dat is het grote nadeel van programmeren... er zijn vele
mogelijkheden om hetzelfde te doen.

Men bedoelt hier Unix systemen in het algemeen. Beetje vreemd want
Solaris en Linux zijn ook unix-achtige systemen en zouden daar ook onder
kunnen vallen. Ik zou het rapport wel eens willen zien. Ben eigenlijk
benieuwd wat ze nu precies onder "Unix in het algemeen" verstaan.

Maar het verschil tussen Unix en Windows is redelijk eenvoudig te verklaren. Unix is vanaf het begin af aan ontwikkeld als een multi-user, multi-tasking systeem. Windows is dat pas later geworden.. Een ander feit is dat Unix inmiddels dik 30 jaar oud is. Windows komt wat dat betreft nog maar net kijken...

Misschien dat ze niet alleen de security training gemist hebben.

Ik sluit me aan bij SirDice dat het een beetje 'logisch' is,
geen vreemde resultaten eigenlijk.

Ik bedacht me gisteren nog, dat UNIX in de jaren zestig is
ontwikkeld. De computers waren nog erg langzaam en heel,
heel erg strict in hun syntax. Dat de bedenkers en makers
van UNIX het compleet in C uitwerkten op een basis die
gewoon wel zuinig moest omgaan met resouces enz. Niet te
veel onzin, maar gewoon stricte code.

Hier ligt ook de basis van de hackers en debuggers. Code net
zo lang modificeren totdat het efficienter, veiliger en ook
veel sneller werkt.

De noodzaak van stricte code is verloren gegaan met de
opkomst van de desktop en de groei van de PC voor de
thuisgebruiker. Ik bedoel met noodzaak, dat de processor het
allemaal wel kon bijbenen en dat is de laatste jaren alleen
maar verergerd.

OSen met meer dan 6 miljoen regels code is geen uitzondering
meer. Omdat de computer het toch wel aankan. Er zit dan ook
een hoop kul in de software wat gewoon niet nodig is.

Voor een goede insteek van software vandaag de dag kun je
het volgende boek eens ter hand nemen (en natuurlijk lezen):

Exploiting Software, How to break code ISBN: 0201786958

Dit boek gaat precies in op het vraagstuk of meer code niet
bijdraagt aan meer onveiligheid. Daarnaast gaat het in op
testmethoden (verschillende talen) en reverse engineeringstests.

Conclusie is dus voor mij dat men wel kan programmeren, maar
in veel gevallen niet kan 'ontwikkelen'.

- Unomi -

Unix, Windows.... het velig ontwikkelen van applicaties heeft niets te maken
met het onderliggende platform.
Wanneer men iets ontwikkeld behoort de applicatie zelf veilig te zijn. Met
andere woorden; Beveiliging begint bij de applicatie en niet bij het platform.
FOCUS.......

Lol het tegendeel is waar.
Beveiliging begint met layer 1, hardware, fysiek beveiligen
dan layer 2 bios (bios wachtwoord? als je een award bios
draait heb je kans dat AWARD_SW als wachtwoord altijd
toegang verschaft)
dan layer 3 OS (als je os het toestaat om alle bestanden te
wijzigen: lees windows, heb je al een probleem)

en dan pas... applicaties ;)

Als de laag waarop de app runt onveilig is, wat heeft het
dan nog voor een nut dat de app op zich veilig is?

Geen enkel.

format c: doet in windows voor 99% van de standaard
installaties thuis precies dat... format c

in linux moet je eens rm /*.* -rf toetsen als je niet bewust
als root bent ingelogt....

Dan werkt het niet ;)

IK zeg maar een ding :

een glazen huis met titanium deuren en sloten, hoe veilig voel je
je dan ?
Het begint juist bij het OS.

API oftewel application programming interface zijn de
verbindingskanalen tussen OS en applicaties.
Je kan niets direct bereiken, dat doe je juist via het Operating
Systeem. Dat zorgt er onder andere voor dat indien zo
geschreven dat een multitasking OS meerdere applicaties kan
draaien ( in de vorm van processen en threads).

