Позволю себе организовать дискурс на тему одной из официальных дисциплин Специальной Олимпиады. ☺
Идейные защитники самой распространённой ОС толкают стандартное объяснение источника всех проблем: «не работай под учётной записью с правами администратора». Что заставляет лично меня задуматься над вопросом: то ли они не знают принципа наименьших, то ли в лучших традициях разносчиков демократии учат других делать то, чего не делают (и никогда не пробовали делать) сами.
По этому поводу стоит совместить факт восхищения многими из них «лучшей ОС Майкрософта» (хотя тенденция меняется и семёрочка уже отвоевала право на жизнь) с материалом достаточно выдержанной статьи. Но сначала, в качестве предисловия, пара цитат:
дурачка не включайте. Речь не о вирусах в репозитарии (win store, app store и т.д.), а о настройках безопасности. Типовая тетяКлава на домашнем компе сама все отключит. Или зятя заставит отключить, если не справится. Ну не хочет она предохраняться. Хочет ездить без ремня безопасности. Выйдите на улицу и посмотрите - сколько народу в машинах пристёгивается? С компами то же самое.
Линуксоид про популярную среди пользователей самой распространённой ОС мантры о вирусах (причины пока не рассматриваю):
mva: Обратил внимание, что заявления типа "вирусов под линукс нету не потому, что он очень защищён, а потому, что он не популярен" и слабоотличная от 0 грамотность этого самого человека в Linux почти всегда (100%±0.1%) стоят рядом.
© ibash #17200
Строго говоря, дилемма заключается в расстановке акцентов:
СПО созидается с тенденцией к уклону в правильность.
ППО созидается согласно ожиданиям платёжеспособного спроса (посади принимающего решение о выделении финансирования на закупку на место эксплуатирующего — и свершится чудо) с кучей сопутствующих обременений.
Windows: Удобство vs Безопасность
Уже много было здесь сказано о безопасности Windows. Основным аргументом в обвинении этой ОС в дырявости служили вирусы. На что защитники отвечали, дескать, используйте ограниченный аккаунт, и никакие вирусы вам будут не страшны. Так то оно так, но что же на самом деле? Взглянем на работу в ограниченном аккаунте Windows со стороны продвинутого пользователя и посмотрим, насколько удобна безопасная винда.
Итак, все начинаем с установки, ибо криво поставленную ОС выпрямить уже не получится. Исходный материал — установочный диск Windows XP SP2. При установке форматируем диск C: в файловую систему NTFS. Задаем пароль администратора, а не оставляем его пустым как обычно. В конце создаем основной аккаунт, который по умолчанию имеет права администратора, даём ему имя «Boss».
Ну вот, система установлена, и выполнен вход в основной аккаунт. Начнем заниматься установкой драйверов и настройкой. Собственно, в установке дров ничего сверхъестественного нет, все это уже делалось много раз. Устанавливаем все необходимые программы. Тут следует также учесть, что работать за компьютером будут 2 человека и предпочтительные программы у них разные. Следовательно, устанавливаю 2 браузера: Firefox (для себя) и Opera (для сестры). ThunderBird, uTorrent, MSDN, Visual C++, QIP и прочее, все что нужно.
Теперь переходим к созданию ограниченных аккаунтов, по одному на пользователя. Делаем все из оснастки «Управление компьютером». Задаем пароль для нашего аккаунта «Boss». Также меняем имя встроенной учетной записи «Администратор» на «BigBoss» (чтобы враг не догадался). Создаем 2 аккаунта, принадлежащих только группе «Пользователи», и задаем им пароли. Вроде все, настройка закончена, теперь можно нормально работать не боясь ничего. Не тут то было...
Проблемы начинаются сразу после входа в ограниченный аккаунт. Программа, которая шла в комплекте с дровами материнки, выдала ошибку: «The power button configuration has been altered. You are no longer able to enable Al Suite by pushing power button. To enable the power button for Al Suite again, click the icon at the bottom right of the screen to enable this function.» Как я понял, изменилась конфигурация кнопки выключения компа, которая на системнике. Под админом таких сообщений нет.
