| |
| 2.23, Аноним (-), 19:23, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
А говорят деньги не портят человека, но продукт все же гробят именно деньги и тупые сотрудники у руля этого карабля
| | |
|
| 1.2, Аноним (-), 18:04, 07/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –17 +/– |
Жаль разработчиков, столько трудились и в один момент капитально подорвана репутация и потеряно доверие к проекту :-( Из нерушимых остаются только Postfix и vsftpd, в которых только мелкие и неопасные уязвимости находили.
| | |
| |
| 2.3, Аноним (-), 18:19, 07/05/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
Во-первых, не ошибается тот, кто ничего не делает. А во-вторых, я думаю разработчики потерю репутации в твоих глазах переживут. Это будет не легко, но они справятся.
| | |
| |
| 3.4, Sylvia (ok), 18:31, 07/05/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 в-третьих nginx далеко не оплот нерушимости и непогрешности
http://nginx.org/en/security_advisories.html
тут достаточно много всего
мне интересно другое, тут недавно китайцы из Qihoo хвастались что дырку нашли (неподтвердилась), интересно iSight какое то отношение к аудиту из-за этой дырки имеют или нет, дырка правда совсем другая ;)
| | |
| |
| 4.30, Andrew Kolchoogin (?), 19:57, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
> в-третьих nginx далеко не оплот нерушимости и непогрешности
> http://nginx.org/en/security_advisories.html
> тут достаточно много всего
Это смотря как считать.
С версии 1.0 и старше major'ов три -- из них один на "specially crafted BACKEND response", что само по себе уже смешно. :)
А так -- http_mp4 и эта. Впрочем, тоже нехорошо.
| | |
|
| 3.7, Аноним (-), 18:39, 07/05/2013 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Во-первых, не ошибается тот, кто ничего не делает. А во-вторых, я думаю разработчики потерю репутации в твоих глазах переживут. Это будет не легко, но они справятся.
А теперь представь, что в техническом плане все то же самое но фамилия разработчика - не Сысоев, а Дреппер (или Поттеринг).
Стал бы ты их оправдывать? То-то же.
Репутация - это прежде всего личные симпатии и антипатии. Реальное качество продукта не играет никакой роли.
| | |
| |
| 4.28, ананис (?), 19:43, 07/05/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
а почему бы и нет? еще раз - не ошибается лишь тот, кто ничего не делает.
| | |
| 4.35, Аноним (-), 20:46, 07/05/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный и резковатый человек, а Поттеринг постоянно косячит.
| | |
| |
| 5.39, Аноним (-), 21:22, 07/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный и резковатый человек, а Поттеринг постоянно косячит.
Типичный пример сугубо эмоциональной оценки.
По факту, они оба хорошие спецы в своих областях, хотя и не безгрешны. Но отношение к ним определяется не уровнем их квалификации, а исключительно пиаром. В Adobe очень "любят" Дреппера, а Поттеринга очень "уважают" в Canonical.
| | |
| 5.69, Аноним (-), 16:40, 08/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный
> и резковатый человек, а Поттеринг постоянно косячит.
А высококлассного специалиста украшает дворовое воспитание или вообще его полное отсутствие?
| | |
| |
| 6.74, Led (ok), 01:32, 09/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > А высококлассного специалиста украшает дворовое воспитание или вообще его полное отсутствие?
Высококлассный специалист - это тот, кто не занимается гуманитарным словоблудием, как ты сейчас.
| | |
| 6.76, www2 (ok), 13:56, 09/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В спорах часто побеждает не тот, кто прав, а тот, кто увереннее в своей правоте. Если ты будешь мямлить, хоть и будешь прав, а потом брюзжать "а я ведь предупреждал", то к тебе постоянно будут относиться как к размазне и брюзге. Определённой категории людей понятен только агрессивный и самоуверенный тон, только таких они могут считать правыми. Конечно, нужно не слишком часто ошибаться, потому что тогда уже отношение может смениться на противоположное - "выскочка и пустобрёх". Успех состоит из двух компонентов - профессиональной компетентности и социальной компетентности.
