Ричард Столлман опубликовал в своем блоге статью (http://www.fsf.org/blogs/rms/mac-osx-mistakes-and-malfeatures), в которой признал необоснованность ранее выдвигаемой им критики MacOS X, связанной с подозрениями наличия возможности удаленного внесения изменений в систему. Столлман сообщил, что у него нет оснований считать, что Apple может пойти на внедрение методов, практикуемых компанией Microsoft и напоминающих классический backdoor.Тем не менее Столмана продолжает возможность завуалированной установки обновлений не соответствующих заявленному описанию или распространяемых с заведомо туманной формулировкой. По мнению Столлмана, отсутствие подобных тенденций в Linux дистрибутивах, является существенным фактором для людей, заботящихся о безопасности своих систем.
URL: http://www.fsf.org/blogs/rms/mac-osx-mistakes-and-malfeatures
Новость: http://www.opennet.me/opennews/art.shtml?num=23629
Все таки фантасты часто оказываются правы. Попробуйте спроецировать проблемы автообнолвения роботов из цикла "Я, Робот" Айзека Азимова с возможными атаками через системы распространения обновлений для операционных систем.
Не смотрите глупые голливудские фильмы. У Азимова никаких патчей и обновлений сроду не было, позитронный мозг робота у него - самодостаточное мыслительное устройство.
ничего подобного. почитайте серию про роботов, особенно момент когда на Авроре девочка вносила изменения в "мозг" робота, которые позволили ему читать мысли.
"Роботы и Империя", если мне не изменяет память.
Нет. The Robots Of Dawn (1983 г.)
>Все таки фантасты часто оказываются правы.Вот погодите, когда вам мегакорпорации забабахают "демократию" - будет вам, ага. Даже софт себе выбирать не сможете. Не говоря уж о железе. Ну и разумеется каждый шаг вплоть до посещения сортира будет мониториться. А то вдруг вы сопрете корпоративные данные?!
>>Все таки фантасты часто оказываются правы.
>
>Вот погодите, когда вам мегакорпорации забабахают "демократию" - будет вам, ага. Даже
>софт себе выбирать не сможете. Не говоря уж о железе. Ну
>и разумеется каждый шаг вплоть до посещения сортира будет мониториться. А
>то вдруг вы сопрете корпоративные данные?!Да хватит уже зудеть!
Загляньте с госструктуры - там с самого начала так было есть и будет - никто ничего не выбирает - сверху что дадут - то и "жуют"!
>Все таки фантасты часто оказываются правыЭто утверждение уже давно не нуждается в подтверждении. Учёные прямо из фантастики зачастую берут идеи для своих изобретений. Например, Азимов первый предложил построить систему гео-спутников для наблюдения за погодой. Законы робототехники прямо реально программируют в новые сверхумные разработки.
ну и что дальше, а как им ещё на софте и контенте зарабатывать? На пожертвования расчитывать? Ну-ну... А ДРМ - ну да, ДРМ, все права в лицензионном соглашении прописаны, и раз ты купил МакБук, значит ты со всем согласен, что возбухать-то?
>ну и что дальше, а как им ещё на софте и контенте
>зарабатывать? На пожертвования расчитывать? Ну-ну... А ДРМ - ну да, ДРМ,
>все права в лицензионном соглашении прописаны, и раз ты купил МакБук,
>значит ты со всем согласен, что возбухать-то?с такой позицией мышления, можно смело ложиться и закапываться) ну Apple нас имеет, ну ниче, я же деньги отдал. да смысл возбухать, это же мои деньги. жалко денег, ну ничего..
ну раз потребители Эппла никуда не закапываются, а скорее наоборот, отовсюду вылезают, то дела у них не так плохо, а так да - смысла возбухать нет, ты со всем согласился в момент покупки. Лично мне их продукция, к счастью, совершенно не нужна.
аналогичное решение. обдумываю сейчас между приобретением макбука, или апгрейдом пк. все более и более прихожу к заключению в пользу последенего.
дело в том, что затраты на макбук практически всегда неоправданны, в отличие от затрат на апгрейд. в макбуках по сути всякие core duo, nvidia видеокарты, которые есть и в других ноутбуках, цены у которых объективны.p.s.: однако консолька от apple мне импонирует, хотя дорого конечно. но sexy :)
Под "консолькой" понимается эмулятор терминала или железо в фирменной обертке?
клавиатура :)
>клавиатура :)Купи себе Apple-овскую полноразмерную клаву - она 2000 руб стоит :)
я про нее и имел ввиду. только не wireless, т.к. не люблю такие :-| а так верно, это единственное, что оптимально по соотношению цены с качеством :)
>с такой позицией мышления, можно смело ложиться и закапываться) ну Apple нас
>имеет, ну ниче, я же деньги отдал. да смысл возбухать, это
>же мои деньги. жалко денег, ну ничего..Пока на свете есть дураки,
обманом стало бы нам жить с руки.(c) лиса Алиса.
а мне эпл нравится, попробуйте и вам тоже понравится
>а мне эпл нравится, попробуйте и вам тоже понравитсяпробовал. не понравилось.
