הצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?
-
שלום לכולם,
היום רציתי לכתוב מאמר קצר לנושא בניית חסימה, ראיתי שאין עדיין כללים ברורים איך לבנות חסימה, מה שאין כן בשאר תחומים שנוגעים לטכנולוגיה בדרך כלל, למשל מקרר כשר לשבת, וכו, ולכן היום רציתי לכתוב מאמר מה לדעתי צריכים להיות הכללים הללו כדי שיוכלו לקבל את השם של "חסימה הרמטית".
לפני קצת יותר משנה וחצי בערך, קבעתי לעצמי את ה-4 כללי ברזל של קיידרואיד, והיום אני ב"ה אסביר אותם, ואני אסביר גם למה זה עובד.
אני במאמר הזה אתמקד על חסימה שפועלת על המכשיר של הלקוח, ולא על צד שרת אבל זה גם מכיל את כל התוכנות שמונעים מהלוקח מלתחבר לרשה זרה.קודם כל, מה מנסים לעשות ?
בעצם, רוצים לבנות תוכנה שיגביל את המשתמש, זה לא כ"כ משנה איזה פעילויות רוצים להגביל, הרעיון הוא יהיה תמיד אותו דבר.הכלל הבזרל הראשון הוא שלתוכנית חייבות להיות יותר הרשאות מהמשתמש, ולכן לשמור על הכלל הזה זה גם אומר שהחסימה חייבת להיות חסימה אף אם אני אפתח את הקוד לכולם, המשתמש יכול לדעת בדיוק מה אני עושה כי פשוט אין לו את ההרשאות המספיקות כדי להוריד את החסימה.
אתם תגידו לי ישיר שלא לכל מערכת יש את האפשרות הזאת, אף שבאנדרואיד יש מה שקוראים MDM, בכללי מערכת הדסקטופ זה לא וודאי קיים ווודאי לא עם אותן אפשרויות...
קודם כל, יש פיתרון מאוד פשוט שאני לא יודע למה, אף אחד לא לקח את הזמן לפתח אותו (נראה לי), זה להשתמש בחשבון משתמש שאין הרשאות מנהל (או רוט לפי המערכת), זה נכון שזה יגביל את המשתמש ולכן זה לא פיתרון מושלם אבל לחלק גדול מהאוכלייסה, זה יכול להספיק בהחלט, ואפשר גם לדמיין ליצור גם חנות כשרה (שלו יש את ההרשאות מנהל) שיאפשר להתקין רשימה של תוכנות שמצריכות הרשאות מנהל כדי להתקין אותם, חוץ מזה יש הרבה תוכנות היום שלא מצריכות חשבון מנהל וכו, אני סתם זורק רעיונות אבל למעשה אני חושב שזה מאוד חבל לפסול מעקרא את אפשרות הזאת.
אבל חוץ מהפיתרון הזה שהוא מאוד דומה למה שעשיתי עם קיידרואיד, האם יהיה פיתרון שהמשתמש יהיה לו את ההרשאות מנהל או רוט ובכל זאת הוא יהיה באמת מוגבל ? זה נראה לכאורה סתירה, הרי ההגדרה של רוט הוא שהוא יכול לעשות מה שבא לו על כל המערכת.
האמת שלהגיד שרוט יכול לעשות הכל על המחשב, זה לא נכון, כי יש את ה"לב" של המערכת עצמה קובע לרוט את ההרשאות שלו, לדבר הזה קוראים קרנל, הקרנל הוא הרמה הכי גבוהה שיש במחשב, והאמת הרבה יותר מרוט, הקרנל הוא רמה 0, הוא מחבר את החומרה לתוכנה, ולכן הפיתרון הראשון כדי לשמור על הכלל הראשון וגם לתת למשתמש הרשאות רוט זה ליצור קרנל דרייבר שיגביל את המשתמש. כמובן שזה מצריך רמה מאוד גבוהה של תיכנות כי כל קריסה של התוכנה יגרום לקריסה של המערכת (זה מה שקרא עם crowdstrike
למי שזוכר)ואוליי תשאלו מעקרא, מה הבעייה להשתמש באותן הרשאות אבל לסמוך על זה שהמשתמש לא יודע מה אני עושה ? צריך להבין שהיום יש הרבה תוכנות שפיתחו אותם בשביל סייבר כדי לדעת מה התוכנה עושה, ולכן מספיק שאחד עם כוונות לא טובות יבין איך התוכנה עובדת כדי שזה כבר לא יהיה שווה כלום, וזה דבר מאוד פשוט לדעתי אבל נראה לי שהיה צורך לכתוב אותה
הכלל הבזרל השני : במקרה שהחסימה קורסת, המחשב צריך להיות חסום.
