|
|
 | Hvorfor anden konto - Vista
Fra : Ole Bole |
Dato : 17-01-08 23:16 |
|
Jeg har set flere steder at den konto jeg starter op i når jeg installerer
Vista, ikke bør benyttes i dagligdagen.
Hvorfor nu ikke det? Hvad kan det ske ved det?
Og skal jeg så have en anden konto og skal jeg så gennem en ekstra skærm når
jeg starter?
Hilsen Ole Bole
| |
 Axel Hammerschmidt (18-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 18-01-08 13:51 |
|
"Ole Bole" <fake@fake.fake> wrote in
news:478fd3c0$2$2086$edfadb0f@dtext02.news.tele.dk:
> Jeg har set flere steder at den konto jeg starter op i når jeg
> installerer Vista, ikke bør benyttes i dagligdagen.
>
> Hvorfor nu ikke det? Hvad kan det ske ved det?
Hvis installationen af Vista ligner den i XP, så vil den konto der
oprettes under installationen være en administrator konto. Sådan en konto
bør man kun benytte til administrative opgaver - installation af software
mm.
Ellers kan der ske alt.
> Og skal jeg så have en anden konto og skal jeg så gennem en ekstra
> skærm når jeg starter?
Det kommer vel an på hvordan din Vista er sat op til at starte nu?
Igen i XP, nej ikke nødvendigvis. Man kan vælge - jeg tror det hedder -
klassisk opstart mode. Men du bliver nød til at logge ind med et
password.
--
Bates Motel
Vacancy
| |
Ole Bole (19-01-2008)
| Kommentar
Fra : Ole Bole |
Dato : 19-01-08 10:42 |
|
"Axel Hammerschmidt" <hlexa@hotmail.com> skrev i meddelelsen
news:Xns9A298CE5F1C97hlexahotmailcom@62.243.74.163...
> "Ole Bole" <fake@fake.fake> wrote in
> news:478fd3c0$2$2086$edfadb0f@dtext02.news.tele.dk:
>
>> Jeg har set flere steder at den konto jeg starter op i når jeg
>> installerer Vista, ikke bør benyttes i dagligdagen.
>>
>> Hvorfor nu ikke det? Hvad kan det ske ved det?
>
> Hvis installationen af Vista ligner den i XP, så vil den konto der
> oprettes under installationen være en administrator konto. Sådan en konto
> bør man kun benytte til administrative opgaver - installation af software
> mm.
>
> Ellers kan der ske alt.
>
.....som for eksempel
> --
> Bates Motel
> Vacancy
PS. hils din mor
| |
 Axel Hammerschmidt (19-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 19-01-08 23:34 |
|
Ole Bole <fake@fake.fake> wrote:
<snip>
> > --
> > Bates Motel
> > Vacancy
>
>
> PS. hils din mor
Vi glæder os til at se dig 
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Ole Bole (20-01-2008)
| Kommentar
Fra : Ole Bole |
Dato : 20-01-08 10:31 |
|
"Axel Hammerschmidt" <hlexa@hotmail.com> skrev i meddelelsen
news:1iazl8y.1nr5xy51wpuhc0N%hlexa@hotmail.com...
> Ole Bole <fake@fake.fake> wrote:
>
> <snip>
>
>> > --
>> > Bates Motel
>> > Vacancy
>>
>>
>> PS. hils din mor
>
> Vi glæder os til at se dig
>
>
Tak - nu mangler jeg så bare at få et seriøst/konkret svar på mit spørgsmål
om:
Hvad der kan ske ved kun at benytte administratorkontoen i vista i det
daglige arbejde.
| |
Axel Hammerschmidt (20-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 20-01-08 18:14 |
|
Ole Bole <fake@fake.fake> wrote:
<snip>
> Hvad der kan ske ved kun at benytte administratorkontoen i vista i det
> daglige arbejde.
Hvis du bruger Windows Update og læser beskrivelserne af hvad de
forskellige sikkerheds "patches" til styresystemet går ud på, vil du i
de fleste tilfælde finde: "arbitrary code execution" og "privilege
escalation" som årsag.
En nærmere forklaring på det sidste finder du her:
< http://en.wikipedia.org/wiki/Privilege_escalation>
Når du benytter en konto med administrator rettigheder - om det så er
Administrator kontoen i Vista eller root kontoen i Unix - vil alt det du
foretager dig have højeste "privilege". Og det vil, lige som et
ikke-opdateret styresystem udgøre en sikkerhedsrisiko.
Det er hverken ønskeligt eller nødvendigt i det daglige arbejde.
Jeg sætter x-post til dk.edb.system.ms-windows - den gruppe, hvor tråden
her er startet - og til dk.edb.sikkerhed, uden FUT fordi det er mit
indtryk, at daglig brug af en administrator konto under Windows er ret
udbredt, og at der er virkelig brug for oplysning blandt Windows brugere
om hvor dumt det er at gøre det.
Det udgør som sagt en sikkerhedsrisiko for den pågældende Windows bruger
selv. Men det er osse en medvirkende årsag til bot-nets og spam, der
plager alle. Så det ville osse være en gevaldig fordel for alle hvis man
kunne få folk, der bruger Windows til at holde op med at bruge en
administrator konto til det daglige arbejde.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (20-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 20-01-08 18:45 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Når du benytter en konto med administrator rettigheder - om det så er
>Administrator kontoen i Vista eller root kontoen i Unix - vil alt det du
>foretager dig have højeste "privilege". Og det vil, lige som et
>ikke-opdateret styresystem udgøre en sikkerhedsrisiko.
Det er ikke rigtigt i det omfang, man kører UAC i Vista. Se mere:
her: http://en.wikipedia.org/wiki/User_Account_Control
Her er der netop lagt begrænsninger på administrator-medlemmerne,
så "priviligerede" operationer netop ikke kan udføres umiddelbart.
Det er klart, at det så stiller krav til brugeren om, at han/hun
ikke bare bevidstløst klikker OK til alt det, UCE spørger om. I
praksis er det dog hverken værre eller bedre end den dille, Linux
har fået med, at man bare skriver "sudo" foran alting, hvis det
ikke virker uden.
>Det udgør som sagt en sikkerhedsrisiko for den pågældende Windows bruger
>selv. Men det er osse en medvirkende årsag til bot-nets og spam, der
>plager alle. Så det ville osse være en gevaldig fordel for alle hvis man
>kunne få folk, der bruger Windows til at holde op med at bruge en
>administrator konto til det daglige arbejde.
Det ville altså også være ønskeligt, at folk, der kommer med råd,
sætter sig ind i det emne, de rådgiver om. Så kunne vi slippe af
med en masse snake-oil, FUD og besværet med at skulle rette alle
de forkerte påstande.
Mvh.
Klaus.
| |
Axel Hammerschmidt (20-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 20-01-08 19:56 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Når du benytter en konto med administrator rettigheder - om det så er
> >Administrator kontoen i Vista eller root kontoen i Unix - vil alt det du
> >foretager dig have højeste "privilege". Og det vil, lige som et
> >ikke-opdateret styresystem udgøre en sikkerhedsrisiko.
>
> Det er ikke rigtigt i det omfang, man kører UAC i Vista. Se mere:
> her: http://en.wikipedia.org/wiki/User_Account_Control
>
> Her er der netop lagt begrænsninger på administrator-medlemmerne,
> så "priviligerede" operationer netop ikke kan udføres umiddelbart.
Tsk! Du har forhåbentlig ikke noget med sikkerhed at gøre.
: UAC can be configured via security settings (secpol.msc). All
: configuration items are prefixed with "User Account Control". The
: following settings allow you to control UAC:
:
: Behaviour of the elevation prompt for administrators in admin approval
: mode.
:
: Turn off UAC (no prompt).
:
: <snip>
:
Den mulighed kan, som du nu kan se slås fra, fra administrator konto og
et er det første indgreb en ondsindet hacker laver.
> Det er klart, at det så stiller krav til brugeren om, at han/hun
> ikke bare bevidstløst klikker OK til alt det, UCE spørger om. I
> praksis er det dog hverken værre eller bedre end den dille, Linux
> har fået med, at man bare skriver "sudo" foran alting, hvis det
> ikke virker uden.
Det er noget helt andet. Det kræver hver gang en aktiv indsats fra
brugeren.
> >Det udgør som sagt en sikkerhedsrisiko for den pågældende Windows bruger
> >selv. Men det er osse en medvirkende årsag til bot-nets og spam, der
> >plager alle. Så det ville osse være en gevaldig fordel for alle hvis man
> >kunne få folk, der bruger Windows til at holde op med at bruge en
> >administrator konto til det daglige arbejde.
>
> Det ville altså også være ønskeligt, at folk, der kommer med råd,
> sætter sig ind i det emne, de rådgiver om. Så kunne vi slippe af
> med en masse snake-oil, FUD og besværet med at skulle rette alle
> de forkerte påstande.
Hvilke forkerte påstande tænker du på?
x-post: dk.edb.sikkerhed og dk.edb.system.ms-windows
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (20-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 20-01-08 20:40 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Her er der netop lagt begrænsninger på administrator-medlemmerne,
>> så "priviligerede" operationer netop ikke kan udføres umiddelbart.
>Tsk! Du har forhåbentlig ikke noget med sikkerhed at gøre.
Ganske meget endda.
>: Turn off UAC (no prompt).
>Den mulighed kan, som du nu kan se slås fra, fra administrator konto og
>et er det første indgreb en ondsindet hacker laver.
At slå UAC fra kræver, at man går gennem UAC for at få tilladelse
til at slå det fra. Medmindre du kan vise et proof-of-concept, går
jeg ud fra, at du erkender, det ikke (umiddelbart) er muligt.
Alt er naturligvis muligt i teorien, da intet system er 100% skud-
sikkert. Men med de briller på er din anbefaling om at køre som
ikke-administrator-bruger nøjagtig lige så dårlig som at bruge UAC.
[sudo]
>Det er noget helt andet. Det kræver hver gang en aktiv indsats fra
>brugeren.
Som udgangspunkt i Ubuntu:
| # Members of the admin group may gain root privileges
| %admin ALL=(ALL) ALL
Vi er jo ude i, at vi har noget malware kørende allerede; dit
scenarie snakker om "det første indgreb en ondsindet hacker laver".
Så hvad er til hinder for at snoope passwordet ud, mens brugeren
taster det ind i sin egen tty/pts for at lave noget administration?
Det kunne f.eks. være at tilføje et nyt katalog til Samba. Bingo -
hackeren har nu BRUGERENS password (ikke roots), og har dermed
adgang til at udføre enhver kommando som root. I baggrunden. Uden
at brugeren opdager noget.
Den har Vista faktisk tænkt på. UAC kører under Secure Desktop
som udgangspunkt, og det er ikke muligt at "automatisere" klik
på UACs prompts.
>Hvilke forkerte påstande tænker du på?
Dit manglende kendskab til UAC og din påstand om, at det er en
dårlig ide at køre som administrator under Vista (forudsat man
regner UAC for aktiveret). I denne artikel er tilføjet dit
manglende kendskab til moderne anvendelse af sudo.
Mvh.
Klaus.
| |
Axel Hammerschmidt (20-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 20-01-08 22:00 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >> Her er der netop lagt begrænsninger på administrator-medlemmerne,
> >> så "priviligerede" operationer netop ikke kan udføres umiddelbart.
>
> >Tsk! Du har forhåbentlig ikke noget med sikkerhed at gøre.
>
> Ganske meget endda.
Tja! Jeg er godt tilfreds med det ikke er hos mig.
> >: Turn off UAC (no prompt).
>
> >Den mulighed kan, som du nu kan se slås fra, fra administrator konto og
> >et er det første indgreb en ondsindet hacker laver.
>
> At slå UAC fra kræver, at man går gennem UAC for at få tilladelse
> til at slå det fra. Medmindre du kan vise et proof-of-concept, går
> jeg ud fra, at du erkender, det ikke (umiddelbart) er muligt.
>
> Alt er naturligvis muligt i teorien, da intet system er 100% skud-
> sikkert. Men med de briller på er din anbefaling om at køre som
> ikke-administrator-bruger nøjagtig lige så dårlig som at bruge UAC.
Og du ved ikke hvad folk laver, når de selv installerer Vista. Det er
proof-of-concept, hvis noget er det.
> [sudo]
>
> >Det er noget helt andet. Det kræver hver gang en aktiv indsats fra
> >brugeren.
>
> Som udgangspunkt i Ubuntu:
>
> | # Members of the admin group may gain root privileges
> | %admin ALL=(ALL) ALL
So what? at der begås dumheder er ikke noget godt argument for selv at
begå dumheder,
> Vi er jo ude i, at vi har noget malware kørende allerede; dit
> scenarie snakker om "det første indgreb en ondsindet hacker laver".
>
> Så hvad er til hinder for at snoope passwordet ud, mens brugeren
> taster det ind i sin egen tty/pts for at lave noget administration?
> Det kunne f.eks. være at tilføje et nyt katalog til Samba. Bingo -
> hackeren har nu BRUGERENS password (ikke roots), og har dermed
> adgang til at udføre enhver kommando som root. I baggrunden. Uden
> at brugeren opdager noget.
>
> Den har Vista faktisk tænkt på. UAC kører under Secure Desktop
> som udgangspunkt, og det er ikke muligt at "automatisere" klik
> på UACs prompts.
Sådan et argument, som du kommer med her hedder en "stråmand". Du
tilføjer selv en situation med nogle selvvalgte betingelser, som som du
så finder argumenter i mod.
Find et argument for at ikke bruge en konto med begrændede rettigheder i
det daglige i stedet for.
> >Hvilke forkerte påstande tænker du på?
>
> Dit manglende kendskab til UAC og din påstand om, at det er en
> dårlig ide at køre som administrator under Vista (forudsat man
> regner UAC for aktiveret). I denne artikel er tilføjet dit
> manglende kendskab til moderne anvendelse af sudo.
Forudsat man regner... fnis!
Mac OS X har brugt tilsvarende til UAC længe - og det er osse der et
almindeligt sikkerhedsråd, at oprette og bruge en konto med begrænsede
rettigheder til det daglige. Det, oprettelsen af en brugerkonto med
begrænsede rettigheder sker nemlig heller ikke der, hvis brugeren ikke
selv gør det.
Det forøger risikoen for skade, at bruge en konto med administrator
rettigheder til de daglive opgaver. Det er ikke FUD at skrive det. Det
er sund fornuft.
x-post: dk.edb.sikkerhed og dk.edb.system.ms-windows
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (20-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 20-01-08 22:09 |
|
Den 20-01-08 21.59 skrev Axel Hammerschmidt følgende:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>> Den har Vista faktisk tænkt på. UAC kører under Secure Desktop
>> som udgangspunkt, og det er ikke muligt at "automatisere" klik
>> på UACs prompts.
>
> Sådan et argument, som du kommer med her hedder en "stråmand". Du
> tilføjer selv en situation med nogle selvvalgte betingelser, som som du
> så finder argumenter i mod.
>
> Find et argument for at ikke bruge en konto med begrændede rettigheder i
> det daglige i stedet for.
Klaus anbefaler jo netop ikke at køre med ubegrænsede rettigheder. Han
fortæller dig tværtimod, at selv en administratorkonto i Vista har
begrænsede rettigheder (medmindre man selv slår AUC fra).
--
Mvh. Kim Ludvigsen
Få styr på nettrafikken med det gratis program Down2Home.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (20-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 20-01-08 22:38 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 20-01-08 21.59 skrev Axel Hammerschmidt følgende:
>
> > Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
> >> Den har Vista faktisk tænkt på. UAC kører under Secure Desktop
> >> som udgangspunkt, og det er ikke muligt at "automatisere" klik
> >> på UACs prompts.
> >
> > Sådan et argument, som du kommer med her hedder en "stråmand". Du
> > tilføjer selv en situation med nogle selvvalgte betingelser, som som du
> > så finder argumenter i mod.
> >
> > Find et argument for at ikke bruge en konto med begrændede rettigheder i
> > det daglige i stedet for.
>
> Klaus anbefaler jo netop ikke at køre med ubegrænsede rettigheder. Han
> fortæller dig tværtimod, at selv en administratorkonto i Vista har
> begrænsede rettigheder (medmindre man selv slår AUC fra).
Netop på grund af de der "medmindre" og "forudsat" - så er der ikke
noget argument for ikke at bruge konto med begrænsede rettigheder.
Og så har du klippet det "scenarie" væk som jeg henviser til.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (20-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 20-01-08 22:39 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Netop på grund af de der "medmindre" og "forudsat" - så er der ikke
>noget argument for ikke at bruge konto med begrænsede rettigheder.
Jeg tror, vi lader det være ved, at du ikke har forstået UAC. Jeg
kan altså ikke skære det mere ud i pap 
Mvh.
Klaus.
| |
Axel Hammerschmidt (21-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 21-01-08 00:01 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Netop på grund af de der "medmindre" og "forudsat" - så er der ikke
> >noget argument for ikke at bruge konto med begrænsede rettigheder.
>
> Jeg tror, vi lader det være ved, at du ikke har forstået UAC. Jeg
> kan altså ikke skære det mere ud i pap
Som jeg allerede har skrevet et par gange, så er Windows UAC stort set
det samme som den procedure der længe har været i OS X og det er stadig
der, i OS X alligevel et godt råd at bruge en konto med begrænsede
rettigheder til det daglige. Jeg har nu brugt OS X i snart 5 år, så det
er ikke nyt for mig, men nok for dig.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (20-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 20-01-08 22:28 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Og du ved ikke hvad folk laver, når de selv installerer Vista. Det er
>proof-of-concept, hvis noget er det.
Så er det jo netop godt, at UAC er default. Ergo er en default-
installation med Administrator-brugeren helt efter dit hovede:
man kører en konto med begrænsede rettigheder. Godtnok er man
medlem af administrator-gruppen, men det "problem" fikser UAC.
Jeg forstår så ikke helt, hvorfor du sidder og argumenterer MOD
dig selv... men det er nok fordi du ikke kendte til UAC.
>> | # Members of the admin group may gain root privileges
>> | %admin ALL=(ALL) ALL
>So what? at der begås dumheder er ikke noget godt argument for selv at
>begå dumheder,
Udfordringen her er, at dit forslag om en "begrænset" bruger i
praksis betyder, at Ubuntu-systemet her så er MERE sårbart end
hvis man kører som Administrator under Windows Vista med UAC.
Begge scenarier som default installs.
>Sådan et argument, som du kommer med her hedder en "stråmand". Du
>tilføjer selv en situation med nogle selvvalgte betingelser, som som du
>så finder argumenter i mod.
Jeg har ikke ændret dine forudsætninger. Om nogen er du stråmanden
i argumentet
>Find et argument for at ikke bruge en konto med begrændede rettigheder i
>det daglige i stedet for.
Der er sådan set to pointer i det:
For det første er det sådan, at Vista (og XP) er tiltænkt slut-
brugere. De har brug for fuld kontrol over deres hardware nu og
da - for eksempel når der skal installeres noget nyt. Hvis man
ikke kører som Administrator generelt, vil det betyde, at man
skal skifte mellem to konti: "sig selv" og Administrator, når
man skal pille.
Det er et scenarie, som måske én ud af tusind Windows-brugere kan
overskue. Hvilket efterlader 999 ud af hver tusinde maskiner som
"sitting ducks" uden UAC, fordi folk opgiver og alligevel bare
kører som Administrator. Det var det, vi så under Windows XP.
Derfor er UAC den geniale løsning på hele problematikken omkring
slutbrugere: nu kan i hvert fald NOGLE sikkerhedsproblemer stoppes,
fordi brugeren MÅSKE alligevel tænker sig om en ekstra gang. Uden
at det vel at mærke generer brugeren, og uden at brugeren er nødt
til at have det udvidede pc-kørekort for at kunne bruge Windows.
For det andet fordi at køre som Administrator er SIKRERE end at
køre som en begrænset bruger. I stedet for at malware og andre
spændende ting blot får et "nej" til det, de ønsker, får brugeren
nu eksplicit besked på, at et program ønsker at gøre "noget" med
ekstra privilegier.