Щас посмотрим, что там у нас в управлении питанием. А там в ограниченном аккаунте ничего. В группе «Кнопки питания» на вкладке Дополнительно ни один выпадающий список не доступен. Если нажать окей, то это же сообщение выпрыгивает снова. И так, пока не завершишь эту программу через диспетчер задач. Удобно, нечего сказать. Но в принципе, можно работать и без нее. Просто не будет управления производительностью и, следовательно, шумом компа.
Программы в меню Пуск и на Рабочем столе вроде как есть. Некоторые... А некоторых и нет. Например, нет ярлыка uTorrent. Ну, мы люди не гордые, нам не влом смотаться в Program Files и вытащить его. Запускаем uTorrent и видим начало установки. Вот здорово, я же ее уже установил, и она работала в привилегированном аккаунте. Ну что же, попробуем заново установить со всеми параметрами по умолчанию, как и делали в первый раз.
После установки из ограниченного аккаунта (в тот же Program Files, в который этот аккаунт доступа на запись не имеет; чудеса прямо какие-то), программа наконец запускается, но на английском языке. В настройках русского нет. А ведь в админском аккаунте есть русский. Чем дальше, тем чудесатее. Зато теперь появилась ассоциация для файлов *.torrent.
Запустил MSDN. Опять пошла установка. Окошко с надписью «Please wait, while setup is configuring your system». Прогресс дошел до середины, выскочила неизвестная ошибка с кнопкой OK, после нажатия на которую прогресс побежал назад и все завершилось. Вот здорово. Конечно, MSDN старенький — 2002 February. Но в это время уже была XP, и в этом MSDN есть описание тех вещей которые были введены в XP, такие как GDI+, и даже есть .Net. Значит ли это, что сами разработчики Microsoft работают только в админском аккаунте?
Найти exeшник, запускающий MSDN, мне не удалось. Только какой-то хитрый ярлык, который это все и запускает. При щелчке правой кнопкой на нем, в меню пункта «Запустить от имени...» нет. Придется, значит, читать только из админа.
Ну вот, с этим разобрались, теперь нефигово было бы почистить Рабочий стол от ненужных ярлыков. Вот, например, Opera мне тут и нафик не нужна. Клацаем по ней и жмем Shift+Del... Бумммм (звук ошибки) — «Доступ запрещен». Как это?!! Это же мой рабочий стол! Немного подумав, я понял в чем дело. Оказывается, ярлыки эти создаются в профиле «All Users», к которому пользователи доступа на запись не имеют. Это тоже такое издевательское удобство Windows. Приходится запускать файловый менеджер от имени админа и разруливать эти ярлыки с его помощью.
И тут я прозреваю, что такую же бадягу нужно проделывать и с меню Пуск. Это меня полностью укрепило во мнении, что в Windows сделано абсолютно все, чтобы пользователю было сухо и комфортно. Стоит также отметить и само меню программ в Пуск'е. Программы группируются так, что найти там что-либо очень тяжело. А иногда и просто невозможно.
Тут пришла сестра. Она была явно не в восторге от моего нововведения, но что сделано, то сделано. Провел среди нее разъяснительную работу о пользе ограниченного аккаунта, и она, загрузившись по самые уши, согласилась на все. Был проведен вводный инструктаж по работе в новой для нее среде. Объяснил, как устанавливать программы (правой кнопкой по инсталяхе, потом «Запустить от имени...», выбираешь «Boss» вводишь пароль и жмешь окей). На ее лице так и читался восторг от удобства, которое предоставляет безопасный Windows.
Оставив сестру за компом, я пошел попить чайку на кухню. Только я поставил чайник, как ворвалась взбешенная сестра с заявлением, что QIP не работает. Пойдем посмотрим, что там у нас опять случилось. Действительно, QIP запускается, просит ввести номер аськи и пароль и потом виснет наглухо. Перехожу в админский аккаунт, проделываю те же манипуляции, и все работает. Иду назад. Нифика не работает. После десяти минут мучений было выяснено, что QIP хранит свою конфигурацию в той же папке, где установлен. И поэтому нужно дать полный доступ группе «Пользователи» на папку Users. Моя сестра, как домохозяйка, до такого вообще бы не дошла. Ну можно же было хоть сообщение вывести, о том, что доступ запрещен? Удобство...