למעשה, אין אף אחד שיכול להגיד שתוכנה שלו לא תקרוס, הרי מספיק לא לתפוס EXCEPTION אחת והתוכנה תקרוס, או שגיאה בניהול הזכרון (היי NULL POINTER EXCEPTION :ׂׂ) ) ועוד, ולכן חייב לשמור על הכלל הזה, למעשה איך לבצע את זה, זה יהיה מאוד תלוי במערכת ולפי מה שרוצים להגביל, אבל למי ששם לב, מי שישתמש בקרנל דרייבר אוטומטי שומר גם על הכלל הזה.הכלל הברזל השלישי : למנוע איפוס של המכשיר
זה גם תלוי במערכת, אבל באנדרואיד יש את הFRP, ובמחשב יש סיסמה על הBIOS (אף שתגידו לי שבשניהם ניתן לפרוץ, אני חושב שבכל זאת זה לא כ"כ קל, בפרט על מחשב נייד בשביל הBIOS, ואי אפשר לעשות יותר מזה ממלא)
(אל תגידו לי שניתן לערוך את הBIOS זה לא רנלבנטי, יש יותר מידי מחשבים שונים)הכלל הברזל הרביעי : לא לעבוד בצורה של ענישה
הכלל הזה מאוד חשוב אבל כבר ראיתי את זה לצערי, להעניש זה אומר שיש חולשה, ולכן זה אומר שלמפרע יש בעייה במבנה של החסימה. לדעתי ענישה היא רק לצורך שלא ינסו את כל הסיסמאות האפשרים במקרה שרוצים להשתמש בסיסמה.בהצלחה, ואוליי אח"כ באמת יהיה ארגון שיתן הכשרים לחסימות לוודא שהם שומרים על הכללים הללו
-
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמתית ?:
הכלל הבזרל השני : במקרה שהחסימה קורסת, המחשב צריך להיות חסום.
המחשב?? למה? אולי אתה מתכוון לטלפון?
-
@רפאל-vnkl כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמתית ?:
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמתית ?:
הכלל הבזרל השני : במקרה שהחסימה קורסת, המחשב צריך להיות חסום.
המחשב?? למה? אולי אתה מתכוון לטלפון?
אם למשל אתה רוצה לעשות כמו וויפרי, אז אני מתכוון שאם התוכנה שלך קורסת אז לא יהיה חיבור כלל לאינטרנט וכן לכל דבר שאתה רוצה לחסום, אם החסימה קרסה אז חייב להיות שהדבר הזה יהיה חסום
-
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
להשתמש בחשבון משתמש שאין הרשאות מנהל
אבל זה אומר שבכל רגע נתון המשתמש יכול להחליף את החשבון שלו שוב לחשבון מנהל, לא?
-
@לאצי כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
להשתמש בחשבון משתמש שאין הרשאות מנהל
אבל זה אומר שבכל רגע נתון המשתמש יכול להחליף את החשבון שלו שוב לחשבון מנהל, לא?
כמובן שצריך שלא יהיה לו את הסיסמה של החשבון מנהל, אבל חשבון פשוט לא יכול ליצור חשבון מנהל כמובן
-
@לא-מתייאש כתב
ואוליי אח"כ באמת יהיה ארגון שיתן הכשרים לחסימות לוודא שהם שומרים על הכללים הללו
אם תצא מחוץ לתיאוריות, תראה שלמשל החסימה של וויפרי עושה את העבודה נהדר על עשרות אלפי מחשבים, ולא צריך להגזים ולהתחכם יותר מזה, כך לדעתי כמובן, וגם לדעת רבני ומתכנתי נטפרי. שהם כבר עשו מהפכה בפועל ולא רק בתכנון...