Je moet threads een beetje zien als dat een programma in stukjes
is gehakt. Als je twee van deze programma's hebt, kun je ze met
elkaar verweven en lijkt het alsof ze allebei tegelijk worden
uitgevoerd. In werkelijkheid om de beurt natuurlijk, alleen heel
erg snel.
Let wel, Dit is simpel gesteld en alleen bedoel om een idee te
geven.

Als twee applicaties rechtstreeks naar de hardware konden
schrijven gaat het helemaal fout. bijvoorbeeld als twee applicaties
tegelijk naar de harde schijf willen schrijven. De data op je harde
schijf zou corrupt kunnen raken.
Daarom vraagt een applicatie als het ware aan het OS en deze
voert de opdrachten dan uit mits deze opdrachten binnen
toegelaten grenzen zijn( gesteld door het OS).
Het OS spaart al die aanvragen op en voert ze dan achter elkaar
uit afhankelijk van wie de hoogste prioriteit heeft.
Dat heet bijvoorbeeld een qeue (wachtrij).
Dit is ook even heel simpel gesteld.

Als twee applicaties tegelijk willen printen geldt hetzelfde verhaal.
Daar is de printerspooler service spoolsv.exe verantwoordelijk
voor onder windows NT.
Ga er maar van uit dat het eigenlijk voor alle hardware geldt.
Je benadert nooit de hardware rechtstreeks maar via het OS.
Dit zodat de het OS de baas is.

Geheugenbeheer (Uitgevoerd door het OS) is bedoeld zodat een
gegeven applicatie niet in niet voor die applicatie toegewezen
adres ruimte ( Bepaald door het OS) in het geheugen kan
schrijven of lezen.

Dit alles om je een idee te geven dat je computer heel veel
tegelijk kan. Nu komt nog het veiligheid aspect om de hoek kijken.
De principes die ik hierboven noemde lenen zich namelijk om te
bepalen wie wat mag en wie niet. En dat geldt ook voor
"security".
Nogmaals omdat het OS namelijk de touwtjes in handen heeft.
Dus een goed geschreven OS is wel degelijk een eerste vereiste.

Nogmaals, dit is heel simpel gesteld. In de praktijk is het nog een
stuk complexer.

Nog iets anders :

Als een applicatie van begin af aan al te veel mag door de
schrijver van het os kun je dit os nooit echt veilig noemen en dit is
lijkt het toch het geval bij windows.
NT is uitgedacht met het concept voor meerdere bebruikers, het is
alleen fundamenteel anders gedaan dan bij unix, linux en andere
unix derivaten...

Al het simpele feit dat microsoft ervoor heeft gekozen om een deel
van de gui in de windows nt kernel onder te brengen zorgt voor
veel ergenis. Microsoft heeft hier toendertijd voor gekozen omdat
ze een snel systeem wilden presenteren op beperkte hardware.

Dit klinkt enigzins vreemd door de flinke hardware eisen die
windows tegenwoordig graag ziet, maar dat komt meer door al de
rommel die bij windows standaard wordt meegeleverd en
waarvan je een hoop niet kunt de-installeren en vaak ook nooit
zal gebruiken of slechts een deel. Bijvoorbeeld een tiental
kilobytes van een DLL die een paar megabyte groot is. Of services
laten draaien die je niet gebruikt. Als je bijvoorbeeld geen UPS
hebt hoef je deze service ook niet te draaien. Je gebruikt de
service niet maar de service wordt wel geladen. Een setup die
gewoon vraagt wat je wil gebruiken en wat niet zou veel beter
zijn. Scheelt schijfruimte en geheugen ruimte.
En ook neemt de veiligheid toe. Ik geloof dat sinds windows xp
service pack 2 (pin me hier niet op vast) services die remote
diensten leveren worden uitgeschakeld.
Een gestripte windows NT raast behoorlijk en werkt gewoon
lekkerder.

Veel programma's en diensten geleverd door microsoft gebruiken
dll-en services die juist weer veel rechten nodig hebben om te
draaien. En daar zit het grootste probleem van microsoft en dat is
ook de reden waarom patches van microsoft ook vaak zoveel
bijwerkingen hebben en waarom microsoft zoveel tijd nodig heeft
voor patches. Enerzijds is het een commerciële afweging omdat
het heel veel tijd kost om uit te zoeken en anderzijds als er een
patch komt kost het gewoon veel tijd om te testen.

