В платформе Android найдена (http://www.h-online.com/open/news/item/Android-holes-allow-s...) недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.
Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (напирмер, такой как бы...URL: http://www.h-online.com/open/news/item/Android-holes-allow-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=28627
"год эдак за 2100 .. новость: В андроидах нового поколения найдена критическая уязвимость позволяющая обойти 3 главных закона робототехники и таки убить человека"Андроиды такие андроиды...
Какой у гугла зонд колоритный :)
Кстати а вот еще такой вот экспонатец гуглем случайно накопался: http://www.exploit-db.com/exploits/15423/Безопасный, говорите, браузер? На безопасном, говорите, андроиде? А чойта за реверс-шелл провоцируемый прямо из вебпаги тогда? oO
Ничего идеального не существует в принципе, или Вы не согласны? Нашли ошибку - исправят, это естественный и повсеместный процесс. Как всегда, воздух хочется посотрясать попусту?
> Ничего идеального не существует в принципе, или Вы не согласны?Согласен. Есть только один момент: не надо было врать про то что супер-секурно, блаблабла. Мозильщики на эти грабли уже наступили. Чужие уроки - не для гугля? Надо свои шишки набить? Ну тогда по-моему вполне честно их за это обругать. Я видел очень немного программ, которые были бы по настоящему секурные и пиарились бы как таковые решения. Как правило это очень маленькие программы. А если кто наворотил хренадцать мегов кода и вещает про безопасность - он с вероятностью 99.9999% является, пардон, шарлатаном. Ну не могут быть хренадцать мегов кода без кучи багов. Включая и те которые затрагивают секурити.
>Согласен. Есть только один момент: не надо было врать про то что супер-секурно, блаблаблаЭти бла-бла-бла существуют разве что в Ваших больных фантазиях лишь как очередной повод облить что-то дерьмом. Google никогда не утверждал, что Андроид - бриллиант и совершенство, и тем не менее, он обладает довольно неплохими защитными механизмами и безопасностью в целом. Ну а ошибки были и будут всегда, это уже особенность человеческой природы - ошибаться. И программисты Google тут не исключение.
> повод облить что-то дерьмом.Ну, не только же дифирамбы петь? Если только петь дифирамбы - картина однобокая какая-то выходит :)
> Google никогда не утверждал, что Андроид - бриллиант и совершенство,
Это еще как сказать. Распиарено некисло, потому и спрос соответствующий :)
> и тем не менее, он обладает довольно неплохими защитными механизмами
Теоретически - да. Практически... см ниже.
> и безопасностью в целом.
Ага, щаззз. Если невозможно программу скачать без риска что она зондом окажется и начнет направо-налево сливать серийники аппарата, координаты и что там еще - какая уж там безопасность? Одно название. А в дураках остаются как обычно те кто этот банкет и оплачивает. Т.е. пользователи.
> Ну а ошибки были и будут всегда, это уже особенность человеческой природы -
> ошибаться. И программисты Google тут не исключение.Вот тут хрен поспоришь.
>Какой у гугла зонд колоритный :)Вы хотя бы новость прочитайте, перед тем как свой идиотизм здесь демонстрировать. Android здесь совершенно не при чем, как и Google в целом. Компания HTC самостоятельно модифицировала (опенсорс ведь) код Андроид, чтобы упростить обновления флеша на своих коммуникаторов в обход системы безопасности ОС.
> обновления флеша на своих коммуникаторов в обход системы безопасности ОС.Хамить вы умеете, ага. А вон тот эксплойт с реверс-шеллом - это в обход кого? Гугл на свою жопу про секурити повтирал. Пусть теперь хавает. Ща ему хаксоры доступно покажут какая там у них там "секурити".
>Хамить вы умеете, ага. А вон тот эксплойт с реверс-шеллом - это в обход кого? Гугл на свою жопу про секурити повтирал. Пусть теперь хавает. Ща ему хаксоры доступно покажут какая там у них там "секурити".А всё, что умеете Вы - обливать все неугодное Вам дерьмом, повторяя из раза в раз один и тот же бред, независимо от контекста дискуссии и новости. И даже когда Вас тыкают носом в Вашу же некомпетентность, то Вы сразу увиливаете, ссылаясь на моральные нормы, этику, анонимность собеседника и так далее. Эта новость отнюдь не исключение - компания HTC сама лично изменила прошивку Android, чтобы обновления Flash'a ставились без каких-либо проверок. И кто бы сомневался, в тред вваливается User294 c осточертевшими всем фразами о том, какой Android дырявый, а Google хреновый. Ни к Google, ни к Android эта новость вообще не относится, но разве для Вас это повод, чтобы в очередной раз не открыть свой рот?