>а мне эпл нравится, попробуйте и вам тоже понравитсяМне не нравится их светофор а сменить его нельзя. В итоге все маки выглядят одинаково, как солдаты в роте.Я не хочу быть солдафоном эппла за кучу денег!Даже если мне и дают вроде как стильную форму, я все-таки предпочитаю свободную форму одежды, выбранную лично мной, извините.А армейские порядки - это для лохов.А приплачивать за это - вообще финиш.
>ну и что дальше, а как им ещё на софте и контенте
>зарабатывать? На пожертвования расчитывать? Ну-ну...Бедные редхаты и новеллы, они наверное с голода пухнут. Правда, почему-то у редхата пухнет в основном их прибыль. Получается, можно неплохо зарабатывать без делания гадостей своим кастомерам? И вообще - почему кастомеру надо подгадить за его же деньги? Это разве правильный и честный метод ведения бизнеса?
>все права в лицензионном соглашении прописаны, и раз ты купил МакБук,
>значит ты со всем согласен, что возбухать-то?Да, конечно, надо покорно встать в стойло и пойти жевать свое сено. Иначе как же нас будут доить господа из Эппла?!
Даешь им ключи от дома чтобы кран починить а они свою тёщу к тебе селят...
Вот поэтому надо все уметь делать самому. В своем доме - ты хозяин, а не кто-то.
ну не всем же подвластен линух ;)
Проснись - вокруг не 1999 а 2009, линукс типа Ubuntu к примеру уже проще винды.
>ну не всем же подвластен линух ;)Попробовал поставить убунту. Встала за полчаса, установщик проще чем в виндах, даже ключ вводить не надо. Установилось, работает. При том в комплекте нормальный браузер и неплохой IM клиент. И даже простенькая качалка торентов. Ну и какой-то плеер, не сильно лучше виндус медиа плеера, тоже какая-то невнятная штука. Но где же многопротокольные клиенты и торент в винде? А IE7 - попросту тормозной жутко. Достаточно попользоваться обоими. IE7 убийственно тормозит при загрузке некоторых сайтов.
>В своем доме - ты хозяин, а не кто-то."- Долго смеялись электрики...."
>>В своем доме - ты хозяин, а не кто-то.
>"- Долго смеялись электрики...."а в чём проблема? ты не умеешь работать с проводкой? O_O неужели так сложно выучиться и получить допуск?
>>>В своем доме - ты хозяин, а не кто-то.
>>"- Долго смеялись электрики...."
>
> а в чём проблема? ты не умеешь работать с проводкой? O_O
>неужели так сложно выучиться и получить допуск?Вот этим и отличаются видузятники и макушники от опенсоурса.
Первые знают только своё, и не лезут квантовою механику, чтоб узнать как работает RAM.
Последние знают много, поэтому для заработки бабла не хватает время.Ну и во-вторых, если получать допуск, прорубить скважину для воды и нефти,
и вообще организовать автономную систему жизнедеятельности, то можно создать
своё государство.
>> а в чём проблема? ты не умеешь работать с проводкой? O_O
>>неужели так сложно выучиться и получить допуск?
>Вот этим и отличаются видузятники и макушники от опенсоурса.ага. одни жрут, что дают, и считают, что земля плоская, а другие… нет, тебе, конечно, никто не запрещает не знать, это ж rocket science, понимаю — слишком сложно для неразвитого мозга.
>>> а в чём проблема? ты не умеешь работать с проводкой? O_O
>>>неужели так сложно выучиться и получить допуск?
>>Вот этим и отличаются видузятники и макушники от опенсоурса.
>
>ага. одни жрут, что дают, и считают, что земля плоская, а другие…
>нет, тебе, конечно, никто не запрещает не знать, это ж rocket
>science, понимаю — слишком сложно для неразвитого мозга.Говорю же, они даже не знают, что им это нужно знать, точнее пригодилось бы.
Не пригождается. Берут венду, Visual Studio, и чешут....
Глюк - виноват Маздай.
- Не пользуйся!
- А другого не знаю?!
- Linux, BSD, Solaris,...!
- Ну, это для серверов,...Это 50% ответов на вопрос - почему не юзаю альтернативные ОСи?!
Ещё 40%, в основном от чайников, - "да ну нах,... ели эту осилил".
И 10% - засунь себе в ж....у свой Линь.
>Говорю же, они даже не знают, что им это нужно знать, точнее
>пригодилось бы.если я тебя неверно понял — извиняюсь. мне показалось, что ты тоже из разряда «не знаю и знать не желаю!»
>>Говорю же, они даже не знают, что им это нужно знать, точнее
>>пригодилось бы.
>
>если я тебя неверно понял — извиняюсь. мне показалось, что ты тоже
>из разряда «не знаю и знать не желаю!»Показалось :)
Продолжайте верить в сказки, это сильно успокаивает.PS: среди знакомых программистов есть много хороших. Из трех наиболее сильных, один пользуется маком, один виндой и еще один — фрей. Как вы сказали, "слишком сложно для неразвитого мозга"?
>Ну и во-вторых, если получать допуск, прорубить скважину для воды и нефти,Накукуй мне какой-то там допуск для замены проводки в моем собственном доме?! Если я захочу это сделать - кто мне помешает то? И на основании чего? Да, технику безопасности лучше все-таки знать, как и основы электротехники. Можно и не знать, кому хуже то потом будет?!А своя скважина - норма жизни на дачах и в коттеджах.И электричество было бы, но вырабатывать его локально малыми порциями попросту дороже чем купить его в том же объеме у энергетиков.