Als de GUI (Graphical User Interface) los van de kernel zou
draaien zoals bijvoorbeeld bij unix systemen is er natuurlijk wat
meer communicatie nodig onderling. Hier was toendertijd niet voor
gekozen door microsoft wegens performance redenen. Misschien
dat ook iets te maken heeft met de gekozen opzet.

Het heeft geen zin om Unix nu af te kraken als traag omdat toen
unix geschreven en bedacht werd iedere byte er een teveel was.
Dus werd er ook gekozen voor applicaties die het werk deden en
niet voor een resources verslindende gui.

Tegenwoordig (Denk de laatste 8 jaar) hebben we zoveel
rekenkracht en geheugen ruimte (Kostbaar RAM) dat het allemaal
niet meer uit maakt. De GUI los van de kernel geeft echter wel
nog steeds voordelen. Als je deze niet nodig hebt hoef je het ook
niet te draaien en verspil je weer minder resources. Ook kun je
gui zoveel rechten geven als nodig. En als je kijkt naar de meeste
patches van microsoft dan zit daar het probleem. Slordig
programmeer werk zorgt voor het benutten van bufferoverflows.
Waarmee je dan weer een stukje code meer rechten kunt geven.
Namelijk de rechten die de gui heeft of een onderdeel daarvan.

En een aantal services hiervan behoren tot de account SYSTEM.
Dit account heeft meer rechten dan het administrator account en
dat komt omdat de systeem diensten van de NT kernel hier toe
behoren en deze zijn god in windows NT.

Iedere besturingssysteem heeft afhankelijkheden maar bij nt krijg
je soms toch nog het windows uit het dos tijdperk gevoel en dat
is jammer. Of unix superieur is aan nt, unix bestaat al veel langer
en heeft dus een voordeel. Ook is unix niet met een commerciële
gedachtegang geschreven. Unix was niet bedoeld voor de massa
maar voor kwaliteit en stabiliteit en betrouwbaarheid. NT was
bedoeld om te verkopen en is door de makers nooit bedoeld om
net zo betrouwbaar te wezen als unix. Ik vind het jammer maar
dat is het verschil tussen unix en nt. Hier kun je niets aan
veranderen, alleen microsoft zelf...

Begrijp me niet verkeerd, NT is zeker niet slecht. Er zijn alleen
vele wegen naar Rome. Sommige beter dan andere.

ALG

Hoezo ergenis? Ik erger me er absoluut niet aan. Ik wil ook op snelle
hardware snelle performance

Dit is gewoonweg niet waar.

Het is ook fijn dat dingen bij de hand zijn die je nodig hebt op het
moment dat je ze nodig hebt.

ok, stel dat de aanvaller in staat is om een service te starten. Wat
maakt het dan nog uit? Als die zover is kan die veel meer enge dingen.


Het is juist zo dat er steeds minder rechten nodig zijn. SP1 van
Windows 2003 scherpt dit ook nog verder aan. Accounts als
localservice en networkservice zijn voor dit doel in het leven geroepen.

Patchen kost tijd omdat er zo enorm veel verschillende configuratie
mogelijk zijn. Hoezo hebben patches trouwens 'vaak zoveel
bijwerkingen' dat valt namelijk reuze mee.


Ik zou even niet zo snel eentje weten welke gebruik maakte van iets in
de gui. Meestal is het iets in een service, maar wel interessant. Weet
jij er een paar?

En je punt is? Als die services dat nodig hebben moet dat tenslotte.

quote:
----------------------------------------------------------
----------------------

Al het simpele feit dat microsoft ervoor heeft gekozen om een deel
van de gui in de windows nt kernel onder te brengen zorgt voor
veel ergenis. Microsoft heeft hier toendertijd voor gekozen omdat
ze een snel systeem wilden presenteren op beperkte hardware.


