Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на пользователей Blender через вредоносные файлы с 3D-моделями"	+/–
Сообщение от opennews (??), 26-Ноя-25, 11:53
Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для  автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64325
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Ноя-25, 11:53	+14 +/–
Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет. Очередные смузихлёбы догадались скрипты в документ запихать. История их ничему не научила.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #17, #27, #31, #36, #50, #57, #78

2. Сообщение от Аноним (2), 26-Ноя-25, 11:55	+/–
Вывод: Не запускаем чужие .blend файлы ; не включаем автоматическое исполение .py файлов ; живём в песочнице. xD
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #22

3. Сообщение от Аноним (3), 26-Ноя-25, 11:57	–3 +/–
Сейчас наверное в любой большой программе можно запустить мини-Linux с OpenSSH сервером на борту прокинутым через туннель
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12

4. Сообщение от mrdzharoff (?), 26-Ноя-25, 12:06	–9 +/–
точно жрём чем кормят корпы, купившие дистры. история с системг, вялендом и гномом ничему не научила
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #15, #102

5. Сообщение от Bottle (?), 26-Ноя-25, 12:08	+5 +/–
Спойлер: любая Тьюринг-полная система со скриптами подвержена вирусам. Скелетор вернётся позже с ещё одним неприятным фактом...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

6. Сообщение от Аноним (15), 26-Ноя-25, 12:12	+1 +/–
> Не запускаем чужие .blend файлы Это первое, что делается в мультитрэш-редакторе :) Всякие туториалы, библиотеки, шаблоны...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 26-Ноя-25, 12:17    Скрыто ботом-модератором	+3 +/–
>ZalypaGulliveraV1.py Отлично! 10/10 шутеек про бипки!
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Соль земли2 (?), 26-Ноя-25, 12:17	+1 +/–
Autorun/Windows... я в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (15), 26-Ноя-25, 12:17	+/–
Программа не может работать изолировано, ты в блендер будешь постоянно подкидывать файлы, модели, картинки, текстуры... экспортировать всякое, рендерить, заливать куда-то результаты. Т.е. из песочницы будет дыра наружу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

12. Сообщение от Соль земли2 (?), 26-Ноя-25, 12:18	+1 +/–
Это называеться shellcode и существует давно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

14. Сообщение от Аноним (1), 26-Ноя-25, 12:19	+3 +/–
> точно жрём чем кормят корпы Если хотите - жрите. Никто не заставляет. На выбор есть и другие дистрибутивы. И при чём здесь это вообще? Вейланд ставит без спроса какие-то пакеты из ненадёжных источников или запускает их? Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #103

15. Сообщение от Аноним (15), 26-Ноя-25, 12:21	–4 +/–
Такой вид, что все эти "свободные" блендеры - просто средство доставки троянов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #24

16. Сообщение от Кошкажена (?), 26-Ноя-25, 12:25	+1 +/–
Надо просто скрипты все в песочнице запускать, в том же bwrap.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 26-Ноя-25, 12:25	+2 +/–
Кому не должно-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #26, #29

18. Сообщение от Аноним (15), 26-Ноя-25, 12:44	+2 +/–
Тут вопрос: а почему программы хранят чувствительные данные так, что их может прочитать левая васянпрога?! Обвешались системдами, песочницами, докерами, покерами, и тут приходит блендер с питоном и вычитывает данные аддонов из браузера, которые кроме браузера ничем читаться не должны. Почему-то во времена симбиана у каждой программы был "из коробки" приватный каталог.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #83, #174

20. Сообщение от Аноним (20), 26-Ноя-25, 13:02	+3 +/–
>любая Тьюринг-полная система со скриптами подвержена вирусам. Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #40, #54, #68, #81, #176

21. Сообщение от Pindar Suchai (?), 26-Ноя-25, 13:07	+1 +/–
Теперь понели, зачем в андройде ограничили доступ к папке Data?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

22. Сообщение от Аноним (22), 26-Ноя-25, 13:08	+/–
>"живём в песочнице" В MacOS все приложения всегда запускаются в песочнице. В Linux ещё не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #30, #39, #82, #168