Det er altså ikke muligt for noget malware at starte op og prøve
sig frem. Det er nødt til at starte op, tjekke om det umiddelbart
kører med Administrator-privilegier, og lukke pænt ned igen hvis
det ikke er tilfældet. Med en Administrator-konto med UAC får man
at vide, at der er malware på færde, hvis man IKKE kører med en
begrænset bruger.
Jeg siger ikke, at UAC er svaret på alt. Eneste svar på "alt" i
denne sammenhæng er at forbyde private pc'er. Jeg tror ikke på,
der er nogen mildere løsning overhovedet.
Men UAC er et rigtig godt skridt på vejen til at DÆMPE problemet
med malware. En af de lidt fjollede ting i den sammenhæng er - i
sikkerheds-professionelles øjne - at en begrænset bruger er mere
usikkert end en ubegrænset. I praksis, forstås. Og med UAC i gang.
>Det forøger risikoen for skade, at bruge en konto med administrator
>rettigheder til de daglive opgaver. Det er ikke FUD at skrive det. Det
>er sund fornuft.
....for dem der ikke har forstået UACs funktionalitet vil det se
sådan ud, ja.
Og i alle mulige andre sammenhænge (og operativsystemer) er det
da også helt korrekt.
Mvh.
Klaus.
| |
Axel Hammerschmidt (21-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 21-01-08 00:01 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Og du ved ikke hvad folk laver, når de selv installerer Vista. Det er
> >proof-of-concept, hvis noget er det.
>
> Så er det jo netop godt, at UAC er default. Ergo er en default-
> installation med Administrator-brugeren helt efter dit hovede:
> man kører en konto med begrænsede rettigheder. Godtnok er man
> medlem af administrator-gruppen, men det "problem" fikser UAC.
>
> Jeg forstår så ikke helt, hvorfor du sidder og argumenterer MOD
> dig selv... men det er nok fordi du ikke kendte til UAC.
UAC virker åbenbart irriterende og ender med at de slår det fra.
Undertråden her hedder "Ud med vista":
: Og hvis ikke man allerede var paranoid, så bliver man det i hvert fald
: efter installationen af Vista! "Ja, jeg vil gerne åbne
: kontrolpanelet". Jeg klikkede jo ligesom på ikonet af samme grund,
: ikke? "Ja, jeg er helt sikker på, at jeg gerne vil installerer program
: X". "Ja, jeg er også helt sikker på, at IE gerne må åbne den side, jeg
: lige har bedt den om at åbne". Arrrgh.
:
: /Henriette
< http://ing.dk/artikel/84498>
> >> | # Members of the admin group may gain root privileges
> >> | %admin ALL=(ALL) ALL
>
> >So what? at der begås dumheder er ikke noget godt argument for selv at
> >begå dumheder,
>
> Udfordringen her er, at dit forslag om en "begrænset" bruger i
> praksis betyder, at Ubuntu-systemet her så er MERE sårbart end
> hvis man kører som Administrator under Windows Vista med UAC.
>
> Begge scenarier som default installs.
Hvad viser endnu et tilfælde med dårlig sikkerhed? Intet.
<snip>
> >Find et argument for at ikke bruge en konto med begrændede rettigheder i
> >det daglige i stedet for.
>
> Der er sådan set to pointer i det:
>
> For det første er det sådan, at Vista (og XP) er tiltænkt slut-
> brugere. De har brug for fuld kontrol over deres hardware nu og
> da - for eksempel når der skal installeres noget nyt. Hvis man
> ikke kører som Administrator generelt, vil det betyde, at man
> skal skifte mellem to konti: "sig selv" og Administrator, når
> man skal pille.
>
> Det er et scenarie, som måske én ud af tusind Windows-brugere kan
> overskue. Hvilket efterlader 999 ud af hver tusinde maskiner som
> "sitting ducks" uden UAC, fordi folk opgiver og alligevel bare
> kører som Administrator. Det var det, vi så under Windows XP.
Det kan man ikke slutte, når de fleste har brugt Xp Home. Sikkerheden i
Home har været ikke-eksisterende.
> Derfor er UAC den geniale løsning på hele problematikken omkring
> slutbrugere: nu kan i hvert fald NOGLE sikkerhedsproblemer stoppes,
> fordi brugeren MÅSKE alligevel tænker sig om en ekstra gang. Uden
> at det vel at mærke generer brugeren, og uden at brugeren er nødt
> til at have det udvidede pc-kørekort for at kunne bruge Windows.
>
> For det andet fordi at køre som Administrator er SIKRERE end at
> køre som en begrænset bruger. I stedet for at malware og andre
> spændende ting blot får et "nej" til det, de ønsker, får brugeren
> nu eksplicit besked på, at et program ønsker at gøre "noget" med
> ekstra privilegier.
>
> Det er altså ikke muligt for noget malware at starte op og prøve
> sig frem. Det er nødt til at starte op, tjekke om det umiddelbart
> kører med Administrator-privilegier, og lukke pænt ned igen hvis
> det ikke er tilfældet. Med en Administrator-konto med UAC får man
> at vide, at der er malware på færde, hvis man IKKE kører med en
> begrænset bruger.
Så bliver de paranoide, som Henriette. Eller slår UAC fra.
> Jeg siger ikke, at UAC er svaret på alt. Eneste svar på "alt" i
> denne sammenhæng er at forbyde private pc'er. Jeg tror ikke på,
> der er nogen mildere løsning overhovedet.
>
> Men UAC er et rigtig godt skridt på vejen til at DÆMPE problemet
> med malware. En af de lidt fjollede ting i den sammenhæng er - i
> sikkerheds-professionelles øjne - at en begrænset bruger er mere
> usikkert end en ubegrænset. I praksis, forstås. Og med UAC i gang.
Nej. Svaret er at bruge en begrænset brugerkonto til det daglige.
> >Det forøger risikoen for skade, at bruge en konto med administrator
> >rettigheder til de daglive opgaver. Det er ikke FUD at skrive det. Det
> >er sund fornuft.
>
> ...for dem der ikke har forstået UACs funktionalitet vil det se
> sådan ud, ja.
Det har som sagt eksisteret længe i OS X og alligevel er det der et godt
råd, at køre med en brgrænset konto til hverdag.
> Og i alle mulige andre sammenhænge (og operativsystemer) er det
> da også helt korrekt.
Tak! Og det gælder i Mac OS X og selvfølgelig osse i Vista.
Det har intet med FUD at gøre.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (21-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 21-01-08 07:45 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Jeg forstår så ikke helt, hvorfor du sidder og argumenterer MOD
>> dig selv... men det er nok fordi du ikke kendte til UAC.
>UAC virker åbenbart irriterende og ender med at de slår det fra.
Du har fundet ét eksempel på én bruger, der er blevet paranoid.
Hvis jeg nu finder 9 med UAC, kan vi så konkludere, at 10% slår
det fra?
>Det kan man ikke slutte, når de fleste har brugt Xp Home. Sikkerheden i
>Home har været ikke-eksisterende.
Sikkerheden i XP Pro har været den samme som i XP Home, når vi
snakker hjemmebrug. Det er ikke så relevant at snakke om, hvorvidt
folk skal køre som Administartor eller ej på deres arbejde, for
der giver det sjældent mening.
>Så bliver de paranoide, som Henriette. Eller slår UAC fra.
.....siger én ud af 20 millioner brugere af Vista.
>> Men UAC er et rigtig godt skridt på vejen til at DÆMPE problemet
>> med malware. En af de lidt fjollede ting i den sammenhæng er - i
>> sikkerheds-professionelles øjne - at en begrænset bruger er mere
>> usikkert end en ubegrænset. I praksis, forstås. Og med UAC i gang.
>Nej. Svaret er at bruge en begrænset brugerkonto til det daglige.
Som jeg har beskrevet ovenfor, argumenterer du for, at folk skal
have den dårligst mulige sikkerhed, og at folk skal leve med at
have malware kørende på deres maskine, som de ikke kan opdage.
Hvis du synes, det er en god ide, kan jeg naturligvis ikke gøre
noget ved det.
Bemærk at der ikke er nogen i gruppen, der har modsagt mig. Det er
da lidt påfaldende, hvis jeg sidder og siger noget vås?
>Det har som sagt eksisteret længe i OS X og alligevel er det der et godt
>råd, at køre med en brgrænset konto til hverdag.
Venligst dokumentér at OS X har samme funktionalitet som Vista
i form af Secure Desktop. Ellers har OS X jo langt dårligere
beskyttelse af privilege escalation end Vista.
>> Og i alle mulige andre sammenhænge (og operativsystemer) er det
>> da også helt korrekt.
>Tak! Og det gælder i Mac OS X og selvfølgelig osse i Vista.
Som sagt: du mangler at dokumentere ligheden mellem MacOS og Vista
på Secure Desktop-siden.
Mvh.
Klaus.
| |
Kim Ludvigsen (21-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 21-01-08 10:51 |
|
Den 21-01-08 07.44 skrev Klaus Ellegaard følgende:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
>>UAC virker åbenbart irriterende og ender med at de slår det fra.
>
> Du har fundet ét eksempel på én bruger, der er blevet paranoid.
> Hvis jeg nu finder 9 med UAC, kan vi så konkludere, at 10% slår
> det fra?
Der har været flere i Windowsgruppen, der har fortalt, at de har slået
UAC fra. Men det er nok stadig kun et fåtal af samtlige brugere. Jeg
frygter mere, at brugerne vænner sig til blot at klikke OK, hver gang
UAC'en blokerer.
UAC er smart, men der er et par ulemper. Den måtte gerne have været lidt
mere intelligent, så den ikke blokerer så tit, og når den blokerer burde
beskederne have været mere forståelige.
Og så ville det nok også have været smart, hvis man ikke havde bundet
UAC og IEs beskyttet tilstand sammen. Slår man UAC fra, slår man også
Beskyttet tilstand fra. De burde kunne fungere uafhængigt.
--
Mvh. Kim Ludvigsen
Oversigt over alle de praktiske tastaturgenveje i Windows.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (21-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 21-01-08 17:49 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >> Jeg forstår så ikke helt, hvorfor du sidder og argumenterer MOD
> >> dig selv... men det er nok fordi du ikke kendte til UAC.
>
> >UAC virker åbenbart irriterende og ender med at de slår det fra.
>
> Du har fundet ét eksempel på én bruger, der er blevet paranoid.
> Hvis jeg nu finder 9 med UAC, kan vi så konkludere, at 10% slår
> det fra?
Man kan slutte, at du gerne stiller dumme spørgsmål.
Jeg har ikke bare fundet et eksempel på een bruger der UAC fra, jeg har
fundet en beskrivelse af hvorfor UAC ender med at blive slået fra.
> >Det kan man ikke slutte, når de fleste har brugt Xp Home. Sikkerheden i
> >Home har været ikke-eksisterende.
>
> Sikkerheden i XP Pro har været den samme som i XP Home, når vi
> snakker hjemmebrug. Det er ikke så relevant at snakke om, hvorvidt
> folk skal køre som Administartor eller ej på deres arbejde, for
> der giver det sjældent mening.
Pro er væsentlig mere sikkert end Home - osse for en hjemmebruger. Det
sidste du skriver her er irrelevant.
> >Så bliver de paranoide, som Henriette. Eller slår UAC fra.
>
> ....siger én ud af 20 millioner brugere af Vista.
....der peger på det uhensigtsmæssige ved UAC i Vista.
> >> Men UAC er et rigtig godt skridt på vejen til at DÆMPE problemet
> >> med malware. En af de lidt fjollede ting i den sammenhæng er - i
> >> sikkerheds-professionelles øjne - at en begrænset bruger er mere
> >> usikkert end en ubegrænset. I praksis, forstås. Og med UAC i gang.
>
> >Nej. Svaret er at bruge en begrænset brugerkonto til det daglige.
>
> Som jeg har beskrevet ovenfor, argumenterer du for, at folk skal
> have den dårligst mulige sikkerhed, og at folk skal leve med at
> have malware kørende på deres maskine, som de ikke kan opdage.
>
> Hvis du synes, det er en god ide, kan jeg naturligvis ikke gøre
> noget ved det.
Du kan åbenbart godt li' at bruge stråmænd.
> Bemærk at der ikke er nogen i gruppen, der har modsagt mig. Det er
> da lidt påfaldende, hvis jeg sidder og siger noget vås?
Eller de gider ikke kommentere dit vrøvl.
> >Det har som sagt eksisteret længe i OS X og alligevel er det der et godt
> >råd, at køre med en brgrænset konto til hverdag.
>
> Venligst dokumentér at OS X har samme funktionalitet som Vista
> i form af Secure Desktop. Ellers har OS X jo langt dårligere
> beskyttelse af privilege escalation end Vista.
Hvorfor skal jeg nu osse det? Nej, det er skam dig der mangler at
dokumentere, at fravær af (an additional security feature called...)
Secure Desktop gør OS X langt dårligere end Vista.
< http://blogs.techrepublic.com.com/Ou/?p=450>
: Windows Vista UAC (User Account Control) has an additional security
: feature called Secure Desktop that hardens the UAC privilege
: escalation prompt, but some people seem to be upset with this feature
: because they say it's annoying.
Og på grund af det sidste vil mange slå UAC fra, men fortsat bruge
kontoen med administrator rettigheder.
> >> Og i alle mulige andre sammenhænge (og operativsystemer) er det
> >> da også helt korrekt.
>
> >Tak! Og det gælder i Mac OS X og selvfølgelig osse i Vista.
>
> Som sagt: du mangler at dokumentere ligheden mellem MacOS og Vista
> på Secure Desktop-siden.
Igen, UAC! Samme link som tidligere:
< http://blogs.techrepublic.com.com/Ou/?p=450>
: Vista and Mac OS X (as well as any version of UNIX) will ALL prompt
: for privilege escalation any time you try to install software, and
: that's how desktop operating systems should work.
Det var ligheden. Så forsætter han:
: Windows XP and prior didn't have graceful mechanisms for handling
: privilege escalation and they forced you to log out and back in if you
: wanted to run without administrator mode, so not very many people
: implemented it.
Men det er en dårlig begrundelse for ikke at benytte en konto med
begrænsede rettigheder i det daglige. Brug af "privilege escalation" -
eller administratorrettigheder - er slet ikke nødvendig ved daglig brug.
Windows XP Pro har i øvrigt en virkelig dårlig "feature" under
installationen. Den bruger konto man ikke kan undgå at skulle oprette
bliver en konto med administrator rettigheder.
Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
konto med begrænsede rettigheder til det daglige arbejde, af
sikkerhedsmæssige årsager. Så er der ikke noget at raffle om uanset om
brugeren selv har slået UAC fra fordi det er "annoying" eller en
ondsindet hacker har - f.eks med social engineering.
< http://en.wikipedia.org/wiki/Social_engineering_(computer_security)>
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (21-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 21-01-08 20:30 |
|
Den 21-01-08 17.48 skrev Axel Hammerschmidt følgende:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
> : Windows Vista UAC (User Account Control) has an additional security
> : feature called Secure Desktop that hardens the UAC privilege
> : escalation prompt, but some people seem to be upset with this feature
> : because they say it's annoying.
>
> Og på grund af det sidste vil mange slå UAC fra, men fortsat bruge
> kontoen med administrator rettigheder.
Hvis de nu slår UAC fra, fordi funktionen er irriterende, hvorfor tror
du så, de vil synes, det er mindre irriterende at skulle logge ind som
administrator i stedet for at kunne nøjes med at klikke på OK?
Jeg synes ikke, UAC er perfekt, men det er da helt klart nemmere for
brugeren end en konto uden administratorrettigheder. Det allernemmeste
er selvfølgelig at køre med administratorrettigheder og uden AUC, men
det er der jo nok ikke mange, der vil anbefale i denne gruppe
(sikkerhedsgruppen).
> Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
> konto med begrænsede rettigheder til det daglige arbejde, af
> sikkerhedsmæssige årsager.
Og det er jo netop det, UAC sørger for. Hvis en bruger slår UAC fra,
fordi det er irriterende, så kan du være temmelig sikker på, at den
samme bruger heller aldrig ville bruge en begrænset konto, fordi det
ville være endnu mere irriterende.
--
Mvh. Kim Ludvigsen
Få nyheder serveret med RSS-læseren Feedreader.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (25-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 25-01-08 04:08 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 21-01-08 17.48 skrev Axel Hammerschmidt følgende:
> > Klaus Ellegaard <klausellegaard@msn.com> wrote:
> >
> > : Windows Vista UAC (User Account Control) has an additional security
> > : feature called Secure Desktop that hardens the UAC privilege
> > : escalation prompt, but some people seem to be upset with this feature
> > : because they say it's annoying.
> >
> > Og på grund af det sidste vil mange slå UAC fra, men fortsat bruge
> > kontoen med administrator rettigheder.
>
> Hvis de nu slår UAC fra, fordi funktionen er irriterende, hvorfor tror
> du så, de vil synes, det er mindre irriterende at skulle logge ind som
> administrator i stedet for at kunne nøjes med at klikke på OK?
Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
kun nødvendigt ved systemvedligehold. Når man kører som administrator
til daglig er systemet ellers så åbent, at det er nødvendigt med alle de
advarsler fordi det kunne gå galt i så mange flere tilfælde end hvis
brugeren kun kører med en begrænset konto.
> Jeg synes ikke, UAC er perfekt, men det er da helt klart nemmere for
> brugeren end en konto uden administratorrettigheder. Det allernemmeste
> er selvfølgelig at køre med administratorrettigheder og uden AUC, men
> det er der jo nok ikke mange, der vil anbefale i denne gruppe
> (sikkerhedsgruppen).
Det er ikke nogen god løsning, osse fordi katastrofen kun befinder sig
et sorgløs klik væk. Man kan f.eks læse forkert i dialogboksen.
Har du aldrig klikket på noget i OS/2, hvor du bagefter var glad for at
du ikke sad ved en computer med Windows 95, -98 eller -Me?
Jeg har, i tilfælde hvor jeg sad ved en computer med (det gamle) Mac OS.
> > Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
> > konto med begrænsede rettigheder til det daglige arbejde, af
> > sikkerhedsmæssige årsager.
>
> Og det er jo netop det, UAC sørger for. Hvis en bruger slår UAC fra,
> fordi det er irriterende, så kan du være temmelig sikker på, at den
> samme bruger heller aldrig ville bruge en begrænset konto, fordi det
> ville være endnu mere irriterende.
Jeg er ikke enig i at skift af konto overhovedet er irriterende. Der går
uger mellem her hos mig hvor det ikke er nødvendigt at ændre på noget i
OSet og bruge administrator kontoen.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 08:00 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
>kun nødvendigt ved systemvedligehold.
Har du prøvet i praksis? Personligt klikker jeg på en UAC-boks et
par gange om dagen. Det er ikke så tit, at UAC bliver generende.
Hvis jeg i stedet skulle skifte til at køre som Administrator
(eller RunAs eller lignende), ville det da være 1000 gange mere
generende. I det tilfælde ville jeg være meget fristet til bare
at skifte til at køre som Administrator.
Microsoft selv siger, at man skal køre som en begrænset bruger,
og at Administrator med UAC netop er defineret som en sådan.
>Det er ikke nogen god løsning, osse fordi katastrofen kun befinder sig
>et sorgløs klik væk. Man kan f.eks læse forkert i dialogboksen.
Det gør den ikke, når du et par gange om dagen skifter til en
fuld Administrator-konto?
>Jeg er ikke enig i at skift af konto overhovedet er irriterende. Der går
>uger mellem her hos mig hvor det ikke er nødvendigt at ændre på noget i
>OSet og bruge administrator kontoen.
Det er nok fordi du sammenligner æbler (MacOS) og pærer (Vista).
Jeg har haft en pc med Vista siden RC1, som jeg bruger hver dag.
Siden RTM udkom har jeg haft Vista på 3 pc'er, jeg bruger dagligt.
Hvad med dig? Har du overhovedet nogen praktisk erfaring med det,
du sidder og sludrer om her? Det lyder bestemt ikke sådan.
