В свободном Bluetooth-стеке BlueZ, который используется в дистрибутивах Linux и Chrome OS, выявлена уязвимость (CVE-2020-0556), потенциально позволяющая злоумышленнику получить доступ к системе. Из-за некорректной проверки доступа в реализации Bluetooth-профилей HID и HOGP уязвимость позволяет без прохождения процедуры привязки устройства к хосту добиться отказа в обслуживании или повышения своих привилегий при подсоединении вредоносного Bluetooth-устройства. Вредоносное Bluetooth-устройство, без прохождения процедуры сопряжения, может выдать себя за другое HID-устройство (клавиатура, мышь, игровые контроллеры и т.п.) или организовать скрытую подстановку данных в подсистему ввода...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52542
Хорошо когда уязвимости можно найти в незакрытом коде.
Но плохо, что спецслужбы все дыры находят гораздо раньше, но не публикуют их.
Но в закрытом они их находят не менее раньше. Т.к. закрытый код закрыт для остальных, но не для них.
В закрытом можно приказать сделать бэкдор и даже заплатить за него для стимуляции.
Вам всегда нужно быть на равных со спецслужбами? Или у конкурентов другие условия? Не расскажите вкратце о вашем бизнесе?
А зачем тебе какие-то посторонние в твоих системах? И чего хорошего тебе они сделают, интересно? Хоть там в каком бизнесе?
Налогоплательщик должен получить полный отчет.
Хорошо, когда уязвимостей нет :)
Хорошо когда бекдоры находят
шо, опять?
Ох, как же откровенно за...ло все от проца до любого протокола и оси, все к х..ям поломано by design, к чему не прикоснись, жду децентрализованный траст компьютинг а ля definity (близки к запуску) может хоть в этой парадигме какой то луч света будет...
Интересно, почему BlueZ начиная с 5 версии зависит от DBus?Вот был Bonobo, это messagebus для GNOME. Стартовал вместе с GNOME Потом появился DCOP в KDE3. Стартовал вместе с KDE. По сравнению с DCOP, Bonobo был хуже. Тогда в GNOME вместо Bonobo сделали DBus... Стартует ДО GNOME! Зачем?! НИ ОДНОМУ приложению не был нужен DBus, стартующий до запуска DE! DBus был нужен в среде GNOME2 для общения гномовских компонентов между собой.
И вот появилась первая такая софтина, которой нужен DBus, даже если GNOME не запущен. BlueZ 5 хочет, чтобы DBus был запущен до запуска DE. И вот 2020 год, и второй такой софтины нет.
Есть еще systemd, ему тоже D-Bus нужен. Ну, или всеми любимый NetworkManager
Блин, PID 1 зависит от Dbus. Офигеть, как он стартует? Сначала должен запуститься PID 1, потом остальные... Мне почему-то вспомнилось как я не мог скомпилировать freetype с наложенным патчем infinality, потому что "сначала установите freetype"NM разве не исключительно в GNOME/KDE работает?
>Офигеть, как он стартует?там скорее не сам pid 1, а libpam-systemd зависит от dbus.
>NM разве не исключительно в GNOME/KDE работает?
ну им можно и из консоли рулить, от DE/WM он не зависит
если хочешь сказать, что его можно на сервак не ставить, то проталкиваемый firewalld, который тоже требует dbus, идет в минимальной установке центоси.
А там еще всякие connman, tuned и т.д. подтягиваются
> NM разве не исключительно в GNOME/KDE работает?nm-applet в моем i3 на нетбуке посмотрел на тебя удивленно
nmtui в Armbian по дефолту управляющий сетью даже в чисто серверном инстале вообще с тебя офигел
Осторожно, это местный любитель старья, сидит на всяком хламе типа centos 6 и героически портирует на него новый софт 24/7.
ozzee, успокойся
Зато его читать интересно, а тебя скучно и без пользы.
