| 22-04-2010 12:21:47 | #1 | |
| Gris-Gris | Puisque les PJ ne laissent en général qu'un accès administrateur à leur commlink, est-ce que tout un chacun un minimum professionnel et/ou parano fait de même ? C'est-à-dire qu'à part celui de Joe lambda, tous les commlinks (équipes de sécurité, autres runners, cadres corpos, etc.) nécessiteront un accès administrateur pour effectuer la moindre action. De la même manière, dans un système simple, comme un bar, par exemple, peut-on imaginer un accès administrateur pour le patron, qui donne accès à la comptabilité entre autres, un accès sécurité pour les barmen / serveuses qui prennent les commandes et les vigiles ou est-ce que ce n'est pas comme ça que ça marche ? Ou est-ce que ces différents accès à différents fichiers sont simplement des droits utilisateurs différents, sans différence de niveau : par exemple, le patron aura accès aux fichiers de comptabilité avec son compte utilisateur alors que les serveuses n'auront accès qu'à la caisse et le vigile aux imageries de caméra, mais sans les augmentations de seuils liées aux avantages admin ou sécurité ? En fait, est-ce que les accès admin et sécurité correspondent à des actions précises (du genre "modifier le journal de bord" = admin "effacer les enregistrements vidéo des caméras de sécurité" = sécurité) pour tous les systèmes ou est-ce que chaque système décide du niveau de sécurité pour une action (du genre "allumer la lumière" = admin chez Rufus le Runner) ? | |
| 22-04-2010 12:34:38 | #2 | |
| mog | Généralement les comptes utilisateurs servent à réaliser des actions sur un node. Des actions qui demandent un premier niveau de sécurité : - Gestion des stocks, Edition de fichiers, etc... Les comptes sécurité servent à faire des actions de routine de sécurité/entretien : - Créer/gérer des utilisateurs, supprimer/ajouter un programme, etc.... Les comptes admins à tous les droits normalement. Et faut aussi se dire que certaines actions sont en accès libre. Commander une boisson dans un bar, demande juste une connection sur le node avec un compte anonyme générique dont les seules actions sont commander et payer. Pareil dans un appartement : Allumer la lumière, la télé, etc... devrait pas demander d'entrer avec un compte connu. a moins de vivre chez des gens vraiment paranos, qui se pensent que les hackers sont des magiciens dragons qui baisent des dinosaures partouzeurs de droite. | |
| 22-04-2010 13:18:50 | #3 | |
| okhin | Ce n'est pas parcequ'un hacker se logue en admin sur son link, qu'il n'y a pas de compte utilisateur dessus (ni qu'on ne peut en obtenir un). Ensuite, se loguer en admin pose certains problème. SI tu appelles quelqu'un et que ta communication se fait intercepter, tu vas probablement fournir à l'intercepteur les données nécessaires pour se connecter en tant qu'admin à ton node, sans même utiliser Exploit. Un possesseur de comlink est donc, en général, connecté avec un compte sécurité sur son node (pour pouvoir moidifier la cargaison de ses softs). De même, le link du hacker étant souvent costaud, c'ets généralement lui qui sert de standard tactique et de serveur d'hébergement de données pour l'équipe. Il est donc plus que vraissemblable que chaque membre de l'équipe du runner dispose d'un compte user sur ce link. Dans le domaine de l'entreprise, les spiders utilisent des comlinks corpos (et donc maîtriser, pas de hotsim débridé en général) poru se connecter en sécu sur les nodes de leur périmètre. Nul besoin d'être admin dans ce cas là. Enfin, la réponse à ton problème, est le cloisonnement des droits. Il y a trois niveau de privilège: public, utilisateur, sécurité et admin. Le premier, c'est l'utilisateur lambda qui arrive sur l'interface du node, sans s'identifier. Il dispose de droits d'accès restreint, ne peux rien exécuter de ce qui se trouve sur le node et, dans la majorité des cas, fait parti de la masse de surfer qui tombe sur un node. Il pourra lire les données publiques (en gros, ta persona, ton identité que tu publie, ton meFeed, etc). Le deuxième ne permets en général que d'utiliser le node: c'est à dire se connecter (et gérer son profil éventuellement), accéder aux données qui lui sont autorisées utiliser les utilitaires embarqués (ou les siens), tant qu'il utilise Informatique ou DataSearch c'est bon. Le troisième niveau permet à la personne qui s'y est connecté de modifier la configuration du noeud. C'est un compte qui peut charger des softs dedans (pas dans la personna hein), utiliser des IC, lire les logs, etc. Le quatrième est utilise pour les modificatiosn lourde et rare. Suppression de fichier ssystème critqieu, mise à jour de système, reboot du node. Ces actiosn sont, grosso merdo, détaillée dans Un monde sans fil et Unwired avec les privilèges associés. Cela dit, une données accessible à un utilisateur ne l'est pas forcément à un autre. Elle peut-être protégé par mot de passe, nécessité diverses choses (comme, par exemple, une empreinte simsense, une donnée sbiométrqiues, etc). pour revenir sur ton bar, tu peux régler ça avec un node. Niveau public: commander, réserver, etc. Niveau user: gérer les commandes, faire les encaissement (serveurs), faire la compta (patron) Niveau sécurité: Installer les IC pour la sécurité Niveau admin: Rebooter le node Okhin | |
