Diskusjoner rundt UAC [modwarn: generelle diskusjoner rundt GNU/Linux og/eller Windows vil medføre reaksjoner]

[kaffenils]

Hvis brukeren ikke forstår UAC, og skrur det av, så får det være brukerens problem. Da får han leve med risikoen selv om han ikke skjønner bæret av det.

Det er jo egentlig en ganske skremmende holdning. Å skyve alt ansvar for sikkerhet over på sluttbrukeren er en uting. Har man laget et system som gjør at sluttbrukeren velger å skru det av fordi det er for vanskelig/man ikke ser poenget, er det systemet som har feilet, og ikke sluttbrukeren.

 

Tenk for eksempel om Nordea hadde sagt det samme angående deres sikkerhetssystemer...

Systemet er sikkert nok, men trygg/sikker bruk av pc er dessverre ikke medfødt, det må læres. Hvem skal ta ansvaret for opplæringen da? Det finnes masse informasjon både på nettet og i Hjelpen i Vista, men problemet er at brukerene ikke gidder å lære, selv om informasjonen ligger rett foran nesen på dem. Slik jeg setr det så er ikke UAC verken vanskeligere eller enklere enn su/sudo, men menigmann skjønner seg ikke på det.

[GeirGrusom]

Hva hvis en måtte skrive inn passord hver gang sånn som en må i andre OS, hva hadde skjedd da? Hadde ikke folk skrudd av UAC da? Hva hvis de TVANG brukere ti å skrive inn passord hver gang, og det var umulig å skru av?

Det hadde blitt et helvete for Microsoft med klager, fordi brukerne er ikke vandt til dette fra før.

 

Hver gang MS gir ut et nytt OS, klager folk på det, Når Windows XP kom ut, skulle folk avinstallere det og legge inn Windows 2000 og til og med Windows 98. Når Vista kom ut, skulle alle legge inn Windows XP plutselig. Lurer på om folk kommer til å avinstallere Windows 7 for å legge inn Vista? hadde ikke overrasket meg et sekund.

 

Brukere er ikke interessert i å kjøpe et nytt OS, de er interessert i å kjøpee et OS som er helt likt det de kan fra før: Et OS der du slipper å gi programmer eksplisitt administratortilgang fordi de er vandt til å være admin i de gamle systemene.

 

Dette er selvsagt Microsoft sin feil, de skulle lagt inn UAC i Windows XP. Det omgår likevel ikke problemet at for brukere som ikke er ordentlig klar over sikkerhetsproblemene i Windows XP sin default instilling gir, ikke forstår poenget med UAC.

 

Jeg vet også av erfaring at brukere er LIVREDD for å lese meldinger og trykke på knapper, de blir fullstendig analfabeter når det kommer meldinger som UAC, og trykker på hva som helst for å få vekk denne meldingen.

Denne atferden var også opphavet for et annet sikkerhetsproblem i Windows: ActiveX under Internet Explorer. De fleste her husker kanskje den tida da det kom en messagebox opp hver gang en side skulle installere ActiveX kontroller? Porblemet her var at brukere trykket på "Yes" her bare for å få vekk meldingen. Løsningen var å gjøre det slik at brukeren ikke måtte svare på meldingen.

Kanskje noe lignende kunne blitt gjort for UAC også, så svarer brukeren kun på Ja på UAC dersom det er nødvendig for dem.

[kaffenils]

1) Hva hvis de TVANG brukere ti å skrive inn passord hver gang, og det var umulig å skru av?

 

2) Jeg vet også av erfaring at brukere er LIVREDD for å lese meldinger og trykke på knapper, de blir fullstendig analfabeter når det kommer meldinger som UAC, og trykker på hva som helst for å få vekk denne meldingen.

1) Mener jeg har hørt om et annet OS som gjør det på denne måten... Hmm, hva var det nå det het?? Jeg tror det har oppnådd nesten 1% markedsandel på 20 år.