23. Сообщение от Аноним (36), 26-Ноя-25, 13:18	+/–
Господи, эти новости про "атаки" в последнее время - как парад неудачных шуток к первому апреля. > Атака прежде всего нацелена на пользователей, включающих в настройках опцию автоматического запуска скриптов из blend-файлов. Автоматический запуск по умолчанию запрещён, но пользователь может не задумываясь подтвердить запуск в диалоге с предупреждением Что дальше откроют "исследователи"? Что левый бинарь, скачанный из инета, может делать с твоей системой что угодно, если ты "не задумываясь, пдтвердил запуск в диалоге с предупреждением"? Фейспалм. 🤦
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #175

24. Сообщение от Аноним (24), 26-Ноя-25, 13:19	–3 +/–
Оставляешь ключ рядом с замком, а  виноват  завод замков что допустил это?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #35

25. Сообщение от Аноним (27), 26-Ноя-25, 13:22	+1 +/–
СПО, Blender, Python это модё любимое комбо.
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (1), 26-Ноя-25, 13:22    Скрыто ботом-модератором	+/–
Мне, анонимному эксперту опеннета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

27. Сообщение от Аноним (27), 26-Ноя-25, 13:26	+7 +/–
Даже если будет один единственный дистрибутив с одним единственным репозиторием, без вирусов, ты как запретишь пользователям делиться модельками?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

28. Сообщение от Аноним (28), 26-Ноя-25, 13:26	+/–
Вообще это удобно поставлять данные сразу с функциями над ними. Таже lua в этом плане удобнее json, для luajit можно создавать файлы под 64гб. Очевидно что подобное будет использовано для злого умысла и ничего с этим не поделать. Расширенный вывод в блендере с разрешением запустить код, в котором будет указано что используются функции, которые обычно не встречаются в моделях не помешал бы. А не просто да/нет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #134, #173

29. Сообщение от Аноним (29), 26-Ноя-25, 13:28	–1 +/–
Быть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

30. Сообщение от Аноним (27), 26-Ноя-25, 13:28	+1 +/–
В Windows продвинутые пользователи и сисадмины выкручивают UAC (англ. User Account Control) на максимум, чтобы на каждый чих просил подтверждение, а тут вольница.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #34, #38, #46, #91, #105

31. Сообщение от Гомер (?), 26-Ноя-25, 13:28	–1 +/–
>Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет. За что боролись, на то и напоролись). Магазины приложений, Подписки, Сервисы) Все для домохозяйки чтбы тыкнула кнопку. А не думала головой. Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии. Эффективные менеджеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #56, #58, #59

34. Сообщение от СтолярОбычныйЧеловек (?), 26-Ноя-25, 13:33	+2 +/–
>UAC (англ. User Account Control) Ну кстати нормальная штука, Если firewallm, и UAC, настроенны правильно, то никакой антивирус ненужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

35. Сообщение от Аноним (15), 26-Ноя-25, 13:33	+/–
Берёшь замок - а там жучок с симкой и трекером...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

36. Сообщение от Аноним (36), 26-Ноя-25, 13:34	+3 +/–
> Не должно быть никаких сторонних пакетных менеджеров, скриптов, Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле? > Ставишь из репозиториев дистрибутива и таких проблем не будет. К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #45, #129

38. Сообщение от Аноним (15), 26-Ноя-25, 13:36	+1 +/–
> чтобы на каждый чих просил подтверждение И тут импортирует блендер 100500 файлов текстур из разных мест... А среди этой кучи - ещё и твой кошелёк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

39. Сообщение от Аноним (39), 26-Ноя-25, 13:37    Скрыто ботом-модератором	+1 +/–
Конечно не так, потому что ставится доверенное ПО, а не проприетарная малварь. Ну если ты конечно не дурачок ставить снапы и флатпаки, но там как раз песочницы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #48

40. Сообщение от Аноним (15), 26-Ноя-25, 13:38	+/–
> Например, JavaScript Но разрабы блендера - не Брендан Эйх.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

42. Сообщение от Аноним (-), 26-Ноя-25, 13:40	+/–
Компромиссный и самый простой способ защититься от слива: настроить фаервол на запрет исходящих соединений от произвольного софта. В винде по-умолчанию кто угодно может выйти в интернет, а так фаервол покажет окошко когда зловред попытается скачать вирус или отправить собранные данные. Наличие такого окна достаточный повод физически отрубить интернет и запустить антивирус.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #49

