|
||||
|
||||
הוא היה יכול לשלוח סטטיסטיקה על הרגלי הגלישה שלך. זה כבר די מפחיד. אתה צריך להגביר את הבטיחות, אבל לא על חשבון הנוחות. עודף חלונות קופצים הם מתכון לאישור אוטומטי. לכן צריך להזהר בשימוש ברשימות לבנות. המחשב צריך להיות כלי שעוזר לך ולא כלי שאתה כל הזמן נלחם נגדו. ראיתי הרבה עבודה על דברים דומים. אבל לא משהו שמיש. אחד הסימנים למערכת אבטחה לא שמישה היא שביותר מדי מקומות באינטרנט ממליצים לך לבטל אותה כדי שתוכל לעבוד. שוב: קוד לא אמין לא צריך לרוץ על המערכת. תראה כמה אתה רוצה לסרס את המערכת כדי להמנע מאימוץ הרגלי עבודה נכונים. |
|
||||
|
||||
התוסף היה יכול לשלוח על הרגלי השימוש בו-עצמו. נקודה. אולי זה כולל את השעות ביממה בהן אתה גולש אבל לא לאילו אתרים. זה פחות מטריד אותי. אתה רוצה להגביר את הבטיחות "לא על חשבון הנוחות", ומצד שני אתה רוצה לגרום לי ולמאות מיליוני אחרים "לאמץ הרגלי עבודה נכונים". אם ההרגלים האלה היו נוחים כנראה כבר היינו מאמצים אותם. כתבתי קודם: חינוך מחדש - Ain't gonna happen. הסבתא שרוצה לראות תמונות של הנכדים תחיה עם זה שהיא לא יכולה להשתמש ביוטיליטיז לעריכת הרג'יסטרי. יכול להיות שיש מקום בשוק לכל מיני גרסאות של מערכות הפעלה: מערכות למשתמשים מתוחכמים עם הרבה אפשרויות פתוחות וסיכון גבוה, מערכות ברמת אבטחה גבוהה ומגבלות חמורות, מערכות שנמצאות באמצע. יכול להיות למשל שמערכת ברמה העליונה תהיה סגורה ותוכל להריץ רק אפליקציות מתוך רשימות לבנות עם מידור מלא ביניהן; מערכת ברמה האמצעית תוכל להעריך סיכון של אפליקציה בעזרת מנגנוני סינון (למשל, תרגום לקוד של הקווים המנחים שהצעת כאן קודם) מתוך הכרה בכך שבמקרים מסוימים קוד זדוני יעבור את הסינון - ובדרגה הנמוכה תהיינה מערכות דומות למה שיש היום, שהמשתמשים בהם ייאלצו לעשות את הסינון בעצמם. אני תוהה אם ניתן יהיה לכתוב בסיס קוד יחיד שישמש את כל הגרסאות האלה - אם לא זה כנראה לא ישים. אם "קוד לא אמין לא צריך לרוץ על המערכת" אז "המערכת צריכה לוודא שכל קוד שאמור לרוץ הוא אמין". להסתמך על הרגלים נכונים של משתמשים זה כמו להמנע מהתקנת חגורות בטיחות וכריות אויר ברכב; עם כל הרצון הטוב גם נהג זהיר מעורב לפעמים בתאונה - ולמרבה הצער לא חסרים גם נהגים לא זהירים. היית קונה רכב בלי חגורות וכריות מסוכן מכירות שהיה מנסה לשכנע אותך שכל התאונות מתרחשות רק משום שהחגורות האלה נותנות לאנשים תחושת בטחון מזויפת והם משתוללים על הכביש? |
|
||||
|
||||
הרגלי עבודה נכוים, לדוגמה: ע"י שינוי ממשק המשתמש. אתה מטיל על משתמשים מגבלות חמורות. השאלה היא מה יקרה כשהמשתמשים ינסו לעשות משהו מועיל שאתה לא מרשה להם? משתמש ברמת אבטחה "גן ילדים" יפנה למומחה השכונתי, וזה כמובן יפתור את הבעיה ע"י שינוי מצב המערכת לרמת "אוניברסיטה" (לא: לא מה ששמים לתינוקות). משתמשים לא צריכים להריץ קוד ממקורות לא אמינים. ממשק המשתמש לא צריך לעודד את זה שלא לצורך: * הנוהג הנפסד של הרצת תוכניות אוטומטית מסידי או כל דיסק אחר * הפצה של כל דבר כ"תוכנית". * מערכת אחידה להפצת עדכונים. מה שאתה מציע נשמע לי יותר קרוב להתקנת מיגון מאסיבי על הקירות מכיוון שאנחנו לא יכולים לראות מספיק טוב דרך החלון הקדמי. עדיף קודם לנקות את השמשות. הרעיון של זיהוי קוד זדוני כבר מצליח להכשל בעקביות רבה מזה זמן רב. מוצרי האנטי הזונים בד"כ מוצלחים בזיהוי הבעיות של אתמול. |