Ну во-первых сейчас старый Linux работает на современном железе реально очень быстро - как и старая винда, впрочем. Во-вторых куча людей до сих пор пользуется спектрумом или сидит в фидонете, но ты же не считаешь их фриками, они для тебя почему-то нормальные. В-третьих старый Linux по-твоему неполноценен? По мне так он неполноценен только отсутствием фиксов безопасности и иногда невозможностью запускать новые программы. А так за последние 10 лет в линуксе не появилось ничего фундаментального, вроде планировщика с пофикшеным 12309 или реалтайма из коробки, а все имеющиеся возможности были и тогда тоже. В centos 6 даже современные дрова amdgpu есть, а фиксы безопасности будут до ноября этого года.
>НИ ОДНОМУ приложению не был нужен DBus, стартующий до запуска DE!DE может и не стартовать, запуск DE не является обязательным условием для правильно написанного приложения.
Сейчас всё зависит от dbus. Плеер управляется через dbus (и публикует инфу в него же), вм управляется через dbus, udisks монтирует диски через dbus.Лично у меня сессия dbus запускается плазмой, а не до неё, потому что иначе elogind сходит с ума (я полагаю он — это только догадка). SDDM запускает свою сессию отдельно — он может управлять воспроизведением музыки в audacious или ютубе в браузере на лок скрине.
Ну, не знаю. Как-то по-приколу установил DE, не зависящее от Dbus (если интересно, это KDE3 в openSUSE) и выключил dbus. Он всё равно стартовал, поэтому я переименовал бинарники dbus-daemon и dbus-launch).MPLayer, VLC и QMMP работают. Firefox начал просить сделать себя браузером по умолчанию (он проверяет это через Dbus, и больше Dbus ему ни для чего не нужен), LibreOffice работает, стим работает, всё работает. Audacity, OpenShot, Pidgin, Skype (который на Qt), TeamSpeak 3, Mumble, Discord, VirtualBox, GIMP, Scribus, Wine. В общем, всё работало.
Я сделал вывод, что DBus нужен только Гному. Панель, десктоп, внутренние какие-то службы, NM, Pulse, Compiz (хотя тут не факт). Без DBus, гном даже не стартует - ошибка, и всё тут.
А в DE, которое согласилось стартовать без DBus, всё прикладное ПО работает
Зачем они тогда используют эти убогие кодеки пережимающие поток чёрте как, для совместимости со старым блютусом? В kde5 автоопределение и монтирование флешек в фм завязано на него, например. Так бы я тоже отключил наверно, но пользоваться системой становится резко неудобно. Опять же все виджеты зависят от mpris, а это dbus.
KDE 4 и 5 завязаны на DBus так же сильно, как и GNOME 2 и 3. Xfce и LXDE базируются на GTK2, а потому тоже завязаны на DBus. Поэтому, если хочется отказаться от DBus, то или WM, или TDE. Это не каждого устроит. А потому - пусть будет. Не мешает же. Но сам факт навязывания неприятен.
А что из софта останется? Китайский pcmanfm (aka lxde) тоже как и dolphin монтирует через dbus. Полноценное прикладное ПО только в DE опять же. Это вообще без софта сидеть? Канал обмена информацией между софтом всё же нужен, dbus не самый плохой вариант. И лучше, если он универсальный. Хуже было, когда dbus хотели в ядро запихнуть…Интересно, сколько уязвимостей в том dbus?
Мне кажется, софт вообще DBus не использует. Скажем VLC. Воспроизводит, передаёт, кодирует, drug'n'drop опять же работает, и по сети на самба шару можно зайти.
> Интересно, сколько уязвимостей в том dbus?Не знаю нчиего про уязвимости, но лагать он может жутко. В какой-то старой бородатой убунте (ещё на GNOME2) у меня жутко тормозило открытие главного меню и реакция в некоторых программах (чисто гномовских, остальные работали норм). Проблема была именно в dbus и пофиксилась обновлениями. Я такого не встречал уже 12 лет, но суть ты понял, наверное. Оно может в любой момент заглючить, и тогда поплохеет всей системе. И тогда только открывать mc в VT и работать оттуда )
> Xfce и LXDE базируются на GTK2, а потому тоже завязаны на DBus.Чего?!
