» Comodo Internet Security

Gourmet

Цитата:

Ничего не менял в Комоде - извне отладчика перестало запускаться приложение, собранное в моём проекте. Из отладчика запускается, извне нет, и появляется запись в протоколах HIPS о блокировке. Правило для запуска приложения, как разрешенного, в настройках HIPS на месте.

Вероятно, с "точки зрения" Comodo что-то изменяется. Это не только очевидный другой родительский процесс, как написали ниже, но и например при запуске IDE явно задаётся что-нибудь вроде SET PATH и соотв-но дочерние процессы тоже будут это значение использовать, вплоть до загрузки разных динамических библиотек в приложении (как там в Qt Creator не помню, если это он конечно).

Цитата:

"Доверенное" и "разрешенное" - две большие разницы.

Это нигде не описано. Нет никаких балун хэлпов, быстрых подсказок или чего-то такого, чтобы можно было быстро настроить. Самое главное - нет режима разработка приложения, при включении которого для определенных каталогов Комод просто переставал бы на них реагировать. Совсем.

А ковыряться в логике софта с кривым дизайном нет ни желания, ни времени - оно всё уходит на свою разработку, у которой "логика" ничуть не проще этого Комода, а скорее и посложнее.

Сейчас вот он вдруг ни с того, ни с сего заблокировал запуск компоновщика - я запустил полную пересборку, и она вдруг остановилась с ошибкой. Смотрю - компоновщик был заблокирован песочницей (я её не отключил пока, отключил только HIPS) при сборке одной из библиотек, совершенно рядовой, каких в проекте несколько десятков. Запустил снова - прошло. Что это было? Где логика такой работы?

Пока что мой резюм такой - Комод не пригоден для использования на рабочей станции, где с помощью Qt/MinGW ведётся разработка сложного проекта из большого числа составных частей. Отнимает слишком много внимания для настроек и ведёт себя неадекватно.

DrakonHaSh 10:08 29-07-2015
Цитата:

сие высказывание:

Цитата: "Доверенное" и "разрешенное" - две большие разницы. То, что ты задал приложению политику "разрешенное", не снимает с него статус "неопознанное".

вызывает у меня некий забавный ступор ))) информативность хорошая, а вот интуитивность мега маловата ))

2All
Скажите пожалуйста сабж последней версии умеет резолвить днс или, как и раньше, в правилах можно прописывать только IP-адрес?

WildGoblin

Цитата:

сабж последней версии умеет резолвить днс?

Нет и чинить этот ляп они не собираются.

XenoZ

Цитата:

Нет и чинить этот ляп они не собираются.

Может было какое обсуждение на оффоруме? Ткните пожалуйста носом.

Цитата:

Таки как надо реагировать на создаваемые и/или запускаемые файлы в %temp%'е?

Если создаются или запускаются любыми программами, которые запущены из каталогов, указанных, как "разработка" - нет, конечно.


Цитата:

Хотите разрешить программам в каталоге любую активность — назначайте каталогу политику «Разрешенное» или «Системное» и исключайте из автопесочницы.

У меня именно это и сделано. Но Комод всё равно их периодически тормозит.


Цитата:

Назначаете компоновщику или (лучше) его родительскому приложению правило Auto-Sandbox:
действие: игнорировать,
опцию «не применять выбранное действие к дочерним процессам» отключить.

Так и есть. Но всё равно глючит.

Я думаю, дело в том, что компоновщик активно запускает несколько процессов, которые работают с файлами. GCC вообще любит много процессорных ядер использовать. И Комод пытается работать тоже параллельно с такими приложениями, и где-то на своих внутренних семафорах колдобится. Это распространенная ошибка в приложениях, использующих многопоточность, но не очень хорошо проработанных - какой-то тред догнал другой на миллисекунды, и попал на блокировку, таймаут вышел - бац, сработал механизм блокировки приложения.

Добавлено:

Цитата:

Купить лицензию на какой-нибудь интеллектуальный автомат — делов-то

делов - это означает что надо перепробовать все автоматы, и найти тот, который будет работать как следует

у меня лично на это времени нет

WildGoblin 16:37 30-07-2015
Цитата:

Может было какое обсуждение на оффоруме? Ткните пожалуйста носом.

Объяснение проблемы и дальше по ссылкам

Gourmet 16:53 30-07-2015
Цитата:

У меня именно это и сделано. Но Комод всё равно их периодически тормозит.