|
||||
|
||||
תיקון: מערכת אחידה להפצת עדכונים (אם היא עובדת היטב ואפשר לסמוך עליה) היא כמובן דבר טוב |
|
||||
|
||||
נניח שביצעת את שלוש ההצעות האלה (לא ברור לי איך מערכת אחידה להפצת עדכונים תעזור למנוע הרצה של קוד זדוני אבל זה לא משנה). אז אתה כבר לא מעודד אבל אתה בהחלט מאפשר את הקוד הזדוני. איך תמנע אותו הלאה? יש מספיק דרכים אחרות שהוא יכול להכנס מהן. כשאני מדבר על גרסאות שונות של המערכת אני לא מדבר על משהו שהמומחה השכונתי שלך יוכל לשחק איתו. אם אני ארגון גדול (נניח חברת תוכנה ממדינת וושינגטון שמעסיקה עשרות אלפי מתכנתים ברחבי תבל) אני מחלק לעובדים שלי לפטופים ואני מצפה שהם לא ישחקו איתם יותר מדי; אין לי ענין שהם יתקינו עליהם כל מה שמתחשק להם ויחדירו לי תולעים למערכת הארגונית (שלא לדבר על אפליקציות ריגול תעשייתי וכיו"ב). לכן הם יקבלו גרסה מאובטחת בקפידה - והדרך לעבור לגרסה אחרת תהיה הסרה והתקנה. גם הסבתא תוכל להתקין את הגרסה הזו ולהיות רגועה - מתוך ידיעה שהיא ויתרה על אפשרויות מסוימות. משתמש מתוחכם, נקרא לו צ"כ לצורך הענין, יוכל להתקין את הגרסה ברמת האבטחה הנמוכה ולשחק כמה שהוא רוצה. |
|
||||
|
||||
המערכת שאתה מציע לא תמנע זומבים. לא תמנע הפרת פרטיות. לא תמנע הרבה דברים אחרים. רוב המשתמשים יבטלו אותה כי היא תפריע להם. ואז היא בכלל לא תמנע כלום. אתה מנסה להקים המון מחסומים בפנים, במקום לשים גדר נורמלית. כשיהיה מימוש סביר למה שאתה מציע, יהיה על מה לדבר. בינתיים יש כבר מימוש למה שאני מציע (מערכות לינוקס) |
|
||||
|
||||
לסימביאן יש מימוש די דומה להצעה שלו. http://en.wikipedia.org/wiki/Symbian_OS |
|
||||
|
||||
כל תוכנית צריכה להיות חתומה (בנפרד) - מיקרוסופט עשו משהו דומה וזה נכשל מכיוון ששימוש בהתאם לכללים הגביל יותר מדי את מפתחי התוכנות. כבר כתבתי על כך. בסימביאן בונים על כך שהמפתחים הם פראירים שלהם. התצאה הברורה: פגיעה במפתחים הקטנים ובהצע התוכנה. |
|
||||
|
||||
מלבד התשלום ל-CA, אלו בעיות יש במנגנון של מיקרוסופט? |
|
||||
|
||||
איזה אחוז מהתוכנות שאתה מתקין חתומות? עוד בעיה: גם גרסאות ישנות עם חורי אבטחה ידועים נשארות חתומות. וזה בהנחה שממששים נכון פקיעה (revokation) של חתימות הצד השני של הבעיה הוא שאם קל מדי להשיג חותמת (סרטיפיקט), אי־אפשר באמת לסמוך עליה. לאחר שהחותמת ניתנה, אף אחד לא ממש טורח להמשיך לבדוק מה איתה. לכן המודל הריכוזי לא ממש עובד. לאתרים ברשת הוא נכשל: קל יותר מדי לקבל חותמת ועדיין עלות הרשיון מסבכת משתמשים פרטיים. בחיים אתה באופן כללי נוטה לסמוך על מי שאחרים אומרים לך שאפשר לסמוך עליו. אחד הנסיונות להשתמש בזה למחשבים הוא בחתימות עם PGP כדי שאני אתקין תוכנה, התוכנה צריכה לזכות באמוני. או שאני אבדוק בעצמי, או שאסמוך על בדיקות של אחרים. זה באופן כללי ובצורה לא פורמלית. בפועל מנגנוני החבילות בהפצות לינוקס השונות (אם נתעלם מהפרימיטביים יותר שלא כוללים חתימה) דורשים שהמחשב שלך יקבל את המפתח הציבורי שחתם על מאגר חבילות כדי להשתמש במאגר. כל אחד יכול ליצור לעצמו מפתח. לא על כל מפתח אני סומך. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |