Aoud

Правила приложений

Recommended Posts

И снова здравствуйте!Объясните,пожалуйста,некоторые тонкости в плане работы правил приложений.Мне непонятно,почему слетают настроенные правила.Вот,например,по умолчанию правила для Firefox везде все разрешено(скрин.1).Ок.Я ставлю свои настройки(скрин.2) и сохраняю их. Становится как на скриншоте 3(контролировать)-ну это понятно.Работаю.Сохраняю правила одного из расширений браузера ,при этом в настройках самого браузера для данной операции стоит *открыть файл по умолчанию*-*Блокнот* и тут алерт-"тра-та-та запрещен доступ".Понятно,что сработало правило для Firefox,которое я установил.Это хорошо и ясно.ЕИС сработал.Садись *пять*.Далее,я открываю сайт и скачиваю торрент файл.В настройках самого браузера стоит *открывать в µTorrent*автоматически.Выскакивает в правом углу алерт *проверка Firefox,файл определен как безопасный* и все мои настройки  для Firefox в правилах приложений обнуляются-снова везде все разрешено.Почему так происходит? Потому что включено облако и разрешены программы с хорошей репутацией?

 

И еще.Если все оставить для Firefox по умолчанию(все разрешено-разрешить все) ,то как это сочетается с *контролировать и блокировать нежелательные действия*(тоже по умолчанию), если уже все разрешено. А раз разрешено все,то получается и нежел.действия тоже?.Ну и почему в первом случве запрет как положено,а во-втором все иначе?Где логика-ведь одна и та же программа?Как-то амбивалентно это все.

post-42170-0-62697900-1454197888_thumb.jpg
Download Image

post-42170-0-82887900-1454197896_thumb.png
Download Image

post-42170-0-33685900-1454197904_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Добрый день,

Такое действие повторяется неоднократно? Какая версия Firefox? Так как подобное поведение замечено в то время, когда браузер пытается обновиться и заменить свой исполняемый файл. В целом, действительно может произойти либо из-за расширений, либо из-за запрещающих правил. Так как в облаке Firefox помечен, как доверенный, соответственно, правила унаследуются из облака для уменьшения ложных срабатываний. Собственно поэтому многие файлы уже помечены зеленым цветом и имеют статусы "Все разрешено", потому что правила взяты из облака и такие файлы не представляют угрозы и дополнительно их контролировать не имеет смысла. И в целом, не требуют вмешательства пользователя. В ранних версиях продукта это отчасти связывалось с функцией "Параноидальный режим", но ее убрали из-за ненадобности и упрощения работы.

Если проверить поведение в новом браузере (без дополнений) поведение обрабатывается корректно? Так как на тестируемой системе, как и файл блокнота, так и файл торрента были заблокированы для загрузки (отказано в доступе).

Share this post


Link to post
Share on other sites

Здравствуйте!Я наблюдал дважды.И в Firefox 42 версии,сейчас Firefox-44-последняя-тоже.

Так как подобное поведение замечено в то время, когда браузер пытается обновиться и заменить свой исполняемый файл

 

У меня отключено его автообновление .

В целом, действительно может произойти либо из-за расширений, либо из-за запрещающих правил

 

Я и без расширений запускал-тоже самое.Так еще проще было.Выставил галочки-обновил ЕАМ-алерт о Firefox-все разрешено.Это было в версии ЕИС до предпоследней.

Собственно поэтому многие файлы уже помечены зеленым цветом и имеют статусы "Все разрешено", потому что правила взяты из облака и такие файлы не представляют угрозы и дополнительно их контролировать не имеет смысла. И в целом, не требуют вмешательства пользователя

 

И да,и нет.В целом на баг это совсем непохоже.Но настройки то слетают.А когда *все разрешено*то и возникает вопрос эксплойтов,я писал об этом.

Так как на тестируемой системе, как и файл блокнота, так и файл торрента были заблокированы для загрузки (отказано в доступе)

 

. Это при каких настройках?Когда все разрешено?-у меня никаких телодвижений от ЕИС.А при ручных настройках(контролировать+все чекбоксы на браузер) правил да,как и файл блокнота, так и файл торрента были заблокированы для загрузки (отказано в доступе),в новой версии оба.Подтверждаю.

 

 

Владимир,по последним логам что-то прояснилось?Таки из 5 моих топиков по 3-м уже признаны баги.Полагаю,что по последним двум логам тоже будут.В новой версии(еще не проверял) по списку изменений ничего нужного нет.Или лучше писать на англ.форум-может тогда при большем внимании пользователей и огласке таки начнутся исправления?Понятно,что Вы тут ни при чем-не разработчик.Но прошел  месяц,а воз и ныне там.Так и год пройдет.От продукта я отказываться не собираюсь,но по багам буду долбить до исправления.

Спасибо.

 

 

 

 

Я сделал логи.

1.Запуск расш.режима.

2.Правила приложений-Фокс-настроить слежение-первые 5 чекбоксов-ок.

3.Правила приложений-торрент-настроить слежение-первые 5 чекбоксов-ок.