Опа. Интересно. Можно отказаться от Dbus в них? Круто ))
С самого появления не люблю BT. Шнур в полметра длиной - это что, так сложно?
Отправить телеграмму на телеграфе - это что, так сложно?
>С самого появления не люблю BT.Технология крива и неудобна, спору нет. Но! Всё познаётся в сравнении: после IrDA со всеми его особенностями, BT казался космической технологией.
>Шнур в полметра длиной - это что, так сложно?
Между чем и чем? Двумя телефонами на улице? Между наушниками, голова с которыми перемещается по всей квартире и компьютером? Между автомобилем/смартфоном и портативной колонкой? BT даёт связь в пределах 10 — 100 метров вообще-то.
Вот только блутус не даёт нормального звука — ширины канала не хватит. А вот беспроводные гейпады это удобно. И клавиатуры с мышками.
>Вот только блутус не даёт нормального звука — ширины канала не хватит.Давно уже даёт. Там мегабит-два пролезают без проблем. Основная проблема в кодеках: производители наушников и телефонов в лучшем случае aptX какой-нибудь ставят. Самому BT пофиг, и между своим железом ты можешь хоть FLAC пускать.
>>Вот только блутус не даёт нормального звука — ширины канала не хватит.
> Давно уже даёт. Там мегабит-два пролезают без проблем. Основная проблема в кодеках:
> производители наушников и телефонов в лучшем случае aptX какой-нибудь ставят. Самому
> BT пофиг, и между своим железом ты можешь хоть FLAC пускать.Зачем они тогда используют эти убогие кодеки пережимающие поток чёрте как, для совместимости со старым блютусом?
Потому что кодек SBC прописан в стандарте и должен присутствовать в железе в любом случае, а вот все остальное, в том числе aptX - опционально и надо лицензировать. Другой вопрос что мешало им уже наконец вписать в стандарт кодек поновее, благо свободные есть.
при ставке на глухуеватые массы - бызнесу это банально не нужно.
--
свой кэп.
а вифи сильно вреден в отличие от бт, и более прожорлив
«Нормальный звук» нужен далеко не всегда. Ты не сможешь оценить «нормальность» звука на открытом воздухе, на кухне, пока что-то готовится, в шумном офисе, гараже, etc.
>на открытом воздухеВполне могу, там где я отдыхаю нет людей на несколько километров. Хватило бы мощности.
>гараже
Может быть вполне тихо и комфортно.
>на кухнеИскажения от пережатого звука прекрасно слышно. Можно примерно оценить прослушав запись на ютубе и в локальном флаке снятом с того же альбома, земля и небо.
а ведь это это чистая правда, брат!
>Вполне могу, там где я отдыхаю нет людей на несколько километров.И на тебе мир не заканчивается, верно?
>на кухне
>Искажения от пережатого звука прекрасно слышно.На кухне не только кушают то, что мама (или жена, но по твоим доводам скорее мама) приготовила. На ней ещё и готовят. А готовка, нередко, довольно шумный процесс. Шумный настолько, что разницу особо и не заметишь, даже будь твоё желание повыделываться размером с небоскрёб.
>на тебе мир не заканчивается, верно?Просто мой опыт, не стоит говорить за всех.
>шумный процесс
У меня для тебя плохие новости, но твоя мама (или жена, но по твоим доводам скорее мама) скорее всего имеет нарушенную координацию движений, процесс приготовления пищи по большей части бесшумный (а возникающий шум не постоянный) и никак не мешает слышать искажения звука.
>процесс приготовления пищи по большей части бесшумныйМда? А ты попробуй сам что-нибудь приготовить — столько тебя чудных открытий ждёт.
>попробуй самЯ прекрасно готовлю, поэтому знаю, о чём говорю. Если у тебя всё дымит и стреляет маслом, это значит, что готовишь ты неправильно.
>Я прекрасно готовлю, поэтому знаю, о чём говорю. Если у тебя всё дымит и стреляет маслом, это значит, что готовишь ты неправильно.Аноним нереально крут: его аура кулинара приглушает не только шкварчание масла на сковороде (а то и не на одной), но даже шум вытяжки и компрессора холодильника.