Mvh.
Klaus.
| |
Kim Ludvigsen (25-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 25-01-08 09:24 |
|
Den 25-01-08 04.07 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>> Hvis de nu slår UAC fra, fordi funktionen er irriterende, hvorfor tror
>> du så, de vil synes, det er mindre irriterende at skulle logge ind som
>> administrator i stedet for at kunne nøjes med at klikke på OK?
>
> Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
> kun nødvendigt ved systemvedligehold.
Vil det sige, at man med en begrænset brugerkonto får lov til ting, som
stoppes af UAC i en administratorkonto? Kan du give nogle eksempler?
> Har du aldrig klikket på noget i OS/2, hvor du bagefter var glad for at
> du ikke sad ved en computer med Windows 95, -98 eller -Me?
OS/2 benytter ikke begrænsede konti, brugeren har lov til /alt/.
> Jeg er ikke enig i at skift af konto overhovedet er irriterende. Der går
> uger mellem her hos mig hvor det ikke er nødvendigt at ændre på noget i
> OSet og bruge administrator kontoen.
Jeg skriver med en ældre dame, som jeg indimellem hjælper. Hun fik ny
computer med Vista, og jeg spurgte, om hun slet ikke følte det generende
med UAC-advarslerne, men det gjorde hun ikke. Hun ser dem heller aldrig.
--
Mvh. Kim Ludvigsen
Stor trin for tin-guide til opsætning og brug af Internet Explorer 7.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (27-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 27-01-08 18:10 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 25-01-08 04.07 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
> >> Hvis de nu slår UAC fra, fordi funktionen er irriterende, hvorfor tror
> >> du så, de vil synes, det er mindre irriterende at skulle logge ind som
> >> administrator i stedet for at kunne nøjes med at klikke på OK?
> >
> > Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
> > kun nødvendigt ved systemvedligehold.
>
> Vil det sige, at man med en begrænset brugerkonto får lov til ting, som
> stoppes af UAC i en administratorkonto? Kan du give nogle eksempler?
Næh. Hvorfor skulle det være relevant? Man sidder da ikke og laver
systemvedligehold dagen lang.
Tænker du på når man f.eks åbner for logbog i Systemadministration og
kigger i Program- eller System log? Det kræver ikke
administratorrettigheder i XP Pro. Brokker UAC sig i Vista?
Jeg bruger administrator kontoen ca en gang om måneden, til Windows
Update og resten af tiden en begrænset bruger konto til Office
programmer, WWW og det løse.
> > Har du aldrig klikket på noget i OS/2, hvor du bagefter var glad for at
> > du ikke sad ved en computer med Windows 95, -98 eller -Me?
>
> OS/2 benytter ikke begrænsede konti, brugeren har lov til /alt/.
Ja, men med tilfældet (med OS/2 - stort set al malware er til Windows)
efterlyser jeg evt erfaringer hos dig med hvor nemt det alligevel er at
få dig til at klikke på dialogbokse.
Mit ynglingseksempel er en e-mail der ankommer som en Returned Mail
Notification med en besked om, at den pågældende besked kan læses på din
udbyders server og med et link, der ser ud som at det fører til en
server hos udbyderen. Mailen er i HTML og linket peger i virkeligheden
længere nede i den mail man sidder med åben, til en vedlagt fil til
mailen. Klikker på man linket, for at komme hen til udbyderens server og
læse hvad det drejer sig om - det er vel ret naturligt - eksekveres
programmet i den vedlagte fil i stedet for.
Sådan een har jeg selv klikket på i Mac OS. Filen var en .exe fil. Jeg
kan ikke lige huske hvad virusen hed, men jeg op-loadede filen til min
Hotmail konto og gik ind og ville hente filen ned igen og det blev
blokeret af Hotmails anti-virus funktion - Trend tror jeg det var. Den
var god nok, den var ikke "god".
Siden har jeg åbnet e-mails med vedlagte file i Windows med enten
Outlook Express, højre-klikke i oversigten -> Egenskaber -> faneblad
Detaljer -> Meddelseskilde og vurderet om den er sikker. Eller Eudora,
hvor man får direkte adgang til kilden gennem en menu-valg.
> > Jeg er ikke enig i at skift af konto overhovedet er irriterende. Der går
> > uger mellem her hos mig hvor det ikke er nødvendigt at ændre på noget i
> > OSet og bruge administrator kontoen.
>
> Jeg skriver med en ældre dame, som jeg indimellem hjælper. Hun fik ny
> computer med Vista, og jeg spurgte, om hun slet ikke følte det generende
> med UAC-advarslerne, men det gjorde hun ikke. Hun ser dem heller aldrig.
>
Oops!
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (27-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 27-01-08 23:04 |
|
Den 27-01-08 18.10 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> > Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
>> > kun nødvendigt ved systemvedligehold.
>>
>> Vil det sige, at man med en begrænset brugerkonto får lov til ting, som
>> stoppes af UAC i en administratorkonto? Kan du give nogle eksempler?
>
> Næh. Hvorfor skulle det være relevant? Man sidder da ikke og laver
> systemvedligehold dagen lang.
Det er relevant, fordi UAC'en mig bekendt kun brokker sig, når man
ellers skulle være logget ind som administrator. Altså er UAC'en mindre
generende end at skulle skifte fra en begrænset konto til en
administratorkonto i XP.
> Tænker du på når man f.eks åbner for logbog i Systemadministration og
> kigger i Program- eller System log? Det kræver ikke
> administratorrettigheder i XP Pro. Brokker UAC sig i Vista?
Jeg sidder ikke lige med en Vista tændt, men jeg kan ikke forestille
mig, at UAC vil brokke sig i det tilfælde. Som skrevet ovenfor, brokker
UAC sig vist kun, når man vil ændre ting som i en begrænset konto i XP
ville have krævet login som administrator. Dvs. ændring af systemet,
ikke læsning af log-filer.
> Ja, men med tilfældet (med OS/2 - stort set al malware er til Windows)
> efterlyser jeg evt erfaringer hos dig med hvor nemt det alligevel er at
> få dig til at klikke på dialogbokse.
Det er ikke nemt. Jeg klikker heller ikke, selvom jeg regner med, at de
ikke kan smitte. Og jeg klikker heller ikke på den slags, når jeg bruger
Windows.
--
Mvh. Kim Ludvigsen
Brug KompoZer til at lave fremtidssikrede hjemmesider, der overholder
internet-standarderne.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (28-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 28-01-08 00:00 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 27-01-08 18.10 skrev Axel Hammerschmidt følgende:
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> >
> >> > Fordi det ikke er nødvendigt at logge på som administrator ofte, det er
> >> > kun nødvendigt ved systemvedligehold.
> >>
> >> Vil det sige, at man med en begrænset brugerkonto får lov til ting, som
> >> stoppes af UAC i en administratorkonto? Kan du give nogle eksempler?
> >
> > Næh. Hvorfor skulle det være relevant? Man sidder da ikke og laver
> > systemvedligehold dagen lang.
>
> Det er relevant, fordi UAC'en mig bekendt kun brokker sig, når man
> ellers skulle være logget ind som administrator. Altså er UAC'en mindre
> generende end at skulle skifte fra en begrænset konto til en
> administratorkonto i XP.
Jeg er ikke helt med?
> > Tænker du på når man f.eks åbner for logbog i Systemadministration og
> > kigger i Program- eller System log? Det kræver ikke
> > administratorrettigheder i XP Pro. Brokker UAC sig i Vista?
>
> Jeg sidder ikke lige med en Vista tændt, men jeg kan ikke forestille
> mig, at UAC vil brokke sig i det tilfælde. Som skrevet ovenfor, brokker
> UAC sig vist kun, når man vil ændre ting som i en begrænset konto i XP
> ville have krævet login som administrator. Dvs. ændring af systemet,
> ikke læsning af log-filer.
XP Pro brokker sig på mindst to måder når man bruger en konto med
begrænsede rettigheder, først typisk med en advarsel om at der hvor man
vil ind har man ikke noget at gøre (gælder f.eks ikke ved ovenævnte
tilfælde med logs, men ved steder i Systemadministration) og så hvis man
ændre noget og gemmer ændringen, hvor man så får besked på at det har
man ikke rettigheder til.
Om det så er selve er Systemadministration eller manglende
skriverettigheder til registreringbasen ved jeg ikke, men bruger man en
konto med begrænset rettigheder kan man i hvert fald ikke skrive til
registeringsdatabasen.
> > Ja, men med tilfældet (med OS/2 - stort set al malware er til Windows)
> > efterlyser jeg evt erfaringer hos dig med hvor nemt det alligevel er at
> > få dig til at klikke på dialogbokse.
>
> Det er ikke nemt. Jeg klikker heller ikke, selvom jeg regner med, at de
> ikke kan smitte. Og jeg klikker heller ikke på den slags, når jeg bruger
> Windows.
Modtager man noget fra ens udbyder, så vil man da gerne vide hvad det
er.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (28-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 28-01-08 00:14 |
|
Den 27-01-08 23.59 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Det er relevant, fordi UAC'en mig bekendt kun brokker sig, når man
>> ellers skulle være logget ind som administrator. Altså er UAC'en mindre
>> generende end at skulle skifte fra en begrænset konto til en
>> administratorkonto i XP.
>
> Jeg er ikke helt med?
Vi snakker om, at nogle brugere kan finde på at slå UAC fra, fordi de
finder funktionen generende. Jeg skriver så, at det vil være endnu mere
generende, hvis de ikke blot skulle klikke for at fortsætte, men i
stedet skulle logge ind på en særskilt administratorkonto. Hvis folk
slår UAC fra, fordi det er generende, så kan du være helt sikker på, at
de ikke vil benytte en begrænset konto.
Hvis det ikke var for UAC, ville der sikkert være mange flere
Vista-brugere, der ville køre med fulde administratorrettigheder, ganske
som de er vant til det i XP.
>> Det er ikke nemt. Jeg klikker heller ikke, selvom jeg regner med, at de
>> ikke kan smitte. Og jeg klikker heller ikke på den slags, når jeg bruger
>> Windows.
>
> Modtager man noget fra ens udbyder, så vil man da gerne vide hvad det
> er.
Tja, det skriver de vel i mailen. Ellers er det nu ikke så svært at
gennemskue, om en mail fører til et forkert sted. Og de fleste nyere
mailklienter prøver vist at hjælpe dem, der ikke selv kan finde ud af det.
--
Mvh. Kim Ludvigsen
Har du fortalt din far og mor om Ludvigs Hjørne?
http://kimludvigsen.dk
| |
Axel Hammerschmidt (28-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 28-01-08 02:33 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote in
news:479d1046$0$2112$edfadb0f@dtext02.news.tele.dk:
> Den 27-01-08 23.59 skrev Axel Hammerschmidt følgende:
>
>> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>>
>>> Det er relevant, fordi UAC'en mig bekendt kun brokker sig, når man
>>> ellers skulle være logget ind som administrator. Altså er UAC'en
>>> mindre generende end at skulle skifte fra en begrænset konto til en
>>> administratorkonto i XP.
>>
>> Jeg er ikke helt med?
>
> Vi snakker om, at nogle brugere kan finde på at slå UAC fra, fordi de
> finder funktionen generende. Jeg skriver så, at det vil være endnu
> mere generende, hvis de ikke blot skulle klikke for at fortsætte, men
> i stedet skulle logge ind på en særskilt administratorkonto.
At skifte fra en begrænset bruger konto til en administator konto og
tilbage igen, en gang om måneden? Skulle det være generende?
Problemet er, at folk i øjeblikket ikke får at vide, at de bør gøre
sådan.
> Hvis folk slår UAC fra, fordi det er generende, så kan du være helt
> sikker på, at de ikke vil benytte en begrænset konto.
Men udgangspunktet kunne være anderledes, hvis der blev givet mere
oplysning om det fornuftige i at ikke bruge en konto med administrator
rettigheder til det daglige arbejde.
Det er forbløffende få gange jeg ser det omtalt!
> Hvis det ikke var for UAC, ville der sikkert være mange flere
> Vista-brugere, der ville køre med fulde administratorrettigheder,
> ganske som de er vant til det i XP.
Det kommer ikke til at betyde så meget. OS X har haft tilsvarende UAC
længe og det har alligevel hele tiden været et godt råd der, at bruge en
konto med begrænset rettigheder til det daglige.
Selvom der ikke findes trusler med OS X i samme omfang som med Windows,
så har de to OS sandsynligvis de samme svagheder på det område.
>>> Det er ikke nemt. Jeg klikker heller ikke, selvom jeg regner med, at
>>> de ikke kan smitte. Og jeg klikker heller ikke på den slags, når jeg
>>> bruger Windows.
>>
>> Modtager man noget fra ens udbyder, så vil man da gerne vide hvad det
>> er.
>
> Tja, det skriver de vel i mailen. Ellers er det nu ikke så svært at
> gennemskue, om en mail fører til et forkert sted.
Det var ikke til at gennemskue (at se, at det der stod på skærmen var en
re-direct) dengang - i mit eksempel.
> Og de fleste nyere mailklienter prøver vist at hjælpe dem, der ikke
> selv kan finde ud af det.
Det er ligegyldigt, når det kommer til UAC, fordi det de, der ikke selv
kan finde ud af det, kan MS ikke vide noget om endnu.
Som sagt, så er det ikke nogen universalløsning i OS X.
--
Bates Motel
Vacancy
| |
Kim Ludvigsen (28-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 28-01-08 09:07 |
|
Den 28-01-08 02.33 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote
>>> Jeg er ikke helt med?
>>
>> Vi snakker om, at nogle brugere kan finde på at slå UAC fra, fordi de
>> finder funktionen generende. Jeg skriver så, at det vil være endnu
>> mere generende, hvis de ikke blot skulle klikke for at fortsætte, men
>> i stedet skulle logge ind på en særskilt administratorkonto.
>
> At skifte fra en begrænset bruger konto til en administator konto og
> tilbage igen, en gang om måneden? Skulle det være generende?
Det er det med den gamle dame. Der er nogle, der har et helt anderledes
behov. Og hvorfor skal den gamle dame (og andre), der kun skal bruge
alle rettigheder en gang om måneden, til at lære en hel masse om
rettigheder og kontoskift, når nu de har været vant til, at kunne gøre
det hele uden problemer? (jeg ved godt hvorfor - det er den gamle dame,
der skal overtales).
Microsoft har fundet en god mellemløsning med UAC, omend den godt kunne
have været bedre.
>> Tja, det skriver de vel i mailen. Ellers er det nu ikke så svært at
>> gennemskue, om en mail fører til et forkert sted.
>
> Det var ikke til at gennemskue (at se, at det der stod på skærmen var en
> re-direct) dengang - i mit eksempel.
De fleste mailklienter har vist længe skrevet linkadressen i
statuslinjen, når musemarkøren holdes over linket, så det må være mange
år siden, eller også brugte du en defekt mailklient. Eller du var ikke
særlig sikkerhedsbevidst dengang.
>> Og de fleste nyere mailklienter prøver vist at hjælpe dem, der ikke
>> selv kan finde ud af det.
>
> Det er ligegyldigt, når det kommer til UAC, fordi det de, der ikke selv
> kan finde ud af det, kan MS ikke vide noget om endnu.
Hvad har UAC at gøre med mailklienter og phishingforsøg?
--
Mvh. Kim Ludvigsen
Økonom Steffen Møller giver et bud på, hvordan internettet vil påvirke
forbrugernes valgmuligheder.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (29-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 29-01-08 16:36 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 28-01-08 02.33 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote
<snip>
> >> Tja, det skriver de vel i mailen. Ellers er det nu ikke så svært at
> >> gennemskue, om en mail fører til et forkert sted.
> >
> > Det var ikke til at gennemskue (at se, at det der stod på skærmen var en
> > re-direct) dengang - i mit eksempel.
>
> De fleste mailklienter har vist længe skrevet linkadressen i
> statuslinjen, når musemarkøren holdes over linket, så det må være mange
> år siden, eller også brugte du en defekt mailklient. Eller du var ikke
> særlig sikkerhedsbevidst dengang.
Har du nogensinde set en tryllekunstner? Det her brugte samme
fremgangsmåde, bare omvendt. Her troede man, at man så noget normalt.
> >> Og de fleste nyere mailklienter prøver vist at hjælpe dem, der ikke
> >> selv kan finde ud af det.
> >
> > Det er ligegyldigt, når det kommer til UAC, fordi det de, der ikke selv
> > kan finde ud af det, kan MS ikke vide noget om endnu.
>
> Hvad har UAC at gøre med mailklienter og phishingforsøg?
Som eksemlet skulle vise, så kan en mailklient bruges som
"angrebsvektor" når der installeres malware.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (29-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 29-01-08 17:32 |
|
Den 29-01-08 16.35 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> De fleste mailklienter har vist længe skrevet linkadressen i
>> statuslinjen, når musemarkøren holdes over linket, så det må være mange
>> år siden, eller også brugte du en defekt mailklient. Eller du var ikke
>> særlig sikkerhedsbevidst dengang.
>
> Har du nogensinde set en tryllekunstner? Det her brugte samme
> fremgangsmåde, bare omvendt. Her troede man, at man så noget normalt.
Normalt og normalt. Alarmklokkerne burde have ringet voldsomt.
Man får normalt ikke en ægte "Returned Mail Notification", medmindre man
selv har forsøgt at sende en mail.
Man kan normalt læse, hvor sådan en mail kommer fra.
Jeg kan ikke mindes at have set en Mailer Demon-besked, der beder en om
at klikke sig frem til en hjemmeside, omend jeg ikke kan afvise, at den
slags findes.
Mailer Demons sender vist ikke mails i html-format, men ok, i dette
tilfælde kan mailen måske have været maskeret som værende i tekstformat.
Og det kan jo snyde, hvis afsenderen lige tilfældigvis rammer samme
skrifttype som din standardskrifttype.
Mailklienten bør vise, at der er vedhæftede filer, og hvilken filtype en
vedhæftet fil har.
Mailklienten bør vise linkadressen, når musemarkøren holdes over linket.
>> Hvad har UAC at gøre med mailklienter og phishingforsøg?
>
> Som eksemlet skulle vise, så kan en mailklient bruges som
> "angrebsvektor" når der installeres malware.
OK, så hvis du havde brugt UAC, var du ikke blevet smittet.
Der er vist ikke længere nogen grund til at krydsposte, så jeg har sat
opfølgning til sikkerhedsgruppen.
FUT: dk.edb.sikkerhed
--
Mvh. Kim Ludvigsen
Desktop Sidebar: Information at your fingertips.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (03-02-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 03-02-08 16:51 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 29-01-08 16.35 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> >
> >> De fleste mailklienter har vist længe skrevet linkadressen i
> >> statuslinjen, når musemarkøren holdes over linket, så det må være mange
> >> år siden, eller også brugte du en defekt mailklient. Eller du var ikke
> >> særlig sikkerhedsbevidst dengang.
> >
> > Har du nogensinde set en tryllekunstner? Det her brugte samme
> > fremgangsmåde, bare omvendt. Her troede man, at man så noget normalt.
>
> Normalt og normalt. Alarmklokkerne burde have ringet voldsomt.
>
> Man får normalt ikke en ægte "Returned Mail Notification", medmindre man
> selv har forsøgt at sende en mail.
Man sender da hele tiden mails og skriver sommetider forkert i
adressefeltet. Så hvorfor skulle der ringe alarmklokker?
> Man kan normalt læse, hvor sådan en mail kommer fra.
Ja, der kan f.eks stå Mail Administrator som afsender når det kommer fra
din egen udbyders server. Det er nemt at forfalske.
> Jeg kan ikke mindes at have set en Mailer Demon-besked, der beder en om
> at klikke sig frem til en hjemmeside, omend jeg ikke kan afvise, at den
> slags findes.
>
> Mailer Demons sender vist ikke mails i html-format, men ok, i dette
> tilfælde kan mailen måske have været maskeret som værende i tekstformat.
