Windows 7 a UAC

Zde můžete volně diskutovat o programu Altap Salamander. Ptejte se, odpovídejte a vyjadřujte své názory. Prosíme, nevkládejte sem hlášení problémů či návrhy na nové funkce.
Jan Rysavy
ALTAP Staff
ALTAP Staff
Posts: 5229
Joined: 08 Dec 2005, 06:34
Location: Novy Bor, Czech Republic
Contact:

Windows 7 a UAC

Post by Jan Rysavy »

Výborný článek Windows 7's UAC is a broken mess; mend it or end it na Ars Technica.

Jak to tak vypadá, budou správci souborů (a všechen další non-MS software) v masivní nevýhodě proti programům podepsaným Microsoftem, kterým bude elevace automaticky a tiše přidělena. Těším se, co na to řeknou antimonopolní úřady.

Tady je popis implementace white listu: Windows 7 auto-elevation mistake lets malware elevate freely, easily
A koho se to týká: List of Windows 7 (beta build 7000) auto-elevated binaries

Na závěr: moje myšlenky dokonale shrnuje UAC in Vista and Windows 7: Mistakes then and now.
dpokluda
Posts: 18
Joined: 27 Jan 2009, 20:31
Location: Redmond, WA, U.S.A.
Contact:

Post by dpokluda »

Uz 5. unora Microsoft verejne (usty Stevena Sinovskeho) na svem blogu Engineering 7 chybu uznal (i kdyz zpocatku zaryte tvrdil, ze o chybu nejde) - http://blogs.msdn.com/e7/archive/2009/0 ... ow-up.aspx. Chyba bude s nejvetsi pravdepodobnosti opravena v RC buildu. [/url]
Jan Rysavy
ALTAP Staff
ALTAP Staff
Posts: 5229
Joined: 08 Dec 2005, 06:34
Location: Novy Bor, Czech Republic
Contact:

Post by Jan Rysavy »

Obávám se, že to co jste nalinkoval je reakce na starší problém, kdy bylo bez elevace možné měnit UAC level. Více viz http://arstechnica.com/microsoft/news/2 ... 7s-uac.ars

To co popisují články, které jsem uvedl nahoře, je proti tomu zásadní problém a velice by mě překvapilo, kdyby byl v RC verzi odstraněn. Jde o znásilnění původní UAC koncepce. Microsoftem podepsané EXE mohou být z UAC konfirmací vyloučeny, čímž získají nemalou výhodu před softwarem jiných firem.
User avatar
zarevak
Plugin Developer
Plugin Developer
Posts: 789
Joined: 04 Feb 2006, 16:49
Location: Prague, Czech Republic

Post by zarevak »

Zvýhodnění Microsoftích aplikací je nefér, ale mnohem větší problém je, že aplikace, které chtějí hrát fér, musí implementovat UAC. Aplikace, které chtějí UAC obejít zneužijou tyto Microsoftí aplikace a UAC velmi jednoduše obejdou...

Postup:
1) Najdete Microsoftí aplikaci, která běží na vašem Intergirty level (Medium). Pokud žádnou nenajdete, spustíte si Notepad.
2) Do této aplikace vložíte svůj kód (nic nelegálního - exituje veřejné, dokumentované API)
3) Tento vložený kód spustíte (zase nic nelegálního - exituje veřejné, dokumentované API)
*) Protože vložený kód běží pod aplikací podepsané Microsoftem, je možné dělat věci, které normálně vyžadují UAC
4) Pomocí vloženého kódu spustíte svojí aplikaci již s High Integrity level a můžete dělat co se vám zlíbí 8)

Tento fígl nefunguje, pokud máte Windows nastaveny jako Windows Vista - tedy žádné schovávání UAC. Ani tímto fíglem nic nezískáte, pokud nejste Administrátor.
Last edited by zarevak on 09 Mar 2009, 19:59, edited 1 time in total.
Jan Rysavy
ALTAP Staff
ALTAP Staff
Posts: 5229
Joined: 08 Dec 2005, 06:34
Location: Novy Bor, Czech Republic
Contact:

Post by Jan Rysavy »

Co vidím jako problém je, že MS zavedli s UAC ve Windows Vista jasná pravidla hry. Později zjistili, že podle pravidel sami nedokáží hrát (bylo by to složité a drahé, pokud by to nemělo otravovat uživatele) a vytvořili si v UAC zadní vrátka, která ale ostatní výrobci SW pravděpodobně nebudou mít k dispozici.

A díky těmto zadním vrátkům do té doby funkční koncept UAC úplně rozbili z hlediska bezpečnostního, jak popisuje Zarevak.
Post Reply