aaano, myslim, ze klucove slovo vasho prispevku je "v normalne fungujucej organizacii". A teraz mi Kefalin povedzte, kolko takych normalne fungujucich organizaci poznate?
No pokud se můžou uživatelé beztrestně hrabat v počítači a namontovat si k němu modem, tak to neni záležitost admina, jako spíš vedení firmy. Protože to je spíš už porušení pracovní kázně. Jo, z blbosti si někdo může nainstalovat nějakej spyware, ale modem si z blbosti nenainstaluje.
Vim - javascript ci spravneji ECMAscript je iterpretovany programovaci jazyk pouzivany v prohlizecich pro spousteni kodu v kontextu stranky, ale i pro rozsireni, kde miva vice prav.
Ja vim ze ho UZIVATEL muze zakazat, slo mi o to jak to uzivateli zakaze admin. A byl to jen priklad toho, ze se zakazani vsech aplikaci to IMHO neni tak snadne, zvlast pokud uzivateli musi zustat povolen pristup na interni aplikace ktere javascript pouzivaji ... je ovsem pravda ze jinak javascript nebyva pro malware idealni platforma.
No pokud vim, tak javascriptem se nedá udělat žádná škoda, nevim o ničem, že by měl nějaký příkazy který by ovlivňovaly cokoli jinýho než současnou stránku.
A kdybys to opravdu chtěl, co takhle ho vypnout a potom sebrat uživateli právo měnit soubor?
Tak to rozhodne pravda neni. Javascript muze ovlivnovat libovolnou stranku otevrenou v prohlizeci, otevirat stranky v prohlizeci a muze komunikovat s internetem, to je pomerne dost.
Ano, pokud javascriptem z internetu lze otevrit lokalni soubor a poslat ho do internetu, povazuje se to za chybu - ale to jednak neznamena ze se to nemuze stat a druhak nechrani pred tim aby to provadel lokalni javascript.
Krome toho interpret javascriptu je pomerne velky program a nelze vyloucit ze obsahuje chybu pouzitelnou ke spusteni libovolneho kodu ...
Zaistit pripojenie takeho PC k netu nie je cisto otazka admina, je to otazka na schvalenie prislusnemu veducemu IT, bezny admin nema afaik rozhodovacie a schvalovacie pravo, maximalne tak moze odporucat.
Ale ak tuto poziciu (admin aj IT sef) zastava jeden clovek, tak sa da s tebou suhlasit.
Dalsou vecou vsak je, ze zaistenie pristupu PC k netu, resp. presnejsie jeho forma, je moznym rizikom z hladiska ochrany siete, bezohladu na firewally, proxy atd. Ak si dam do PC modem a dialup, tak je to taky krasny zdroj bezpecnostnych incidentov, ze az krasa.
Pretoze to PC v takom pripade uz nesedi ani za proxy, ani za firewallom, ale ma direkt spojenie na net a zaroven je v lokalnej sieti.
V normalne fungujucej organizacii by generalny riaditel na nikoho nekrical, lebo by sam schvalil urcite pravidla, co sa tyka pouzivania IT (metodika, bezpecnostna politika etc.).
Ty si ale opisal pripad firmy pod <10 ludi, kde si najvyssi rad honi ego tym, ze v signature ma Managing Director, a kde takato situacia je fakt bezna.
Hm to suhlasim :). Ale viacmenej kazda organizacia, kde v ramci IT oddelenia chapu, co je to ITIL a podobne exoticke veci, a kde to chape aj top manazment organizacie, tak taka organizacia je normalne fungujuca. Takisto statne urady su mnohokrat takto fungujuce (jasne definovane pravidla atd.). Ale tych nenormalnych, zle slovo, je samozrejme viac.. poznam aj take :).
A ty jsi admin, ze vsech nejvetsi, vid? Jak jsou data na serveru chranena proti zneuziti z opravnene stanice ovladane skrze malware prisleho pres internet?
V realu diky jedinemu nezodpovednemu zamestnanci s notebookem jsme lovili den v systemu zaskodnika stravili noc obnovou dat ze zalohy a dalsi tyden jsme meli prescasy a delali postupne audit klientskych pocitacu a pripojovali je zpatky do systemu.
Dovolim si tvrdit, ze tohle je predevsim administratorska chyba. Pokud se do site pripojuji ntb, ktere nemam jako admin zcela pod kontrolou (coz je bohuzel bezna praxe), tak aspon zajistim, ze se pripojuji na oddeleny segment site, ke kteremu se chovam podobne jako k internetu.
Nemam s nemocnicema osobni zkusenost, ale dovolim si vrele pochybovat, ze na lokalnim PC jsou vubec nejaka data. To plati mozna tak pro PC obvodaka (kterej si ho tak jako tak spravuje sam a povoli si cokoli), ale ve vetsich firmach (coz nemocnice jsou) se vetsinou data uchovavaji na serverech, uz jen proto, ze jejich zalohovani ze stanic je zhola nemozne.
Zajistit pripojeni takoveho PC k internetu (prevazne jde pouze o pristup na web) je ciste otazka admina (pokud to neni zakazano zhora), a z hlediska ochrany site to nijak nemuze narusit bezpecnost, pokud to je skutecne admin (sit za FW, pristup pres proxy, ...).
Ehm, normalni system mi jako adminovi umozni rict "smis spoustet tyto aplikace". A jelikoz uzivatel nema opravneni toto nastaveni menit, tak sem zvedav, jak se ten vas malware spusti.
To ze jsou mezi nami i nenormalni OS pripoustim, ale takovy nema v siti co delat. Ovsem i u tech nenormalnich OS existuji zpusoby, jak zaridit vyse uvedene chovani.
Samozrejme ze prohlizec muze obsahovat diru, ale to muze kazdy SW, a pokud jde o uniky dat, opravdu neznam mnoho pripadu, kdy by k takovemu uniku doslo na zaklade utoku zvenci. Z 99% jde o utok zevnitr, prave od uzivatelu, kteri k datum pristup maji. A proti tomu je stejne kazda ochrana kratka.