TEST: - Alvorlig sårbarhet i Vista

[abene]

En hacker påstår at en endring i brukerkontokontrollen i Vista innebærer en alvorlig sårbarhet som kan utnyttes av angripere.

Les mer

[ATWindsor]

"Mark Russinovich fra Microsoft har senere svart på Rutkowska sin blogg, og han mener at ordningen med brukerkontokontrollen er en vurdering av Microsoft - ordningen er en balansegang mellom sikkerhet og brukervennlighet"

 

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

 

AtW

[Anders Jensen]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

7962437[/snapback]

Det er du nok ikke alene om å synes nei. Et annet spørsmål er om du er en av de som syntes windows 2000 var grinete når det krasjet programmer (en lang rekke bedritent programmerte spill mener jeg å erindre) som tok seg frihet til å lese eller skrive til ymse plasser i minnet uten å be om å få tilgang av OS først? Det hadde kanskje vært bedre å bare la alt skure å gå og heller satse på at alt går greit. I så tilfelle har jo MS en lang portefølje av OS midt i blinken for deg. Jeg nevner i fleng; WIN3.x/95/98/ME

Endret 17. februar 2007 av Anders Jensen

[ATWindsor]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

7962437[/snapback]

Det er du nok ikke alene om å synes nei. Et annet spørsmål er om du er en av de som syntes windows 2000 var grinete når det krasjet programmer som tok seg frihet til å lese eller skrive til ymse plasser i minnet uten å be om å få tilgang av OS først? Det hadde kanskje vært bedre å bare la alt skure å gå og heller satse på at alt går greit. I så tilfelle har jo MS en lang portefølje av OS midt i blinken for deg. Jeg nevner i fleng; WIN3.x/95/98/ME

7962617[/snapback]

 

Det er en viss forskjell vil jeg si, nå er ikke jeg akkurat en Linux-mann, men der er det jo også et liknende system, og når jeg har brukt det er jeg langt mindre plaget med å måtte gi tillatelse til ymse, UAC maser jo om hva som helst, selv å åpne performance-.monitor som er en del av OSet vil den ha tillatelse til, når man blir spurt om ting 3 ganger i minuttet, så er det ikke sikkert lenger.

 

AtW

[Anders Jensen]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

7962437[/snapback]

Det er du nok ikke alene om å synes nei. Et annet spørsmål er om du er en av de som syntes windows 2000 var grinete når det krasjet programmer som tok seg frihet til å lese eller skrive til ymse plasser i minnet uten å be om å få tilgang av OS først? Det hadde kanskje vært bedre å bare la alt skure å gå og heller satse på at alt går greit. I så tilfelle har jo MS en lang portefølje av OS midt i blinken for deg. Jeg nevner i fleng; WIN3.x/95/98/ME

7962617[/snapback]

 

Det er en viss forskjell vil jeg si, nå er ikke jeg akkurat en Linux-mann, men der er det jo også et liknende system, og når jeg har brukt det er jeg langt mindre plaget med å måtte gi tillatelse til ymse, UAC maser jo om hva som helst, selv å åpne performance-.monitor som er en del av OSet vil den ha tillatelse til, når man blir spurt om ting 3 ganger i minuttet, så er det ikke sikkert lenger.

 

AtW

7962647[/snapback]

Jeg ser ikke bort fra at Vista er litt for pirkete på dette området spesielt når det gjelder tilgang til egne OS funksjoner. Det kan kanskje skyldes at muligheten til å gjøre endringer ligger på samme plass som du finner informasjon. Ofte vil en vel bare ha noe informasjon, men må over i administrator modus fordi muligheten til å gjøre endringer på systemet ligger på samme plass. Helt klart en del å hente på slike ting i vista. I en del tilfeller ville det vært fint om de ventet med å be om autorisasjon til etter at en hadde bedt om å utføre en endring eller et sett med endringer. På en annen side ville en slik implementasjon blitt veldig masete om en skulle utføre en jobb som medførte at en ba om å få gjort endringer mange ganger.

