Skip navigation.

UAC w Windows 7 to kompletne nieporozumienie

Problem pojawił się już w Windows Vista. Jak zauważyło kilku ekspertów od bezpieczeństwa (mi. Joanna Rutkowska), istniały sztuczki, które pozwalały "obejść" UAC. Microsoft oczywiście stwierdził, że to nie jest dziura i UAC z założnie nie ma gwarantować czegokolwiek. Potem nawet, ktoś z MS otwarcie przyznał, że UAC nie ma nic wspólnego z bezpieczeństwem i istnieje tylko po to, żeby denerwować użytkownika.

Denerwowanie użytkownika, wydaję się dość dziwnym celem jakiejkolwiek funkcji oprogramowania, więc trzeba jeszcze wyjaśnić, że Microsoft denerwuje użytkownika po to, żeby dostawcy oprogramowania zmienili swoje produkty tak, żeby elewacja nie była wcale potrzebna, znaczy żeby programy działały tak jak powinny w kontekście uprawnień użytkownika (czyli tak jak działają w systemach uniksowych). No i w sumie, nawet trzymało się to kupy. Do czasu aż pojawiły się wersje testowe Windows 7.

Okazało się, że jednak Microsoft chce mniej denerwować użytkowników i teraz przy domyślnych ustawieniach programy będące częścią systemu Windows nie potrzebują okienka UAC, aby podnieść sobie uprawnienia. Na początku brzmiało to dość sensownie, szybko jednak się okazało, że teraz całe UAC można bardzo łatwo obejść (polecam obejrzeć zwłaszcza tę prezentacje ). Żeby nie było nieporozumień, to nie jest ten sam problem, który pozwalał wyłączyć UAC wysyłając klawisze (tamtem problem Microsoft rozwiązał). Prawdopodobnie Microsoft nie jest w ogóle zainteresowany naprawianiem tej usterki, chociaż przez nią całe UAC traci sens (przynajmniej jako bariera chroniąca system i użytkownika).

No tak, ale jeśli wg. Microsoftu UAC nie ma wcale (wbrew temu co jest wmawiane użytkownikowi w reklamach) gwarantować bezpieczeństwa a jedynie go denerwować, to dlaczego w takim razie uważam UAC w Windows 7 za nieporozumienie? No bo z jednej strony Microsoft próbuje wymusić na dostawcach oprogramowanie dostosowanie ich produktów tak by poprawnie działały w kontekście uprawnień użytkownika (tak, żeby elewacja nie była potrzebna), a z drugiej, zamiast zrobić to samo ze swoimi programami, dodaje je do białej listy, która pozwala obejść cały mechanizm UAC. Tutaj, można by dodać, że takie zagranie jest nadużyciem i dzięki temu programy Microsoftu mogą działać lepiej niż inne (bo będą mniej denerwować użytkownika), ale ta kwestia jak i inne została dobrze skomentowana w podlinkowanym wyżej artykule na temat tej usterki.

Braid

W końcu wyszedł Braid na PC i nareszcie mogłem sobie w niego zagrać. No i nie zawiodłem się, bo gra jest genialna, na razie przeszedłem ledwo 3 światy, więcej napiszę jak ją przejdę (upewnie się, że do końca trzyma ten wysoki poziom).

Tutaj trailer:


Obejrzyj na Vimeo

update:

Już przeszedłem. Więc od początku.

Braid wyszedł pół roku temu na Xbox Live Arcade. Jest to taka trochę zakręcona platformówka. Rozgrywka opiera się głównie na manipulowaniu czasem, w każdym poziomie jest do zebrania kilka elementów układanki i trzeba trochę pokombinować żeby je zdobyć. Gra dostała bardzo dobre recenzje, wychwalana była głownie za jakość łamigłówek oraz ciekawe zakończenie. Od początku czułem, że to ta gra by mi się spodobała, ale ponieważ nie mam Xboksa, musiałem obejść się smakiem. Parę dni temu wyszła wersja na PC i w końcu mogłem sobie zagrać.

Trzeba przyznać, że łamigłówki są bardzo ciekawe, nie za łatwe i nie za trudne, świetną sprawą jest to, że praktycznie w każdym poziomie trzeba użyć do ich rozwiązania nowych pomysłów, przez co zupełnie nie czuć monotonii (niechlubnym wyjątkiem jest ostatni świat, gdzie są 3 prawie identyczne poziomy).

Na grę składa się sześć światów, każdym rządzą trochę inne prawa. Nasz bohater posiada możliwość cofania czasu, ale w każdym ze światów działa to trochę inaczej (np w drugim świecie pojawiają się przedmioty, które nie podlegają cofaniu, w trzecim bieg czasu jest związany w położeniem bohatera, w czwartym istnieją dwa równoległe wymiary).

Fabuła (prezentowana za pomocą kilku plansz z napisami, na początku każdego świata) jest bardzo niejasna i wydaję się nie pasować zbytnio do reszty. Dopiero w ostatnim poziomie pojawia się pewne połączenie przedstawionej historii z tym co obserwujemy podczas rozgrywki. Samo zakończenie, które wiele osób wychwalało, jak dla mnie pozostawia zbyt dużo miejsca do interpretacji. Podsumowując, historia jest bardzo niejasna, a jej zakończenie jeszcze bardziej.

