>>177369
Ты настолько глуп, что для безопастности тебе нужны какие-то приложения? Фу таким быть.

Мне уж начало казаться, что эти вендопроблемы с вирусами в прошлом.
Ну, допустим, браузер обвешать носкриптами всегда полезно, а в остальном - регулярные обновления, программ из сомнительных источников не запускать, под непривилегированной учёткой сидеть и достаточно. Не?

>>177371
Уважаемый эксперт, очень интересует услышать ваше мнение по следующему вопросу, а в линуксах мне фаерволы и системы мандатного управления доступом тоже отключать?

>>177376

>программ из сомнительных источников не запускать

Ага, ага, и адоб флеш плеер не ставить, дальше vk не ходить.

>>177376

>непривилегированной учёткой сидеть

Создать учётную запись без прав администратора?

Не знаю как у вас, но для меня носкрипт это трудный аддон. Чтобы он не ломал функционал сайта, то нужно хотя бы разбираться в сайте.

>>177380
Создать учётную запись без прав ТО... Нет, я не должен, не должен...

>>177378
Тобишь ты хочешь сказать, что до сих пор можно зайти на сайт "дальше vk" браузером, запущенным без аднминских прав (а хорошо бы и с носкриптом) и получить зловреда?
Сам не пользуюсь windows, но верится с трудом.

Все скринлокеры, что мне попадаются, были установлены вручную недалёкими пользователями, после сообщений уровня "чтобы посмотреть это порно, вам нужно обновить плеер, установите это". Ну и прочие "программы для просмотра приватных фотов Вконтакте" тоже.

>>177381
А мне наоборот без него как-то не очень, слишком уж у сайтов жирный стал "функционал", бывает и компьютер подвисает.
А те, что регулярно посещаю, настроил в whitelist.

>>177369
Попробую ещё раз его поставить, авось и разберусь.

>>177386

> А мне наоборот без него как-то не очень, слишком уж у сайтов жирный стал "функционал", бывает и компьютер подвисает.

Весь этот мусор, которым в последнее время часто облепляют сайты, довольно неплохо счищается при помощи uMatrix с почти стандартными настройками, кстати. Ну и подписки с однозначно вредоносными доменами для него тоже очень кстати. А NoScript и правда слишком уж суров, хоть и умеет больше всего разного, связанного именно со скриптами.

>>177378

>Ага, ага, и адоб флеш плеер не ставить,

А зачем тебе Flash? Во всех нормальных местах уже перешли на HTML5 или dedicated приложения, в которых тебе бяку не подсунут.

>>177389

>HTML5
>нормальных местах

Толсто.

>>177389

>dedicated приложения

Holy shit, no! Теперь для каждого сайта троян ставить? А если мне под операционные системы? Запускать по трояну для каждого сайта в виртуалбоксе?

>>177390
>>177392
Даже если тебе по каким-то причинам нужен Flash, то ничто не мешает ограничить его в сэндбоксе.

>>177393
Как? Под браузер отдельный docker-образ заводить что ли?

>>177394
Да хотя бы банальным PP вместо NP пользоваться. И зачем тебе в Docker выделять весь браузер, если Flash - это отдельный процесс?

>>177396

>PP вместо NP

ЯННП, можно понятнее?

>выделять весь браузер, если Flash - это отдельный процесс

Тому что в хромиумах бинарь тот же, опознать можно только по другим ключам коммандной строки. А в хромиумах и так какой-то сендбокс встроенный есть, так что если идти дальше, то только целый браузер уже туда пихать.

Работаю из под учетной записи с правами администратора, на всякие установщики всегда вылазит UAC. Конечно ламеров, любящих открывать torrent-файлы с расширением .exe, лучше огородить в ограниченную учетку с запароленным одмином, но с ней есть свой гемор с установкой всяких драйверов.

>>177397
PPAPI вместо NPAPI. Это и есть нативный sandbox Chrome, кстати. И, конечно же, click-to-play. Этого с головой хватает, чтобы ограничить Flash-атаки.
А если ты пользуешься Chromium, то ничто не мешает сунуть в sandbox процесс отдельно взятой вкладки.

>>177402
А, ну и в том числе,

>Firefox-style NPAPI plug-ins run in their own process, separate from renderers. This is described in detail in Plugin Architecture.

К NPAPI относится и старый Flash, как бы.

>Скоро я буду впервые переустанавливать виндовс и меня стал волновать вопрос безопасности.

Шутка про презервативы.

Какие вы тут штуки крутые обсуждаете. А я вот совсем без антивиря сижу, только виндовый брандмаузер и uBlock.

>>177402

>А если ты пользуешься Chromium, то ничто не мешает сунуть в sandbox процесс отдельно взятой вкладки.

Пользуюсь же. Как это сделать и от чего это защитит? Под линукс, разумеется. Только процесс не вкладки, а плагина. В chromium отдельные процессы для разных вещей есть, например для вкладок, плагинов, расширений, gpu и есть основной процесс. Сомневаюсь, что их удастся по-отдельности отправить в загон так, чтобы они потом между собой смогли взаимодействовать.

>>177465
Отправляешь в sandbox Flash-процесс, ставишь ограничения на то, с какими процессами он может взаимодействовать.
А нахрена тебе это вообще, если в Chromium sandbox из коробки? Максимум, что тебе могут сделать - украсть/поломать печеньки/localstorage. И вот этого уже защитит только whitelist/click-to-play и здравый смысл. Фича, не баг, ага.