| | |
| |
| 7.81, Аноним (-), 17:27, 10/05/2013 [^] [^^] [^^^] [ответить] | +1 +/– | В спорах часто побеждает не тот, кто уверенней в своей правоте, а тот, у кого лу... большой текст свёрнут, показать | | |
|
|
|
|
|
| 2.6, Клыкастый (ok), 18:39, 07/05/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 чем раньше ты поймёшь, что непогрешимого софта не было, нет и не будет, тем лучше. я к тому, что доверия быть не должно :)
| | |
| |
| 3.8, Аноним (-), 18:43, 07/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> чем раньше ты поймёшь, что непогрешимого софта не было, нет и не
> будет, тем лучше. я к тому, что доверия быть не должно
> :)
Бывает софт, в котором регулярно находят крупные дыры (например, proftpd), а бывает софт, в котором их не найдешь, хоть весь код перекопай (vsftpd, djbdns).
И nginx из золотой середины начал скатываться в сторону proftpd.
| | |
| |
| 4.12, Клыкастый (ok), 18:54, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> И nginx из золотой середины начал скатываться в сторону proftpd.
не утрируй. на тенденцию это вряд ли тянет. но да, парни стали компанией, получили инвестиции, надо тщательней.
| | |
| |
| 5.13, Аноним (-), 18:56, 07/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> не утрируй. на тенденцию это вряд ли тянет.
Одна новость - да. А вот если сходить по ссылке выше - вполне.
У proftpd тоже далеко не все дыры давали remote shell.
| | |
| |
| 6.15, Sylvia (ok), 19:04, 07/05/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
http://www.phpmyadmin.net/home_page/security/
на тенденцию вот что тянет )
у nginx есть положительный момент в том, что дырки у них 1) исправляются быстро 2) находятся тоже быстро в пределах ветки разработки или нескольких стабильных версий куда новую "фишку" бекпортировали 3) быстро выложили патч и информацию о том почему следует обновиться (я обновила быстрее чем новость на опеннете вышла)
10 дыр (без windows специфичных) за всю историю проекта, не так уж и много, и уж тем более если сравнить с альтернативами (lighttpd, apache)
| | |
| |
| 7.21, Клыкастый (ok), 19:11, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> находятся тоже быстро в пределах ветки разработки или нескольких стабильных версий куда новую "фишку" бекпортировали
кстати, в авторах CVE некая контора iSight. это что, парни аудит заказали? :)
> быстро выложили патч и информацию о том почему следует обновиться (я обновила быстрее чем новость на опеннете вышла)
угу.
| | |
| |
| 8.26, Sylvia (ok), 19:28, 07/05/2013 [^] [^^] [^^^] [ответить] | +1 +/– | мне вот тоже кажется что заказали, в связи с http www securityfocus com archiv... текст свёрнут, показать | | |
|
| 7.77, www2 (ok), 13:58, 09/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
> 10 дыр (без windows специфичных) за всю историю проекта, не так уж
> и много, и уж тем более если сравнить с альтернативами (lighttpd,
> apache)
Только стоит ещё учесть историю: apache и lighttpd постарше, чем nginx. Может быть nginx не хорош, а просто ещё очень молод?
| | |
|
|
|
| |
| |
| |
| 7.61, AlexAT (ok), 07:34, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Хуже - анимешник
Чем тебе анимешники не угодили? /злобно, выгибая пальцы для вставки в глаза оппонента/
| | |
|
|
|
|
|
| 2.10, Аноним (-), 18:49, 07/05/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
Репутация портится не у тех, у кого находят уязвимости, а у тех, кто их подолгу не исправляет.
| | |
| 2.31, PyMonty (?), 19:58, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Из нерушимых остаются только Postfix и vsftpd, в которых только мелкие
>> и неопасные уязвимости находили.
Тогда я вам порекомендую в качестве HTTP-сервера программу "Hello World!", в ней вообще за всё огромную историю существования ни одной уязвимости не нашли.
| | |
| |
| 3.40, Аноним (-), 21:23, 07/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Тогда я вам порекомендую в качестве HTTP-сервера программу "Hello World!", в ней
> вообще за всё огромную историю существования ни одной уязвимости не нашли.
