| |
| 2.6, Аноним (-), 19:34, 14/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Начинаем меряться дырками? Ай, щас линуху-то в разнос пустють... | | |
| |
| 3.16, Анонимус (?), 10:37, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Давайте, пускайте уж.А то что-то припоминаются локальные уязвимости всякие и прочая лажа, а вот таких ужосов - что-то не богато в последнее время.Может, я просто чего-то не заметил?... :) | | |
| |
| 4.21, GateKeeper (??), 16:27, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Там до сих пор значатся как непатченные уйма дыр. Подробности на secunia.com. И не надо говорить про то, что, якобы, в большинстве случаев эти дыры неюзабельны... шестой IP тоже практически не юзабелен на сегодня, однако из-за одной всего дыры тут начали меряться дырками... | | |
| |
| 5.23, FFFFFE (?), 23:09, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Неюзабелен?А как же я чувака в ирц видел сидящего с адреса IPV6?Что-то тут не так.Наверное имелось в виду что "мало используется". | | |
|
|
|
|
| |
| 2.4, Аноним (-), 17:07, 14/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>Зато девиз оперативно обновили. :)
Даешь смену лозунга на "самые свежие удаленные дыры в дефолтовой установке" :-)
| | |
|
| 1.7, Jelis (ok), 19:48, 14/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Как я понимаю, ip6 по интернету не роутиться? И этой дыркой можно только локально воспользоваться? | | |
| |
| 2.8, Skif (ok), 01:31, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Просто v6 пока никто активно не пользует. так что счастья от дырки... хм... никакого, если шел уже не получил на уязвленной системе и не можешь это сделать локально. Да вот тока смысл? Шел-то, есть... | | |
| |
| 3.20, Jelis (ok), 14:52, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Не, ну локально всетаки я имел ввиду в "локальной сети". Потому как по эзернету в одном сегменте IP6 пакеты прекрасно проходят, и с другого компа в этой же локальной сети эксплойт работать будет. | | |
|
|
| 1.9, Zert (?), 08:00, 15/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Те, кто злорадствует, сами ничего сложнее хеловорда не писали. Разработка сложных систем требует выдержки и кропотливой работы, и написать абсолютно бездырную и безбажную систему не получится. | | |
| |
| |
| 3.14, Zert (?), 10:29, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Если дырки никто не находил, это не значит, что их нет :) | | |
|
| 2.15, Michael Shigorin (?), 10:32, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
 Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки есть.
В данном случае занимателен не технический аспект, а отношение авторов к детищу и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки". В отличие от.
But as we know, pride comes before a fall.
PS: мне лично поднятие IPv6 не кажется разумным умолчанием. В ALT Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была сознательно и прокомментированно отменена, так что в 4.0 будет off by default. | | |
| |
| 3.18, rii (ok), 12:55, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >Вы безусловно правы во втором предложении, только примеры промышленных практически бездырных (тот
>же Postfix) и безбажных (тот же TeX) систем заметной сложности всё-таки
>есть.
>
>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>и другим: "мы пишем для себя и мы самые крутые, а
>вы все сосунки". В отличие от.
>
>But as we know, pride comes before a fall.
Можно линки на эту информацию?
>
>PS: мне лично поднятие IPv6 не кажется разумным умолчанием. В ALT
>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>default.
Возможно они при включении его в ядро думали о преимуществах в безопасности IPv6 перед IPv4,
но это лиш предположение на вскидку, может быть на это решение повлияли даже личные мотивы etc.
off by default не будет, потому что залатали дыру openbsd.org/errata.html | | |
| |
| 4.24, Michael Shigorin (?), 09:16, 16/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>>В данном случае занимателен не технический аспект, а отношение авторов к детищу
>>и другим: "мы пишем для себя и мы самые крутые, а вы все сосунки". В отличие от.
>>But as we know, pride comes before a fall.
> Можно линки на эту информацию?
Можно, хотя отчасти это просто половина опыта общения с deraadt@:
http://kerneltrap.org/node/7729
http://lwn.net/Articles/225946/ (это про тайминги работы с данной уязвимостью -- тоже pride, хотя надо отдать должное -- преодолённая)
>>PS: мне лично поднятие IPv6 не кажется разумным умолчанием. В ALT
>>Linux, например, автозагрузка модуля ipv6 (которая было начала осуществляться udev) была
>>сознательно и прокомментированно отменена, так что в 4.0 будет off by
>>default.
>Возможно они при включении его в ядро думали о преимуществах в безопасности
>IPv6 перед IPv4, но это лиш предположение на вскидку, может быть на это решение
>повлияли даже личные мотивы etc.
Я, не будучи сетевиком, не знаю ни одного преимущества в безопасности IPv6. То, что там нет довольно существенной меры прикрытия фактических проблем "беспризорных" хостов в виде NAT -- знаю. То, что более сложная форма записи более сложных параметров всегда будет приводить к большему количеству чисто человеческих ошибок -- знаю. Но это недостатки, а не преимущества. (btw буду благодарен за ссылку на сравнение прикладной безопасности, если вдруг кто-нибудь встречал "для посторонних")
>off by default не будет, потому что залатали дыру openbsd.org/errata.html
Гм, Вы из openbsd? Обычно дефолты в таких случаях коррелируют с подозрением на проблемность, а не с заткнутостью уже известных проблем. | | |
| |
| |
| 6.26, Michael Shigorin (?), 21:47, 16/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>> (btw буду благодарен за ссылку на сравнение прикладной
>>безопасности, если вдруг кто-нибудь встречал "для посторонних")
>Не совсем сравнение, но кое что есть:
>http://www.securitylab.ru/contest/264659.php
Спасибо (комментарии тоже стоило почитать, особенно третью страницу). Т.е. я представлял себе примерно треть проблем этого overengineered поделия, и причём далеко не самую худщую...
Тем более не вижу поводов поднимать по умолчанию или из любопытства. | | |
|
|
|
|
|
| 1.12, rii (?), 09:12, 15/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
Кто покажет ОС готовую к промышленному использованию с подобными результатами?! | | |
| |
| 2.13, Moralez (??), 09:59, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
В том же FreeBSD дырок не больше, просто дефолты другие (кого они вообще интересуют? мы же настроим всё). | | |
| |
| 3.19, rii (ok), 12:59, 15/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>>2(!!) удалённых уязвимости в установки по умолчанию с 1995 года.
>>Кто покажет ОС готовую к промышленному использованию с подобными результатами?!
>
>В том же FreeBSD дырок не больше, просто дефолты другие (кого они
>вообще интересуют? мы же настроим всё).
Путь самурая не всегда приемлем. Особенно когда времени не много.
| | |
|
|
| 1.22, Sivolday (??), 21:05, 15/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как раз сегодня с коллегами обсуждали подобную тему. Натолкнула на нее фраза из Дейтелов про то, что "алгоритм работает, но формальное доказательство того, что он работает, является весьма нетривиальным". И договорились, развивая тему, до того, что более менее сложная система вообще не может работать, так как корректное с математической точки зрения доказательство того, что все замысловатые алгоритмы, а точнее их реализации, в связке заработают, практически невозможно.
Но ведь работают!
В конце смягчили, типа, предложили гипотезу: если задаться определенным уровнем сложности, то с высокой долей вероятности можно утверждать, что сложная система имеет ошибки проектирования и реализации, а, следовательно, уязвимости.
В общем, можно было не начинать, потому что это и так всем ясно.
| | |
|
