Jak zapisovat do HKLM i HKCU?
Otázka od: Miroslav Novosad
19. 7. 2004 21:56
Ahoj,
potrebuju neco zapsat do HKLM a neco do HKCU. Kdyz ale spustim program
jako uzivatel, tak do HKLM nelze a kdyz ho spusim jako nekdo, kdo tam
muze, tak zase pisu do jine HKCU.
Jak se to resi? Muzu to spustit na dvakrat, ale to se mi moc nelibi...
Miroslav Novosad
mnprokonf@guick.cz
Odpovedá: Petr Zahradnik
19. 7. 2004 22:03
Puvodni zprava ze dne 19.7.2004:
> potrebuju neco zapsat do HKLM a neco do HKCU. Kdyz ale spustim program
> jako uzivatel, tak do HKLM nelze a kdyz ho spusim jako nekdo, kdo tam
> muze, tak zase pisu do jine HKCU.
> Jak se to resi? Muzu to spustit na dvakrat, ale to se mi moc nelibi...
No tohle je zcela normalni chovani. Doporucil bych vsem vyvojarum,
kteri pisi programy, aby se v prvni rade dukladne seznamili s
operacnim systemem, pro ktery pisi programy.
Do HKLM muze zapisovat administrator, coz je logicke. Administrator
muze zapisovat i do uzivatelu. Ale samozrejme HKCU ma svuj, program
netusi, do ktereho uzivatele to chces zapsat, to bys mu musel rict a
najit prislusnou vetev...
Uzivatel muze zapisovat jen do sveho HKCU, coz je take logicke.
Kratce receno - instalacni program musi byt spusten pod
administratorem a mel by zapisovat do HKLM. Program jako takovy by mel
zapisovat do HKCU, aby to mel kazdy uzivatel jinak nastavene.
Pochopitelne lze administratorem povolit zapis uzivatelu do jakekoliv
sekce, ale to je cunarna, za kterou ti bude jiny administrator, kam
prodas svuj soft, neskonale vdecny 
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Miroslav Novosad
19. 7. 2004 22:43
From: "Petr Zahradnik" <clexpert@clexpert.cz>
> Pochopitelne lze administratorem povolit zapis uzivatelu do jakekoliv
> sekce, ale to je cunarna, za kterou ti bude jiny administrator, kam
> prodas svuj soft, neskonale vdecny
Rozumim a souhlasim se vsim, co pises.
Ale neni to na prodej, je to jen pro me a zajima me to vicemene
teoreticky, jestli neni treba neco jako Reg.OpenKeyAs (...), protoze
bych rekl, ze spustit program jednou jako Admin a podruhe jako User asi
nebude standardni postup.
M. Novosad
Odpovedá: Petr Zahradnik
19. 7. 2004 22:43
Puvodni zprava ze dne 19.7.2004:
> Rozumim a souhlasim se vsim, co pises.
> Ale neni to na prodej, je to jen pro me a zajima me to vicemene
> teoreticky, jestli neni treba neco jako Reg.OpenKeyAs (...), protoze
> bych rekl, ze spustit program jednou jako Admin a podruhe jako User asi
> nebude standardni postup.
No vsechny uzivatele mas preci v HKEY_USERS.
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Miroslav Novosad
19. 7. 2004 22:41
From: "Petr Zahradnik" <clexpert@clexpert.cz>
> No vsechny uzivatele mas preci v HKEY_USERS.
Jasne, ale jak obecne poznat, ktere to hausnumero je zrovna ten
uzivatel, co chci. Zapsat preventivne do vsech?
U sebe bych si to mohl dat natvrdo, ale co na jinem pocitaci, kde bych
to chtel pouzit?
M. Novosad
Odpovedá: Petr Zahradnik
19. 7. 2004 23:03
Puvodni zprava ze dne 19.7.2004:
> Jasne, ale jak obecne poznat, ktere to hausnumero je zrovna ten
> uzivatel, co chci. Zapsat preventivne do vsech?
> U sebe bych si to mohl dat natvrdo, ale co na jinem pocitaci, kde bych
> to chtel pouzit?
No to uz musis projit sam, kde tam ten nazev uzivatele je, ja to
takhle z hlavy vazne nevim
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Miroslav Novosad
19. 7. 2004 23:12
From: "Petr Zahradnik" <clexpert@clexpert.cz>
>
> No to uz musis projit sam, kde tam ten nazev uzivatele je, ja to
> takhle z hlavy vazne nevim
A jsme opet na zacatku. Ja jsem tam prave nejake jmeno nenasel, proto
jsem se ptal. Je ale mozne, ze jsem blbe hledal 
M. Novosad
Odpovedá: Miroslav Novosad
20. 7. 2004 0:03
From: "Miroslav Novosad" <mnprokonf@quick.cz>
> Je ale mozne, ze jsem blbe hledal
Jo, je to tak.
Myslim, ze
[HKEY_USERS\S-"hausnumero"\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\Logon User Name] by mohlo stacit.
M. Novosad
PS: Ale predtim to tam vazne nebylo...
Odpovedá: Ludek ZITA
20. 7. 2004 0:30
Behalf Of Petr Zahradnik
> > potrebuju neco zapsat do HKLM a neco do HKCU. Kdyz ale
> spustim program
.......
> No tohle je zcela normalni chovani. Doporucil bych vsem
> vyvojarum, kteri pisi programy, aby se v prvni rade dukladne
> seznamili s operacnim systemem, pro ktery pisi programy.
......
Ahoj.
Jasny souhlas, ale kdyz uz to tady je, jak resite pripad kdy (a ja bych
to opravdu nekdy potreboval) je potreba do registru zapsat pri behu pod
uzivatelem tak aby si to mohli precist i ostatni uzivatele.
Do HKLM nesmim.
Do HKCU zase neuvidi jiny uzivatel.
Mozna by otazka mohla byt resenim :
"Jak nastavit pri instalaci prava na
nejaky klic HKLM aby do nej pak mohl psat kazdy user"
Ludek
Odpovedá: MRA
20. 7. 2004 9:43
No za tohle bych ti byl jako admin firmy, ktera by si koupila tvuj program,
opravdu, ale opravdu neskonale vdecny.... 
Muzes mi rict nejaky konkretni duvod, pro ktery by tato moznost byla
zapotrebi???
Mira
> -----Original Message-----
> From: delphi-l-owner@clexpert.cz
> [mailto:delphi-l-owner@clexpert.cz] On Behalf Of Ludek ZITA
>
> Mozna by otazka mohla byt resenim :
"Jak nastavit pri
> instalaci prava na nejaky klic HKLM aby do nej pak mohl psat
> kazdy user"
Odpovedá: Miroslav Novosad
20. 7. 2004 10:24
From: "MRA" <ondrisek@seznam.cz>
> > Mozna by otazka mohla byt resenim :
"Jak nastavit pri
> > instalaci prava na nejaky klic HKLM aby do nej pak mohl psat
> > kazdy user"
> No za tohle bych ti byl jako admin firmy, ktera by si koupila tvuj
program,
> opravdu, ale opravdu neskonale vdecny....
Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky program
zapisoval spolecna nastaveni do nejakeho .INI souboru v adresari
Windows, tak Ti to (predpokladam) divne neprijde, protoze to programy
normalne delaji, ale kdyz si bude chtit tytez spolecne veci ulozit nekam
do HKLM, tak je to spatne?
> Muzes mi rict nejaky konkretni duvod, pro ktery by tato moznost byla
> zapotrebi???
Muzes mi rict nejaky konkretni duvod, proc je to tak spatne?
M. Novosad
Odpovedá: Pavel Zichovsky
20. 7. 2004 10:45
Zdravim,
On 20 Jul 2004 at 11:04, Miroslav Novosad wrote:
> > No za tohle bych ti byl jako admin firmy, ktera by si koupila tvuj
> program,
> > opravdu, ale opravdu neskonale vdecny....
>
> Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky program
> zapisoval spolecna nastaveni do nejakeho .INI souboru v adresari
> Windows, tak Ti to (predpokladam) divne neprijde, protoze to programy
> normalne delaji, ale kdyz si bude chtit tytez spolecne veci ulozit nekam
> do HKLM, tak je to spatne?
Ano, je to spatne, a dokonce i to .ini v adrseari windows 
Jde proste o
bezpecnost.
Obycejny uzivatel nema co zapisovat do HKLM, stejne tak nema co zapisovat do
windows adresare, a v podstate obycejny uzivatel vubec nema co instalovat
nejaky
novy SW.
To, ze to tak slo na win9x neni pro tvurce programu omluva. Uz vic jak 4 roky
zde
jsou windows, kde to takhle proste byt nema, a vsichni meli dost casu se
prizupusobit.
Instalaci jakehokoliv SW by mela delat osoba p(r)overena, ktera samozrejme k
tomu
bude mit dostatecna prava. Uzivatele pak program pouzivaji, ale svoji
konfiguraci
(vychozi klidne muzou nacist z HKLM) si programy ukladaji do HKCU (a v pripade
..ini nejlepe do "application data" adresare v profilu uzivatele).
Nasazeni software, ktery toto nerespektuje, a vyzaduje nadstandardni prava pro
"obycejne" uzivatele bych z bezpecnostnich duodu velmi zvazoval.