Хорошо бы увидеть вашу конфигурацию и содержимое каждого из журналов за весь период. Сумеете экспортировать?


Цитата:

Я думаю, дело в том, что компоновщик активно запускает несколько процессов, которые работают с файлами. GCC вообще любит много процессорных ядер использовать. И Комод пытается работать тоже параллельно с такими приложениями, и где-то на своих внутренних семафорах колдобится. Это распространенная ошибка в приложениях, использующих многопоточность, но не очень хорошо проработанных - какой-то тред догнал другой на миллисекунды, и попал на блокировку, таймаут вышел - бац, сработал механизм блокировки приложения.

Может, и правда?.. Но чем протестировать?

Остается приделать расширение контекстного меню по этой инструкции: https://sites.google.com/site/kibinimatik/InstallContextMenu.7z
(Бояться нечего: это примитивнейшие AutoIt-скрипты, и пункты меню легко удалить)
Скриншот правила Auto-Sandbox: https://sites.google.com/site/kibinimatik/cis8-49.png

Отключите Viruscope.

Среду разработки запускайте пунктом «Запустить без ограничений Auto-Sandbox» или «Запустить как установщик без повышения прав». Если сделаете все В ТОЧНОСТИ по инструкции, и проблема С АВТОПЕСОЧНИЦЕЙ повторится — будет аргумент к вашей версии

Цитата:

Хорошо бы увидеть вашу конфигурацию и содержимое каждого из журналов за весь период. Сумеете экспортировать?

Да некогда мне этим сейчас заниматься... Я такие вещи только во время отдыха делаю.


Цитата:

чем протестировать?

Аналогичным проектом. Глюки ведь не постоянно вылазят, на то они и глюки. Один раз полная пересборка проходит без фокусов, другой раз - бац, ошибка (или вылазит окно HIPS, если он разрешен). Запускаешь пересборку проекта снова - нет ошибки, нет окна...


Цитата:

приделать расширение контекстного меню

Сначала плз поясните - какого меню, и что это даст в результате.


Цитата:

Отключите Viruscope

Ну это вот наверно не стоит... Он вроде ничего не блокировал, а вирусы бывало обнаруживал.

Gourmet

Цитата:

Да некогда мне этим сейчас заниматься... Я такие вещи только во время отдыха делаю.

А ссылку на проект (репозиторий) который не конпеляется озвучить можно? Или у вас закрытый проект? Если закрытый, то хотя бы страницу можно взглянуть. Просто любопытно, что так сильно отнимает время

Gourmet 19:54 30-07-2015
Цитата:

Да некогда мне этим сейчас заниматься... Я такие вещи только во время отдыха делаю.

Осторожнее с такими ответами...


Цитата:

Аналогичным проектом.

Увы.


Цитата:

или вылазит окно HIPS, если он разрешен

Это еще не очень большая проблема — ответить на оповещение
Хуже с автопесочницей, изоляцию которой не предотвратить


Цитата:

Сначала плз поясните - какого меню, и что это даст в результате.

Будете запускать среду разработки и прочие программы не прямо из проводника, а через контекстное меню. В результате снимается контроль автопесочницы с этих программ и их дочерних процессов.

Пункт «Запустить как установщик без повышения прав» снимает еще и контроль ХИПСа, но наследование этих привилегий действительно часто обрывается (в отличие от исключения из автопесочницы)


Цитата:

Цитата: Отключите Viruscope

Ну это вот наверно не стоит... Он вроде ничего не блокировал, а вирусы бывало обнаруживал.

Цитата:

у вас закрытый проект

да


Цитата:

любопытно, что так сильно отнимает время

настройки Комода отнимают, а работа - есть работа

проект достаточно объемный, сейчас около 75000 строк, 38 под-проектов (динамические библиотеки), далее будет еще больше, до 100000 строк, еще много будет под-проектов


Цитата:

Будете запускать среду разработки и прочие программы не прямо из проводника, а через контекстное меню. В результате снимается контроль автопесочницы с этих программ и их дочерних процессов.

Да мне всё равно, как запускать - я её запускаю раз в неделю, после выходных. Так живет себе в гибернации постоянно.

Надо будет попробовать контекстное меню подключить. Хотя лучше всего, если бы была возможность просто в настройках указать те каталоги, для которых песочница отключается.


Цитата:

В версии CIS 7 этот Viruscope зарекомендовал себя исключительно вредным компонентом, исподтишка приводящим к непредсказуемым сбоям (и безо всякого логирования!).
Может, в CIS 8 он исправился, но уж точно я бы поостерегся включать его при ответственной работе...

У меня CIS 8. Вроде вирускоп не мешал. Опция "переносить автоматически в карантин" у меня в нём отключена. Включено "применять только к Sandbox".

Gourmet 21:15 30-07-2015
Цитата:

я её запускаю раз в неделю, после выходных. Так живет себе в гибернации постоянно.

Опа... Т.е. среда разработки запускается единожды — и уходит лишь в гибернацию?

Хм, во-первых, правила автопесочницы применяются только при старте программы. Т.е., если среда разработки запущена, и вы создаете правило, исключающее из автопесочницы ее дочерние процессы, то среду надо перезапустить (желательно и перезагрузиться — на случай висящих процессов)

Во-вторых, я не проверял, как работает наследование разрешений автопесочницы и хипса после гибернации. Может, и обрывается...


Цитата:

Включено "применять только к Sandbox".

Тогда мешать не должен

Цитата:

если среда разработки запущена, и вы создаете правило, исключающее из автопесочницы ее дочерние процессы, то среду надо перезапустить (желательно и перезагрузиться — на случай висящих процессов)

проблемы вылазили после перезагрузки и соответственно перезапуска среды, с текущими настройками Комода

Цитата:

я не проверял, как работает наследование разрешений автопесочницы и хипса после гибернации. Может, и обрывается...

если нормально сделано, то ничего не должно обрываться - если обрывается, то Комод это дырка от бублика

Gourmet 21:52 30-07-2015
Цитата:

если нормально сделано, то ничего не должно обрываться - если обрывается, то Комод это дырка от бублика

Повторю, что не знаю, обрывается ли. Но что «сделано» ненормально — гарантирую))

Не помню, какая у вас конфигурация. Если Proactive Security, то отключите опцию AutoSandbox > «Проверять происхождение файлов». Это чтобы ADS к файлам не добавлялись. Если Internet Security, то переключитесь в Proactive...
Впрочем, говорил уже: вашу конфигурацию надо сбрасывать на дефолт и настраивать заново. Уж многовато аномалий накопилось.

Цитата:

Если Internet Security, то переключитесь в Proactive...

это как?
Internet Security Premium

Цитата:

это как?

Есть раздел «Общая настройка» > «Конфигурации»
Internet Security — это дефолтная, сильно урезанная
Firewall Security — еще более урезанная
Proactive Security — наиболее полная (за исключением скрытия портов)

Переход в Proactive ваших проблем, конечно не решит (скорее, добавит)
Но для эффективной защиты первым шагом в настройке должен быть выбор этой конфигурации.

Потом:

1) главное окно > задачи > фаервол > скрытие портов > блокировать входящие

2) отключить Viruscope (или, если хотите, включить опцию «Применять Viruscope только в Sandbox»)

3) Auto-Sandbox > отключить опцию «проверять происхождение»

4) репутация > настройка > отключить опцию «доверять приложениям, установленным с помощью доверенных инсталляторов»
(Это чтобы привилегии установщика не сыграли злую шутку)

5) репутация > группы файлов > создать группы и добавить в них соответствующие пути и шаблоны:
«Среда разработки» (пути к компонентам IDE, можно тупо ко всему каталогу...),
«Каталог разработки» (пути к каталогам с создаваемыми программами),
«Временные файлы разработки» (что-то вроде «%temp%\*make????-?.bat»)

6) добавить правило HIPS > группа «Среда разработки» > политика «Системное»
(Специально для вас — выберите «Установка или обновление». Это плохой вариант, но раз уж хотите исключать все дочерние процессы... На самом деле, и «Системного» слишком много.)

7) добавить правило HIPS > группа «Каталог разработки» > политика «Разрешенное»
(Специально для вас — «Системное»)

8) добавить правило HIPS > группа «Временные файлы разработки» > политика «Системное»
(ладно, черт с ним... Автопесочница защитит, если что)

9) (Даю специально для вас. Это лишние разрешения!) Изменить правило HIPS для группы «Все приложения» > пункт «Запуск приложений» > Изменить > вкладка «Разрешенные» > добавить группы «Среда разработки» и «Каталог разработки»

10) добавить правило Auto-Sandbox:
группа: «Среда разработки»
действие: игнорировать
отключить опцию «не применять к дочерним»

11) добавить аналогичное правило Auto-Sandbox для группы «Каталог разработки»
(я бы тут включил опцию «не применять к дочерним», но для вас отключаем)


Вроде все... Сократил и упростил, как мог.