> Og det kan jo snyde, hvis afsenderen lige tilfældigvis rammer samme
> skrifttype som din standardskrifttype.
>
> Mailklienten bør vise, at der er vedhæftede filer, og hvilken filtype en
> vedhæftet fil har.
Kun hvis du har valgt at vise det under Kollonner i Vis. Og så kan du da
ikke se hvad det er for en filtype.
> Mailklienten bør vise linkadressen, når musemarkøren holdes over linket.
Ja, og hvad så? Muser folk da altid først over link? Nej, vel!
> >> Hvad har UAC at gøre med mailklienter og phishingforsøg?
> >
> > Som eksemlet skulle vise, så kan en mailklient bruges som
> > "angrebsvektor" når der installeres malware.
>
> OK, så hvis du havde brugt UAC, var du ikke blevet smittet.
Det sker meget hurtigt og katastrofen er bare et musseklik væk. Det er
sådan den føromtalte tryllekunstner arbejder. Alle er udsatte.
Du er meget mere sikker, når du bruger en konto med begrænsede
rettigheder til det daglige. Der er overhovedet ingen grund til at bruge
en konto med administrator rettigheder til det daglige.
> Der er vist ikke længere nogen grund til at krydsposte, så jeg har sat
> opfølgning til sikkerhedsgruppen.
>
> FUT: dk.edb.sikkerhed
Din FUT mislykkedes
Du kom til at skrive dk.edb.sikkerhed i To: 2 gange.
Der kan du selv se, man kan godt komme til at skrive forkert - og
selvfølgelig osse i adressefeltet i en e-mail. Og du kan selvfølgelig
osse lave fejl når du skal beslutte om du vil sige ja til UAC.
Jeg mener stadig det hører hjemme begge steder, så x-post
dk.edb.sikkerhed og dk.edb.system.ms-windows.
Men det er rigtigt, der kommer ikke så meget nyt, så jeg vender tilbage
igen når erfaringerne har vist, at jeg har ret.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (03-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 03-02-08 17:41 |
|
Den 03-02-08 16.51 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Normalt og normalt. Alarmklokkerne burde have ringet voldsomt.
>>
>> Man får normalt ikke en ægte "Returned Mail Notification", medmindre man
>> selv har forsøgt at sende en mail.
>
> Man sender da hele tiden mails og skriver sommetider forkert i
> adressefeltet. Så hvorfor skulle der ringe alarmklokker?
Tja, der går halve år mellem jeg får mails fra mailer demon.
>> Jeg kan ikke mindes at have set en Mailer Demon-besked, der beder en om
>> at klikke sig frem til en hjemmeside, omend jeg ikke kan afvise, at den
>> slags findes.
Efter en lille test kan jeg så oplyse, at TDCs mailer demon ikke bruger
den slags links, men at man derimod kan se den originale mail, såvel
inline som vedhæftet.
>> Mailer Demons sender vist ikke mails i html-format, men ok, i dette
>> tilfælde kan mailen måske have været maskeret som værende i tekstformat.
>> Og det kan jo snyde, hvis afsenderen lige tilfældigvis rammer samme
>> skrifttype som din standardskrifttype.
Ingen kommentar?
>> Mailklienten bør vise, at der er vedhæftede filer, og hvilken filtype en
>> vedhæftet fil har.
>
> Kun hvis du har valgt at vise det under Kollonner i Vis. Og så kan du da
> ikke se hvad det er for en filtype.
Du får vel vist den vedhæftede fil et eller andet sted. Og der bør du
kunne se filnavnet, inklusive filtype.
>> Mailklienten bør vise linkadressen, når musemarkøren holdes over linket.
>
> Ja, og hvad så? Muser folk da altid først over link? Nej, vel!
Almindelige brugere gør måske ikke, men hvis man interesserer sig lidt
for sikkerhed, så gør man da.
>> OK, så hvis du havde brugt UAC, var du ikke blevet smittet.
>
> Det sker meget hurtigt og katastrofen er bare et musseklik væk. Det er
> sådan den føromtalte tryllekunstner arbejder. Alle er udsatte.
Skal vi holde en lille afstemning i sikkerhedsgruppen om, hvor mange der
er blevet smittet på den måde?
> Du er meget mere sikker, når du bruger en konto med begrænsede
> rettigheder til det daglige. Der er overhovedet ingen grund til at bruge
> en konto med administrator rettigheder til det daglige.
Prøv nu at forstå, hvordan UAC fungerer.
>> FUT: dk.edb.sikkerhed
>
> Din FUT mislykkedes
>
> Du kom til at skrive dk.edb.sikkerhed i To: 2 gange.
Ja, det er jo kedeligt.
> Der kan du selv se, man kan godt komme til at skrive forkert - og
> selvfølgelig osse i adressefeltet i en e-mail.
Selvfølgelig kan man skrive forkert. Men det betyder jo ikke, at man
blindt klikker på et link/en vedhæftet fil i en mail.
> Og du kan selvfølgelig
> osse lave fejl når du skal beslutte om du vil sige ja til UAC.
Ja, man kan også selv installere virus og spyware, i en administratorkonto.
--
Mvh. Kim Ludvigsen
Red slettede filer med PC Inspector.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (03-02-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 03-02-08 19:24 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 03-02-08 16.51 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
<snip>
> >> Jeg kan ikke mindes at have set en Mailer Demon-besked, der beder en om
> >> at klikke sig frem til en hjemmeside, omend jeg ikke kan afvise, at den
> >> slags findes.
>
> Efter en lille test kan jeg så oplyse, at TDCs mailer demon ikke bruger
> den slags links, men at man derimod kan se den originale mail, såvel
> inline som vedhæftet.
Det var IKKE en rigtig NDN. Det var en mail indeholdende virus der snød
ved at give sig ud for en NDN.
Hvordan kunne du "se den originale mail" uden at åbne den mail du fik?
> >> Mailer Demons sender vist ikke mails i html-format, men ok, i dette
> >> tilfælde kan mailen måske have været maskeret som værende i tekstformat.
> >> Og det kan jo snyde, hvis afsenderen lige tilfældigvis rammer samme
> >> skrifttype som din standardskrifttype.
>
> Ingen kommentar?
Denne virus mail brugte så vidt jeg husker noget med Mime, til at sende
brugeren ned til den vedlagte fil.
Men man kan ikke på forhånd udelukke noget som helst ang det ens udbyder
finder på, herunder at udsende NDN i html format med et link.
Jeg har f.eks været ude for - og det tror jeg de fleste har - at modtage
en mail fra TDC Digital Signatur med et link, som jeg kunne klikke på og
forny min signatur!
Alle kan finde frem til hvad man har som tilknyttet e-mail adresse og
hvornår signaturen udløber.
> >> Mailklienten bør vise, at der er vedhæftede filer, og hvilken filtype en
> >> vedhæftet fil har.
> >
> > Kun hvis du har valgt at vise det under Kollonner i Vis. Og så kan du da
> > ikke se hvad det er for en filtype.
>
> Du får vel vist den vedhæftede fil et eller andet sted. Og der bør du
> kunne se filnavnet, inklusive filtype.
Det har jeg aldrig set, at man i oversigten kan se filtype. Hverken i
Outlook, i Outlook Express eller i Entourage (Outlook-lignende klient i
OS X).
Hvad hedder den kollonne, hvor man ser filtypen og hvad er det for en
mail klient?
<snip>
> >> OK, så hvis du havde brugt UAC, var du ikke blevet smittet.
> >
> > Det sker meget hurtigt og katastrofen er bare et musseklik væk. Det er
> > sådan den føromtalte tryllekunstner arbejder. Alle er udsatte.
>
> Skal vi holde en lille afstemning i sikkerhedsgruppen om, hvor mange der
> er blevet smittet på den måde?
Tror du den afstemning ville være representative?
> > Du er meget mere sikker, når du bruger en konto med begrænsede
> > rettigheder til det daglige. Der er overhovedet ingen grund til at bruge
> > en konto med administrator rettigheder til det daglige.
>
> Prøv nu at forstå, hvordan UAC fungerer.
Gi' bare een god grund til, at bruge en konto med administrator
rettigheder til det daglige. Bare een!
<snip>
> > Der kan du selv se, man kan godt komme til at skrive forkert - og
> > selvfølgelig osse i adressefeltet i en e-mail.
>
> Selvfølgelig kan man skrive forkert. Men det betyder jo ikke, at man
> blindt klikker på et link/en vedhæftet fil i en mail.
Næh! Så rammer man jo heller ikke linket med mussemarkøren...
> > Og du kan selvfølgelig osse lave fejl når du skal beslutte om du vil
> > sige ja til UAC.
>
> Ja, man kan også selv installere virus og spyware, i en administratorkonto.
Det er det, jeg har sagt hele tiden.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (03-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 03-02-08 19:30 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Prøv nu at forstå, hvordan UAC fungerer.
>Gi' bare een god grund til, at bruge en konto med administrator
>rettigheder til det daglige. Bare een!
Du har stadig ikke forstået, hvad UAC går ud på. UAC er netop
det modsatte af at bruge en konto med administrator-rettigheder
i det daglige. Men du kan få dem i det øjeblik, du har behovet.
Mvh.
Klaus.
| |
Kent Friis (03-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 03-02-08 19:42 |
|
Den Sun, 3 Feb 2008 18:29:33 +0000 (UTC) skrev Klaus Ellegaard:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
>>> Prøv nu at forstå, hvordan UAC fungerer.
>
>>Gi' bare een god grund til, at bruge en konto med administrator
>>rettigheder til det daglige. Bare een!
>
> Du har stadig ikke forstået, hvad UAC går ud på. UAC er netop
> det modsatte af at bruge en konto med administrator-rettigheder
> i det daglige. Men du kan få dem i det øjeblik, du har behovet.
UAC er netop en opfordring til at logge ind som Administrator,
frem for at fixe programmerne så de ikke længere kræver
administrator-rettigheder. Fordi det er meget nemmere at clicke
"allow" end at skulle logge ud og ind igen hele tiden.
Havde man uddannet programmørerne så de ikke længere tænker i
Windws 98 baner, ville problemet ikke eksistere, og man ville
kun behøve at logge ind som Administrator når man skulle
administrere systemet. At det ikke er lykkedes på trods af
diverse certificerings- og logo-tiltag er en fallit-erklæring fra
Microsofts side. Men de har åbenbart mindre kontrol over markedet
for Windows-software end markedet for PC-hardware, hvor de fik
gennemtrumfet at alle tastaturer blev udstyret med Windows-reklamer,
så det idag stort set er umuligt at købe et tastatur uden de
tre elendige taster.
I stedet indfører man et ekstra click, så hvor brugeren før skulle
lære ikke at clicke på skumle filer i mails, skal de nu lære ikke
at clicke på skumle filer i mails, og ikke clicke Allow bagefter.
Erfaring viser at det er for svært for mange brugere at lære ikke
at clicke en gang. Nu fordobler man så kompleksiteten, så der
er to stedet de skal lære ikke at clicke.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Straight Talk (04-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 04-02-08 14:03 |
|
On Sun, 3 Feb 2008 18:29:33 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>Du har stadig ikke forstået, hvad UAC går ud på. UAC er netop
>det modsatte af at bruge en konto med administrator-rettigheder
>i det daglige.
"Det modsatte" er nok lige at tage munden for fuld. Men i princippet
kan det godt forstås således.
Problemet er, at i det øjeblik yderligere rettigheder blot er et klik
væk, er der ingen reel ekstra sikkerhed i det.
>Men du kan få dem i det øjeblik, du har behovet.
Ja, og det er det der er problemet.
En rigtig standard-brugerkonto fungerer rent faktisk ganske udmærket i
Vista. Ærgerligt hvis gamle vaner skal være skyld i at det ikke bliver
udnyttet.
| |
Klaus Ellegaard (04-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 04-02-08 14:11 |
|
Straight Talk <b__nice@hotmail.com> writes:
>En rigtig standard-brugerkonto fungerer rent faktisk ganske udmærket i
>Vista. Ærgerligt hvis gamle vaner skal være skyld i at det ikke bliver
>udnyttet.
Så er udfordringen bare hvordan man uddanner faster Oda på 80 år
i at bruge sådan én... og vel at mærke på cirka 100 procent af
alle de andre brugere med på den.
Det er jo ikke bare gamle vaner - det er snarere at lave et OS,
der understøtter brugerne, deres kvalifikationer og - især -
deres motivation.
Mvh.
Klaus.
| |
Peter Larsen (04-02-2008)
| Kommentar
Fra : Peter Larsen |
Dato : 04-02-08 15:01 |
|
Straight Talk wrote:
> On Sun, 3 Feb 2008 18:29:33 +0000 (UTC), Klaus Ellegaard
> <klausellegaard@msn.com> wrote:
>> Du har stadig ikke forstået, hvad UAC går ud på. UAC er netop
>> det modsatte af at bruge en konto med administrator-rettigheder
>> i det daglige.
> "Det modsatte" er nok lige at tage munden for fuld. Men i princippet
> kan det godt forstås således.
> Problemet er, at i det øjeblik yderligere rettigheder blot er et klik
> væk, er der ingen reel ekstra sikkerhed i det.
>> Men du kan få dem i det øjeblik, du har behovet.
> Ja, og det er det der er problemet.
Det er da kun et problem hvis folk som ikke burde have password til
administrator-kontoen har det.
Med venlig hilsen
Peter Larsen
> En rigtig standard-brugerkonto fungerer rent faktisk ganske udmærket i
> Vista. Ærgerligt hvis gamle vaner skal være skyld i at det ikke bliver
> udnyttet.
| |
Straight Talk (04-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 04-02-08 23:54 |
|
On Mon, 4 Feb 2008 13:10:58 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>Straight Talk <b__nice@hotmail.com> writes:
>
>>En rigtig standard-brugerkonto fungerer rent faktisk ganske udmærket i
>>Vista. Ærgerligt hvis gamle vaner skal være skyld i at det ikke bliver
>>udnyttet.
>
>Så er udfordringen bare hvordan man uddanner faster Oda på 80 år
>i at bruge sådan én... og vel at mærke på cirka 100 procent af
>alle de andre brugere med på den.
Du mener at UAC lige er sagen for faster Oda og "100% af alle de andre
brugre"?
| |
Straight Talk (05-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 05-02-08 00:01 |
|
On Mon, 4 Feb 2008 15:00:54 +0100, "Peter Larsen"
<digilyd@hotmail.com> wrote:
>Straight Talk wrote:
>
>> On Sun, 3 Feb 2008 18:29:33 +0000 (UTC), Klaus Ellegaard
>> <klausellegaard@msn.com> wrote:
>
>>> Du har stadig ikke forstået, hvad UAC går ud på. UAC er netop
>>> det modsatte af at bruge en konto med administrator-rettigheder
>>> i det daglige.
>
>> "Det modsatte" er nok lige at tage munden for fuld. Men i princippet
>> kan det godt forstås således.
>
>> Problemet er, at i det øjeblik yderligere rettigheder blot er et klik
>> væk, er der ingen reel ekstra sikkerhed i det.
>
>>> Men du kan få dem i det øjeblik, du har behovet.
>
>> Ja, og det er det der er problemet.
>
>Det er da kun et problem hvis folk som ikke burde have password til
>administrator-kontoen har det.
Altså den langt overvejende del...
| |
Kim Ludvigsen (05-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 05-02-08 00:13 |
|
Den 05-02-08 00.00 skrev Straight Talk følgende:
> On Mon, 4 Feb 2008 15:00:54 +0100, "Peter Larsen"
> <digilyd@hotmail.com> wrote:
>>Det er da kun et problem hvis folk som ikke burde have password til
>>administrator-kontoen har det.
>
> Altså den langt overvejende del...
Jeg aner en god forretningsidé, hvor et korps med
administratorrettigheder kører rundt og installerer programmer hos hr.
hansen og ændrer skærmindstillinger hos fru Larsen.
--
Mvh. Kim Ludvigsen
Læs om nyhedsgrupperne, hvordan de opstod, hvordan de bruges, og læs
også et interview med en af superbrugerne.
http://kimludvigsen.dk
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 05:44 |
|
Straight Talk <b__nice@hotmail.com> writes:
>Du mener at UAC lige er sagen for faster Oda og "100% af alle de andre
>brugre"?
Det bedeste kompromis til dato for tante Oda og venner, ja.
Den eneste rigtige vej vil være et obligatorisk kørekort til
en pc, der starter med et 2-måneders kursus og efterfølges af
et par uger om året. Med diverse stopprøver undervejs. Men
det er nok ikke så realistisk
Mvh.
Klaus.
| |
Straight Talk (05-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 05-02-08 06:43 |
|
On Tue, 5 Feb 2008 04:44:03 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>Straight Talk <b__nice@hotmail.com> writes:
>
>>Du mener at UAC lige er sagen for faster Oda og "100% af alle de andre
>>brugre"?
>
>Det bedeste kompromis til dato for tante Oda og venner, ja.
Nej. En sikkerhedsmekanisme baseret på et ekstra klik hvor et korrekt
svar afhænger af at man ved hvad man har med at gøre og hvor langt
hovedparten af svar vil være ja tilfører ingen reel sikkerhed.
>Den eneste rigtige vej vil være et obligatorisk kørekort til
>en pc, der starter med et 2-måneders kursus og efterfølges af
>et par uger om året. Med diverse stopprøver undervejs. Men
>det er nok ikke så realistisk
Tjaeh... faktum er, at man ikke kan sikre et system imod et uvidende
eller ignorant individ med administrator-rettigheder. UAC gør ingen
forskel der.
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 07:31 |
|
Straight Talk <b__nice@hotmail.com> writes:
>Tjaeh... faktum er, at man ikke kan sikre et system imod et uvidende
>eller ignorant individ med administrator-rettigheder. UAC gør ingen
>forskel der.
Faktum er, at der ikke findes noget bedre alternativ, der er
praktisk muligt. Ethvert tiltag er bedre end ingenting.
Mvh.
Klaus.
| |
Straight Talk (05-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 05-02-08 13:39 |
|
On Tue, 5 Feb 2008 06:31:00 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>Ethvert tiltag er bedre end ingenting.
Ikke inden for sikkerheds-verdenen. Da er ingen tiltag bedre end
pseudo-tiltag.
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 13:48 |
|
Straight Talk <b__nice@hotmail.com> writes:
>>Ethvert tiltag er bedre end ingenting.
>Ikke inden for sikkerheds-verdenen. Da er ingen tiltag bedre end
>pseudo-tiltag.
Det vil jeg kalde en vældig uansvarlig holdning, når vi er enige
om, at der ikke findes noget reelt tiltag, der er praktisk muligt.
Men sådan er vi så forskellige. Jeg tror ikke, det vil gavne at
fortsætte diskussionen.
Mvh.
Klaus.
| |
Peter Larsen (05-02-2008)
| Kommentar
Fra : Peter Larsen |
Dato : 05-02-08 14:53 |
|
Straight Talk wrote:
>> Det er da kun et problem hvis folk som ikke burde have password til
>> administrator-kontoen har det.
> Altså den langt overvejende del...
Du mener lissom dem, man er hjemme hos, og hvor man har lyst til at ændre
deres xp home konto til en begrænset konto?
med venlig hilsen
Peter Larsen
| |
Peter Larsen (05-02-2008)
| Kommentar
Fra : Peter Larsen |
Dato : 05-02-08 14:54 |
|
Kim Ludvigsen wrote:
> Den 05-02-08 00.00 skrev Straight Talk følgende:
>> On Mon, 4 Feb 2008 15:00:54 +0100, "Peter Larsen"
>> <digilyd@hotmail.com> wrote:
>>> Det er da kun et problem hvis folk som ikke burde have password til
>>> administrator-kontoen har det.
>> Altså den langt overvejende del...
> Jeg aner en god forretningsidé, hvor et korps med
> administratorrettigheder kører rundt og installerer programmer hos hr.
> hansen og ændrer skærmindstillinger hos fru Larsen.
Æ Geek Squad's danish chapter?