כן, אני יודע שהכותב הוא מפתח המהפכה הבאה בחסימות האנדרואיד ברמה היסטורית, ואני בראש המעריצים שלו על זה, וגם משתדל לעזור [או לא להפריע] ככל יכולתי, ודוקא בגלל זה אני מרשה לעצמי לכתוב קצת ביקורת אוהבת. -
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
ולכן היום רציתי לכתוב מאמר מה לדעתי צריכים להיות הכללים הללו כדי שיוכלו לקבל את השם של "חסימה הרמטית".
-
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
ולכן היום רציתי לכתוב מאמר מה לדעתי צריכים להיות הכללים הללו כדי שיוכלו לקבל את השם של "חסימה הרמטית".
אופסס, צודק צודק, סליחה, את זה פספסתי, אבל עדיין המשפט האחרון צורם לי.
-
@EBA כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש כתב
ואוליי אח"כ באמת יהיה ארגון שיתן הכשרים לחסימות לוודא שהם שומרים על הכללים הללו
אם תצא מחוץ לתיאוריות, תראה שלמשל החסימה של וויפרי עושה את העבודה נהדר על עשרות אלפי מחשבים, ולא צריך להגזים ולהתחכם יותר מזה, כך לדעתי כמובן, וגם לדעת רבני ומתכנתי נטפרי. שהם כבר עשו מהפכה בפועל ולא רק בתכנון...
כן, אני יודע שהכותב הוא מפתח המהפכה הבאה בחסימות האנדרואיד ברמה היסטורית, ואני בראש המעריצים שלו על זה, וגם משתדל לעזור [או לא להפריע] ככל יכולתי, ודוקא בגלל זה אני מרשה לעצמי לכתוב קצת ביקורת אוהבת.אני חושב שזה גישה ממש לא נכונה, כי גם אם נניח שאתה צודק, אוליי מחר זה כבר לא יהיה נכון, אוליי מחר תצא GPT5 ויפרוץ את זה תוך 5 שניות על סמך כמה כלים שיעשו הקלטה בשעת ההתקנה ואז מה תעשה ?
אבל עוד פעם אני רק אומר את דעתי בעניין איך צריך להיראות חסימה הרמטית, אבל תביא טענות למה אתה לא מסכים איתי, ולמה לשיטתך בלי זה, אפשר לקראו לחסימה בלי הכללים שלי "הרמטית" -
@לא-מתייאש אני חושב שאם תוסיף לוייפרי סיסמא על הביוס אז זה עומד בתקנון שלך
-
@Whenever כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
אני כבר כמה שנים חושב שצריך לעשות חסימה לויינדוס שמונע הרשאות מנהל ונועל את ה BIOS והנה לנו חסימה הרמתית. זה די פשוט, מעניין שלא עשו זאת עדיין.
אתה קולט שכמעט את כל התוכנות המשתמש לא יוכל להתקין!
בשביל זה צריך לפתח חנות תוכנות כעין סטור של מיקרוסופט עם תמיכה רצופה כך שכל תוכנה שמשתמש רוצה תתוסף לשם בזמן סביר. -
@איש-פשוט-מאוד כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש אני חושב שאם תוסיף לוייפרי סיסמא על הביוס אז זה עומד בתקנון שלך
https://wiki.netfree.link/wiki/חיזוק_הגנת_WiFree
תקרא את זה, הם גם ממליצים להשתמש עם חשבון משתמש ולא מנהל -
@נעזר1000 כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@Whenever כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
אני כבר כמה שנים חושב שצריך לעשות חסימה לויינדוס שמונע הרשאות מנהל ונועל את ה BIOS והנה לנו חסימה הרמתית. זה די פשוט, מעניין שלא עשו זאת עדיין.
אתה קולט שכמעט את כל התוכנות המשתמש לא יוכל להתקין!
