Издержки пользователецентричности
На всякий случай отмечу этот текст здесь, чтобы потом не грызть локти.
«Windows: Удобство vs Безопасность»
MythBuster
http://linuxapps.ucoz.ru
24 September 2009 г
Уже много было здесь сказано о безопасности Windows. Основным аргументом в обвинении этой ОС в дырявости служили вирусы. На что защитники отвечали, дескать, используйте ограниченный аккаунт, и никакие вирусы вам будут не страшны. Так то оно так, но что же на самом деле? Взглянем на работу в ограниченном аккаунте Windows со стороны продвинутого пользователя и посмотрим, насколько удобна безопасная винда.
Итак, все начинаем с установки, ибо криво поставленную ОС выпрямить уже не получится. Исходный материал - установочный диск Windows XP SP2. При установке форматируем диск C: в файловую систему NTFS. Задаем пароль администратора, а не оставляем его пустым как обычно. В конце создаем основной аккаунт, который по умолчанию имеет права администратора, даём ему имя «Boss».
Ну вот, система установлена, и выполнен вход в основной аккаунт. Начнем заниматься установкой драйверов и настройкой. Собственно, в установке дров ничего сверхъестественного нет, все это уже делалось много раз. Устанавливаем все необходимые программы. Тут следует также учесть, что работать за компьютером будут 2 человека и предпочтительные программы у них разные. Следовательно, устанавливаю 2 браузера: Firefox (для себя) и Opera (для сестры). ThunderBird, uTorrent, MSDN, Visual C++, QIP и прочее, все что нужно.
Теперь переходим к созданию ограниченных аккаунтов, по одному на пользователя. Делаем все из оснастки «Управление компьютером». Задаем пароль для нашего аккаунта «Boss». Также меняем имя встроенной учетной записи «Администратор» на «BigBoss» (чтобы враг не догадался). Создаем 2 аккаунта, принадлежащих только группе «Пользователи», и задаем им пароли. Вроде все, настройка закончена, теперь можно нормально работать не боясь ничего. Не тут то было...
Проблемы начинаются сразу после входа в ограниченный аккаунт. Программа, которая шла в комплекте с дровами материнки, выдала ошибку: «The power button configuration has been altered. You are no longer able to enable Al Suite by pushing power button. To enable the power button for Al Suite again, click the icon at the bottom right of the screen to enable this function.» Как я понял, изменилась конфигурация кнопки выключения компа, которая на системнике. Под админом таких сообщений нет.
Щас посмотрим, что там у нас в управлении питанием. А там в ограниченном аккаунте ничего. В группе «Кнопки питания» на вкладке Дополнительно ни один выпадающий список не доступен. Если нажать окей, то это же сообщение выпрыгивает снова. И так, пока не завершишь эту программу через диспетчер задач. Удобно, нечего сказать. Но в принципе, можно работать и без нее. Просто не будет управления производительностью и, следовательно, шумом компа.
Программы в меню Пуск и на Рабочем столе вроде как есть. Некоторые... А некоторых и нет. Например, нет ярлыка uTorrent. Ну, мы люди не гордые, нам не влом смотаться в Program Files и вытащить его. Запускаем uTorrent и видим начало установки. Вот здорово, я же ее уже установил, и она работала в привилегированном аккаунте. Ну что же, попробуем заново установить со всеми параметрами по умолчанию, как и делали в первый раз.
После установки из ограниченного аккаунта (в тот же Program Files, в который этот аккаунт доступа на запись не имеет; чудеса прямо какие-то), программа наконец запускается, но на английском языке. В настройках русского нет. А ведь в админском аккаунте есть русский. Чем дальше, тем чудесатее. Зато теперь появилась ассоциация для файлов *.torrent.