44. Сообщение от Аноним (15), 26-Ноя-25, 13:44	+/–
Как собираешься гасить, например, запросы на резолвинг хост-неймов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #74, #80

45. Сообщение от Аноним (1), 26-Ноя-25, 13:44	–3 +/–
> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле? Отдельный make для сборки. > К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch". В комментарии написано к чему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #53

46. Сообщение от Аноним (17), 26-Ноя-25, 13:45	+1 +/–
> UAC Байпассится буквально миллиардом способов, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #65

47. Сообщение от Аноним (47), 26-Ноя-25, 13:47	–1 +/–
Так вы же сами отказываетесь использовать всякие flatpak и snap. А конкретно этот вредонос вообще под винду. Но и под линукс по идеи тоже можно такое же сделать, если там питон неизолирован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

48. Сообщение от Аноним (48), 26-Ноя-25, 13:50	–1 +/–
> "Конечно не так, потому что ставится доверенное ПО" А потом уделяются, почему у Linux так мало пользователей! Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.? Так как разработчик создаёт только для Win и Mac, он не будет выкладывать для 100500 дистрибутивов Linux (которые все вместе взятые занимают малую долю рынка десктопов). А за место него выкладывают в репозиторий всякие непонятные Васи, с блекдорами, майнерами и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #109

49. Сообщение от Аноним (-), 26-Ноя-25, 13:55	+3 +/–
> Компромиссный и самый простой способ защититься от слива: настроить фаервол > на запрет исходящих соединений от произвольного софта. Поэтому скриптец просто пошифруете тебе файлы на диске и попросит заплатить. А ты уже сам выйдешь в инет))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Аноним (-), 26-Ноя-25, 13:57	+/–
> Ставишь из репозиториев дистрибутива и таких проблем не будет. Например либу ХЗ или переводчик. Которые или бекдорные или сразу отправляют данные на китайские сервера. Зато самый официальный репозиторий!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

51. Сообщение от Аноним (47), 26-Ноя-25, 13:59	+2 +/–
Андроид и ios вообще лучший пример в плане защиты от дурака. Разве что лучше бы каждый раз запрос пароля с предупреждением был, когда ставишь софт из apk. Изоляция приложений в целом хорошая относительно винды и дефолтного линукса. Насчет мака хз, там вроде тоже норм защита от дурака. Пользователям никогда нельзя доверять их безопасность. Если хочешь больше свободы, то ты должен в процессе её получения доказать, что ты не совсем дурак. Пока что в андроиде слишком легко получить право запускать вредоносный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

53. Сообщение от Аноним (36), 26-Ноя-25, 14:05	+1 +/–
>> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле? > Отдельный make для сборки. Что за бред? При чем здесь make, чего сборка? >> К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch". > В комментарии написано к чему. Нет, не написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #67

54. Сообщение от Аноним (27), 26-Ноя-25, 14:09	+3 +/–
Надо Блендер переносить в брайзур - срочно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

55. Сообщение от Жироватт (ok), 26-Ноя-25, 14:10	+/–
Они откроют, что оффисный скриптинг в табличках экселя может содержать вирусы!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #98

56. Сообщение от Аноним (27), 26-Ноя-25, 14:13	+/–
>Все для домохозяйки чтбы тыкнула кнопку. >А не думала головой. Бытовые приборы буквально по закону обязаны быть готовы для использования, а не иметь форму DIY конструктора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #94, #156

57. Сообщение от Аноним (57), 26-Ноя-25, 14:13	–1 +/–
Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода. Всё остальное - бэкдоры разной степени вероятности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #61

58. Сообщение от Аноним (58), 26-Ноя-25, 14:17	+/–
> Все для домохозяйки чтбы тыкнула кнопку. Ты еще тыкажешь кнопки на калькуляторе? Думай головой! Возьми бумажку и ручку. > А не думала головой. Выкинь все баш скрипты, мейк файлы! Все команды набирай как в первый раз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #60