Ogólnie gra jest genialna, chociaż wersja na PC, pomimo dużego opóźnienia względem XBLA jest trochę niedopracowana. Szkoda też, że Braid nie jest darmowy (15$). Jest za to wersja demo, która jest wystarczająco długa, żeby nacieszyć się grą.

Google Chrome instaluje backdoor-a

,

Wraz z Google Chrome (a także wraz z innymi programami Google np. Gears) instaluje się mała usługa Google Update, która od tej pory pracuje cały czas w systemie. Niby nic niezwykłego, wiele dostawców oprogramowania instaluje tego typu komponent (chociaż wg mnie jest to zła praktyka, do automatycznej aktualizacji oprogramowania nie potrzeba procesu działającego w systemie cały czas, starczyło by dodać odpowiednią pozycje do harmonogramu zadań).

Ale Google Updater robi coś jeszcze. Dodaje się jako wtyczka do Firefoksa a także Internet Explorera, która umożliwia instalowanie oprogramowanie Google bez jakiejkolwiek akcji użytkownika. Żeby się o tym przekonać wystarczy wejść (w IE lub Firefoksie lub nawet w samym Chrome) na stronę Google Chrome, kliknąć Download, nastepnie Accept and Install. Tym razem instalacja oprogramowania rozpocznie się automatycznie z obejściem normalnych zabezpieczeń przeglądarki.

Postanowiłem poszukać więcej informacji, jakiejś dokumentacji, gdzie mógłbym się dowiedzieć jakie zabezpieczenia posiada ten dodatek (nie chce żeby Google korzystało z backdoora w celu instalacji oprogramowanie na moim komputerze, ale jeszcze bardziej nie chce żeby z tego backdoora skorzystały osoby nieupoważnione, np. twórcy oprogramowania malware). Niestety na stronach pomocy i obsługi technicznej Google nie ma żadnej informacji o Google Update. Ani opisu jego mechanizmów zabezpieczeń, ani nawet instrukcji jak usunąć tą usługę z komputera (nie usuwa się ona wraz z Google Chrome, ani nie pojawia się ona jako oddzielna pozycja w dodaj/usuń programy).


Don't be evil!? Nie rozśmieszajcie mnie.

Aktualizacja:

Dla tych co mają wątpliwości podaję więcej szczegółów: w Firefoksie (a jak się przed chwilą przekonałem, również w Safari) Google Update rejestruje się jako wtyczka npgoogleoneclick5.dll, w IE rejestruje się jako BHO goopdatebho.dll. To właśnie te pliki odpowiadają za furtkę.

Cultris

,

Jakiś miesiąc temu szukając na YouTube filmików z Tetrinet2 (taki multiplayerowy tetris w którego kiedyś sporo grałem, rip), znalazłem Cultris. W porównaniu do Tetrinet2, Cultris nie jest zbyt rozbudowany, jest tylko jeden tryb rozgrywki (w Tetrinet2 grałem głównie w Classic+Special, więc na początku brakowało mi tych wszystkich bonusów), nie można grać drużynami, brak zaawansowanej konfiguracji sterowania, za to oprawa graficzna jest dużo ciekawsza (znaczy bardziej efekciarska), jest też ranking. System dodawania linii wydawał mi się na początku bardzo niesprawiedliwy, ale można się przyzwyczaić.

Trailer na Google Video

Jako bonus wrzucam linka do swoich statystyk: na laptopie, na pracowni w instytucie. Jeśli szukasz nowego nałogu, to polecam tę gre.

Spheres of Chaos - teraz freeware

,

Niedawno gra Spheres of Chaos została udostępniona jako freeware (wcześniej była dostępna jako shareware). Spheres of Chaos to bardzo ciekawy klon asteroids z psychodeliczną grafiką i odschoolowymi efektami dzwiękowymi. Gra ma już swoje lata, ale nie można powiedzieć, żeby się jakoś istotnie zestarzała. Ogólnie bardzo miła gierka, w bardzo orginalnej oprawie. Parę lat temu grałem w nią trochę i bardzo mi się podobała.

Screen:

Link: http://www.spheresofchaos.com/

Co jeszcze nie tak z tą Vistą?

Pomijając niezliczone bugi, problemy z kompatybilnością, brak istotnych nowości, spore wymagania sprzętowe, DRM, nadmiar funkcji przesyłających dane do Microsoftu i inne rzeczy o których już pisano w necie, co jest jeszcze nie tak z Vistą? Może dla kogoś to będzie czepianie się szczegółów, ale według mnie nowe funkcje w Viście są ewidentnie niedopracowane i nieprzemyślane. Przynajmniej takie odniosłem wrażenie bawiąc się tym systemem przez ostatnie 4 miesiące (oczywiście Visty używam jedynie w celach poznawczych, Linuksa nie zdradziłem ;P ).

Read more...