 

2) Åååååhhh hvor jeg er enig. Fra en dialogboks med en Ok eller Yes knapp vises så kan det ikke ta mye mer enn et hundredels sekund før bruker han klikket på denne knappen.

[del_diablo]

Jeg vet også av erfaring at brukere er LIVREDD for å lese meldinger og trykke på knapper, de blir fullstendig analfabeter når det kommer meldinger som UAC, og trykker på hva som helst for å få vekk denne meldingen.

Denne atferden var også opphavet for et annet sikkerhetsproblem i Windows: ActiveX under Internet Explorer. De fleste her husker kanskje den tida da det kom en messagebox opp hver gang en side skulle installere ActiveX kontroller? Porblemet her var at brukere trykket på "Yes" her bare for å få vekk meldingen. Løsningen var å gjøre det slik at brukeren ikke måtte svare på meldingen.

Kanskje noe lignende kunne blitt gjort for UAC også, så svarer brukeren kun på Ja på UAC dersom det er nødvendig for dem.

 

Folk hater popups, spesielt de som nekter å lese dem. Søster mi og mor mi nekter å lese tror jeg, de gidder aldri å lese i såfall(eneste forklaring jeg kan komme på). Pappa ble entusiast og begynte med Microsoft en gang så han er mer kjent med det.

Active X lider av popup greia, noe som ikke er bra. Selv hater jeg popups spesielt når de mangler virkelig relevant informasion, eller som UAC som er rent irritabelt.

Hadde jeg fått good informasion ved opsette av PC'n hadde jeg ikke klaga, men det gjorde jeg ikke. Eller om jeg hadde fått informasion om hva i pokker UAC gjorde.

Linux sin sudo og su løsninger er latterlig elegant i sammenligning.

Bruker: *starter program*

Linux: Programet KAN fikler med PC'n og de delene du ikke har rettigheter til, trenger root tilgang.

Bruker: Ok, hvordan får jeg det da?

Avansert bruker: Via sudo og su, sudo skrive før det du skal starte igang det som er mens su skives 1 gang på terminal du åpner. Med f.eks Synaptic kommer det en popup hvor du blir bedt om å bekrefte det 1 gang på sessjon på PC'n. I f.eks Ubuntu dekker også den medfølgende informasionen dette.

 

Det finnes masse informasjon både på nettet og i Hjelpen i Vista, men problemet er at brukerene ikke gidder å lære, selv om informasjonen ligger rett foran nesen på dem. Slik jeg setr det så er ikke UAC verken vanskeligere eller enklere enn su/sudo, men menigmann skjønner seg ikke på det.

 

Har du noensinne sett hjelpen i Vista? På nette er det greit nok, men det må finnes i det uendeligheten vi kaller nette. Hvet allerede om gode løsninger om hvordan det kunne ha blitt gjordt så, og jeg har også lest hjelped i Ubuntu. Windows lider av "dårlig hjelp" kataloger, virkelig vanskelig å finne noe i den. Og det du finner er sjeldent relevant.

 

1)

2) Åååååhhh hvor jeg er enig. Fra en dialogboks med en Ok eller Yes knapp vises så kan det ikke ta mye mer enn et hundredels sekund før bruker han klikket på denne knappen.

 

Vis jeg ville ha gjordt UAC brukervennelig hadde jeg gjordt noe av dette:

*Fjernet "kjør som admin" fra valg menyen fra høyreklikk, og latt UAC tilate programer å kjøre uten grenser blant annet ved en kryssboks, også lagt en kryssboks for "ikke plag meg igjen med dette programet".

*Fjernet popupen og bare hatt "kjør som admin" i menyen til høyreklikk. Og en måte å gi informasion om dette.

*Et eget ikon på meny linja som ville ha gitt admin rettigheter vis du drar program på det. Vis du bare klikker på det får du på "velg sti til program og klikk kjør".

