воскресенье, 15 марта 2015 г.

Comodo Internet Security 8.2.0.4474 Beta

Итак, кое-какие новости, даже хорошие...

1. Важнейшее нововведение — возможность прекратить загаживание альтернативных потоков NTFS. По многочисленным просьбам пользователей, заметим.
Делается это отключением второй опции на вкладке Auto-Sandbox. Разумеется, при этом пропадет и слежение за происхождением файлов, поэтому сначала обязательно выбираем конфигурацию Proactive Security.

2. Приятная мелочь — отдельная кнопка, открывающая список активных процессов. Раньше приходилось сначала открывать список процессов, изолированных в Sandbox, вызывать контекстное меню и снимать ненужную галку. А теперь достаточно одной кнопки (ее можно добавить в виджет из списка задач Sandbox). Можно и командной строкой открыть окно с активными процессами: cis.exe --procViewUI

3. Списки неопознанных и доверенных файлов теперь объединили в один и добавили фильтр, какие показывать: доверенные, неопознанные или вредоносные. Забавно...

4. Пользовательский рейтинг. Раньше можно было лишь добавлять файлы в доверенные. Но сделать неопознанным файл, которому Comodo доверяет — как можно?? А теперь можно. Якобы. Т.е. файл имеет два рейтинга: комодовский и пользовательский. И пользователь может присвоить рейтинг неопознанного (или даже вредоносного) файлу, которому Comodo доверяет.

Но не тут-то было. Во-первых, есть скрытая база доверенных файлов, которым Comodo продолжает доверять, вообще не глядя на пользовательский рейтинг. Во-вторых, наблюдается какая-то странная лажа в случаях, когда путь к файлу содержит одинарную кавычку...

Так что нововведение сомнительное. Ему, конечно, напрашивается применение вроде подавления привилегий горе-инсталляторов (прежде всего, в портативных браузерах), но советовать остерегусь. Тем более, что, по уму, привилегии инсталляторам лучше вообще не давать, чем отбирать потом выборочно... (Кто статьи читал, поймет.)

5. Радостная новость, наравне с первой, — устранили пару проблем анализа командной строки. Если коротко — закрыта известная мне дыра фаервола. Злосчастная защита от поддельных интерпретаторов, видимо, больше нужна не будет.
Но — внимание! — ярлыки по-прежнему опасны. Грубо говоря, закрыта лишь одна уязвимость из главных четырех. Так что, напоминаю, защищаемся от левых ярлыков, причем лучше всего делать это «Политиками ограниченного использования программ».

Теперь подробнее про изменения в анализе командной строки, если кому интересно.