Запустил MSDN. Опять пошла установка. Окошко с надписью «Please wait, while setup is configuring your system». Прогресс дошел до середины, выскочила неизвестная ошибка с кнопкой OK, после нажатия на которую прогресс побежал назад и все завершилось. Вот здорово. Конечно, MSDN старенький - 2002 February. Но в это время уже была XP, и в этом MSDN есть описание тех вещей которые были введены в XP, такие как GDI+, и даже есть .Net. Значит ли это, что сами разработчики Microsoft работают только в админском аккаунте?
Найти exeшник, запускающий MSDN, мне не удалось. Только какой-то хитрый ярлык, который это все и запускает. При щелчке правой кнопкой на нем, в меню пункта «Запустить от имени...» нет. Придется, значит, читать только из админа.
Ну вот, с этим разобрались, теперь нефигово было бы почистить Рабочий стол от ненужных ярлыков. Вот, например, Opera мне тут и нафик не нужна. Клацаем по ней и жмем Shift+Del... Бумммм (звук ошибки) - «Доступ запрещен». Как это?!! Это же мой рабочий стол! Немного подумав, я понял в чем дело. Оказывается, ярлыки эти создаются в профиле «All Users», к которому пользователи доступа на запись не имеют. Это тоже такое издевательское удобство Windows. Приходится запускать файловый менеджер от имени админа и разруливать эти ярлыки с его помощью.
И тут я прозреваю, что такую же бадягу нужно проделывать и с меню Пуск. Это меня полностью укрепило во мнении, что в Windows сделано абсолютно все, чтобы пользователю было сухо и комфортно. Стоит также отметить и само меню программ в Пуск'е. Программы группируются так, что найти там что-либо очень тяжело. А иногда и просто невозможно.
Тут пришла сестра. Она была явно не в восторге от моего нововведения, но что сделано, то сделано. Провел среди нее разъяснительную работу о пользе ограниченного аккаунта, и она, загрузившись по самые уши, согласилась на все. Был проведен вводный инструктаж по работе в новой для нее среде. Объяснил, как устанавливать программы (правой кнопкой по инсталяхе, потом «Запустить от имени...», выбираешь «Boss» вводишь пароль и жмешь окей). На ее лице так и читался восторг от удобства, которое предоставляет безопасный Windows.
Оставив сестру за компом, я пошел попить чайку на кухню. Только я поставил чайник, как ворвалась взбешенная сестра с заявлением, что QIP не работает. Пойдем посмотрим, что там у нас опять случилось. Действительно, QIP запускается, просит ввести номер аськи и пароль и потом виснет наглухо. Перехожу в админский аккаунт, проделываю те же манипуляции, и все работает. Иду назад. Нифика не работает. После десяти минут мучений было выяснено, что QIP хранит свою конфигурацию в той же папке, где установлен. И поэтому нужно дать полный доступ группе «Пользователи» на папку Users. Моя сестра, как домохозяйка, до такого вообще бы не дошла. Ну можно же было хоть сообщение вывести, о том, что доступ запрещен? Удобство...
А тем временем чайник на плите уже свистел вовсю, и я удалился снова. Оказалось, опять ненадолго. Снова вылезли проблемы. Как оказалось, на диск D (который в NTFS) из ограниченного аккаунта ничего сохранять не получается. Потому пришлось еще повозиться с разруливанием прав доступа на этом диске. А уж система этих прав в винде такова, что без бутылки и не разобраться. А в это время мой чай давно уже остыл.
В конце этого рассказа, хочется задать вопрос. Так что же выбирают пользователи Windows: удобство или безопасность? Потому что, как видно из изложенного выше, за пару часов работы в защищенной винде произошло очень много неприятных вещей. А сколько их еще будет в будущем? Уже с первых минут работы становится понятно, что в этой ОС приходится выбирать между удобством и безопасностью. Все вместе не получится.