S pozdravem
Pavel Zichovsky (zichovsky@trul.cz)
Odpovedá: Jerry
20. 7. 2004 11:24
Zdravim vespolek,
mohl bys zapsat nejake prednastavene hodnoty do nejakeho externiho
konfiguracniho souboru a pokud bys v HKCU nenasel odpovidajici klic,
tak az tehdy bys mohl v HKCU klic vytvorit a nahrat do nej defaultni
hodnoty. Pokud mas nejake zavisle parametry podle stroje , tak bys to mohl
resit jako prametry prikazove radky programu nebo aby pri adminovske
instalaci byl zapsat klic do HKLM a z programu pristupoval pouze pro cteni.
Modifikace od kazdeho usera neni zapotrebi a v 90% pripadu neni i zadouci.
Jaroslav Vorlicek
----- Original Message -----
From: "Miroslav Novosad" <mnprokonf@quick.cz>
To: <delphi-l@clexpert.cz>
Sent: Tuesday, July 20, 2004 11:04 AM
Subject: Re: Jak zapisovat do HKLM i HKCU?
> From: "MRA" <ondrisek@seznam.cz>
> > > Mozna by otazka mohla byt resenim :
"Jak nastavit pri
> > > instalaci prava na nejaky klic HKLM aby do nej pak mohl psat
> > > kazdy user"
>
> > No za tohle bych ti byl jako admin firmy, ktera by si koupila tvuj
> program,
> > opravdu, ale opravdu neskonale vdecny....
>
> Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky program
> zapisoval spolecna nastaveni do nejakeho .INI souboru v adresari
> Windows, tak Ti to (predpokladam) divne neprijde, protoze to programy
> normalne delaji, ale kdyz si bude chtit tytez spolecne veci ulozit nekam
> do HKLM, tak je to spatne?
>
> > Muzes mi rict nejaky konkretni duvod, pro ktery by tato moznost byla
> > zapotrebi???
>
> Muzes mi rict nejaky konkretni duvod, proc je to tak spatne?
>
>
> M. Novosad
>
>
>
>
>
Odpovedá: Petr Zahradnik
20. 7. 2004 11:14
Puvodni zprava ze dne 20.7.2004:
> Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky program
> zapisoval spolecna nastaveni do nejakeho .INI souboru v adresari
> Windows, tak Ti to (predpokladam) divne neprijde, protoze to programy
> normalne delaji, ale kdyz si bude chtit tytez spolecne veci ulozit nekam
> do HKLM, tak je to spatne?
Me by to rozhodne divne prislo. Jak uz jsem napsal jednou, doporucuji
Ti, aby sis nastudoval vlastnosti operacniho systemu, pro ktery
vyvijis.
> Muzes mi rict nejaky konkretni duvod, proc je to tak spatne?
No kdyby sis to nastudoval, hned bys to vedel. Zadny uzivatel si nema
co zapisovat do HKLM, ani instalovat nove programy, ani co nastavovat
jinym uzivatelum apod. Od toho je administrator.
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Mira
20. 7. 2004 12:27
Zdar,
Certim se prave proto, ze se s takhle hloupe napsanymi programy (a nikoliv z
dob W9x, ale z dnesnich) jako administrator potykam docela casto. Duvody uz
ti napsali jak Pavel Zichovsky, tak Petr Zahradnik - oba ty maily bych
klidne podepsal, k tomu uz neni co dodat (diky panove...)
BTW - Spolecny zapis do INI je sice trochu nevhodny, ale je v nekterych
pripadech oduvodnitelny a hlavne: Neni to bezpecnostni dira (teda pokud tam
nepises personalne citlive veci, hesla a podobne, ktere si pak ostatni useri
PC mohou z INI klidne cist...)
To Jerry: Ta vychozi konfigurace se klidne pri instalaci (pro Miru Novosada:
POD ADMIN UCTEM!) muze zapsat do HKLM a odsud pri prvnim spusteni v urcitem
user profilu automaticky nakopirovat do HKCU. Takhle to dela veskery soft,
ktery jaksi pocita s tim, ze uzivatele jiz pracuji i pod bezpecnejsimi
systemy, nez jsou WinPlaystation
M.
> -----Original Message-----
> From: delphi-l-owner@clexpert.cz
> [mailto:delphi-l-owner@clexpert.cz] On Behalf Of Miroslav Novosad
> Sent: Tuesday, July 20, 2004 11:04 AM
>
> Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky
> program zapisoval spolecna nastaveni do nejakeho .INI souboru
>
> Muzes mi rict nejaky konkretni duvod, proc je to tak spatne?
Odpovedá: Miroslav Novosad
20. 7. 2004 12:06
From: "Petr Zahradnik" <clexpert@clexpert.cz>
> Me by to rozhodne divne prislo. Jak uz jsem napsal jednou, doporucuji
> Ti, aby sis nastudoval vlastnosti operacniho systemu, pro ktery
> vyvijis.
Opravdu nevidim duvod, proc treba konkretne ja, kdyz si obcas neco
napisu, abych "to" nemusel delat rucne, mel do detailu studovat OS.
Netusil jsem, ze programovani pro vlastni potrebu je hrich
A taky jsem si myslel, ze konference je tu, abych se pripadne mohl
zeptat a poucit se. Inu, spletl jsem se, to se stane.
> No kdyby sis to nastudoval, hned bys to vedel. Zadny uzivatel si nema
> co zapisovat do HKLM, ani instalovat nove programy, ani co nastavovat
> jinym uzivatelum apod. Od toho je administrator.
Jasne, ono je pohodlnejsi kazdou kravinu nastavovat pro kazdeho
uzivatele zvlast, protoze "tak je to spravne".
Jinak se omlouvam za nedostatecnou odbornost dotazu.
Do pravidel konference by se mohlo pripsat, ze podminkou dotazovani se v
konferenci je prostudovani Windows Resource Kit, Win32 SDK a pro jistotu
i MSDN.
M. Novosad
PS: Neni nad to dostat konkretni odpoved.
Odpovedá: Petr Zahradnik
20. 7. 2004 12:29
Puvodni zprava ze dne 20.7.2004:
> Opravdu nevidim duvod, proc treba konkretne ja, kdyz si obcas neco
> napisu, abych "to" nemusel delat rucne, mel do detailu studovat OS.
> Netusil jsem, ze programovani pro vlastni potrebu je hrich
> A taky jsem si myslel, ze konference je tu, abych se pripadne mohl
> zeptat a poucit se. Inu, spletl jsem se, to se stane.
No vsak ses zeptal a dostal jsi odpoved. Ano, mel by ses poucit, ale
evidentne delas vsechno pro to, aby ses poucit nemusel. Co cekas od
uzivatelu konference, kteri umeji programovat? Ze te budou poucovat
prasarnama?
> Jasne, ono je pohodlnejsi kazdou kravinu nastavovat pro kazdeho
> uzivatele zvlast, protoze "tak je to spravne".
Kdyz si to delas pro sebe, tak si to zkopiruj v registru nebo si
nastav prava HKLM pro me za me. Nebo si to nastaveni napis primo do
programu, to mas nejlepsi, nebudes muset dokonce ani vedet, ze ve
Windows existuje vubec nejaky registr.
> Jinak se omlouvam za nedostatecnou odbornost dotazu.
> Do pravidel konference by se mohlo pripsat, ze podminkou dotazovani se v
> konferenci je prostudovani Windows Resource Kit, Win32 SDK a pro jistotu
> i MSDN.
Ty misto abys byl vdecny, ze ti zadarmo v konferenci vubec nekdo neco
poradi, a ze te nasmeruje, co by sis mel nastudovat, a jak se to
opravdu dela, tak jsi jeste impertinentni. Pak se ovsem nediv, az se
priste budes na neco ptat, kdyz se na tebe kazdy vybodne...
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Mira
20. 7. 2004 12:36
> -----Original Message-----
> From: delphi-l-owner@clexpert.cz
> [mailto:delphi-l-owner@clexpert.cz] On Behalf Of Miroslav Novosad
>
> Opravdu nevidim duvod, proc treba konkretne ja, kdyz si obcas
> neco napisu, abych "to" nemusel delat rucne, mel do detailu
> studovat OS.
Proc do detailu? Jen do tech, ktere Te zajimaji... Takhle to dela absolutni
vetsina lidi, kazdy zna tu cast, ktera je ve stredu jeho zajmu... Nekdo vic,
nekdo mene...
> Netusil jsem, ze programovani pro vlastni potrebu je hrich
> A taky jsem si myslel, ze konference je tu, abych se pripadne
> mohl zeptat a poucit se. Inu, spletl jsem se, to se stane.
Z Tveho dotazu nevyplynulo, ze program je JEN pro Tebe - pak nechapu, proc
resis ruzne usery... Nebo jim vsem (vsem tvym alter ego) dej admin prava a
mas pokoj a nemusis studovat nic...
> Jasne, ono je pohodlnejsi kazdou kravinu nastavovat pro
> kazdeho uzivatele zvlast, protoze "tak je to spravne".