59. Сообщение от Аноним (27), 26-Ноя-25, 14:18	–2 +/–
>Магазины приложений, По твоему свободное По должно быть бесплатным? >Подписки Чем это отличается от подписки на электричество и горячую воду? >Все для домохозяйки чтбы тыкнула кнопку. Да конечно, ты же будешь разбираться как работает лифт или светофор, делать проливку, чтобы только на твоем этаже останавливался, а зеленый свет только на твоём повороте. >Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии. Раньше макияж использовали, сейчас фильтр, разница не большая, читерство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #69, #71

60. Сообщение от Аноним (27), 26-Ноя-25, 14:18	+/–
>Возьми бумажку и ручку. Бумажка и ручка это для тех кто не умеет считать в уме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

61. Сообщение от Аноним (-), 26-Ноя-25, 14:19	+1 +/–
> Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода. > Всё остальное - бэкдоры разной степени вероятности. А если автора кода скомпрометировали? Или он сам добавил бекдор? Выходит доверять нельзя никому!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #64

64. Сообщение от Аноним (27), 26-Ноя-25, 14:25	–2 +/–
Ну в теории должны быть штатные спецы которые будут анализировать исходные код н наличие бекдооров и уязвимостей перед использованием.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #70, #87

65. Сообщение от Аноним (27), 26-Ноя-25, 14:26	+/–
>> UAC > Байпассится буквально миллиардом способов, лол. Не знал, даже слова такого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

67. Сообщение от Аноним (1), 26-Ноя-25, 14:53	–2 +/–
> Что за бред? При чем здесь make, чего сборка? Научитесь читать: > скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели. Каркас можно и нужно собирать отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #72

68. Сообщение от Bottle (?), 26-Ноя-25, 15:08	–2 +/–
Скажи это зависимостям и сишным дыреням, на которых написан движок Джаваскрипта))) Виртуальная машина/песочница/контейнер - не панацея, мы это уже проходили на примере с Log4j. Ну что, банкиры и майнкрафтеры прочувствовали на себе Тьюринг-полноту по полной. Понимаешь, ты либо можешь делать всё, либо ничего, третьего не дано. Это не значит, что всё должно быть отложено скриптами, но будь готов к опасностям всегда. https://github.blog/security/vulnerability-research/attack-o.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #140

69. Сообщение от Васян (?), 26-Ноя-25, 15:12	+1 +/–
-- -- ---- По твоему свободное По должно быть бесплатным? Если оно, это ПО, не бесплатное, оно не фри даже и открытое. Свободное - это свободное. А кто там что понимает иначе и пытается втюхивать всем остальным, не знаю. Это как подарок ..... Хочешь бери, а хочешь - нет. Написал, выложил, бери кто хочет если достанешь, не хочешь так, бери продавай за деньги, можешь бартером за слив инфы и т.д. и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #89, #185

70. Сообщение от Васян (?), 26-Ноя-25, 15:16	+1 +/–
--- должны быть штатные спецы... Где и у кого должны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #86

71. Сообщение от Bottle (?), 26-Ноя-25, 15:21	+1 +/–
Кстати, свободное ПО обречено быть халявой, в иных случаях получается просто кривая проприетарщина вроде Godot, который просит за порты на консоли мзду хуже чем Юнити. Тем временем Defold позволяет это сделать бесплатно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #184

72. Сообщение от Аноним (36), 26-Ноя-25, 15:25	+2 +/–
>> Что за бред? При чем здесь make, чего сборка? > скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели. > Каркас можно и нужно собирать отдельно Т.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов? Я все правильно понял?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #73

73. Сообщение от Аноним (1), 26-Ноя-25, 15:39	–2 +/–
Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #75, #76

74. Сообщение от Аноним (28), 26-Ноя-25, 16:05	+/–
Меня эта защита от dns тунелей тоже волнует, нет инета, зато unbound шпарит. Я бы запускал на отдельной машине с прокидыванием графики, waypipe тот же, хз насколько он быстрый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

75. Сообщение от Аноним (36), 26-Ноя-25, 16:07	+2 +/–
Все понятно, вопросов больше не имею. Персонаж увидел знакомые слова "Python" и "автоматизация", но смысла их в контексте не понял - и рванул в линуксячем угаре наваливать про дистрибутивы, репозитории и make-файлы. 🤣 Опеннет держит марку!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

