O Venres, 11 de Marzo de 2011 16:21:09 Camaleón escribiu:
El Fri, 11 Mar 2011 15:06:04 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 14:13:13 Camaleón escribiu:
(...)
¿Quieres decir que un linux "cerrado" sería igualmente vulnerable y que la propia arquitectura del SO no cuenta para nada? ¿Y que un windows abierto (libre) sería más robusto? >;-)
Windows no tiene un buen diseño de punto de partida, pero sí, a la larga... al menos, es la teoría... ;)
En cuanto a los demás... si no solemos molestarnos en usar las herramientas básicas del sistema (selinux, apparmour,...), utilizamos muchas de las opciones de comodidad... en los navegadores metemos cuanto plugin encontramos, permitimos que ejecute código -java, que javascript que flash que lo que quieras ;) - sin preocuparnos... es decir, lo que sería increíble es que un navegador estándar, en la plataforma que sea, no ejecutase código malicioso xdddd
No sé qué tipo de complementos permitirá usar un Safari "enjaulado" :-?
Por lo que comentan en la nota, lo que han conseguido es ejecutar una aplicación inocua (calculadora) y guardar un archivo en el disco duro del equipo aprovechando algún agujero no parcheado del navegador (Safari). Supongo que aquí el culpable sería el navegador, pero el SO también debería tener algo que decir ¿no? y en este caso el sistema (MacOS X) estaba completamente actualizado.
Lo interesante es si escala privilegios o no (cosa que puede hacer una calculadora), claro que podría aprovecharse una vulnerabilidad incluso no demasiado grave para colar un troyano... Por lo que yo entiendo, y no soy usuario profesional, por ejemplo un Ubuntu estándar, o muchas de sus múltiples variantes, tiene más peligro que una excursión de ESO a un polvorín xd, no por el sistema en sí, sinó por el usuario "relajado" que permite y fomenta. Tengo probado alguna distro que tenía unos requerimentos de seguridad, por decirlo así, "laxos". Por otra parte, muchos usuarios usan "setuid root" como quien cocina palomitas y he visto cosas como "¿cómo hacer que el sistema permita ejecutar aplicaciones root sin ser root y sin contraseña ni nada?", lo que en ámbitos cifrados y seguros puede tener algún sentido (quizá, si acaso) pero en la mayoría de situaciones no es más que añadir inseguridad a un sistema inseguro. Ah! y no olvidemos que un Windows (o el que quieras) bien administrado es más seguro que un "Unix-like" mal configurado o mal administrado. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org