> Этот тикет создал я, а они даже не удосужились ответить.ну, отсутствие ответа "closed,wontwix" уже хорошо.
> На любой системе windows, TS лишь ярко выраженный случай.
на любойсистемеwindows нет шаредюзеров, это надо специально стараться.
> Если ты пользователь компьютера в огранизации без единоличных админских прав, ты не
> защитишь информацию от админов. А вот от других пользователей защитить можно
а от других - пусть админы защищают, ага. Им за это зарплату платят.
А уж они как-нибудь сообразят заставить тебя поменять права на корень шифродиска, если оно им надо, или сами поменять, если это их диск.
А если оно им не надо - см выше, не надо в таком месте работать с особо секретными вещами, это проходной двор. У меня вон какой-то троянец имени отдела безопасности непойми что в системе делает - и хорошо, если они хотя бы управлять им еще не разучились.
> создании контейнера по честному нужно писать - "Вы можете безопасно создать
> контейнер, но не можете его безопасно использовать, другие пользователи будут иметь
> доступ к примонтированному контейнеру".
честно говоря, я бы не стал заморачиваться никакими контейнерами ни на какой системе, где в принципе ходит кто-то кроме меня. Если он уже проломил защиту системы - просто сольешь ему еще и свой пароль от "контейнера".
А если еще нет и не собирается, "просто на всякий случай" есть более простые решения. В той же винде - одной галочкой. И админозащищенно (ну, как - влезть может, но не может беспалевно, твой пароль придется либо спереть, либо сбросить)
> Не соглашусь, поиметь данные пользователя будучи рутом и поиметь данные пользователя
> будучи другим пользователем - это координально разные вещи. В linux TC контейнеры
для пользователя - никакой разницы в итоге.
Одна ложная надежда на безопасность. Причем в винде лечится одной галочкой, а в линуксе в общем и целом - никак (MAC/selinux возвести так чтоб ничего не сломалось - это уж точно не для среднего юзверя)
> монтируются с правами 0700, что и является камнем преткновения в тикете.
гугли что такое traversal bypass в винде - поймешь, почему там недостаточно этой защиты.
Да, можно выключить, было, по крайней мере, но что при этом сломаешь - не угадать.