| 22-04-2010 13:28:46 | #4 | |
| Gris-Gris | Super, merci beaucoup !  | |
| 22-04-2010 15:49:43 | #5 | |
| Slevin | Je crois que cette question devient récurrente mais faut souvent du temps (surtout avec la matrice) pour que ça rentre : Est-ce que toutes les actions (tel que la modification du fichier log, ou la déconnexion d'un utilisateur, je tape dans le haut du panier là) sont accessibles à "tout le monde" via la compétence hacking? Je m'explique. J'avais compris que pour une action "légitime" aucun jet n'était à faire, sinon c'était la compétence hacking qui était demandée. Donc selon moi (mais je commence à avoir des doutes) avec un compte utilisateur et une bonne compétence de hacking on pouvait "tout" réaliser. La contre partie c'est que comme l'opération est illégitime (pas les bons droits) alors le système faisait un test de perception après chaque jet contre la furtivité du hacker. Après je crois qu'il y a une histoire de modificateur de seuil +3 pour une action relevant d'un compte sécurité, +6 pour un compte administrateur. Est-ce vrai tout ça? Dans ces cas là, est-ce qu'avec un compte public, des opérations relevant d'un compte utilisateur peuvent être réalisées? | |
| 22-04-2010 23:47:18 | #6 | |
| Valérian | Tu confonderais pas les règles pour rentrer dans un noeud par sondage ou hacking à la volée (qui implique un ou plusieurs tests de Firewall+Analyse contre ton programme Furtivité. Le seuil a obtenir par la hackeur lors de sa tentative étant augmenté de +3 ou +6 suivant le type de compte qu'il cherche à obtenir) avec les règles de hacking une fois dans le noeud ? Le soucis étant qu'il n'y a pas vraiment de règles pour gérer le hacking une fois dans le noeud, et les quelques points de règles que l'on peut trouver de-ci de-là dans les bouquins utilisent un mécanisme différent à chaque fois. En théorie, un hackeur doit pouvoir tenter de bidouiller certains trucs depuis l'intérêt du noeud, même avec simplement un compte utilisateur, mais il n'y a pas de règles claires stipulant quel jet il doit faire et s'il y a des difficultés supplémentaires s'il tente de faire des trucs réservés aux personnes dotées de privilèges spéciaux (or il est logique qu'il y ait de une difficulté accrue sinon pourquoi prendre des risques en plus lors de la tentative d'intrusion si on peut se contenter d'un compte utilisateur) | |
| 25-04-2010 00:32:40 | #7 | |
| Slevin | Oui, tu as raison. J'essayais juste de lever une énigme encore pour moi. La matrice semble soit très mal expliquée dans les règles, soit elle donne l'air complexe, sans l'être vraiment au final, mais tout en laissant les lecteurs s'emmêler les pinceaux. En tout cas, après avoir lu relu et rerererelu, y'a toujours des points encore assez complexe. Dans les exemples qu'ils donnent par exemple, ils font faire un jet opposé à certain moment (ou je ne pensais pas qu'il y'avait nécessité). Est-ce que c'est pas ça, quand un joueur veut faire quelque chose que les droits de son compte ne lui permettraient pas, le système fait un test opposé pour "contrer" l'excès? | |
| 26-04-2010 20:08:24 | #8 | |
| Gris-Gris | Slevin a écrit: Je crois que cette question devient récurrente mais faut souvent du temps (surtout avec la matrice) pour que ça rentre : Est-ce que toutes les actions (tel que la modification du fichier log, ou la déconnexion d'un utilisateur, je tape dans le haut du panier là) sont accessibles à "tout le monde" via la compétence hacking? Je m'explique. J'avais compris que pour une action "légitime" aucun jet n'était à faire, sinon c'était la compétence hacking qui était demandée. Donc selon moi (mais je commence à avoir des doutes) avec un compte utilisateur et une bonne compétence de hacking on pouvait "tout" réaliser. La contre partie c'est que comme l'opération est illégitime (pas les bons droits) alors le système faisait un test de perception après chaque jet contre la furtivité du hacker. Après je crois qu'il y a une histoire de modificateur de seuil +3 pour une action relevant d'un compte sécurité, +6 pour un compte administrateur. Est-ce vrai tout ça? Dans ces cas là, est-ce qu'avec un compte public, des opérations relevant d'un compte utilisateur peuvent être réalisées? J'ai trouvé la référence que tu cherches : c'est uniquement pour les opérations de Falsification, où pour falsifier un ordre sécurité, on a -3 à sa réserve de dés et pour un ordre admin, -6 dans le test opposé Hacking + Falsification contre Firewall + Système ou Firewall + Autopilote. Plus de détails p.236 SR4A | |