Med venlig hilsen
Peter Larsen
| |
Straight Talk (05-02-2008)
| Kommentar
Fra : Straight Talk |
Dato : 05-02-08 16:44 |
|
On Tue, 5 Feb 2008 12:47:39 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>>Ikke inden for sikkerheds-verdenen. Da er ingen tiltag bedre end
>>pseudo-tiltag.
>
>Det vil jeg kalde en vældig uansvarlig holdning,
Det kan kun være fordi du ikke forstår pointen.
| |
Kim Ludvigsen (03-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 03-02-08 21:19 |
|
Den 03-02-08 19.24 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Efter en lille test kan jeg så oplyse, at TDCs mailer demon ikke bruger
>> den slags links, men at man derimod kan se den originale mail, såvel
>> inline som vedhæftet.
>
> Det var IKKE en rigtig NDN. Det var en mail indeholdende virus der snød
> ved at give sig ud for en NDN.
Skal vi ikke bare konstatere, at du er nem at snyde, trods al din snak
om sikkerhed.
> Hvordan kunne du "se den originale mail" uden at åbne den mail du fik?
Den vises inline i min Thunderbird samtidig med, at den er vedhæftet i
eml-format.
> Denne virus mail brugte så vidt jeg husker noget med Mime, til at sende
> brugeren ned til den vedlagte fil.
Aha.
> Men man kan ikke på forhånd udelukke noget som helst ang det ens udbyder
> finder på, herunder at udsende NDN i html format med et link.
Ja, godtroende og sikkerhedsmæssigt uvidende mennesker er der masser af.
Men det er de færreste af dem, der råber højt om sikkerhed samtidig med,
at de falder i dén fælde.
>> Du får vel vist den vedhæftede fil et eller andet sted. Og der bør du
>> kunne se filnavnet, inklusive filtype.
>
> Det har jeg aldrig set, at man i oversigten kan se filtype. Hverken i
> Outlook, i Outlook Express eller i Entourage (Outlook-lignende klient i
> OS X).
Vil det sige, at trods al din snak om sikkerhed og fornuftig opførsel,
så bruger du en mailklient, der skjuler filtypen?
Nå, men helt så slemt er det nu ikke. Hvis du i OE (6 med SP2) klikker
på papirklipsen øverst i mailen, kan du se filens ikon og dens navn og
filtype. Hvis navnet er for langt, klippes det sidste væk, men ikonen er
der stadig, og du kan se hele navnet og filtypen, hvis du klikker for at
gemme filen.
> Hvad hedder den kollonne, hvor man ser filtypen og hvad er det for en
> mail klient?
Thunderbird. Vedhæftede filer vises i en rude under mailen, hvor navn og
filtype vises.
> Tror du den afstemning ville være representative?
Ikke for almindelige brugere.
>> Prøv nu at forstå, hvordan UAC fungerer.
>
> Gi' bare een god grund til, at bruge en konto med administrator
> rettigheder til det daglige. Bare een!
Hvorfor skulle jeg det? Hverken jeg eller andre i sikkerhedsgruppen har
været fortalere for sådan noget. Man har ikke administratorrettigheder i
en administratorkonto i Vista, når UAC er slået til. Det har du
efterhånden fået at vide masser af gange.
--
Mvh. Kim Ludvigsen
Tag på opdagelsesrejse i fantastisk flotte fraktaler.
http://kimludvigsen.dk
| |
Axel Hammerschmidt (04-02-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 04-02-08 00:25 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 03-02-08 19.24 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> >
> >> Efter en lille test kan jeg så oplyse, at TDCs mailer demon ikke bruger
> >> den slags links, men at man derimod kan se den originale mail, såvel
> >> inline som vedhæftet.
> >
> > Det var IKKE en rigtig NDN. Det var en mail indeholdende virus der snød
> > ved at give sig ud for en NDN.
>
> Skal vi ikke bare konstatere, at du er nem at snyde, trods al din snak
> om sikkerhed.
Jeg var nem at snyde, men det betød ikke at jeg fik virus. I det
konkrete tilfælde skete det med Mac OS 9 - havde det været med Windows,
ville det ha' været med en konto med begrænsede rettigheder og skaden
ville være til at overse.
Alle kan falde i på et tidspunkt. Det er lige netop derfor man skal lade
være med at bruge en konto med administrator rettigheder til det
daglige.
> > Hvordan kunne du "se den originale mail" uden at åbne den mail du fik?
>
> Den vises inline i min Thunderbird samtidig med, at den er vedhæftet i
> eml-format.
Eudora har osse en hurtig måde at vise hvad den vedlagte fil består af.
Det er lidt mere omstændigt i OE. Og muligheden findes slet ikke i
Outlook
<snip>
> > Men man kan ikke på forhånd udelukke noget som helst ang det ens udbyder
> > finder på, herunder at udsende NDN i html format med et link.
>
> Ja, godtroende og sikkerhedsmæssigt uvidende mennesker er der masser af.
> Men det er de færreste af dem, der råber højt om sikkerhed samtidig med,
> at de falder i dén fælde.
Det kaldes for erfaring. Og mht det vi har at gøre med her, så vil de
bedste erfaringer være de erfaringer man får ved ikke at bruge en konto
med administrator rettigheder til det daglige.
> >> Du får vel vist den vedhæftede fil et eller andet sted. Og der bør du
> >> kunne se filnavnet, inklusive filtype.
> >
> > Det har jeg aldrig set, at man i oversigten kan se filtype. Hverken i
> > Outlook, i Outlook Express eller i Entourage (Outlook-lignende klient i
> > OS X).
>
> Vil det sige, at trods al din snak om sikkerhed og fornuftig opførsel,
> så bruger du en mailklient, der skjuler filtypen?
I Outlook Express er det som sagt omstændigt: højre-klikke i oversigten
-> Egenskaber -> faneblad Detaljer -> Meddelseskilde
> Nå, men helt så slemt er det nu ikke. Hvis du i OE (6 med SP2) klikker
> på papirklipsen øverst i mailen, kan du se filens ikon og dens navn og
> filtype. Hvis navnet er for langt, klippes det sidste væk, men ikonen er
> der stadig, og du kan se hele navnet og filtypen, hvis du klikker for at
> gemme filen.
"Hvis du i OE klikker på papirklipsen øverst i mailen" - jamen så er det
ikke længere i oversigten og så har du allerede åbnet mailen med filen?
> > Hvad hedder den kollonne, hvor man ser filtypen og hvad er det for en
> > mail klient?
>
> Thunderbird. Vedhæftede filer vises i en rude under mailen, hvor navn og
> filtype vises.
De vises? Vil det sige, at når det er en vedlagt grafik fil, så
overlader TB filen til default grafikprogram? Med alle dennes manglende
sikkerhedsopdateringer - f.eks Flash eller Apple's Quicktime.
<gisp!>
> >> Prøv nu at forstå, hvordan UAC fungerer.
> >
> > Gi' bare een god grund til, at bruge en konto med administrator
> > rettigheder til det daglige. Bare een!
>
> Hvorfor skulle jeg det? Hverken jeg eller andre i sikkerhedsgruppen har
> været fortalere for sådan noget. Man har ikke administratorrettigheder i
> en administratorkonto i Vista, når UAC er slået til. Det har du
> efterhånden fået at vide masser af gange.
Gu' har brugeren administrator rettigheder!
Hvordan kan du f.eks sørge for, at de øvrige brugere af familiens
computer ikke klikker på "ja" i UAC?
OS X har haft en tilsvarende halv løsning i mange år, og det OS har jeg
"efterhånden" flere års erfaring med. Der er det osse - som sagt - et
godt råd at oprette og bruge en konto med begrænsede rettigheder til det
daglige.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (04-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 04-02-08 01:49 |
|
Den 04-02-08 00.24 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>> Nå, men helt så slemt er det nu ikke. Hvis du i OE (6 med SP2) klikker
>> på papirklipsen øverst i mailen, kan du se filens ikon og dens navn og
>> filtype. Hvis navnet er for langt, klippes det sidste væk, men ikonen er
>> der stadig, og du kan se hele navnet og filtypen, hvis du klikker for at
>> gemme filen.
>
> "Hvis du i OE klikker på papirklipsen øverst i mailen" - jamen så er det
> ikke længere i oversigten og så har du allerede åbnet mailen med filen?
Og hvad så? Det er da vist længe siden mailklienter automatisk afviklede
vedhæftede filer ved åbning af mailen. Og ellers kan man jo bare vælge
at se mails i tekstformat.
>> > Hvad hedder den kollonne, hvor man ser filtypen og hvad er det for en
>> > mail klient?
>>
>> Thunderbird. Vedhæftede filer vises i en rude under mailen, hvor navn og
>> filtype vises.
>
> De vises? Vil det sige, at når det er en vedlagt grafik fil, så
> overlader TB filen til default grafikprogram? Med alle dennes manglende
> sikkerhedsopdateringer - f.eks Flash eller Apple's Quicktime.
Nu kan man jo også vælge at gemme filerne. Men du kan måske fortælle
mig, hvad forskellen er på at åbne en Flash-fil via et dobbeltklik i
Thunderbird og at gemme den på skrivebordet og derefter åbne den med et
dobbeltklik på ikonen på skrivebordet? Bemærk, selvfølgelig, at man ikke
bare blindt åbner vedhæftede filer - hverken inde fra mailprogrammet
eller efter at have gemte dem på computeren.
>> Hvorfor skulle jeg det? Hverken jeg eller andre i sikkerhedsgruppen har
>> været fortalere for sådan noget. Man har ikke administratorrettigheder i
>> en administratorkonto i Vista, når UAC er slået til. Det har du
>> efterhånden fået at vide masser af gange.
>
> Gu' har brugeren administrator rettigheder!
Suk!
> Hvordan kan du f.eks sørge for, at de øvrige brugere af familiens
> computer ikke klikker på "ja" i UAC?
Hvis de ikke må få administratorrettigheder, skal de naturligvis have en
begrænset konto, hvor det ikke er muligt at få administratorrettigheder
uden kodeord.
--
Mvh. Kim Ludvigsen
Ryd op i dine foretrukne bogmærker med AM-DeadLink.
http://kimludvigsen.dk
| |
Klaus Ellegaard (04-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 04-02-08 06:02 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Jeg var nem at snyde, men det betød ikke at jeg fik virus. I det
>konkrete tilfælde skete det med Mac OS 9 - havde det været med Windows,
>ville det ha' været med en konto med begrænsede rettigheder og skaden
>ville være til at overse.
Præcis som på Vista med UAC. Ingen administrator-rettigheder =>
ingen (stor) skade. Men bevares, en virus kan lave rigeligt med
skade på en begrænset konto også.
>Alle kan falde i på et tidspunkt. Det er lige netop derfor man skal lade
>være med at bruge en konto med administrator rettigheder til det
>daglige.
Helt enig. UAC er din ven her.
Mvh.
Klaus.
| |
Axel Hammerschmidt (04-02-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 04-02-08 20:36 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
> Den 04-02-08 00.24 skrev Axel Hammerschmidt følgende:
>
> > Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
> >> Nå, men helt så slemt er det nu ikke. Hvis du i OE (6 med SP2) klikker
> >> på papirklipsen øverst i mailen, kan du se filens ikon og dens navn og
> >> filtype. Hvis navnet er for langt, klippes det sidste væk, men ikonen er
> >> der stadig, og du kan se hele navnet og filtypen, hvis du klikker for at
> >> gemme filen.
> >
> > "Hvis du i OE klikker på papirklipsen øverst i mailen" - jamen så er det
> > ikke længere i oversigten og så har du allerede åbnet mailen med filen?
>
> Og hvad så? Det er da vist længe siden mailklienter automatisk afviklede
> vedhæftede filer ved åbning af mailen. Og ellers kan man jo bare vælge
> at se mails i tekstformat.
Det er sådan jeg har min OE. Når det er html eller html og grafik kommer
der nogle ATTxxxx-file oppe i "vinduet" med vedlagte file. Mærkeligt
nok, så får jpg-file en .txt-extension. men dem er jeg lige glad med. De
ryger alligevel i skraldespanden.
Men se i øvrigt længere nede her for et aktuelt eksempel på automatisk
afvikling.
> >> > Hvad hedder den kollonne, hvor man ser filtypen og hvad er det for en
> >> > mail klient?
> >>
> >> Thunderbird. Vedhæftede filer vises i en rude under mailen, hvor navn og
> >> filtype vises.
> >
> > De vises? Vil det sige, at når det er en vedlagt grafik fil, så
> > overlader TB filen til default grafikprogram? Med alle dennes manglende
> > sikkerhedsopdateringer - f.eks Flash eller Apple's Quicktime.
>
> Nu kan man jo også vælge at gemme filerne. Men du kan måske fortælle
> mig, hvad forskellen er på at åbne en Flash-fil via et dobbeltklik i
> Thunderbird og at gemme den på skrivebordet og derefter åbne den med et
> dobbeltklik på ikonen på skrivebordet?
Der er vel ingen forskel. Jeg åbner dem aldrig. Hvis folk ikke kan sige
det med ascii er jeg ikke interesseret. Skulle det endelig være, så
kigger jeg på det med en Mac.
Og jeg har ikke Flash på mine Windows bokse.
Men det kan stadig gå galt. Da jeg læste en ny nyhedsgruppe fornylig -
jeg bruger TDCs tekst-only server - åbnede jeg et indlæg i Xnews og
pludselig åbnede Photo Editor fra Office xp! Een eller anden idiot havde
ecblank.gif som signatur, og jeg havde ikke slået det fra i Attachment
handling
Xnews har ellers een stor fordel, den kan installeres og afvikles fra en
konto med begrænset rettigheder. Men får man ikke slået det fra, så kan
en attachment i Xnews godt åbne andre programmer, som måske har en
sikkerhedsbrist.
> Bemærk, selvfølgelig, at man ikke bare blindt åbner vedhæftede filer -
> hverken inde fra mailprogrammet eller efter at have gemte dem på
> computeren.
Hvordan gør man så - læser binær kode?
> >> Hvorfor skulle jeg det? Hverken jeg eller andre i sikkerhedsgruppen har
> >> været fortalere for sådan noget. Man har ikke administratorrettigheder i
> >> en administratorkonto i Vista, når UAC er slået til. Det har du
> >> efterhånden fået at vide masser af gange.
> >
> > Gu' har brugeren administrator rettigheder!
>
> Suk!
.... hjerte brist ej.
> > Hvordan kan du f.eks sørge for, at de øvrige brugere af familiens
> > computer ikke klikker på "ja" i UAC?
>
> Hvis de ikke må få administratorrettigheder, skal de naturligvis have en
> begrænset konto, hvor det ikke er muligt at få administratorrettigheder
> uden kodeord.
Og så kan man lige så godt selv bruge en begrænset konto til det
daglige.
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Kim Ludvigsen (05-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 05-02-08 00:11 |
|
Den 04-02-08 20.35 skrev Axel Hammerschmidt følgende:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Bemærk, selvfølgelig, at man ikke bare blindt åbner vedhæftede filer -
>> hverken inde fra mailprogrammet eller efter at have gemte dem på
>> computeren.
>
> Hvordan gør man så - læser binær kode?
Man vurderer, om filen er farlig ud fra filens navn, filtype, afsender m.v.
>> > Hvordan kan du f.eks sørge for, at de øvrige brugere af familiens
>> > computer ikke klikker på "ja" i UAC?
>>
>> Hvis de ikke må få administratorrettigheder, skal de naturligvis have en
>> begrænset konto, hvor det ikke er muligt at få administratorrettigheder
>> uden kodeord.
>
> Og så kan man lige så godt selv bruge en begrænset konto til det
> daglige.
Nej. Alternativet til UAC er ikke en traditionel begrænset konto, men en
traditionel administratorkonto. Hvis Microsoft ikke havde indført UAC,
så kan jeg love dig for, at 95 procent eller flere af alle private
brugere ville benytte en administratorkonto - ligesom de gør i XP.
--
Mvh. Kim Ludvigsen
Instant Converter lader dig omregne forskellige måleenheder, for
eksempel miles og kilometre, ounce og gram samt fahrenheit og celcius.
http://kimludvigsen.dk
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 16:34 |
|
Den Tue, 05 Feb 2008 00:10:57 +0100 skrev Kim Ludvigsen:
>
> Nej. Alternativet til UAC er ikke en traditionel begrænset konto, men en
> traditionel administratorkonto. Hvis Microsoft ikke havde indført UAC,
> så kan jeg love dig for, at 95 procent eller flere af alle private
> brugere ville benytte en administratorkonto - ligesom de gør i XP.
Så er vi jo tilbage ved min påstand om at UAC bare er beviset på
at problemet med at man skal være Administrator hele tiden på
Windows stadig ikke er løst.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Bertel Lund Hansen (05-02-2008)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 05-02-08 19:06 |
|
Kent Friis skrev:
> Så er vi jo tilbage ved min påstand om at UAC bare er beviset på
> at problemet med at man skal være Administrator hele tiden på
> Windows stadig ikke er løst.
Det bliver det heller aldrig. Det ville klippe forbindelsen til
alt for meget eksisterende software.
Og traditionen tro har jeg kun lavet mig en adminkonto og
sporenstregs slået det der irriterende popop fra på min
Vista-computer.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 19:31 |
|
Den Tue, 05 Feb 2008 19:05:38 +0100 skrev Bertel Lund Hansen:
> Kent Friis skrev:
>
>> Så er vi jo tilbage ved min påstand om at UAC bare er beviset på
>> at problemet med at man skal være Administrator hele tiden på
>> Windows stadig ikke er løst.
>
> Det bliver det heller aldrig. Det ville klippe forbindelsen til
> alt for meget eksisterende software.
Det er også min påstand, men der er flere der har givet indtryk
af at det problem skulle være løst.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Philip Nunnegaard (05-02-2008)
| Kommentar
Fra : Philip Nunnegaard |
Dato : 05-02-08 19:32 |
|
"Kim Ludvigsen" <usenet@kimludvigsen.dk> skrev i meddelelsen
news:47a79b89$0$2102$edfadb0f@dtext02.news.tele.dk...
> Nej. Alternativet til UAC er ikke en traditionel begrænset konto, men en
> traditionel administratorkonto. Hvis Microsoft ikke havde indført UAC, så
> kan jeg love dig for, at 95 procent eller flere af alle private brugere
> ville benytte en administratorkonto - ligesom de gør i XP.
Mon ikke folk gør det alligevel.
Jeg blev i hvert fald hurtigt irriteret over de dialogbokse med "Er du
sikker på, at du vil gemme filen". Ja for helvede. Ellers gjorde jeg det vel
ikke!
Lynhurtigt slog jeg det fra, da jeg fandt ud af, hvordan man gjorde. Og jeg
er ikke den eneste, der har slået UAC fra af samme årsag.
Som en bruger skrev i et forum for nylig:
[snip]
Jeg forstår heller ikke, at man ikke skal se filendelserne - noget af det
første, jeg slår til, hvis jeg får ny pc.
Der er dog rykket et helt nyt punkt ind øverst på listen - user account
control/brugerkontrol i Vista. Adr - væk med det.
[/snip]
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 19:39 |
|
Den Tue, 5 Feb 2008 19:32:22 +0100 skrev Philip Nunnegaard:
>
> Som en bruger skrev i et forum for nylig:
> [snip]
> Jeg forstår heller ikke, at man ikke skal se filendelserne - noget af det
> første, jeg slår til, hvis jeg får ny pc.
> Der er dog rykket et helt nyt punkt ind øverst på listen - user account
> control/brugerkontrol i Vista. Adr - væk med det.
> [/snip]
Er listen blevet længere af det? Jeg mente den lød på "skift
samtlige indstillinger til det modsatte af default".
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kim Ludvigsen (05-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 05-02-08 20:01 |
|
Den 05-02-08 16.34 skrev Kent Friis følgende:
> Den Tue, 05 Feb 2008 00:10:57 +0100 skrev Kim Ludvigsen:
>>
>> Hvis Microsoft ikke havde indført UAC,
>> så kan jeg love dig for, at 95 procent eller flere af alle private
>> brugere ville benytte en administratorkonto - ligesom de gør i XP.
