Секурность модульной системы
Вот мы с одним челом обсуждали одну идейку. Идейка заключается в том, что делается модульная прога. Модуль - дллка, содержащая функцию инициализации с опр. именем. В принципе такая система реализована в миранде, в liteStep'е ну и по-моему много где. Прикол в том, что любой козел может подсунуть дллку с нужной функцией, которая будет запускать вирусище какое-нибудь.
Я предложил такую бодягу, что создается сайт, где размещаются проверенные секурные модули. Тот чел предложил создать папку modules, выставить ей админские права и чтобы модули мог ставить только админ. Мне этот вариант не нравится, так как хочу сделать поиск модулей по всему компу (не справшивайте почему, просто надо).
Если взять ту же миранду, я не слышал, чтобы делались модули, содержащие вирусы, хотя система аналогичная. Вы че думаете?
Я предложил такую бодягу, что создается сайт, где размещаются проверенные секурные модули. Тот чел предложил создать папку modules, выставить ей админские права и чтобы модули мог ставить только админ. Мне этот вариант не нравится, так как хочу сделать поиск модулей по всему компу (не справшивайте почему, просто надо).
Если взять ту же миранду, я не слышал, чтобы делались модули, содержащие вирусы, хотя система аналогичная. Вы че думаете?
Цитата: Washington
Вы че думаете?
Нужно понимать что если товарищ Боб хочет подсадить вирусяку Алисе, он непременно это сделает.
А ситуация напоминает ситуацию с ActiveX, загружаемых из инета в IE. Тут Микрософт пошел по пути сертификатов (электронная подпись) навешиваемых на DLL. Это также справедливо для .NET. Думаю, решение должно быть похожим.
гм. ну ладно, если дллки создаю только я, я могу цеплять цифровую подпись, я вообще могу создать ацкое имя процедуры инициализации, такое, что его ток дизасмом доставать. ну а если будут сторонние модули создаваться? тогда тот же вирусописатель наравне с нормальным производителем модулей ту же цифровую подпись толкнет. я все таки вижут выход с созданием сайта, как это сделано например с друпалом. друпал, хоть и не прикладная прога, но ситуация схожа с моей. у них есть папка модулес и че я туда напихаю - моя проблема. но рекомендуется качать все с друпал.орг, где все модули проверяются.
или ты говоришь про то, что производится модуль, но он должен пройти сертификацию у меня, которая заключается в навешивании цифровой подписи? тогда да, это выход.
Цитата: Washington
или ты говоришь про то, что производится модуль, но он должен пройти сертификацию у меня, которая заключается в навешивании цифровой подписи? тогда да, это выход.
Лучше позволить подписывать DLL любому разработчику, но создать веб-сервис со списком доверенных сертификатов.
Не зачем изобретать велосипеды, тем более такие убогие.
Правильный ответ уже был дан - цифровая подпись.
я вообще могу создать ацкое имя процедуры инициализации, такое, что его ток дизасмом доставать.
тогда тот же вирусописатель наравне с нормальным производителем модулей ту же цифровую подпись толкнет.
Правильный ответ уже был дан - цифровая подпись.
Цитата: Washington
я вообще могу создать ацкое имя процедуры инициализации, такое, что его ток дизасмом доставать.
"достать" - 2 минуты работы
Цитата: Washington
тогда тот же вирусописатель наравне с нормальным производителем модулей ту же цифровую подпись толкнет.
Для начала почитай про цифровые подписи.
ага, так и сделаю, цифровыми подписями. только сертифицировать все таки буду я.
Цитата: Washington
только сертифицировать все таки буду я.
Хорошо, уговорил. :D
2 Washington: если вы уже перешли на дотнет, то там есть удобный механизм подписания. Если интересно, расскажу в привате.:)
