Обсуждение статьи
Windows XP и Server 2003 получили сертификаты Common Criteria четверто
|
22.12.2005 21:28:15
|
|
|
|
|
|
22.12.2005 21:30:01
Было бы не плохо увидеть сам текст сертификата и соответсвующие документы, а не пресс-релиз маркетологов Microsoft.
|
|
|
|
|
|
22.12.2005 21:55:27
|
|||
|
|
|
|
23.12.2005 06:12:39
Они могут хоть благославление от Папы Римского получить, а всё равно система с закрытыми исходниками с точки зрения безопасности...ну, в общем, это даже не смешно.
|
|
|
|
|
|
23.12.2005 08:14:41
Можно подумать, что система с открытыми исходниками с точки зрения безопасности - это очень смешно.
|
|
|
|
|
|
23.12.2005 08:38:01
 |
|
|
|
|
|
23.12.2005 10:08:27
Помнится года 2 назад на секлабе была статьтя, когда Win2k получила EAL 4, в той же статье писалось, что Linux провалил попытку присвоени EAL 3.
Отсюда можно сделать вывод на тему:
|
|||
|
|
|
|
23.12.2005 10:23:39
Помнится года 2 назад на секлабе была статьтя, когда Win2k получила EAL 4, в той же статье писалось, что Linux провалил попытку присвоени EAL 3.
Отсюда можно сделать вывод на тему: интересно, Common Criteria кто-нить всурьез воспринимает?.. Вывод: Ядро Линукс менее безопасно чем ядро Виндов ? |
|
|
|
|
|
23.12.2005 10:39:49
 |
|||
|
|
|
|
23.12.2005 10:41:03
Ато! В любом юниксе можно уронить систему командой от рута: dd -i /dev/urandom -o /dev/mem В винде для аналогичного эффекта надо помучиться  . Только в юниксах нормальному человеку не придёт в голову работать от рута, а винде приходится работать администратором  |
|||
|
|
|
|
23.12.2005 10:44:01
Солярис уж года полтора как EAL4, некоторые Линуксы тогда же прошли EAL3+.. А что там с Мандрейком, который собирались по EAL5 сертифицрировать?
|
|
|
|
|
|
23.12.2005 11:09:15
а вот сами они хотят на серверный попасть. и из-за этого пытаюца впарить свой навоз под видом мегафкусной конфетки но вот странно получаица... - линукса-юникса никому ничего не доказывали и по дефолту рулят на серверном пространстве, а мелкософт вместо того, что бы пропатчить свою ботву и сменить техманагеров высшего звена на более вменяемых, покупает бумажки, где написано что их системы самые лучшие. и веть самое плохое в этой ситуации, что тупорылые начальники, далекие от мира компьютеров им верят! например, как на моей прошлой работе... обратите внимание, что на рынке персональных систем микрасофт такой рекламной деятельности не ведет |
|||
|
|
|
|
23.12.2005 11:12:26
Ядро Линукс менее безопасно чем ядро Виндов ?
скорее наоборот =).. 1ый класс по общим критериям - наиболее безопасный, 5 - наимение.. кстати хотелось бы увидеть на сек лабе список ОС и присвоенных им классов.. |
|
|
|
|
|
23.12.2005 11:13:55
Certified by the FAA, LynxOS-178 is a Posix-conformant OS that includes Rockwell Collins' VMOS intellectual property to execute in system mode and access hardware directly. With the addition of a separation kernel, LynxOS-178 has demonstrated EAL-7 functionality. Currently, LynxOS-178 can be easily certified to the Common Criteria EAL-4, and LynuxWorks is building on that technology to be able to deliver an RTOS certifiable to the Common Criteria EAL-7.
|
|
|
|
|
|
23.12.2005 11:52:36
"... знал дюжину способов относительно честно завалить windows NT с правами админа" |
|||
|
|
|
|
23.12.2005 11:57:19
|
|||
|
|
|
|
23.12.2005 12:08:25
Требования Common Criteria, во-первых, нескольку устарели, а во-вторых, очень мало соотносятся с реальной безопасностью - которая определяется не соответствием длинным спецификациям, а многолетнеё практикой и исследованием исходного кода широким кругом независимых экспертов.
Хотя крупные организации на эту бумажку ведутся  |
|
|
|
|
|
23.12.2005 12:39:47
При сертификации объектом оценки является продукт, а не его экземпляр, установленный в определенном месте конкретным человеком на конкретном железе. Соответственно и судить об автономности "в общем" никак нельзя. А вообще, безопасность бывает не только сетевая. В винде есть шаги в направлении отказа от всемогущего root'а. Только ненадо про SELinux... ладно еще про RSBAC поговорить, но так его ж самому надо прикручивать - соответственно такое можно только аттестовать, но никак не сертифицировать. Что касается серьезного восприятия CC - существуют соответствующие профили защиты, задания по безопасности и т.д. согласно которых проводится оценка соответствия безопасности продуктов заявленной. Профиль содержит определенный ряд требований, причем там редко попадаются "нафиг ненужные или бредовые" угрозы, атаки и контрмеры. Так вот в винде реализованы контрмеры, а в opensource'овых UNIX-подобных осях - нет. Есть, конечно "trusted" версии, но это другое. P.S. Качество и безопасность кода - одно, а вот защищенная ОС - это совсем другое... |
||||
|
|
|
|||
Читают тему