 

Ellers er det en god del unødvendig masing fra andre applikasjoner fordi de er designet for å kjøre med admin retigheter selv om oppgaven de løser fint kunne vært utført i user mode. Dette er vel det største problemet per i dag og det er vel rimelig å anta at dette problemet vil forsvinne etterhvert som utviklerne begynner å jobbe på vista maskiner.

 

Men det er helt klart at mye masing fører til lavere sikkerhet fordi folk vil jo bare trykke OK på instinkt etter en stund.

Endret 17. februar 2007 av Anders Jensen

[loathsome]

Personlig har jeg slått av hele UAC og stoler på det som sitter mellom øra

[iDude]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

7962437[/snapback]

Er litt mye mas ja. De burda balansert sikkerhet mot "mas" på en litt bedre måte. Slik det er nå frykter jeg mange slår av UAC.

 

Jeg syns

illustrerer det ganske bra NB: Det er en reklamefilm for Apple.. Jeg prøver ikke å starte en OSX vs Vista tråd her, men akkurat denne filmen syns jeg var ganske morsom

[pcp160]

Her må jeg si meg helt ening med deg ATW!

MS har jo vistnok "tonet ned" dette en hel del ifht hva som får frem denne masete dialogboksen.

 

Som jeg har sagt før tror jeg at feks min foreldregenerasjon vil sitte igjen med begrenset funksjonalitet, i frykt for å gjøre noe galt. Og det blir vel flere telefoner av typen "kan jeg trykke JA på denne" (De er jo da av den genrasjonen som nærmest trekker ut alle ledningene hvis de får en dialogboks som sier at de har foretatt en "ulovlig handling" i Windows...)

 

På den andre siden har vi den yngre garde, som i sin iver etter å få utført det de ønsker bare trykker OK, JA i vilden sky (akkurat som de gjør i dag med varsel om oppdateringer ol.

 

Selv har jeg skrudd av dette, etter å ha testet det en god stund. Jeg syns det blir for mye mas, og har mange ganger spurt andre her om noen noen gang faktisk har blitt "reddet" av denne funksjonen?

Altså, hvor mange ganger har denne dialogboksen kommet frem uten at man selv har bedt om endringer. Selv har jeg aldri opplevd det, men nå har jeg jo altså skrudd av hele greia, så vil ikke få svar på spørsmålet fra meg selv i alle fall

 

Håper vi i fremtiden vil få se mer inteligent håndtering av slike ting. For den jeven bruker er automatikk løsningen. Hvor lett det er å gjennomføre er kanskje en annen sak...

[waerg34g]

Jeg våger å påstå at MS vil få kritikk uansett hvordan de velger å løse dette. Etter mange år med klager om at admin-rettigheter som default er en uting, får man nå den motsatte effekten. Og om de endrer så blir antagelig det galt også.

Sammenligningen med linux er på mange måter misvisende, basert på at den jevne linux bruker besitter en helt annen kompetanse enn den jevne windows bruker. Dermed kan man ikke direkte overta funksjonalitet. Litt på samme måte som en rallyfører har en helt annen kompetanse på bilkjøring en meg, så det har ingen hensikt å bare bygge standardbiler over samme lest som rallybilene.

[wiberos]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

 

Så sant!!

I’ve been running Vista more then a month now and, besides the first few days when I was installing various applications, I now do not see UAC prompt more then 1-2 times per day. So, I really wonder what those people are doing that they see UAC constantly appearing every other minute…

[Anders Jensen]

Er det bare meg som synes UAC er fantastisk lite brukervennlig? Man får jo spørsmål og mas nesten uansett hva man gjør...

 

Så sant!!

I’ve been running Vista more then a month now and, besides the first few days when I was installing various applications, I now do not see UAC prompt more then 1-2 times per day. So, I really wonder what those people are doing that they see UAC constantly appearing every other minute…

7964362[/snapback]

har stussa på det der jeg også. Når du bruker maskina til å produsere noe ser du skjelden UAC, men det er kanskje noen som bare installerer og endrer på oppsett i steden for å bruke den. Ikke vet jeg.