>
> Så er vi jo tilbage ved min påstand om at UAC bare er beviset på
> at problemet med at man skal være Administrator hele tiden på
> Windows stadig ikke er løst.
Det problem kan du kun løse ved at kræve, at alle skal have et avanceret
pc-kørekort med sikkerheds-overbygning, før de får lov at bruge en
computer. Eller at man helt fjerner muligheden for at hr. Hansen og fru
Jørgensen får lov at bruge en administratorkonto, og at man så opretter
en administratorudrykningstjeneste, der kører rundt og installerer
programmer og ændrer opsætning for dem.
Microsoft har sikkert erkendt, at det ikke er muligt, hvorfor de har
fundet et brugbart alternativ.
--
Mvh. Kim Ludvigsen
Læs om RSS-feeds og forskellige RSS-læsere.
http://kimludvigsen.dk
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 20:33 |
|
["Followup-To:" header set to dk.edb.sikkerhed.]
Den Tue, 05 Feb 2008 20:00:38 +0100 skrev Kim Ludvigsen:
> Den 05-02-08 16.34 skrev Kent Friis følgende:
>> Den Tue, 05 Feb 2008 00:10:57 +0100 skrev Kim Ludvigsen:
>>>
>>> Hvis Microsoft ikke havde indført UAC,
>>> så kan jeg love dig for, at 95 procent eller flere af alle private
>>> brugere ville benytte en administratorkonto - ligesom de gør i XP.
>>
>> Så er vi jo tilbage ved min påstand om at UAC bare er beviset på
>> at problemet med at man skal være Administrator hele tiden på
>> Windows stadig ikke er løst.
>
> Det problem kan du kun løse ved at kræve, at alle skal have et avanceret
> pc-kørekort med sikkerheds-overbygning, før de får lov at bruge en
> computer. Eller at man helt fjerner muligheden for at hr. Hansen og fru
> Jørgensen får lov at bruge en administratorkonto, og at man så opretter
> en administratorudrykningstjeneste, der kører rundt og installerer
> programmer og ændrer opsætning for dem.
Og så tænker jeg: Hvorfor skal det være nødvendigt at være administrator
for at installere det mindste program? Var problemerne ikke løst
alligevel?
På en Linux er det sjældent nødvendigt at være root for at installere
andet end system-software. Enkelte producenter (bl.a. Sun) har dog
den tåbelige ide at man skal være root, men ofte kan det klares
ved at udkommentere check'et i installationsscriptet.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Philip Nunnegaard (05-02-2008)
| Kommentar
Fra : Philip Nunnegaard |
Dato : 05-02-08 20:56 |
|
"Kent Friis" <nospam@nospam.invalid> skrev i meddelelsen
news:47a8b9eb$0$90275$14726298@news.sunsite.dk...
> Og så tænker jeg: Hvorfor skal det være nødvendigt at være administrator
> for at installere det mindste program? Var problemerne ikke løst
> alligevel?
Ja. Ofte er det en gang overkill, som bare får folk til at slå alle
sikkerheds-foranstaltninger fra i ren desperation.
Det er historien om Peter og Ulven om igen.
> På en Linux er det sjældent nødvendigt at være root for at installere
> andet end system-software. Enkelte producenter (bl.a. Sun) har dog
> den tåbelige ide at man skal være root, men ofte kan det klares
> ved at udkommentere check'et i installationsscriptet.
Det kommer muligvis an på hvilken distribution man har.
Har selv Ubuntu (Feisty Fawn). Her er det endnu værre end i Vista.
Jeg kan ikke engang gemme simple php-filer i den rette mappe, fordi jeg
angiveligt ikke skulle have skriverettigheder til mappen.
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 20:59 |
|
Kent Friis <nospam@nospam.invalid> writes:
>På en Linux er det sjældent nødvendigt at være root for at installere
>andet end system-software.
$ apt-get install ltris
E: Could not open lock file /var/lib/dpkg/lock - open (13 Permission denied)
E: Unable to lock the administration directory (/var/lib/dpkg/), are you root?
Tetris er vist ikke lige i kategorien for systemsoftware?
Mvh.
Klaus.
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 21:12 |
|
Den Tue, 5 Feb 2008 19:59:17 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>På en Linux er det sjældent nødvendigt at være root for at installere
>>andet end system-software.
>
> $ apt-get install ltris
> E: Could not open lock file /var/lib/dpkg/lock - open (13 Permission denied)
> E: Unable to lock the administration directory (/var/lib/dpkg/), are you root?
>
> Tetris er vist ikke lige i kategorien for systemsoftware?
apt-get svarer til Tilføj/fjern windows-komponenter. Det er system-
software i den forstand at det er en del af den software der er
inkluderet med systemet.
Prøv fx Unreal Tournament 2004 i stedet for, den ved jeg med
sikkerhed at jeg ikke installerede som root. Eller hvadsomhelst
andet der bruger Loki Installer, svarende til en "next next finish"
setup.exe under Windows.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 21:21 |
|
Kent Friis <nospam@nospam.invalid> writes:
>apt-get svarer til Tilføj/fjern windows-komponenter. Det er system-
>software i den forstand at det er en del af den software der er
>inkluderet med systemet.
Det betyder i praksis, at 99% af alle Linux-programmer reelt
kræver root, fordi de alle - i følge manualen og best practice -
installeres med apt-get.
Hvilket jo svarer ganske udmærket til situationen på Windows.
Man kan selvfølgelig compile dem selv, men mon ikke tante Oda
på 80 år vil have lettere ved at gennemskue sikkerheden i
Windows (UAC eller ej) end at begynde på den slags?
Mvh.
Klaus.
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 21:51 |
|
Den Tue, 5 Feb 2008 20:21:18 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>apt-get svarer til Tilføj/fjern windows-komponenter. Det er system-
>>software i den forstand at det er en del af den software der er
>>inkluderet med systemet.
>
> Det betyder i praksis, at 99% af alle Linux-programmer reelt
> kræver root, fordi de alle - i følge manualen og best practice -
> installeres med apt-get.
Hvilken manual og best practice snakker du om?
Tvært imod, var forsøget på at presse alt ind i RPM det der gav
RPM-systemet tilnavnet "RPM-hell". At ting der intet har med distro'en
at gøre også leveres som RPM pakker, selvom de ikke ligger på
hverken CD'en eller RedHats server, så dependencies ikke længere
kan klares automatisk (da systemet ingen anelse har om hvor de
skal hentes).
Hvilke andre distroer forsøger at begå samme fejl - eller endda
kalder den best practice? For så skal jeg da gå i en lige så stor
bue udenom dem.
> Hvilket jo svarer ganske udmærket til situationen på Windows.
På Windows bruges tilføj/fjern Windows-komponenter kun til de ting
den er beregnet til.
> Man kan selvfølgelig compile dem selv,
Er du sikker? Jeg gentager lige mit eksempel:
Prøv at installere Unreal Tournament 2004.
Mig bekendt forholder det sig sådan at enten er man ansat hos Epic[1],
eller også kan man ikke compile noget som helst.
Jeg nævnte faktisk også Loki Installer, som er en grafisk
"next next finish" installer der bruges (primært til spil) under
Linux.
Mvh
kent
[1] Er det ikke dem der laver UT?
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 22:10 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Hvilken manual og best practice snakker du om?
Af egen erfaring: SuSE, Ubuntu, Debian, Mandriva, Red Hat, Fedora
og sikkert et par stykker mere.
>> Man kan selvfølgelig compile dem selv,
>Er du sikker? Jeg gentager lige mit eksempel:
>Prøv at installere Unreal Tournament 2004.
Lad os sige, der er 50.000 pakker til Linux. Hvor mange af dem
installeres på den måde? 10?
Vi skal op på 99% af alle populære stykker software, der bruger
den slags installer, før det er realistisk, at tante Oda får en
bedre oplevelse...
Mvh.
Klaus.
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 22:16 |
|
Den Tue, 5 Feb 2008 21:09:36 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Hvilken manual og best practice snakker du om?
>
> Af egen erfaring: SuSE, Ubuntu, Debian, Mandriva, Red Hat, Fedora
> og sikkert et par stykker mere.
Halvdelen af dem var ikke Debian-baserede sidst jeg checkede. Og en
del af dem er netop dem der har begået førnævnte fejl.
>>> Man kan selvfølgelig compile dem selv,
>
>>Er du sikker? Jeg gentager lige mit eksempel:
>>Prøv at installere Unreal Tournament 2004.
>
> Lad os sige, der er 50.000 pakker til Linux. Hvor mange af dem
> installeres på den måde? 10?
Alle de spil jeg har købt, undtagen de tre der har krævet Wine. Det
skal jo være noget der kan sammenlignes med Windows.
At man installerer fx Wireshark fra source kan jo være fuldstændig
ligegyldigt for tante Oda.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (05-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 05-02-08 22:21 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Alle de spil jeg har købt, undtagen de tre der har krævet Wine. Det
>skal jo være noget der kan sammenlignes med Windows.
Okay, så i bund og grund kræver Linux - med undtagelse af måske
5-10 pakker alt i alt - også root fo at installere noget som helst?
Mvh.
Klau.
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 22:25 |
|
Den Tue, 5 Feb 2008 21:20:32 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Alle de spil jeg har købt, undtagen de tre der har krævet Wine. Det
>>skal jo være noget der kan sammenlignes med Windows.
>
> Okay, så i bund og grund kræver Linux - med undtagelse af måske
> 5-10 pakker alt i alt - også root fo at installere noget som helst?
Linux kræver ikke noget som helst. Det er muligt at de distroer
du nævner betrager "RPM hell" som best practice (i hvert fald
SuSE ville ikke overraske mig spor), men det er i så fald distoens
fejl, og ikke systemets.
Der er intet i Linux der kræver at man skal være root for at
installere programmer.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kent Friis (05-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 05-02-08 22:42 |
|
Den Tue, 5 Feb 2008 21:09:36 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Hvilken manual og best practice snakker du om?
>
> Af egen erfaring: SuSE, Ubuntu, Debian, Mandriva, Red Hat, Fedora
> og sikkert et par stykker mere.
Det var iøvrigt et forsøg på netop at levere programmer på den
måde (som RPM), for brugervenlighedens skyld (før man havde
en ordentlig installer), der gjorde at mange programmer en
overgang krævede Red Hat.
Vil du virkelig have jeg skal tro på at fx Ubuntu og Debian
ønsker at komme tilbage til det? Hvorfor skulle de være
interesseret i RedHat only software, efter det langt om længe
er lykkedes at overbevise langt de fleste om at man som minimum
skal have en tar-fil?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kim Ludvigsen (06-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 06-02-08 00:05 |
|
Den 05-02-08 20.32 skrev Kent Friis følgende:
> Den Tue, 05 Feb 2008 20:00:38 +0100 skrev Kim Ludvigsen:
>
>> Det problem kan du kun løse ved at kræve, at alle skal have et avanceret
>> pc-kørekort med sikkerheds-overbygning, før de får lov at bruge en
>> computer. Eller at man helt fjerner muligheden for at hr. Hansen og fru
>> Jørgensen får lov at bruge en administratorkonto, og at man så opretter
>> en administratorudrykningstjeneste, der kører rundt og installerer
>> programmer og ændrer opsætning for dem.
>
> Og så tænker jeg: Hvorfor skal det være nødvendigt at være administrator
> for at installere det mindste program? Var problemerne ikke løst
> alligevel?
Sjovt som tingene har det med at vende sig på hovedet. I mange tidligere
tråde er brugen af administratorkonti blevet fremhævet, fordi man så
ikke umiddelbart kan installere slemme programmer. Og nu mener du
tilsyneladende, at det er en fordel, at man kan installere programmer
uden at have administratorrettigheder.
> På en Linux er det sjældent nødvendigt at være root for at installere
> andet end system-software.
Så i henhold til tidligere meninger i gruppen om installation af
software og administratorkonti, så er Windows Vista altså mere sikkert
(på det område) end Linux.
Tilføjelse: Nå, jeg kan se af andre indlæg, at Linux vist alligevel ikke
er så usikkert, som du angiveligt ønsker ovenfor.
--
Mvh. Kim Ludvigsen
Leg med verdens første regneark, VisiCalc, og mærk historiens vingesus.
http://kimludvigsen.dk
| |
Klaus Ellegaard (06-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 06-02-08 06:11 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Der er intet i Linux der kræver at man skal være root for at
>installere programmer.
Det er der heller ikke i Windows.
Mvh.
Klaus.
| |
Klaus Ellegaard (06-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 06-02-08 06:23 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> writes:
>Tilføjelse: Nå, jeg kan se af andre indlæg, at Linux vist alligevel ikke
>er så usikkert, som du angiveligt ønsker ovenfor.
Jeg tror, konklusionen er, at man hverken i Windows eller Linux
behøver at være super-user for at installere programmer.
MEN i praksis - i hvert fald når vi snakker den type brugere,
der vil have udfordringer med sikkerhed - er det nødvendigt.
Under Windows kan man ofte ændre installationens katalog, så
den f.eks. bliver installeret under C:\Users\Whoever, men der
er en tendens til at mange programmer stadig vil smide ting i
Windows-kataloget. Så det er lidt besværligt for ikke at sige
grænsende til det umulige.
Under Linux kan man compile tingene selv og dermed selv være
herre over, hvor alting skal ligge. Men det kræver nogle års
erfaring, før man kan tackle ethvert problem i dét... og så
er vi langt væk fra vores målgruppe, der bevidstløst klikker
hist og her, og som ikke kan overskue forskellen på at have
administrator-rettigheder eller ej.
Samtidig har Linux også noget af et dependency-helvede, som
stammer fra, at selve OS'et i praksis er enormt. Det er ikke
et helvede til daglig, fordi alle distributioner har dem i
en central database, som sørger for at resolve dem alle for
én. Men skal man til at installere et program selv (udenom
OS'et), kan man risikere at skulle downloade og compile ikke
ét program, men måske ét program og 20 dependencies. Det er
ikke hverken praktisk, smart eller tidsmæssigt overskueligt.
Endelig forventer de enkelte dependencies at finde hinanden
i /usr/lib/whatever, hvilket betyder, at man skal drømme en
storstilet lokal struktur op i sit eget homedir og derefter
(re)compile alle sine lokale pakker med
--with-whatever=/home/bleh/blah --with-other=/home/bleh/bluh
i én uendelighed.
Hvis man skal installere 200 pakker med 500 afhængigheder
på den måde, har man vist brugt et års fritid. I stedet for
at blive root og installere det hele på en time
Alt i alt: Linux og Windows er præcis det samme: man kan
sagtens installere programmer uden for de "foretrukne"
steder. I praksis er det dog temmelig besværligt og i
nogle tilfælde umuligt. Ingen af delene henvender sig til
80-årige tante Oda, og dermed er hele diskussionen i denne
kontekst faktisk ligegyldig.
Mvh.
Klaus.
| |
Kim Ludvigsen (06-02-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 06-02-08 06:49 |
|
Den 06-02-08 06.23 skrev Klaus Ellegaard følgende:
[snip forklaring om installation i Linux]
Tak! Mit kendskab til Linux er yderst ringe, så det var rart lige at få
forklaret, hvordan det virker med programinstallationer.
--
Mvh. Kim Ludvigsen
Få en lille, praktisk og helt gratis lommeregner i proceslinjen.
http://kimludvigsen.dk
| |
Kent Friis (06-02-2008)
| Kommentar
Fra : Kent Friis |
Dato : 06-02-08 16:36 |
|
Den Wed, 6 Feb 2008 05:10:57 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Der er intet i Linux der kræver at man skal være root for at
>>installere programmer.
>
> Det er der heller ikke i Windows.
Så drop dog UAC, og kør som en normal bruger.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (06-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 06-02-08 17:10 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Det er der heller ikke i Windows.
>Så drop dog UAC, og kør som en normal bruger.
Thread looping, please go to the first post
Mvh.
Klaus.
| |
Peder Vendelbo Mikke~ (03-05-2008)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 03-05-08 07:18 |
|
"Axel Hammerschmidt" Wrote
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>> Vil det sige, at trods al din snak om sikkerhed og fornuftig opfør-
>> sel, så bruger du en mailklient, der skjuler filtypen?
> I Outlook Express er det som sagt omstændigt: højre-klikke i oversig-
> ten -> Egenskaber -> faneblad Detaljer -> Meddelseskilde
Det er lidt hurtigere at anvende CTRL + F3 i stedet.
| |
Philip Nunnegaard (04-05-2008)
| Kommentar
Fra : Philip Nunnegaard |
Dato : 04-05-08 13:04 |
|
"Peder Vendelbo Mikkelsen" <example@example.com> skrev i meddelelsen
news:481c091f$0$15899$edfadb0f@dtext01.news.tele.dk...
>> I Outlook Express er det som sagt omstændigt: højre-klikke i oversig-
>> ten -> Egenskaber -> faneblad Detaljer -> Meddelseskilde
>
> Det er lidt hurtigere at anvende CTRL + F3 i stedet.
Dén kendte jeg ikke.
Tak for tippet.
| |
Klaus Ellegaard (29-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 29-01-08 18:32 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>> Hvad har UAC at gøre med mailklienter og phishingforsøg?
>Som eksemlet skulle vise, så kan en mailklient bruges som
>"angrebsvektor" når der installeres malware.
Hvilket er endnu et argument *FOR* at bruge UAC.
Mvh.
Klaus.
| |
Peder Vendelbo Mikke~ (09-02-2008)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 09-02-08 02:26 |
|
"Axel Hammerschmidt" wrote
> Sådan een har jeg selv klikket på i Mac OS. Filen var en .exe fil. Jeg
> kan ikke lige huske hvad virusen hed,
Hvis du er nysgerrig efter det en anden gang kan VirusTotal sandsynligvis
fortælle dig det: http://www.virustotal.com/
De scanner med diverse udbredte produkter og sender samples videre til
leverandørene i tilfælde af at antivirus-produkterne ikke finder noget.
| |
Klaus Ellegaard (22-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 22-01-08 00:17 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
>konto med begrænsede rettigheder til det daglige arbejde, af
>sikkerhedsmæssige årsager.
Jeg stopper her. Der er vist ingen grund til at debatere et emne
med dig, når dit eneste bidrag er, at hvis du siger det samme
udokumenterede vås tilpas mange gange, så er der "forhåbentlig"
nogle sagesløse brugere, der ender med at tro dig. Stakkels dem.
Jeg tillader mig at bemærke, at mine indlæg i denne tråd har fået
nogle kommentarer om detaljer i mine argumenter, jeg har overset.
Ingen har modsagt mig i de basale elementer - og ingen har støttet
dine holdninger.
Mvh.
Klaus.
| |
Axel Hammerschmidt (25-01-2008)
| Kommentar
Fra : Axel Hammerschmidt |
Dato : 25-01-08 04:08 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
> >konto med begrænsede rettigheder til det daglige arbejde, af
> >sikkerhedsmæssige årsager.
>
> Jeg stopper her. Der er vist ingen grund til at debatere et emne
> med dig, når dit eneste bidrag er, at hvis du siger det samme
> udokumenterede vås tilpas mange gange, så er der "forhåbentlig"
> nogle sagesløse brugere, der ender med at tro dig. Stakkels dem.
Ubegribeligt, at nogen gør sig til talsmand i dk.edb.sikkerhed for at
bruge en konto med administrator rettigheder i Windows til det daglige.
> Jeg tillader mig at bemærke, at mine indlæg i denne tråd har fået
> nogle kommentarer om detaljer i mine argumenter, jeg har overset.
> Ingen har modsagt mig i de basale elementer - og ingen har støttet
> dine holdninger.
.... man ta'r sig til hovedet!
--
"Any girl can be glamorous. All you have to do is stand still and look
stupid."
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 08:37 |
|
hlexa@hotmail.com (Axel Hammerschmidt) writes:
>Ubegribeligt, at nogen gør sig til talsmand i dk.edb.sikkerhed for at
>bruge en konto med administrator rettigheder i Windows til det daglige.
