| 1.6, Аноним (6), 12:57, 27/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –20 +/– |
 Вот вам и линукс. Хорошо что хоть закрывают, но на Debian и CentOS заплаток фиг дождешься.
| | |
| |
| 2.29, Аноним (-), 14:08, 27/02/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
Не знаю, как у красношляпников, но у дебианщиков подобные заплатки регулярно выходят.
| | |
| |
| 3.40, ы (?), 15:08, 27/02/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Количество заплаток deb-based уже зашкаливает все разумные пределы.
| | |
| |
| 4.50, pavlinux (ok), 16:39, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Кстати, начиная с самого появления UTF-8 и NLS в ядре, при монтировании FAT/VFAT
с параметром iocharset=utf8 всегда вываливается вот такое предупреждение:
FAT-fs: utf8 is not a recommended IO charset for FAT filesystems, filesystem will be case sensitive!
Но гугля же крутая, им покласть болт и на людей и на законы природы.
| | |
| |
| 5.56, Аноним (-), 17:04, 27/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Заодно некрофаги получат лишний стимул прекратить уже наконец свое гнусное занятие и пользоваться таки уже свежими ядрами.
| | |
| |
| 6.66, pavlinux (ok), 18:48, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Заодно некрофаги получат лишний стимул прекратить уже наконец свое гнусное занятие и
> пользоваться таки уже свежими ядрами.
Это ты вендузятников мордой в какашки суй, и приговаривай "strcasecmp() в 21 веке юзают только ламеры"
| | |
|
|
|
|
| 2.55, Аноним (-), 17:03, 27/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вот вам и линукс.
А никто и не обещал что некромансия - это просто.
| | |
| 2.65, odesk (?), 18:24, 27/02/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
 А вот не надо относиться к Linux как $$женной Винде. Нужно всегда быть внимательным при принятии решений о использование определенной ОС или конкретного ПО в конкретном контексте. Каждый контекст имеет и уровни ответственности и уровни гарантии. И в каждом конкретном случае должна быть "четко" видна "линия" ответственности за качество и гарантии ПО. Linux ничего не гарантирует и не требует. Он живет за счет "влияний" спонсоров и волонтеров. Однако никто не гарантирует что нет дер. Просто их не ищут. То, что находят иногда публично афишируют, но чаще наоборот. Более того разбирая исходники openssh со студентами в качестве "обучающего" предмета, находили ляпы и "удивленно" восхищались.
| | |
| 2.68, ВовкаОсиист (ok), 21:13, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Вот вам и линукс.
У знакомого на винде каждый день приходят тонны исправлений уязвимостей, и что? Человеческий фактор, уязвимостей не может не быть. Их может быть минимальное количество и оперативное исправление.
| | |
| |
| 3.76, hummermania (ok), 09:46, 01/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Причем большая часть звучит так - Эта уязвимость позволяет злоумышленнику НЕ прошедшему проверку подлинности выполнить произвольный код на машине....
| | |
|
|
| 1.9, Аноним (-), 13:01, 27/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Сейчас у энтузиастов нет стимула искать уязвимости в ядре. Организовали бы на базе Linux Foundation отдельный фонд для финансирования выплаты вознаграждений за поиск уязвимостей и за каждую найденную дыру выплачивали бы несколько тысяч долларов, как это делает Google для Chrome. После такого не только бы толпы людей стали внимательно изучать на предмет безопасности каждый коммит, но и сами коммитеры и разработчики ядра по другому бы взглянули на проблему (несколько тысяч долларов не для кого не лишние) и не отмахивались бы как сейчас.
| | |
| |
| 2.15, Аноним (-), 13:26, 27/02/2013 [^] [^^] [^^^] [ответить]
| +7 +/– |
Ага, вот только кому-нибудь обязательно придёт в голову по-тихому вносить хитрые уязвимости, чтобы знакомый "выявлятель уязвимостей" через некоторое время эту уязвимость "находил" и делился гешефтом.
| | |
| |
| 3.19, Аноним (-), 13:42, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ага, вот только кому-нибудь обязательно придёт в голову по-тихому вносить хитрые уязвимости,
> чтобы знакомый "выявлятель уязвимостей" через некоторое время эту уязвимость "находил"
> и делился гешефтом.
На поиске уязвимостей и сейчас можно неплохо заработать, продав эксплоит черным шляпам. Но продвинуть специально уязвимость в условиях сложившейся среди разработчиков ядра цепочке доверия невероятно сложно. По крайней мере прецедентов еще не было. Проблема то том, что часто данные об уязвимости сперва попадают не в те руки, Google блестяще перетянул на себя одеяло - можно неплохо заработать без какого-либо риска.
| | |
| |
| 4.21, Аноним (-), 13:43, 27/02/2013 [^] [^^] [^^^] [ответить] | +/– | В 2008м году оборот в сфере киберпреступлений превысил оборот наркобизнеса Гу... большой текст свёрнут, показать | | |
| |
| 5.23, Аноним (-), 13:47, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Так шта, я бы сказал, у черных шляп можно заработать риальни покруче.