 

Også:

I taskmgr skulle man hatt muligheten til å gi admin krefter for en fastsatt lenge tid, ved høyreklikk på oppgave. Også mulighete til å skru direkte av/på admin krefter der.

 

Vis du ikke kjører med admin rettigheter blir det "read only", men det har lov til å tukle med mapper som er satt op til dette. Og lagt til et veldig enkelt GUI for config av hvilken gruppe som får lov til hva. Også fått lov til å forandre defaulten for nye mapper.

Ville også ha lagt til informasion ved install og at kontoer du lager ikke blir mer en B brukere mens du har lov til å logge in som admin også vis du vil. Idealt for f.eks Warcraft 3, siden den ikke bør bli stanset av UAC før den begynner å laste ned kart fra battle.net? Med mindre det er updates da siden jeg sist kjørte Win med UAC.

Endret 15. januar 2009 av cyclo

[kaffenils]

Problemet er at hvis du ikke har popups så er eneste alternativet at det du prøver å gjøre ikke virker. Da må enten brukeren begynne å lese hjelpefiler/manualer, og det er synes du tydeligvis er enda mer frustrerende. Måten Linux gjør det på er ikke noe bedre for amatørbrukere da de ikke vil skjønne hva su/sudo er for noe. Teminalen er noe av det minst brukervennlig som finnes for amatørbrukere.

 

Hjelpen i Vista er bra det. Søker du på UAC så finner du mye god informasjon, men en amatørbruker vil kanskje ikke forstå det. Like lite vil samme brukeren forstå noe av hjelpeinformasjonen av su/sudo. Linux har aldri vært god på dokumentasjon. Den er skrevet av avanserte brukere, for avanserte brukere.

 

De to første punktene du skriver om hva du ville endre med UAC er jo helt selvmotsigende. I pkt 1 vil du fjerne "kjør som admin", mens i pkt 2 vil du ha den tilbake igjen.

 

Og så til det siste avsnittet. Det virker som du tror at alle programmer må startes med UAC. Det er selvfølgelig helt feil. Når en bruker starter et program så har programmet rettigheter til å utføre det som brukeren har rettigheter til definert i ACL. ACL i Windows er mye, mye mer fleksibelt enn i Linux. Filrettigheter i Linux har ikke endret seg siden 60/70-tallet er er fullstendig utdatert.

Nå har jeg ikke spilt WOW, men hvis WOW krever admin-rettigheter etter at det er installert så har WOW-utviklerene gjort noe feil. UAC vil ikke stoppe et program som prøver å aksessere nettet, f.eks. battle.net.

Endret 15. januar 2009 av cyclo

[del_diablo]

De to første punktene du skriver om hva du ville endre med UAC er jo helt selvmotsigende. I pkt 1 vil du fjerne "kjør som admin", mens i pkt 2 vil du ha den tilbake igjen.

 

Lær å lese.

jeg gjordt noe av dette:

 

Hjelpen i Vista er bra det. Søker du på UAC så finner du mye god informasjon, men en amatørbruker vil kanskje ikke forstå det. Like lite vil samme brukeren forstå noe av hjelpeinformasjonen av su/sudo. Linux har aldri vært god på dokumentasjon. Den er skrevet av avanserte brukere, for avanserte brukere.

 

Det var grense, prøvd Ubuntu n00b? Ikke si noe som helst før du har prøvd å se litt på hjelpen der.

Eller har du lest manuallene til program som skaffes? Spesielt terminal programene har gode manualer.

 

Problemet er at hvis du ikke har popups så er eneste alternativet at det du prøver å gjøre ikke virker. Da må enten brukeren begynne å lese hjelpefiler/manualer, og det er synes du tydeligvis er enda mer frustrerende. Måten Linux gjør det på er ikke noe bedre for amatørbrukere da de ikke vil skjønne hva su/sudo er for noe. Teminalen er noe av det minst brukervennlig som finnes for amatørbrukere.

