Gå till innehåll

UAC borde få ett läge till!


Gäst al6

Recommended Posts

Jag har sagt detta innan men det tål att upprepas; UAC borde få ett läge till, där man sätter den att tillåta alla signerade program.

Detta skulle ta dem mindre än 5 minuter att fixa, men tror ni Microsoft ser detta som en stor och obeprövad idé som först måste gå genom massa möten och experter?

Men om man tänker så är ju läget "tillåt allt", som redan finns där, mycket mer osäkert så vad är problemet egentligen?

Det behöver ju inte vara standardval om Microsoft är lite osäkra på det, bara det läget finns där.

Vill verkligen att dom lägger till detta, men jag har ingenstans att säga mina åsikter så det når dem.

Microsoft gör ett enormt felsteg om de inte lägger till detta; Utan detta läget så beror antalet UAC-promts på (och endast på) Windows (Såvida programmet inte klarar sig med standardåtkomst). Men med detta läget så beror det till 100% på utvecklaren, som får välja att antingen signera koden och slippa UAC, eller att inte signera och då visa UAC.

Det är ju inte själva Windows som ska dra ner användarnas upplevelser av andra program, det är ju själva utveklaren av progammet som ska få göra sitt program så bra och UAC-undvikande som det går.

Man har ju redan de 2 två teknikerna som behövs för att göra det mest säkra och minst irriterande Windows genom tiderna: digitalt signerade program + UAC. Men om man fattar hur mycket bättre Windows blir om man slår ihop dessa två tekniker så kan de gräva guld på allvar, enligt mig.

I praktiken blir det ju såhär då: Användare: "Fan det kommer sån här jävla ruta hela tiden, jävla Windows!"

Svar: "Det är inte Windows fel, utan att utvecklaren inte signerat sin kod" = Windows sköter sitt jobb.

Länk till kommentar
Dela på andra webbplatser

Tråd hi-jacking gjorde att jag flyttade detta till ett nytt ämne :)

Ditt förslag är mycket bra! Om du inte misstycker skriver jag in detta som ett förslag i Windows Early Feedback-programmet?

Gör vad du vill för att få det så spritt som möjligt eftersom jag verkligen kommer att sakna det i Windows 7 annars.

Länk till kommentar
Dela på andra webbplatser

Ala som är med i Windows Early Feedback-programmet kan gå in på https://connect.microsoft.com/feedback/View...&SiteID=300 och rösta!

Tyvärr är det troligen för sent för ändringar nu men man kan alltid hoppas på att en sådan ändring kommer med i ett Service Pack eller i värsta fall Windows 8.

Länk till kommentar
Dela på andra webbplatser

Ja för vad är det för mening att signera sin kod, om den enda skillnaden blir att UAC blir blå om programmet är signerat, och gult om programmet inte är signerat.

Man bör ju verkligen utnyttja att man har stöd för att signera program.

Länk till kommentar
Dela på andra webbplatser

Jag har sagt detta innan men det tål att upprepas; UAC borde få ett läge till, där man sätter den att tillåta alla signerade program.

All heder åt al6 som faktiskt kommer med konstruktiva förslag på förbättringar! idea!

Länk till kommentar
Dela på andra webbplatser

Ja för vad är det för mening att signera sin kod, om den enda skillnaden blir att UAC blir blå om programmet är signerat, och gult om programmet inte är signerat.

Man bör ju verkligen utnyttja att man har stöd för att signera program.

Jo men i slutändan hamnar du i ett läge där MS måste godkänna all kod.....

Sen hjälper det inte prOn användaren som ska installera sitt codecs.

Elller "toktankaren" som installerar x antal apps/dag....

De som "vet" kopplar ju alltid bort sådana här funktioner...men då ska man veta och ha riktiga skäl för det.

Länk till kommentar
Dela på andra webbplatser

Koden behöver inte alls vara signerad av Microsoft utan det kan vara en kedja av betrodda utfärdare av de digitala signaturerna som tar hand om detta.

