't Gaat steeds meer de kant van Linux op dat Longhorn, valt
jullie dat ook op?

Huh? Om software system-wide te installeren _moet_ je
administrator zijn. Iets anders zou onveilig zijn. Als je
als LEAST-Privilege User Account nog steeds software kan
installeren, heeft die nog steeds privileges te veel. Als je
software kan installeren kan je ook een virus installeren.

een beetje virus geeft zich zelf ROOT rechten, en zorgt er
voor dat broeder spyware dat ook krijgt.

Ik heb geen ervaring met Windows, maar ik hoor dat ze daar
ACL's hebben, iets wat in ieder geval onder linux nog alles
behalve ingeburgerd is. Als dat klopt lijkt me het
linux-permissiesysteem primitiever. Het verschil zit 'm er
vooral in dat het systeem in Windows vervolgens volledig
genegeerd wordt...
De crux zit 'm hier in het woord `system-wide': ik kan me
goed voorstellen dat je onder windows in de toekomst, zoals
nu al het geval is bij UNIX-varianten, de meeste programma's
ook `binnen' je eigen account kan installeren, waarbij je
andere gebruikers gegarandeerd niet in de weg zit.

Dat kon al onder NT 4. Gewoon zorgen dat de gebruiker geen Local
admin-rechten heeft en alleen op die mappen op de locale machine
rechten geven die nodig zijn.

Niet ingeburgerd
of niet aanwezig zijn twee verschillende dingen. Maar je
hebt weldegelijk Access Control Lists voor Linux.
Ik
zie niet in waarom een employee zijn of haar eigen software
zou moeten kunnen installeren. Veel te link, mede voor wat
betreft licenties e.d.

microsoft bllijft toch altijd bagger
Speel maar eens een netwerkspelletje onder windows en
vervolgens op het zelfde systeem hetzelfde netwerk spel .
zul je zien dat het onder linux minder stottert en dat je tenminste
normaal kan spelen
voorbeeldje :
quake3, unreal tournament, unrealtournament 2004 enz enz.
allemaal vloeiender en sneller onder linux, en dan heb ik linux niet
getweaked.
Zal met longhorn echt niet anders worden
bah wat een snert os is wondows.
mensen roepen dat windows zo goed is, nou gadgets is ook niet
alles als je serieus iets van je systeem verlangt.
muziek maken, horten en stoten , ja een beetje bestanden
kopieëren, een briefje tikken en cdtje maken of browsen dan gaat
het wel. maar wil je een beetje vloeiende acties valt me toch weer
op dat linux beter draait dan windows. en dat is toch raar als je
denkt dat het spel om te beginnen juist voor windows is
geschreven.
waarom valt niemand dat nooit eens op ?
als het al met geporte spellen is hoe zal het dan niet wezen als
die spellen en professionele software speciaal voor linux wordt
geschreven ?
waarom valt niemand dat nou nooit eens op ?

kunnen jullie niet beter een nitendo kopen met je gezeur over microsoft hoe
oud zijn jullie 12

Een nintendo( ik neem aan dat je dat bedoelt ) loopt wel soepeler
maar is door de opzet minder veelzijdig.
De persoon die hierboven zijn of haar beklag doet hier boven
heeft wel een punt en dat is iets dat je kennelijk niet inziet.

Ik ken beide systemen ( ik leer ieder dag van anderen en van
mezelf) en het is mij ook opgevallen. Aangezien ik de
tekortkomingen van beide systemen accepteer is het veel
makkelijker om rariteiten op te merken en ook op te wekken en
soms ook op te lossen( een open mind is daarbij zeer welkom).
Ik stel voor dat je dat ook eens doet.
Je zal je verbazen wat je tegenkomt.
Kritiek is niets mis mee maar alleen maar bij afzeiken zonder
goede argumenten ga ik mij wel afvragen hoe oud jezelf nu
eigenlijk bent...