Hoezo ergenis? Ik erger me er absoluut niet aan. Ik wil ook op snelle
hardware snelle performance

end quote:
----------------------------------------------------------
----------------------

Dit is een van de grootste problemen waarmee microsoft te kampen
heeft als het om een veilig systeem maken gaat. Ik geloof best dat jij
denkt dat initiatieven als DRM en palladium voor ons gebruikers zijn,
dat de software er beter door wordt.
Niets is minder waar. En daarbij, de mensen die OS-en kunnen
dromen hebben niet echt problemen met bijvoorbeeld een unix
derivaat of windows. Alleen als ze kunnen kiezen, kiezen ze niet voor
windows. En dat zijn de mensen die aan de bakermat
hebben gestaan van het operating systeem in het algemeen.
Het gaat om de visie. En daarbij, doe maar wat onderzoek naar de
gui, hta, de verschillende componenten in windows. Het hangt
allemaal aan elkaar. Om dat te beveiligen heb je een hoop extra
overhead nodig die niet perse nodig is.
Kijk alle patches maar na bij microsoft.com. Kom je een hoop
overeenkomsten tegen.

En microsoft zelf gaf de reden op als meer performance, en microsoft
spreekt altijd de "waarheid".


Zoals ik al zei, er zijn vele wegen naar Rome...


quote:
----------------------------------------------------------
----------------------
. Of services
laten draaien die je niet gebruikt. Als je bijvoorbeeld geen UPS
hebt hoef je deze service ook niet te draaien. Je gebruikt de
service niet maar de service wordt wel geladen.


Dit is gewoonweg niet waar.

end quote:
----------------------------------------------------------
----------------------

Als een service op "automatisch" staat wordt deze bij het starten
geladen of eventueel
als een gebruiker zich aan meldt. Dit moet ik echter nog verifieren
hoe dit gebeurt.

Handmatig wordt deze geladen op het moment als het nodig is.

Maar het wordt wel degelijk bijgehouden, weer redundant. Weer
onnodige overhead.


quote:
----------------------------------------------------------
----------------------

Een setup die
gewoon vraagt wat je wil gebruiken en wat niet zou veel beter
zijn. Scheelt schijfruimte en geheugen ruimte.


Het is ook fijn dat dingen bij de hand zijn die je nodig hebt op het
moment dat je ze nodig hebt.


end quote:
----------------------------------------------------------
----------------------

De "dingen" heb je bij de hand, deze kun je tenslotte altijd na
installeren.
Je hebt toch de installatie cd ?
Een principe zoals plug en play is hier niet nodig. Of installeer jij nu
al de drivers voor je scanner die je volgend jaar misschien gaat
kopen ?
Of vind je het handig om services en dll-en te installeren voor
software welke je nooit zal gebruiken of misschien over een jaar, met
de mogelijkheid dat de services en de dll-en al weer niet meer "up to
date" zijn.
Met als gevolg dat ze toch standaard vernieuwd worden door de
installatiesoftware
van het programma ?


quote:
----------------------------------------------------------
----------------------

En ook neemt de veiligheid toe.

----------------------------------------------------------
----------------------


ok, stel dat de aanvaller in staat is om een service te starten. Wat
maakt het dan nog uit? Als die zover is kan die veel meer enge dingen.

end quote:
----------------------------------------------------------
----------------------

Ik moet opeens denken aan het accounts model met verschillende
rechten.
Ook moet ik denken aan een goed geschreven OS of in ieder geval
doordacht OS waar de kans klein is dat dit voor kan komen. Voor jou
maakt het misschien niet meer uit. Maar denk eens na over al die
arme beheerders die weer over uren gaan maken.
Kun je wel roepen ach het is hun werk. Maar ik denk in termen van
efficiencie. En zoals jij het stelt is het niet efficient. Zo een OS wil ik
niet op mijn computer hebbenen met mij velen. Ook kost het veel
geld. Geld dat beter benut kan worden.
Wat dacht je van gegevens verlies of verminking. Je hebt altijd een
backup.Maar toch is er weer tijd verloren. Tijd die beter besteed had
kunnen worden.

Vele wegen leiden naar Rome, sommige beter dan anderen...


quote:
----------------------------------------------------------
----------------------

Veel programma's en diensten geleverd door microsoft gebruiken
dll-en services die juist weer veel rechten nodig hebben om te
draaien.