Теперь про Вашу ссылку. Протрите монитор/очки/глаза и читайте первые строчки:
// bug = webkit code execution CVE-2010-1807 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1807
// listed as a safari bug but also works on android :)Для слабовидящих/неграмотных я переводу: это баг webkit'a, позволяющий осуществить исполнение чужого кода. И поскольку в Android так же используется браузер на этом движке, то проблема затронула и его. Что имеем в итоге: в новости, посвященной проделкам HTC, Вы постите ссылку на баг, оставленный скорее всего Apple. А виноват опять Google и Android. Не говоря уже о том, что Вам сказали выше - баги были, есть и будут ВЕЗДЕ, покуда человек - не машина. И какое же Вы хотите после этого к себе отношение?
> А всё, что умеете Вы - обливать все неугодное Вам дерьмом,Я и угодное мне могу дерьмом облить. Иногда даже обливаю. И? :)
> Вашу же некомпетентность, то Вы сразу увиливаете, ссылаясь на моральные нормы,
> этику, анонимность собеседника и так далее.Да вообще! Прямо мировой заговор, и не говорите.
> Эта новость отнюдь не исключение - компания HTC сама лично изменила прошивку
> Android, чтобы обновления Flash'aА знаете, юзеру по большому счету вообще все-равно - HTC ему поднасрал или гугл. Называется андроидом? Дыра есть? Ну и хренли еще надо? Значит дыра в андроиде. Мозилла в этом плане например поступила достаточно кардинально - вы или называетесь файрфоксом но показываете им патчи и называетесь файрфоксом только после одобрения оных, так что если мозильщиков ругают то за дело, или называетесь как-нить по другому и тогда все ваши обсироны приходятся уже на ваши собственные названия и репутацию. И да, на примере мозиллы можно было выучиться уже не очень выпячивать секурити :)
> Ни к Google, ни к Android эта новость вообще не относится,
Не скажите. Если гугл позволяет вендорам вытворять что угодно под своей торговой маркой - отлично, значит эти выходки вендоров будут атрибутом торговой марки и засрут ее репутацию. Если гуглу не нравится это - а им что, кто-то не давал установить условия юзания трейдмарка не позволяющие вендорам беспределить как угодно, прикрывая свои попы чужой торговой маркой? Поэтому новость относится и у гуглу, и к андроиду. Гугл вполне мог бы избежать таких ситуаций, позаботившись о отвязке сильно кастомизированных прошивок не проверенных гугелем от своей торговой марки.
> но разве для Вас это повод, чтобы в очередной раз не открыть свой рот?
> скорее всего Apple. А виноват опять Google и Android.Ну а кто? Они свой браузер не называют вебкитом/сафари. Поэтому шишки для них эпплу ну никак не достанутся. С точки зрения юзеров виноват будет в том числе и гугл/андроид. Потому что предоставляет какой-то свой браузер с собственным названием. Выпуская яппловское решение под своим названием стоит понимать, что все предъявы по нему будут адресованы уже не в эппл ;)
> Не говоря уже о том, что Вам сказали выше - баги были, есть
> и будут ВЕЗДЕ, покуда человек - не машина.Да кто б спорил, только вот как известно, можно тупо обделать себе репутацию на простых граблях. Чем гугл и занимается. Если бы они не напирали какие там у них фирменные браузеры а скромно упомянули что это чужой компонент, мало кто записал бы багу на счет именно гугля. Если бы гугл заставлял отдавать изменения на аудит до того как позволять юзать свои торговые марки - к ним не было бы предъяв за чужие обсироны не по делу. А так - гугл выпустил нечто. Распиарил. Добился того что аппараты разных вендоров четко ассоциируются только с ним. Ничего не предпринял чтобы чужие обсираки не приписывали гуглю. И почему теперь какое-то удивление что все кирпичи - летят в гугл, а вовсе не в HTC? Вот если бы оно называлось HTC Super-Duper-Platform с HTC Super-Duper-Browser - вот тогда HTC не отмылся бы :). Но у гугля как обычно - сперва делается, а потом думается. Весь их дизайн платформы вот такой вот.
> И какое же Вы хотите после этого к себе отношение?
Если честно - мне довольно пофигу что вы обо мне подумаете. Я вас вижу впервые или около того. И нет никакой уверенности что увижу хотя-бы еще раз. А если даже и увижу - не факт что узнаю, т.к. внятно подписаться вы не потрудились. Ну и какая мне в свете этого разница какое у вас ко мне отношение? Странный вы человек. Вот вас сильно волнует отношение к вам какого-то неизвестного человека взятого отфонарно, наугад? ;)
Фэйл. Андроид - венда XXI века.
Точно. Когда вышла венда 95, народ плевался, матерился, но продолжал жрать кактус.