[Tordenflesk]

Fjerna like greit UAC fra Vista-DVD'n min jeg Nå mangler jeg bare å finne ut i hvilken DLL MS har gjemt det stygge lille ikonet jeg får på knapper som "krever" UAC så jeg får reshacket det bort

[saivert]

Problemet er at UAC er nøyaktig samme funksjonen som du finner i de fleste Linux-distroer og Mac OS X. Du får en melding når du skal utføre noe som krever admin-tilgang.

 

Folk er heller ikke vant til slike sikkerhetsfunksjoner i et Windows OS. I Windows skal man rett og slett ikke bli spurt om noe som helst ikke sant? Og litt forandring er skremmende og fælt for Windows-brukerne.

 

At folk i det hele tatt sier at Linux og Mac sin variant av denne funksjonaliteten er bedre enn Vista sin finner jeg merkelig.

 

Om du installerer og knoter fælt med innstillinger i Linux og Mac OS X så får du også opp denne boksen gjevnlig.

 

Jeg baserer dette på egne erfaringer i alle de tre operativsystemene. Så dere kan sikkert ha opplevd det annerledes.

 

En kommentar til som følger opp det wiberos og Anders Jensen skriver:

Jepp. Føler nok at folk klager veldig nå i begynnelsen siden man ofte installerer og leker seg mye med selve Vista akkurat når man har fått det installert istedet for å faktisk gjøre noe produktivt som å skrive en rapport i Office 2007 eller lage et bilde i Photoshop.

Endret 17. februar 2007 av saivert

[Langbein]

Om du installerer og knoter fælt med innstillinger i Linux og Mac OS X så får du også opp denne boksen gjevnlig.

Forskjellen er at sikkerhetsmodellen i linux er bedre, og man trenger ikke root-rettigheter (admin) for å installere spill eller programmer. Unntaket er hvis ting skal installeres system-wide eller helt spesielle programmer som trenger full tilgang.

 

Du har forresten ikke noen slik popup-boks i linux som sådan, men du tenker kanskje på sudo/gksudo i distroer som Ubuntu?

Endret 17. februar 2007 av Langbein

[klute]

Om du installerer og knoter fælt med innstillinger i Linux og Mac OS X så får du også opp denne boksen gjevnlig.

Forskjellen er at sikkerhetsmodellen i linux er bedre, og man trenger ikke root-rettigheter (admin) for å installere spill eller programmer. Unntaket er hvis ting skal installeres system-wide eller helt spesielle programmer som trenger full tilgang.

7966584[/snapback]

Blir det ikke litt for generelt å si at sikkerhetsmodellen er "bedre? Hovedpoenget med Vista-modellen, er vel å unngå at programmer legger seg inn uten brukerens viten og vilje. Det kan vel diskuteres hvorvidt det er genialt at installasjonsprogrammet får fulle rettigheter, men når man tar på seg sysadmin-hatten har man vel et ansvar overfor seg selv til kun å installare programmer fra distributører man "stoler på"...

[meron]

Om du installerer og knoter fælt med innstillinger i Linux og Mac OS X så får du også opp denne boksen gjevnlig.

 

Om du skal installere noe, skriv ein "gksu synaptic", skriv inn passordet og installerer alt man treng av program utan å bli spurt om passord igjen.

 

Brukerinnstillingar treng du ikkje slik tigong til for å endra.

 

Om du skal endre mange ting, så blir ein berre spurd om passord den første gongen.

 

Dessutan, ei melding ein instinktivt kan trykkje ok på, gjer vel ikkje store nytta (og når det i tillegg kan skruast av..)? Evt. virus kan vel trykkje «ok» utan at brukaren gjer noko som helst?

