弥补现行之不足——comodo功能扩展和完善的相关讨论

柯林

comodo现行的机制，以简单易用和安全智能著称，综合评判来说，有的地方还有不足，特别是涉及保密事项，还有很大的改进空间。闲而无聊的来聊一聊相关问题。

沙盘二分——信任程序沙盘外运行，非信任程序沙盘内运行，很简单很有效。
有个缺点，对信任文件的管制太松（实际上几乎是毫无节制），让人不爽——
譬如，IE可以修改internet起始页；pps、电驴、QQ等程序可以随意添加一个开机启动项……

为了去除这些令人不爽的事情，也来个简单的，设置一个机密区如何？
无论是文件（目录），还是重要的注册表键，只要用户放入机密区的，设置一个密码后，任何程序想要访问，必须由用户输入密码，才可以访问，否则10秒倒计时后自动阻止。禁止读取，禁止列出，禁止修改，禁止创建，这是对非法访问的禁令。简单说，就是一个权限问题——有没有权限访问。

此功能类似于所谓保险箱，但比保险箱更广大，结合了类似文件夹加密和注册表访问授权等功能。简单一句话，无权不得访问——管你木马窃密还是间谍软件扫描文件，没有授权一边凉快。
如果必要，机密区也可以划分——
高机密区：存放用户帐号密码及存放账号密码的文件、注册表，私密文件等
普通机密区：列入保护的文件夹目录和注册表
那个不伦不类的拦截区，删了吧

为了配合机密区，或者说更严格地限制信任文件，建议毛豆对信任程序分级——至少分3级：高可信、中等可信、一般可信。不同的级别给予不一样的AD权限。（用户可以进行调整，例如把位于一般可信区的程序移动到中等可信区）

设置一个保驾护航区，规定：当该区内的程序运行时，自动结束沙盘内的所有进程。

其它的，大家补充。对以上设想有看法，欢迎交流。

用户名不存在

这么久了毛豆都不肯加个防读功能，估计是考虑到易用性吧。拦截区一刀切，是太粗糙了。谁去官方论坛建议建议看

myzuzong

对于二分法的不足，我觉得可以改进规则优先级的方法解决，即增加“总是询问”。对于希望绝对控制的区域，比如开机启动项，可以设置总是询问，除非明确指定允许或阻止。这样可以避免疯狂模式过于疯狂，又可避免安全模式对信任程序的绝对放行。可以向360学习。360手动模式下会绝对询问开机启动项修改行为。

footman

其实只要把FD细分下支持防读取就好了

柯林

myzuzong 发表于 2011-11-21 14:15
对于二分法的不足，我觉得可以改进规则优先级的方法解决，即增加“总是询问”。对于希望绝对控制的区域，比 ...

博采广收，凡是好的东西都可以借鉴吸收，这态度不错。

我的想法是，不止是开机启动项这些东西，要做就深入一步——锁住系统，授权访问，把最高安全和最佳易用完美结合。现成的例子：win7锁住了一些东西，一般用户无法访问。既然是安保软件，那就彻底搞好系统的保安工作，像注册表里本来就只允许系统访问修改的东西，就应该一律“闲人止步”了。

柯林

footman 发表于 2011-11-21 14:45
其实只要把FD细分下支持防读取就好了

对于普通用户，太多的弹窗会受不了：一般人很难适应自定义规则。

保险箱式的傻瓜分区操作，比较容易大众化——重要东东丢里面授权访问，不放里面的东西不管。用家自由定制。

柯林

总体思想，就是分区划权。
打个比喻，相当于一座森严壁垒的军事城堡，哪个级别的人能到哪个区，严格规定，越权乱闯的枪毙。要想访问机密档案，必须有最高部门的授权；要见指挥官，必须有授权书……
安全软件，只有做到这样的准军事化管理，才能把系统打造成真正安全的系统。

fwj123

可信程序分级其实几好，没有防读是个遗憾。

还有就是弹窗的信息量要详细些以及加强可操作性，其实加强弹窗的功能和提示也正是减少弹窗的一个好方法。

柯林

毛豆沙盘战略，玩的其实就是分区划权——
分区：两大区——沙盘区与非沙盘区
划权：两种权限——进沙盘的剥夺高级权限，不进沙盘的给予高级权限。

我现在要求的，只不过是把这游戏扩大和深入，可以叫它大沙盘玩法。希望理想版本是一座等级森严的钢铁堡垒。

柯林

柯林 发表于 2011-11-21 19:33
毛豆沙盘战略，玩的其实就是分区划权——
分区：两大区——沙盘区与非沙盘区
划权：两种权限——进沙盘的 ...

世上有两种人
一种属于埋头干活不吭声的 广大技术流是
一种属于站着说话不腰疼的 我就是