>и вообще организовать автономную систему жизнедеятельности,
Только совок может пользоваться третьесортными услугами за которые дерут по три шкуры считая что оплачивать это - неизбежная данность.
>методы, практикуемые компанией Microsoftстарик снова бредит?
обновления, нацеленные на укрепление защиты от незаконного использования, ясно и однозначно подписаны. их можно запретить одним кликом мыши.
>>методы, практикуемые компанией Microsoft
>
>старик снова бредит?
>обновления, нацеленные на укрепление защиты от незаконного использования, ясно и однозначно подписаны.
>их можно запретить одним кликом мыши.А если по какойто причине не нужны обновления?
И что мешает вместо обновления защиты внедрить трояна или бекдор по просьбе спец служб?
Если обновления не нужны - не ставьте их.
В макоси ничего без согласия пользователя не ставится.Про "внедрение трояна". Что помешало майнтэйнеру ssh в дебиане внести правку, поставившую под угрозу безопасноть соединения? Ничего. Когда она была найдена? Через год.
О чем это говорит? О том, что открытые исходные тексты — не гарантия от отсутствия
вредоносного кода. Такой гарантии не дает ничего.
Мантейнеру дебиана помешало отсутствие реакции в почтовой переписке со стороны разработчика openbsd, который отказался прокоментировать (промолчал), почему код именно такой.
Далеко не каждый мантейнер сможет разобраться во всех премудростях протоколов, алгоритмов и прочего того, что он просто коммитит, патчит и собирает в пакеты.
>Мантейнеру дебиана помешало отсутствие реакции в почтовой переписке со стороны разработчика openbsd,
>который отказался прокоментировать (промолчал), почему код именно такой.Должно ли владельцу взломанного сервера полегчать от этой новости - что виноват не майнтейнер Дебиана, а отсутствие взаимодействия?
>Далеко не каждый мантейнер сможет разобраться во всех премудростях протоколов, алгоритмов и
>прочего того, что он просто коммитит, патчит и собирает в пакеты.Дебиан многими ( в том числе и мной ) считается очень серьезным проектом. И хотя понятно, что в F/OSS глупо говорить о каких-либо гарантиях, однако, лично я привык думать, что в проектах такого уровня критическими компонентами ( такими, как ssh ) занимаются опытные люди, которые очень хорошо представляют о том, что происходит внутри того ПО, пакеты с которым собирают. Зачастую эти люди участвуют и в разработке. Поэтому аргумент типа "я просто собираю пакеты" не катит ни разу.
Извините, я правда не в курсе, а были ли сообщения о случаях взлома с использованием этой уязвимости? Если не было - значит пронесло. Если было - соболезнования пострадавшим. Интересно, а если бы уязвимость была в самом протоколе, а не в реализации, полегчало бы тогда владельцу сервера, который бы взломали использовав эту уязвимость? А если бы сервер взломали из-за государственного запрета на высокостойкие алгоритмы защиты, полегчало ли бы владельцу взломанного сервера? А может ему от этого стало наоборот - хуже? Или может быть ему ни одна из этих причин наличия уязвимости не изменит плохого настроения от самого факта наличия уязвимости? Я к тому что, а стоит ли на щите таскать бедного владельца взломанного сервера с воплями "смотрите, смотрите что натворили ваши мейнтейнеры! Теперь никому нельзя верить, никому!" И вот что интересно - а стало ли от этого оправдания легче мейнтейнеру? "Ребята, я тоже человек, извините :(. Давайте вместе подумаем, как можно облегчить мой труд во славу данного конкретного серьёзного проекта, и обеспечить дополнительную защиту от ошибок/человеческого фактора?". Мне кажется - стало.И по дальнейшему - также считаю, что в серьёзных проектах критические компоненты безопасности должны собираться с тщательностью и здоровой (может даже здоровенной) долей паранойи. Но так же не следует забывать, что человеческий фактор присутствует практически везде, где есть человек. Мейнтейнер положился на авторитет разработчика, не добился от него прямого подтверждения изменения, не разобрался самостоятельно. Если это был единичный случай - это ужасающее и невероятное совпадение. Если это лишь единственный всплывший случай - это повод для пересмотра процедуры сбора критических компонентов, или создания процедуры контроля за изменениями критических компонентов. Но вот является ли это аргументом в пользу закрытой разработки над открытой - вопрос сложный.
>Но
>вот является ли это аргументом в пользу закрытой разработки над открытой
>- вопрос сложный.Не является, IMHO. Просто фразы типа
>>>Далеко не каждый мантейнер сможет разобраться во всех премудростях протоколов, алгоритмов и
>>>прочего того, что он просто коммитит, патчит и собирает в пакеты.никак не добавляют популярности F/OSS-проектам и дают повод сторонникам закрытого ПО обвинять противоположную сторону в несерьезности подхода.
>никак не добавляют популярности F/OSS-проектам и дают повод сторонникам закрытого ПО обвинять
>противоположную сторону в несерьезности подхода.а debian и есть сборище пионеров, которые правят код, не понимая, что он делает.
