Microsoft priznáva nedostatky UAC, vo Windows 7 plánuje zmeny

Ben Fathi, viceprezident Microsoftu pre vývoj OS, aktuálne zverejnil detailné hodnotenie jednej z najkontroverznejších nových funkčností operačného systému Windows Vista, User Account Control. Fathi priznáva, že funkčnosť má vo Viste viacero nedostatkov a preto Microsoft plánuje v pripravovanej verzii Windows 7 uskutočniť viacero zmien. Zároveň ale UAC splnila jeden z dôležitých cieľov, keď aplikácie sú v súčasnosti pre Windows písané korektnejšie.

DSL.sk, 10.10.2008

Ben Fathi, viceprezident Microsoftu pre vývoj OS, aktuálne zverejnil detailné hodnotenie novej funkčnosti operačného systému Windows Vista, User Account Control, UAC.

V kritickom hodnotení Fathi priznáva viacero slabín UAC, najmä prílišné obťažovanie užívateľov a automatické odklikávanie užívateľmi neplniace bezpečnostný účel UAC.

User Account Control

Účelom funkčnosti UAC zavedenej vo Windows Vista je umožniť používať PC s Windows užívateľovi s účtom bez administrátorských práv a zároveň umožniť v prípade potreby aplikáciám spúšťaným užívateľom získanie takýchto práv.

Funkčnosť si vyžiadal najmä stav aplikácií pre platformu Windows, ktoré až do verzie Windows XP vrátane často z historických dôvodov pre plne korektné fungovanie vyžadovali používanie užívateľského účtu s administrátorskými právami.

Z bezpečnostných dôvodov sa ale Microsoft u Visty snažil výrazne zvýšiť počet užívateľov využívajúcich účet bez administrátorských práv, keď softvér priamo s integrovaným škodlivým kódom alebo aplikácia napadnutá škodlivým kódom bežiace na úrovni bežného užívateľa nemôžu ovplyvniť a infikovať zvyšok systému.

Pri štandardne zapnutom UAC a požiadavke aplikácie na vykonanie operácie s potenciálnym dosahom na celý OS, okrem zápisu do Program Files a registrov, užívateľ s bežným účtom potvrdzuje akciu spolu so zadaním prihlasovacíh údajov nejakého užívateľa s administrátorskými právami. UAC je štandardne aktívne aj u administrátorských účtov, u ktorých vyžaduje len samotné potvrdenie akcie.

Pri štandardnom nastavení UAC virtualizuje zápis do adresára Program Files a systémových registrov ich transparentným reálnym zápisom a namapovaním do adresára užívateľa s profilom a pre tieto operácie tak nie je potrebný administrátorský prístup.

Veľký počet potvrdení

Hoci v Service Packu 1 pre Vistu bol počet potvrdení znížený, Microsoft priznáva, že aj v súčasnosti je viacero potvrdzovaní zbytočných. Takýmito sú napríklad prípady, keď si UAC vyžiada potvrdenie prakticky hneď po potvrdení rovnakej akcie v aplikácii. Microsoft tak plánuje spolupracovať s viacerými vývojármi aplikácií, aby bola táto duplicita odstránená.

Podľa posledných štatistík Microsoftu na základe informácií z PC užívateľov zapojených v Customer Experience Improvement Program v auguste v 33% všetkých zaznamenaných session musel užívateľ odkliknúť aspoň jedno potvrdenie UAC. Jedna session je definovaná ako čas medzi prihlásením a odhlásením užívateľa, respektíve ak je tento čas dlhší ako 24 hodín, tak je rozdelený na viacero session s maximálnou dĺžkou trvania 24 hodín. V máji 2007 museli užívatelia priemerne uskutočniť aspoň jedno potvrdenie v 50% session.

Detailnejšiu štatistiku počtu UAC potvrdení spoločnosť neuvádza.

Percentuálne najviac potvrdení pri reálnom používaní vyžadujú funkcie samotnej Visty, tesne pod 40%. Zvyšok potvrdení vyžadujú približne napoly podpísané a nepodpísané aplikácie tretích strán.

Vo Windows 7 má byť znížený počet zbytočných potvrdení ale tiež počet potvrdení vyžadovaný priamo komponentami Windows.

Okrem zníženia potrebného počtu potvrdení pre všetkých užívateľov si budú môcť užívatelia s administrátorskými oprávneniami aj detailne nakonfigurovať, pre ktoré typy akcií sa má zobraziť potvrdenie a ktoré majú byť štandardne povolené. Podľa naznačených informácií detailné nastavenia nebude možné aplikovať u účtov bez administrátorských práv.

