Спустя несколько дней после обнаружения (http://www.opennet.me/opennews/art.shtml?num=27600) первой троянской программы для платформы Android было зафиксировано (http://www.symantec.com/connect/blogs/androidostapsnake-watc...) второе подобное приложение - Tap Snake. Если первая троянская программа распространялась со стороннего сайта, то вторая представлена в официальном каталоге программ Android Market (на момент написания новости программа еще была доступна для загрузки).
Tap Snake представляет собой простую игру "Удав", которая скрыто выполняет шпионские функции, сохраняя в сети раз в 15 минут координаты перемещения телефона, получаемые посредством скрытого включения GPS-приемника. Tap Snake функционирует вкупе с другим приложением - GPS Spy, которое считывает сохраненные данные и отображает их на карте Google Maps.
Методика использования троянской программы выглядит следующим образом: злоумышленник покупает GPS Spy и каким-то образом вынуждает жертву уста...URL: http://www.symantec.com/connect/blogs/androidostapsnake-watc...
Новость: http://www.opennet.me/opennews/art.shtml?num=27649
>При установке программы инсталлятор предупреждает пользователя об использовании программой функций доступа к сети и GPS, но, судя по всему, многие пользователЯ не обращают внимание на подобные предупреждения.Ну, и кто при этом энтузиаст-испытатель афганского вируса?
хочешь сказать, если бы оставили обычную жабу этого бы не было?
> хочешь сказать, если бы оставили обычную жабу этого бы не было?скорее, что "на дурака не нужен нож, ему покажешь" змейку "и делай с ним что хошь"
вы просто не в курсе последних "общений" с izen'ом.
видите ли, он очень крутой жабист. жаба для него самая быстрая, самая защищенная. в общем всегда в превосходной степени.
и вот тут случился казус - обком оракла сказала фас на гугле.
и вот гулёвая жаба для izen'а теперь тоже в превосходной степени, но уже со знаком минус.
я не дискутировал с izen на эту тему, но трояны замечательно пишутся и на яве. правда они не будут самыми быстрыми =), но если сдуру дать им соответствующие пермишены, могут натворить предостаточно.
>и вот гулёвая жаба для izen'а теперь тоже в превосходной степени, но уже со знаком минус.И об этой чудовищной глобальной проблеме теперь надо в каждом топике писать?
а как же? :D
Вот-вот. И вы до сих пор считаете, что Android - это круто? Да, пиарится Гуглом. Но это не мешает получать такие вот вбросы. А ведь оно в андроид-сторе может быть. Почему Гугл не беспокоится об этом?
Там как бы пользователю говорят, что может сей троян делать. ) Меня бы улыбнуло, например, если б устанавливаемый видеопроигрыватель юзал функции отправки смс ))) Про гпс я бы вообще найно посмеялся. ) А то, что в репах гугля такое появилось - нехорошо, канешн, но всё они не проверят, всё-таки они на этом деньги делают, там, помнится, надо взнос сделать, чтобы прогу добавить в сторе. ))
> Меня бы улыбнуло, например, если б устанавливаемый видеопроигрыватель юзал функции отправки смс )))В соседней новости пример есть. Как раз именно такого плана в коментах - плеер при установке хотит зачем-то юзать телефонию. А поскольку всякое адваре и т.п. именно так и делает - вот юзер и начинает путать адваре и малваре. Поди там разберись, ага. По большому счету - давно пора объявить адварь сортом малвари и давить как класс.
Да хоть бы N900 ему дали — всё равно бы не помогло.
Юзер, разумеется. И, заметьте, толку от всех этих многоэтажных наворотов секурити - мало. Посему - выпиливать малварину из репов по быстрому. И следить за репами, тудыть-растудыть. А то понабрали 70 000 ноутпадов и змеек. Теперь среди них отлавливать трояны доперли.
да с айфона айтюнс и так всё тоже самое делает.
только всё законно и никого не удивляет.
айпад без компа с интернетом вообще активировать нельзя. прям как ворованныя винда на китайском железе.
Я против существования репозиториев как таковых, так как репозиторий получается слишком огороженными и зарегулированными правилами, как в случае с Apple iPhone.Пользователи надеются на безопасность ПО из репозитория, однако, как показывает практика, это плохая практика — это всё равно, что верить на слово разработчику ПО (без сертификата), который внёс его в репозиторий. Но последний голос всё равно за пользователем: давать загруженной программе доступ к определённым (в случае с Java ME) функциям аппарата или не давать. Система сертификации и развёрнутая инфраструктура PKI дала бы добросовестным независимым разработчикам брать большую ответственность за выпускаемое ПО, чем существующая достаточно поверхностная проверка ПО в репозиториях. А пользователям дала бы степень уверенности в доброкачественности приобретаемого ПО и большую дружественность в плане заранее заданных/оптимальных прав безопасности без задания лишних раздражающих вопросов.
А, например, в случае с N900 и нативной программой пользователь ограничен только выбором: либо запускать, либо не запускать — детальных пермишенов не дано, всё решает сообщество, которое проверяет на зловредность программы в репозитории, или сам пользователь становится тестером/сборщиком ПО по доброй воле.
бред.и для этого тоже есть пословица - ожегшись на молоке, дуть на воду.
не, оно конечно куда круче лазить по всему инету и скачивать со всех сайтов что понравиться.да и доступ к той или иной функциональности - это вопрос АПИ этой функциональности.
к тому же, сообщество и нокиа зарекомендовали себя так, что я склонен им доверять. по крайней мере гораздо больше, чем izen'у c "левого" сайта (не в обиду опеннету).
тем более, что доверять всё равно приходится (репам, оператору, левым сайтам, открытому на время блютусу). доверяй, но проверяй - актуальна как никогда.
хуже (и обидней) пожалуй только собрать самому из потов такую змейку.
> Я против существования репозиториев как таковых, так как репозиторий получается слишком
> огороженными и зарегулированными правилами, как в случае с Apple iPhone.Тогда, очевидно, вам следует срочно снести фряху? Потому что там какое-то подобие все-таки есть. Вы ж не в ручную раскладываете файлики, а получаете их с вполне конкретных серверов. И обладателям этих серверов ничего не стоит упереться рогом и сказать что вот этот файлик вон там ни за что лежать не будет, потому что .... :).На самом деле - просто должна быть возможность подключить сторонние репы. И если политика вендора не понравится - можно свои, с шахматами и поэтессами юзать. А вот если это не предусмотрено, как в ифоне - вот тут да, получается "банальное огораживание". К слову, хаксоры подняли альтернативные репы. Вот только почему для этого надо хакать свой девайс то?!
>> Я против существования репозиториев как таковых, так как репозиторий получается слишком
>> огороженными и зарегулированными правилами, как в случае с Apple iPhone.
>
>Тогда, очевидно, вам следует срочно снести фряху?С чего бы вдруг?
>Потому что там какое-то подобие все-таки есть.
Какое подобие? Нету там никаких репозиториев ПО, кроме файлопомоек разных, линки на которых в каталоге портов. Подтверждённые файлы архивов с исходниками, неважно, откуда они получены, имеют в сценариях портов хэш-суммы для подтверждения их подлинности, мантейнеры портов известны и ответственны (имеют собственный "сертификат доступа" для коммита в дерево портов). А не "кто-то левый запостил" по типу: "вот у мну есть superproga-xxx.deb, берите и пробуйте".
>кроме файлопомоек разных, линки на которых в каталоге портов. Подтверждённые файлы архивов с исходниками, неважно, откуда они получены, имеют в сценариях портов хэш-суммы для подтверждения их подлинности, мантейнеры портов известны и ответственны (имеют собственный "сертификат доступа" для коммита в дерево портов)Это и есть репoзитoрий.
>С чего бы вдруг?С того что там порты есть.
>Какое подобие? Нету там никаких репозиториев ПО,А порты? Софт же не с неба падает вам на винч, правда? :)
>кроме файлопомоек разных, линки на которых в каталоге портов.
Простите, сами порты для начала по смыслу не так уж далеко ушли от репозиториев. То что оно чуть иначе сделано - дело хренадцатое уже.
>Подтверждённые файлы архивов с исходниками, неважно, откуда они получены,
>имеют в сценариях портов хэш-суммы для подтверждения их подлинности,Хеш-суммы, кстати, можно подделать. Они эффективны только когда используются совместно с публичной криптографией. В противном случае злоумышленник может их попросту изменить. Цифровые подписи делают этот процесс относительно проблематичным т.к. для подписывания надо где-то взять приватный ключ, который на то и приватный чтобы не быть в свободном доступе. Не очень в курсе как там в портах, но в пакетных системах все именно так. Хеши, подлинность которых проверябельна по цифровой подписи.
>мантейнеры портов известны и ответственны (имеют собственный "сертификат доступа"
>для коммита в дерево портов). А не "кто-то левый запостил" по типу: "вот
>у мну есть superproga-xxx.deb, берите и пробуйте".Простите, а чем майнтайнеры дебиана или иных репов хуже или лучше ваших майнтайнеров? :) И вообще чем репы хуже? Вы так и не назвали ни одного принципиального отличия. Ни в технологическом, ни в "процессуальном" плане. Собственно порты в технологическом и "процессуальном" плане достаточно похожи на пакетные системы с репами. По общей логике действа, действующим лицам и их ответственностям. И если вы говорите что одно маздай а другое маст хэв - вы, вероятно, попросту гнусно лицемерите.
>>С чего бы вдруг?
>
>С того что там порты есть.Ну и что?
>>Какое подобие? Нету там никаких репозиториев ПО,
>
>А порты? Софт же не с неба падает вам на винч, правда?
>:)Каталог дерева портов — это сценарии загрузки, компиляции и установки чужих программ. Своего прикладного ПО из исходников ничего нет.
>>кроме файлопомоек разных, линки на которых в каталоге портов.
>
>Простите, сами порты для начала по смыслу не так уж далеко ушли
>от репозиториев. То что оно чуть иначе сделано - дело хренадцатое
>уже.Порты программ нигде не хранятся (сюрприз?). На официальных FTP и зеркалах только готовые для установки бинарные пакеты, собранные с дефолтными опциями, да и то — НЕ ВСЕ (сюрприз?). Таким образом на роль репозитория FTP ну никак не подходит. Репозиторий предполагает согласованные по версиям программы и библиотеки, нечто целостное, из которого можно слепить собственную конфигурацию. Для FreeBSD необходимость сборки чего-то из исходников прямо-таки НЕОТВРАТИМА, так как не все бинарные пакеты вендоры разрешают распространять.
>>Подтверждённые файлы архивов с исходниками, неважно, откуда они получены,
>>имеют в сценариях портов хэш-суммы для подтверждения их подлинности,
>
>Хеш-суммы, кстати, можно подделать. Они эффективны только когда используются совместно с публичной
>криптографией.Обычно используется две хэш-суммы: MD5 и SHA256. И размер архивов в байтах.
Как ты их подделаешь все три? Разве что хакнешь архив разработчика или прорвёшься на тачку мантейнера для теневого коммита.>В противном случае злоумышленник может их попросту изменить. Цифровые подписи
>делают этот процесс относительно проблематичным т.к. для подписывания надо где-то взять
>приватный ключ, который на то и приватный чтобы не быть в
>свободном доступе. Не очень в курсе как там в портах, но
>в пакетных системах все именно так. Хеши, подлинность которых проверябельна по
>цифровой подписи.Всё это хорошо, но убунтоюзеры падки на социальную инженерию. Достаточно убунтоюзеру показать, где находится супер-пупер-репозиторий с новыми кульными deb'ами, тут-то он и попался — делай с ним что хошь, хоть с криптографией, хоть без оной — любая программа, загруженная с левого репозитория со всеми атрибутами сильной криптографии не превращается автоматически в белую и пушистую, а тупо делает своё чёрное дело под прикрытием "кульного репозитория".
>>мантейнеры портов известны и ответственны (имеют собственный "сертификат доступа"
>>для коммита в дерево портов). А не "кто-то левый запостил" по типу: "вот
>>у мну есть superproga-xxx.deb, берите и пробуйте".
>
>Простите, а чем майнтайнеры дебиана или иных репов хуже или лучше ваших
>майнтайнеров? :) И вообще чем репы хуже? Вы так и не
>назвали ни одного принципиального отличия. Ни в технологическом, ни в "процессуальном"
>плане.Уже назвал: несвязанные друг с другом репозитории бинарного кода — худшее, что можно придумать для массированного распространения вредоносного кода в Linux — достаточно провести сеанс социальной инженерии с определённой группой пользователей, и вот они уже начнут рекламировать кульный репозиторий с бомбочками замедленного действия. А что? Для дизассемблирования и анализа зловредного бинарного кода из левого репозитория, который у всех на слуху как самый кульный и прогрессивный, уже не хватит времени — поток хомячков-леммингов уже пошёл скачивать "полезняшки" с гнильцой. Закрыть его просто нет времени.
>Собственно порты в технологическом и "процессуальном" плане достаточно похожи на
>пакетные системы с репами. По общей логике действа, действующим лицам и
>их ответственностям.Коллекция портов тем и хороша, что она связанная и управляемая в отличие от неизвестно кем созданных левых репозиториев с неизвестно кем подготовленным бинарным кодом.
>И если вы говорите что одно маздай а другое маст хэв - вы, вероятно, попросту гнусно лицемерите.
Я-то? И не думаю. Легче контролировать что-то одно, обеспечивая гарантированную сборку из авторских исходников, чем предлагать пользователям самим подключать левые репозитории с неизвестно каким бинарным кодом.
ну собрал ты сам, из портов.
ответил "разрешаю". дальше что?
да даже ответил "запрешаю" - уже Н киловат потрачено.что порты, что репы - список прог, в исходниках или нет, за содержимое которых лично ты не отвечаешь.
если за репами, портами следят - отлично. если нет, то результат как без реп/портов - х/з.
и это конечно повод писать бред в пользу последнего. айзкен, где логика?
Соглашусь здесь с Изеном, пожалуй. В системе портов есть плюсы, о которых он упомянул. Вспомните Gentoo, который делался с оглядкой на систему во фряхе (и пока так оно и осталось).Есть оверлеи, конечно, но это уже добавленная возможность от гентушников. Официальное дерево едино по-прежнему, stable/unstable. А вот поиски репов, порой с непонятной верифи, или ее отсутствием, порой надоедает.
А чем порты принципиально отличаются от системных репов? Собственно действующие лица и само действо - примерно то же самое. Да, в деталях отличия есть. Но общая логика действа и все действующие лица - похожие. Не все есть в репах? Так не все есть и в портах и портажах. И еще вопрос у кого чаще не будет чего-то. Вон у дебияна ~20 000 пакетов. И все-равно может потребоваться что-то со стороны иногда. Но редко и в нетипичных ситуациях как правило.
>Вон у дебияна ~20 000 пакетов.ужё >30 000
Кхм, порты одни, это цетрализованное хранилище. Репы же бывают совершенно в разных местах. И оно бы еще ладно, но ведь за ними не следят официальные девелоперы и мэйнтейнеры. То есть, создаст вот такой подобный ксакепский пакет кулхацкер Петя, выложит его и пропиарит. Убунту, кстати, таких репов не так мало, как и у Дебиана. В этом смысле за порты во фре и дерево ебилдов в Дженту менее сцыкотно. Вспоминаем недавнюю историю с OpenRC, когда ее выкинули, и то из анстэйбла Дженты. Я правда на стэйбле сиже, так что миновало. Страшно подумать о сторонних репах в других дистрибутивах, откуда пакеты сетапят гораздо чаще.
>Кхм, порты одни, это цетрализованное хранилище.Не подключая "левых" реп, имеем тоже самое, подключаем имеем то же самое что и в bsd с установкой софта не входящего в порты, разве что установка в случае с ppa репами и подобного сильно упрощена.
>И оно бы еще ладно, но ведь за ними не
>следят официальные девелоперы и мэйнтейнеры.Да ну?
Ну в основных репах Убунты есть далеко не все. Иначе зачем подключают другие, типа ППА всяких, или гетдеб. Ими разве занимаются мэйнтейнеры Убунты?З.Ы. Я не отрицаю репы как таковые. Просто у портов считаю плюс в этом. А в целом, безусловно, репы, которые контролируются нормально разрабами дистриба, вполне. У фри сторонних пакетов очень немного, в то время как во многих линуксах они широко распространены.
Я вот тоже немного быдлокодю, и хочу иметь доступ к своим программам из любой точки, или поделится с друзьями, знакомыми, хотя в основном с коллегами по работе в этом и смысл ppa. Соответсвено я и ответсвенный за свой код и свои пакеты, не вижу в этом ничего плохого.
первое предложение - ты сампоня что сказал?
прикинь, у гуглей тоже. только тебе чтобы проверить троян сия прога или нет еще ее и скомпилить придется.
зато под "железо" и работать будет быстрее, угу. на 25 смс больше.
>Вон у дебияна ~20 000 пакетов.Неприкрытая ложь. На Debian портировано около 15 тыс. авторских программ, а пакеты эти — сильно гранулированные сборки этих самых программ. Например, мантейнеры Debian разбили OpenOffice на "составляющие" и выходит, что у них он не один пакет (как в FreeBSD), а несколько! То же самое сделали с Java.
>>Вон у дебияна ~20 000 пакетов.
>Неприкрытая ложь. На Debian портировано около 15 тыс. авторских программ, а пакетыО, наш разгневанный бээсдэшный друг, прости нашего горячего любителя убунту!
Не знаю, кто такие "авторские программы", но в main дистрибутива testing по скачанным сейчас спискам пакетов ---
$ count_pakages () { bzcat "$1" |awk '!x&&/^Package: /{c++}{x=($0!="")}END{print c}'; }
$ count_pakages Sources.bz2
15006
$ count_pakages Packages.bz2
28889
$ exit-- 15 тыс. пакетов исходных текстов и под 29 тыс "бинарных" пакетов.
>эти — сильно гранулированные сборки этих самых программ. Например, мантейнеры Debian
>разбили OpenOffice на "составляющие" и выходит, что у них он не
>один пакет (как в FreeBSD), а несколько! То же самое сделали
>с Java.Ты не представляешь, что "они" сделали с КДЕ!! :-P
ЗЫЖ
v5.0.2, lenny:$ count_pakages Sources.bz2
12122
$ count_pakages Packages.bz2
22310unstable "sid", main, сейчас:
$ count_pakages Sources.bz2
16064
$ count_pakages Packages.bz2
29667PPS: На случай, если кто спросит, "какие-то" (не скачивал -- просто "завалялись" на диске~~ всё страрО и неточно) списки от:
...4.0 "etch" -
$ count_pakages etch+Sources.bz2
10220
$ count_pakages etch+Packages.bz2
18051...3.1 "sarge" -
$ count_pakages sarge+Packages.bz2
15197...3.0 "woody" -
$ count_pakages woody+Sources.bz2
5101
>а пакеты эти — сильно гранулированные сборки этих самых программ$ bzcat Sources.bz2 |awk '/^Binary: /{c++;s=$0;while((l=getline)~/^ /)s=s""l;sub(/^[^ ]+ +/,"",s);print split(s,a,/ *, */)}'|sort|uniq -c|sort -k1,1nr
10280 1
2008 2
1151 3
588 4
299 5
186 6
94 7
64 8
57 9
43 11
40 10
28 12
18 14
18 15
17 13
11 18
11 19
9 17
8 24
7 28
7 29
6 20
6 22
5 21
4 26
3 25
3 39
2 16
2 23
2 27
2 30
2 31
2 36
2 40
2 44
2 50
2 52
2 56
1 32
1 33
1 35
1 38
1 41
1 47
1 48
1 51
1 53
1 54
1 58
1 67
1 74...то есть сколько пкетов исходников разбиты^Wсобираются во сколько бинарных пакетов. (Список тот, что 15006 - будущий 6.0 "squeeze").
вот самому трояны компилить только и не хватало.
>А, например, в случае с N900 и нативной программой пользователь ограничен только
>выбором: либо запускать, либо не запускать — детальных пермишенов не дано,В конечном итоге - у юзера 1 выбор: или нормально юзать, или мудохаться/не юзать. Предпочитаю первый вариант. А 100500 подтверждений и паранойя "ой, наверное это троян" - пусть для вас останутся.
>простую игру "Удав"
>"Удав"
>"Удав"lol. Оно же "Змейкой" зовется.
На "Радио-86РК" оно называлось "Питон".
только этому питону не нужен был gps чтоб хвост не сожрать.
кстати, история с жабой - тоже питон. вон оракл хвосты жрёт. скоро гэйм овер.
К GPS на андройде скрыто обратиться нельзя, сразу появляется специальный значек на верхней панели.
>К GPS на андройде скрыто обратиться нельзя, сразу появляется специальный значек на
>верхней панели.Можно, если телефон в момент кратковременного включения GPS в кармане или у уха во время разговора.
Если приложение запросило полноэкранный режим, то и во время игры не узнаешь, что GPS включился - статус бара просто не видно.
создаётся впечатление, что эти трояны специально пишут, дабы скомпрометировать андроид.
как бы выводят его на чистую воду?
Троянские функции таких "троянов" сомнительны а вот трафик они генерят исправно ;)
а сколько такого добра еще не найдено... о сколько нам открытий чудных...
>>Методика использования троянской программы выглядит следующим образом: злоумышленник покупает GPS Spy и каким-то образом вынуждает жертву установить и один раз запустить программу Tap Snake, после чего шпионская программа остается в фоне и до перезагрузки телефона периодически отправляет координаты. При установке программы инсталлятор предупреждает пользователя об использовании программой функций доступа к сети и GPS, но, судя по всему, многие пользователя не обращают внимание на подобные предупреждения.В переводе на мой родной : 1. злоумышленник <жирно>каким-то</жирно> образом (на выбор самого пользователя: рекламная компания в СМИ, бонус от оператора связи, терморектальный побудитель)заставляет установить шпионскую программу на свой телефон. 2. при этом в лицензионном соглашении к этой программе сказано, что она шпионская и пользователь сам берет на себя ответственной за её использование. 3. сли телефон перезагружен, пользователь вынужден повторно установить эту программу по мативации описанной в п.1.
Злоумышленник покупает кактус. Потом тайно заставляет пользователя съесть кактус, несмотря на то, что на нем написано "Не жрать если ты не верблюд" и кактус колется. Если пользователь отвернулся от горшка после поедания, то ему нужно съесть еще один кактус. Вопрос - кто тебе злобный буратина?
> Вопрос - кто тебе злобный буратина?Андроид, ктож еще то? Он же не сказал что ты не верблюд, и жрать кактус вредно для здоровья... А просто написал, что есть противопоказания к поеданию кактуса...
Таки если есть противопоказания - надо думать че делаешь. Голову никакие андроиды не заменят.
Аналогия с кактусом не совсем применима, так как юзеру программа подается в виде конфетки (т.е. некого полезного софта). В процессе установки юзеру как раз сообщается об ингредиентах, из которых эта конфетка состоит. А чтобы понять, что ингредиенты-то на самом деле подозрительные, юзер должен их прочитать и мозг включить. Для нас, айтишников, чтение и обдумывание сообщений это само собой разумеющееся, но взгляните на окружающих вас обычных пользователей. Никто и никогда не читает никакие предупреждения и/или сообщения об ошибках. Если есть кнопка «далее» юзеры будут сразу жать её. Это как принятие лицензионного соглашения, которое никто не читает. Если же кнопки «далее» нет (например, когда программа не может выполнить запрошенное юзером действие), то юзер не читает сообщение о том, в чем причина, а сразу говорит «программа говно, не работает».
Я абсолютно согласен с тем, что юзер сам виноват, если подхватит такую малварь, но по-другому и быть не может, потому что он юзер, а у юзера только одна цель – запустить программу, а все предупреждения - это для него лишний мусор, заставляющий лишние несколько раз нажать кнопку «далее». И так будет всегда. Такова реальность.Это так, на лирику меня потянуло :-)
Потому-что "простых юзеров" логика виндов и программ под неё приучили, что при установке и использовании генерируются тонны ненужной информации, которую можно спокойно игнорировать.А UNIX-идеология такова, что если в работе программы нет ошибок, то нет никаких сообщений. Это всё очень хорошо написано в "The Art of Unix Programming" от ESR.
Отчасти согласен, отчасти нет. Нет, потому что мне вообще слабо верится, что юзеры вообще склонны вникать в сообщения и предупреждения. Как я уже писал выше, если есть возможность продолжить, они нажмут "продолжить", если нет, то это значит, что прога "не работает" и всё тут. Ко мне вот ни разу ни один юзер не обратился за помощью с указанием, что у него за проблема. Все говорят просто "не работает", "какая-то непонятная ошибка" и т.п.
Да ёлки-моталки, как же простые юзеры работали в юниксах и досе в довиндовую эпоху, когда не было такого количества гуёвинок и визардиков?Бухгалтер у нас, женщина за 50, никаких вопросов по компьютерному парку бухгалтерии от неё годами нет, последний раз пожаловалась года два назад, что месячные выборки 1С очень долго стали производиться, посмотрел, а у неё Celeron 733Mhz о 128ram стоит, заменили комп на современный, вопросов нет. Флешками активно пользуется, таская домой/из дома работу, криптоконтейнерами и прочими защитными чтуками. Ни одного вируса за более чем 5 лет. Потому-что выключили автозапуск и один раз показали как в FAR'е на дискету/флешку заходить и анализировать автораны. Вот это должен быть простой юзер. А тех, кого по глупости называют (и бережно взращивают!) нынче "простыми юзерами" - криворукие идиоты с завышенным ЧСВ.
Про жену, которая за 7 лет в IT-службу на своей работе может всего пару раз обращалась, говорить не буду.
Полностью согласен, что юзер таким должен быть, но, увы, таким экземплярам нынче нужно памятник ставить, настолько они редки.А проблема, на мой вгзляд, глубже. Таково сознание общества потребления. Вспомните, как раньше автовладельцы сами умели проделывать много различных действий по ремонту/обслуживанию своих машин. К телевизорам прилагалась схема, и можно было самому перепаять, например, пробитый конденсатор.
А что изменилось сейчас? А то, что управление техникой всё больше абстрагировалось от её устройтва. Есть кнопка вкл/выкл и всё на этом. А чтобы элементарно настроить что-то или починить, нужно быть "авторизованным специалистом". На каждом углу развелись автосервисы и сервис-центры для прочих разных товаров, и людям просто не надо самим ни о чем думать, так как за них всё починят.И я не говорю, что это плохо само по себе, но это приобрело уже гипертрофированные формы. Как Вы написали выше, люди превратились в криворуких идиотов. И даже люди, которые хотят сами разобраться в чем-то, этого сделать не могут, потому что товар подается в виде запаянного со всех сторон черного ящика, неизвестно как устроенного. Помнится, где-то читал, что в европе хотят ввести требования (или уже ввели, не знаю), чтобы автопроизводители не создавали препятствий для самостоятельного выполнения элементарных действий по обслуживанию автомобиля (а то сейчас во многих машинах хрен до фары доберешься, чтобы лампочку поменять). В сфере ПО ситуация проще, так как при желании можно покопаться в разного рода настройках/конфигах/(если повезет, то и исходниках). Но этого никто не хочет делать, так как все привыкли, что есть одна кнопка, а всё остальное – это вопрос к «специалистам».
И да. То, что насаждается одной маленькой компанией "предприятием может управлять низкоквалифицированный системный администратор", "сайт может быстро наваять в формочках низкоквалифицированный сейлз" и прочее - сие есть неправильно. Не бывает такого, чтобы и рыбку съесть и тому подобное.
В защиту юзеров , игнорирующих предупрежденияЧто если я куплю и установлю прогу с функциональностью , действительно требующей GPS и даже отсылки SMS ? Конечно я дам разрешение на такие действия -- для того и устанавливал . А там малварь , и что ? Предупреждение в данном случае бесполезно
Надеяться можно лишь на авторитет программы и её источника . Конечно лучше , если код открыт : кто-нибудь проверит , сообщество узнает
Теперь змейка эта . Откуда можно знать , что GPS для неё -- симптом вредоносности ? Задницей почувствовать ? Может игрушка показывает пейзаж , похожий на окружающий игрока ? Да мало ли можно сочинить фич , объединяющих технологии . Технологии распространяются , дешевеют , интегрируются друг с другом -- это нормальная тенденция . Любая прога может запросить доступ к любой возможности оборудования
Это так , плач на тему "как страшно жить" . Всё частично преодолимо . Нужен не просто запрос слать SMS куда вздумается , а с возможностью настроек при ответе . Правильная игрушка при запрете GPS должна работать с урезанной функциональностью . И т.д. . Но на любую гайку найдётся болт
Вы наверно из тех, кто обязательно даст позвонить с мобилы на улице совсем незнакомому человеку подозрительного вида.
>[оверквотинг удален]
>, похожий на окружающий игрока ? Да мало ли можно сочинить
>фич , объединяющих технологии . Технологии распространяются , дешевеют , интегрируются
>друг с другом -- это нормальная тенденция . Любая прога может
>запросить доступ к любой возможности оборудования
>
>Это так , плач на тему "как страшно жить" . Всё частично
>преодолимо . Нужен не просто запрос слать SMS куда вздумается ,
>а с возможностью настроек при ответе . Правильная игрушка при запрете
>GPS должна работать с урезанной функциональностью . И т.д. . Но
>на любую гайку найдётся болтПаранойя спасет мир.
В ответ на это есть ответ: уважающий себя и других разработчик пакета прикладывает ридми, или на сайте есть доки.
Похоже в новости забыли про возможность отозвать приложение.Так что у всех пользователей его уже наверно удалили.
я думаю, что следующим логичным шагом будет проверка требования к программой функции еще на store, и предупреждение (вместе с объяснением) об этом до скачивания.