Proc pro kazdeho uzivatele?? Kazdy dostane default sadu, kterou si pri
prvnim spusteni stahne z HKLM a chova-li se uzivatel jinak, bude modifikovan
pouze jeho registr (a nikoliv spolecna cast pro vsechny). Pokud uzivatele
vubec modifikovat chovani programu nepotrebuji, staci vetev v HKLM, protoze
cist z ni mohou bez omezeni vsichni...
> Jinak se omlouvam za nedostatecnou odbornost dotazu.
> Do pravidel konference by se mohlo pripsat, ze podminkou
> dotazovani se v konferenci je prostudovani Windows Resource
> Kit, Win32 SDK a pro jistotu i MSDN.
Proc (a zac) ta jizlivost??? Za to, ze nekdo venoval svuj (ne levny) cas
Tvemu dotazu a odpovedel ti podle sveho nejlepsiho svedomi a vedomosti???
To, ze se Ti odpoved nelibi, je bohuzel uz jenom Tvuj problem... Nikdo Ti
nebrani nastudovat si problem v literature, nakonec ji sam citujes, tak ji
asi znas... Vetsina lidi to tu tak dela... Podminkou pro dotaz studium
odbornych textu jiste neni, slusnosti vsak ano (s ohledem na cas ostatnich),
abys vedel, na co se vlastne ptas (a jestli ma vubec smysl se ptat...).
Mira
Odpovedá: Ludek Finstrle
20. 7. 2004 13:21
Dobry den vsem vespolek
> > Proc se tak certis, kdyz vubec nevis duvod? Kdyby si nejaky program
> > zapisoval spolecna nastaveni do nejakeho .INI souboru v adresari
> > Windows, tak Ti to (predpokladam) divne neprijde, protoze to programy
> > normalne delaji, ale kdyz si bude chtit tytez spolecne veci ulozit nekam
> > do HKLM, tak je to spatne?
>
> Me by to rozhodne divne prislo. Jak uz jsem napsal jednou, doporucuji
> Ti, aby sis nastudoval vlastnosti operacniho systemu, pro ktery
> vyvijis.
Ehm, ehm, je to tak skvela rada? Jestli ano, tak v podstate by se dalo
do konference dat automaticke odpovidadlo, ktere by napsalo, at si
uzivatel nastuduje vlastnosti Delphi pripadne pouzije nejaky vyhledavac.
Je mi jasne, ze tobe to jasne je, ale zacatecnikovi to jasne byt
vubec nemusi.
Myslim, ze takovato odpoved je celkem o nicem a zadna by byla lepsi.
Ted uz si z hlavy nepamatuji, zda byla rada zpristupnit cele HKLM ci
jen podstrom aplikace.
Zkusil bych to shrnout:
1) do HKLM by mel mit zapis jen Admin (pokud on sam se nerozhodne jinak)
tzn. software by si to nemel vynucovat.
2) "normalni" uzivatel by nemel mit sanci menit jakekoli nastaveni ostatnim
uzivatelum. Ted se nebavime o tom, ze nejaky admin bude chtit predelegovat
moznost nekomu toto pravo dat.
3) v ramci bezpecnosti a vubec dalsich veci bych rekl, ze je nezadouci,
aby uzivatel mel pravo zapisu do %SYSTEMROOT%u, tudiz tim, ze mu
povolis zapis do HKLM mu to povolujes a on muze HKLM zaplnit nic
nerikajicimi informacemi a Admin pak stravi dlouhe chvile hledanim,
proc ze ten HKLM tak moc velikostne narostl a tudiz treba neslo neco
dalsiho nainstalovat
4) idealni je, ze veskera konfigurace je v HKCU s tim, ze pokud tam
dana vec neni, program se koukne do HKLM (pripadne si ji pak do HKCU
zapise).
Kazdy, kdo napise aplikaci, ktera toto nepodporuje je "prase".
BTW ono toto neplati jen o registrech, ale celkem obecne.
Luf
P.S. Uz jsem take zazil spoustu aplikaci, ktere chteji z HKLM jen cist,
ale k tomu pouzivaji pravo na otevreni klice s full accessem :o/
Odpovedá: Petr Zahradnik
20. 7. 2004 13:29
Puvodni zprava ze dne 20.7.2004:
> Ehm, ehm, je to tak skvela rada? Jestli ano, tak v podstate by se dalo
> do konference dat automaticke odpovidadlo, ktere by napsalo, at si
> uzivatel nastuduje vlastnosti Delphi pripadne pouzije nejaky vyhledavac.
> Je mi jasne, ze tobe to jasne je, ale zacatecnikovi to jasne byt
> vubec nemusi.
No a ty ctes jen kazdy paty prispevek nebo co? Prosim precti si,
jestli ciste nahodou jsem to nevysvetloval, kam kdo ma pristup.
> Kazdy, kdo napise aplikaci, ktera toto nepodporuje je "prase".
S tim se da souhlasit
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Mira
20. 7. 2004 14:47
No a ted jsi jen vlastne shrnul prvni tri odpovedi (vcetne onoho prasete, i
kdyz jsem to tak myslim neformuloval ), ktere na danou otazku byly
zaslany (Pavlova, Petrova a moje). Ty ostatni nase maily (na ktere reagujes)
uz byly jen reakce na tazatelovu podrazdenost, ze mu nikdo neporadil, jak
zmenit prava v HKLM na ne-admin usera
Mira
> -----Original Message-----
> From: delphi-l-owner@clexpert.cz
> [mailto:delphi-l-owner@clexpert.cz] On Behalf Of Ludek Finstrle
>
> Ehm, ehm, je to tak skvela rada? Jestli ano, tak v podstate
> by se dalo do konference dat automaticke odpovidadlo, ktere
> by napsalo, at si uzivatel nastuduje vlastnosti Delphi
> pripadne pouzije nejaky vyhledavac.
> Je mi jasne, ze tobe to jasne je, ale zacatecnikovi to jasne
> byt vubec nemusi.
Odpovedá: Ludek ZITA
21. 7. 2004 10:43
Behalf Of MRA
> No za tohle bych ti byl jako admin firmy, ktera by si koupila
> tvuj program, opravdu, ale opravdu neskonale vdecny....
> Muzes mi rict nejaky konkretni duvod, pro ktery by tato
> moznost byla zapotrebi??? Mira
Ahoj.
1) Mozna by stacilo abys cetl dotaz cely, ptal jsem se totiz, zda neni
jine misto nez HKLM (tam jako user nesmim) a (HKCU tam zase neuvidi
jiny uzivatel) a pak teprve nasledovalo
"Mozna by otazka mohla byt
resenim ...."
Proc to pisu - protoze jsem na to uz x-krat narazil a ruzne obchazel
(vetsinou pres INI nekde kam muzou vsichni useri) Napriklad u programu,
ktery nejak zpracovava soubor a odesila jej s nejakym cislem reportu
mailem. Pak totiz potrebuji vedet posledni cislo reportu, at to byl
kterykoliv user.
Dal se zeptam proc jses presvedcenej, ze povoleni zapisu vsemi usery do
klice HKLM/Software/ludek/plmail/common/last_report (samozrejme, ze
nikam jinam), ktere provede instalacni program (samozrejme spusteny
adminem pri instalaci) bude zavaznou bezpecnostni dirou.
PS. Jen pro zajimavost - podivej se jak se nainstaluje predinstalovane
W2k z image podle originalniho postupu a mrkni jak je po tyhle instalaci
nastavenej system NTFS a jaky jsou tam prava do adresaru. Mozna budes
hodne prekvapenej (vetsina notebooku).
Ludek
Odpovedá: Ludek ZITA
22. 7. 2004 11:56
On Behalf Of Pavel Zichovsky
> Jde proste o bezpecnost. Obycejny uzivatel nema co zapisovat
> do HKLM, stejne tak nema co zapisovat do windows adresare, a
> v podstate obycejny uzivatel vubec nema co instalovat nejaky novy SW.
>
> To, ze to tak slo na win9x neni pro tvurce programu omluva.
> Uz vic jak 4 roky zde jsou windows, kde to takhle proste byt
> nema, a vsichni meli dost casu se prizupusobit.
>
> Instalaci jakehokoliv SW by mela delat osoba p(r)overena,
> ktera samozrejme k tomu bude mit dostatecna prava. Uzivatele
> pak program pouzivaji, ale svoji konfiguraci (vychozi klidne
> muzou nacist z HKLM) si programy ukladaji do HKCU (a v
> pripade ..ini nejlepe do "application data" adresare v
> profilu uzivatele).
>
> Nasazeni software, ktery toto nerespektuje, a vyzaduje
> nadstandardni prava pro "obycejne" uzivatele bych z
> bezpecnostnich duodu velmi zvazoval.
Ahoj.
Muzes prosim podporit nejakym argumentem ze povoleni zapisu vsemi usery
do klice HKLM/Software/ludek/plmail/common/last_report (samozrejme, ze
nikam jinam), ktere provede instalacni program (samozrejme spusteny
adminem pri instalaci) bude zavaznou (ci vubec nejakou) bezpecnostni
dirou.
At nad tim premyslim jak premyslim, nic mne nenapada.
Dik
Ludek
Odpovedá: Mira
22. 7. 2004 12:47
> -----Original Message-----
> From: delphi-l-owner@clexpert.cz
> [mailto:delphi-l-owner@clexpert.cz] On Behalf Of Ludek ZITA
> Ahoj.
> Muzes prosim podporit nejakym argumentem ze povoleni zapisu
> vsemi usery do klice
> HKLM/Software/ludek/plmail/common/last_report (samozrejme, ze
> nikam jinam), ktere provede instalacni program (samozrejme
> spusteny adminem pri instalaci) bude zavaznou (ci vubec
> nejakou) bezpecnostni dirou.
> At nad tim premyslim jak premyslim, nic mne nenapada.
Jenom v max. fofru a tedy v kratkosti, nestiham: Minimalne udelas svym
programem v registrech cosi, s cim admin nepocita. A pokud jsou treba sireny
v siti systemove politiky pres GPO serveru tak se ti muze snadno stat, ze
nekdo nebo neco v nadrizene vetvi obnovi bezpecnostni politiku i pro
podrizene objekty a Tvuj program "najednou ze zahadnych duvodu" prestane
pracovat... A admin ma zase par dni co delat, kdyby se nahodou jinak
flakal... Existuje urcite jeste dost jinych duvodu, ale nemam ted bohuzel
cas se nad nimi zastavovat... Proste menit prava by podle me program sam o
sobe nemel.
Mira
Odpovedá: Petr Zahradnik
22. 7. 2004 15:04
Puvodni zprava ze dne 22.7.2004:
> Muzes prosim podporit nejakym argumentem ze povoleni zapisu vsemi
> usery do klice HKLM/Software/ludek/plmail/common/last_report
> (samozrejme, ze nikam jinam), ktere provede instalacni program
> (samozrejme spusteny adminem pri instalaci) bude zavaznou (ci vubec
> nejakou) bezpecnostni dirou.
Muj nazor je ten, ze pokud mi instalacni program pod rukou zmeni
opravneni v registru, byt ve sve vetvi, uz to je sama o sobe
bezpecnostni dira. Pokud s tim vylozene nebudu souhlasit a tedy vedet
o tom z dokumentace. A nemusi se mi to treba libit.
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Ludek ZITA
22. 7. 2004 20:35
On Behalf Of Mira
> Jenom v max. fofru a tedy v kratkosti, nestiham: Minimalne
> udelas svym programem v registrech cosi, s cim admin
> nepocita. A pokud jsou treba sireny v siti systemove politiky
> pres GPO serveru tak se ti muze snadno stat, ze nekdo nebo
> neco v nadrizene vetvi obnovi bezpecnostni politiku i pro
> podrizene objekty a Tvuj program "najednou ze zahadnych
> duvodu" prestane
pracovat...
Ahoj.
No pokud pouziji treba INI nekde na disku, tak prece muze admin totez
udelat s pravy do toho adresare, nebo ne ?
> ...... Existuje urcite jeste
> dost jinych duvodu, ale nemam ted bohuzel cas se nad nimi
> zastavovat...
Tak nekdy priste...
> Proste menit prava by podle me program sam o sobe nemel.
Program ne - jen jeho instalace ci instalacni program.
Ludek
Odpovedá: Ludek ZITA
22. 7. 2004 20:34
> > Ahoj.
> > Muzes prosim podporit nejakym argumentem ze povoleni zapisu vsemi
> > usery do klice HKLM/Software/ludek/plmail/common/last_report
> > (samozrejme, ze nikam jinam), ktere provede instalacni program
> > (samozrejme spusteny adminem pri instalaci) bude zavaznou (ci vubec
> > nejakou) bezpecnostni dirou. At nad tim premyslim jak
> premyslim, nic
> > mne nenapada.
>
Ahoj.
Pokusim se oponovat:
> Pokud to provede "instalacni program", jakou mas zaruku, ze
> si "neotevre" neco
> vice?. Pokud se to udela rucne, je to jen vec admina, zda to povoli.
No instalacni program pokud vim (a i vsichni puristi co do pristupu k
registru to zde potvrdili) spousti admin se svymi pravy a je at se ti to
libi nebo ne prakticky bezbranny proti chybe tohoto programu.
Taky asi nema smysl resit chybu istalacniho programu, ta muze byt i v
programu, ktery do HKLM pouze zapisuje a nemeni prava.
Ja jsem si jednou spatne napsal smycku a cely HKEY_CLASSES_ROOT jsem si
smazal : 
> Povoleni konkretni vetve HKLM nemusi byt ohrozeni bezpecnosti
> systemu, ale
> bezpecnosti toho konkretniho programu. "Zly" uzivatel muze
> (diky tomu, ze ma
> pristup do te vetve v HKLM) "nabourat" konfiguraci programu
> tak, ze nebude
> schopen provozu, a omezi to vsechny uzivatele. Pri uplatneni
> politiky "default v
> HKLM jen pro cteni, uzivatelske v HKCU pro zapis"
neposkodi
> jine, ale jen sam
> sebe.
No ja prece netvrdim, ze sem chci cpat vse, ale jen a jen to co je NUTNE
spolecne.
(Napr. Maji-li byt nejake vystupy z programu cislovany v jedne ciselne
rade nezavisle na uzivateli, pak je jasne, ze musi existovat spolecny
bod kam kam maji r/w pristup vsichni uzivatele)
> Dale diky nejake (i nechtene) chybe v tom programu (napr.
> buffer overflow) muze
> takhle "ponicena" konfigurace ohrozit i bezpecnost celeho
> systemu, pokud tu
> aplikaci spusti treba administrator.
No pokud aplikaci spusti admin je to jestli do danne vetve ma pristup i
user IMHO uplne jedno.
>
> Ja vim, pravdepodobnost je mala, ale je. A pokud to s
> bezpecnosti myslis opravdu
> vazne, musis pocitat se vsim a vymyslet i nepravdepodobne
> scenare. (Vim minimalne o jedne aplikaci, kterou je podobnym
> zpusobem (i kdyz ne treba
> pres registr, ale pres adresare - v podstate je to to same)
> mozno zneuzit v podstate
> k cemukoliv.
>
No pak je to IMHO opravdu totez, protoze pokud jde o vyse uvedeny
priklad musim pak mit take nekde spolecny adresar a ta mira rizika je
tedy stejna.
Nebo ne ?
Ludek
Odpovedá: Petr Zahradnik
22. 7. 2004 20:34
Puvodni zprava ze dne 22.7.2004:
> (Napr. Maji-li byt nejake vystupy z programu cislovany v jedne
> ciselne rade nezavisle na uzivateli, pak je jasne, ze musi existovat
> spolecny bod kam kam maji r/w pristup vsichni uzivatele)
No tak ja myslim, ze nejake spolecne cislovani cehokoliv nema moc co s
konfiguraci spolecneho, notabene uz vubec ne s puvodnim dotazem a
timto subjektem... Pomalu uz bychom toho meli nechat...
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Odpovedá: Ludek ZITA
22. 7. 2004 20:12
> > Muzes prosim podporit nejakym argumentem ze povoleni zapisu vsemi
> > usery do klice HKLM/Software/ludek/plmail/common/last_report
> > (samozrejme, ze nikam jinam), ktere provede instalacni program
> > (samozrejme spusteny adminem pri instalaci) bude zavaznou (ci vubec
> > nejakou) bezpecnostni dirou.
>
> Muj nazor je ten, ze pokud mi instalacni program pod rukou
> zmeni opravneni v registru, byt ve sve vetvi, uz to je sama o
> sobe bezpecnostni dira. Pokud s tim vylozene nebudu souhlasit
> a tedy vedet o tom z dokumentace. A nemusi se mi to treba libit.
Ahoj.
Jiny argument nez ze se Ti to nebude libit nemas ? Resp. Co je na tom
spatneho a tak nebezpecneho.
Ja jsem fakt usilovne premyslel a nic mne nenapada, protoz pokud ten
user muze jen do jednoho jedineho klice, pak opravdu nevidim zpusob jak
by mohl ohrozit system.
Hlavnim duvodem zakazu zapisu do HKLM pro usery je aby neprepsali
dulezite systemove udaje a nastaveni ostatnich programu, ci vlastniho
programu, ktere natvrdo prednastavi admin pri instalaci. A to IHMO pro
vsechny ostatni zustava s vyjjimkou treba te jedne jedine hodnoty (napr
cislo posledniho odslaneho reportu) kterou mam v
HKLM/Software/ludek/plmail/common/last_report.
Ludek
Odpovedá: Pavel Zichovsky
22. 7. 2004 20:43
Zdravim,
naposledy v konefernci, nebot uz se to delphi moc netyka...
On 22 Jul 2004 at 20:52, Ludek ZITA wrote:
> No instalacni program pokud vim (a i vsichni puristi co do pristupu k
> registru to zde potvrdili) spousti admin se svymi pravy a je at se ti to
> libi nebo ne prakticky bezbranny proti chybe tohoto programu.
Ano, instalacni program samozrejme muze menit data, ke ketrym mas pristup (cili
jako admin vsechna data), ale nemel by sam od sebe k tem datum nastavovat
PRAVA pro jine uzivatele (chapes ten rozdil data/prava?). Jakoukoliv zmenu v
PRAVECH by mel delat admin rucne (nebo "poloautomaticky") aby mel kontrolu a
prehled kde jsou jaka prava, mohl pripadne upravit bezoecnotni politky apod.
> > bezpecnosti toho konkretniho programu. "Zly" uzivatel muze
> > (diky tomu, ze ma
> > pristup do te vetve v HKLM) "nabourat" konfiguraci programu
> > tak, ze nebude
> > schopen provozu, a omezi to vsechny uzivatele. Pri uplatneni
>
> No ja prece netvrdim, ze sem chci cpat vse, ale jen a jen to co je NUTNE
> spolecne.
> (Napr. Maji-li byt nejake vystupy z programu cislovany v jedne ciselne
> rade nezavisle na uzivateli, pak je jasne, ze musi existovat spolecny
> bod kam kam maji r/w pristup vsichni uzivatele)
Dobre, "zly" uzivatel nastavi rucne to cislo na neco extremniho, s cim program
nepocita, takze vsem uzivatelum havaruje a je nefunkcni. Spolecne veci muzou
byt
treba v databazi (chranene proti pristupu mimo aplikaci), kterou uzivatel jen
tak
jednoduse neovlivni (jako hodnotu v registru/ini)
> > Dale diky nejake (i nechtene) chybe v tom programu (napr.
> > buffer overflow) muze
> > takhle "ponicena" konfigurace ohrozit i bezpecnost celeho
> > systemu, pokud tu
> > aplikaci spusti treba administrator.
>
> No pokud aplikaci spusti admin je to jestli do danne vetve ma pristup i
> user IMHO uplne jedno.
Ne, neni to jedno. Opet - "zly" user muze (diky tomu, ze ma k tomu klici prava
zapisu) podvrhnout neco "skaredeho", co se pak spusti adminovi (bez jeho
bedomi).
Co a jak konkretne vzdy zalezi na aplikaci, jak je napsana, odolna proti
podobnym
utokum apod.
Napr. konkretne Pegasus Mail. Pro "nativni" dorucovani posty v siti musel mit
kazdy
uzivatel pravo zapisu v mailboxu vsech ostatnich uzivatelu (aby do nej mohl
ulozit
soubor s novou postou) - coz je analogie pristupu vsech useru na jedno misto.
PMail si ale z toho adresare zaroven nacital konfiguraci, pluginy apod.
Diky pristupovym pravum ale mohl "zly" uzivatel adminovi podsunout do mail
adresare treba falesny plugin (nebo i jen mail vyuzivajici buffer overflow
chybu), ktery
se automaticky spustil ve chvili kdy admin pustil Pmaila. plugin samozrejme
bezel s
pravy admina a mohl udelat uplne cokoliv (treba smazani systemovych dat apod.).
Takze to, ze vsichni useri meli nadstandardni pristupova prava nutna pro bezny
chod
aplikace, vlastne ohrozovalo bezpecnost celeho systemu.
> No pak je to IMHO opravdu totez, protoze pokud jde o vyse uvedeny
> priklad musim pak mit take nekde spolecny adresar a ta mira rizika je
> tedy stejna.
> Nebo ne ?
Ano je, a prave proto je treba se "spolecnemu ulozisti" na disku nebo v
registrech
vyhnout, a pouzit na to neco jineho (treba databazi).
S pozdravem
Pavel Zichovsky (zichovsky@trul.cz)
Odpovedá: Ludek ZITA
22. 7. 2004 23:03
On Behalf Of Pavel Zichovsky
> naposledy v konefernci, nebot uz se to delphi moc netyka...
No ja myslim ze se to podstatne dotyk programovani WIN32 a to sem snad
patri
> > No instalacni program pokud vim (a i vsichni puristi co do
> pristupu k
> > registru to zde potvrdili) spousti admin se svymi pravy a
> je at se ti
> > to libi nebo ne prakticky bezbranny proti chybe tohoto programu.
>
> Ano, instalacni program samozrejme muze menit data, ke ketrym
> mas pristup (cili jako admin vsechna data), ale nemel by sam
> od sebe k tem datum nastavovat PRAVA pro jine uzivatele
> (chapes ten rozdil data/prava?).
Ano, ovsem to co rikas automaticky predpoklada, ze to zpristupneni jedne
jedine vetve/hodnoty v HKLM je bezpecnostni problem a to tady zatim
nikdo nevysvetlil proc (krom argumentu typu "mne se to nelibi")
> Jakoukoliv zmenu v PRAVECH
> by mel delat admin rucne (nebo "poloautomaticky") aby mel
> kontrolu a prehled kde jsou jaka prava, mohl pripadne upravit
> bezoecnotni politky apod.
OK tak dam to do navodu a upozornim hlaskou, ze tyto prava instalak
nastavuje.
(jinak mnohe instalace do prav docela zasashuji, napriklad instalace
..NET )
> > No ja prece netvrdim, ze sem chci cpat vse, ale jen a jen to co je
> > NUTNE spolecne. (Napr. Maji-li byt nejake vystupy z
> programu cislovany
> > v jedne ciselne rade nezavisle na uzivateli, pak je jasne, ze musi
> > existovat spolecny bod kam kam maji r/w pristup vsichni uzivatele)
> Dobre, "zly" uzivatel nastavi rucne to cislo na neco
> extremniho, s cim program nepocita, takze vsem uzivatelum
> havaruje a je nefunkcni. Spolecne veci muzou byt treba v
> databazi (chranene proti pristupu mimo aplikaci), kterou
> uzivatel jen tak jednoduse neovlivni (jako hodnotu v registru/ini)
No zalezi asi hodne na uzivatel a jeho schopnostech, chapu ze BFU otevre
ini a porejpe se v nem, ale ze by si otevrel regedit a hezky si nasel
ten jeden jedinej klic ???!!!!
Ovsem protoze jsem programator ja nech prosim tuhle cast bezpecnosti na
mne. Proti tomu se muzu branit treba tim, ze budu udaj kodovat a pro
dekodovani poznam zda bylo zmeneno. A urcite to jde i lepe, ale o tohle
nejde. Kazda app je jina, a vyzaduje jinou bezpecnost. Konec koncu ani
databaze nejsou 100% nenapadnutelne.
Ja hledam ohrozeni systemu nebo jinych aplikaci a tohle s tim nema co
delat. Chybu a diru si tam muzu napsat at pouziju cokoliv.
> > > Dale diky nejake (i nechtene) chybe v tom programu (napr. buffer
> > > overflow) muze takhle "ponicena" konfigurace ohrozit i bezpecnost
> > > celeho systemu, pokud tu
> > > aplikaci spusti treba administrator.
> >
> > No pokud aplikaci spusti admin je to jestli do danne vetve
> ma pristup
> > i user IMHO uplne jedno.
>
> Ne, neni to jedno. Opet - "zly" user muze (diky tomu, ze ma k
> tomu klici prava
> zapisu) podvrhnout neco "skaredeho", co se pak spusti
> adminovi (bez jeho bedomi). Co a jak konkretne vzdy zalezi na
> aplikaci, jak je napsana, odolna proti podobnym utokum apod.
Prosim vysvetli jak muze jakykoliv zapis do
HKLM/Software/ludek/plmail/common/last_report zblbnout system tak aby
admin neco nechtene spustil.
Ale pochopitelne ne tak ze tam bude ode mne naprogramovane
ShellExec(HodnotaPrectenaZtohoKlice)
> Napr. konkretne Pegasus Mail. Pro "nativni" dorucovani posty
> v siti musel mit kazdy uzivatel pravo zapisu v mailboxu vsech
> ostatnich uzivatelu (aby do nej mohl ulozit soubor s novou
> postou) - coz je analogie pristupu vsech useru na jedno
> misto. PMail si ale z toho adresare zaroven nacital
> konfiguraci, pluginy apod. Diky pristupovym pravum ale mohl
> "zly" uzivatel adminovi podsunout do mail adresare treba
> falesny plugin (nebo i jen mail vyuzivajici buffer overflow
> chybu), ktery se automaticky spustil ve chvili kdy admin
> pustil Pmaila. plugin samozrejme bezel s pravy admina a mohl
> udelat uplne cokoliv (treba smazani systemovych dat apod.).
>
> Takze to, ze vsichni useri meli nadstandardni pristupova
> prava nutna pro bezny chod aplikace, vlastne ohrozovalo
> bezpecnost celeho systemu.
Ale to se podle mne skarede mylis, bezpecnost system v tomto pripade
byla ohrozena spatnym navrhem programu totiz ze nacital pluginy z common
uloziste a ne tim ze useri meli prava zapisu do nejakeho adresare. Pokud
by byl program navrzen tak, ze by useri mohli do toho adresare zapisovat
POUZE data a pluginy by byly v adresari kam muze zapisovat POUZE admin,
pak by tenhle problem nebyl.
> > No pak je to IMHO opravdu totez, protoze pokud jde o vyse uvedeny
> > priklad musim pak mit take nekde spolecny adresar a ta mira
> rizika je
> > tedy stejna. Nebo ne ?
>
> Ano je, a prave proto je treba se "spolecnemu ulozisti" na
> disku nebo v registrech vyhnout, a pouzit na to neco jineho
> (treba databazi).
No ja proti databazim nic nemam, ale na zacatku threadu jsem uvadel
priklad male nesitove aplikace, ktera jen vezme soubor ktery vybere
user, ten zpracuje a odesle ho nekam mailem se subjektem REPORT0001 a
dalsi MUSI byt REPORT0002 at to poslal ketrykoliv user. A k tomuhle
fakticky Firebirda nebo MSDE priinstalovavat nechci: Byl to konkretni
priklad, ale s x krat jsem musel z tohoto duvodu pouzit ini nekde v
C:\MojeData a prislo mi , ze registr by byl sikovnejsi, uz z toho
duvodu, ze (pokud vyloucim umysl) je to cislo v registru ponekud
bezpecnejsi pred BFU nez v tom INI.
Ludek
Odpovedá: Erik Salaj, Winsoft
22. 7. 2004 23:42
> Ano, ovsem to co rikas automaticky predpoklada, ze to zpristupneni jedne
> jedine vetve/hodnoty v HKLM je bezpecnostni problem a to tady zatim
> nikdo nevysvetlil proc (krom argumentu typu "mne se to nelibi")
ked aplikacia robi nieco, co nema robit, a obzvlast, ked siaha
na citlive data tak to IMHO je bezpecnostny problem. Nevidim
dovod aby instalovanie a pouzivanie "beznej" aplikacie
prekonfigurovavalo nastavenia a opravnenia operacneho systemu.
To je presne to, co aplikacie nemaju robit, ale casto robia a potom
cely pocitac blbne a treba vsetko preinstalovavat. Cital som
velkom zaujimavy clanok na webe (mozem poslat linku ak by
to niekoho zaujimalo) ako Microsoft zabezpecoval kompatibilitu
aplikacii pre Windows (asi NT), ze tam "natvrdo" testoval
a opravoval chybne spravanie pre konkretne aplikacie
(napr. nespravne alokovanie pameti) aby vobec pobezali.
> > Jakoukoliv zmenu v PRAVECH
> > by mel delat admin rucne (nebo "poloautomaticky") aby mel
> > kontrolu a prehled kde jsou jaka prava, mohl pripadne upravit
> > bezoecnotni politky apod.
>
> OK tak dam to do navodu a upozornim hlaskou, ze tyto prava instalak
> nastavuje.
> (jinak mnohe instalace do prav docela zasashuji, napriklad instalace
> ..NET )
.NET je systemova zalezitost, nie koncova aplikacia
> No zalezi asi hodne na uzivatel a jeho schopnostech, chapu ze BFU otevre
> ini a porejpe se v nem, ale ze by si otevrel regedit a hezky si nasel
> ten jeden jedinej klic ???!!!!
>
> Ovsem protoze jsem programator ja nech prosim tuhle cast bezpecnosti na
> mne. Proti tomu se muzu branit treba tim, ze budu udaj kodovat a pro
> dekodovani poznam zda bylo zmeneno. A urcite to jde i lepe, ale o tohle
> nejde. Kazda app je jina, a vyzaduje jinou bezpecnost. Konec koncu ani
> databaze nejsou 100% nenapadnutelne.
>
> Ja hledam ohrozeni systemu nebo jinych aplikaci a tohle s tim nema co
> delat. Chybu a diru si tam muzu napsat at pouziju cokoliv.
Tvoje uvazovanie je nie celkom ok. Bezpecnost IMHO nie je o tom,
ze hladam (alebo hadam), kde asi moze byt bezpecnostny problem
ale skor v tom, ze postupujem podla urcitych pravidiel aby k problemu
nedoslo. Jednoducho, ked urcite udaje su urcene pre system, tak tam
aplikacia nema co robit. I ked by v tom nebol zly umysel, je to podozriva
zalezitost, moze to sposobit antivirovy poplach alebo ine problemy.
Napriklad
mam 20 takych programov ako tu prezentujes, ktore pomenia opravnenia
na 20 miestach. Povedzme, ze tieto zmeny nemaju priamy vlyv na zabezpecenie
systemu. Pri kontrole ale koli nim potom prehliadnem 21.miesto s vaznym
bezpecnostnym problemom. Takze nepriamo mozu narobit problemy.
To je podobne ako s pocitacovymi virusmi: neexistuje neskodny virus.
I ked povedzme nejaky virus nenici subory, predsa len zabera nejaku
pamet, moze spomalovat pocitac, oberat pouzivatela o cas a peniaze
jeho odvirovavanim atd. Nie je to o tom, co ten virus robi, ale ze
jednoducho nema v pocitaci co robit (i keby nic nerobil).
Erik
Odpovedá: Pavel Zichovsky
23. 7. 2004 9:30
Zdravim,
On 22 Jul 2004 at 23:52, Ludek ZITA wrote:
> Ano, ovsem to co rikas automaticky predpoklada, ze to zpristupneni jedne
> jedine vetve/hodnoty v HKLM je bezpecnostni problem a to tady zatim
> nikdo nevysvetlil proc (krom argumentu typu "mne se to nelibi")
Je to poruseni standardni bezpecnostni politiky, a proto je to bezpecnostni
problem.
Je uplne jedno, ze treba v pripade tveho programu "o nic nejde".
> OK tak dam to do navodu a upozornim hlaskou, ze tyto prava instalak
> nastavuje.
Jo, pokud na to bude Admin pri instalaci predem upozornen, je to OK, muze se
rozhodnout, jestli ten soft za to stoji
A uplne idealni by bylo, kdyby bylo napsano, jaka prava, proc, pro koho a kam
program potrebuje (ne jen, ze dojde k nastaveni nejakych prav). Pak se to da
zapracovat do bezpenostnich politik (ruzne group user politiky apod.) a nebude
hrozit ztrata tech prav pri nejake proverce.
> No zalezi asi hodne na uzivatel a jeho schopnostech, chapu ze BFU otevre
> ini a porejpe se v nem, ale ze by si otevrel regedit a hezky si nasel
> ten jeden jedinej klic ???!!!!
Pokud bude nekdo chcti schvalne ten soft nabourat, nebude to BFU, ale nekdo
alespon trochu znaly, kteremu ty registry problem cinit nebudou
Mimochodem, divil by ses, co dokazou BFU provest s registry podle ruznych
"navodu na vylepseni systemu" co najdou na internetu.... Jeste ze na NT/2k/XP
nemaji prava k HKLM
> Ovsem protoze jsem programator ja nech prosim tuhle cast bezpecnosti na
> mne. Proti tomu se muzu branit treba tim, ze budu udaj kodovat a pro
> dekodovani poznam zda bylo zmeneno. A urcite to jde i lepe, ale o tohle
> nejde. Kazda app je jina, a vyzaduje jinou bezpecnost. Konec koncu ani
> databaze nejsou 100% nenapadnutelne.
Ano, zabezpeceni je na tobe, ale admin ciloveho systemu musi vedet, jestli to
mas
zabezpeceno, aby ty prava nesly zneuzit. Debata uz myslim taky odbocila od
nejakeho konkretniho programu k obecnym principum.
> Ja hledam ohrozeni systemu nebo jinych aplikaci a tohle s tim nema co
> delat. Chybu a diru si tam muzu napsat at pouziju cokoliv.
No prave, a jakou ma admin jistotu, ze v tom tvem programu takova chyba neni?
Vem si, kolik ruznych buffer overflow a podobnych chyb je (bylo) treba v MSIE.
Zarucis se zakaznikovi, ze v tvem programu neni zadna chyba, a pokud je, tak ze
uhradis veskere skody z toho vznikle? Asi ne, ze? Takze zakaznik se musi co
nejvic
zabezpecit sam.
> > Ne, neni to jedno. Opet - "zly" user muze (diky tomu, ze ma k
> > tomu klici prava
> > zapisu) podvrhnout neco "skaredeho", co se pak spusti
> > adminovi (bez jeho bedomi). Co a jak konkretne vzdy zalezi na
> > aplikaci, jak je napsana, odolna proti podobnym utokum apod.
>
> Prosim vysvetli jak muze jakykoliv zapis do
> HKLM/Software/ludek/plmail/common/last_report zblbnout system tak aby
> admin neco nechtene spustil.
> Ale pochopitelne ne tak ze tam bude ode mne naprogramovane
> ShellExec(HodnotaPrectenaZtohoKlice)
:-) a jakou mam jistotu, ze to v programu nemas? Bezpecnost je bohuzel
hodne i
o paranoie
A to zblbnuti zalezi na programu. Napriklad ocekavas hodnotu typu integer (2B),
v
LastReport bude treba 28B, diky tomu, ze si v programu neosetris rozsah
(necekas,
ze by tu hodnotu nekdo upravoval bokem), tech 26B "pretece" pres 2B vyhrazene
pro tu promenou a zpusobi to pad aplikace. Navic to muze pretect az do oblasti
pro
code a tak tech xB muze byt spusteno (jako operacni instrukce). A pokud tvuj
program spusti admin, muze tech xB udelat cokoliv.