>Далеко не каждый мантейнер сможет разобраться во всех премудростях протоколов, алгоритмов и
>прочего того, что он просто коммитит, патчит и собирает в пакеты.ага. «я ничего не понял в вашем коде, но на всякий случай его пропатчил». серьёзный подход, чо.
>>Далеко не каждый мантейнер сможет разобраться во всех премудростях протоколов, алгоритмов и
>>прочего того, что он просто коммитит, патчит и собирает в пакеты.
>
>ага. «я ничего не понял в вашем коде, но на всякий случай
>его пропатчил». серьёзный подход, чо.Если код непонятен, его стоит переписать.
Но там, насколько помню, ругалась какая-то программа для автоматического анализа кода, то есть грязный хак был принят за ошибку, с вытекающими отсюда последствиями. И дело было не только в отсутствии взаимодействия, многие посчитали, что тот приём стоило прокомментировать в коде - если делаешь что-то нетипичное, нужно побеспокоиться о тех, кто будет потом сопровождать код.
помоему, проблемы майнтайнеров дебиана это как раз та самая вещь, которая должна заботить разработчиков в последнюю очередь.
>Но там, насколько помню, ругалась какая-то программа для автоматического анализа кода, тоага. она называется gcc.
>есть грязный хак был принят за ошибку, с вытекающими отсюда последствиями.
>И дело было не только в отсутствии взаимодействия, многие посчитали, что
>тот приём стоило прокомментировать в коде — если делаешь что-то нетипичное,
>нужно побеспокоиться о тех, кто будет потом сопровождать код.угу. всё бросил и побежал беспокоиться о безмозглом майнтайнере из debian. у всех всё нормально, только у него шило в анусе.
есть такое чудесное правило: «не понимаешь? не трогай!» но дебиановцам здравый смысл не писан. тащемта, не зря бубунта именно из дебиана родилась.
> Такой гарантии не дает ничего.Как это... а как же Floppy/USBFlash/CD/DVD/net
> Что помешало майнтэйнеру ssh в дебиане внести правку, поставившую под угрозу безопасноть соединения? Ничего.Что помешало майкрософту в винде вывешивать сразу после установки наружу дырявый RPC, сделав возможным появление ботнетов? Ничего...
Именно. Отсюда вывод — открытость разработки с безопасностью связана мало.
та неужто! некрософт "латает" как и что хочет. а если и информирует, что он сделал, то лишь постфактум. =) просто супер!
Кто-нибудь статью читал? Он там в первых строках говорит, что никаких cвидетельств о том что Apple что-либо установила без разрешения пользователя нет.
Все правильно Ричард пишет, только большинство этого и понять не пытается... Ну да ладно, рано или позно это вам выльется в контроль над вами же и использовании вас же чтобы залезть в ваш карман.>старик снова бредит?
>обновления, нацеленные на укрепление защиты от незаконного использования, ясно >и однозначно подписаны.и что, это дает абсолютную вам уверенность в том что в бинарниках именно то что написано?.. и ничего более?
>их можно запретить одним кликом мыши.
естественно, запретить можно (по крайней мере вы будете в этом уверены) но тем самым вы откажетесь от патчей безопасности и решения действительных проблем с багами.
я больше скажу. это уже используют, для контекстной рекламы... =) И не только в интернете. Сейчас же везде системы лояльности, приходишь в "технорадо" покупаешь телег, тебе впаривают бонусную карту, ты оставляешь свои данные, и юзаешь карту при каждой покупке. А в это время идет изучение покупательского спроса в твоем городе\районе... Как это можно использовать? Да как угодно...
>я больше скажу. это уже используют, для контекстной рекламы... =) И не
>только в интернете. Сейчас же везде системы лояльности, приходишь в "технорадо"
>покупаешь телег, тебе впаривают бонусную карту, ты оставляешь свои данные, и
>юзаешь карту при каждой покупке. А в это время идет изучение
>покупательского спроса в твоем городе\районе... Как это можно использовать? Да как
>угодно...забыл дописать =) Владеешь информацией, владеешь ситуацией...
Владеешь информацией - владеешь миром :)
> В это время идет изучение покупательского спроса в твоем городе\районе... Как это можно использовать? Да как угодно...Ну так назовите мне хотя бы один вариант использования этой информации против меня. Наоборот: эту информацию удут использовать на пользу покупателям - например, для лучшегопланирования товарных запасов.
>Все правильно Ричард пишет, только большинство этого и понять не пытаетсябольшинство о нем никогда не слышало.
>это дает абсолютную вам уверенность в том что в бинарниках
>именно то что написано?.. и ничего более?уважаемый, я умею пользоваться дизассемблером и мониторить файловую систему.
>естественно, запретить можно (по крайней мере вы будете в этом уверены) но
>тем самым вы откажетесь от патчей безопасности и решения действительных проблем
>с багами.запретить можно _конкретные_ пакеты. остальные будут инсталлированы
>>это дает абсолютную вам уверенность в том что в бинарниках
>>именно то что написано?.. и ничего более?