בשביל זה צריך לפתח חנות תוכנות כעין סטור של מיקרוסופט עם תמיכה רצופה כך שכל תוכנה שמשתמש רוצה תתוסף לשם בזמן סביר.לא זכור לי שכדי להתקין תוכנות מחנות של מייקרוספט צריך חשבון מנהל
-
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@נעזר1000 כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@Whenever כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
אני כבר כמה שנים חושב שצריך לעשות חסימה לויינדוס שמונע הרשאות מנהל ונועל את ה BIOS והנה לנו חסימה הרמתית. זה די פשוט, מעניין שלא עשו זאת עדיין.
אתה קולט שכמעט את כל התוכנות המשתמש לא יוכל להתקין!
בשביל זה צריך לפתח חנות תוכנות כעין סטור של מיקרוסופט עם תמיכה רצופה כך שכל תוכנה שמשתמש רוצה תתוסף לשם בזמן סביר.לא זכור לי שכדי להתקין תוכנות מחנות של מייקרוספט צריך חשבון מנהל
אתה צודק,
מהסטור לא צריך, מה לעשות שלא כל התוכנות נמצאות בסטור. -
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
אוליי מחר זה כבר לא יהיה נכון, אוליי מחר תצא GPT5 ויפרוץ את זה תוך 5 שניות על סמך כמה כלים שיעשו הקלטה בשעת ההתקנה ואז מה תעשה ?
ואולי מחרתיים יצא GPT6 ויגיד איך לעקוף MDM ב3 שניות...
-
@EBA כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
אוליי מחר זה כבר לא יהיה נכון, אוליי מחר תצא GPT5 ויפרוץ את זה תוך 5 שניות על סמך כמה כלים שיעשו הקלטה בשעת ההתקנה ואז מה תעשה ?
ואולי מחרתיים יצא GPT6 ויגיד איך לעקוף MDM ב3 שניות...
חוץ מזה שזה נגד הכללים של GPT, מה שאין כן לבקש ממנו לפרוץ תוכנה כמו וויפרי שאפשר להגיד לו שזה ווירוס, זה ממש לא נכון להשוות זה וזה, כי MDM יש לא הרשאות יותר גבוהות ממך ולכן אין כזה דבר שברמת משמתש תפרוץ את MDM.
אבל אוליי תסביר לי למה גם נטפרי ממליצים להשתמש בחשבון משתמש וגם להגדיר סיסמה לביוס ?
https://wiki.netfree.link/wiki/חיזוק_הגנת_WiFree
לשיטתך על פי רבני ומתכנתי נטפרי זה מוגזם לא ?@EBA כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
ולא צריך להגזים ולהתחכם יותר מזה, כך לדעתי כמובן, וגם לדעת רבני ומתכנתי נטפרי. שהם כבר עשו מהפכה בפועל ולא רק בתכנון...
-
-
@צדיק-תמים כתב בהצעת ייעול | מאמר : מה הם הכללים כדי לבנות חסימה הרמטית ?:
@לא-מתייאש סיסמה לביוס נועד למנוע איפוס או העלאת מערכת הפעלה מאונקי (שגם משהו בקרנל לא יעזור לזה),
נכון
ומשתמש לא מנהל נועד לכאורה בעיקר כי וויפרי לא חוסם איפוס של המחשב דרך ההגדרות
לגבי זה, הם כותבים : זו פעולה בסיסית שאינה מצריכה ידע מיוחד, והיא מאוד נדרשת במקרים הנ"ל. הפעולה הזו באה נגד הסרה/השבתה/חבלה בהגנת WiFree.
![חיפוש גוגל בפורום](javascript:{bootbox.prompt({title:'<div style="text-align: center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400"></div>',placeholder:'כתוב מילים לחיפוש ב Google',buttons:{confirm:{label:'חיפוש'},cancel:{label:'ביטול'}},backdrop:true,callback:function(result){if(result!=null&&result!=''){var a=document.createElement('a');a.href='https://www.google.co.il/search?q=site:mitmachim.top '+encodeURIComponent(result.trim());a.target='_blank';a.click();}}})();};){kind=link}