А тем временем чайник на плите уже свистел вовсю, и я удалился снова. Оказалось, опять ненадолго. Снова вылезли проблемы. Как оказалось, на диск D (который в NTFS) из ограниченного аккаунта ничего сохранять не получается. Потому пришлось еще повозиться с разруливанием прав доступа на этом диске. А уж система этих прав в винде такова, что без бутылки и не разобраться. А в это время мой чай давно уже остыл.
В конце этого рассказа, хочется задать вопрос. Так что же выбирают пользователи Windows: удобство или безопасность? Потому что, как видно из изложенного выше, за пару часов работы в защищенной винде произошло очень много неприятных вещей. А сколько их еще будет в будущем? Уже с первых минут работы становится понятно, что в этой ОС приходится выбирать между удобством и безопасностью. Все вместе не получится.
Энтузиасты могут пройти моим путем и ощутить все удобство предоставляемое самой безопасной операционкой в мире. В отличие от Windows, Linux всегда была многопользовательской, поэтому там защита и удобство максимально сбалансированы.
© MythBuster
http://citkit.ru/articles/1509/
24 September 2009 г
http://linuxapps.ucoz.ru (заявленная ссылка на оргинал, когда работала — мне не ведомо)
Комментарии
Вендец мастдай!Сделана потому что без царя в голове.Не было и нет у мелкомягких никакой системы в проектировании этого рыхлого монстра, нет идеи, нет и достойного результата.
Когда олдскулы ваяли макоси/ораклы результат хоть как-то можно было называть технически состоятельным. А вот когда пришла разнарядка на пидаров в штате, вот тогда всё это и вышло на свою финишную прямую. И никакие маркетологи с лоббистами это спасти уже не смогут. Аминь!
Теперь понимаю, почему мой братец никогда не остается у меня на чай
далее говнобред читать не стал
Виндовсов до ХРени (включительно) не было?
Предыдущий оратор просто в сортах разбирается.
до XPюшки
до сих пор в памяти осело J3QQ4-H7H2V...
...2HCH4-M3HK8-6M8VW
Ахах, были же времена!)))
Олды тут! Ай малацца, дай обниму, брат.
Статья 2009-го года.
Кстати, было бы интересно почитать, как обычный пользователь, взяв "установочный диск" какой-нибудь Убунты в 2009-м году самостоятельно устанавливает её себе, настраивает интернет и ставит офисные пакеты. И всё это без суперпользователя, конечно (хотя если пользователь "обычный", то он про su/sudo и не знает).
В 2010 году самостоятельно, покурив перед этим пару часов мануалы, установил себе 10.04. 3G-свисток подхватился сразу (в фортках надо было ставить дрова), офисный пакет шёл из коробки. Установку бубунтового софта осилила бы и тогда любая домохозяйка, ибо из репок ставится в один клик и ввод пароля (думаю, даже распоследнему гуманитарию всё там понятно), либо копипастой из тырнетов "sudo apt-get install someshit" (вот тут, конечно, хомячок может влететь со всякими говноPPA).
Стоп. Без "админки" :)
А как в линуксах без sudo?
Вообще, простые юзвери, которые не вникают в тонкости системы, воспирнимают всё это, как вполне логичную защиту от дурака и кулхацкера. Они не заморачиваются с учётками, а просто думают, что для определённых действий нужен ввод пароля, дабы не наломать дров.
В принципе можно и без sudo.
DAC в силу простоты (и понятности именно что простопользователю) давит продвинутые инновации майкросовта (RBAC) чисто за счёт полноты использования.
Ну, в статье ведь упирают в том числе на то, что винда без админа не фурычит :)
К тому же вы про интернет рассказываете, а его может и не быть. Толстого, по крайней мере.
ЗЫ. Каждому своё, конечно, но я вот не понимаю статей, где рассказывают про "кривость" винды и "прямость" линукса. И там, и там можно при наличии кривых рук наломать так, что не разгребёшь, да и опыт в любом случае нужен. При должной настройке и аккуратности обе системы годны для домашнего использования. А по работе - всё зависит от используемого ПО. Коммерческое как правило поддерживает ограниченный набор дистрибутивов. Открытое зачастую требует плясок с бубном и постоянного RTFM.
Лично мне винда удобнее. По многим причинам, не вижу смысла перечислять.
В статье рассказывается, что настроенная под админом винда требует бубновых танцев при переходе на пользователя. Причем иногда бубновость танцев превосходит подобные у линя, что для юсер-френдли оси как-то неправильно.