>>177470

>Отправляешь в sandbox

Чем его отправить, епт? Или ты вообще теоретик?

>А нахрена тебе это вообще

Решил упороться безопасностью и вот думаю что теперь делать - то ли браузер под докером гонять, то ли selinux'ом упороться, то ли вообще на qubes os перейти.

>>177478

>Чем его отправить, епт? Или ты вообще теоретик?

Google NaCl, seccomp, Docker все тот же, ВМы в конце концов - да мало ли чем. Гугл тебе в помощь, родной.
Вот только в Хромиуме это из коробки, и зачем тебе еще раз сэндбоксить уже засендбокшенный процесс, мне лично непонятно.
И да, сэндбокс - это всего лишь удобная плашка, а не какая-то жестко регламентированная стандартами панацея от всех бед. Советую сесть и разобраться, а не пассивно-агрессивно спрашивать советов на бакачане.

>>177388

> umatrix

Его можно как-то с носкриптом подружить?
Снёс бы носкрипт и пользовался одним uM, но не хочется терять Script Surrogates.

>>177481

>да мало ли чем

Ясно, значит теоретик. Так и писал бы, что практическое решение проблемы даже не представляешь. Еще бы свой докер предложил бы написать.

>И да, сэндбокс - это всего лишь удобная плашка, а не какая-то жестко регламентированная стандартами панацея от всех бед. Советую сесть и разобраться, а не пассивно-агрессивно спрашивать советов на бакачане.

Я и говорю, что иногда посматриваю на системы мандатного управления доступом, линукс-контейнеры и qubes os. Но вот что из этого и как следует использовать нормальному человеку пока не понял, поэтому и решил спросить при удобном случае о существовании подходящих решений. Если бы я знал, что ты сам ничего не знаешь, я бы с тобой не стал говорить.

>Даже если тебе по каким-то причинам нужен Flash, то ничто не мешает ограничить его в сэндбоксе.

Как выяснилось, кроме отсутствия такой возможности.

>seccomp
>As of Chrome version 20, seccomp-bpf is used to sandbox Adobe Flash Player

Ну хоть что-то полезное от тебя сегодня узнал.

>зачем тебе еще раз сэндбоксить уже засендбокшенный процесс, мне лично непонятно

Чтобы тещить паранойю, разуеется!

>>177485
Вот только можно без форумных зебр, пожалуйста? Ладно, что не можешь сам нагуглить и огрызаешься просто так, это не беда, каждый день с такими общаюсь, но вот форумные зебры коробят мое чувство прекрасного.

>>177487
Признай уже, что просто за свои слова не отвечаешь. Вваливаешься с заявлениями, что кто угодно может засендбоксить флеш при необходимости, а при возникновении справедливых вопросов посылаешь в гугл и сматываешь удочки.

>>177484
Не знаю, у меня они вроде и так не ссорятся. Вроде бы они действуют по-разному — uMatrix на уровне сетевых запросов, а носкрипт на уровне исполнения скриптов, вот поэтому они и не мешают друг другу. Правда, носкрипт у меня в режиме чёрного списка, а не белого, как он по умолчанию рекомендует. Не знаю, влияет ли это на их дружбу. И вообще, у меня даже близко не получилось осилить носкрипт. В частности, я даже не знаю, кто такие эти твои «Script Surrogates» и с чем их едят.
сей пост полон бакоты

>>177439
Я тебя люблю.

>>177496
Владелец ботнета, ты?

>>177495

>чёрного списка

А зачем он тогда нужен?

>>177498
И в самом деле. Остался по инерции, в общем.

>>177495
Суррогаты подменяют некоторые заблокированные скрипты, чтобы меньше сайтов ломалось до состояния "трындец в варежках". Наиболее это заметно, например, на *.wikia.com. С носкриптом в режиме "блокировать всё" сайт остаётся достаточно юзабельным. А вот с uMatrix приходится разрешать исполнение скриптов с некоторых доменов, иначе часть картинок просто не отобразится.

Я попробовал выставить носкрипт в "Allow scripts globally", управляя исполнением JS из uMatrix. Но эффект равен тому, что и без носкрипта - подавай JS c этого и с этого домена.

Так смешно смотреть на борцунов с JavaScript в 2016 году.
Ладно бы блокировали только шпионскую дрянь и кнопки соцсетей, Ghostery-like, так нет, они блокируют всё, вообще всё, Джим!
А потом сидят часами разбираются, почему сайты не работают и ноют на форумах, как их, бедненьких, травят js-ом. Лечиться идите от паранойи, ненормальные.
Наболело.

>>177520
Зачем мне javascript на 95% посещаемых сайтов, если я на них только текст читаю? Мера, конечно, радикальная, но зачем мне всё это тормозящее-следящее web 2.0 говно на сайтах, на которых я всё равно не задерживаюсь? Мне не нужна вся эта интерактивность и я от неё получаю только вред.

>>177515
В смысле, они подменяют скрипты от сайтов на собственные, которые делают только полезное, а всякой гадости не делают? А где их брать? Писать самостоятельно, что ли?

>>177520
Забавно. По твоим словам, страдают "бopцyны", но бoлит у тебя.
>>177533
Вроде того. Часть идёт искаропки.

Если знаешь английский, сразу кури первоисточник.

http://hackademix.net/2011/09/29/script-surrogates-quick-reference/
https://hackademix.net/2009/01/25/surrogate-scripts-vs-google-analytics/
https://forums.informaction.com/viewforum.php?f=26
https://forums.informaction.com/viewtopic.php?f=10&t=7305