Het is juist zo dat er steeds minder rechten nodig zijn. SP1 van
Windows 2003 scherpt dit ook nog verder aan. Accounts als
localservice en networkservice zijn voor dit doel in het leven geroepen.


end quote:
----------------------------------------------------------
----------------------

Oh, leg eens uit hoe dit in zijn werk gaat... Ik ben zeer benieuwd.
Ik ken de term maar ik wil best weten hoe het werkt.
Niet altijd zo geweest maar een verbetering wordt altijd gewaardeerd.


quote:
----------------------------------------------------------
----------------------

En daar zit het grootste probleem van microsoft en dat is
ook de reden waarom patches van microsoft ook vaak zoveel
bijwerkingen hebben en waarom microsoft zoveel tijd nodig heeft
voor patches.

Patchen kost tijd omdat er zo enorm veel verschillende configuratie
mogelijk zijn. Hoezo hebben patches trouwens 'vaak zoveel
bijwerkingen' dat valt namelijk reuze mee.

Namelijk de rechten die de gui heeft of een onderdeel daarvan.


Ik zou even niet zo snel eentje weten welke gebruik maakte van iets in
de gui. Meestal is het iets in een service, maar wel interessant. Weet
jij er een paar?


end quote:
----------------------------------------------------------
----------------------

Valt wel mee ? Daar valt over te twisten. Voor jou valt het wel mee
Maar wat als je een bedrijf hebt met een flink netwerk ?

Over de services kom ik nog op terug, ben niet altijd van het noteren.


quote:
----------------------------------------------------------
----------------------

En een aantal services hiervan behoren tot de account SYSTEM.
Dit account heeft meer rechten dan het administrator account en
dat komt omdat de systeem diensten van de NT kernel hier toe
behoren en deze zijn god in windows NT.


En je punt is? Als die services dat nodig hebben moet dat tenslotte.


end quote:
----------------------------------------------------------
----------------------

Een aantal services zijn verweven met de gui.
De gui is verweven met onderdelen van internet explorer.
En over IE hoef ik niet veel over uit te leggen.

IE ondersteunt bijvoorbeeld hta. Een aantal onderdelen van windows
zijn hta scripten. Je kan zelfs ook je eigen systeem componenten
maken met hta.
Het control panel is bijvoorbeeld zo een script of in ieder geval wordt
een script hiervoor gebruikt.
Best leuk, je kan er ook je eigen systeem componenten mee maken.
command progjes welke je dan een visueel tintje kan geven.
Registry settings die opeens duidelijker worden.

Alleen had ik liever een andere oplossing gezien dan alles via
IE te laten lopen. Gewoon een los programma had iedereen inclusief
microsoft een hoop kopzorgen bespaard. Maar we weten allemaal
waarom IE verweven moest worden met de gui.
En microsoft had de utopische visie dat het handig is dat iedereen
heel makkelijk bij de computer van de ander kan komen. Heel
makkelijk allemaal... Ook via hta.
Wantrouw een hta van een onbekende, je kan er spijt van krijgen.

Ook hier geldt "vele wegen naar Rome..."

De UPS service staat niet op automatisch....


Ik vind dat een wat bekrompen reactie. Het is handig dat die services
snel ingeschakeld kunnen worden als je ze nodig hebt. Spaart tijd.


Kost allemaal tijd en moeite. Bovendien heb je de CD niet altijd bij de
hand of ben je remote ingelogt.

De meeste printer drivers zijn standaard aanwezig, reuze handig. Als
ik een USB apparaat inplug weet die hem vaak te vinden. ook handig.
scheelt tijd en moeite.


Niet alles hoeft geinstalleerd te zijn. Veel van die dingen staan alleen
klaar. En ja dat is handig.

Volgens mij begrijpen we elkaar niet. Als ik een systeem service kan
starten kan ik veel meer. Het verwijderen van services maakt het niet
echt veiliger.

Je roept juist dingen die niet efficient zijn.


Principe van het minst benodigte privilege. De netwerk service en local
service zijn accounts die beperkt zijn in de functionaliteit die ze moeten
kunnen doen waarbij de netwerkservice dingen op het net mag, de
localservice niet.
De meeste services mogen niet eens wat met de gui (er is niet voor
niets zo'n vinkje: service may interact with the desktop). Die
verwevenheid kan ik niet zo goed volgen dus. IE en explorer zijn zwaar
geintegreerd, dat heeft verder minder met het aansturen van de
graphics te maken.

Over hta: ik zou niet alleen hta's wantrouwen maar alles wat
executable is van een ander.

quote:
----------------------------------------------------------
----------------------

Als een service op "automatisch" staat wordt deze bij het starten
geladen of eventueel
als een gebruiker zich aan meldt. Dit moet ik echter nog verifieren
hoe dit gebeurt.

----------------------------------------------------------
----------------------


De UPS service staat niet op automatisch....


end quote:
----------------------------------------------------------
----------------------
Lezen is moeilijk merk ik...

Ik heb nooit beweerd dat de ups service op automatisch staat.
Ik had het over overhead en onodige diensten.
Automatisch of handmatig.
En laat de ups service nu handmatig staan (stond in ieder geval bij
mij).


quote:
----------------------------------------------------------
----------------------
Maar het wordt wel degelijk bijgehouden, weer redundant. Weer
onnodige overhead.

----------------------------------------------------------
----------------------


Ik vind dat een wat bekrompen reactie. Het is handig dat die services
snel ingeschakeld kunnen worden als je ze nodig hebt. Spaart tijd.


end quote:
----------------------------------------------------------
----------------------

Wat je niet heb hoef je ook geen drivers of services voor te hebben.
Ik vind het niet handig, spaart resources. Ook hier kun je blijven
twisten.

En wat van al die remote services die standaard geinstalleerd worden
voor de thuisgebruiker ? Met security in het achterhoofd houdend
beetje vreemd,me dunkt...
Dus ik hoop echt dat wxp sp2 doet wat het moet doen. Om over de
andere windows versies maar te zwijgen.

quote:
----------------------------------------------------------
----------------------

De "dingen" heb je bij de hand, deze kun je tenslotte altijd na
installeren.
Je hebt toch de installatie cd ?

----------------------------------------------------------
----------------------


Kost allemaal tijd en moeite. Bovendien heb je de CD niet altijd bij de
hand of ben je remote ingelogt.


end quote:
----------------------------------------------------------
----------------------

Als je in een bedrijf werkt heb je meestal een server (via het netwerk
dus) met software of wel degelijk software op cd bij de hand.
Een beetje admin heeft zijn zaakjes goed voor elkaar.
En als je remote inlogt thuis omdat je software wilt installeren of een
service wilt starten heb je hoop ik genoeg kennis van zaken.


quote:
----------------------------------------------------------
----------------------

Een principe zoals plug en play is hier niet nodig. Of installeer jij nu
al de drivers voor je scanner die je volgend jaar misschien gaat
kopen ?

----------------------------------------------------------
----------------------


De meeste printer drivers zijn standaard aanwezig, reuze handig. Als
ik een USB apparaat inplug weet die hem vaak te vinden. ook handig.
scheelt tijd en moeite.

end quote:
----------------------------------------------------------
----------------------

De meeste printer drivers ja, dat is niet zo vreemd. praktisch elke
computerbezitter heeft een printer dus worden de drivers
bijgeleverd.
Dat kan een voordeel zijn...
Nadeel is dat het kan gebeuren en gebeurt dat de driver niet meer up
to date is of niet naar behoren werkt.
Ik spreek hier trouwens uit ervaring.
En ik ben niet de enigste. Maar ja, je hebt gelijk hoor het is vreselijk
veel werk om de cd uit de doos van het apparaat dat je net
aangeschaft hebt te halen en in je cd rom te plaatsen.
Maar het lijkt me stug dat voor elke apparaat dat er te vinden is een
driver bij windows of bij welk operating systeem dan ook aanwezig is.
Ook hier spreek ik uit ervaring.
Om ook een enorme stortvloed aan drivers te voorkomen zijn er
een aantal standaard drivers bedacht voor bijvoorbeeld de
joystick of gamepad. Of verwisselbaar "mass storage device".
En hier spreek ik ook uit ervaring.
Je kan nooit alle drivers bij een os leveren en ook kan het gebeuren
dat de driver niet up to date is. Hier kan je over blijven twisten...
We hebben allebei onze mening hier over.

quote:
----------------------------------------------------------
----------------------

Of vind je het handig om services en dll-en te installeren voor
software welke je nooit zal gebruiken of misschien over een jaar, met
de mogelijkheid dat de services en de dll-en al weer niet meer "up to
date" zijn.