Endret 17. februar 2007 av meron

[iDude]

Problemet er at UAC er nøyaktig samme funksjonen som du finner i de fleste Linux-distroer og Mac OS X. Du får en melding når du skal utføre noe som krever admin-tilgang.

 

...

At folk i det hele tatt sier at Linux og Mac sin variant av denne funksjonaliteten er bedre enn Vista sin finner jeg merkelig.

7965843[/snapback]

I praksis er den mindre masete. Sist jeg prøvde vista kunne man få opp flere UAC-dialogbokser under installering av et program. I linux og til dels OSX får man dette helt i starten av installeringen. sudo i terminal har også en grei funksjon som gjør at passordet du skriver er gyldig i et tidsvindu; Si at du skal installere to programmer, første programinstallasjon skriver du passord når du kjører som superuser, andre installasjon slipper du å skrive passord for om du kjører det mindre enn to-tre minutt etterpå for eksempel.

 

For at UAC skal fungere godt i praksis er slike ting ganske viktige, og ting jeg kan tenke meg MS vil legge til etter hvert for å forbedre UAC

[JKJK]

faktisk, selv om UAC er JÆVLI irriterende, så tror jeg faktisk denne funksjonen har NOE for seg (selv om det er lite). Skrudde den av i 2 dager, og plutselig hadde jeg noe win16.exe trojanerspywaredrit uten at jeg har PEILING på hvordan i all verden det har gått till (har ikke hatt virus eller spyware i xp på 3 år).

 

Samtidig, de som virkelig ikke tenker over på hva de får spørsmål om å installere vil bare trykke på accept uansett, og da man jo like langt. Sånn sett er det jo IDIOTISK.

[Langbein]

Et av problemene er jo hvis det fortsetter å bli sånn at man må være admin for å installere omtrent hva som helst, slik det vært tidligere i Windows. Da hjelper jo ikke UAC stort, fordi brukeren uansett må klikka JA på slike ting. Og vips så har programmet man leker med gjort litt mer enn hva brukeren trodde, og helga går med til reinstall

 

MS må isåfall gå foran med et godt eksempel og lage færrest mulig programmer som krever eleverte rettigheter, og prøve å få tredjeparts utviklere til å gjøre det samme, så man kan installere spill og alt annet moro uten at det skal gå på bekostning av sikkerheten til systemet.

[Syar-2003]

Et av problemene er jo hvis det fortsetter å bli sånn at man må være admin for å installere omtrent hva som helst, slik det vært tidligere i Windows. Da hjelper jo ikke UAC stort, fordi brukeren uansett må klikka JA på slike ting. Og vips så har programmet man leker med gjort litt mer enn hva brukeren trodde, og helga går med til reinstall

 

MS må isåfall gå foran med et godt eksempel og lage færrest mulig programmer som krever eleverte rettigheter, og prøve å få tredjeparts utviklere til å gjøre det samme, så man kan installere spill og alt annet moro uten at det skal gå på bekostning av sikkerheten til systemet.

7968401[/snapback]

 

Det er akkurat dette som MS ber applikasjons utviklere om ( og har dokumentert)

Lag applikasjon/installer som kan installeres som std. user.

 

Quote:

How you and other independent software vendors (ISVs) develop your applications to contribute to the overall security of the operating system will be a key success factor for achieving Trustworthy Computing in Windows Vista.

The goal of the remainder of this guide is to help assist application developers with learning how to do the following:

• Write applications that do not require the user to be an administrator to perform routine tasks.

• Create installation packages with Windows® Installer 4.0 UAC patching technologies that deploy well to the standard user desktop in enterprises and also update correctly in the home.

• Identify standard user and administrative functionality and extrapolate administrative tasks for UAC compatibility

• Write application user interfaces that utilize the UAC functionality

It is essential for the success of UAC that application developers embrace the philosophy of least-privilege and design their applications to function correctly when running with a standard user account.

 

Les hele ...

http://download.microsoft.com/download/5/6...aUACDevReqs.doc