Fördelen är uppenbar som al6 säger, eftersom funktionaliteten för att särskilja ett signerat program från ett icke-signerat sådant redan finns där. Den borde kunna utnyttjas på ett sätt som gör UAC "osynligt" för användaren, något allt från gammelmoster Agda till hacker-Hasse drar nytta av :)

Länk till kommentar
Dela på andra webbplatser

Jo men i slutändan hamnar du i ett läge där MS måste godkänna all kod.....

Detta är fel. Du vet tydligen inte vad digital signering av kod är.

Det är ingen som behöver godkänna något, det enda som görs är att du köper en licens med ditt namn och din identitet, som du sen kan applicera på vilket program du vill.

Det är alltså inte en enda person som behöver godkänna något, utan man ser istället till att ge ut sitt program under ett identifierat namn.

Om det signerade programmet sedan verkligen är ett virus, så har man ju en signatur (därav namnet digitalt signerad kod), och man kan enkelt fälla upphovsmannen.

Det är helt enkelt ett sätt att visa för användaren, att någon verkligen ger ut sin identitet, om något är fel på programmet.

Och eftersom signeringen använder olika hasher så kommer signeringen att vara totalt ogiltig om binären ändras.

Länk till kommentar
Dela på andra webbplatser

  • 2 månader senare...
Jag har sagt detta innan men det tål att upprepas; UAC borde få ett läge till, där man sätter den att tillåta alla signerade program.

Misstar jag mig, eller är detta program digitalt signerat? Det står i alla fall Publisher: AntiSpywareSolutionPro Inc, och den informationen hämtas väl från signaturen?

thFUXGWyJ.png

Bildkälla: http://se.youtube.com/watch?v=yVs16zyXSV0 (7:27)

Programmet i fråga är VirusRemover2008 från ”AntiSpywareSolutionPro Inc.” Beskrivs som ”Fraudulent Security Program” av Prevx.

I så fall, är det lämpligt att automatiskt tillåta alla signerade program?

Länk till kommentar
Dela på andra webbplatser

I så fall, är det lämpligt att automatiskt tillåta alla signerade program?

Nej det är enbart rena dumheterna som egentligen enbart drabbar admins o toktankare..... :P

Toktankarens vedermödor att installera allt bröte spelar väl mindre roll..... en admin har ju andra sätt att

lindra plågan.

I W7 är det en högst rimlig nivå på lägsta inställningen..... enbart "knäppskallar" som inte kan förstå det här !! IMHO.. :D

Länk till kommentar
Dela på andra webbplatser

I W7 är det en högst rimlig nivå på lägsta inställningen..... enbart "knäppskallar" som inte kan förstå det här !! IMHO.. :D

Lägsta aktiva inställningen antar jag att du menar? Never notify är ju inte mycket att ha…

windows7uacsettings.jpg

Dessa fyra lägen är en klar förbättring jämfört med Vista, men det säger ju inte så mycket, och denna ”konfiguration” i W7 får knappast en HIPS-entusiast att jubla…

Länk till kommentar
Dela på andra webbplatser

Det är frivilligt att välja vilken nivå på UAC man vill ha, allt jag menade var att man lika gära kan lägga till ett läga till som bygger på den redan implementerade funktionen att verifiera signaturer. Jag förstår vad du menar; du har ett signerat program som enligt ett AV är skadligt, då är det ju inte så bra att tillåta det programmet att automatiskt installera sig och göra saker, eller är det?

Enligt min mening så är det här med tillåtelse av signerade program en helt ok sak; även om de program som är signerade nu skulle vara skadliga så har man en identitet till vem som signerat programmet. Men jag tror nog mer det här rör sig om falskt alarm för något som verkar vara skadligt.

Som sagt; man har redan allt det här med verifiera program inbyggt i UAC, så varför inte bygga vidare ett extra läge där den automatiskt tillåter signearde program, det är ju frivilligt att välja det. Finns ju andra sätt som är mycket bättre att lösa det på, men eftersom Microsoft redan valt att gå denna vägen får man ju göra det bästa av situationen och spela med.

Länk till kommentar
Dela på andra webbplatser

Jag håller helt med om att man skall dra nytta av digitala signaturer, men jag vill att det skall göras försiktigare, med högre grad av kontroll. Hur? Med en vitlista! Betrodda programutgivare läggs till i en lista, och med hjälp av signaturen kan man verifiera att t.ex. CCleaner.exe är CCleaner från Piriform Ltd. Leverantören av säkerhetssystemet förser det med en vitlista, som sedan kan uppdateras, och redigeras av användaren, så att den kan lägga till saknade programutgivare, och ta bort t.ex. AntiSpywareSolutionPro Inc., om det skulle vara inkluderat. Detta tillämpas redan i HIPS-program; se beskrivning här.

Det behövs ingen enorm lista för att systemet skall bli hyfsat tyst. Jag var aktiv i att föreslå utgivare som skall vitlistas i kommande versioner av CIS. Vi fick på ett par dagar ihop 125, en god början som räcker långt. :)

Dock är många dåliga på att se till att alla programfiler är signerade. Endast omkring hälften av filerna i Avira AntiVir Personal är signerade. Operas installationsprogram är signerat, men det installerade programmet är det ej. QuickTime Player är signerad, så under installationen behövde jag inte tillåta något manuellt, förrän QTTask.exe, som inte är signerad, ville göra en registerändring.

Länk till kommentar
Dela på andra webbplatser

Jag håller helt med om att man skall dra nytta av digitala signaturer, men jag vill att det skall göras försiktigare, med högre grad av kontroll. Hur? Med en vitlista! Betrodda programutgivare läggs till i en lista, och med hjälp av signaturen kan man verifiera att t.ex. CCleaner.exe är CCleaner från Piriform Ltd. Leverantören av säkerhetssystemet förser det med en vitlista, som sedan kan uppdateras, och redigeras av användaren, så att den kan lägga till saknade programutgivare, och ta bort t.ex. AntiSpywareSolutionPro Inc., om det skulle vara inkluderat. Detta tillämpas redan i HIPS-program; se beskrivning här.

Det behövs ingen enorm lista för att systemet skall bli hyfsat tyst. Jag var aktiv i att föreslå utgivare som skall vitlistas i kommande versioner av CIS. Vi fick på ett par dagar ihop 125, en god början som räcker långt. :)

Dock är många dåliga på att se till att alla programfiler är signerade. Endast omkring hälften av filerna i Avira AntiVir Personal är signerade. Operas installationsprogram är signerat, men det installerade programmet är det ej. QuickTime Player är signerad, så under installationen behövde jag inte tillåta något manuellt, förrän QTTask.exe, som inte är signerad, ville göra en registerändring.

Bra idé! Men om man ska slå ihop våra idéer så hade jag gjort så att det fanns ett läge som accepterade alla signerade program och ett läga som accepterade alla program från vitlistan med utgivare som du sa. Det här med att Opera tex inte är signerat mer än installeraren är ju inget problem alls, eftersom det bara är installeraren som behöver eleveras av UAC, dock är det ju snyggt och bra att även signera saker som inte behöver UAC.

Helt enkelt skulle man kunna göra ett väldigt säkert och dessutom tyst system om man utforskade möjligheterna med UAC. Kunde ju varit en simpel checkbox i varningarna som lyder "Lägg utgivare i vitlistan" eller något. Jag tycker UAC är bra men det kunde varit BRA mycket bättre och smidigare.

Jag vet att du har massa förslag på fristående HIPS men jag orkar inte bry mig faktiskt, jag vill att systemet ska vara säkert och genomtänkt från start.