ALG

Op zaterdag 09 april 2005 14:35 schreef Anoniem:
> Dat kon al onder NT 4

Klopt. Ik heb in 1999 (vorige baan) NT4 workstation setups
gebouwd die ik met SCE (Security Configuration Editor, MS
backport van beta W2K) zo goed mogelijk heb dichtgetimmerd.
Gebruikers hadden bijna nergens schrijfrechten op C: en
konden geen software installeren die schrijfrechten in
"systemwide" directories en/of delen van de registry vereiste.

N.B. dit belette users helaas niet om zelf apps als
Winamp in hun homedir te installeren, en zijn het vooral
mondelinge vaardigheden die dit moeten voorkomen. Ik vermoed
dat een BOFH model waarbij gebruikers uitsluitend toegestane
(signed) executables, macro's en scripts (ook in webpages!)
kunnen draaien, nog ver weg is.

Terug naar mijn restrictieve NT4 setup: gebruikers hadden
hier veel minder moeite mee dan ik vooraf verwachtte; ze
waren vooral tevreden over de stabiliteit en de "rust" van
de systemen. De deels roaming users konden in elk geval
niets aan globale applicatie instellingen veranderen, iets
wat in de WfW311 tijd een ramp was. Bovendien dwing je
gebruikers om belangrijke bestanden op te slaan op een
plaats waar ze gebackupped worden (gescheiden van programma
files), en is aan de owner te zien wie een bestand ergens
neergezet heeft (handig bij archiveren). Ten slotte kan een
evt. gestart en nog niet herkend virus niets aan bijv. AV
instellingen veranderen en/of een hosts file overschrijven.

Toch bleef er (in NT4) veel te wensen over. Het bijhouden
van updates en patches kostte me extreem veel tijd, en ik
heb voor veel applicaties allerlei workarounds moeten
verzinnen om ze onder dit strakke regime werkbaar te maken.
Bijv. een simpele NT4 applicatie als Paint kwam bij
opstarten al met een foutmelding als de user slechts
leesrechten op HKCR.bmp had (maar werkte daarna wel).
Zonder die protectie kan een trojan values onder genoemde
key wijzigen en daarmee ook andere accounts (inclusief
admins) compromitteren, overigens zonder dat gebruikers dat
hoeven te merken.

Ook diverse andere "privilege escalation" attacks bleven
helaas mogelijk, maar daar had een eventuele aanvaller wel
naar moeten zoeken, iets wat op standaard systemen niet
nodig is/was. Daarmee had ik een voorsprong op de "buurman".
Bijv. grofweg de helft van de virussen (mochten deze
onbedoeld actief worden) sterft zodra je uitlogt als je geen
schijfrechten hebt in de HKLM Run key (vergelijkbaar met
gewone users schrijfrechten geven onder /etc/rc*). Zo heeft
er nog lang in de MS SDK gestaan dat C:Windows c.q. CWinnt
de aangewezen plaats was om configuratiebestanden
(ini-files) te schrijven.

Overigens helpt het wel om ontwikkelaars te vragen zich aan
te passen. Zo heb ik destijds Jeroen Laarhoven, auteur van
AllChars (freeware)
http://allchars.zwolnet.com/userman122.html
gevraagd om een commandline optie "-c" op te nemen die de
locatie van de config file aangeeft zodat deze per gebruiker
opgeslagen kon worden. Zijn programma geeft overigens wel
aan hoe eenvoudig het is om een keyboard hook te installeren.

Helaas gaan de meeste ontwikkelingspakketten ervan uit dat
er 1 gebruiker is, die tevens lid van Administrators moet
zijn (iets wat hooguit enkele specifieke debug sessies
noodzakelijk is, maar voor gewone tests natuurlijk niet).
Schandalig, zo leren luie ontwikkelaars het nooit. In de MS
page waar het PCWorld artikel naar verwijst staat over een
aangekondigd tooltje genaamd PermCalc: "This feature is also
planned for inclusion in Visual Studio 2005". Pep-pep, dat
is snel.