 

sitat: "Simpler does not mean harder".

 

Og så til det siste avsnittet. Det virker som du tror at alle programmer må startes med UAC. Det er selvfølgelig helt feil. Når en bruker starter et program så har programmet rettigheter til å utføre det som brukeren har rettigheter til definert i ACL. ACL i Windows er mye, mye mer fleksibelt enn i Linux. Filrettigheter i Linux har ikke endret seg siden 60/70-tallet er er fullstendig utdatert.

 

Vennligst forklar hvorfor det er bedre? Vil gjerne vite dette.

Sitat: If it aint broken, don't fix it.

 

Nå har jeg ikke spilt WOW, men hvis WOW krever admin-rettigheter etter at det er installert så har WOW-utviklerene gjort noe feil. UAC vil ikke stoppe et program som prøver å aksessere nettet, f.eks. battle.net.

WoW = crap

War 3 = et annet spill

War 3 er et RTS med brukerlagde kart og et heltesystem. Det mest berømte og noe av det dårligste på det er DotA.

Var det ikke UAC som nektet program å start? Er det patched siden den gang, jaja?

Endret 15. januar 2009 av cyclo

[kaffenils]

sitat: "Simpler does not mean harder".

Og hvor står det skrevet at su/sudo er "simpler" eller for den saks skyld at sitatet passer for sudo?

Endret 15. januar 2009 av cyclo

[GeirGrusom]

kaffenils har helt rett når han sier at programmer som får opp UAC hver gang det starter er feil laget. Dette skal normalt ikke skje, og har noe med hvordan en skriver programmet. Det er fint mulig å unngå dette.

UAC skal ikke hindre programmer som warcraft 3 å laste ned brett, dette er det firewallen som har ansvar for, og dersom UAC reagerer på Warcraft 3, har blizzard gjort noe feil.

 

Jeg blåser i Linux, jeg bruker Ubuntu på laptopen min, og får mer enn nok av dette i løpet av en skoledag, det er heller ikke relevant til diskusjonen.

[del_diablo]

Og hvor står det skrevet at su/sudo er "simpler" eller for den saks skyld at sitatet passer for sudo?

 

Vel, og UAC skal være enkelt og bedre?

Endret 15. januar 2009 av cyclo
OT

[GeirGrusom]

Det er ihvertfall enkelt.

Mange er ikke interessert i å lære seg hvordan en terminalen, og i Windows er dette fullstendig unødvendig med UAC.

For å mounte en disk i linux må du i terminalen og du må vite at du må bruke sudo for at det skal funke. Ikke så veldig heldig for brukere som kanskje ikke engang vet hva en terminal er.

UAC kommer opp med en melding som forklarer problemet, du trenger ikke vite om den på forhånd som du må med sudo/su.

[kaffenils]

Var det ikke UAC som nektet program å start? Er det patched siden den gang, jaja?

Hvor har du fått den ideen at UAC nekter programmer å starte fra?

[GeirGrusom]

Programmer som er lastet ned fra internett må ofte unblockes før du kan bruke dem.

Dette gjør du ved å høyreklikke på filen, velge Properties og trykke på Unblock.

[del_diablo]

Det er ihvertfall enkelt.

Mange er ikke interessert i å lære seg hvordan en terminalen, og i Windows er dette fullstendig unødvendig med UAC.

For å mounte en disk i linux må du i terminalen og du må vite at du må bruke sudo for at det skal funke. Ikke så veldig heldig for brukere som kanskje ikke engang vet hva en terminal er.

UAC kommer opp med en melding som forklarer problemet, du trenger ikke vite om den på forhånd som du må med sudo/su.

 

 

Tja, ganske mye automounting i Linux så det har lite å si. Dessuten slipper man å installere f.eks Deamontools for mounting atpåtil

Syne UAC kunne vært gjordt bedre, som f.eks bare popet op på programer ved installasjon og senere merked hva som er hva.