Фишка в том, что со времён ХР всё несколько поменялось.
Называть никсы юзер-френдли я бы не стал.
Налицо продавливание тихой сапой представления о нормальности инноваций ХРени.
Вы сами поняли, что написали?
Причин, по которым ХРень была ЕМНИП *первой* осью макросовта, внедрение которой в России не опережало мировые показатели, а наоборот не знаем или не хотим знать?
Антипиратское?
Революционная, архи-нужная и крайне востребованная конечным пользователем функция *обязательной* активации ОС на сервере майкросовта (интересно, если сейчас попробовать установить ХРень с честно купленного лицензионного цыди, сервер активации ответит или уже попросту пошлёт?).
У жены на рабочем компе стоит честно купленная ХР (home edition, кстати - звонили в микрософт, они зуб дали, что на хоум эдишн МОЖНО работать). С дисками, книжками...
Так вот, комп этот за лет двадцать, наверно, не меньше (!) переезжает по железу потихоньку - то мать навернётся, то жёсткий, то ещё что - вылезает запрос активации - звонок автомату на 88002008002, ввод циферок и ввод ответного кода - и всё опять активно.
Как это будет работать после 24 февраля - пока не знаю, комп работает - ну и славненько.
На запАсном пути стоит купленный во время шухера новенький ноутбук на 5-й рязани со штатной Вынь11 (ну, как стоит - я на ём на кухне за обедом новостя читаю и афершок).
А вот ещё прекрасное продолжение о танцах с бубном.
Тихой сапой протаскиваете необходимые условия существования вирусов?
☺
а что семерка лучше? пока всю гадость не поотключаешь - толком работать на ней нельзя.
Странно. Я работаю. Эффекты визуализации, правда, отключил по большей части, но это скорее потому что я красивости не люблю - отвлекают.
Некоторые и на *никсах их включают.
В 7 из под ограниченной учётки даже время не подвести.
Часть софта ставится под админом, после чего необходимо шаманить, ибо рабочий каталог, под пользователем тю-тю.
А ещё можно словить момент, что на 10 развёрнутых машинах с одного дистриба, на части машин принтера настраиваются, на части - нет. Лицуха, если чё.
Я в конторе застал момент переезда на 7ку оптом. Содом и Гоммора. В компании сатанистов с вудуистами.
Первые 2 месяца, мы в основном пили чай и дышали воздухом.
Особенно понравилась хрень с виртуализацией каталогов для 32 и 64 бит.
И виртуализация с изоляцией для пользователя, в результате чего длина пути уходила за 300-500 символов и начиналась потеха.
8ка весьма своеобразно работает с пдф (свыше А3), не всегда, в чём особенная прелесть.
А ещё в 8ке для 64бит особый кайф в запуске 32бит программ.
Ещё ловили странный глюк с буффером обмена, когда текст напрямую из проги в прогу не вставлялся, приходилось через блокнот.
Ну, пингвин тоже оригинален. Особенно процедурс поиска софта. Установка. Когда есть рпм а надо деб. Или когда одни исхходники с пачкой диффов. И всё это на гите, или ещё где-то.
А что не так? ☺
Просто используйте *соответствующую* задаче платформу (к вопросу: в чём profit от developer-friendabiliry для простой блондинки).
И не забудьте рассказать о решении аналогичной задачи (когда для нужной программы автор не обременяет себя даже понятием «релиз») в случае виндавса ☺
Использую :)
Дома пингвин, я тут в основном в инете да ютуб.
На работе Окна, но с ними трахаются админы в основном :)
Мда..... Гнать такого специалиста от компов с виндой. В посте описан классический эникейщик....
И это он еще в политики безопасности не лазил....
пардон, а где тут написано про специалистов?
тут как раз случай: дом-семья. никакой работы
Гнать нельзя.
Потому что автоматически потеряется такое конкурентное преимущество платформы, как доступность и цена персонала.
И Вы совершенно напрасно думаете, что среди увешанных сертификатами золотых партнёров фирмы майкросовт ситуация качественно отличается в лучшую сторону.
Главное же, что от твёрдо стоящих на УМВР профессиональных разработчиков *необходимого* ПО никакое мастерство администрирования не спасёт.