Да ладно. Бывают спецы, которые и приветмир дырявый могут сделать.
| | |
|
|
| 1.29, Аноним (-), 19:56, 07/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Что ни говори, а код у nginx ужасный. Ужасный код не может быть безопасным.
| | |
| |
| 2.32, PyMonty (?), 20:02, 07/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Что ни говори, а код у nginx ужасный. Ужасный код не может
> быть безопасным.
Вы наверное PHP-шник? Пример в студию. Сорцы nginx одни из самых читабельных среди всего, что мне доводилось видеть.
| | |
|
| 1.34, mogila (ok), 20:37, 07/05/2013 [ответить] [﹢﹢﹢] [ · · · ] | +4 +/– |  Собственно, весь обсуждаемый ngx_http_parse c написан упоротым оптимизатором, ко... большой текст свёрнут, показать | | |
| |
| |
| 3.45, AlexAT (ok), 23:12, 07/05/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не просто uint32_t, а *(uint32_t*)
А в общем и целом - действительно, код упорот на голову. Одна из причин, по которой я крайне предвзято смотрю на nginx. Неплохо бы уже слегка понять, что современные архитектуры с uint32_t оперируют слегка это, неоптимально... А в указанном случае - и вообще довериться компилеру, ибо при поддержке SSEx этот код будет слегка оптимальнее.
| | |
| |
| 4.46, Аноним (-), 23:22, 07/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать в векторе за такт
| | |
| |
| 5.49, AlexAT (ok), 23:47, 07/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать в
> векторе за такт
Да, смысла городить "оптимизационные" велосипеды никакого.
| | |
| |
| 6.57, Аноним (-), 05:18, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну, так огульно всё ж не стоит.
Смысл как был, так и есть, в определенных местах. Другой вопрос что оптимизация оптимизации рознь. Такая микро- как выше, конечно, смысла имеет мало. А вот учитывать иерархичность памяти, размеры кэшей процессоров, выравнивать структуры данных и проч. - не особо сложно, а помогает весьма
| | |
| |
| 7.60, AlexAT (ok), 07:32, 08/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Смысл как был, так и есть, в определенных местах.
Так, как выше приведено - нет в принципе.
> А вот учитывать иерархичность памяти, размеры кэшей процессоров, выравнивать структуры
> данных
Согласен. Но это задачи в основном для ядра и ядрёного программирования, в коде аппликух этим обычно уже занимается компилятор + glibc. Кроме того, такой подход порождает массу #define - поскольку надо учитывать под каждый проц. Ну и с выходом новых процов всё становится печально. Отличный пример - виндоприложения.
| | |
|
|
|
|
|
| 2.50, Аноним (-), 00:22, 08/05/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Не в обиду, шко лот ой являются авторы лайти Они продо л б али шанс стать вторы... большой текст свёрнут, показать | | |
| |
| 3.51, mogila (ok), 00:47, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
$ ldd /usr/bin/mc | grep glib
libglib-2.0.so.0 => /lib/i386-linux-gnu/libglib-2.0.so.0 (0xb73d2000)
Что же делать! *Побежал сносить mc со всех серверов.*
| | |
| |
| 4.53, Аноним (-), 01:42, 08/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> $ ldd /usr/bin/mc | grep glib
> libglib-2.0.so.0 => /lib/i386-linux-gnu/libglib-2.0.so.0 (0xb73d2000)
> Что же делать! *Побежал сносить mc со всех серверов.*
вместо mc используй mc-light, он вроде не тянет гнома
| | |
| |
| |
| 6.56, Аноним (-), 04:21, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
Разрабатываемая в рамках и лежащая в основах проектов GTK+ и GNOME, GLib широко используется в приложениях
| | |
| |
| 7.64, Michael Shigorin (ok), 11:25, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > GLib широко используется в приложениях
...самого разного плана, необязательно gnome и даже gtk -- например, consolehelper или gammu:
gammu/libgammu/CMakeLists.txt:# Own or glib based MD5 implementation
Вообще это одно из распространённых заблуждений, и не надо стесняться приводить педивикию в качестве своего (единственного?) источника таковых.