Länk till kommentar
Dela på andra webbplatser

Bra idé! Men om man ska slå ihop våra idéer så hade jag gjort så att det fanns ett läge som accepterade alla signerade program och ett läga som accepterade alla program från vitlistan med utgivare som du sa.

:) Valfrihet sitter sällan i vägen!

Det här med att Opera tex inte är signerat mer än installeraren är ju inget problem alls, eftersom det bara är installeraren som behöver eleveras av UAC, dock är det ju snyggt och bra att även signera saker som inte behöver UAC.

Det beror ju på vilket program det är, hur stort problemet med osignerade programfiler är. Då jag testade Avira AntiVir Personal fick jag mängder av Defense+ Alerts från CIS. Hade alla filer varit signerade… inte ett klick hade behövts!

Helt enkelt skulle man kunna göra ett väldigt säkert och dessutom tyst system om man utforskade möjligheterna med UAC. Kunde ju varit en simpel checkbox i varningarna som lyder "Lägg utgivare i vitlistan" eller något. Jag tycker UAC är bra men det kunde varit BRA mycket bättre och smidigare.

Japp! Bra. Faktiskt en sak jag har funderat på, och saknar i CIS. :( Vill se något i stil med mbam.exe är en digitalt signerad fil från Malwarebytes, vill du lägga till Malwarebytes i listan med betrodda programutgivare?.

Jag vet att du har massa förslag på fristående HIPS men jag orkar inte bry mig faktiskt, jag vill att systemet ska vara säkert och genomtänkt från start.

;) Det är dock större möjlighet att man finner just det man vill ha om man letar litet bland alternativen. :)

Länk till kommentar
Dela på andra webbplatser

Jag skulle gärna vilja göra en egen UAC till Windows 7 där jag verkligen tänker igenom allt och ser till att buggar löses och att allt är så fruktansvärt simpelt och bra. Norton gjorde ju en ersättare och jag har kollat lite på hur den fungerar men jag saknar en riktig dokumentation om hur det fungerar.

Det är ju egentligen bara själva GUI:n som suger i Windows 7, det underliggande skyddet är ju helt fungerande, så när jag får tid ska jag fan läsa om UAC och göra en riktigt smart och snygg UAC. ;)

Länk till kommentar
Dela på andra webbplatser

Behövs verkligen. ;) ”Motorn” är nog bra, som sagt, men en regel med fyra lägen som kontroll… Nej, det tillvaratar inte möjligheterna som nog finns där. Kika även på några HIPS-tillämpningar innan du skriver till verket. Det dväljs en hel del forskning och erfarenhet i dessa program. Onödigt att uppfinna hjulet på nytt, så att säga. ;)

Länk till kommentar
Dela på andra webbplatser

Är lite dålig på begreppen här. Är en "vitlista" motsvarande det som Norton använder i sitt UAC program där man kan välja "kom ihåg detta val i framtiden"? Det är väl i så fall en alldeles utmärkt lösning, även utan inblandning av signaturer. Har man kryssat i det så slipper man frågan så länge programmet inte förändras.

Sidofråga: funkar Nortons program till Windows 7 också tro?

Länk till kommentar
Dela på andra webbplatser

Är lite dålig på begreppen här. Är en "vitlista" motsvarande det som Norton använder i sitt UAC program där man kan välja "kom ihåg detta val i framtiden"? Det är väl i så fall en alldeles utmärkt lösning, även utan inblandning av signaturer. Har man kryssat i det så slipper man frågan så länge programmet inte förändras.

Nja, om t.ex. Piriform Ltd. finns i vitlistan, kommer alla digitalt signerade program från dem att vara betrodda, eller vad man nu väljer att kalla det (Trusted kallas det i mitt system).

Att inte redan UAC i Vista har minne, så att jag inte varje gång jag vill starta t.ex. CCleaner måste trycka på Fortsätt är oförlåtligt klantigt, och ursäktar alla som har inaktiverat UAC!

Länk till kommentar
Dela på andra webbplatser

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa nytt...