De opzet van het MS filesystem (en start menu) getuigt niet
bepaald van visie, en naar goede richtlijnen moet je nog
steeds zoeken waarbij MS zich daar zelf ook lang niet
altijd aan houdt. Hoe het wel ongeveer zou moeten staat
bijv. hier:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnw2ksrv/html/w2kserve_appa.asp
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsetup/html/migrationbkm09.asp

Een achilleshiel kon de map "All Users" wel eens zijn en
blijven, vooral omdat sommige applicaties ervan uit gaan dat
iedereen hieronder schrijfrechten heeft (en, als je
niet oplet, tijdens installatie de permissies in het geniep
aanpassen en zo je security en backup policy om zeep helpen).

Nu gebruikers, beheerders, Microsoft en applicatie
programmeurs (langzaam aan) meer security-bewust worden,
zien we dat malware schrijvers zich aanpassen; de kunst is
om ze voor te blijven. Privilege escalation attacks blijven
echter een lastig punt, ook bij Linux zien we bij herhaling
dat kernelpatches nodig zijn en SUID applicaties toch weer
net meer kunnen dan de bedoeling was.

Het belang van "interne" beveiliging moet dan ook niet
worden overschat; als een aanvaller (vooral een levende
post-scriptkiddie) eenmaal binnen is kan deze op de steeds
complexer wordende systemen vaak toch wel een gaatje vinden
dat je over het hoofd hebt gezien of vanwege
compatibiliteits problemen niet dicht kon zetten.

Zo heb ik su, sudo en runas altijd eng gevonden; m'n
twijfels hierover werden nog eens bevestigd door een recente
bugtraq bijdrage over sudo onder OSX (maar dit geldt naar
verluid ook onder andere OS):
http://seclists.org/lists/bugtraq/2005/Apr/0084.html
Deze wordt in een followup weggewimpeld met "dat is bekend,
had je moeten weten" maar ik vraag me af hoeveel gebruikers
zich het bestaan van de beschreven "bijwerkingen" realiseren
(ik kende ze in elk geval niet allemaal). Onder Linux tik ik
altijd:
/usr/bin/su -
(of bij andere distro's "/bin/su - ") in, maar heb meer
vertrouwen in de MS Ctrl-Alt-Del logon (die, per ongeluk
ingetikt, op de meeste linux bakken overigens een andere
uitwerking heeft dan bedoeld :(

Op zaterdag 09 april 2005 12:25 schreef raboof over ACL's:
> lijkt me het linux-permissiesysteem primitiever

Absoluut. Je kunt met NTFS ACL's, hoewel door de
complexiteit niet altijd even doorzichtig, hele mooie dingen
bouwen. Het is wel zaak om van te voren een goed ontwerp te
maken, wat pas kan als je goed inzicht hebt in de
mogelijkheden en consequenties. Het bijhouden van een goede
administratie is ook erg belangrijk. Een aardige site met
info over ACL's:
http://pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsAnAccessControlList.html

Ik vind het onbegrijpelijk dat er nog geen mainstream Linux
+ filesystem is met dergelijke mogelijkheden. POSIX ACL's
zijn een stap in de goede richting maar gaan m.i. niet ver
genoeg, en hebben (voor zover ik weet) alleen betrekking op
het filesystem (dus niet op bijv. configuratie gegevens
vergelijkbaar met de registry). Info:
http://us4.samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html#id2564681
of Google naar "posix acl" al dan niet in combinatie met samba.

Kortom, eindelijk gebruik maken van wat al vele jaren
in de basis zit, is een goede en logische stap van
Microsoft, maar dit had natuurlijk al veel eerder
moeten gebeuren, en had een hoop chronische zombie-PC's
kunnen schelen. Dat we nog tot Longhorn op algemene
acceptatie van "LUA" moeten wachten is gewoon schandalig.

Concurrerende operating systems hebben uitgebreid de kans
gehad om een voorsprong op te bouwen, maar hebben die m.i.
onvoldoende benut. Er is voor iedereen nog een boel
werk te doen.

