id: Гость   вход   регистрация
текущее время 06:59 11/12/2017
Автор темы: _owl, тема открыта 26/10/2009 01:56 Печать
Категории: софт, операционные системы
http://www.pgpru.com/Форум/UnixLike/MacOS-ЭтоБезопасно
создать
просмотр
ссылки

MacOS – это безопасно?


Вот подумываю перейти с PC и Win на Mac и Snow Leopard. Поделитесь пожалуйста мнением, насколько ОС от Apple хороша в смысле безопасности?


Пишут, что МакОС почти не подвержена вирусам и малваре. Это правда или просто вопрос мало исследовался? Пишут, что MacOS was built with security in mind. в чем это выразилось? На сколько оперативно Apple патчит дыры? Как бы вы охарактеризовали положение этой ОС в ряду других (Win, Unix, Linux...)?


Коммерческий PGP для Мак существует (ну кроме последней версии ОС, для которой PGP в бета тестировании). А GPG? Вообще, программы для Unix\Linux можно переносить на Мак? Все-таки, как опять же пишут, у Мак`а unix-овые корни.


Заранее благодарю за советы.


 
На страницу: 1, 2 След.
Комментарии
— Гость (26/10/2009 03:32)   <#>
GPG есть под Mac OS
— Гость (26/10/2009 04:17)   <#>
чушь. погуглите хоть по секлабу, мак по безопасности сдал даже венде. нет, вирей конечно в разы меньше – просто в разы меньше их пишут. но шифрование, надёжность данных – всё это уже в жопе. глубокой.
— sentaus (26/10/2009 11:59)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Оперативностью в апдейтах они, к сожалению, зачастую не отличаются.

А GPG?


Тут ведь недавно писали, что для последней версии macosx Enigmail+gpg – пока единственная реализация opnPGP в стабильном статусе.
— SATtva (26/10/2009 12:01)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048
Собственно, вот.
— Гость (26/10/2009 14:43)   <#>
почему шифрование и надежность данных хуже? Система вцелом более стабильна чем win, есть шифрование из коробки(filevault). вири под ос есть, но, например, юзая safari их сложно подцепить, т.к. сплойтов под него не делают почти можно сказать. я несколько лет использую только mac os и не подцепил ни одного виря, проблем с шифрованием тоже никогда не испытывал. недостатки есть, конечно, мне вот не найти было нормальных портабл программ, в целом спектр различных решений меньше чем под win и nix
— Гость (26/10/2009 21:10)   <#>
Господа, поделитесь мнением. Все эти вирусы, которые сложно подцепить, они наверное элементарно лечятся антивирем, да? А вот насчет руктитов... от них хороший антивирь поможет?
— Гость (26/10/2009 21:13)   <#>
Извиняюсь "руткитов", вот уже эти рефлексы... млин :-)
— SATtva (26/10/2009 21:29)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048
[offtopic]
От хорошего руткита ничто не поможет. На то он и руткит.
[/offtopic]
— _owl (27/10/2009 11:44)   профиль/связь   <#>
комментариев: 105   документов: 19   редакций: 3
что PGP под новый МакОС не работает – это явление временное. PGP 10.0 для Мак вышла в бета-тестирование, которое, как сообщает разработчик, продлится до ноября 2009 г.

Интересуют именно системные, архитектурные особенности системы безопасности. Не подскажите, есть ли какие-то качественные и независимые исследования на этот счет?
— _owl (01/11/2009 16:20)   профиль/связь   <#>
комментариев: 105   документов: 19   редакций: 3
почитал вот статью Joanna Rutkowska, посвященную проблеме массовой неподписанности кода для МакОС (рекомендую, http://theinvisiblethings.blog.....foundations-or.html). Согласно автору, в случае МакОС (которой она тем не менее пользуется) даже системные компоненты самой ОС и их апдейты поставляются не подписанными, и "не возможно гарантировать аутентичность системы даже в день 0".

Сама проблема безусловно серьезная, но меня заинтересовал технический вопрос. Допустим код скачан с подписью. Ну например дистрибутив PGP Desktop, внутри которого содержится файл с подписью – блаблабла.sig. Что это и каким образом его нужно использовать, чтобы убедиться что скаченный дистрибутив – творение PGP Corp а не "человека по середине"? На сколько это надежно? Спасибо.

2SATtva: не уверен, но возможно этот пост мне следовало поместить в отдельной топик. хотя "история вопроса" относится к безопасности мака.
— Гость (01/11/2009 17:04)   <#>
Допустим код скачан с подписью. Ну например дистрибутив PGP Desktop, внутри которого содержится файл с подписью – блаблабла.sig. Что это и каким образом его нужно использовать, чтобы убедиться что скаченный дистрибутив – творение PGP Corp а не "человека по середине"? На сколько это надежно?

Проверить подпись можно из-под любого другого доверенного дистрибутива *nix с установленным gpg, например. Достаточно надёжно, но есть проблема доверия к "самому первому" дистрибутиву, на котором проверяются подписи всех остальных. Обычно таковой проблемы нет, если большая часть уже существующих на руках у народа ОС не протроянена (если бы это было бы вдруг не так, факт был бы обнаружен вскоре и был бы поднят шум).
— _owl (01/11/2009 18:05)   профиль/связь   <#>
комментариев: 105   документов: 19   редакций: 3
Проверить подпись можно из-под любого другого доверенного дистрибутива *nix с установленным gpg, например.


Спасибо. А можно под Виндой и с помощью PGP Desktop? Как именно?
— SATtva (01/11/2009 18:47)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048
Скопировать туда .sig-файл и экзешник (инсталлятор), к которому относится эта подпись. Достаточно положить оба файла в один каталог и дважды щёлкнуть на sig.
— _owl (01/11/2009 20:34)   профиль/связь   <#>
комментариев: 105   документов: 19   редакций: 3
попробовал проделать это с дистрибутивом PGP SDK. Получил сообщение: имя_файла.zip | Signer: unknown | Key ID: Invalid key (все это в окне Verification history программы PGP Desktop).

Надеюсь, это лишь потому, что на моем key ring нет ключа самой PGP Corporation. Попробовал найти их ключ через keys.pgp.com и беглым поиском по сайту. Не нашел. Вообще странно, что ключ "папочки" не зашит в программу на этапе сборки.

Не подскажите, где взять ключ самой PGP Corp чтобы продолжить эксперимент?
— SATtva (01/11/2009 20:56, исправлен 01/11/2009 20:58)   профиль/связь   <#>
комментариев: 11515   документов: 1035   редакций: 4048
Надеюсь, это лишь потому, что на моем key ring нет ключа самой PGP Corporation.

Да.

Попробовал найти их ключ через keys.pgp.com и беглым поиском по сайту. Не нашел.

В окне сверки подписи должен быть отображён ID ключа, которым была поставлена подпись. Ищите по этому ID. Или приведите его здесь.

Вообще странно, что ключ "папочки" не зашит в программу на этапе сборки.

Это бессмысленно. Bootstrap предполагает, что ключ для сверки дистрибутива Вы должны получить не по одному каналу с самим дистрибутивом.

Не подскажите, где взять ключ самой PGP Corp чтобы продолжить эксперимент?

Если Ваш SDK был подписан не одним из старых ключей, то посмотрите здесь.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3