P.S. Антивирус забыл...

12) Антивирус > Исключения > добавить группы «Среда разработки» и «Каталог разработки»
можно туда же группу «Временные файлы разработки»

[more=если не поможет...]
Только на случай, если автопесочница все равно сработает для временных файлов (чего быть не должно):

13) добавить правило Auto-Sandbox:
группа «Временные файлы разработки»
действие: игнорировать
отключить опцию «не применять к дочерним»

14) чтобы закрыть образовавшуюся дыру:
изменить правила HIPS для группы «Все приложения» > пункт «Запуск приложений» > Изменить > вкладка «Заблокированные» > добавить группу «Временные файлы разработки»[/more]

Если что пойдет не так — изучайте журнал «События Защиты+» и корректруйте состав групп на вкладке «репутация» > «группы файлов»

emhanik

Цитата:

Объяснение проблемы и дальше по ссылкам

Понятно, спасибо!

P.S. Я всё альтернативу Аутпосту хочу найти, на всякий случай, но видно не судьба.

WildGoblin
Перешел давно с аутпоста на комод. Намного веселее стало.

Aleks78

Цитата:

Намного веселее стало.

Да - от отсутствия резолвинга днс уже смешно (но смех какой-то не весёлый ).

Цитата:

Потом:

а эти настройки (большинство у меня так и сделано, только с другими названиями) как-то по-разному работают в Internet Security и Proactive? как именно?

А можете подсказать, как в последней версии сабжа сделать, чтобы в контекстном меню значка в трее отображался пункт HIPS? Скрин. Установлен только Comodo Firewall 8 поверх 7-й версии через автообновление и HIPS есть в контекстном меню значка в трее. Если же ставить начисто, HIPS отсутствует. Как его добавить?

Gourmet 14:07 19-07-2015
Цитата:

нет у меня такой группы

17:34 31-07-2015
Цитата:

большинство у меня так и сделано, только с другими названиями

Взаимоисключающие параграфы


Цитата:

как-то по-разному работают в Internet Security и Proactive? как именно?

Логика работы одинакова, но предустановленные правила, наборы защищенных объектов и некоторые другие параметры отличаются
Сравнение предустановленных конфигураций: http://www.comss.ru/page.php?id=2301#config-diff

Относительно предложенной настройки — главное, что предустановленные правила автопесочницы в конфигурации Internet Security опираются на происхождение файлов, а Proactive — нет. Поэтому отключение опции «проверять происхождение» в Internet Security почти вырубает автопесочницу, а в Proactive не влияет на ее работу.

iHastr 20:19 31-07-2015
Цитата:

сделать, чтобы в контекстном меню значка в трее отображался пункт HIPS

Включить режим подробной сводки: в контекстном меню или слева вверху главного окна

Всё крайне печально Comodo не работает с Windows 10.

Globulopolis
Аналогично, обновился (принудительно) сегодня до Windows 10 c 8.1 -> "Под угрозой". Жму "Исправить", требует перезагрузки, выполняю, результат такой же...

Globulopolis Ramil85
Прежде чем обновлять на Win10, Comodo желательно удалить, (если необходимо, сохранив конфиг). Т.е, возможно, вам поможет переустановка. У меня работает без проблем.

michail10
непонятно каким образом он у вас работает если инсталятор сообщает о несовместимости с новой версией windows. И поддержка Comodo сказала, что на данный момент у них ни одна версия не поддерживает windows 10. Просили подождать несколько дней, до релиза новой версии с поддержкой win10.

Под вынь10 не работает фаервол, остальное вроде как работает. Ждем обновления...

Globulopolis
Версия - 8.2.0.4591. Скрин показать?

Цитата:

инсталятор сообщает о несовместимости с новой версией

Такое сообщение видел только в предыдущих версиях, но была возможность это обойти.

michail10 назвать это работой у меня язык не поворачивается.
Возможность обойти - это распаковать говноустановщик и установить из msi с кучей ненужного хлама.
Идем далее. Можно запустить установку с параметрами и выбрать что нужно установить, в результате установится весь тот же хлам что и при полной установке.

PS! Включен только фаервол, при загрузке запускается скан комодошного антивируса. Всё больше склоняюсь к тому чтобы выкинуть этот хлам под названием "фаервол".