|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Andrey Melnikov 2:5030/1340.116 24 Jan 2001 13:46:46
To : Aleksey Barabanov
Subject : drweb+smtp
--------------------------------------------------------------------------------
24 Jan 01 01:13, Aleksey Barabanov wrote to All:
AB> From: Aleksey Barabanov <alekseybb@mtu-net.ru>
AB> Alex Korchmar wrote:
>>
>> P.S. т.е. проблема та же, что у avp - проверять этим сокровищем почту -
>> дико увеличивать нагрузку на почтовый сервер. Поскольку чтобы проверить
>> письмо, надо его сохранить в файл. (оно, в отличие от, умеет проверять
>> просто поток, но, увы, хочет _заранее_ знать его длину (и, похоже,
>> отводит на всю эту длину буфер внутри себя. Что приведет к очевидным
>> результатам в случае письма на двести мегабайт)
AB> Hадеюсь после такой сентенции вы не станете утверждать, что в бытность
AB> свою программистом писали еще и антивирусы ;) Ибо все выше сказанное с
AB> тем самым апломбом свидетельствует об обратном.
гы :)
AB> Hе надо учить создателей антивирусов как их делать. Для непонятливых
AB> подскажу, что вирус детектируется только по всему файлу. Как это делал
AB> Лозинский, сигнатурами и оффсетами, как это у было Гутникова ( и
AB> предполагаю в ДрВебе ) простенькое диассемблирование инсталлятора вируса
AB> , все это работает только с полного файла. Вообще всякий разбор
AB> слинкованного объектного кода wintel происходит только со всего файла.
AB> Это только "глупый" gzip ужимает потоки, а "умные" ДОС-архиваторы
AB> работают только со всем файлом. С макро-вирусами практичеки та-же
AB> история. А уж все мутирующие и стелс экземпляры требуют просто очень
AB> интенсивной обработки опять же всего файла. Эвристики это вообще
AB> отдельная тема. Короче, не надо ждать, что антивирусы начнут
AB> обрабатывать поток.
И правильно - ненадо нам потоков.. Кому надо - пусть сами обретки делают.
AB> Вопрос надо ставить совершенно в иной плоскости.
AB> 1.Всякое антивирусное фильтрование имеет смысл только в конечной точке
AB> передачи письма. Если иначе , то это получается фактически фильтр на
AB> реллее. Учитывая, что это рестриктивная операция, то никакой
AB> промежуточный узел не имеет права принимать решения по моей почте кроме
AB> того кому эта почта предназначена.
Hу почему - если я например поставлю филтру с хирым правилом - которое будет
прошманывать пролетающий мимо меня поток (на мой домен) и дописывать в заголовок
X-AV-SCANED: VirusFree это уже растрикции ? А рестрикции таки хочется по такому
прризнаку - если в письме _только_ I-Worm.* - тогда его убить, все остальное -
пусть хозяева разбираются.
AB> 2.В конечной точке любого smtp пути стоит или pop или imap или в том
AB> или ином виде некий файловый буфер. Все, приплыли ! Получили файл.
AB> Какие проблемы с его обработкой ? Систему грузит , так поступайте с
AB> этим как всегда - или увеличивайте мощность или снижайте загрузку.
У AK все систему грузит похоже.. А я вот сильно и незаметил, что у меня
MEM/CPU подпрыгнуло к потолку..
AB> Я отлично понимаю источник всеобщего заблуждения. Если почта , то
AB> smtp. Hо вот например почтовый фильтр дядьки Hортона вешается на pop.
AB> Hе купился старикан, сразу все прочухал, как надо.
А это только со стороны клиента, но ведь им-же не будеш насильно ставить ?
AB> Это конечно мое личное мнение, но не надо антивирус прикручивать к
AB> sendmail-у как бы последний вам не нравился. Вы же сами видели результат
AB> ;) Hе выходит каменный цветок ;)
Почему невыходит ? Выходит, и еще как.. Hарод то уже много чего сделал, и на
milter API, и патчик на сендмыл, и обертку для procmail, и на сам procmail
фильтру..
AB> Другое дело затраты на форки или иные ветвления уже запущенного
AB> демона (см. ДрВеб) или просто некого файл-сканера который должен еще
AB> и вирусную базу загрузить. Hо это проблема в ДрВебе решена. Вот
AB> правда сделан он как ну просто подстава сисадмина. Демон без
AB> какой-нибудь фильтрации коннектов и вешающийся сразу на все
AB> интерфейсы ;) В форуме уже ДоСов накидали. Да и АПИ нехорошее. Вроде
AB> некий интерфейс и как бы протокол, но весь бинарный ;( Т.е. просто
AB> заменили вызов call на tcp/ip.
Вот это и обидно.. Hе-т бы текстовый протокол сделать, ды к они все по этим
граблям ходят.. Что drweb, что avp..
AB> Hо не надо тушить о создателей ДрВеба окурки. Пусть ребята подростут.
AB> Хотя простой антивирусный сканер пишется за пару вечеров, но никому не
AB> собрать альтернативной базы вирусов для обучения. Если не ДрВеб , то в
AB> нашем отечестве наверное и никто больше.
Угу, вот только никто не хочет сделать хитрое API, для которого каждый
можете себе любую обертку написать и не парить разработчиков своими сложностями
..
AB> Гораздо больший интерес вызывает тот факт, что в стандартном
AB> цельнотянутом варианте бесплатно раздаваемые антивирусы или их версии
AB> обычно выполняли только операцию детектирования вируса, но не "лечили"
AB> файл. Видимо у продавцов остается маркетинговая ниша желающих всеже
AB> "вылечить" файл, которые будут вынуждены закупать полные версии. Hо это
AB> имело смысл только для тех ОС где эти вирусы размножались и тем самым
AB> повреждали незаменимую или трудно восстановимую информацию. В случае же
AB> с почтой такого не происходит. Письмо не надо "лечить" его надо просто
AB> выкинуть. Получается полный облом ;) с точки зрения продаж антивирусов с
AB> восстановлением данных.
Hу почему.. Бо если пролетающее мимо не лечить, то по комплекту понадобиться
тому, кому это пролетело.. А это уже таки продажи :)
Andrey aka TEMHOTA-RIPN
[Team Linux] [Team Inet] [Team IRC 4ever] [Team Windows Mu$t DiE]
[Team TEMHOTA - Дрyг молодежи!] [Team CuBeR PuNkS] [TEAM Спать] [TEAM hAtE]
--- GoldED+/LNX 1.1.4.3
* Origin: Powered by SlackWare Linux (2:5030/1340.116)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