Энтузиасты могут пройти моим путем и ощутить все удобство предоставляемое самой безопасной операционкой в мире. В отличие от Windows, Linux всегда была многопользовательской, поэтому там защита и удобство максимально сбалансированы.
http://citkit.ru/articles/1509/
И бонусом цитата из практически одноимённой статьи заочных аналитиков компьютерры:
«Поскольку трафик, передаваемый по радиоканалу, в принципе не защищен от прослушивания и изменения, в технологии Wi Fi изначально был встроен механизм шифрования канала***. Первым протоколом стал WEP (1999 год), который использовал 40 битные ключи и довольно распространенный алгоритм RC4. Уже тогда перебор всех ключей (их около 500 млрд) не представлял проблем для обычного персонального компьютера.
Производители оборудования перешли на 104 битные ключи, полный перебор оказался исключен, и тогда за дело взялись крипто-аналитики, которые обнаружили уязвимость в самом алгоритме RC4****. Результат - возможность взлома за часы и даже минуты. В 2003 году альянс Wi Fi принял новый протокол - WPA (затем, в 2004 году, WPA2), а прежний WEP признал непригодным с точки зрения безопасности. Но, как показывает опыт, от врожденной уязвимости избавиться очень трудно: требуется или замена/обновление программно-аппаратных средств, или ручные операции со стороны пользователей, к которым те совершенно не склонны. На волне интереса к WiFi было закуплено много оборудования, которое работает только с WEP, и просто так выбрасывать его мало кому хочется, так же, как и вчитываться в содержимое сайтов производителей, предлагающих инструкции по повышению безопасности.
Довольно интересны в этом плане результаты вардрайвинга, кото рый провела «Информзащита» в Москве в 2005 году: только 5% всех точек доступа использовали более защищенный протокол WPA; 12% применяли настройки «по умолчанию» (весьма небезопасные). То есть производители добились от потребителей того, чего хотели: це почки «купи, включи и ни о чем не думай».»
http://www.computerra.ru/cio/old/offline/2009/86/475530/
Как сейчас помню свой первый опыт по настройке wifi-подключения. На стороне клиента «внезапно» выступала «лучшая ОС майкрософта» (XP).
Которая конечно же совершенно «случайно» не подключалась к роутеру в режимах отличных от WEP.
Так что дело не только, и даже не столько, в преступной халатности пользователей, сколько в тяжком бремени технологической (и не только) инерции.
«Windows: Удобство vs Безопасность»
MythBuster
http://linuxapps.ucoz.ru
24 September 2009 г
Уже много было здесь сказано о безопасности Windows. Основным аргументом в обвинении этой ОС в дырявости служили вирусы. На что защитники отвечали, дескать, используйте ограниченный аккаунт, и никакие вирусы вам будут не страшны. Так то оно так, но что же на самом деле? Взглянем на работу в ограниченном аккаунте Windows со стороны продвинутого пользователя и посмотрим, насколько удобна безопасная винда.
Итак, все начинаем с установки, ибо криво поставленную ОС выпрямить уже не получится. Исходный материал - установочный диск Windows XP SP2. При установке форматируем диск C: в файловую систему NTFS. Задаем пароль администратора, а не оставляем его пустым как обычно. В конце создаем основной аккаунт, который по умолчанию имеет права администратора, даём ему имя «Boss».
Ну вот, система установлена, и выполнен вход в основной аккаунт. Начнем заниматься установкой драйверов и настройкой. Собственно, в установке дров ничего сверхъестественного нет, все это уже делалось много раз. Устанавливаем все необходимые программы. Тут следует также учесть, что работать за компьютером будут 2 человека и предпочтительные программы у них разные. Следовательно, устанавливаю 2 браузера: Firefox (для себя) и Opera (для сестры). ThunderBird, uTorrent, MSDN, Visual C++, QIP и прочее, все что нужно.
Теперь переходим к созданию ограниченных аккаунтов, по одному на пользователя. Делаем все из оснастки «Управление компьютером». Задаем пароль для нашего аккаунта «Boss». Также меняем имя встроенной учетной записи «Администратор» на «BigBoss» (чтобы враг не догадался). Создаем 2 аккаунта, принадлежащих только группе «Пользователи», и задаем им пароли. Вроде все, настройка закончена, теперь можно нормально работать не боясь ничего. Не тут то было...