> > Napr. konkretne Pegasus Mail. Pro "nativni" dorucovani posty
> > v siti musel mit kazdy uzivatel pravo zapisu v mailboxu vsech
> > ostatnich uzivatelu (aby do nej mohl ulozit soubor s novou
> > postou) - coz je analogie pristupu vsech useru na jedno
>
> Ale to se podle mne skarede mylis, bezpecnost system v tomto pripade
> byla ohrozena spatnym navrhem programu totiz ze nacital pluginy z common
> uloziste a ne tim ze useri meli prava zapisu do nejakeho adresare. Pokud
Ne, i kdyby byly pluginy bokem, porad se dala podvrhnout soubor se zpravou,
ktera
vyuzila neopravenou buffer overflow chybu a mohla spustit jakykolvi operacni
kod
(viz vyse). Takze bezpecnostni problem byly prave ty nadstandardni prava v
soucinosti s chybou programu (za ktere autori samozrejme nikdy neruci).
> priklad, ale s x krat jsem musel z tohoto duvodu pouzit ini nekde v
> C:\MojeData a prislo mi , ze registr by byl sikovnejsi, uz z toho
> duvodu, ze (pokud vyloucim umysl) je to cislo v registru ponekud
> bezpecnejsi pred BFU nez v tom INI.
A problem je prave to, ze nemuzes vyloucit umysl. Spravne musis pocitat prave s
tim umyslem, ze nekdo bude chtit tu aplikaci poskodit, a udelat to tak, aby to
pokud
mozno neslo. 100% zabezpecni samozrejme neexistuje.
V tom tvem konkretnim pripade by mozna stalo za zvazeni, zda (v souladu s
prijemcem reportu) nezmenit pravidla tak, aby cislo reportu bylo slozeno z
cisla
uzivatele a jeho poradoveho cisla. Jednoznacnost a radu tak budes mit zajistenu
S pozdravem
Pavel Zichovsky (zichovsky@trul.cz)
Odpovedá: Ludek ZITA
23. 7. 2004 14:59
On Behalf Of Pavel Zichovsky
>
> Zdravim,
>
> On 22 Jul 2004 at 23:52, Ludek ZITA wrote:
>
> > Ano, ovsem to co rikas automaticky predpoklada, ze to zpristupneni
> > jedne jedine vetve/hodnoty v HKLM je bezpecnostni problem a to tady
> > zatim nikdo nevysvetlil proc (krom argumentu typu "mne se
> to nelibi")
>
> Je to poruseni standardni bezpecnostni politiky, a proto je
> to bezpecnostni problem.
> Je uplne jedno, ze treba v pripade tveho programu "o nic nejde".
Standardni bezpecnostni politika zustava nezmenena.
Ja nezpristupnuji userum zadny existujici klic v HKLM.
> > Ja hledam ohrozeni systemu nebo jinych aplikaci a tohle s
> tim nema co
> > delat. Chybu a diru si tam muzu napsat at pouziju cokoliv.
>
> No prave, a jakou ma admin jistotu, ze v tom tvem programu
> takova chyba neni?
> Vem si, kolik ruznych buffer overflow a podobnych chyb je
> (bylo) treba v MSIE.
> Zarucis se zakaznikovi, ze v tvem programu neni zadna chyba,
> a pokud je, tak ze
> uhradis veskere skody z toho vznikle? Asi ne, ze? Takze
> zakaznik se musi co nejvic
> zabezpecit sam.
Porad opakujes - "kdyz bude v Tvem programu chyba". Ano ja , ty ,
kdokoliv muze udelat v programu chybu, spatne si alokovat misto pro
promennou apod. ale pak JE UPLNE JEDNO jestli ta promenna je v HKLM/xxx
nebo v databazi. S mistem kam data ukladam/nacitam to VUEC NESOUVISI.
> > Prosim vysvetli jak muze jakykoliv zapis do
> > HKLM/Software/ludek/plmail/common/last_report zblbnout
> system tak aby
> > admin neco nechtene spustil. Ale pochopitelne ne tak ze tam
> bude ode
> > mne naprogramovane
> > ShellExec(HodnotaPrectenaZtohoKlice)
>
> :-) a jakou mam jistotu, ze to v programu nemas?
> Bezpecnost je bohuzel hodne i
> o paranoie
> A to zblbnuti zalezi na programu. Napriklad ocekavas hodnotu
> typu integer (2B), v
> LastReport bude treba 28B, diky tomu, ze si v programu
> neosetris rozsah (necekas,
> ze by tu hodnotu nekdo upravoval bokem), tech 26B "pretece"
> pres 2B vyhrazene
> pro tu promenou a zpusobi to pad aplikace. Navic to muze
> pretect az do oblasti pro
> code a tak tech xB muze byt spusteno (jako operacni
> instrukce). A pokud tvuj
> program spusti admin, muze tech xB udelat cokoliv.
Viz vyse. Vse co popisujes je naprosto nezavisle na umisteni te hodnoty
a muze k tomu dojit i kdyz ta hodnota bude v Tebou doporucovane
databazi.
> > Ale to se podle mne skarede mylis, bezpecnost system v
> tomto pripade
> > byla ohrozena spatnym navrhem programu totiz ze nacital pluginy z
> > common uloziste a ne tim ze useri meli prava zapisu do nejakeho
> > adresare. Pokud
>
> Ne, i kdyby byly pluginy bokem, porad se dala podvrhnout
> soubor se zpravou, ktera
> vyuzila neopravenou buffer overflow chybu a mohla spustit
> jakykolvi operacni kod
> (viz vyse). Takze bezpecnostni problem byly prave ty
> nadstandardni prava v
> soucinosti s chybou programu (za ktere autori samozrejme
> nikdy neruci).
To je zase jina chyba a opet je zcela nezavisla na tom, zda budou udaje
( v tomto pripade zpravy) ulozene v userum pristupnem adresari nebo v
userum pristupne databazi, nebo jestli si budou ta data stahovat z
bezpecneho uloziste na mesici...
> > priklad, ale s x krat jsem musel z tohoto duvodu pouzit ini nekde v
> > C:\MojeData a prislo mi , ze registr by byl sikovnejsi, uz z toho
> > duvodu, ze (pokud vyloucim umysl) je to cislo v registru ponekud
> > bezpecnejsi pred BFU nez v tom INI.
>
> A problem je prave to, ze nemuzes vyloucit umysl. Spravne
> musis pocitat prave s
> tim umyslem, ze nekdo bude chtit tu aplikaci poskodit, a
> udelat to tak, aby to pokud
> mozno neslo. 100% zabezpecni samozrejme neexistuje.
> V tom tvem konkretnim pripade by mozna stalo za zvazeni, zda
> (v souladu s
> prijemcem reportu) nezmenit pravidla tak, aby cislo reportu
> bylo slozeno z cisla
> uzivatele a jeho poradoveho cisla. Jednoznacnost a radu tak
> budes mit zajistenu
No ja ale neumim ovlivnit pozadavky, to je zadani a soubor se v tomto
konkretnim pripade posila treti strane, ktera rozhodne nebude menit sve
zajete zvyky kvuli me malickosti.
Opet se budu opakovat - vynech chyby meho programu ktere mohou nastat at
bude hodnota ulozena kdekoliv a dej alespon jeden konkretni argument
proc je zpristupneni hodnoty v
HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy "user"
pro zapis muze ohrozit system W2K
Ludek
Odpovedá: Ludek Finstrle
23. 7. 2004 15:23
> Opet se budu opakovat - vynech chyby meho programu ktere mohou nastat at
> bude hodnota ulozena kdekoliv a dej alespon jeden konkretni argument
> proc je zpristupneni hodnoty v
> HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy "user"
> pro zapis muze ohrozit system W2K
Coz takhle zaplneni veskereho mista v registrech/disku.
Luf
Odpovedá: Ludek ZITA
23. 7. 2004 15:43
On Behalf Of Ludek Finstrle
> > Opet se budu opakovat - vynech chyby meho programu ktere
> mohou nastat
> > at bude hodnota ulozena kdekoliv a dej alespon jeden konkretni
> > argument proc je zpristupneni hodnoty v
> > HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy
> > "user" pro zapis muze ohrozit system W2K
>
> Coz takhle zaplneni veskereho mista v registrech/disku.
Ahoj.
No to je ovsem zcela jednoznacne mozne i zapisem do HKCU....
Ludek
Odpovedá: Pavel Zichovsky
23. 7. 2004 16:23
Zdravim,
On 23 Jul 2004 at 15:59, Ludek ZITA wrote:
> > Je to poruseni standardni bezpecnostni politiky, a proto je
> > to bezpecnostni problem.
> > Je uplne jedno, ze treba v pripade tveho programu "o nic nejde".
>
> Standardni bezpecnostni politika zustava nezmenena.
> Ja nezpristupnuji userum zadny existujici klic v HKLM.
Zpristupnujes userum nejaky klic v HKLM. Je jedno, ze je to nove vytvoreny. Je
to
klic v HKLM a tam (podle nasi bezpecnostni politiky) nemaji useri mit pravo
zapisu.
Tvuj program toto pravidlo porusuje.
> Porad opakujes - "kdyz bude v Tvem programu chyba". Ano ja , ty ,
> kdokoliv muze udelat v programu chybu, spatne si alokovat misto pro
> promennou apod. ale pak JE UPLNE JEDNO jestli ta promenna je v HKLM/xxx
> nebo v databazi. S mistem kam data ukladam/nacitam to VUEC NESOUVISI.