ИМХО только глуховатые покупают холодильники с шумными компрессорами, так как им реально пофик. Ни я, ни множество моих знакомых не сделали так - просто более ответственный (а не лоховской) подход к выбору холодильника, благо предложений на рынке чуть более чем достаточно. Побочный эффект кстати обычно в долговечности менее шумного компрессора. Но - каждому своё, а кому и кобыла невеста.
"Лучше чёрный шнур, чем красный глаз или синий зуб" -- вспомнилось...
> IrDAИмел огромное достоинство по сравнению с сабжем - связь устанавливалась только с тем устройством, которое находилось напротив окошка, а не с непонятно каким в чьём-то кармане.
> Двумя телефонами на улицеЕдинственное, для чего сабж имеет какой-то смысл, если перекинуть надо вот прямо экстренно.
Всё остальное - наушники, колонки, гарнитуры, инкартейнмент, умный дом и прочее - от лукаваго.
>> IrDA
> Имел огромное достоинство по сравнению с сабжем - связь устанавливалась только с
> тем устройством, которое находилось напротив окошка, а не с непонятно каким
> в чьём-то кармане.
>> Двумя телефонами на улице
> Единственное, для чего сабж имеет какой-то смысл, если перекинуть надо вот прямо
> экстренно.
> Всё остальное - наушники, колонки, гарнитуры, инкартейнмент, умный дом и прочее -
> от лукаваго.Кроме того, связь устанавливалась сразу, без плясок с пин-кодами, авторизацией устройств и "подслушать" трафик было практически нереально. Кстати тот факт что никакой авторизации устройств не было ОК-порту ставили в укор, хотя это был скоро вопрос к Виндоус почему она автоматически принимает файлы по ИК.
Телефон Ericsson на все действия с ИК-портом спрашивал разрешения у пользователя.
Обмен картинками и мелодиями в те времена был просто фееричным )
> Телефон Ericsson на все действия с ИК-портом спрашивал разрешения у пользователя.
> Обмен картинками и мелодиями в те времена был просто фееричным )Ах, сонерики...а еще был такой прикол с платформой Brew (вместо Java) и играми. У телефонас Brew был забавный баг - если ставить игру с онлайн то можно было установить игры не более ХХХ килобайт установочный пакет (хотя место позволяло). А вот если туже игру заливать через ИК-порт (да, так можно было, и никаких криков о пиратстве) то ограничение не срабатывало.
У меня регклярно создаётся стойкое впечатление, что Android если не продолжение эрикссоновской ОС, то точно с неё слизали. Ну или в K800 просто было всё что сейчас есть в андроиде :D
>Имел огромное достоинство по сравнению с сабжем - связь устанавливалась только с тем устройствомЭто когда устанавливалась. И если не прерывалась от смещения устройств на пару миллиметров. Не надо мне про удобство и надёжность этого хлама рассказывать — у меня при помощи ИК-порта и c100 во всевозможных аськах и ирках насижены часы, сутки и месяцы.
> прерывалась от смещения устройств на пару миллиметровКакие нежные у вас устройства. Мой ME-45 без проблем связывался с моим ноутом на расстоянии сантиметров тридцать. Единственное, что могло помешать - если надо было что-то нажать на клавиатуре телефона, его надо было придерживать, потому что спина у него выпуклая, при нажатии клавиш он качался и луч мог уйти ниже или выше приёмника ноутбука.
В любом случае для меня такой недостаток - это продолжение главного достоинства ик-порта - связь устанавливается с тем устройством, которое ты сам перед окошком положил, и ни с каким другим.
На самом деле, нет. Это просто какая-нибудь израильская фирма не изучила (или не выложила) метод подслушивания ИК-портов по отражению от стола.
> Между наушниками, голова с которыми перемещаетсяВоистину множество глухих заполонило.
Ваш голубой неслабо портит звук, не смотря на всякие AptX. Лично я не понимаю, как, КАК это может не бесить?!?!?
Небесит. Люди разные. Интерес в другом.Вас же не бесят широкие джинсы соседа. И про звук идентично.