4.Запуск браузера-сохранение текст.файла

5.Запуск торрента

6.Выход из расш.режима отладки.

 

На  п.4 и п.5 алерты на обе программы-обе безопасные-настройки слетели-снова все разрешено для обеих программ.

Выслал по почте.

Share this post


Link to post
Share on other sites

Добрый вечер,

Отчеты получил, спасибо. Уточню данное поведение и сообщу обязательно его причины.

Касаемо прошлых логов, они отправлены и сейчас находятся на анализе у разработчиков. Работа ведется по приоритетам, что-то исправляется в первую очередь, что-то уже после.

В целом, вы можете конечно и сообщать и в английской ветке форума, так как форум комьюнити поддержки :) Быть может у англоязычных пользователей тоже проявляются схожие проблемы.

Share this post


Link to post
Share on other sites

Здравствуйте,Владимир.Они же должны Вам сообщить о результатах анализа,так ведь.Потормошите их там.Ну если тут не будет результатов(никто не услышит),напишу и туда и КМ.Все логи и переписки я сохраняю.И несомненно у англоязычных пользователей вылезет проблема-они явные,что даже я их выявил.Нужно только погонять продукт.А что говорить тогда об опытных пользователях и не совсем хороших людях.Функции заявлены-значит должны работать.

 

Вам-спасибо за помощь!Ждем ответов разработчиков.

Share this post


Link to post
Share on other sites

Добрый день,

Получил некоторые комментарии от тестировщиков по поводу данной ситуации.

Вероятно, поведение связано с тем, что настройки в облаке Anti-Malware преобладают над пользовательскими правилами. Система обрабатывает "пользовательские настройки" как неизвестные или правила для программ, которые ранее не запускались в системе, соответственно, идет запрос в сеть Anti-Malware. После анализа, программа возвращает ответ о надежности данного файла и разрешает все.

Отчасти, такое поведение нелогично. Поэтому, тестировщиками был создан дополнительный запрос на изучение под статусом "вероятный баг".

По получению информации, сообщу вам.

Share this post


Link to post
Share on other sites

Здравствуйте!В том то и дело,что нелогично.И не по всем программам,кстати,такое поведение.Спасибо.

Share this post


Link to post
Share on other sites

Все повторяется.Правила слетают.По другим программам-работают.

Share this post


Link to post
Share on other sites

Добрый день!

Уточнил еще раз про Вашу ситуацию, сегодня получу ответ и сообщу Вам :)

Share this post


Link to post
Share on other sites

Ответ по ситуации: поведение программы и правил в данном случае являются корректными. Если целостный файл, например, FF является безопасным, то из сети AM загружаются доверенные правила и "свои" правила заменяются.

Если в этом случае говорить об эксплойтах, то ответ от вирлаба был таков:

Если безопасная программа имеет уязвимость, и эта уязвимость может быть сформирована на веб-странице (или на любом удаленном контенте), то такое поведение будет использовать дропнутый файл (функционал), который затем будет перехвачен анализом поведения.

Например, если FF имеет уязвимость, с помощью которой подозрительный файл может быть загружен и запущен (потому что это в итоге то, что злоумышленник хотел бы сделать), то анализ поведения обнаружит неизвестное поведение со всплывающим уведомлением, которое не связано с FF. Атака будет остановлена. То же самое произойдет, если вредоносной файл, например, внедрит код в процесс Firefox.

Если говорить конкретно об asm.js в JavaScript, то такое поведение тоже будет предотвращено по такой же схеме, так как злоумышленник использует "баг" с привилегиями для загрузки/активации дропнутого файла.

Пожалуй, единственным исключением из этого правила является прямая атака хакера (например, за счет использования небезопасного пароля удаленного рабочего стола). Потому что тогда, злоумышленник имеет бОльший контроль, что позволяет ему отключить любой антивирус.

Share this post


Link to post
Share on other sites

Понятно исчерпывающе.Ну удаленный раб.стол у меня вырублен изначально.Спасибо smile.png за подробный и развернутый ответ.Но!Тогда почему в других программах,которые ЕИС признает доверенными,правила,установленные мной не слетают? Например,SoftOrganizer или Freemake Video Downloader.

Share this post


Link to post
Share on other sites

Я думаю здесь все зависит от того поведения, которое программа выполняет на текущий момент и от статистики запусков у пользователей. Так как в приватности как раз и имеется такой пункт, отправлять ее или нет. Соответственно, чем больше пользователей запустило FF и разрешило поведение, тем больше вероятности доверия и перезаписи правил. В любом случае, это механизм/алгоритм работы анализа поведения (что можно перезаписать, а что не желательно).

Share this post


Link to post
Share on other sites

Хорошо.Но полагаться на статистику запусков-вопрос очень спорный.К тому же,я привел пример,что те же SoftOrganizer и Freemake Video Downloader помечаются автоматом доверенными,но правила не слетают.По Вашей логике мнение 1000 пользователей по одной программе,превалирует над мнением 100 по другой и играет роль распространенность программы.Это неправильно.Правила,установленные пользователем слетать не должны.В принципе по топику все ответы получены,хоть и не все убедительны.Спасибо.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.