Mailinglist Archive: opensuse-es (644 mails)
| < Previous | Next > |
Re: [opensuse-es] Re: Evitar que los programas llamen a casa
- From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
- Date: Sat, 12 Jun 2010 14:03:33 +0200
- Message-id: <4C137795.9040006@xxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 2010-06-12 12:48, Camaleón wrote:
Seguramente.
Pero esos formularios, al menos los que yo he usado, son intranet, y no tengo
acceso a ellos. Los
otros son formularios totalmente locales y sólo puedes imprimirlos.
No sólo javascript, me parece que el flash cae también en ese problema.
Para mi si >:-)
Puedes tenerlo bloqueado, y cuando lo necesites, abrirlo temporalmente.
En teoría, puedes cerrar el acceso en preferencias del adobe, pero (si no lo
han cambiado) sólo
afectan a la sesión actual, no es un cambio permanente.
No, para nada. Salvo que lo hayan ampliado bastante.
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Lo que hace el AA es impedir, por ejemplo, que un programa pueda modificar un
fichero de sistema,
aún corriendo como root, si previamente no le has dicho al AA que puede
escribir en ese fichero.
Básicamente es eso.
Claro, si tienes al flash (pe) metido en el AA, y el flash te lo petan e
intenta escribir en el
sudoers (pe) para tener acceso posterior, pues le va a decir que no. Eso si te
lo va a proteger.
Ahora bien, meter el flash en un perfil del AA es para nota... a ver como
defines que directorios y
ficheros puede leer, porque son arbitrarios.
El AA está pensado para proteger servicios que tienen un comportamiento
definido y conocido, y
bloquea los accesos no previstos (desconocidos). Es muy dificil hacer un perfil
para una cosa como
un editor.
- --
Cheers / Saludos,
Carlos E. R.
(from 11.2 x86_64 "Emerald" GM (Elessar))
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (GNU/Linux)
Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/
iEYEARECAAYFAkwTd5UACgkQU92UU+smfQXV9gCffTElDzYLFBeyrOsRtVvNibhG
fw0AnR7YyZErS2oPX1+KCpHKc6HsfNIj
=4wf8
-----END PGP SIGNATURE-----
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
Hash: SHA1
On 2010-06-12 12:48, Camaleón wrote:
El Sat, 12 Jun 2010 12:16:50 +0200, Carlos E. R. escribió:
Hay programas que se conectan a la red sin nuestro permiso expreso. Un
ejemplo es el adobe reader, que permite que los ficheros PDF contengan
scripts, código, que sirve para hacer muchas cosas guapas, pero también
permite a los autores de un PDF hacer que cada vez que abras sus
ficheros, el acrobat se conecte por internet y le diga que tú estás
leyendo su fichero y donde estás. No conozco ejemplos concretos de quien
hace eso, pero está publicado desde hace años.
Si desactivas (o bloqueas) esa funcionalidad, bien desactivando
javascript o bien bloqueando la conexión al servidor remoto, es más que
posible que no puedas rellenar los formularios interactivos en PDF
correctamente.
Seguramente.
Pero esos formularios, al menos los que yo he usado, son intranet, y no tengo
acceso a ellos. Los
otros son formularios totalmente locales y sólo puedes imprimirlos.
Eso permite también vulnerabilidades como la de ahora.
Eso (el uso de javascript en Acrobat Reader para acceder al sistema) es
más vejo que Matusalén :-)
No sólo javascript, me parece que el flash cae también en ese problema.
Y no, bloquear el acceso a la red al Acrobat Reader hoy en día no es
viable.
Para mi si >:-)
Puedes tenerlo bloqueado, y cuando lo necesites, abrirlo temporalmente.
En teoría, puedes cerrar el acceso en preferencias del adobe, pero (si no lo
han cambiado) sólo
afectan a la sesión actual, no es un cambio permanente.
Por cierto ¿AppArmor no debería gestionar este tipo de cosas?
No, para nada. Salvo que lo hayan ampliado bastante.
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Lo que hace el AA es impedir, por ejemplo, que un programa pueda modificar un
fichero de sistema,
aún corriendo como root, si previamente no le has dicho al AA que puede
escribir en ese fichero.
Básicamente es eso.
Claro, si tienes al flash (pe) metido en el AA, y el flash te lo petan e
intenta escribir en el
sudoers (pe) para tener acceso posterior, pues le va a decir que no. Eso si te
lo va a proteger.
Ahora bien, meter el flash en un perfil del AA es para nota... a ver como
defines que directorios y
ficheros puede leer, porque son arbitrarios.
El AA está pensado para proteger servicios que tienen un comportamiento
definido y conocido, y
bloquea los accesos no previstos (desconocidos). Es muy dificil hacer un perfil
para una cosa como
un editor.
- --
Cheers / Saludos,
Carlos E. R.
(from 11.2 x86_64 "Emerald" GM (Elessar))
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.12 (GNU/Linux)
Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/
iEYEARECAAYFAkwTd5UACgkQU92UU+smfQXV9gCffTElDzYLFBeyrOsRtVvNibhG
fw0AnR7YyZErS2oPX1+KCpHKc6HsfNIj
=4wf8
-----END PGP SIGNATURE-----
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |