Быстрое отключение картинок было актуально во времена модемов и медленных каналов.
Зачем менять окно настроек без необходимости? Управление новыми возможностями добавлено в виде новых элементов, а неизменность положения остальных позволяет не искать в каждой новой версии «где же теперь эта штука...».
1. Разработчик кроссплатформенных продуктов должен как минимум уметь пользоваться виртуальными машинами или терминалом.
2. Когда установка ПО против воли не будет караться законами наверное.
Вы наверное имели ввиду запрет изменения настроек пользователем. Ну или введение в заблуждение программ (да, если настройки будут храниться не там где обычно — зловреду будет сложнее, а большинство сломается). Но это полумера, безопасность основанная на незнании, самый ненадежный подвид безопасности. Если такое будет достаточно популярно — появятся зловреды которые смогут находить настройки где угодно.
Дело в том что «Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер» (http://technet.microsoft.com/ru-ru/library/cc722487.aspx#EKAA).
Зловред может просто добавить свой самоподписанный сертификат в список доверенных на компьютере, или обойти эту проверку еще сотней других способов.
Без соображалки никуда.
Установка софта и должна быть заботой админа[ов] (главного или нет — вопрос частной организации труда и разделения полномочий). Это разумеется не подразумевает что админ должен бегать по рабочим станциям и «вытаскивать ярлыки». 200 компьютеров, IMHO, вполне достаточное количество пользователей чтобы как минимум задуматься об автоматизации установки ПО.
Угу, а что мешает такому вредоносному ПО снять эту галку?
Домашняя страница является настройками браузера, предполагается что нормальное ПО её менять не будет. Вредносному же всё равно, оно поменяет и домашнюю страницу, и галку запрещающую её менять, и еще пропишется в стек чтоб на запрос google.com выдавать mail.ru. И вообще сделает что угодно из того, что обычно делает вредоносное ПО на компьютере пользователей которые по своей воле его запускают.
Нет, я понял. Вы знаете какие то универсальные методы проверки является ли картинка эксплойтом :)
Мне не нудно, мне скорее неприятно позиционирование стандартов отображения картинок в почте, выше чем требований безопасности в вашем исходном сообщении.
Разумеется 100% безопасность недостижима. Но это не значит что надо её игнорировать ради соблюдения стандартов верстки. Безопасность — компромис. Для почтовых систем закрытие ничтожной вероятности уязвимости, гораздо важнее чем правильное отображение навороченных писем. И для меня тоже, я буду выбирать именно безопасного почтового клиента, а не того в котором картинки красиво показываются. Собственно в моем почтовом клиенте по умолчанию вообще не отображаются картинки и разумеется съезжает верстка. И у меня к этому никаких притензий.
Что делает в корпоративной сети компьютер не введенный в домен?
DA разумеется не будет работать без AD, это как вы заметели было бы совершенно небезопасно. technet.microsoft.com/ru-ru/library/ee382305(WS.10).aspx
Может вы тогда хотите отключить еще и групповые политики и утилиты командной строки? :)
То что DA можно настроить без ведома пользователя, не значит что он может настроится без ведома администратора. Хотя конечно если в сети каждый пользователь обладает правами администратора, а каждый третий имеет свой домен… но в таком случае у вас уже не в DA проблема :)
Соединение с домашней сетью через DA пользователь не установит — для DA требуется инфраструктура, поднимать которую админам домашних сетей не надо/не хватит квалификации. В частности — AD.
Если у вас пользователи могут устанавливать всё что захотят, вам стоит опасаться не технологий помогающих администратору, а вредоносного ПО. Пользователь скорее установит троян использующий любой доступный порт/прокси для открытия канала к хозяину, чем «ВНЕЗАПНО подхватит DA» :)
А зачем вам это делать?
Если вы хотите держать свою сеть под контролем: устанавливайте настройки машин с помощью групповых политик, проверяйте соответствие с помощью NAP.
Если вы хотите обезопаситься от слива информации — отключите интернет, или разрешите обращения лишь к особо определнным сайтам и проверяйте трафик. Туннели есть и такие что в icmp-пингах прячуться.