76. Сообщение от Аноним (76), 26-Ноя-25, 16:09	+1 +/–
>> Т.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов? > Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка. Чел, или проспись. Речь идет о каркасах 3Д моделей внутри 3Д редактора. Какой к лешему мэйкфайл. XD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #85

78. Сообщение от Аноним (78), 26-Ноя-25, 16:25	+/–
>Очередные смузихлёбы >скрипты в документ запихать Word, Excel... История повторяется, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #130

79. Сообщение от Аноним (80), 26-Ноя-25, 16:28	–1 +/–
Вообще плевать. В серьёзных конторах есть DLP, а у геймеров, вытянувших модельку из игры путём перехвата вызова OpenGL через специальную проприетарную программу, и красть нечего.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107

80. Сообщение от Аноним (80), 26-Ноя-25, 16:29	–1 +/–
Как? Просто, landlock даже запросы на 127.0.0.1 прибивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

81. Сообщение от windows10 (ok), 26-Ноя-25, 16:31	+3 +/–
> Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске. Неверно. Вирус - не означает доступ к произвольным файлам на диске. Если после захода на сайт, у тебя в браузере, в неудаляемом (ну вот так хацкер постарался) расширении прописался майнер, то не все ли тебе равно откуда твой проц нагружается на 100%, из песочницы или из нативного бинарника?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #138

82. Сообщение от Аноним (82), 26-Ноя-25, 16:34	–1 +/–
В Linux просто и надёжно программы изолируются отдельными юзерами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #97

83. Сообщение от Аноним (82), 26-Ноя-25, 16:36	+/–
Потому что надо отдельными юзерами всё изолировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #125

85. Сообщение от Аноним (1), 26-Ноя-25, 17:09	–1 +/–
И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль. Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #90, #96, #99, #100

86. Сообщение от Аноним (1), 26-Ноя-25, 17:10	–3 +/–
Не лезьте с глупыми вопросами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #92

87. Сообщение от Аноним (1), 26-Ноя-25, 17:11	–1 +/–
астично эту работу как раз выполняют ментейнеры дистрибутивов. Плюс хранят все исходники для сборки, для повторяемости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

88. Сообщение от Jeck (?), 26-Ноя-25, 17:14	+/–
Вчера только все восхваляли блендер как самый лучший опен соурс а сегодня уже вон оно как оказалось
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108

89. Сообщение от Аноним (89), 26-Ноя-25, 17:40	+/–
Шёл 2025й год, опеннетные эксперты прлдолжали путать "свободный", "открытый", и "бесплатный".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #95, #101

90. Сообщение от Аноним (89), 26-Ноя-25, 17:43	+1 +/–
> Каркас генерируется ОДИН раз. Сразу же с моими правками, которые я ещё даже не придумал? Вот это технологии! Вот это сила опенсорса!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

91. Сообщение от Аноним (91), 26-Ноя-25, 17:48	+/–
Особенно продвинутые не ограничиваются одним лишь UAC: https://github.com/HotCakeX/Harden-Windows-Security https://sandboxie-plus.com/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #93

92. Сообщение от Васян (?), 26-Ноя-25, 17:49	+/–
Тебе умному выложили ПО без гарантий, как есть и бесплатно. Кто кому там что должен, хозяин серверов где этот софт выкладывают или добровольцы взявшиеся за т.н. проверку этого софта? Про уязвимости без их использывания в софте не узнают пока это не откроется кем-нибудь, а кто будет закладывать уязвимости в софт и всем о них рассказывать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

93. Сообщение от Аноним (91), 26-Ноя-25, 17:50	+/–
+ работать под стандартным пользователем, или использовать Administrator Protection хотя бы. https://learn.microsoft.com/en-us/windows/security/applicati.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #106, #157

94. Сообщение от Гомер (?), 26-Ноя-25, 17:51	+/–
Да круто, а тоесть например мобильный телефонв в 2000, даже 1995 года, это не тыкнул кнопочку, а DIY конструктор. Я имею ввиду что если сравнивать WinXp, 7, даже 2000, это поставил нужный софт и пользуешься. Такие компы десятилетиями стоят в оффисе, и ничего не ломается. А тут куча каких то магазинов приложений, подписок, сервисов. Вот недавно хотел попробовать Chrome, и оказалось что Ubuntu ставит Snap, вместе с Chrome, тоесть пишешь apt install Chrome, он ставит сначала 500Mb Sbap. Притом мне не нужна изоляция, я как раз использую в tmpfs overlay в браузере. А в случае Snap - это изоляция.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #120

95. Сообщение от Васян (?), 26-Ноя-25, 17:52	–1 +/–
--- Шёл 2025й год... Ты хочешь сказать что открытый и не бесплатный - свободный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

96. Сообщение от Аноним (36), 26-Ноя-25, 17:55	+/–
> И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль. Он генерируется внутри Блендера при помощи его встроенных 3Д инструментов. > Но вы это не понимаете в силу ограниченности Это как раз ты не понимаешь, что несешь. Хотя давай, расскажи мне, куда ты там свой make собрался втулить - будем веселиться до конца. 😂
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

97. Сообщение от Аноним (91), 26-Ноя-25, 17:58	+/–
Просто и ненажёжно. Защищает только от тривиальных атак и случайных операций типа `rm -rf ~`. Ядро и сетевой стек общие. IPC, shared. Есть ещё X11. SUID. DE leaks. Нужны хотя бы хорошо настроенные песочницы или контейнеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #104, #117, #144

98. Сообщение от Васян (?), 26-Ноя-25, 18:02	+/–
-- -- скриптинг в табличках экселя может содержать вирусы! Да ну? Любой скриптинг придумали из благих намерений для всякого удобства во благо человечества. Какие вирусы? Это не гуманно и противоречит всяким лицензиям корпорастов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

99. Сообщение от Аноним (99), 26-Ноя-25, 18:23	+/–
> И? Каркас генерируется ОДИН раз Если бы он генерировался один раз, люди бы вообще не сношались ради этого со скриптами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

100. Сообщение от Аноним (99), 26-Ноя-25, 18:24	+/–
> Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления. Но ты-то много понимаешь - вог, уже приплел Make к 3Д редактору. Сразу чувствуется гибкое арзитектурное мышление, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #151

101. Сообщение от Васян (?), 26-Ноя-25, 18:28	+1 +/–
Может мне вместо фри нужно было написать фридомный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

102. Сообщение от aname (?), 26-Ноя-25, 18:39	+/–
Так напиши своё
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

103. Сообщение от Васян (?), 26-Ноя-25, 18:52	+/–
- - - Если хотите - жрите. Ну я ваще не понимаю, как можно на дырявом проприетарном железе использывать типа безопасный софт, заверенный даже подписью какого-то корпораста, который десятками лет не закрывает уязвимости и писал их совсем не для твоей безопасности, и даже т.н. свободный софт. Ну как-то уж очень противоречиво всё звучит. Любители пруфов будут вопросы задавать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

104. Сообщение от Аноним (106), 26-Ноя-25, 19:00	+/–
> Нужны хотя бы хорошо настроенные песочницы или контейнеры. Все инструменты у тебя для этого есть. И песочницы и контейнеры. Пользуйся...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #122

105. Сообщение от Аноним (106), 26-Ноя-25, 19:02	+/–
Чувак. ты читать новость пробовал? В против такой атаки UAC не работает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

106. Сообщение от Аноним (106), 26-Ноя-25, 19:02	+/–
И что? они тырят файлы самого юзера. при чем тут Administrator Protection?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #121, #139

107. Сообщение от Аноним (106), 26-Ноя-25, 19:05	+/–
у виндузятников истерика, а новость они, как обычно, прочитать не шмогли > Вредоносное ПО ограничено атакой на пользователей Windows. Ж)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

108. Сообщение от Аноним (106), 26-Ноя-25, 19:06	+/–
Виндузятники должны страдать... На линукесе эти ваши вирусы-шмнирусы не работают...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

