» Comodo Internet Security

XenoZ

Цитата:

Ну, извращаться можно долго...

Хм, не понял? Считаете, что злоумышленник воздержится от использования каталогов с точками, потому что это извращение?)


Цитата:

подойдет такой шаблон: *.*.js

Слишком жестко: запрещать точки в именах, причем не только скриптов, но и каталогов на пути.
Поэтому мой вариант — запрещать только 5 и более точек.


Цитата:

Хотя, это уже больше вопрос к программерам Комода

Думаю, багрепорт будет не лишним...

emhanik

Цитата:

Хм, не понял?

Извращением я обозвал наши действия, так как кол-во комбинаций может быть достаточно большим, а подбирать на каждую шаблон - неблагодарное занятие.
Твое предложение тоже не без огрехов: а если точек будет только 2 (обычное двойное расширение)?
Посему и предложил переложить эту проблему на авторов косяка: программеров Комода.

XenoZ
Цитата:

а если точек будет только 2 (обычное двойное расширение)?

Опасная длина — 130, а я блокирую, начиная со 126. Причем делаю это с учетом возможных точек между символами


Цитата:

Посему и предложил переложить эту проблему на авторов косяка: программеров Комода.

Баг-репорт про длинные пути скриптов я сделал.
Проблема шаблонов куда менее критична, но тоже надо будет писать.

Однако, как минимум, до финала CIS8 придется извращаться

emhanik
Цитата:

Баг-репорт про длинные пути скриптов я сделал.

Видел, молодец.
(вот только будет ли толк?..)

Кстати, по шаблонам... TC при вводе такого шаблона поиска:

Код: *????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????.js

Цитата:

Стандартно, разделитель (точка) ищется слева направо, до первого встреченного, если не изменяет память.

В идеологии операционных систем есть понятие "базового имени" файла, это имя слева до крайней левой точки, но есть понятие "полного базового имени", это имя слева до крайней правой точки. Есть две соответствующие функции в API, например, baseName() и completeBaseName(). Количество точек между крайней левой и крайней правой не имеет значения. В *NIX "именем" считается "базовое имя", а всё, что правее первой точки - "модификаторы", не имеющие на самом деле принципиального смысла, только информативный (тип файла определяется иначе). В W* именем является наоборот, "полное базовое", а то, что после последней точки - модификатор типа, являющийся принципиальным, по нему определяется CLASSID по соответствующей записи в реестре. COMODO в W*, очевидно, следует правилам W*. То есть, для него "имя файла" это "полное базовое имя".

Gourmet
Цитата:

Количество точек между крайней левой и крайней правой не имеет значения

Этого предложения не понял.

Цитата:

COMODO в W*, очевидно, следует правилам W*

Согласно этим правилам — соответствует ли файл «D:\a.b.c.d» шаблону «D:\a.???.d»?

Добавлено:
All
Я уже напоролся на проблемы с браузером из-за своих блокировок. Думаю, от блокировки JS лучше отказаться или, по крайней мере, блокировать только на съемных носителях и т.п.

Gourmet
Ну да, наверное. (давно не кодил, позабыл уже все... )

emhanik

Цитата:

Этого предложения не понял.

Пример: aaa.bbb.ccc.ddd.eee.fff
1. базовое имя: aaa.bbb.ccc.ddd.eee.fff, т.е. до первой точки слева. Остальные точки правее не имеют значения.
2. полное базовое имя: aaa.bbb.ccc.ddd.eee.fff, т.е. до первой точки справа (до крайней правой точки). Остальные точки левее не имеют значения.

Цитата:

соответствует ли файл «D:\a.b.c.d» шаблону «D:\a.???.d»?

Соответствует, но у Комода тут косяк.

XenoZ
Цитата:

1. базовое имя: aaa.bbb.ccc.ddd.eee.fff, т.е. до первой точки слева.

Цитата:

2. полное базовое имя: aaa.bbb.ccc.ddd.eee.fff, т.е. до первой точки справа (до крайней правой точки).

Эти моменты я понял. Неясной была другая формулировка: «Количество точек между крайней левой и крайней правой не имеет значения». Т.е. «не имеет значения» — для чего конкретно? Скажем, для определения длины имени значение имеет. Но теперь из контекста понял.


Цитата:

Соответствует, но у Комода тут косяк

Я о том же. Собственно, вопросом на это и намекал Gourmet'у

Цитата:

COMODO в W*, очевидно, следует правилам W*
Согласно этим правилам — соответствует ли файл «D:\a.b.c.d» шаблону «D:\a.???.d»?

Правила определения что есть имя, а что есть суффикс, и правила обработки wildcard - это разные правила. Они в разное время применяются.


Цитата:

«не имеет значения» — для чего конкретно?

Для определения имени файла. Но не для определения соответствия последовательности символов заданному шаблону. По идее, алгоритмы обработки шаблонов ничего не должны знать про имена файлов.

Но тут, похоже, разработчики Комода перестарались... Видимо из-за непродуманной поддержки мультплатформенности. А может, просто использовали библиотеку обработки шаблонов, которая не слишком грамотно написана.

Подскажите Sandbox of Comodo в Internet Security
Те браузеры что встроены по дефолту запускаются в Sandbox они при выходе чистят куки и все что осталось от серфинга в сети ?

REX
Нет, все это остается в песочнице и доступно только из песочницы. Для очистки песочницы в задачах Комода есть кнопка "Очистка Sandbox". Можно вывести на панель быстрого доступа.

Цитата:

"Очистка Sandbox"

чот не нашел ! Подскажешь ?



Вот что нашел !

Кроме того, если вы предпочитаете не получать сообщения от Центра сообщений Comodo, вы можете это отключить, перейдя к окну задач CIS. Затем перейдите в раздел Расширенные задачи (Advanced Tasks) и щелкните Расширенные настройки (Advanced Settings). Затем убедившись, что ниспадающее меню Общие настройки (General Settings) развёрнуто, щелкните Интерфейс (User Interface). Затем отключите опцию Показывать извещения от Центра сообщений COMODO (Show messages from COMODO Message Center). Эти сообщения не имеют отношения к защите вашего компьютера и, если желаете, можете без опасений это отключить. Пока работаете с этим диалогом, вы, при желании, можете решить заодно отключить и звуки, которые CIS воспроизводит, когда показывает оповещения. Когда закончите, нажмите OK, чтобы сохранить ваши изменения и закрыть окно.

Подскажите пожалуйста!
Сильно ли я снизил эффективность CIS отключив HIPS, Sandbox и Viruscope?
Включены только Антивирус и Фаервол.
Заранее благодарен.

Добавлено:

Цитата:

чот не нашел ! Подскажешь ?

На главной панели в правом верхнем углу "Задачи", затем "Задачи Sandbox", нижняя кнопка "Очистка Sandbox", правой кнопкой мыши по ней - "Добавить в панель задач"

Цитата:

Сильно ли я снизил эффективность CIS отключив HIPS, Sandbox и Viruscope?

Конечно сильно вы же отключили одни из важных компонентов защиты. Позвольте поинтересоваться за чем вам это?

Цитата:

Позвольте поинтересоваться за чем вам это

На сколько помню, HIPS отключен при установке по умолчанию, а вот Sandbox отключил самостоятельно, т.к. он практически все программы блокировал неизвестные, я иной раз не сразу и понимал почему что-то не запускается, пока в CIS не заглядывал.
Просто не очень люблю в настройках лазить, нравятся простые программы без регистрации и доп настроек, поставил и пользуешься.

RUSLAN_IRON

Цитата:

На сколько помню, HIPS отключен при установке по умолчанию

Разве? Вроде просто включен режим с настройками, минимизирующими участие пользователя.

Skif_off
по умолчанию выключен.
RUSLAN_IRON
имейте ввиду что при отключенном хипс самозащиты у комодо нет.

Цитата:

имейте ввиду что при отключенном хипс самозащиты у комодо нет.

Спасибо!
Включил HIPS и Sandbox, буду наблюдать.