Jeg gør da præcis det modsatte, hvilket også er helt i tråd med
udmeldingerne fra Microsoft: http://shor.ter.dk/625745926
| RUNNING AS STANDARD USER, which is the recommended configuration
| and made easier in Windows Vista thanks to User Account Control,
| helps reduce the impact of any particular vulnerability.
--- Austin Wilson, director of client security product management
Hvor er din dokumentation FRA MICROSOFT, der siger, at Administrator
med UAC *ikke* er en begrænset bruger? Jeg gider ikke høre på noget,
du har fundet på en tilfældig blog... jeg har lige fundet en blog,
der dokumenterer, at alle MacOS-brugere er idioter, så det sætter
vist lige troværdigheden af tilfældige blogs på plads
Jeg har en fornemmelse af, at du stadig ikke har forstået, hvad
UAC egentlig er. Reelt er det en kombination af "su" og "sudo"
implementeret grafisk. Her er en udmærket, detaljeret gennemgang
af UAC:
http://www.informit.com/guides/content.aspx?g=windowsserver&seqNum=243
Eller med andre ord: UAC er præcis det samme som en Unix-bruger,
der ikke er root, men som enten har sudo-adgang eller kender til
root-passwordet og derfor kan køre "su".
Mvh.
Klaus.
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 16:14 |
|
Den Fri, 25 Jan 2008 04:07:51 +0100 skrev Axel Hammerschmidt:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
>> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>>
>> >Lige som med Mac OS X og Windows XP Pro bør man osse i Vista bruge en
>> >konto med begrænsede rettigheder til det daglige arbejde, af
>> >sikkerhedsmæssige årsager.
>>
>> Jeg stopper her. Der er vist ingen grund til at debatere et emne
>> med dig, når dit eneste bidrag er, at hvis du siger det samme
>> udokumenterede vås tilpas mange gange, så er der "forhåbentlig"
>> nogle sagesløse brugere, der ender med at tro dig. Stakkels dem.
>
> Ubegribeligt, at nogen gør sig til talsmand i dk.edb.sikkerhed for at
> bruge en konto med administrator rettigheder i Windows til det daglige.
Er det ikke netop det der er hele pointen med UAC, at få folk til at
fortsætte med at køre som administrator, så programmørerne fortsætter
med at lave programmer der kun virker når man kører administrator?
Anbefalingerne her begynder i hvert fald at se sådan ud.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 18:07 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Er det ikke netop det der er hele pointen med UAC, at få folk til at
>fortsætte med at køre som administrator, så programmørerne fortsætter
>med at lave programmer der kun virker når man kører administrator?
Ikke mere end det er anbefalingen på Unix. Her har "su" jo samme
funktion, så reelt er Vista og Unix fuldstændig ens dér.
>Anbefalingerne her begynder i hvert fald at se sådan ud.
Egentlig er det også tendensen på Linux: Ubuntu har indført et
koncept, hvor folk efterhånden kører en kommando som "dem selv".
Går det ikke godt, sætter de "sudo" foran og prøver igen.
Så alt i alt har UAC bredt sig til Linux også.
Mvh.
Klaus.
| |
Alex Holst (25-01-2008)
| Kommentar
Fra : Alex Holst |
Dato : 25-01-08 19:29 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> Egentlig er det ogs? tendensen p? Linux: Ubuntu har indf?rt et
> koncept, hvor folk efterh?nden k?rer en kommando som "dem selv".
> G?r det ikke godt, s?tter de "sudo" foran og pr?ver igen.
sudo køb mig en fastelavnsbolle med cacaocreme
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/
| |
Andreas Plesner Jaco~ (25-01-2008)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 25-01-08 20:04 |
|
On 2008-01-25, Alex Holst <a@mongers.org> wrote:
>> Egentlig er det ogs? tendensen p? Linux: Ubuntu har indf?rt et
>> koncept, hvor folk efterh?nden k?rer en kommando som "dem selv".
>> G?r det ikke godt, s?tter de "sudo" foran og pr?ver igen.
>
> sudo køb mig en fastelavnsbolle med cacaocreme
Pfft, er du ikke lidt 2006?
http://xkcd.com/149/
--
Andreas
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 20:30 |
|
Den Fri, 25 Jan 2008 17:06:56 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Er det ikke netop det der er hele pointen med UAC, at få folk til at
>>fortsætte med at køre som administrator, så programmørerne fortsætter
>>med at lave programmer der kun virker når man kører administrator?
>
> Ikke mere end det er anbefalingen på Unix. Her har "su" jo samme
> funktion, så reelt er Vista og Unix fuldstændig ens dér.
Hvem anbefaler at man logger ind som root, og bruger su? Og til
hvad? Til at skifte til en alm. bruger?
>>Anbefalingerne her begynder i hvert fald at se sådan ud.
>
> Egentlig er det også tendensen på Linux: Ubuntu har indført et
> koncept, hvor folk efterhånden kører en kommando som "dem selv".
> Går det ikke godt, sætter de "sudo" foran og prøver igen.
>
> Så alt i alt har UAC bredt sig til Linux også.
Ved du overhovedet noget om nogen af delene?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 20:39 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Ikke mere end det er anbefalingen på Unix. Her har "su" jo samme
>> funktion, så reelt er Vista og Unix fuldstændig ens dér.
>Hvem anbefaler at man logger ind som root, og bruger su? Og til
>hvad? Til at skifte til en alm. bruger?
Det er ikke dét, du gør på Vista. Du starter som en "normal"
bruger, der har i sin policy, at du kan blive "elevated". Det
er nøjagtig det samme som su... specielt i de udgaver, der
kræver, at man er medlem af wheel-gruppen eller lignende (det
kan sammenlignes med den policy).
>Ved du overhovedet noget om nogen af delene?
Det tror jeg ikke, jeg gider nedværdige mig til at svare på.
Mvh.
Klaus.
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 21:08 |
|
Den Fri, 25 Jan 2008 19:38:52 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Ikke mere end det er anbefalingen på Unix. Her har "su" jo samme
>>> funktion, så reelt er Vista og Unix fuldstændig ens dér.
>
>>Hvem anbefaler at man logger ind som root, og bruger su? Og til
>>hvad? Til at skifte til en alm. bruger?
>
> Det er ikke dét, du gør på Vista. Du starter som en "normal"
> bruger, der har i sin policy, at du kan blive "elevated". Det
> er nøjagtig det samme som su... specielt i de udgaver, der
> kræver, at man er medlem af wheel-gruppen eller lignende (det
> kan sammenlignes med den policy).
Det var ellers netop en diskussion om at logge ind som administrator
der gav det indtryk.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 21:19 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Det var ellers netop en diskussion om at logge ind som administrator
>der gav det indtryk.
Jeps, hvor jeg hoppede ind og sagde, at UAC sørger for, at man
netop IKKE er Administrator, medmindre man har brug for at være
det.
Så gik tråden ellers i selvsving - og jeg har lidt på fornemmelsen,
at det skyldes halve vinde, manglende forståelse af UAC - og i det
hele taget hvordan Windows fungerer sikkerhedsmæssigt.
Hvilket så ender med, at folk får mærkelige råd, der slet ikke har
nogen sammenhæng med virkeligheden.
Man kan nu engang ikke sætte lighedstegn mellem MacOS og Windows -
eller i det hele taget to OS'er der ikke deler samme udvikling.
Mvh.
Klaus.
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 21:29 |
|
Den Fri, 25 Jan 2008 20:18:37 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Det var ellers netop en diskussion om at logge ind som administrator
>>der gav det indtryk.
>
> Jeps, hvor jeg hoppede ind og sagde, at UAC sørger for, at man
> netop IKKE er Administrator, medmindre man har brug for at være
> det.
Altså, hvor svært kan det være? Enten logger man ind som administrator
(A-d-m-i-n-i-s-t-r-a-t-o-r), eller også gør man ikke. Og hvis man
opfordrer folk til at gøre det, er det samtidig en opfordring til
dem der laver programmer til Windows om at fortsætte med at have
som forudsætning at alle logger ind som administrator.
Folk kan jo bare clicke <allow>, og så kører det det, og for dem
der forsøger at bruge programmet uden at være logget ind som
administrator, er det bare ærgerligt. Der er ikke noget der virker.
Det problem har man haft i mange år, og nu det endeligt er begyndt
at gå en lille smule i den rigtige retning, begynder folk at opfordre
til at genindføre problemet.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Kim Ludvigsen (25-01-2008)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 25-01-08 21:55 |
|
Den 25-01-08 21.29 skrev Kent Friis følgende:
> Den Fri, 25 Jan 2008 20:18:37 +0000 (UTC) skrev Klaus Ellegaard:
>> Kent Friis <nospam@nospam.invalid> writes:
>>
>> Jeps, hvor jeg hoppede ind og sagde, at UAC sørger for, at man
>> netop IKKE er Administrator, medmindre man har brug for at være
>> det.
>
> Altså, hvor svært kan det være? Enten logger man ind som administrator
> (A-d-m-i-n-i-s-t-r-a-t-o-r), eller også gør man ikke.
Ja, i den gamle terminologi, hvor det var enten/eller. Med UAC har
Microsoft lavet en tredje løsning, hvor man ikke har
administratorrettigheder, selvom man bruger en administratorkonto.
> Folk kan jo bare clicke <allow>, og så kører det det, og for dem
> der forsøger at bruge programmet uden at være logget ind som
> administrator, er det bare ærgerligt.
Klikket svarer til, at man logger sig ind som traditionel administrator
med alle rettigheder. Forskellen er, at det er meget lettere end at
skulle skifte til en traditionel administratorkonto, ulempen er
naturligvis, at man risikerer, at brugerne ikke tænker sig om, når de
klikker.
> Der er ikke noget der virker.
> Det problem har man haft i mange år, og nu det endeligt er begyndt
> at gå en lille smule i den rigtige retning, begynder folk at opfordre
> til at genindføre problemet.
Hvem er "folk"? Jeg har ikke set nogen i denne tråd opfordre til, at man
som standard logger sig ind med alle administratorrettigheder (i Vistas
tilfælde: slår UAC fra).
Microsoft har lavet en tredje løsning, sikkert fordi man har ment, at
den er mere spiselig for brugere, der har været vant til at have adgang
til det hele. Og jeg tror de har ret, blot skulle de have lavet UAC lidt
mere intelligent, så den poppede op lidt færre gange. Der har været en
del utilfredse røster over UAC, så jeg tør da slet ikke tænke på,
hvordan det ville have været, hvis man skulle skifte til en traditionel
administratorkonto i stedet for at nøjes med at klikke.
--
Mvh. Kim Ludvigsen
Hjælp til begyndere og uøvede computer- og internetbrugere.
http://kimludvigsen.dk
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 22:40 |
|
Den Fri, 25 Jan 2008 21:55:27 +0100 skrev Kim Ludvigsen:
> Den 25-01-08 21.29 skrev Kent Friis følgende:
>> Den Fri, 25 Jan 2008 20:18:37 +0000 (UTC) skrev Klaus Ellegaard:
>>> Kent Friis <nospam@nospam.invalid> writes:
>>>
>>> Jeps, hvor jeg hoppede ind og sagde, at UAC sørger for, at man
>>> netop IKKE er Administrator, medmindre man har brug for at være
>>> det.
>>
>> Altså, hvor svært kan det være? Enten logger man ind som administrator
>> (A-d-m-i-n-i-s-t-r-a-t-o-r), eller også gør man ikke.
>
> Ja, i den gamle terminologi, hvor det var enten/eller. Med UAC har
> Microsoft lavet en tredje løsning, hvor man ikke har
> administratorrettigheder, selvom man bruger en administratorkonto.
>
>> Folk kan jo bare clicke <allow>, og så kører det det, og for dem
>> der forsøger at bruge programmet uden at være logget ind som
>> administrator, er det bare ærgerligt.
>
> Klikket svarer til, at man logger sig ind som traditionel administrator
> med alle rettigheder. Forskellen er, at det er meget lettere end at
> skulle skifte til en traditionel administratorkonto, ulempen er
> naturligvis, at man risikerer, at brugerne ikke tænker sig om, når de
> klikker.
Forskellen er at man er ved at lære brugerne at de bare skal logge
ind som administrator, hvorefter programmer igen vil blive lavet
så de kun virker når man er logget ind som administrator, hvor
efter vi er tilbage ved at domæne-administratoren igen skal til
at give alle lokale administratorrettigheder, for at noget som helst
virker.
>> Der er ikke noget der virker.
>> Det problem har man haft i mange år, og nu det endeligt er begyndt
>> at gå en lille smule i den rigtige retning, begynder folk at opfordre
>> til at genindføre problemet.
>
> Hvem er "folk"? Jeg har ikke set nogen i denne tråd opfordre til, at man
> som standard logger sig ind med alle administratorrettigheder (i Vistas
> tilfælde: slår UAC fra).
Prøv at forstå forskellen på at have administratorrettigheder (aka.
rettighed til at clicke <Allow>), og SLET IKKE HAVE DEM.
> Microsoft har lavet en tredje løsning, sikkert fordi man har ment, at
> den er mere spiselig for brugere, der har været vant til at have adgang
> til det hele.
Eller fordi de har opgivet at få programmører til at fixe deres
elendige software så det virker uden administratorrettigheder.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Christian E. Lysel (25-01-2008)
| Kommentar
Fra : Christian E. Lysel |
Dato : 25-01-08 23:01 |
|
On Fri, 2008-01-25 at 21:40 +0000, Kent Friis wrote:
> Forskellen er at man er ved at lære brugerne at de bare skal logge
> ind som administrator, hvorefter programmer igen vil blive lavet
> så de kun virker når man er logget ind som administrator, hvor
> efter vi er tilbage ved at domæne-administratoren igen skal til
> at give alle lokale administratorrettigheder, for at noget som helst
> virker.
Jeg giver dig ikke helt ret.
1. Hvor mange programmer i dag er kodet så dårligt?
2. Hvor mange programmører vil kode programmer, der får GUI'en til at
fryse hvorefter brugeren skal tage stilling til sikkerhedsspørgsmål?
| |
Kent Friis (25-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 25-01-08 23:09 |
|
Den Fri, 25 Jan 2008 23:00:34 +0100 skrev Christian E. Lysel:
>
> On Fri, 2008-01-25 at 21:40 +0000, Kent Friis wrote:
>> Forskellen er at man er ved at lære brugerne at de bare skal logge
>> ind som administrator, hvorefter programmer igen vil blive lavet
>> så de kun virker når man er logget ind som administrator, hvor
>> efter vi er tilbage ved at domæne-administratoren igen skal til
>> at give alle lokale administratorrettigheder, for at noget som helst
>> virker.
>
> Jeg giver dig ikke helt ret.
>
> 1. Hvor mange programmer i dag er kodet så dårligt?
Nok til at det er de færreste der overhovedet forsøger at bruge
Windows uden at være administrator. Især blandt spil er det et
stort problem.
> 2. Hvor mange programmører vil kode programmer, der får GUI'en til at
> fryse hvorefter brugeren skal tage stilling til sikkerhedsspørgsmål?
Mindst lige så mange som synes at det er helt fint at deres
program beder om at sende en fejlrapport hvis man ikke er logget
ind som administrator
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (25-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 25-01-08 23:20 |
|
"Christian E. Lysel" <christian@example.net> writes:
>Jeg giver dig ikke helt ret.
>1. Hvor mange programmer i dag er kodet så dårligt?
Jeg har faktisk ikke mødt nogen endnu - og jeg har kørt Vista siden
RC1. Jeg er ikke den store spillefanatiker, men jeg har da en del
af dem - også ældre sager som Doom 3, Return to Castle Wolfenstein,
Silent Hill 2 og Quake kører ganske fjong uden Admin-rettigheder.
Quake endda selvom Vista insisterer på, at det ikke virker
Eneste udfordring var faktisk SH2, der gemmer sine save-games i
Program Files. Det må den som udgangspunkt ikke. Det fik ikke UAC
frem, men jeg kunne ikke gemme spil, før jeg fiksede rettighederne
på kataloget.
Mvh.
Klaus.
| |
Peter Brodersen (26-01-2008)
| Kommentar
Fra : Peter Brodersen |
Dato : 26-01-08 04:07 |
|
On 25 Jan 2008 20:29:12 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Altså, hvor svært kan det være? Enten logger man ind som administrator
>(A-d-m-i-n-i-s-t-r-a-t-o-r), eller også gør man ikke
Eller også er der gradueringer. Klaus gav et eksempel med
wheel-gruppen. Vil du forholde dig til det?
Og mange tak for gradueringerne. Der er godt nok virkelig en god
historik for skrammel-opsætning af rettigheder på de fleste
flerbruger-systemer.
Unix-verdenen har bygget et helvede ud fra en ellers fornuftig præmis
om at kun processer, som kører med root-rettigheder må binde sig til
porte under 1024. Det var for at sikre imod en almindelig bruger, som
lige bankede en telnetd op, den gang, det var populært.
Til gengæld er det et fantastisk horribelt trade-off: "Min webserver
skal binde til port 80. Derfor giver det mening at STARTE med at den
kan påvirke samtlige processer, skrive råt til harddisken, ændre
MBR'en, pille ved hardware-indstillinger, rode med
netværksopsætningen, læse alle brugeres mails, sniffe og injecte
netværkspakker, lukke maskinen ned, åbne cd-skuffen, kopiere brugeres
nøgler, installere og starte nye applikationer som root, udskifte
systemfiler, installere Windows 3.11 på en anden partition og symlinke
emacs til ed."
Vi håber bare, at den så dropper privilegier. Vi håber også, at vores
dnsd dropper privilegier.
Det samme er tilfældet for vores smtp-, ssh-, samba-, ftp-, pop3- og
imap4-server. Her er der selvfølgelig nogle brugerprivilegier, som er
relevante, men igen starter vi med løsningen, hvor vi har adgang til
alt - og ikke bare alt som i "alle filer" - og så skifter "ned" til en
bestemt bruger, i stedet for at have et system, der går fra bunden op,
gennem brugerens egen autentificering.
Slutteligt er der den primitive løsning som superbruger med blot at
oprette brugere til forskellige formål. Det er en okay workaround at
have en foosql-bruger til foosql, men det er næppe noget, der er lagt
op til at man kan gøre on-the-fly, og heller ikke noget, en almindelig
bruger har gode muligheder for.
Udgangspunktet er derfor igen, at min webbrowser, min irc-klient, min
news-klient, mit skrivebordsur, min im-klient, mit computerspil, min
lommeregner, min ssh-klient og så fremdeles alle har adgang til min
mail på maskinen. Hvorfor har de det? Hvorfor er udgangspunktet igen,
at vi håber, at de holder fingrene for sig selv?
Når vi ved, at bruger-eskalering er en normal begivenhed frem for at
logge helt påny ind som root, hvorfor accepterer vi så, at vores
musik-afspiller har adgang til at snuse i alle vores øvrige processer?
Hvorfor skal xroach kunne tilgå min private ssh-nøgle?
Der er naturligvis nogle undtagelser, hvor der er behov for at have
dedikerede debug-tools eller at afvikle programmer med fuld adgang til
ens brugers ressourcer. Men det bør være undtagelsen og ikke reglen,
at en ny proces har alle de privilegier, som brugeren i sig selv har.
--
- Peter Brodersen
Kendt fra Internet
| |
Straight Talk (22-01-2008)
| Kommentar
Fra : Straight Talk |
Dato : 22-01-08 09:33 |
|
On Sun, 20 Jan 2008 21:27:59 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
>>Og du ved ikke hvad folk laver, når de selv installerer Vista. Det er
>>proof-of-concept, hvis noget er det.
>
>Så er det jo netop godt, at UAC er default. Ergo er en default-
>installation med Administrator-brugeren helt efter dit hovede:
>man kører en konto med begrænsede rettigheder. Godtnok er man
>medlem af administrator-gruppen, men det "problem" fikser UAC.
En administratorkonto med "er du sikker?"-knap er ikke det samme som
en konto med begrænsede rettigheder.