>уважаемый, я умею пользоваться дизассемблером и мониторить файловую систему.пожалуйста, только не увереяйте меня что Вы этим регулярно занимаетесь на практике, при каждом апдейте, установке СП и т.д., а про кольца 0, -1, -2 (а семерка то близко) надеюсь Вы тоже в курсе... - это не реально просто по времени, а с учетом того что постоянно актуальны несколько версий семейства... ну в общем, удачи!
>запретить можно _конкретные_ пакеты. остальные будут инсталлированы
не совсем понял, в чем это должно меня уверить?.. да и выбирать к запрету судя по всему Вы будете по той информации которую Вам предоставят... а Вы ей абсолютно доверяете? :)
>про кольца 0, -1, -2 (а семерка то близко) надеюсь Вы тоже в курсе...ололо репортажей с хак-конференций начитались? залезть в -1 малореально, а про -2 можете вообще забыть на бюджетных и старых камнях. сказочники блин
>>про кольца 0, -1, -2 (а семерка то близко) надеюсь Вы тоже в курсе...
>
>ололо репортажей с хак-конференций начитались? залезть в -1 малореально, а про -2
>можете вообще забыть на бюджетных и старых камнях. сказочники блин1. Ну чего я и где "начитался" это сугубо мое личное дело речь не об этом (или засчитать как хамство?). Я задал конкретный вопрос, это Ваш ответ?
2. Если это маловероятно для Вас то это не совсем верно для других (читать я считаю таки полезно) а тем более для разрабочтиков ОС о коей речь. В отличии от Вас они смогут защитить свои процессы устроив при желании их в любое кольцо (куда как Вы пишете Вам залезть - малореально) поэтому забудьте об отладке и дизассемблере.
3. Да, в старых "камнях" этих возможностей нет, но, существуют и другие проблеммы/преимущества (кому как) в связке с BIOS и чипсетом которые позволят не дать Вам отладить код. Хотя известно таких примеров мне всего несколько и они дороги - они все же существуют.
4. Напомню, речь идет об апдейтах и возможности с их помощью скрыто внедрить/модифицировать исполнительный код. Вы не сможете в одиночку полностью контролировать этот процесс даже будучи супер-гуру в технике дизассемблирования (мониторинг ФС Вам практически ничем не поможет). Для разработчика ОС при желании это НЕ ПРОБЛЕМА особенно с учетом современных технологий.
>В отличии от Вас они смогут защитить
>свои процессы устроив при желании их в любое кольцо (куда как
>Вы пишете Вам залезть - малореально) поэтому забудьте об отладке и
>дизассемблере.
>Не совсем понятно: почему, если код в -1 или -2 кольце, то надо забыть про отладку и дизассемблирование? Особенно про дизассемблирование, поскольку это все-таки статический анализ. А отладку можно делать, вроде, во всех кольцах отладчиками вроде SoftICE, который работает в нулевом кольце.
С мыслью, что сидеть под виндой с дизассемблером в руках проверяя очередное обновление никто не будет, согласен.
>Не совсем понятно: почему, если код в -1 или -2 кольце, то
>надо забыть про отладку и дизассемблирование? Особенно про дизассемблирование, поскольку это
>все-таки статический анализ. А отладку можно делать, вроде, во всех кольцах
>отладчиками вроде SoftICE, который работает в нулевом кольце.угу. «отладчик из ring 3 отлаживает ядро», бугога.
для особо одарённых: это не про SIce, это в общем.
А в той же убунту вы все апдейты устанавливаете вручную, предварительно проанализировав код?
>А в той же убунту вы все апдейты устанавливаете вручную, предварительно проанализировав
>код?0. Весь поступающий код просматривать естественно у меня времени нет... у меня львиную долю времени занимает написание кода...
1. Я лично устанавливаю апдейты стачала на специальный хост где есть избыточный мониторинг некоторые специфические скрипты и набор краш тестов. Последовательность операций отработана... если ничего подозрительного в репортах нет - заливаю апдейты в локальный репозитарий иначе - разбираюсь с проблемой...
2. Вероятность того что кто-то кто подобно мне проводя подобный (хоть поверхностный) аудит обнаружит что-то подозрительное не так мала...
3. При непонятном поведении системы довольно просто определить источник и выявить связь с апдейтом. Это требует определенной квалификации но это только дело времени и это ДОСТУПНО...
>>А в той же убунту вы все апдейты устанавливаете вручную, предварительно проанализировав
>>код?
>
>0. Весь поступающий код просматривать естественно у меня времени нет... у меня
>львиную долю времени занимает написание кода...Этой части ответа достаточно, на самом деле :)
>1. Я лично устанавливаю апдейты стачала на специальный хост где есть избыточный
>мониторинг некоторые специфические скрипты и набор краш тестов. Последовательность операций отработана...
>если ничего подозрительного в репортах нет - заливаю апдейты в локальный
>репозитарий иначе - разбираюсь с проблемой...Хорошая практика, уважаю.
Но что будет, если в апдейте есть намерено допущенная ошибка, ставящая
безопасность системы под угрозу?Краш-тесты скорее всего предназначены для оценки стабильности апдейта,
а не его безопасности.>2. Вероятность того что кто-то кто подобно мне проводя подобный (хоть поверхностный)
>аудит обнаружит что-то подозрительное не так мала...Специально сделанные ошибки? Вряд ли.