HIPS по умолчанию отключен в конфигурации Internet Security. Данная конфигурация не рекомендуется к использованию, т.к. имеет определенные уязвимости. Все это обсуждалось уже не один раз.

Вообще-то любая конфигурация требует того или иного допиливания
Кстати об уязвимостях. Нашел другой способ защиты от скриптов: ограничивать интерпретаторы. Неожиданно обнаружил, что ограничения для интерпретаторов (именно в HIPS) не накладываются на выполняемые ими скрипты (с короткими именами). А если скрипт выпадает из поля зрения анализа командной строки — он будет выполняться ограниченно.
Это же с небольшими оговорками касается Java-приложений
Не решенной остается только защита от MSI. Вроде бы

Оказалось, я жэстачайшэ облажался со своей блокировкой ярлыков на съемных носителях: CIS игнорирует запреты для флешек.

У кого-нибудь есть идеи, как запретить запуск ярлыков с флешек? Желательно без стороннего софта, только средствами CIS или системными.

Я пока вижу один вариант: системные «Политики ограниченного использования программ» (в «Локальной политике безопасности»). Но там новая подстава: теперь уже шаблон «*» не соответствует слешу... Т.е. придется делать по отдельному правилу для каждого уровня вложенности: «X:\*.lnk», «X:\*\*.lnk» и т.д.

Может, есть способы получше?

Бардак в Comodo. Если на этой странице под надписью Comodo Firewall кликнуть кнопку Free Download, скачается файл cfw_installer_6123_7f.exe. Если нажать на надпись или на ссылку More Info попадём на эту страницу, где из-под кнопки Free Firewall Download скачается файл cfw_installer_6106_53.exe. Файлы идентичны.

Цитата:

У кого-нибудь есть идеи, как запретить запуск ярлыков с флешек? Желательно без стороннего софта, только средствами CIS или системными.

emhanik

Давай средствами CIS...
HIPS->Защищенные объекты->Заблокированные файлы
Туда вписывай "имя диска флешки":\*.lnk
И все, ярлыки с флешки запускаться не будут - не из корня, ни из папок/подпапок.
Даже скопировать ярлык никуда невозможно - CIS блокирует все операции с ними.
Или я чего-то недопонял?

kaijosta
Цитата:

Или я чего-то недопонял?

Сделайте, вставьте флешку — поймете.

Цитата:

Сделайте, вставьте флешку — поймете.

Флешку вставил, ярлык для исполняемого файла создал.
Что еще сделать надо?

Цитата:

Что еще сделать надо?

Выводы.
Что блокировки CIS для внешних носителей не работают.

Между прочим, страшилка на ночь))

comrades, напомните, пожалуйста, порядок обработки правил проактивки, находится только для фаера.
Ситуация: есть группа, для которой созданы правила, но одному исполняемому файлу нужно разрешить доступ к еще одному COM-интерфейсу и я вдруг растерялся: поставить правило выше группы или ниже?

Skif_off
Файлу — выше. Причем можно ничего другого не задавать этому файлу (все пункты оставить в «Спросить»), только поместить нужный COM-интерфейс в список разрешенных. А ниже — набор правил для группы.
Правила просматриваются сверху вниз

После установки фаерволла на ноут с UEFI доблестный комодо наглухо повесил ноут на уровне "биоса". В результате ноут стал вообще неработоспособным. Проблема была у многих, так что будьте осторожны. http://habrahabr.ru/post/238817/

Comodo скоро переименуют в Квазимодо

7-ка меня разочаровала. Кроме тормозного интерфейса и глюков (например, попробуйте создать папку при экспорте конфигурации - создаётся, но в интерфейсе её не видно), виснущего компьютера при выключении, если снять галку (а её хотелось бы снять)...

Вопрос у меня такой. Система Win7x64 . Какие правила прописать для Process Explorer, чтобы не записывалась постоянно ошибка в журнал о доступе к памяти процесса %TEMP%\procexp64.exe? Где-то на форуме давно встречал, но уже не помню...