы на пользователя. Считаете-ли вы, что подобные сообщения действительно положительно влияют на безопасность программ?

★★★★
opera vs g. chrome
[нацпол] 2012 (фильм), разочарование.

>Если я нашел плагин для firefox на оффсайте, а браузер спрашивает: "Доверяете-ли вы источнику?"

Защита от автоустановок путём обмана пользователя, наложением ссылок /кнопок друг на друга, например.

Deleted
()

> надо просто различать производится-ли запуск в результате интерактивного действия пользователя - тогда надо без лишних сообщений сделать что просят, либо автоматически, например, сайт сам пытается незаметно поставить свой плагин - вот в этом случае надо об этом сообщить пользователю.

Как это делать?

Legioner ★★★★★
()

Ну в общем случае есть разные уровни опасности. На некритичных - можно и не спрашивать, всем и правда пофиг когда запускают какой-то скриптег или ставят плагин.
Однако есть и явные угрозы. Допустим исполняемые файлы с suid кого-нибудь поважнее юзера. Или же непроверенные сертификаты на сайтах оплаты и тд. То есть те случаи, когда потеря ценной информации и данных очень даже возможно - в этих случаях разумно спрашивать.

ixrws ★★★
()

Just use Konqueror, Luke!

Кстати, единственный браузер, спрашивающий разрешение на отправку файлов через форму.

DerKetzer
()

Согласен на 100% с этой идеей. Хотя, как мне кажется, это будет сложно в реализации. Кстати. в том же Windows при запуске екзешника предлагается посмотреть, имеет ли он сертификат. Т.е. с какой-то стороны может быть и полезно.

ucalculus
()
Ответ на: комментарий от Legioner

>Как это делать?

Нажал на кнопку - интерактивное действие. Не нажал - программа / сайт пытается сделать что-то сама.

>Ты вендузятник, что ли?

Нет. А ты?

ixrws: согласен. При оплате paypal или на на сайте банка доп. меры безопасности только в плюс. А на каждое простейшее действие выдавать запрос - безопасность выше не станет.

TuxR ★★★★
() автор топика
Ответ на: комментарий от TuxR

>Нажал на кнопку - интерактивное действие. Не нажал - программа / сайт пытается сделать что-то сама.

Да ты пропустил ту волну, где умные ребята друг над другом располагали элементы и люди думали, что жмут на одно, а срабатывало другое? :)

Deleted
()

Это известный факт: пользователи рано или поздно начинают класть на
*любые* запросы о безопасности. Поэтому не удался ActiveX, например.
Этим же Гугл оправдывает свою анальную централизацию в виде
Android Market.

Sphinx ★★☆☆
()
Ответ на: комментарий от TuxR

> Нажал на кнопку - интерактивное действие. Не нажал - программа / сайт пытается сделать что-то сама.

А если там написано одно а программа будет делать другое?

Legioner ★★★★★
()

>Мне кажется, что надо просто различать производится-ли запуск в результате интерактивного действия пользователя - тогда надо без лишних сообщений сделать что просят, либо автоматически, например, сайт сам пытается незаметно поставить свой плагин - вот в этом случае надо об этом сообщить пользователю.

Кабы всегда все так было! Тогда бы popup-блокеры работали в 100% случаев точно. Так нет ведь: то какой-нибудь popup пропустят, то, наоборот, нужный заблокируют, потому что им показалось, что он автоматически открылся. Приходится на самых важных кнопках писать: "Откроется в новом окне".

Так что пока не все хорошо с различением "автоматического" и "ручного" запуска действий. И если браузер будет устанавливать плагины "молча", вообще без предупреждений, это кончится большими проблемами.

И потом, действительно:

>А если там написано одно а программа будет делать другое?

Firefox требует только одно подтверждение перед установкой плагина - так без него и не обойтись. Так же поступает и большинство других браузеров и вообще программ, которые что-нибудь скачивают и запускают.

>По моему мнению, это явное перекладывание всей ответственности за безопасность с разработчика программы на пользователя.

Это перекладывание происходит еще раньше: в момент, когда пользователь соглашается запускать программу, на которую "THERE IS NO WARRANTY, EXPLICIT OR IMPLIED". А подобные сообщения - это просто предупреждение, что пулю, летящую в ногу, поймать не удастся.

proud_anon ★★★★★
()
Ответ на: комментарий от ixrws

Вообще-то расширения лисы имеют полный доступ к файловой системе и прочим интересным вещам (внутренностям этой самой лисы, интерфейсу) с правами того юзера, от которого лиса и запущена. Соответственно, если поставить экстеншен без спроса, то ты в один прекрасный момент можешь обнаружить, что у тебя потёрт $HOME или спи**ен пароль от банковской вебморды.

INFOMAN ★★★★★
()

По-моему, скрипты по клику должны открываться в текстовом редакторе, а не запускаться.

Xenius ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
opera vs g. chrome
Talks
[нацпол] 2012 (фильм), разочарование.