Eller hva med "kjør som admin", når du klikker det vil UAC fortsatt komme opp. Blah.

[GeirGrusom]

Joda, men så starter du ikke programmer som administrator hver eneste gang heller

Under en vanlig dag opplever jeg ikke UAC én eneste gang. Det er bare når jeg installerer programmer eller konfigurerer ett eller annet.

[kaffenils]

Syne UAC kunne vært gjordt bedre, som f.eks bare popet op på programer ved installasjon og senere merked hva som er hva.

Kan du utdype litt mer i detalj hva du mener med "...og senere merked hva som er hva". Hva er "hva er hva"?

 

Eller hva med "kjør som admin", når du klikker det vil UAC fortsatt komme opp. Blah.

Hvor da? Hvis jeg f.eks. eksplisitt starter en installasjon som admin så blir jeg ikke forstyrret av UAC igjen.

[cyclo]

Dette er siste advarsel. Den som fra nå av nevner GNU/Linux eller Windows og prater om noe som ikke angår temaet UAC vil få 24 timers pause fra forumet.

 

(Og som vanlig skal ikke dette innlegget kommenteres, send evt. en PM)

[Syar-2003]

Hva hvis en måtte skrive inn passord hver gang sånn som en må i andre OS, hva hadde skjedd da? Hadde ikke folk skrudd av UAC da? Hva hvis de TVANG brukere ti å skrive inn passord hver gang, og det var umulig å skru av?

Det hadde blitt et helvete for Microsoft med klager, fordi brukerne er ikke vandt til dette fra før.

 

Bare for å nevne det.

Det er mulig å sette dette i local security policy (eller domain AD)

 

 

Item heter :

User Account Control: Behavior of the elevation promp: for administrators in Admin Approval Mode

(default prompt for consent)

Kan endres til "prompt for credentials" for denne funksjonaliteten.

 

Opsjoner:

The options are:

 

ò Prompt for consent: An operation that requires elevation of privilege will prompt the Consent Admin to select either Permit or Deny. If the Consent Admin selects Permit the operation will continue with their highest available privilege. This option allows users to enter their name and password to perform a privileged task.

 

ò Prompt for credentials: An operation that requires elevation of privilege will prompt the Consent Admin to enter their user name and password. If the user enters valid credentials the operation will continue with the applicable privilege.

 

ò Elevate without prompting: This option allows the Consent Admin to perform an operation that requires elevation without consent or credentials. Note: this scenario should only be used in the most constrained environments.

 

Default: Prompt for consent

 

 

 

Og

User Account Control: Behavior of the elevation prompt for standard users

(default prompt for credentials)

Endret 17. januar 2009 av syar2003

[GeirGrusom]

Og

User Account Control: Behavior of the elevation prompt for standard users

(default prompt for credentials)

 

Dette ville jo det blitt rabalder om hvis det var standard oppførsel.

 

Jeg mener folk klager over UAC rett og slett fordi de ikke er vandt til det.

 

Ved hver nye Windows versjon klager folk på alle ting som er endret, det er så veldig tydelig at mennesker egentlig ikke er interessert i endringer (bare se hvor mange som protesterte mot det nye facebook UI-et, men som likevel ble vandt til det etterhvert)

Jeg synes UAC er en god idé, og den funker helt greit.

[Theo343]

Det som nok også er litt komisk er at de som skulle beskyttes med denne nok taster inn brukernavn og passord uansett når denne kommer opp. På den måten blir de infisert uansett.

 

UAC i en eller annen form er nødvendig, men man skal ikke overvurdere den generelle brukerens våkenhet.

Endret 17. januar 2009 av Theo343

[Syar-2003]

Vel ..

er man standard user i et system med UAC vil man ikke kunne installere eller gjøre en dritt uten administrator passordet.

Er det samme som total "lockdown" for ikke priviligerte brukere.

 

Dog er det vanskelig å opprettholde denne policien i praksis.