Doverose premesse:
1) non sto facendo un confronto sulla sicurezza fra vista e linux. gli unici confronti di sicurezza sono rispetto a XP.

2) L'unico confronto che faccio rispetto a linux è il funzionamento del sistema di autenticazione, non per dimostrare che sia meglio o peggio, ma per evidenziare le differenze. La distro di riferimento che uso è Ubuntu, quindi per piacere niente roba tipo "ma ocn xxx si sblinda la supercazzola", perchè se ci mettiamo a confrontare con ogni distro non si finisce più.

3) non sto dicendo che vista è il miglior os del mondo o il più sicuro. Sto solo cercando di spiegare il perchè ha senso non disabilitare UAC. Questo perchè c'è un sacco di gente che lo ritiene una scocciatura, quando dovrebbe essere solo contenta che ci sia.

4) la versione di riferimento di vista è quella con sp1.

5) nei commenti gradirei che si usino lo stesso peso e la stessa misura. Dal momento che UAC svolge una funzione del tutto analoga a quella di un sudo, anche se con meccnaismi e implementazioni diverse, se mi dite che è inutile, dovete anche spiegarmi perchè lo stesso layer di sicurezza diventa utile su un linux. E ocn motivazioni che siano valide.


Ciò detto, avanti.

1) Si, ma cosa è UAC?
UAC è l'acronimo di User Account Control. E' una feature di sicurezza introdotta con Windows Vista. Serve a consentire all'utente di impedire l'esecuzione/installazione di software non voluti.

2) Ah, quello. Ma porca miseria, mi chiede di autenticare anche gli starnuti! E' una palla!

Si e no. In vista pre SP1 era un filo ridondante su alcune applicaizoni, cosa che è stata corretta. Con il sp1 la ridondanza è molto ridotta. Un utente medio potrebbe usare tutto il giorno vista senza mai vedere UAC. I task o operazioni per le quali Vista richiede l'autenticazione sono:

* Cambiamenti alle impostazioni di sistema o ai file in %SystemRoot% o %ProgramFiles%
* Installare e disinstallare applicazioni
* Installare driver di periferiche
* Installare controlli ActiveX
* Cambiare le impostazioni di Windows Firewall
* Cambiare le impostazioni di UAC
* Configurare Windows Update
* Aggiungere o rimuovere account utente
* Cambiare il tipo di account utente (ad esempio da utente base a utente admin)
* Configurare i Controlli Famiglia (o Parental Controls che dir si voglia)
* Avviare il Task Scheduler
* Ripristinare il backup dei file di sistema
* Guardare o modificare cartelle e file appartenenti ad un altro utente.

Tutte le altre operazioni non attivano UAC.

3) Si, tutto molto bello, ma perchè lo dovrei tenere? Tanto basta cliccare su Continua, dove sta la sicurezza se un utente clicca su continua ogni volta che appare?

Bravo fesso per l'utente. UAC propone il prompt di autenticazione quando si esegue una delle operazini di cui sopra. Se l'utente non si preoccupa di controllare cosa gli sta chiedendo installazioni o modifiche è fesso l'utente. Emblematico uno dei problemi che ha avuto più risonanza: i famosi cursori mannari. Questo attacco, lo ricordo per chi non lo sapesse, consisteva in un semplicissimo cursore animato che mandav ain crash il sistema. Qui è disponibile un video. Interessante però l'analisi approfondita e molto tecnica di Michael Howard (che per chi non lo sapesse, non è l'ultimo degli stronzi), nella quale spiega come l'attacco abbia dovuto coinvolgere e superare 4 diversi layer di sicurezza. Ma cosa c'entra UAC? C'entra perchè, in caso di attacco reale (nel video l'attacco è solo una proof of concept, gli attacchi reali avvenivano direttamente dal web), a prescindere dal browser che si usa, un'operaizone del genere fa scattare il prompt di UAC. Bene, ora se tu utente vedi che un file con estensione .ani ti chiede di eseguirsi usando i diritti di amministratore, tu cosa fai, visto che non hai cliccato nessun file con quel nome? Lo rifiuti. Perchè se accetti sei un fesso.

4) Si ma sotto linux sudo è meno invadente.

Certo. Ma qui parliamo di differenze colossali. Per strategie di mercato che personalmente ritengo discutibili, ms ha instillato negli utenti l'idea che l'utente è di base amministratore, e ora sta cercando di rimediare (fortunatamente). Le cose si erano già mosse con XP, dove è possibile girare come utente non admin, ma l'installazione di default era l'utente amministratore, cosa che aiutava poco. Vista adotta invece un sistema molto simile a quello di Ubuntu: l'amministratore/non-amministratore. Ossia, anche entrando come root (o admin che dir si voglia), le operazioni critiche non vengono effettuate se non ci si autentica. Su ubuntu, il comando sudo crea un token, ossia un "bigliettino" nel quale per un certo periodo di tempo (5 minuti di default, se ricordo bene) tutte le operazioni eseguite sulla console nella quale si è dato il sudo sono eseguite con i diritti di root. Ora, se su linux può essere accettabile, su windows non lo è più, poichè uac dovrebbe fornire per 5 minuti i diritti di amministraizone su TUTTO il sistema. Non credo che ci sia bisogno di dirvi cosa succede se una applicazione entra in un pc e scopre di avere i diritti di amministraizone. Quindi è necessario richiedere per ogni operazione critica, in modo che solo quell'operazione venga fatta con privilegi elevati.

5) Ok, ok. Però quando mi viene su UAC il desktop si scurisce e mi blocca tutto.

E ringrazia la Microsoft. Quello è il Secure Desktop, una componente assolutamente fondamentale che lavora in tandem con UAC. Volendo si può disabilitare anche il secure desktop senza disabilitare uac, ma a quel punto il rischio è più alto. Secure Desktop infatti, quando appare la finestra di UAC non fa altro che bloccare qualsiasi altro processo, dando il controllo esclusivo a UAC. A cosa serve? Beh, ci sono un sacco di trucchetti. Ad esempio, io potrei far girare un processino in bg che sposta le cordinate reali del puntatore del maouse, mentre mi sta apparendo UAC. In modo che io utente porto il mouse su Cancel, ma in realtà il clic avviene su Continue. Il secure desktop serve ad impedire proprio trucchetti di questo genere. L'unico processo attivo e cliccabile è il prompt di UAC.

6) Ma io sono un utente avanzato, non ho certo bisogno di UAC, lo so da me cosa è pericoloso e cosa no.

Non sei avanzato: sei fesso. Lasciare disattivato uac provoca l'installazione senza alcun segnale di qualsiasi tipo di software. Prova a far installare un dialer con o senza uac. Nel primo caso puoi bloccarlo, nel secondo non te ne rendi conto finchè non si è insediato.

Credo di aver detto tutto. I motivi per cui non disabilitare uac sono chiari. Anzi, io suggerisco di modificare le impostazioni in modo da far richiedere la password di amministratore, che magari è una palla in più, ma dal momento che magari uno può lasciare incustodito il suo pc per andare a prendersi un caffè, può servire, ad esempio, per evitare che nel frattmepo uno esegua un comando atto a cambiare la password di amministratore usando il cmd.exe. L'operazione fa scattare UAC, ma l'eventuale attaccante potrebbe cliccare semplicemente su Continue.

Ciò detto, se ancora non siete convinti dell'utilità di UAC, ditemi perchè.