>Jeg forstår så ikke helt, hvorfor du sidder og argumenterer MOD
>dig selv... men det er nok fordi du ikke kendte til UAC.
>
>>> | # Members of the admin group may gain root privileges
>>> | %admin ALL=(ALL) ALL
>
>>So what? at der begås dumheder er ikke noget godt argument for selv at
>>begå dumheder,
>
>Udfordringen her er, at dit forslag om en "begrænset" bruger i
>praksis betyder, at Ubuntu-systemet her så er MERE sårbart end
>hvis man kører som Administrator under Windows Vista med UAC.
>
>Begge scenarier som default installs.
>
>>Sådan et argument, som du kommer med her hedder en "stråmand". Du
>>tilføjer selv en situation med nogle selvvalgte betingelser, som som du
>>så finder argumenter i mod.
>
>Jeg har ikke ændret dine forudsætninger. Om nogen er du stråmanden
>i argumentet
>
>>Find et argument for at ikke bruge en konto med begrændede rettigheder i
>>det daglige i stedet for.
>
>Der er sådan set to pointer i det:
>
>For det første er det sådan, at Vista (og XP) er tiltænkt slut-
>brugere.
Hvordan ser en ikke-slutbruger ud?
>De har brug for fuld kontrol over deres hardware nu og
>da - for eksempel når der skal installeres noget nyt.
Netop: "Nu og da"
>Hvis man ikke kører som Administrator generelt, vil det betyde, at man
>skal skifte mellem to konti: "sig selv" og Administrator, når
>man skal pille.
Ja, det er godt nok også et stort problem...
>Det er et scenarie, som måske én ud af tusind Windows-brugere kan
>overskue.
Du forveksler "overskue" med "gider". Der er tale om en mere eller
mindre velovervejet afvejning mellem sikkerhed og bekvemmelighed. Et
reelt valg.
>Hvilket efterlader 999 ud af hver tusinde maskiner som
>"sitting ducks" uden UAC, fordi folk opgiver og alligevel bare
>kører som Administrator. Det var det, vi så under Windows XP.
Det har du så ret i.
>Derfor er UAC den geniale løsning på hele problematikken omkring
>slutbrugere: nu kan i hvert fald NOGLE sikkerhedsproblemer stoppes,
>fordi brugeren MÅSKE alligevel tænker sig om en ekstra gang. Uden
>at det vel at mærke generer brugeren, og uden at brugeren er nødt
>til at have det udvidede pc-kørekort for at kunne bruge Windows.
Jeg ser ikke UAC som nogen større sikkerheds-foranstaltning. Brugere
er generelt ikke gode til at tage sikkerhedsmæssige beslutninger. Især
iikke når "okay" i forvejen er det rigtige svar i langt de fleste
tilfælde.
>For det andet fordi at køre som Administrator er SIKRERE end at
>køre som en begrænset bruger.
Den må du gerne lige uddybe yderligere...
>I stedet for at malware og andre
>spændende ting blot får et "nej" til det, de ønsker, får brugeren
>nu eksplicit besked på, at et program ønsker at gøre "noget" med
>ekstra privilegier.
Ændrer det noget? Enten er det et program brugeren har startet og
derfor siger okay til eller også forstår brugeren ikke konsekvensen af
at et ja og vælger derfor at gøre som normalt (=acceptere).
Desuden ser du åbenbart helt bort fra at et stykke malware med
administrator-rettigheder er et godt stykke tættere på målet end et
stykke malware med begrænsede rettigheder. UAC eller ej.
>Det er altså ikke muligt for noget malware at starte op og prøve
>sig frem. Det er nødt til at starte op, tjekke om det umiddelbart
>kører med Administrator-privilegier, og lukke pænt ned igen hvis
>det ikke er tilfældet. Med en Administrator-konto med UAC får man
>at vide, at der er malware på færde, hvis man IKKE kører med en
>begrænset bruger.
Du kan roligt være vis på at malware-producenter er klogere end som
så.
>Jeg siger ikke, at UAC er svaret på alt. Eneste svar på "alt" i
>denne sammenhæng er at forbyde private pc'er.
Sludder. Svaret er at folk sætter sig ind i hvad de har med at gøre
før de kaster sig ud i det. Hvis folk begyndte at tilgå computere og
internet med samme forsigtighed og sunde skepsis som så mange andre af
livets forhold ville meget være nået.
>Jeg tror ikke på, der er nogen mildere løsning overhovedet.
>
>Men UAC er et rigtig godt skridt på vejen til at DÆMPE problemet
>med malware.
Malware skal ikke "dæmpes". Det skal slet ikke ind.
>En af de lidt fjollede ting i den sammenhæng er - i
>sikkerheds-professionelles øjne - at en begrænset bruger er mere
>usikkert end en ubegrænset. I praksis, forstås. Og med UAC i gang.
>
>>Det forøger risikoen for skade, at bruge en konto med administrator
>>rettigheder til de daglive opgaver. Det er ikke FUD at skrive det. Det
>>er sund fornuft.
>
>...for dem der ikke har forstået UACs funktionalitet vil det se
>sådan ud, ja.
>
>Og i alle mulige andre sammenhænge (og operativsystemer) er det
>da også helt korrekt.
>
>Mvh.
> Klaus.
| |
Klaus Ellegaard (22-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 22-01-08 10:19 |
|
Straight Talk <b__nice@hotmail.com> writes:
>En administratorkonto med "er du sikker?"-knap er ikke det samme som
>en konto med begrænsede rettigheder.
Nej, det er et kompromis, som er mere "spiseligt" end at skifte
mellem Administrator- og bruger-konto. Samtidig undgår man at
skulle have brugerne til at interessere sig for sikkerhed. Det
gider de ikke.
>Du forveksler "overskue" med "gider". Der er tale om en mere eller
>mindre velovervejet afvejning mellem sikkerhed og bekvemmelighed. Et
>reelt valg.
Du mener, at samtlige Windows-brugere uden undtagelse har helt
styr på forskellen mellem de to typer konti, men at de bare ikke
gider?
>>For det andet fordi at køre som Administrator er SIKRERE end at
>>køre som en begrænset bruger.
>Den må du gerne lige uddybe yderligere...
Det gjorde jeg jo lige nedenunder.
>Sludder. Svaret er at folk sætter sig ind i hvad de har med at gøre
>før de kaster sig ud i det. Hvis folk begyndte at tilgå computere og
>internet med samme forsigtighed og sunde skepsis som så mange andre af
>livets forhold ville meget være nået.
Har du en konkret plan for, hvordan man sørger for det? Udover en
minimums-straf på 10 års fængsel for at have en inficeret maskine,
kan jeg ikke se nogen effektiv måde at sørge for dét på.
(I det scenarie vil man få styr på problemet ved at ingen tør have
en maskine - så er problemet omgået)
Mvh.
Klaus.
| |
Ole Bole (22-01-2008)
| Kommentar
Fra : Ole Bole |
Dato : 22-01-08 10:44 |
|
Hej igen allesammen
Ja - jeg spurgte bare
- om jeg har fået et svar er så op til mig selv at vurdere, men særlig
konkret kan man da vist ikke sige svaret er.
Undskyld
| |
Andreas Plesner Jaco~ (22-01-2008)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 22-01-08 10:50 |
|
On 2008-01-22, Ole Bole <fake@fake.fake> wrote:
> Hej igen allesammen
>
> Ja - jeg spurgte bare
>
> - om jeg har fået et svar er så op til mig selv at vurdere, men særlig
> konkret kan man da vist ikke sige svaret er.
Det er fordi sikkerhed ikke kan defineres i sort/hvid.
--
Andreas
| |
Alex Holst (22-01-2008)
| Kommentar
Fra : Alex Holst |
Dato : 22-01-08 19:39 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> On 2008-01-22, Ole Bole <fake@fake.fake> wrote:
> > - om jeg har f?et et svar er s? op til mig selv at vurdere, men s?rlig
> > konkret kan man da vist ikke sige svaret er.
>
> Det er fordi sikkerhed ikke kan defineres i sort/hvid.
Endnu en grund til ikke at diskutere "sikkerhed" men "definerede
sikkerhedspolitikker" der netop har en sådan sort/hvid feature.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/
| |
Straight Talk (22-01-2008)
| Kommentar
Fra : Straight Talk |
Dato : 22-01-08 10:58 |
|
On Tue, 22 Jan 2008 09:19:01 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:
>Straight Talk <b__nice@hotmail.com> writes:
>
>>En administratorkonto med "er du sikker?"-knap er ikke det samme som
>>en konto med begrænsede rettigheder.
>
>Nej, det er et kompromis, som er mere "spiseligt" end at skifte
>mellem Administrator- og bruger-konto. Samtidig undgår man at
>skulle have brugerne til at interessere sig for sikkerhed. Det
>gider de ikke.
Du er altså enig.
>>Du forveksler "overskue" med "gider". Der er tale om en mere eller
>>mindre velovervejet afvejning mellem sikkerhed og bekvemmelighed. Et
>>reelt valg.
>
>Du mener, at samtlige Windows-brugere uden undtagelse har helt
>styr på forskellen mellem de to typer konti, men at de bare ikke
>gider?
Nej. Jeg siger der er taget et reelt valg. Enten det at man ikke gider
sætte sig ind hvordan et styresystems sikkerhed er tænkt eller at man
ikke gider benytte sig af det.
>>>For det andet fordi at køre som Administrator er SIKRERE end at
>>>køre som en begrænset bruger.
>
>>Den må du gerne lige uddybe yderligere...
>
>Det gjorde jeg jo lige nedenunder.
Ikke på nogen overbevisende måde. Derfor udtrykket "yderligere".
>>Sludder. Svaret er at folk sætter sig ind i hvad de har med at gøre
>>før de kaster sig ud i det. Hvis folk begyndte at tilgå computere og
>>internet med samme forsigtighed og sunde skepsis som så mange andre af
>>livets forhold ville meget være nået.
>
>Har du en konkret plan for, hvordan man sørger for det?
Nej. Det skal jeg heller ikke have. Jeg er ikke ansvarlig for hvad
alle andre vælger at gøre.
>Udover en minimums-straf på 10 års fængsel for at have en inficeret maskine,
>kan jeg ikke se nogen effektiv måde at sørge for dét på.
Nå.
| |
Kent Friis (23-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 23-01-08 16:44 |
|
Den Tue, 22 Jan 2008 09:19:01 +0000 (UTC) skrev Klaus Ellegaard:
> Straight Talk <b__nice@hotmail.com> writes:
>
>>En administratorkonto med "er du sikker?"-knap er ikke det samme som
>>en konto med begrænsede rettigheder.
>
> Nej, det er et kompromis, som er mere "spiseligt" end at skifte
> mellem Administrator- og bruger-konto. Samtidig undgår man at
> skulle have brugerne til at interessere sig for sikkerhed. Det
> gider de ikke.
Nej, man opnår at brugerne skal tænke på sikkerhed konstant. Når
de ikke tænker på sikkerhed, clicker de bare ok uden overhovedet
at læse hvad der står.
Med en separat bruger, kan behovet for at interessere sig for
sikkerhed stort set reduceres til når man bruger denne.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Klaus Ellegaard (23-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 23-01-08 17:06 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Med en separat bruger, kan behovet for at interessere sig for
>sikkerhed stort set reduceres til når man bruger denne.
Man kan bare klikke på alle EXE-filerne, man finder på nettet?
Mvh.
Klaus.
| |
Kent Friis (23-01-2008)
| Kommentar
Fra : Kent Friis |
Dato : 23-01-08 17:18 |
|
Den Wed, 23 Jan 2008 16:06:17 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Med en separat bruger, kan behovet for at interessere sig for
>>sikkerhed stort set reduceres til når man bruger denne.
>
> Man kan bare klikke på alle EXE-filerne, man finder på nettet?
Der stod "stort set".
Men jo, selv på Windows burde det kunne sættes op så man kan
ovenstående. Måske ikke helt så nemt så på fx Linux[1], men de
der ACLs kan altså en hel masse.
[1]:
LABEL=/home /home ext3 noexec 0 0
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Michael Rasmussen (05-02-2008)
| Kommentar
Fra : Michael Rasmussen |
Dato : 05-02-08 23:46 |
|
On Tue, 5 Feb 2008 21:20:32 +0000 (UTC)
Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
> Okay, så i bund og grund kræver Linux - med undtagelse af måske
> 5-10 pakker alt i alt - også root fo at installere noget som helst?
>
Du har fuldstændigt misforstået problemstillingen. Når du anvender
systemets pakke installer, installerer du programmerne i systemet, så
alle brugere af systemet automatisk for adgang til programmet. Ønsker
du derimod kun at installere for en bestemt bruger, henter du blot den
eksekverbare fil, og smider den et sted i din egen hjemmemappe.
Alternativt kan du hente en tarball, og gøre en af følgende 2 ting:
1) cd tarball_folder, ./configure, make. Programmet findes nu i
tarball_folder/src
2) cd tarball_folder, ./configure --prefix=/home/<username>, make.
Programmet findes nu i /home/<username>
Ulempen ved ikke at anvende systemets pakke installer er, at du så ikke
automatisk får opdateret programmet, når en ny version, bliver
tilgængelig, eller hvis der kommer en sikkerhedsrettelse.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.
| |
Klaus Ellegaard (06-02-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 06-02-08 06:10 |
|
Michael Rasmussen <mir@miras.org> writes:
>Du har fuldstændigt misforstået problemstillingen. Når du anvender
>systemets pakke installer, installerer du programmerne i systemet, så
>alle brugere af systemet automatisk for adgang til programmet. Ønsker
>du derimod kun at installere for en bestemt bruger, henter du blot den
>eksekverbare fil, og smider den et sted i din egen hjemmemappe.
Det er nu sjældent at se programmer, der består af én fil.
>Alternativt kan du hente en tarball, og gøre en af følgende 2 ting:
>1) cd tarball_folder, ./configure, make. Programmet findes nu i
>tarball_folder/src
>2) cd tarball_folder, ./configure --prefix=/home/<username>, make.
>Programmet findes nu i /home/<username>
Vil det virke på samtlige pakker til Linux - uden at der skal
smides ekstra options på den "configure", og kan tante Oda på
80 år uden computerkendskab så klare det hele selv?
Sørger din "configure" også for at downloade og installere evt.
dependencies? Igen er det næppe noget, tante Oda kan overskue.
Linux i denne tråd blev jo nævnt som et sikkerhedsmæssigt bedre
alternativ, og hele tråden handler om folk uden clue. Derfor
har du tabt allerede hvis nogen skal læse en README, eller hvis
den "make" går galt.
Mvh.
Klaus.
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
N/A (06-02-2008)
| Kommentar
Fra : N/A |
Dato : 06-02-08 06:10 |
|
| |
Ole Bole (20-01-2008)
| Kommentar
Fra : Ole Bole |
Dato : 20-01-08 19:58 |
|
"Axel Hammerschmidt" <hlexa@hotmail.com> skrev i meddelelsen
news:1ib0x5k.5x8tulcu0ls0N%hlexa@hotmail.com...
> Ole Bole <fake@fake.fake> wrote:
>
> <snip>
>
>> Hvad der kan ske ved kun at benytte administratorkontoen i vista i det
>> daglige arbejde.
>
> Hvis du bruger Windows Update og læser beskrivelserne af hvad de
> forskellige sikkerheds "patches" til styresystemet går ud på, vil du i
> de fleste tilfælde finde: "arbitrary code execution" og "privilege
> escalation" som årsag.
>
> En nærmere forklaring på det sidste finder du her:
>
> < http://en.wikipedia.org/wiki/Privilege_escalation>
>
> Når du benytter en konto med administrator rettigheder - om det så er
> Administrator kontoen i Vista eller root kontoen i Unix - vil alt det du
> foretager dig have højeste "privilege". Og det vil, lige som et
> ikke-opdateret styresystem udgøre en sikkerhedsrisiko.
>
> Det er hverken ønskeligt eller nødvendigt i det daglige arbejde.
>
> Jeg sætter x-post til dk.edb.system.ms-windows - den gruppe, hvor tråden
> her er startet - og til dk.edb.sikkerhed, uden FUT fordi det er mit
> indtryk, at daglig brug af en administrator konto under Windows er ret
> udbredt, og at der er virkelig brug for oplysning blandt Windows brugere
> om hvor dumt det er at gøre det.
>
> Det udgør som sagt en sikkerhedsrisiko for den pågældende Windows bruger
> selv. Men det er osse en medvirkende årsag til bot-nets og spam, der
> plager alle. Så det ville osse være en gevaldig fordel for alle hvis man
> kunne få folk, der bruger Windows til at holde op med at bruge en
> administrator konto til det daglige arbejde.
>
>
> --
>
> "Any girl can be glamorous. All you have to do is stand still and look
> stupid."
takker for det seriøse og meget brugbare svar.
| |
Christian E. Lysel (21-01-2008)
| Kommentar
Fra : Christian E. Lysel |
Dato : 21-01-08 20:39 |
|
On Sun, 2008-01-20 at 19:39 +0000, Klaus Ellegaard wrote:
> At slå UAC fra kræver, at man går gennem UAC for at få tilladelse
> til at slå det fra. Medmindre du kan vise et proof-of-concept, går
> jeg ud fra, at du erkender, det ikke (umiddelbart) er muligt.
Hvad forhindre en applikation at fortage nogle valg i en eller flere
dialog bokse?
| |
Klaus Ellegaard (22-01-2008)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 22-01-08 00:18 |
|
"Christian E. Lysel" <christian@example.net> writes:
>Hvad forhindre en applikation at fortage nogle valg i en eller flere
>dialog bokse?
Secure Desktop.
Mvh.
Klaus.
| |
Christian E. Lysel (21-01-2008)
| Kommentar
Fra : Christian E. Lysel |
Dato : 21-01-08 20:45 |
|
On Sun, 2008-01-20 at 21:27 +0000, Klaus Ellegaard wrote:
> For det første er det sådan, at Vista (og XP) er tiltænkt slut-
> brugere. De har brug for fuld kontrol over deres hardware nu og
> da - for eksempel når der skal installeres noget nyt. Hvis man
> ikke kører som Administrator generelt, vil det betyde, at man
> skal skifte mellem to konti: "sig selv" og Administrator, når
> man skal pille.
Ikke helt enig på XP:
1) En bruger kan installere programmer ved at vælge "kør som" og vælge
en administrator konto.
2) Ved installation af en driver vil OS'et spørge efter en administrator
konto.
| |
N/A (22-01-2008)
| Kommentar
Fra : N/A |
Dato : 22-01-08 00:18 |
|
| |
Christian E. Lysel (27-01-2008)
| Kommentar
Fra : Christian E. Lysel |
Dato : 27-01-08 11:05 |
|
On Fri, 2008-01-25 at 22:19 +0000, Klaus Ellegaard wrote:
> "Christian E. Lysel" <christian@example.net> writes:
>
> >Jeg giver dig ikke helt ret.
>
> >1. Hvor mange programmer i dag er kodet så dårligt?
>
> Jeg har faktisk ikke mødt nogen endnu.
PÃ¥ jobbet gav "Symantec VPN client" problemer da
brugerne har brug for at skrive i en fil i program kataloget.
En simpel ændring af filrettigheder og problemet var løst.
Det var den eneste applikation i et firma med der varetager alle
funktion fra kontakt med fabrikker i Kina, til salget af produkter i
egne forretninger.
I denne uge evaluerede vi et nyt program, som kræver skrive adgang til
HKEY_LOCAL_MACHINE. Det mener jeg leverandøren skal rette, hvilket jeg
ej kan se de store problemer i, speciel hvis man læser:
http://microsoft.mrmpslc.com/InnovateOnWindowsVista/Resources.aspx
"Certified for Windows Vista Logo Technical Requirements
Hjemme og i min lokale vennekreds er der ej de store problemer.
Er det ikke en gammel skrøne at der er så mange problemer?
Jeg er enig i at der findes fjolser der ikke kan kode ordenligt, men de
tilhører mindretallet.
Men de har svært ved at sælge deres software.
| |
|
|