>3. При непонятном поведении системы довольно просто определить источник и выявить связь
>с апдейтом. Это требует определенной квалификации но это только дело времени
>и это ДОСТУПНО...Непонятного поведения может и не быть — до взлома. Или до актвизации трояна,
если кому-то удалось протащить свой код.Итого, получается, что ваши действия затратны (требуют определенной квалификации
и времени), но совсем не эффективны против намеренных атак. Да и против действительно
серьезных ошибок — тоже. Nginx, ssh используют все. Про дыры в них помните?
>Но что будет, если в апдейте есть намерено допущенная ошибка, ставящая
>безопасность системы под угрозу?для действительно критичных пакетов пользую самописные тесты... ну и мониторинг, в том числе сетевой активности.
>Краш-тесты скорее всего предназначены для оценки стабильности апдейта,
>а не его безопасности.именно так, безопасность см. выше.
>>2. Вероятность того что кто-то кто подобно мне проводя подобный (хоть поверхностный)
>>аудит обнаружит что-то подозрительное не так мала...
>
>Специально сделанные ошибки? Вряд ли.вероятность не нулевая. намеренно или нет судить трудно... но несколько случаев было. были отосланы репорты и ошибки исправлены.
>Непонятного поведения может и не быть — до взлома. Или до актвизации
>трояна,
>если кому-то удалось протащить свой код.опять же, я ни в коем случае не говорю о 100% безопасности, ее не бывает но это довольно сильно помагает понимать процес апдейта и воздействие патчей на работающей системе.
>Итого, получается, что ваши действия затратны (требуют определенной квалификации
>и времени), но совсем не эффективны против намеренных атак. Да и против действительно
>серьезных ошибок — тоже. Nginx, ssh используют все. Про дыры в них помните?еще раз, если процес отлажен то это не так накладно как Вам кажется. после апдейта через сутки двое просмотреть репорты... о критических вещах приходит письмо... но личная заинтересованность (мотивация) естественно должна быть, я понимаю никого не заставишь делать это.
кто-то же должен выявлять и исправлять эти самые дыры и ошибки, как вы считаете? :)p.s. nginx - не пользую, ssh - проблем не было, хотя мелкие ошибки в конфигурации находил
"для действительно критичных пакетов пользую самописные тесты... ну и мониторинг, в том числе сетевой активности."Какие, если не секрет? Что тестируете и как?
Кстати, а кто сидит за тестируем десктопом, и как вы запускаете тесты для десктоп-приложений.Для серверов, понятно, ваша практика однозначно применима и полезна.
Вне зависимости, сильно она помогает укреплять безопасность или нет ;)
"тестируемым"
дарагой, а ты имеешь право "пользоваться дизассемблером и мониторить файловую систему." ???
а читал ли ты ЕУЛАу?
Много яббл-пользователей гордится тем, что они не накатывают обновления (и, впринципе, это действительно хороший аргумент, я тоже хочу этим гордиться, но десктоп-систему успеваю домучивать за полгода). Теперь им принудительно будут апдейты накатываться и поломки новые возникать) Что ж, Mac OS превращается в линукс)
Во-первых, в Windows, а во-вторых - не превращается. Попробуй подключить GPRS в дистрибутиве Linux. Скачиваться и отправляться будет ровно столько, сколько ты попросишь, я гарантирую тебе это. А теперь попробуй в Windows. Скачается почти 10 мегабайт, даже при условии, что ты ничего не нажимаешь и не просишь скачать. Тоже гарантирую. Помнишь скандал о том, что с десяток файлов в Windows самообновились через Интернет во всём мире даже с отключенными обновлениями? Кто знает, что ещё винда туда отправляет...
С какой стати "много яббл-пользователей гордится тем, что они не накатывают обновления".
Все накатывают.
С какой стати апдейти будут накатываться принудительно? Столлман сказал?
>С какой стати "много яббл-пользователей гордится тем, что они не накатывают обновления".
>
>Все накатывают.
>С какой стати апдейти будут накатываться принудительно? Столлман сказал?Не правда. Из моих знакомых никто не накатывает, некоторые даже ооочень долго продолжали на Тигре сидеть когда Леопард вышел. А все просто потому, что все, что им нужно - работает как часы (и действительно, зачем накатывать обновления если все работает?).
Вы путаете два понятия.1. "Продолжать сидеть на Тигре долго после того, как вышел Леопард".
Это нормальная практика для любого вменяемого мак-пользователя.
Секьюрити апдейты выходят для Тигра до сих пор, с той же регулярностью, что и для
Леопарда. Можно накатывать их и спокойно жить на Тигре.2. "Не ставить никакие апдейты, ведь все работает и так".
Надо быть очень большим оптимистом, чтобы не ставить секьюрити апдейты.
Иногда у таких оптимистов наступает просветление после чтения http://support.apple.com/kb/HT1222. Среди моих знакомых таких оптимистов нет.
>Вы путаете два понятия.
>
>2. "Не ставить никакие апдейты, ведь все работает и так".
>Надо быть очень большим оптимистом, чтобы не ставить секьюрити апдейты.