>Воистину множество глухих заполонило.
>Ваш голубой неслабо портит звук, не смотря на всякие AptX. Лично я не понимаю, как, КАК это может не бесить?!?!?Всё просто, деточка: не все люди слушают музыку в идеально тихом помещении нихрена не делая при этом. А когда что-то делаешь, окружающий звуковой фон нивелирует почти любую порчу звука. Как закончишь школу — что-то делать придётся, столкнёшься с этим на собственной шкуре. И, вполне возможно, придёшь к выводу, что при копании в куче околокомпьютерного хлама, сборке какой-нибудь мебели, жарке котлет, ремонтных работах, — без понятия, чем ты там будешь заниматься, — услышать разницу между звуком идеальным и «испорченным» часто не представляется возможным. А вот лишние провода как раз могут сильно мешать.
Это что касается музыки. Подкасты, новости, аудиокниги — им всем «порча звука» до лампочки, слова разобрать можно — и хорошо.
> когда что-то делаешь, окружающий звуковой фон нивелирует почти любую порчувызывающе неверная информация. Это так не работает, физику в школе Вам следовало таки учить - понимали бы хоть теоретически АЧХ шумов и т.д, если "медведь на ухо наступил".
За свои четыре десятка я много раз стыкался с людьми, у которых _физиологически_ со слухом всё более-менее ок, но вот мозг их не приспособлен для восприятия любой, не считая "базовой" (назовём это так), аудиоинформации. Более того, эти люди даже не мыслят так, как я и многие другие, у которых аудио-вектор психики развит нормально. То же касается восприятия голоса диктора в аудиокнигах, да вообще любого голоса, особенно при деловых переговорах полезно. Не-слушателю, наверное, этого не понять.
А котлеты - если готовить на пару - и вкуснее, и диетичнее. Так-то.
нет. От MPEG-рванины сблевануть можно и в самолёте и в метро.
> С самого появления не люблю BT. Шнур в полметра длиной - это что, так сложно?Без проводов тоже удобно.
Др. дело синезуб всегда у всех негладко работал. А казалось бы...
Да, подключать шнур у вас в кармане для них не очень удобно
А что, ви уже таки думали дескать зря Тео в своё время выбросил _это_ из OpenBSD?
Выбросили из-за того, что не нашлось желающих эту подсистему сопровождать.
Любители беспроводных устройств ввода вполне довольны USB-донглами, передачу звука выше "обсудили".
была бы нормально спроэктированная и не тошнотворная система - желающие бы конечно сразу нашлись, как для десятков и сотен других систем и подсистем в современных ПК.
> была бы нормально спроэктированная и не тошнотворная система - желающие бы конечно
> сразу нашлись, как для десятков и сотен других систем и подсистем
> в современных ПК.Свою идеально спроектированную систему ты нам конечно не покажешь?
Как человек который ковыряет блютус в линуксе уже два года, хочу официально заявить, что bluez - это кал, который только могила исправит.И вообще, блютусный стек в линуксе ужасен и крив, там нужно переписать просто все
Что скажешь про BlueZ 4?
Не работал с bluez 4, он уж очень древний (bluez 5.0 вышел в 2012м).
Смотреть надо bluez 3, четвертая была какой-то очень недолговечной, помню в дистрибутивах была на выбор третья и четвертая версии, причем по умолчанию - третья, т.к. софт был в основном под нее. А потом сразу на пятую перевели.
Я дивлюсь как его вообще в Андроид перетащили
Так эта новость ещё и андроида касается!?
> Я дивлюсь как его вообще в Андроид перетащилиВ Андроиде свой блютус стек, начиная с какой-то версии (4й версии андроид кажется)
Из Андроида его давно выпилили: за кривость и ненужную, но навязанную по политическим соображениям, зависимость от DBus)
Кто-то пишет альтернативный BT стек? Какие-то алтернативы для BlueZ существуют? Что-то для BT LE и т.д. А что насчет NFC и прочих стеков какие-то статьи и направления для изучения подскажите.
Просто оставлю здесь:
https://www.opennet.me/opennews/art.shtml?num=52330