Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... итоги года действия (http://www.opennet.me/opennews/art.shtml?num=38123) программы (http://www.opennet.me/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.
Из участвовавших в программе успешных разработок отмечается:- Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9... проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
- Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm... в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
- Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551... в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
- Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza... (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
- Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (http://www.opennet.me/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых Shellshock-уязвимостей в Bash;Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.
URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...
Новость: http://www.opennet.me/opennews/art.shtml?num=40792
> Внедрение проверок безопасности во фреймворк DjangoА что, изначально Джанго писали без проверок безопасности?
Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.
> Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.... и решили производить головки молотков из пенопласта. Гугл такой гугл.
Ума и денег хватило на написание проверок перед ударом и перед замахом, псевдозамах, автоматизация замаха, в конченом результате решили спрятать руки в ЖЁ от греха подальше перед замахом.Раньше удовалось заколотить в день по 3 гвоздя в свой гроб, теперь только один))))
Забыли еще одно достижение.
- число свободно публикуемых уязвимостей сократилось на 70%
сегодня был день психического здоровья и день яйца.
первое - точно не ваш праздник. лучше выберите, какое поздравлять будете: правое, или левое.
Начали б они со своего Андроида.
Чтоб root из коробки, чтоб OTA на рутованные железки ставились, чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать.
Какой root из коробки? Там и так вирусов полно, а с root вообще атас будет.
Вирусов там не полно. Но встречаются, да. И одна из главных причин их существования: отвратная управляемость системы со стороны пользователя: что для получения root`а, что для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.
> отвратная управляемость системы со стороны пользователяЭто фича, инжой.
>для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.Вы все таки подержите как нибудь андройд в руках то, ну в магазине хотя бы. А то ведь смешно получается.
Нет там ВИРУСОВ, разве что албанские, которые специально устанавливать надо. Т.е. неспособные самостоятельно размножаться. ВИРУС должен самостоятельно размножаться.И если скрыть этот рут хотя бы за тем же извращением, за которым щас скрыто включение опций разработчика - дебилы его и так не найдут)).
> ВИРУС должен самостоятельно размножаться.Нет.
> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничиватьЭтого даже в линуксе нет (в том смысле, что вы подразумеваете) и, похоже, никому не нужно. Что там на телефоне, должно волновать в меньшей степени.
Проблема андроида - нужно продавать железки и гвнопрограммы. Из нее следуют все остальные проблемы.
В Линуксе нет той кучи фекалий, называемой в Андроиде софтом. 90% софта — опенсорс. А Skype`ы и Steam`ы можно и не ставить на тех компах, где есть что-то ценное. В Линуксе есть нормальное разделение на пользователей. Т.е. можно часть софта использовать под выделенным пользователем.
В Андроиде вместо всего этого — контейнеры для приложений с явно выделямыми им правами, да ещё каждая софтина запускается от своего пользователя. Проблема в том, что пользователь этими правами управлять не может, а разработчики софта ограничивать права своих продуктов не хотят. В итоге оно вообще не про безопасность.
В Винде тоже были и пользователи, и права разделяемые — толку-то?
Есть, братюнь - apparmor и selinux.
А еще контейнеры и cgroups, а для особо злобных программ и полновесные виртуалки.
> чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничиватьЭто в J2ME даже было)
> Добавление в OpenSSH алгоритма Curve25519 и некоторых
> других криптографических примитивов;Теперь еще выпилить оттуда всякое старье типа ssh1 и прочий шит - и станет хорошо.
> для обхода новых Shellshock-уязвимостей в Bash;Не помогло что-то, судя по http://www.opennet.me/openforum/vsluhforumID3/99332.html