Потому что там было столько красивых фенечек - реестр, дефраг, scandisk красивый,
папочки, кнопочки, менюшечки. Setup.exe - спасает планету, так как не надо было
шайтанить как в ДОСе, прописывая тонны конфигов.
> шайтанить как в ДОСе, прописывая тонны конфигов.Зачем?
> шайтанить как в ДОСе, прописывая тонны конфигов.не помню что-то чтобы мне приходилось писать тонны конфигов работая под MS-DOS 6.* .
>> шайтанить как в ДОСе, прописывая тонны конфигов.
> не помню что-то чтобы мне приходилось писать тонны конфигов работая под MS-DOS
> 6.* .Вы точно в ДОС работали?
Настраивали fido, tcp/ip, в autoexec/config отдельные разделы для foxpro/для игр/для сети,
всякие usenet читалки, почтовые проги, maple, с доп библиотеками, компиляторы, принтер,
плоттер, печать чеков, сканеры штрих кодов,....
И тут Остапа понесло :)
Вот сразу видно разницу между работой в этом, и увлечением процессом настройки :)Да, для второй категории дос был наверное раем.
А вы ДОС хотя бы на картинке видели?
Без правки указанных конфигов - там ВОООБЩЕ ничего не работало. И кстати железо тоже не работало без ручной правки конфигов. И даже звуковушка не работала без правки конфигов(плюс переключение джемперов на плате РУКАМИ)
> А вы ДОС хотя бы на картинке видели?
> Без правки указанных конфигов - там ВОООБЩЕ ничего не работало. И кстати
> железо тоже не работало без ручной правки конфигов. И даже звуковушка
> не работала без правки конфигов(плюс переключение джемперов на плате РУКАМИ)зато какие игры были.... ваааах x-com, как её там про байкера
таблици прерываний, резиденты, первые полумультизадачники, bp , vesa только-только -- графика на разрешении больше чем vga, первые груфические тулкиты, мыша, freetype какой-то там 0.0.x версии и шрифты
ну а песня по настройке сети -- это ваапще........ а googl'а с тырнетом нема! знакомых с компом хрен отыскатm.
+1
еще забыли про веселые менеджеры памяти типа QEMM и т.п.
Некоторые даж в этой теме и слов то таких не знают :)
QEMM сам конфиги правил. Тут кто-то жаловался на трах. :)
> QEMM сам конфиги правил. Тут кто-то жаловался на трах. :)На трах жаловаться грех.
Жаловались на настройку =)
Но это они не застали чуть более ранние времена, чем QEMM... =)
> QEMM сам конфиги правил.Ага, он так хорошо правил, загоняя всё что найдёт в LOADHIGH,
шо нифига не работало, например rk.com, или драйвера сети и NETBEUI протокола,
который ой как не хотел работать выше 640к.
> зато какие игры были.... ваааах x-com, как её там про байкераhttp://www.youtube.com/watch?v=PktBJ6HpNJQ
Во многих ли современных играх можно увидеть, как штаны колышутся от ветра? =)
> ну а песня по настройке сети -- это ваапще........ а googl'а с
> тырнетом нема! знакомых с компом хрен отыскатm.Кстати да.
Это сейчас http://google.ru/?вопрос=ответ
А раньше... книжки читали, чтобы понять, как что работает.
А потом писали =)
>> зато какие игры были.... ваааах x-com, как её там про байкера
> http://www.youtube.com/watch?v=PktBJ6HpNJQ
> Во многих ли современных играх можно увидеть, как штаны колышутся от ветра?
> =)блин -- спасибо тебе -- так и застряла и вертиться -- точно Full Throttle
> Во многих ли современных играх можно увидеть, как штаны колышутся от ветра? =)Ну, понимаете, тогда это было больше искусством и меньше - рубкой бабла. А если шедевры начать штамповать конвейерным методом - они неизбежно превращаются ... в галимый ширпотреб. Где, разумеется, никто не печется об колыхании штанов от ветра.
>> Во многих ли современных играх можно увидеть, как штаны колышутся от ветра? =)
> Ну, понимаете, тогда это было больше искусством и меньше - рубкой бабла.
> А если шедевры начать штамповать конвейерным методом - они неизбежно превращаются
> ... в галимый ширпотреб. Где, разумеется, никто не печется об колыхании
> штанов от ветра.Мало что изменилось.
Шедевры и сейчас выходят еденицами в год.
Просто ширпотреба прибавилось.
> как её там про байкераFull Throttle ?
К стати и под линуксом работает) Через ScumWM что ли.. как-то так..
Вы наверное про ScummVM (http://www.scummvm.org). Оно даже на n900 работает, позволяя играть в ряд старинных гамез. В репах есть минимум 2 гамезы под этот ScummVM которые можно легально поюзать.