>Иногда у таких оптимистов наступает просветление после чтения http://support.apple.com/kb/HT1222. Среди моих знакомых
>таких оптимистов нет.Дело в том, что для обычного пользователя (моя девушка, например) если все работало хорошо, а после апдейта работает чуть хуже (да, было такое) - больше обновляться как-то не хочется. И врят ли вы убедите сделать апдейт из-за каких-то там "мифических уязвимостей". Ну даже если уговорите - апдейты будут ставиться только тогда, когда можно не бояться что что-то сломается (тоесть если работа доделана, проекты сданы и есть пара-тройка выходных).
Приведите, пожалуйста, пример, когда все сломалось после секьюрити-апдейта.
Я подобного вспомнить не могу.
>С какой стати "много яббл-пользователей гордится тем, что они не накатывают обновления".
>
>Все накатывают.
>С какой стати апдейти будут накатываться принудительно? Столлман сказал?Извините, на английском, цитата из первоисточника:
In 2005, Apple made users install version 4.7 of iTunes in order to continue using the iTunes music store. This "upgrade" was billed by Apple as fixing a "security hole." What the update actually did was change the iTunes system of Digital Restrictions Management (DRM) to make PyMusique stop working. PyMusique was free software that allowed GNU/Linux users to access the iTunes store.
Это прямое указание на методы принуждения к установке обновлений. Так же этот отрывок содержит фразу, выражающую недоверие автора к указанной Яблом причине выпуска обновления, и фразу, содержащую предположение автора о возможной роли данного обновления. Это не более чем цитата, достоверность приведённых в ней утверждений мной не доказывается и не опровергается.
Я, конечно, извиняюсь, но где в цитате описаны "методы принуждения"?
Дело происходит в 2005 году, вся продаваемая в iStore музыка — DRM-enabled.
PyMusique получает музыку в обход DRM. Что это, как не security hole с точки
зрения Apple? Дыра в серверах была закрыта, протокол изменен, это потребовало
изменения клиента. В чем проблема?
>В чем проблема?Проблема в том что почему-то считается нормальным гадить кастомеру за его же деньги, впаривая какое-то там левое DRM и троянские апдейты с ним.
Дыра? Закрыта? Простите, а кастомеры вообще в курсе такой вольной трактовки троянцев в апдейтах? И как вы думаете, сколько удастся их дурить всякими левыми формулировками? Как кандалы не называй а кандалами и останутся.
Вы статью-то читали? :)
DRM там уже был, с апдейтом изменился метод его работы.Эппл предлагала сервис (Music Store) и клиент к нему (iTunes).
Ответьте, пожалуйста, что изменилось для кастомеров? Перестал
работать клиент? Нет. Перестала воспроизводиться купленная музыка?
Тоже нет.Теперь о DRM.
Я, наверное, открою страшную тайну, но DRM появилась по требованию
звукозаписывающих лейблов. Не было бы DRM — не было бы продажи музыки
онлайн. Не была бы эта продажа успешной — не было бы отмены DRM (сейчас
музыка в iTunes Store продается без DRM).
Всяким троллям лишь бы сказать. Они бы хоть новость что ли прочитали да с историей ознакомились хоть немного. А не только заголовок. Если читать только заголовок, его можно так понять - "Столлман нашёл для сообщества нового врага - Apple!". А ничего подобного. Критикуется не существование другой системы, а то, что он считает её недочётом.
А ведь новость маленькая - вполне может поместиться в двух половинках мозга...
Большинство Столлмана знает. Просто меньшинство отписывается.
а потом экран в другом разрешении и кексты пропадают ...
Однако тенденция — все продукты, которые Столлман критикует, становятся успешными.
Айфон, винды-семерка, теперь макось.Так держать Ричард!
>Однако тенденция — все продукты, которые Столлман критикует, становятся успешными.
>Айфон, винды-семерка, теперь макось.
>
>Так держать Ричард!То есть винда-7 - уже успешный продукт, хотя еще не вышла, а макось, которая выходила с 2001ого, только собирается стать успешной?
Я, конечно, немного прогнал :)
Но таки да — есть мнение, что семерка будет успешной.
А макось, по моему мнению, только к концу тигра- началу леопарда (10.5.3 ;) избавилась от детских болезней.
Так что — да, только собирается стать успешной.
>Я, конечно, немного прогнал :)По вашим коментам прекрасно видно что вы - профессиональный гонщик. Интересно, вам за это приплачивают?
Я троллю глупых фанатиков just for fun.
Успешность продукта определяется многими факторами, и качество продукта не главный из них.
А Столлман критикует именно качество.
господа, а вы оригинал внимательно читали? там речь не столько про автоматические обновления, сколько про политику насильственного перехода на новый софт - почувствуйте разницу.
Вот и я о том же.
Ладно, комментаторы, но куда смотрел автор новости?
Цитата из новости:
"Ричард Столлман опубликовал в своем блоге критическую статью, подчеркивающую неприемлемость добавления компанией Apple в MacOS X возможности удаленного внесения изменений в систему без получения подтверждения от пользователя и без полного информирования о назначении предоставляемых обновлений."Цитаты из статьи:
"We have no way to verify that there is no backdoor in Mac OS X that could install changes without permission, but that is no basis to claim there is one."
"If Mac OS X does not have a backdoor to forcibly install changes, that does not make it ethical."То что в статье является предположением, в тексте новости уже факт.
Ну-ну.Итого, Столману не известно, есть ли в макоси возможность установить обновления без разрешения пользователя. Но поговорить он всегда готов. А сотни фанатов готовы ощутить очередное озарение. Остается лишь пожелать им в этом удачи.
В принципе старик то прав! Но сейчас не об этом!(С)У него в принципе бывают речи где он не критикует и не жжжжЁт глаголом? Ну позитивные выступления у него бывают?
А то ведь ... эта ... ну ... тролль он тогда :)
>У него в принципе бывают речи где он не критикует и не
>жжжжЁт глаголом? Ну позитивные выступления у него бывают?
>
>А то ведь ... эта ... ну ... тролль он тогда :)Почему? Критика это не троллинг. А вообще Столлман просто смотрит на несколько шагов вперёд. Можно вспомнить, что проект GNU был начат в 1983 году, когда BSD уже существовала, и за девять лет до того, как обладатель прав на UNIX предъявил претензии к разработчикам BSD. Вероятно ещё тогда можно было предполагать подобное развитие событий, но видимо большинство просто игнорировало потенциальную проблему. Как и сейчас многие склонны игнорировать DRM, патенты в области ПО и прочие угрозы.
а что, 10.6 перестала предупреждать пользователя об обновлениях? 10.3, 10.4 и 10.5 всегда предупреждали(остальные версии не пользовал), что вот есть софт который необходимо обновить, и как раз про квиктайм после его установки комп перезагрузить. и от этого можно было отказацца всегда и вообще убрать нафиг обновления, что раньше и делал во времена диалапа.
Бррр... Прямые руки и фаервол (использую ipfw + snitch) никто не отменял :)
>Если обновления не нужны - не ставьте их.В макоси ничего без согласия пользователя не ставится.
Ну, хорошо прийдет очередной "важный, официальный" апдейт для проигрователя или обновление безопастности, не поставишь? И компьютер начнет читать твои мысли :)
Администраторы -- жжёте напалмом! У новости уже 8 плюсиков - и тут вы полностью меняете текст! Даже старого не оставив )))
>Администраторы -- жжёте напалмом! У новости уже 8 плюсиков - и тут
>вы полностью меняете текст! Даже старого не оставив )))Вот это уж действительно! И смысл нового текста с точностью до наоборот относительно текста старого варианта новости!
У меня глюки, или эта новость с утра звучала совершенно иначе?
>У меня глюки, или эта новость с утра звучала совершенно иначе?эта новость с утра звучала совершенно иначе...
Это уже манипуляции?
Это не манипуляции. Это непрофессионализм.
Опеннет, увы, становится все более пионерским.
Проблема в том, что автор вначале построил текст на базе прошлых выступлений Столлмана, не обратив особо внимание на его нынешнюю заметку в блоге. И редактор тоже пробежался по тому тексту, не заметив отклонений от генеральной линии Столлмана. Я не припомню, чтобы Столлман менял свое мнение, он обычно твердо отстаивает свою позицию. Вообщем, сочетание случайного стечения обстоятельств и человеческого фактора. После того как ошибка всплыла, текст сразу поправили. Комментарии, оставленные к первой редакции новости, удалять не стали.Такая фактическая ошибка в новостях всплывает впервые на opennet, надеюсь, что это послужит мне хорошим уроком. С новостями, как у саперов с минами, одна ошибка после многих лет труда и есть шанс получить несмываемое пятно в репутации, про ранее опубликованные 20 тыс. текстов никто и не вспомнит.
>послужит мне хорошим уроком. С новостями, как у саперов с минами,
>одна ошибка после многих лет труда и есть шанс получить несмываемое
>пятно в репутации, про ранее опубликованные 20 тыс. текстов никто и
>не вспомнит.да ну. действительно, в первый раз такой глюк. бывает. просто стоило, по-моему, при изменении текста вот этот твой камент к новости и приаттачить, и тогда не было бы вопросов.
Принято. Беру назад слова о пионерстве.
Открытые новости в действии - текст новости меняется в зависимости от пожеланий сообщества."Мир таков каким вы его видите"
Ну... Есть некая новость.Если потом выяснилось, что новость некорректна (человек чушь сморозил (что само по себе не новость)), то, обычно, пишут новую новость (а не старую правят).
Править старую это, именно не профессионализм, а то и подтасовка фактов (какой-бы "открытой" новость не была). :)
Текст новости меняется в зависимости от пожеланий, а
не для того, чтобы точнее соответствовать фактам.Это болезнь, которой болеет все foss-сообщество.
К сожалению, мир не становится таким, каким его видишь.
И иногда понимание этого может придти слишком поздно.
Выше подсказывают, что текст все-таки меняется по другим причинам.
И это хорошо.
>Открытые новости в действии - текст новости меняется в зависимости от пожеланий
>сообщества.IMHO, все нормально. Кто-то написал новость на основании _другой_ статьи Столмана в которой он обвинял Apple, потом увидели извинения Столлмана и привели текст в соответствие. Благо кнопка "Исправить" под новостью еще действует.