----------------------------------------------------------
----------------------


Niet alles hoeft geinstalleerd te zijn. Veel van die dingen staan alleen
klaar. En ja dat is handig.

end quote:
----------------------------------------------------------
----------------------
Heel handig ? Ik houdt het er nog steeds op dat dll-en of zelfs exe
bestanden worden vervangen tijdens de eigenlijke installatie van het
programma ?
Nodeloos dus niet nodig dus niet handig. Om het even heel ver door
te trekken kan ik dal wel van elk programma dat er te vinden is alvast
de dll-en installeren op mijn pc. Ik kan het een keer nodig hebben.
Ach ik heb toch gigabytes zat.


quote:
----------------------------------------------------------
----------------------
Ik moet opeens denken aan het accounts model met
verschillende
rechten.
Ook moet ik denken aan een goed geschreven OS of in ieder geval
doordacht OS waar de kans klein is dat dit voor kan komen. Voor jou
maakt het misschien niet meer uit. Maar denk eens na over al die
arme beheerders die weer over uren gaan maken.

----------------------------------------------------------
----------------------


Volgens mij begrijpen we elkaar niet. Als ik een systeem service kan
starten kan ik veel meer. Het verwijderen van services maakt het niet
echt veiliger.

end quote:
----------------------------------------------------------
----------------------

Ik begrijp je wel, maar jij begrijpt nog steeds niet dat services die je
niet gebruikt wel draaien en dus is het mogelijk dat er een keer een
beveiligingsgat gevonden wordt dat gebruikt maakt van services welke
je niet gebruikt maar wel heb draaien. Dat noemt men vooruit kijken.
Ook wordt het makkelijker om het systeem te doorgronden. Ik maak
me geen zorgen om nieuwe lekken, ze komen er toch wel.
Zie ook het stukje helemaal bovenaan voor meer informatie.
En niet met de ups service komen aub.


quote:
----------------------------------------------------------
----------------------

Kun je wel roepen ach het is hun werk. Maar ik denk in termen van
efficiencie. En zoals jij het stelt is het niet efficient.

----------------------------------------------------------
----------------------


Je roept juist dingen die niet efficient zijn.

end quote:
----------------------------------------------------------
----------------------

Onderbouwen graag... Met een mening kan ik weinig...


quote:
----------------------------------------------------------
----------------------

Oh, leg eens uit hoe dit in zijn werk gaat... Ik ben zeer benieuwd.
Ik ken de term maar ik wil best weten hoe het werkt.
Niet altijd zo geweest maar een verbetering wordt altijd gewaardeerd.

----------------------------------------------------------
----------------------


Principe van het minst benodigte privilege. De netwerk service en local
service zijn accounts die beperkt zijn in de functionaliteit die ze
moeten
kunnen doen waarbij de netwerkservice dingen op het net mag, de
localservice niet.

end quote:
----------------------------------------------------------
----------------------

Ah, dank je.
Ik ga me er wel in verdiepen, ik vind het interessant.


quote:
----------------------------------------------------------
----------------------
Een aantal services zijn verweven met de gui.
De gui is verweven met onderdelen van internet explorer.
En over IE hoef ik niet veel over uit te leggen.

----------------------------------------------------------
----------------------


De meeste services mogen niet eens wat met de gui (er is niet voor
niets zo'n vinkje: service may interact with the desktop). Die
verwevenheid kan ik niet zo goed volgen dus. IE en explorer zijn
zwaar
geintegreerd, dat heeft verder minder met het aansturen van de
graphics te maken.


end quote:
----------------------------------------------------------
----------------------

Dus omdat het uit te vinken is, staat het volkomen los van elkaar ?
Ik hoop het. Dat wordt onderzoeken, googlen en lezen en verder
onderzoeken.

quote:
----------------------------------------------------------
----------------------

Over hta: ik zou niet alleen hta's wantrouwen maar alles wat
executable is van een ander.


end quote:
----------------------------------------------------------
----------------------

Dat is wel duidelijk lijkt mij. Alleen is de term hta minder bekend dan
bijvoorbeeld een word document of een .scr.
Ik wilde juist enigzins de mogelijkheden tonen van hypertext
applications of zo je wilt html applications.
Voornamelijk voor lezers welke nieuw zijn op het gebied van security.
Het is beter als mensen gaan nadenken in plaats van klakkeloos aan
nemen.

ALG