да, что-то кроме autoexec.bat и config.sys на память ничего больше и не приходит из тонн конфигов ДОСа...
> да, что-то кроме autoexec.bat и config.sys на память ничего больше и не
> приходит из тонн конфигов ДОСа...Хошь прикол, у Linux тоже ни одного конфига нет, кроме того что задаётся при компиляции.
sysctl.conf не конфиг, а дополнение. :)Я не только про сам DOS, а про приложения тоже.
> Хошь прикол, у Linux тоже ни одного конфига нет, кроме того что
> задаётся при компиляции. sysctl.conf не конфиг, а дополнение. :)Ага, если ядро понимать под ним :))). Зато остальные программы это вполне компенсируют.
ОШИБКА ЛИ??
ну может теперь HTC разродятся 2.2 выпустить для своих бюджетных моделей 2010 года
Это не баг, это фича. (С)
> Это не баг, это фича. (С)При покупке одного - три в подарок. (с) Trojan Inc.
User294 теперь безумно рад, что и в Android есть фича, позволяющая устанавливать приложения без ведома пользователя. :))
редкий тред найдётся, в котором один из вас не вспомнит другого ))
> редкий тред найдётся, в котором один из вас не вспомнит другого ))неееее -- вы не подумайте -- изя у нас просто популярный экземпляр
> редкий тред найдётся, в котором один из вас не вспомнит другого ))Что ещё тебя интересует в нашем взаимо-действии, аналитический ты наш?
А что, во фре тоже есть такая фича?
о снова все ради "Flash-плагина" :-)
А это вовсе и не баг...
flash в помойку. Нужен html 5. Для совместимости вКунтактник-ам только можно оставить, хотя им и silverlight-a хватит. Так на нём же всё видео выкладывают. Зачем использовать интерактивную технологию для не интерактивной инфы я вообще не понимаю.
> хотя им и silverlight-a хватит.На него даже MS уже забил, а анонимусы почему-то еще не выбросили? oO
>На него даже MS уже забил, а анонимусы почему-то еще не выбросили? oOАга, так забил, что только про него и трындит на всех конференциях для разработчиков. Так забил, что сделал его основным средством для разработки для новенькой Windows Phone 7. Время идет, но анонимус с порядковым номером 294 все такой же пустобрёх...
> Ага, так забил, что только про него и трындит на всех конференциях для разработчиков.А для микрософта вообще нынче вполне типично разработчиков прикладывать мордой об стол. Я например видел как команды имевшие дело с дотнетом прикладывались на несовместимости между версиями. А уж разработчиков под винмобиле 6.x приложили наравне с пользователями. Сделав так что теперь они пролетают и стройными рядами выбрасывают свои программы и идут писать свой софт заново.
> Так забил, что сделал его основным средством для разработки для новенькой Windows Phone 7.
Да, а теперь мы посмотрим сколько разработчиков бросится переписывать программы с нуля, на новом языке, под новую систему ... у которой аж 3% рынка. Извините, а вы можете объяснить с точки зрения разработчика: если уж осваивать новую систему, новый ЯП и писать свою прогу заново и с нуля - накукуй бы при этом выбирать платформу с 3% рынка? Логично рассматривать первые 2-3 самые популярные. А это ну никак не про винфон.
> Время идет, но анонимус с порядковым номером 294 все такой же пустобрёх...
А вот это мы и посмотрим. Есть мнение что винфон7 это "do or die" для микрософт. По моему мнению микрософт выбрал второй вариант. Я бы их акции покупать не стал. Да впрочем что там я, их вон Баллмер сливает, видимо резонно полагая что дальше будет только хуже. А какие поводы у акций мс расти? Мс просрало практически все перспективные разработки которые должны были бы кормить их завтра и послезавтра.
Послушай, ты и правда думаешь, что люди вокруг настолько тупые, что не замечают, как ты прыгаешь с темы на тему, когда чувствуешь, что тебе поджали хвост? :-D Так я тебе напомню:
исходный вброс:
1) "Microsoft забила на Silverlight."После того, как тебе возразили и довольно объективно доказали, что ты спорол чушь, ты, порывшись в своем арсенале бесконечных тем для "соскока" перепрыгнул уже на совсем другую:
2) У Windows Phone малый процент рынка, и даже акции их уже приплел.
Ну а то, что сморзил глупость о ненужности Silverlight микрософту, ты уже как бы и забыл. Трепло и есть трепло.
Интересно, это все в нем заложено by design, или нет?
Москва не сразу строилась.(с)Не помню кто
> В платформе Android найдена недоработка
> возможность добавлена только в телефонах компании HTCТак кто же виноват?
> В платформе Android найдена недоработка
> возможность добавлена только в телефонах компании HTC
>Так кто же виноват?HTC. Ваш К.О.