И здесь модель ППО вместе с штатом специально обученных юристов прямо провоцирует… расширение рынка труда.
Да это ладно.
Квипом давненько не пользуюсь, но для многопользовательского использования там можно тупо тыкнуть галочку и данный ИМ будет создавать профили в папках отдельных пользователей. Соответственно, проблемы не возникает. То есть человек, не читая, что написано в окне установщика, не задумываясь протыкивает "далее-далее-далее" и потом жалуется на проблемы ОС. С остальным ПО беда того же уровня.
Винда у меня самого восторга не вызывает, но списывать на неё свои проблемы... Стыдно таким быть.
Это беда многих фанатиков от СПО. С одной стороны привычка думать над своими действиями под *nix и всякими линухами, где за косяки следует немедленное наказание. С другой стороны, стремление делать всё заведомо кривым способом под виндой с целью убедить окружающих в её убогости.
О да!
Догмат, гласящий, что «незнание Закона не освобождает от ответственности» нигде так не доставляет, как в мире, где *профессиональные* юристы (!) вынуждены специализироваться по отраслям.
Ну и ничто так не доставляет, как критики со стороны криптофанатиков самой распространённой ОС: высмеивающих описываемые «заведомо кривые» решения, но не снисходящих до предоставления на суд публики *правильных*.
Именно!
Цитата объясняет нижецитируемую отписку.
Всё гораздо проще: я не мастурбирую на какую-то определённую ОС, а работаю с тем, что есть.
Когда понадобилось - поднял на фре шлюз со всеми нужностями. В другом случае настроил Win 2008 R2, так как полноценный многопользовательский криптоклиент у банка, где компания обслуживается, идёт только под виндами.
Угу.
Вы явным образом мастурбируете на собственное ЧСВ.
Было бы интересно посмотреть что Вы подняли на FreeBSD (в смысле иллюстраций требовательности к качеству).
Я тоже настраивал шлюзы на вендосерверах (потому что другой платформы разработчик ключевого модуля не знает). Но в отличие от не-мастурбаторов я вполне отдаю себе отчёт в том, *что* я там настроил. Не смотря на то, что с точки зрения прикладного уровня всё за…мечательно [работает].
Мне трудно спорить с голосами в вашей голове.
Особенно если эти голоса существуют исключительно в Вашем богатом воображении.
ограниченный пользователь не панацея. установил теще чтоб реже чинить винду, пароль админки не давал. приезжаю - она жалуется: интернет медленно работает, показывает: в браузере IE оооочень медленннно скролируется любая страница. причина была найдена - каким-то образом под ограниченной записью инсталлировался яндекс-браузер. удаляться ни в какую не хочет - пишет нет прав. после его сноса из-под админки стало нормуль.
Это даже не дыра, а дырище в винде!
В Линуксе тоже можно в домашнюю папку что-нибудь установить.
то, что можно установить - можно и снести. а тут был жирный фиг
Фиг в Линуксе ставится через "chmod 500 имя_каталога". Думаю, здесь аналогично (если ставилось без админских прав).
Насколько я помню, приказчики файлов позволяют игнорировать такую мелочь, как отсутствие прав.
Естественно, только для «своих» файлов.
Смищнее вариант корпоративной сети.
Когда по понятным причинам продолжает использоваться ХРень.
И некоторые сервисы *внезапно* _требуют_ осла. А некоторые другие, разработанные другими профессиональными разработчиками сервисы отказываются работать с слишком старым ослом.
И тут начинается самое смешное: профессиональная поддержка, естественно, начинает дополнительно ставить альтернативные браузеры. Причём часто делегируя функцию пользователю (уже ересь). Устанавливаемый браузер естественно по умолчанию проверяет свой статус и предлагает прописать себя в качестве умолчательного. При полном попустительстве невнимательного пользователя. Что ломает первую группу сервисов. Самое же смешное происходит, когда пользователь хочет поменять умолчательный браузер обратно на осла и… слава политикам безопасности, обламывается.
Хром и его потомки большей частью забили на Program files и размещают себя в AppData конкретного пользователя, что не требует никаких новых прав. Запретить его установку не так просто.
вот как запретить срать в профиль пользователя тоже придумать не могу.
Software restriciton policy. И пусть срёт, всё равно ничего не запустится :-)
Страницы