И вообще, в наше время наивно делать различия в плане безопасности между внутренней и внешней сетью. Большинство угроз сейчас приходит как раз из внутренней сети. Снаружи то что — DMZ, Firewall уровня приложений и пробиваться к вам извне станет уже нецелесообразно. А изнутри: флешки, подкупленные сотрудники (занесшие трояна/слившие инфу), некомпетентные/не соблюдающие политики сотрудники (wi-fi роутер в корп сети, пароль типа 12Октября, клиент для удаленного управления из дома, и т.д.)
Вы правы, таких систем на рынке вполне достаточно и они используются на предприятиях где на компьютерах необходима максимальная безопасность. Причем даже на гораздо менее критичных объектах.
Более того, для защиты от подобной атаки было бы достаточно любого нормального антивируса в режиме мониторинга (они тоже анализируют файлы к которым идут обращения на чтение или попытки запуска, даже если попытки делает проводник Windows).
Впрочем что антивирус… Банальной, встроенной в Windows, Software Restriction Policy хватило бы для защиты, еслиб она конечно была настроена.
Зачем менять окно настроек без необходимости? Управление новыми возможностями добавлено в виде новых элементов, а неизменность положения остальных позволяет не искать в каждой новой версии «где же теперь эта штука...».
2. Когда установка ПО против воли не будет караться законами наверное.
Зловред может просто добавить свой самоподписанный сертификат в список доверенных на компьютере, или обойти эту проверку еще сотней других способов.
Установка софта и должна быть заботой админа[ов] (главного или нет — вопрос частной организации труда и разделения полномочий). Это разумеется не подразумевает что админ должен бегать по рабочим станциям и «вытаскивать ярлыки». 200 компьютеров, IMHO, вполне достаточное количество пользователей чтобы как минимум задуматься об автоматизации установки ПО.
Домашняя страница является настройками браузера, предполагается что нормальное ПО её менять не будет. Вредносному же всё равно, оно поменяет и домашнюю страницу, и галку запрещающую её менять, и еще пропишется в стек чтоб на запрос google.com выдавать mail.ru. И вообще сделает что угодно из того, что обычно делает вредоносное ПО на компьютере пользователей которые по своей воле его запускают.
Мне не нудно, мне скорее неприятно позиционирование стандартов отображения картинок в почте, выше чем требований безопасности в вашем исходном сообщении.
Мне не нравятся стандарты ради стандартов.
DA разумеется не будет работать без AD, это как вы заметели было бы совершенно небезопасно. technet.microsoft.com/ru-ru/library/ee382305(WS.10).aspx
То что DA можно настроить без ведома пользователя, не значит что он может настроится без ведома администратора. Хотя конечно если в сети каждый пользователь обладает правами администратора, а каждый третий имеет свой домен… но в таком случае у вас уже не в DA проблема :)
Соединение с домашней сетью через DA пользователь не установит — для DA требуется инфраструктура, поднимать которую админам домашних сетей не надо/не хватит квалификации. В частности — AD.
Если у вас пользователи могут устанавливать всё что захотят, вам стоит опасаться не технологий помогающих администратору, а вредоносного ПО. Пользователь скорее установит троян использующий любой доступный порт/прокси для открытия канала к хозяину, чем «ВНЕЗАПНО подхватит DA» :)
Если вы хотите держать свою сеть под контролем: устанавливайте настройки машин с помощью групповых политик, проверяйте соответствие с помощью NAP.
Если вы хотите обезопаситься от слива информации — отключите интернет, или разрешите обращения лишь к особо определнным сайтам и проверяйте трафик. Туннели есть и такие что в icmp-пингах прячуться.
И вообще, в наше время наивно делать различия в плане безопасности между внутренней и внешней сетью. Большинство угроз сейчас приходит как раз из внутренней сети. Снаружи то что — DMZ, Firewall уровня приложений и пробиваться к вам извне станет уже нецелесообразно. А изнутри: флешки, подкупленные сотрудники (занесшие трояна/слившие инфу), некомпетентные/не соблюдающие политики сотрудники (wi-fi роутер в корп сети, пароль типа 12Октября, клиент для удаленного управления из дома, и т.д.)
Более того, для защиты от подобной атаки было бы достаточно любого нормального антивируса в режиме мониторинга (они тоже анализируют файлы к которым идут обращения на чтение или попытки запуска, даже если попытки делает проводник Windows).
Впрочем что антивирус… Банальной, встроенной в Windows, Software Restriction Policy хватило бы для защиты, еслиб она конечно была настроена.