EDICIóN GENERAL

Consiguen infiltrar dos librerías maliciosas en el repositorio oficial de Python

#9 Gracias, Me alegra que se haya entendido. :-)
A veces hay que tener un poco de voluntad por entender las cosas.
#9 Me parece que estáis tan acostumbrados a usar Windows con sus infinitos agujeros que os creéis que todo es así.

1. Eso ya funciona así. Para obtener datos externos a su espacio de almacenamiento una aplicación necesita el permiso expreso del usuario.

2. Eso ya funciona así. Las llamadas a sistema están férreamente protegidas en función de los derechos del usuario.

Lo que sucede con 1 y 2 es que el usuario estándar es memo y autoriza todo sin hacer caso de las advertencias. Eso no lo arreglas con ningún software, ya te lo avanzo.

3. Eso se llama proxy, y necesita configuración específica que el usuario no va a hacer bien ni de coña. Necesitas un administrador con conocimientos, y me da que no estás hablando de eso.

Y si lo que pretendes es que el componente se autoconfigure, ¿qué le impide entonces a un componente malicioso configurarse para tener acceso a todo lo que desee? No ganas ninguna seguridad con eso, sólo haces el sistema más complejo pero igual de inseguro.

4. Eso no tiene sentido, o como mínimo no corresponde a un sistema de seguridad por componentes como tú pretendes. Según tú, para usar el componente B para (por ejemplo) acceder a Internet, el componente A necesitaría también permiso para acceder a Internet, y entonces ya no necesitaría el componente B para obtener dicho acceso. Es justamente lo contrario de lo que quieres.


#11 Yo también te he entendido, joío. xD Pero si lo que dices es irrealista... pues es irrealista.
#12 Sobre 0:
Linux skynet 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2+deb10u2 (2019-11-11) x86_64 GNU/Linux

1 y 2, estás hablando de teléfonos móviles? Yo en Linux si ejecuto un script en Python, Perl o compilado de C, puedo acceder a casi todo el sistema de ficheros para leer.

3. Se autoconfigure no, conocerás el AndroidManifest.xml o Info.plist de iOS. No entiendo por qué no ha de ser igual en apps de escritorio. Si uno es gilipollas y autoriza algo que no debe que se joda, pero es que no se pregunta.

4.- Sí necesitaría el componente B si no quiere implementarlo él mismo. Se ahorran tiempos de desarrollo.
#13

1. y 2. Si ejecutas programas con un usuario que tiene acceso a partes del sistema que no quieres que esos programas accedan, ¿en serio pretendes echarle la culpa al programa? Si tienen acceso a esos recursos es porque TÚ se lo permites, tío.

En un sistema bien configurado, un programa sólo va a tener acceso de lectura a los binarios y librerías dinámicas instalados, al directorio temporal, y a SUS bases de datos, SUS ficheros de configuración y SUS logs.

3. Tú proponías un proxy de recursos accesibles, no un manifiesto de privilegios. No me cambies los palos de la portería de sitio cada vez que contesto.

4. Estamos hablando de componentes maliciosos. ¿Crees que se programan pensando en ahorrar tiempo de desarrollo?
#14 Que vaya bien
#15 Chato, no te hagas el ofendidito porque no te dan la razón. Especialmente si no la tienes.

Y lo de ejecutar programas utilizando un usuario con más privilegios de los requeridos es una deformación de ”windowsero”, te pongas como te pongas. Si de verdad usas Debian, que es bastante seguro, cúrratelo y pon un poquito de tu parte en esa seguridad, que ningún sistema es inmune a ser mal administrado.
#16 Pero si es que no se trata de llevar razón o no. Estoy dando ideas que no tienen que ver contigo y tú sin embargo estás atacándome a nivel personal. Si no se trata de mí, miope, estábamos hablando de la noticia.

Según tú uso Windows, administro mal mi Debian, etc etc. ¿No te das cuenta que yo no hice lo mismo contigo? ¿No te das cuenta que yo no hablaba de mí?
#13 Efectivamente, simplifica mucho la seguridad en caso de que el usuario tenga una minima voluntad.

Es como si un coche tiene testigo de exceso de temperatura. El conductor puede ignorar el aviso. El testigo noo puede impedir que siga conduciendo hasta romper el motor, pero lo normal es que tome medidas.

Que no sea absolutamente imposible de evitar todos los riesgos, no quiere decir que no sirva para nada.

menéame