Erik van Straten

Zolang je nog fat32 mag kiezen als filesystem, kunnen ze
verzinnen wat ze willen en het zal er niet veiliger op worden.

Valt mee, bij Linux is de scheiding user/administrator op een vrij
heldere/transparante manier geregeld, bij XP, en als ik dit zo lees
ook bij LongHorn, is dat een stuk minder transparant.

Gaan ze dan bij MS ook de home editie fatsoenlijk rechten
systeem geven?
Ik kan nu op een home systeem een programma installeren als
root, maar vervolgens kan ik het niet of nauwelijks spelen
als gewone gebruiker (non-privileged), omdat ik de map van
dat spel geen rechten kan geven voor schrijven voor een
normale gebruiker. Ik kan dus helemaal geen rechten
uitdelen, zonder hack of wat dan ook. Dus als je xp home
hebt, wordt je bijna gedwongen door ms om alles als
administrator te doen. Dus is het niet zo gek dat mensen
alles als administrator doen.

daar zijn groepen weer ideaal he :)

Goedendag hé wat een buil praat hier.
Die persoon waar je het over hebt geeft geen één punt
aan, hij is gewoon microsoft aan het afzeiken punt uit. En
open mind waar jij over praat is de mind van Linux niet
meer en niet minder. En inderdaad kritiek is ook
helemaal niet erg. Maar er is alleen kritiek over ms. Je
moet natuurlijk niet vergeten dat ms de meeste
gebruikers heeft en dus een makkelijk doelwit voor
hackers. Wacht maar eens af als Linux zo groot wordt
(als die zo groot wordt), die stappen juliie gewoon weer
over naar ms.

Groetjes Marcel prettige dag verder

Dit slaat de spijker op de kop. Ik heb het altijd al vreemd gevonden dat MS
dat niet deed..
De un*x manier van rechten is misschien primitiever, maar ik heb liever
een effectief primitief systeem dan een slecht geimplementeerd beter
systeem..
Overigens hebben FreeBSD en linux al tijden MAC (Mandatory Access
Control) wat weer verder gaat dan het DAC (Discretionary Access Control)
van Windows..

http://security.linux.com/article.pl?sid=05/02/11/2017218&tid=35

Kom nou eens met goede argumenten. Het argument, maar
windows is groter hebben we al vaak genoeg gehoord. UNIX is
op server software de meestgebruikte maar daar ben ik lang
niet zoveel ernstige fouten tegengekomen waardoor oa
blaster, sasser, code red en slammer zich konden verspreiden.

Windows XP heeft ook goede features, maar zet ze niet aan.
Firewall die er wel is maar uitstaat, Gebruikers die
automatisch admin rechten krijgt, zulke dingen.

gr

Doelwit voor crackers bedoel je, waar
Windows nogal last van heeft. Ondertussen sleutelen hackers
verder aan andere systemen om deze te verbeteren. Windows
zou ook hackers kunnen gebruiken.

Ik ben het eens met de opmerking dat men onder Windows meer
gebruik van die ACL's zou moeten maken. Maar let op dat
permissie's geen onoverzichtelijke administratieve spaghetti
worden, want dat kan er ook mee.

Beste ALG,

Ik snap wat jij bedoeld. Misschien ben ik een
uitzondering, maar ik heb van alles gebruikt windows
95,98,NT, XP ik heb nog maar weinig problemen gehad.
Ik zit veel op internet, speel zware spellen en doe aan
videomontage.probeer mijn systeem netjes te houden
met Beclean, Regclean verschillende spyware
programma's, ik gebruik Pande Platinum als
virsusscanner, firewall. Ik weet niet wat andere doen
waarom ze zo'n problemen krijgen. Zelf heb ik ook een
aantal dagen met Linux gewerkt, ziet er leuk uit. Ik zie
alleen geen reden om van alles te proberen als het
allemaal lekker gaat.
PS. Ik leef en ik leer ZONDER vooroordelen.

Groetjes Marcel