Zvýšenie bezpečnosti

Podľa vyjadrení Fathiho sa UAC zatiaľ zrejme nepodarilo naplniť jeden z cieľov tejto novej funkčnosti, výrazné priame zvýšenie bezpečnosti. "Obávame sa, že užívatelia potvrdzujú UAC zo zvyku pre veľký počet potvrdení namiesto toho, aby sa sústredili na kritické potvrdenia a robili spoľahlivé rozhodnutia," uvádza sa v hodnotení.

V uskutočnenom teste totiž len 13% užívateľov krátko po zobrazení UAC potvrdenia vedelo, prečo sa im potvrdenie vlastne objavilo. Nízke číslo môže zároveň znamenať nedostatočné informácie v potvrdzovacom dialógu, Microsoft preto vo Windows 7 sľubuje výrazné zlepšenie podávanej informácie o dôvodoch potvrdenia.

Ozdravenie aplikácií

Druhý účel UAC, vplývanie na tvorcov aplikácií pre úpravu aplikácií vyžadujúcich administrátorské práva zbytočne, sa podľa Microsoft novej funkčnosti zrejme naplniť podarilo. Veľa aplikácií pre Windows tak má štandardnejšiu architektúru vhodnú pre multiužívateľský OS.

Spoločnosť dokumentuje zníženie počtu týchto aplikácií znížením počtu rozličných spustiteľných súborov, ktoré vygenerovali aspoň jeden potvrdzovací dialóg UAC. Kým v auguste 2007 spôsobovalo zobrazenie potvrdenia viac ako 775 tisíc rozličných spustiteľných súborov, v auguste 2008 to bolo 168 tisíc súborov.

Hoci k tomuto poklesu mohli prispieť aj ďalšie faktory, podľa Microsoftu sa ale najmä dramaticky znížil počet aplikácií, ktoré zbytočne vyžadujú administrátorské práva.


Hodnotenie UAC spolu s plánovanými zmenami vo Windows 7 je možné nájsť na tejto stránke.





Najnovšie články:



Diskusia:

blbost jak traky Od reg.: roob_ | Pridané: 10.10.2008 7:11 na UAC je najlepsie to, ze sa da vypnut. Inak je to uplna kravina. Ak si to nebude vyzadovat administratorske heslo, ak v systeme moze byt viac ako 1 administrator a ak bezny user bude chciet instalovat a staci kliknut OK aby sa pustila instalacia (skodliveho kodu) tak to nema zmysel. Mimochodom je to jedna z veci chladneho prijatia visty, i ked sa to da vypnut. Takze to snad v Seven nebude :) Odpovedať Známka: -5.0 Hodnotiť:

Re: blbost jak traky Od: apo | Pridané: 10.10.2008 9:11 nemas uplne pravdu. Ked nemas admina s heslom tak darmo potvrdis spustenie. Bez admina s heslom neurobis vo viste nic. Podla mna prave toto odradza ludi od visty. Odpovedať Známka: -1.1 Hodnotiť:

Re: blbost jak traky Od: cca1 | Pridané: 10.10.2008 9:18 Máš pravdu. Bez adminovho hesla si nepustíš ani Solitaire ani nepošleš mail... Odpovedať Známka: -3.3 Hodnotiť:

Re: blbost jak traky Od: roflko | Pridané: 10.10.2008 11:39 Mna odradila nefunkcnost predneho audio vystupu, ktory pod XP pekne slape :) Odpovedať Známka: -2.0 Hodnotiť:

Re: blbost jak traky Od: OndroNR | Pridané: 10.10.2008 16:57 to je vec ovladacov Odpovedať Známka: 4.0 Hodnotiť:

Re: blbost jak traky Od: fotograf | Pridané: 12.10.2008 17:35 no tak toto je len haluz... :-)) Odpovedať Známka: 6.7 Hodnotiť:

Re: blbost jak traky Od: waveeeeeee | Pridané: 13.10.2008 20:27 offtopic: napiste nieco o space cube... thx Odpovedať Hodnotiť:

Re: blbost jak traky Od reg.: roob_ | Pridané: 10.10.2008 16:27 vistu som instaloval od zaciatku niekolko krat a rozne verzie (home basic, bussiness, ultimate). Standardne vytvaram po instalacii uzivatela s menom user, bez hesla. Este nikdy sa mi nestalo, ze som nieco (okrem Virtual daemona, ale v neskorsich verziach uz to ide aj bez admina) nedokazal spravit. Nikdy nechcelo uzivatela Administrator a nikdy som nemusel prenho mat heslo. To je chyba windowsu, nie nejake zbytocne UAC. Odpovedať Známka: 6.0 Hodnotiť:

Re: blbost jak traky Od: apo | Pridané: 10.10.2008 18:44 A co si robil? Skus napr. editovat config.nt (to je zasah do systemu). UAC nema chybu okrem neznalosti uzivatelov a par drobnosti ktore sa uvadzaju v clanku. Odpovedať Známka: 3.3 Hodnotiť:

Re: blbost jak traky Od: Gorbi | Pridané: 12.10.2008 9:31 UAC je vyborna vec na to ako donutit programatorov pisat kod spustitelny aj bez admin prav. Keby prisiel UAC uz s XP, tak dnes je ovela menej skodliveho kodu pre Windows. UAC je aj pre ludi, ktory nevedia co je to pocitacova bezpecnost. Preto neviem, preco chces UAC vypinat? Odpovedať Známka: 7.5 Hodnotiť:

Re: blbost jak traky Od: fotograf | Pridané: 12.10.2008 17:39 Asi tak nejako..., mnohe starsie programy bolo treba opravit, aby korektne fungovali. Nebola to vsak chyba Visty. Odpovedať Hodnotiť:

Re: blbost jak traky Od reg.: Marek J. | Pridané: 13.10.2008 11:43 KONECNE NORMALNY NAZOR! Odpovedať Hodnotiť:

Podla mna je to OK Od reg.: FAbi2 | Pridané: 10.10.2008 9:10 Lamky si este aj potvrdia instalaciu virusu:-D Odpovedať Známka: 7.5 Hodnotiť:

Re: Podla mna je to OK Od: Bozzzz | Pridané: 18.10.2008 20:29 Virus Win32/Tenga.a is requesting administrator privileges. ____ Allow / Deny Odpovedať Hodnotiť:

Co sa tyka ankety Od reg.: uhm | Pridané: 10.10.2008 9:36 Anketa by mala byt rozdelena na 2-3, kedze nema vyznam to vsetko vyhodnocovat spolocne Odpovedať Známka: -3.3 Hodnotiť:

UAC.. Od: badyto | Pridané: 10.10.2008 10:31 To je prva vec co spravim po instalaciu visty -> vypnem kontrolu UAC Odpovedať Známka: -10.0 Hodnotiť:

Re: UAC.. Od: lyserg | Pridané: 10.10.2008 10:58 Možno ty ale ja po inštalácii Visty formát C a instll linux Odpovedať Známka: -2.5 Hodnotiť:

Re: UAC.. Od: Roam | Pridané: 10.10.2008 11:22 Asi sa doma velmi nudis. Co idem dnes robit, tak zabijem 4 hodiny s instalaciou visty a potom dam format c, boha ale som vtipny a smejes sa na sebe zvysok dna aky si uzasny co. Odpovedať Známka: 3.3 Hodnotiť:

Re: UAC.. Od: siirii | Pridané: 10.10.2008 11:51 Pozor ozval sa GURU, všetci kľaknúť! Odpovedať Známka: 1.4 Hodnotiť:

Re: UAC.. Od: jfk-x | Pridané: 12.10.2008 11:55 :D:D:D takze instalujes visty, potom to sformatujes, nainstalujes linux a co potom? podel sa s nami, sme zvedavi? Grab your dick and double-click? Odpovedať Známka: 6.0 Hodnotiť:

Re: UAC.. Od: Zmurko | Pridané: 13.10.2008 12:09 Si to vymakol. Ved nakoniec: Internet is for pooorn ^_^ Odpovedať Hodnotiť:

UAC Captcha Od: --- | Pridané: 10.10.2008 11:10 Myslim, ze tou novinkou bude pridana captcha a odpocitavanie pri kazdom zobrazeni UAC :) Odpovedať Známka: 8.0 Hodnotiť:

Re: UAC Captcha Od: xxxxs | Pridané: 10.10.2008 12:50 +1 Odpovedať Známka: -2.0 Hodnotiť:

Re: UAC Captcha Od reg.: Gyrxiur | Pridané: 10.10.2008 14:43 No, tak si budeme musiet kupit premium ucty ;c) Odpovedať Známka: 4.0 Hodnotiť:

Re: UAC Captcha Od: --- | Pridané: 10.10.2008 16:53 A mozno od 22:00-6:00 bude mat Windows 7 "Happy hours" (for malware) :) Odpovedať Známka: 4.0 Hodnotiť:

Re: UAC Captcha Od: Bozzzz | Pridané: 10.10.2008 19:25 pri kazdom odkliknuti budete prepisovat keygen, elektronicke ID, odtlacok prstov, telefonicke potvrdenie do pobocky microsoftu v prahe a nakoniec občiansky preukaz na colnicu Odpovedať Známka: 2.0 Hodnotiť:

Re: UAC Captcha Od: yanick (offline) | Pridané: 10.10.2008 20:03 A WGA vo Windows 7, raz mesacne zablokuje cely system a odblokuje ho az vtedy, ked do 200-pixelov dlheho textbox-u uzivatel prepise licencnu zmluvu (EULA). Odpovedať Známka: 0.0 Hodnotiť:

Re: UAC Captcha Od: Klolok | Pridané: 11.10.2008 11:18 A este ju pritom perfektne prelozi s anglictiny do slovenciny Odpovedať Známka: -6.7 Hodnotiť:

Re: UAC Captcha Od: iguso | Pridané: 11.10.2008 18:22 tak ty si - vzhladom na tvoju uroven slovenciny - skoncil =) Odpovedať Známka: -1.4 Hodnotiť:

Re: UAC Captcha Od: Klolok | Pridané: 10.10.2008 19:30 Treba vsak davat pozor, lebo potom crackery urobia softy, ktore budu obchdzat captche a automaticky namiesto pouzivatelov potvrdzovat vsetky nastavenia, resetovat IP aby nemuseli uzivatelia cakat na odpocitavanie, a otravovat sa so vsetkymi nastaveniami, ale vsetko to automaticky nastavi. Takze nebude treba ani premium a malwer pojde sam automaticky :-) Odpovedať Známka: -5.0 Hodnotiť:

Re: UAC Captcha Od: Klolok | Pridané: 10.10.2008 19:32 A este som zabudol bude blokovat hlasenia antiviru a firewallu aby to zbytocne neotravovalo neznalych uzivatelov. Odpovedať Známka: -5.0 Hodnotiť:

Re: UAC Captcha Od: --- | Pridané: 10.10.2008 19:42 Malo by to blokovat tiez chybove hlasky vsetkych programov, aby ludia klikali 5x menej. A za maly poplatok by si dostal extra funkciu na blokovanie BSOD. Odpovedať Známka: -3.3 Hodnotiť:

vista Od: sic | Pridané: 12.10.2008 10:43 vista este nema vychytane vsetky muchy ,na Xp to trvalo niekolko rokov a vy cakate ze pri viste to bude za 5min Odpovedať Známka: 3.3 Hodnotiť:

Re: vista Od:   v | Pridané: 12.10.2008 18:50 jasne Odpovedať Hodnotiť:

Re: vista Od: bigboss | Pridané: 12.10.2008 21:27 Vista je o dost premakanejsia ako XP, som ju pred tyzdnom nainstaloval holke do kompu bo ona ma doma delo + som tam dal Kaspersky Antivirus namiesto NODu a konecne jej vsetko facha ako ma.. a aj jej sa VISTA viac paci. jediny problem bol s DX niektore hry napr(Supreme Commander) pytali DX 9 kniznice tak som tam nainstaloval DX9 a uz ziaden problem. Odpovedať Hodnotiť:

Re: vista Od: picus | Pridané: 12.10.2008 23:00 takze s nodom "nefacha ako ma" ? Odpovedať Hodnotiť:

UAC je OK Od: fň___ | Pridané: 21.10.2008 14:43 Robí len to, čo má. Je to to isté, ako keď Linux požaduje pri rôznych operáciách heslo Roota. Určite to ľudí aj otravuje, ale je to vyriešené lepšie ako v XP. Tam pri určitých operáciách chýbala možnosť spustiť program s vyššími právami, resp. sa dalo na to pozabudnúť a človek musel spúšťať program znova. Vista sa spýta vždy. Jediné riziko je tá rutina. Spomínam si na rozhovor s nejakým odborníkom na bezpečnosť, ktorý povedal, že najľahšie sa dá získať administrátorské/rootovské heslo tak, že si vírus priamo pýta. Vyskočí okienko, užívateľ zadá heslo a až potom rozmýšľa, čo to vlastne povolil... Odpovedať Hodnotiť:

Co takto Mac? Od: Delfor | Pridané: 30.10.2008 0:28 teda pani ja si nemozem pomoct. Vista samozrejme nie je ani zdaleka tak stabilna ako XP, ako uz vysie niekto napisal...Xp to trvalo dobrych zopar rokov kym bol pouzitelny. No podla mojho nazoru sa jednoducho treba obzriet po inych moznostiach kym bude vista aspon na takej urovni, ze si pri nej ludia nebudu trhat vlasy. Mac OS X leopard.... ked uz nic ine, tak minimalne stabilnejsi, rychlejsi, prijemnejsi a nervy setriaci system. Len to ma jeden hacik...ked raz skusite Mac tak uz na vistu ani nepomyslite....ani keby vam citala myslienky a kosila travnik. Odpovedať Hodnotiť:

Pridať komentár