On Mon, 4 Apr 2005 14:13:20 +0300 Daniel Ionita <[EMAIL PROTECTED]> wrote:
> Monday, April 4, 2005, 1:56:59 PM, you wrote: > > m> 1. clamav are optiune sa ii precizezi cati kb sa scaneze dintr-un > m> fisier, deci nu-l mai tot dati exemplu negativ ca nu merita. > > Bravo lui. Dar nu cred ca e nevoie sa-l dai exemplu pozitiv, ca nu > merita ;) La feature in cauza merita, doar ai precizat ca nu e tocmai simplu de facut, iar el il are. :) > > m> 2. Scenariu: Compun un email html, la inceput bag o linie > Imi trece si mie prin cap cum sa fac o chestie d-asta... ;) Da da tu esti meserias, vream sa arat ca si un anti-meserias poate face asa ceva :) > > m> Sunt sigur ca exista o metoda de a scana integral un html in mod > m> inteligent fara a afecta performanta foarte mult. Ceva care > m> sa se uite numai dupa linkuri, or something. > > Serios? Esti _sigur_? Si cum faci tu sa cauti "numai linkuri" sau de a > scana "integral" un html fara sa citesti tot fisierul? :) Pai, nu stiu exact cum functioneaza un engine av, dar banuiesc ca ideea de baza e sa compari un material (presupus virusat) cu o lista de semnaturi. Acum, viteza depinde si de marimea listei de semnaturi si de marimea materialului. Daca parsez materialul in cautare de linkuri only, fara sa compar cu lista de semanturi, procesul depinde numai de marimea materialului. Dupa ce am extras linkurie (care le pastrez intr-un buffer sau o fila temporara, or smth) atunci le compar cu lista de semnaturi. Bineinteles ca ce zic eu e abordare simplista si poate hilara, dar ideea din spate cred ca e valabila si probabil folosita de multi av (poate chiar si bdc). In continuare , gasirea linkurilor depinde de marimea materialului, dar faptul ca imi propun sa gasesc linkurile fara ca sa fac check against baza de semnaturi decat _doar_ pt linkuri, impune in mod sigur un supliment de viteza (again, poate ca deja exista chestia asta in bdc) m> Sau daca nu, macar sa m> existe optiunea de a activa un asemenea feature. Si cine crede ca il m> duce hardware, sau nu are volum mare de email sa o activeze. > > Asta nu tine de mine, dar nu este trivial de facut asta si nu > cred ca e cazul sa-ti faci sperante ;) Nu am aratat cu degetul pe nimeni, daca as fii fost in domeniu poate mi-as fi permis sa critic sau sa dau indicatii, te cred ca nu e trivial, din nou ma simt nevoit sa dau clamav drept exemplu pozitiv in privinta asta. > Si daca nu ar avea <html><head>, etc, si ar fi doar text plain, cum > mi-as da seama ca e html? Si ala e randat foarte frumos de browsere, > si se poate pune in el dupa o "vorbarie" de 1 mega un <a href>. > Solutii de "ocolit" se gasesc pentru orice. De fapt idee era de nu permite unui cod sa se execute cand vrea muschii lui atunci cand ajunge intr-un outlook sau alt mua vulnerabil. Daca respectivul cod html nu e precedat de <html><head> (sau nu are Content-Type: text/html prin headere) poate nu mai e interpretat ca html nici de outlook experess si atunci nu exista nici vulnerabilitate. Vorbesc ipotetic, cred ca numai mama Omida stie ce comportamnet poate avea Outlook in diferite ipostaze. > > Consider ca am explicat suficient de ce nu se scaneaza tot fisierul, > deci nu vad ce s-ar putea castiga din continuarea discutiei. Ok -- Mihai Voica --- Detalii despre listele noastre de mail: http://www.lug.ro/