Проблемы начинаются сразу после входа в ограниченный аккаунт. Программа, которая шла в комплекте с дровами материнки, выдала ошибку: «The power button configuration has been altered. You are no longer able to enable Al Suite by pushing power button. To enable the power button for Al Suite again, click the icon at the bottom right of the screen to enable this function.» Как я понял, изменилась конфигурация кнопки выключения компа, которая на системнике. Под админом таких сообщений нет.
Щас посмотрим, что там у нас в управлении питанием. А там в ограниченном аккаунте ничего. В группе «Кнопки питания» на вкладке Дополнительно ни один выпадающий список не доступен. Если нажать окей, то это же сообщение выпрыгивает снова. И так, пока не завершишь эту программу через диспетчер задач. Удобно, нечего сказать. Но в принципе, можно работать и без нее. Просто не будет управления производительностью и, следовательно, шумом компа.
Программы в меню Пуск и на Рабочем столе вроде как есть. Некоторые... А некоторых и нет. Например, нет ярлыка uTorrent. Ну, мы люди не гордые, нам не влом смотаться в Program Files и вытащить его. Запускаем uTorrent и видим начало установки. Вот здорово, я же ее уже установил, и она работала в привилегированном аккаунте. Ну что же, попробуем заново установить со всеми параметрами по умолчанию, как и делали в первый раз.
После установки из ограниченного аккаунта (в тот же Program Files, в который этот аккаунт доступа на запись не имеет; чудеса прямо какие-то), программа наконец запускается, но на английском языке. В настройках русского нет. А ведь в админском аккаунте есть русский. Чем дальше, тем чудесатее. Зато теперь появилась ассоциация для файлов *.torrent.
Запустил MSDN. Опять пошла установка. Окошко с надписью «Please wait, while setup is configuring your system». Прогресс дошел до середины, выскочила неизвестная ошибка с кнопкой OK, после нажатия на которую прогресс побежал назад и все завершилось. Вот здорово. Конечно, MSDN старенький - 2002 February. Но в это время уже была XP, и в этом MSDN есть описание тех вещей которые были введены в XP, такие как GDI+, и даже есть .Net. Значит ли это, что сами разработчики Microsoft работают только в админском аккаунте?
Найти exeшник, запускающий MSDN, мне не удалось. Только какой-то хитрый ярлык, который это все и запускает. При щелчке правой кнопкой на нем, в меню пункта «Запустить от имени...» нет. Придется, значит, читать только из админа.
Ну вот, с этим разобрались, теперь нефигово было бы почистить Рабочий стол от ненужных ярлыков. Вот, например, Opera мне тут и нафик не нужна. Клацаем по ней и жмем Shift+Del... Бумммм (звук ошибки) - «Доступ запрещен». Как это?!! Это же мой рабочий стол! Немного подумав, я понял в чем дело. Оказывается, ярлыки эти создаются в профиле «All Users», к которому пользователи доступа на запись не имеют. Это тоже такое издевательское удобство Windows. Приходится запускать файловый менеджер от имени админа и разруливать эти ярлыки с его помощью.
И тут я прозреваю, что такую же бадягу нужно проделывать и с меню Пуск. Это меня полностью укрепило во мнении, что в Windows сделано абсолютно все, чтобы пользователю было сухо и комфортно. Стоит также отметить и само меню программ в Пуск'е. Программы группируются так, что найти там что-либо очень тяжело. А иногда и просто невозможно.
Тут пришла сестра. Она была явно не в восторге от моего нововведения, но что сделано, то сделано. Провел среди нее разъяснительную работу о пользе ограниченного аккаунта, и она, загрузившись по самые уши, согласилась на все. Был проведен вводный инструктаж по работе в новой для нее среде. Объяснил, как устанавливать программы (правой кнопкой по инсталяхе, потом «Запустить от имени...», выбираешь «Boss» вводишь пароль и жмешь окей). На ее лице так и читался восторг от удобства, которое предоставляет безопасный Windows.