Ale souvisi! Pisu to porad dokola, ale asi to nectes. Kdyz umisteni hodnoty
bude pro
kazdeho usera, tak pokud tu hodnotu upravi "bokem", ovlivni jen sam sebe, ale
kdyz
ta hodnota bude spolecna, ovlivni VSECHNY uzivatele!
Pokud je ta hodnota treba v DB, muzes pristup do te DB omezit treba heslem,
ktere
nebude mimo aplikaci znamo. DB taky uz sama o sobe nepovoli ulozit hodnotu,
ktera je mimo ocekavany rozsah (coz v registru ani v INI neudelas).
> Viz vyse. Vse co popisujes je naprosto nezavisle na umisteni te hodnoty
> a muze k tomu dojit i kdyz ta hodnota bude v Tebou doporucovane
> databazi.
Viz vyse, kdyz bude mit moznost ovlivnit hodnotu mimo program kazdy user,
ovlivni
tak vsechny uzivatele, a to je spatne. Jde o to, aby tvuj system byl navrzen
tak, aby
jeden uzivatel nemohl umyslne ovlivnit (omezit) cinnost ostatnich uzivatelu.
> Opet se budu opakovat - vynech chyby meho programu ktere mohou nastat at
> bude hodnota ulozena kdekoliv a dej alespon jeden konkretni argument
> proc je zpristupneni hodnoty v
> HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy "user"
> pro zapis muze ohrozit system W2K
Toto opakujes porad dokola, dostanes odpoved, ptas se zas. Na bezpecnost se
musis (jako administrator) divat komplexne a uvazovat (krome spousty jinych
veci)
prave i ty mozne chyby v programu. Nemuzes vzit jen kousek "skladanky" (prava
ke
konkretnimu klici) a z toho vyvodit celek (bezpecnost se nezmeni).
To bys mohl stejne rict, ze kdyz vynechas moznost, ze jeden z uzivatelu bude
"parchant", tak muzou mit klidne vsichni admin prava a system to neohrozi. Je
to
pravda, ale sam snad vidis, ze spolehat na to, ze nikdo neni "parchant"
nemuzes.
S pozdravem
Pavel Zichovsky (zichovsky@trul.cz)
Odpovedá: Ludek ZITA
23. 7. 2004 16:43
On Behalf Of Pavel Zichovsky
> > > Je to poruseni standardni bezpecnostni politiky, a proto je
> > > to bezpecnostni problem.
> > > Je uplne jedno, ze treba v pripade tveho programu "o nic nejde".
> >
> > Standardni bezpecnostni politika zustava nezmenena.
> > Ja nezpristupnuji userum zadny existujici klic v HKLM.
>
> Zpristupnujes userum nejaky klic v HKLM. Je jedno, ze je to
> nove vytvoreny. Je to
> klic v HKLM a tam (podle nasi bezpecnostni politiky) nemaji
> useri mit pravo zapisu.
> Tvuj program toto pravidlo porusuje.
Registr je normalni stromova struktura stejne jako adresare. System prav
je navrzen prave proto, aby byl vyuzivan.
Tvuj argument je opet z rise "mne se to nejak nelibi"
> > Porad opakujes - "kdyz bude v Tvem programu chyba". Ano ja , ty ,
> > kdokoliv muze udelat v programu chybu, spatne si alokovat misto pro
> > promennou apod. ale pak JE UPLNE JEDNO jestli ta promenna je v
> > HKLM/xxx nebo v databazi. S mistem kam data
> ukladam/nacitam to VUEC
> > NESOUVISI.
>
> Ale souvisi! Pisu to porad dokola, ale asi to nectes. Kdyz
> umisteni hodnoty bude pro
> kazdeho usera, tak pokud tu hodnotu upravi "bokem", ovlivni
> jen sam sebe, ale kdyz
> ta hodnota bude spolecna, ovlivni VSECHNY uzivatele!
No pokud je to proste spolecna hodnota tak je to spolecna hodnota a
useri ji proste meni.
To je jako nebezpecny kazdy program, kde useri sdileji nejaka data ????
> Pokud je ta hodnota treba v DB, muzes pristup do te DB omezit
> treba heslem, ktere
> nebude mimo aplikaci znamo. DB taky uz sama o sobe nepovoli
> ulozit hodnotu,
> ktera je mimo ocekavany rozsah (coz v registru ani v INI neudelas).
Zjistit heslo k databazi, ktere je ulozeno v programu je jen o male
nesnadnejsi nez najit jeden klic v HKLM.
Navic se opet se odvolavas na jinou chybu kterou muzu a nemusim udelat a
nezavisi vubec na umisteni.
>
> > Viz vyse. Vse co popisujes je naprosto nezavisle na umisteni te
> > hodnoty a muze k tomu dojit i kdyz ta hodnota bude v Tebou
> > doporucovane databazi.
>
> Viz vyse, kdyz bude mit moznost ovlivnit hodnotu mimo program
> kazdy user, ovlivni
> tak vsechny uzivatele, a to je spatne. Jde o to, aby tvuj
> system byl navrzen tak, aby
> jeden uzivatel nemohl umyslne ovlivnit (omezit) cinnost
> ostatnich uzivatelu.
No pokud je to proste spolecna hodnota tak je to spolecna hodnota a
useri ji proste meni.
> > Opet se budu opakovat - vynech chyby meho programu ktere
> mohou nastat
> > at bude hodnota ulozena kdekoliv a dej alespon jeden konkretni
> > argument proc je zpristupneni hodnoty v
> > HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy
> > "user" pro zapis muze ohrozit system W2K
>
> Toto opakujes porad dokola, dostanes odpoved, ptas se zas. Na
> bezpecnost se
> musis (jako administrator) divat komplexne a uvazovat (krome
> spousty jinych veci)
> prave i ty mozne chyby v programu. Nemuzes vzit jen kousek
> "skladanky" (prava ke
> konkretnimu klici) a z toho vyvodit celek (bezpecnost se
> nezmeni). To bys mohl stejne rict, ze kdyz vynechas moznost,
> ze jeden z uzivatelu bude
> "parchant", tak muzou mit klidne vsichni admin prava a system
> to neohrozi. Je to
> pravda, ale sam snad vidis, ze spolehat na to, ze nikdo neni
> "parchant" nemuzes.
>
Stale jsi nenasel jediny argument k tomu ze pokud v HKLM vytvorim nejaky
klic a zpristupnim jej pro zapis userum tak ohrozim system.
Porad dokola uvazujes az nasledne chyby a z nich teprve vyvozujes tuto
pricinu.
Ludek
Odpovedá: Pavel Zichovsky
23. 7. 2004 17:03
Zdravim,
uz me to nebavi, kazdy mame jiny nazor na vec a neshodneme se, takze nema cenu
to dal resit. Posledni strucne odpovedi.
On 23 Jul 2004 at 17:39, Ludek ZITA wrote:
> Registr je normalni stromova struktura stejne jako adresare. System prav
> je navrzen prave proto, aby byl vyuzivan.
> Tvuj argument je opet z rise "mne se to nejak nelibi"
Ano, nelibi se mi to, a to nejen me (ale i jinym lidem, a to nejen v teto
konferenci).
Pokud mame (jako firma) nejak nastavenu bezpecnostni politiku a opravneni,
nebudeme pokud mozno pouzivat programy, ktere tu politiku porusuji. A muzu te
ujistit, ze vsechny nami pouzivane programy teto politice vyhovuji.
> No pokud je to proste spolecna hodnota tak je to spolecna hodnota a
> useri ji proste meni.
> To je jako nebezpecny kazdy program, kde useri sdileji nejaka data ????
Pokud je nejak umozneno menit ta data kazdemu uzivateli mimo ten program bez
jakychkoliv omezeni, pak je potencionalne nebezpecny.
S pozdravem
Pavel Zichovsky (zichovsky@trul.cz)
Odpovedá: Jan Novak
23. 7. 2004 19:43
> odesle ho nekam mailem se subjektem REPORT0001 a
> dalsi MUSI byt REPORT0002 at to poslal ketrykoliv user.
Korektni zpusob reseni tohoto problemu muze byt napriklad ten, ze
zadny user nic neposila, jen to nekam u sebe pripravi. A pak kdesi na
pozadi bezi servis (systemovy, s pristupem do vysilacich oblasti
uzivatelu), ktery ceka na 'MultipleObject' a pripravena data zpracuje.
Pak by tu tisic lidi nemuselo preskakovat zpravy o HKLM.
Odpovedá: Ludek Finstrle
26. 7. 2004 7:09
> > > Opet se budu opakovat - vynech chyby meho programu ktere
> > mohou nastat
> > > at bude hodnota ulozena kdekoliv a dej alespon jeden konkretni
> > > argument proc je zpristupneni hodnoty v
> > > HKLM/Software/ludek/plmail/common/last_report uzivatelum s pravy
> > > "user" pro zapis muze ohrozit system W2K
>
> > Coz takhle zaplneni veskereho mista v registrech/disku.
>
> No to je ovsem zcela jednoznacne mozne i zapisem do HKCU....
Nj, ale HKCU si to zaplaca jen sam sobe nikoli vsem na danem pocitaci
(zvlaste pri cestovnich profilech).
Luf