OT : Omezeni prihlasovani uzivatelu

Petr Novotny Petr.Novotny na antek.cz
Úterý Říjen 17 13:11:51 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 17 Oct 2000, at 1:03, Pavel Kankovsky wrote:

> On Mon, 16 Oct 2000, Petr Novotny wrote:
> 
> Varovani ministra zdravotnictvi: cetbou tohoto dlouheho blabolu si
> muzete zpusobit vaznou ujmu na dusevnim zdravi. :)

Naucte se quotovat, tohle jsem nenapsal ja :-)

> Sebelepsi argumentace, ze je treba zmineny dukaz dobre (nebo spatne),
> se opira o predpoklad, ze zucastneni jedinci jsou schopni uvazovat
> logicky a oba dva si pod logickym uvazovanim predstavuji to same.
> (Ostatne uvazime-li, kolik se behem poslednich 100 let objevilo
> alternativnich logickych systemu (za vsechny jmenujme treba linearni
> logiku), pak bych vubec nebyl prekvapen, kdyby v nejakem z tech
> systemu dukaz zminene vety, resp. aspon jeden z mnoha jejich dukazu,
> neplatil).

Aha, takze vse je postmoderni, relativni a pravda je jen v oku toho, 
kdo se diva.

Ted tohle jeste vysvetlete memu pocitaci.

Pocitac pracuje nad konkretni logikou. Je tam jednoznacne 
definovano co je AND, XOR nebo JAE. To, ze by mohlo jit udelat 
pocitac, kde by tohle bylo definovano jinak, je mozna pravda, ale je 
to "red herring": Na takovy pocitac byste nejdriv musel vymyslet C, 
nez byste tam vubec zacal portoval linux.

> Jina namitka je, ze mohu mit uplne perfektni system s bezchybnym
> formalnim dukazem, ze implementace vyhovuje specifikaci, ale kdyz je
> to spatna specifikace, tak ten system muze delat uplne blbosti. Jak se
> dokaze, ze je specifikace spravna, aniz by se do toho michal lidsky
> faktor?

Huh? Specifikaci urcim "jednoduchym" vyctem - co je nutnym 
vstupem a co je pozadovanym vystupem. ("Vstup - spravne 
credentials, vystup - odvrcene maily do dratu.")

> Mel jsem proste na mysli, ze se hmota klade odpor, chceme-li
> po ni, aby se chovala deterministicky.

Efekty jsou radu Planckovy konstanty. Pro cloveka vasi (no dobre, 
moji) telesne hmotnosti tedy zanedbatelne.

> K prusvihu naprosto staci, aby procesor z "vhodneho" bitu precetl
> opacnou hodnotu, nez tam pred casem zapsal.

O tom neni sporu. Ale tohle je asi tezko chyba navrhu. :-)

> > (alespon se stejnou pravdepodobnosti...
> 
> Jinak receno, riziko je redukovano na nenulovou, ale akceptovatelnou
> (opet ten lidsky faktor: jak se zjisti, ze je riziko akceptovatelne?)
> uroven.

Ja uz nevim, jak to formulovat. Svet sveril tisice miliard dolaru 
"sazce" na to, ze privatni klic Verisignu je bezpecny. Jak ten je 
dlouhy - 4096 bitu? 8192 bitu? Existuje evidentne nenulova (lec 
zanedbatelna) pravdepodobnost, ze na papir napisu 8192 jednicek 
nebo nul a zrovna trefim privatni klic Verisignu. Nikdo se touhle 
moznosti neznepokojuje - a mel by?

Podotykam, ze zde nejde o zadny pochybny lidsky faktor. Jde jen 
o to, ze NP-uplna uloha (pokud tedy takova vec existuje :-)) je na 
nedeterministickem Turingove stroji resitelna v polynomialnim case. 
Kdyz klic uhodnu, strasne rychle overim, ze je spravny.

> Ze navrh rozdelovat umele uzivatele na ruzne hromadky, aby se nahodou
> nemohli prihlasit jinym zpusobem, nez chceme, je spis z nouze ctnost,
> nez koncepcni reseni.

Ano, dost mozna. Jenze koncepcni reseni prihlaseni neexistuje. Je 
dobre mit vizi do budoucna, ale soucasne problemy je nutne resit 
soucasnymi prostredky.

> > Mam jen omezene prostredky, abych provedl audit. Muzu 
> > prohlednout nektere programy, ale ne vsechny.
> 
> To zalezi na tom, kolik toho je a jake mam kapacity, ne? :)

Jiste. Ale kapacity nikdy neomezene nebudou. Proto je snaha, aby 
security-critical (ci mission-critical) casti byly koncentrovane.

> > Schvalne, kdo z vas prohlizel (treba) drivery sitovky, zda tam
> > nejsou nejake problemy?
> 
> Ja jsem nekolik driveru zkoumal, i kdyz ne dukladne. A po pravde
> receno by to asi potrebovaly. A vzhledem k tomu, ze jsou soucasti
> kodu, pri jehoz naruseni se veskere zabezpeceni systemu zborti jako
> domek z karet, tak by to nejspis melo byt aspon tak nalehave, jako
> kontrola jakehokoli kodu v userlandu.

"Exactly my point."

> Co treba lehce kreativni vyuziti mechanismu povinneho rizeni pristupu:
> kazda sluzba pozaduje pro svou cinnost na datech nejake lejbliky a
> uzivatel ma nastaveno, jake lejbliky jsou pro nej povoleny. (Tohle
> elegantne resi problem, jak zabranit uzivateli, aby pres FTP nebo neco
> podobneho, nepodstrcil nejaky nezadouci konfigurak: soubor, ktery tak
> vznikne, nebude spravne "ocejchovan", a tudiz ho prislusna sluzba bude
> srdecne ignorovat. Pochopitelne je treba doresit nejake s mazanim a
> prejmenovavanim takovych souboru resp. adresaru, ve kterych se
> nalezaji.)

Takze za $$$$$$$$$ koupim nejaky system, ktery je urcen pro 
americke ministerstvo obrany. Nevim, zda dostanu licenci - a urcite 
vim, ze ty megadolary na to nemam.

> Stacilo by jednou nastavit pravidla pro sluzby a pak jen uzivatelum
> nastavovat seznam toho, co je jim povoleno. Chyba se v tom
> pochopitelne da udelat taky, ale treba se da vyzadovat, aby prideleni
> neobvykle velke mnoziny opravneni vyzadovalo nezavisle schvaleni.

"I had a dream..." - Rev.M.L.King :-)


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2 -- QDPGP 2.61a
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOewl51MwP8g7qbw/EQKMXQCfTnzKVFqweILajIt92Yjv6S8/j/AAoINt
Tbn4IrcL/80dNlWMiKzYcOuR
=7mNG
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux