безопасность в mac os x
для параноиков: мне придется вас огорчить. не существует и не будет существовать системы, которая при наличии сетевого соединения позволит вам чувствовать себя уверенным.
для всех остальных: всегда есть что терять. если вам не жаль историю посещения сайтов или программу, которую вы установили вчера, то у вас наверняка найдется звуковая дорожка, видео или фотография, которые вам очень дороги и второй копии у вас не найдется. за время своей работы с компьютерами я три раза терял все данные из-за сбоя оборудования и данные по частям по мере смены операционных систем, компьютеров, телефонов и ошибок в программах. это очень неприятно. мне хочется рассказать вам, как части из этих напастей можно избежать.
немного теории
вирусы и прочее могут нарушить стабильность и целостность системы, создать нежелательный сетевой трафик. в mac os x по умолчанию сложнее нарушить целостность системы за счет удаления и подмены системных файлов по сравнению с windows. потому что в windows xp системная папка защищена намного слабее - в ней можно удалять и перемещать файлы.
нежелательный сетевой трафик создает большинство современных приложений. например, microsoft office 2004 при запуске «смотрит» по локальной сети, не стоит ли рядом такой же microsoft office с таким же серийным номером. желание производителя защититься понятно, но это не то, что нужно пользователю. coolbook при регистрации отправляет серийный номер вашего ноутбука по незащищенному соединению. itunes показывает по умолчанию itunes music store, хотя в россии купить в нем музыку невозможно. если вы платите за трафик, то вас может удивить, насколько много трафика потребляют проверки обновлений программ.
все это можно заблокировать с помощью настроек программ или, если настроек нет, ipfw (System Preferences/Sharing/Firewall) и LittleSnitch.
стабильность системы без приложений достаточно высока. то есть, если вы только что установили операционную систему и не ставили никаких дополнительных приложений, то вероятность того, что вы потеряете данные, очень мала. чем больше у вас установлено приложений, тем более вероятна потеря данных, меньшая отзывчивость системы («у меня компьютер тормозит») или ее неожиданное поведение («у меня по контрол-пробел включается itunes и spotlight. как сделать так, чтобы айтюнс не загружался по этой комбинации?»). поэтому устанавливайте только то, что реально необходимо.
к сожалению, совершенно неважно, какие приложения у вас установлены. потому что мне и вам приходится пользоваться сторонним софтом, исходники которого недоступны и контролировать запуск каждого приложения не представляется возможным. стабильность, то есть нежелательное поведение программ, относится уже не к системе, а к самому пользователю. потому как запускать все, что выкачал из интернет, будет именно пользователь. и я считаю пользователя, в том числе и умудренного опытом, стократ разрушительнее самого крутого вируса. тут не спасут ни антивирусы, ни firewall. то есть основная причина появления вирусов, троянов и тому подобного - это действия пользователя.
причем этим пользователем можете быть совсем не вы. кошка, прошедшая по клавиатуре, однажды выключила мой интернет сервер. те, кто могут находиться рядом с вами, могут случайно удалить файлы или набранный за день текст совершенно случайно.
единственное, как можно защитить действительно ценную информацию - это резервное копирование.
внутренние средства системы
с помощью настроек системы вы можете немного обезопасить себя от случайных и намеренных потерь данных.
запускаем яблочное меню -> System Preferences
раздел Security
filevault позволит вам зашифровать вашу домашнюю директорию.
я считаю, что использование filevault на компьютере оправдано лишь в том случае, если на нем есть действительно ценные данные, которые никто не должен увидеть. потому что если вы забудете пароль и master password, то и про данные тоже забудьте. включайте на свое усмотрение и под свою ответственность.
require password to wake … - хорошая опция для всех, кто дорожит своими данными и не сидит в гордом одиночестве в 100-метровом бункере под землей. с помощью этой опции у вас будет возможность вернуться к нетронутому рабочему столу после того, как вы решите сходить на кухню и попить чаю.
disable automatic login - после загрузки будет показан список пользователей и нужно будет выбрать одного из них.
require password to unlock … - с помощью System Preferences вы можете сделать многое. даже слишком многое. с установкой этой опции для некоторых небезопасных вещей вам придется ввести пароль.
log out ater … - не рекомендую. возможна потеря данных.
use secure virtual memory - не рекомендую. сильное снижение скорости работы. но если вы решили включить filevault - то эта опция сделает вашу машину защищеннее.
Dashboard and Expose
Active Screen Corners
каждый раз, когда я отлучаюсь от компьютера, я блокирую его с помощью скринсэйвера. чтобы облегчить эту задачу, я установил для правого верхнего угла экрана опцию Start Screen Saver
Accounts
Change Password - установите пароль. хотите совет? откройте книжку со стихами и выучите одну из строк наизусть. и используйте ее в качестве пароля. взломать компьютер намеренно очень просто, если у вас в качестве пароля стоит день рождения или имя собаки.
Sharing
вкладка Services
рекомендую оставить только Windows Sharing. и Printer Sharing, если у вас стоит общий принтер на несколько компьютеров. но тогда печатать на вашем принтере сможет любой человек из «вашей» сети. например, если ваш провайдер - корбина и интернет раздается другим компьютерам через макинтош с принтером, при включенном Printer Sharing вашим принтером сможет воспользоваться весь ваш район.
вкладка Firewall
firewall должен быть включен всегда. без вариантов. это позволит защититься от большей части атак извне.
Software Update
если вы включите проверку обновлений раз в неделю и будете устанавливать обновления, то это с большой вероятностью защитит вас от злоумышленников, которые будут ломить сквозь бреши в системе безопасности.
сторонний софт
LittleSnitch
позволит вам пресечь трафик некоторых программ, которым для работы не нужно лезть в интернет.
AppFresh
сделает архив приложений, которыми вы пользуетесь, чтобы в случае неприятностей восстановить рабочую версию.
Carbon Copy Cloner
позволит вам сделать точную копию рабочей системы
Firefox + AdBlock Plus + flashblock
позволит вам не смотреть рекламу на сайтах. для Safari есть подобное решение (PithHelmet), но за деньги.
Wednesday, August 29, 2007
Friday, August 24, 2007
coolbook
об отсылке персональных данных с компьютера при регистрации, и о деньгах, которые платятся за уменьшение стабильности системы.
есть такой софт - coolbook, позволяет охладить пыл macbook и macbook pro. в силу того, что я решил отдохнуть недельку в киеве, а температура держится тут на очень высоком уровне, то нужно было как-то бороться с жарой.
coolbook без регистрации ничего не дает сделать, только посмотреть текущий вольтаж на процессоре и частоту. с ним поставляются два документа как пользоваться и руководство по понижению вольтажа процессора, и одна ссылка на cputest, который позволяет проконтролировать работу процессора после понижения вольтажа.
я решил посмотреть, что будет, если нажать кнопку регистрации. coolbook поперся в интернет по незащищенному http, отправил first name, last name и activation code. я решил посмотреть, что еще он отправит, и для этого завернул с помощью firewall трафик, который идет на сервер регистрации, на локальный апач. оказывается, после первого запроса coolbook получает количество оставшихся лицензий. а потом отсылает на свой сервер серийный номер ноутбука. так мы не договаривались, посему я загрузил xcode tools и с помощью дебаггера два раза отредактировал регистр eax в процессе выполнения процедуры doRegistration. coolbook решил, что все в порядке и я стал зарегистированным пользователем.
после часа тестирования (и постоянных перезагрузок) на каком же минимальном напряжении сможет работать мой процессор, выяснилось что таких напряжений два: .95 вольта для 1.67GHz и 1.025 вольта для 2.0GHz. естественно, все тестировалось с помощью CPUTest. хорошо, пускай так и будет. через некоторое время я запустил импорт фото с помощью adobe lightroom - перезагрузка. повышение вольтажа, потом снова импорт фото. в итоге оказалось, что для 2GHz стабильное напряжение будет 1.1 вольта. а автор CPUTest и автор coolbook просто облажались с тестированием.
итоги:
работа ноутбука: кулер крутится медленнее, реже начинает «завывать» и температура без нагрузки ниже - почти такая же как под нагрузкой, но для powerbook 12". но под нагрузкой ноутбук точно так же обжигает колени, хотя и без страшного воя. разница при работе от аккумулятора почти незаметна, то есть ставить кулбук только для того, чтобы бук больше жил от аккумулятора - бесполезно. дополнительно к coolbook можно поставить smcFanControl, тогда температура еще немного уменьшится.
программа отправляет по незащищенному протоколу серийный номер ноутбука и это никуда не годится.
способ тестирования программы, предагаемый автором никуда не годится. то есть, после удачного тестирования вы можете получить чрезвычайно нестабильный под нагрузкой ноутбук.
есть такой софт - coolbook, позволяет охладить пыл macbook и macbook pro. в силу того, что я решил отдохнуть недельку в киеве, а температура держится тут на очень высоком уровне, то нужно было как-то бороться с жарой.
coolbook без регистрации ничего не дает сделать, только посмотреть текущий вольтаж на процессоре и частоту. с ним поставляются два документа как пользоваться и руководство по понижению вольтажа процессора, и одна ссылка на cputest, который позволяет проконтролировать работу процессора после понижения вольтажа.
я решил посмотреть, что будет, если нажать кнопку регистрации. coolbook поперся в интернет по незащищенному http, отправил first name, last name и activation code. я решил посмотреть, что еще он отправит, и для этого завернул с помощью firewall трафик, который идет на сервер регистрации, на локальный апач. оказывается, после первого запроса coolbook получает количество оставшихся лицензий. а потом отсылает на свой сервер серийный номер ноутбука. так мы не договаривались, посему я загрузил xcode tools и с помощью дебаггера два раза отредактировал регистр eax в процессе выполнения процедуры doRegistration. coolbook решил, что все в порядке и я стал зарегистированным пользователем.
после часа тестирования (и постоянных перезагрузок) на каком же минимальном напряжении сможет работать мой процессор, выяснилось что таких напряжений два: .95 вольта для 1.67GHz и 1.025 вольта для 2.0GHz. естественно, все тестировалось с помощью CPUTest. хорошо, пускай так и будет. через некоторое время я запустил импорт фото с помощью adobe lightroom - перезагрузка. повышение вольтажа, потом снова импорт фото. в итоге оказалось, что для 2GHz стабильное напряжение будет 1.1 вольта. а автор CPUTest и автор coolbook просто облажались с тестированием.
итоги:
работа ноутбука: кулер крутится медленнее, реже начинает «завывать» и температура без нагрузки ниже - почти такая же как под нагрузкой, но для powerbook 12". но под нагрузкой ноутбук точно так же обжигает колени, хотя и без страшного воя. разница при работе от аккумулятора почти незаметна, то есть ставить кулбук только для того, чтобы бук больше жил от аккумулятора - бесполезно. дополнительно к coolbook можно поставить smcFanControl, тогда температура еще немного уменьшится.
программа отправляет по незащищенному протоколу серийный номер ноутбука и это никуда не годится.
способ тестирования программы, предагаемый автором никуда не годится. то есть, после удачного тестирования вы можете получить чрезвычайно нестабильный под нагрузкой ноутбук.
Subscribe to:
Posts (Atom)