Оставив сестру за компом, я пошел попить чайку на кухню. Только я поставил чайник, как ворвалась взбешенная сестра с заявлением, что QIP не работает. Пойдем посмотрим, что там у нас опять случилось. Действительно, QIP запускается, просит ввести номер аськи и пароль и потом виснет наглухо. Перехожу в админский аккаунт, проделываю те же манипуляции, и все работает. Иду назад. Нифика не работает. После десяти минут мучений было выяснено, что QIP хранит свою конфигурацию в той же папке, где установлен. И поэтому нужно дать полный доступ группе «Пользователи» на папку Users. Моя сестра, как домохозяйка, до такого вообще бы не дошла. Ну можно же было хоть сообщение вывести, о том, что доступ запрещен? Удобство...
А тем временем чайник на плите уже свистел вовсю, и я удалился снова. Оказалось, опять ненадолго. Снова вылезли проблемы. Как оказалось, на диск D (который в NTFS) из ограниченного аккаунта ничего сохранять не получается. Потому пришлось еще повозиться с разруливанием прав доступа на этом диске. А уж система этих прав в винде такова, что без бутылки и не разобраться. А в это время мой чай давно уже остыл.
В конце этого рассказа, хочется задать вопрос. Так что же выбирают пользователи Windows: удобство или безопасность? Потому что, как видно из изложенного выше, за пару часов работы в защищенной винде произошло очень много неприятных вещей. А сколько их еще будет в будущем? Уже с первых минут работы становится понятно, что в этой ОС приходится выбирать между удобством и безопасностью. Все вместе не получится.
Энтузиасты могут пройти моим путем и ощутить все удобство предоставляемое самой безопасной операционкой в мире. В отличие от Windows, Linux всегда была многопользовательской, поэтому там защита и удобство максимально сбалансированы.
http://citkit.ru/articles/1509/
И бонусом цитата из практически одноимённой статьи заочных аналитиков компьютерры:
«Поскольку трафик, передаваемый по радиоканалу, в принципе не защищен от прослушивания и изменения, в технологии Wi Fi изначально был встроен механизм шифрования канала***. Первым протоколом стал WEP (1999 год), который использовал 40 битные ключи и довольно распространенный алгоритм RC4. Уже тогда перебор всех ключей (их около 500 млрд) не представлял проблем для обычного персонального компьютера.
Производители оборудования перешли на 104 битные ключи, полный перебор оказался исключен, и тогда за дело взялись крипто-аналитики, которые обнаружили уязвимость в самом алгоритме RC4****. Результат - возможность взлома за часы и даже минуты. В 2003 году альянс Wi Fi принял новый протокол - WPA (затем, в 2004 году, WPA2), а прежний WEP признал непригодным с точки зрения безопасности. Но, как показывает опыт, от врожденной уязвимости избавиться очень трудно: требуется или замена/обновление программно-аппаратных средств, или ручные операции со стороны пользователей, к которым те совершенно не склонны. На волне интереса к WiFi было закуплено много оборудования, которое работает только с WEP, и просто так выбрасывать его мало кому хочется, так же, как и вчитываться в содержимое сайтов производителей, предлагающих инструкции по повышению безопасности.
Довольно интересны в этом плане результаты вардрайвинга, кото рый провела «Информзащита» в Москве в 2005 году: только 5% всех точек доступа использовали более защищенный протокол WPA; 12% применяли настройки «по умолчанию» (весьма небезопасные). То есть производители добились от потребителей того, чего хотели: це почки «купи, включи и ни о чем не думай».»
http://www.computerra.ru/cio/old/offline/2009/86/475530/
Как сейчас помню свой первый опыт по настройке wifi-подключения. На стороне клиента «внезапно» выступала «лучшая ОС майкрософта» (XP).
Которая конечно же совершенно «случайно» не подключалась к роутеру в режимах отличных от WEP.
Так что дело не только, и даже не столько, в преступной халатности пользователей, сколько в тяжком бремени технологической (и не только) инерции.