| | |
|
| 6.71, Sylvia (ok), 17:50, 08/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
то что оно родилось вместе с гномом никогда не отобьет у многих "привкус" гнома, даже от библиотеки которая по сути является в некотором роде надстройкой над libc, также как apr (apache portable runtime) или nspr (рантайм мозиллы), никакого GUI и прочей специфики все эти библиотеки не содержат, всегото управление памятью, потоками итп.
в приципе приведенных пары примеров должно быть достаточно для того, чтобы показать что многим libc недостаточно ;) это у nginx зависимости только на libc, zlib, pcre, openssl, libgcc
| | |
|
| 5.67, Клыкастый (ok), 12:21, 08/05/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> вместо mc используй mc-light, он вроде не тянет гнома
ненене... про mc-light vim-light уже наскакивали.
| | |
|
|
| |
| 4.66, 8887656 (?), 12:19, 08/05/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Хороши.
Еще Appweb - но для разрабов (+ембедед). Вообще nginx не уперся ни с какого бока, много более лучших (c) альтернатив.
А G-WAN - разве не платный? В свое время очень понравился.
| | |
|
| 3.78, www2 (ok), 14:10, 09/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Не в обиду, шко.лот.ой являются авторы лайти. Они продо.л.б.али шанс стать вторыми
> в мире. Они не поддеривают преемственность версий.
Это говорит пользователь веб-сервера, у которого полторы недели назад появилась стабильная ветка?
> Они все крушат до
> основания, не имея ни таймлайна выпуска новой версии, ни внятной поддержки
> старой версии, на которую они уже по.л.ожили.
Не знаю, что они там крушат. Пользуюсь lighttpd с 2008 года, когда у nginx'а ещё не было стабильной ветки. Никогда не было с ним никаких проблем с lighttpd и ничто не ломалось. Возможно потому что я пользуюсь на серверах Debian, в который не вкатывают каждую новую версию просто потому, что она появилась.
> Это отст0й: применять сие
> в продакшне невозможно. Потому что на выбор жуткий недопил0к с странными
> зависимостями (glib на сервере? ну-ну, удачи)
Ты хоть знаешь, что такое glib?
> и хрень с известными большими
> проблемами, на котоорые шко.л.ота забила, вдарившись за крутыми концепциями, но не
> имея ресурсов довести до ума хоть что-то.
Какие крутые концепции, какие проблемы, что не доведено до ума? Это веб-сервер, который просто работает.
> Меня это достало и
> я перевел мои серваки на нжинкс. У этих по крайней мере
> какая-то логика прослеживается, а не просто метания ст.у.дней между концепциями.
Просто личная неприязнь, как у меня к apache, хотя я не имею ничего против него, если он стоит не на моих серверах.
> Вывод: по управлению проектом в целом нжинкс намного вменяемее. По на либы.По
> на эстетику. В конце концов засчитывается как оно работает. Нэинкс при
> эксплуатации намного лучше, с какой стороны ни глянь.
Покажите мне эти стороны. Я пока что ни одной конкретной причины предпочесть один веб-сервер другому от вас не услышал, одна брехня и неграмотность.
> зы а настоящий м3рзавец - тот кто гномовую глЫбу на сервер сватать
> удумал. | | |
| |
| 4.87, Michael Shigorin (ok), 15:51, 13/05/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Никогда не было с ним никаких проблем с lighttpd и ничто не ломалось.
И файлики с плюсиком в имени там не чинили?
| | |
|
|
|
| 1.54, pavlinux (ok), 02:32, 08/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Debian + Apache + Postgres - поездили, поездят и буду поездить нашу поездатую родину!
| | |
| |
| |
| 3.84, Dmitry (??), 21:47, 11/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
Смешной патч. Патчить надо было саму функцию, которая возвращает с какого-то перепугу отрицательные размеры...
| | |
|
|
|