Во первых у людей есть определённые принципы (на продаже оружия/наркотиков можно курто заработать, но ведь только отморозки до этого спускаются). Во вторых вознаграждение Google по размеру сопоставимо с тем, что можно заработать на продаже эксплоита.
| | |
| 5.33, Crazy Alex (ok), 14:52, 27/02/2013 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Из этой новости:
" В понятие киберпреступности входят сетевой промышленный шпионаж, детская порнография, манипуляции с акциями, пиратство и кража информации"
В эту сумму они всё запихнули, включая "пиратство". А там суммы "недополученной прибыли" такие рисуют, что оно могло запросто оказаться больше оборота всей планеты.
| | |
|
|
|
| 2.18, Аноним (-), 13:41, 27/02/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
Энтузиасты здесь ну совершенно не при чем. Чтобы прыгнуть в высоту на 8 метров, надо одного прыгуна, прыгающего на 8 метров, а не 8 прыгающих на 1 метр. Опачки?
| | |
| |
| 3.22, Аноним (-), 13:44, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Энтузиасты здесь ну совершенно не при чем. Чтобы прыгнуть в высоту на
> 8 метров, надо одного прыгуна, прыгающего на 8 метров, а не
> 8 прыгающих на 1 метр. Опачки?
Прыгуны есть, но сейчас им не интересно прыгать или они прыгают за чужую команду. Нужен стимул. Пример с Chrome я уже приводил - толпы людей постоянно ковыряют код для поиска уязвимостей, а для некоторых поиск дыр в Chome стал постоянным заработком.
| | |
| |
| |
| |
| |
| 7.70, Аноним (-), 21:18, 27/02/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Хром != Хромиум
Хром = Хромиум + несколько малозначительных мелочей, типа Flash в комплекте и поддержка синхронизации через сервисы Google.
| | |
| |
| 8.73, Аноним (-), 00:41, 28/02/2013 [^] [^^] [^^^] [ответить] | –1 +/– | Если бы детали были малозначительными, то исходный код запросто бы публиковали ... текст свёрнут, показать | | |
|
|
|
| |
| |
| 7.48, бедный буратино (ok), 16:07, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
 А давайте поощрять таких людей лицензией на Debian со скидкой!
Надо только красивый артворк нарисовать, чтобы они прониклись.
| | |
|
|
|
|
|
| 2.71, linux must _RIP_ (?), 21:47, 27/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
а как же любимый аргумент шигорина что ядро смотрят милионы пользователей и ищут уязвимости и в этом прелесть GPL ?
| | |
|
| |
| 2.34, Crazy Alex (ok), 14:53, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Напоминаю, если что: "в основном ядре Linux проблема была молча исправлена в ноябре 2011 года".
| | |
| |
| 3.44, pavlinux (ok), 15:40, 27/02/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Что значит молча?
Тише просто некуда!
The utf8s_to_utf16s conversion routine needs to be improved. Unlike
its utf16s_to_utf8s sibling, it doesn't accept arguments specifying
the maximum length of the output buffer or the endianness of its
16-bit output.
...
Signed-off-by: Alan Stern <stern@rowland.harvard.edu>
CC: Clemens Ladisch <clemens@ladisch.de>
Signed-off-by: Greg Kroah-Hartman <gregkh@suse.de>
После слов "it doesn't accept arguments specifying the maximum length of the output buffer"
даже ежыку понятно, что переполнение буфера можно соорудить.
Более того, под якобы исправлением, может скрываться алгоритмическая дыра,
"special for CIA, FBI, NSA", особо если патчик из Гарварда за именем Alan :)
Так что, если вас действительно напрягают проблемы безопасности, в Вашей конторе
должен быть отдел безопасности, в крайнем случае отдельный человек.
| | |
| |
| 4.49, Crazy Alex (ok), 16:39, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну, я больше о том говорил, что обсуждается давно (больше года назад!) исправленная дыра. Да и вторую запатчили не после рапортов о взломах, а сами нашли и прикрыли. Нечего панику разводить.
| | |
| |
| 5.53, pavlinux (ok), 16:53, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну, я больше о том говорил, что обсуждается давно
Там реально немерено патчей, практически из любого можно создать
подобную новость с подробным разбором полётов и рекурсивным анализом.
В идеале патч должен быть не только с изменёнными строками,
но и с деревом всех затрагиваемых функций.
| | |
|
|
| 3.57, Аноним (-), 17:10, 27/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Речь про то что "Новая функциональность => Новые баги". Соответственно включать малополезную функциональность в ядро не нужно
| | |
|
|
| 1.69, DFX (ok), 21:14, 27/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >> После публикации информации об уязвимости родилась дискуссия о возможных путях решения сложившейся ситуации с отсутствием оценки влияния исправляемых в ядре проблем на безопасность. Сейчас разработчики ядра не делают различий в том, связано исправление с уязвимостью или только влияет на стабильность. По словам одного из членов Red Hat Security Response Team в настоящее время нереально провести полный аудит всех вносимых в ядро исправлений, их слишком много, например, среди десятков тысяч изменений трудно выявить именно те единичные случаи, которые могут привести к нарушению безопасности. В качестве одного из вариантов выхода из сложившейся ситуации было упомянуто создание отдельной группы для рецензирования всех вносимых в ядро изменений на их возможное влияние на безопасность.
либо можно просто не slowpoke'чить со своими fork'ами и backport'ами в них, а поставлят свежее ядро в своих полу'proprie'растных поделках.
но нет, пусть этим разрабы Linux'а бесплатно позанимаются, ага.
| | |
|