109. Сообщение от Аноним (106), 26-Ноя-25, 19:10	+/–
>> "Конечно не так, потому что ставится доверенное ПО" >  Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.? Как, как ? Платить вымогателям за расшифрование, терять кошельки и конфиденциальные данные... > А потом уделяются, почему у Linux так мало пользователей! Нам на линуксе так-то и не нужны такие пользователи... пусть со своими строянами на винде сидят...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

111. Сообщение от Аноним (111), 26-Ноя-25, 19:30	+/–
Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там наверняка же есть питон-песочница.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #113, #114, #162

113. Сообщение от Аноним (106), 26-Ноя-25, 19:32	+/–
> Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там > наверняка же есть питон-песочница. Я нашел на дорожке в парке чей-то старый пирожок и съел его... Теперь у меня болит живот... Пекарни планируют что-то с этим делать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #115, #179

114. Сообщение от Аноним (111), 26-Ноя-25, 19:36	+/–
Погуглил. Ничего кроме рекомендаций запускать питон в докере не нашёл. Если это так, то питон не самый подходящий для таких целей язык. Тот же JS и понятен всем и имеет изоляцию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #118, #178

115. Сообщение от Аноним (111), 26-Ноя-25, 19:37	+/–
Если заранее известно, что в печку будут сувать всё подряд, в т числе радиоактивные железки и неразорвавшиеся мины 40-ых годов, сделаете ли вы стены печи потолще или будете жарить на мангале?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #116

116. Сообщение от Аноним (106), 26-Ноя-25, 19:42	+/–
Еще раз для танкистов. По дефолту запуск скриптов ЗАПРЕЩЕН. Почему? Потому как разрабы предупреждают юзверя - это опасно. Виндузятник качает с левого сайта левую модельку. При открытии этой левой модельки программа виндузятника предупреждает. Виндузятник игнорирует предупреждение и запускает скриптоту... Виндузятник получает любимый строян StealC. А виноваты разрабы блендера... Л - логика!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #182

117. Сообщение от кек (?), 26-Ноя-25, 19:44	+/–
в корпы вкатываешь атомарный дистр, источники приложений только доверенные, дальше уже по ситуации хардить геморройно для всех сторон, но это тот самый проклятый мир, который мы сами себе и создали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #119

118. Сообщение от Аноним (106), 26-Ноя-25, 19:45	+/–
Какая разница на каком языке написан скрипт который качает и запускает строян с интернета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #172

119. Сообщение от Аноним (106), 26-Ноя-25, 19:47	+/–
здесь проблема не в источники приложений только доверенные, здесь проблема что виндузятники сами тянут из интернета всякую каку и запускают ее, несмотря на предупреждения программы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #132

120. Сообщение от Аноним (-), 26-Ноя-25, 19:53	+/–
Хахаха! Ты бы еще сочинил "винь95 не нужно переставлять каждые пол года")) Сколько проблем было что с ХРюшей, что с семеркой до появления сервиспаков... > А тут куча каких то магазинов приложений, подписок, сервисов. Угу, мир немного поменялся. Теперь ждать двагода, пока выйдет очережной сервиспак никто не хочет. Исправили баг - отправили юзеру. И покупать на СД дисках пролижения тоже перестали. Проще скачать. А откуда? Вот удобный магазин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #123

121. Сообщение от Аноним (91), 26-Ноя-25, 20:45	+/–
Ну так настройка UAC тут тоже не особо поможет. Речь ишла о настройке системы в целом, а не для защиты от конкретно этой "уязвимости". А так Sandboxie поможет. С помощью интерпретаторов можно обходить Smart App Control, который требует наличие действительных подписей у исполняемых файлов и скриптов (PowerShell), наработанную хорошую репутацию среди всех пользователей SAC (может меняться раз в сутки). Поведение SAC можно изменять через политики (HotCakeX разрабатывает удобный FOSS менеджер и редактор), в том числе одобрять/запрещать файлы по типу подписи, хэшу и т.п. Поэтому Microsoft рекомендует блокировать интерпретаторы в системе через политики SAC, если они не необходимы. SAC работает и для модулей ядра, к слову. С помощью Sandboxie можно запретить запуск исполняемого файла вне любой или конкретной песочницы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #126

122. Сообщение от Аноним (15), 26-Ноя-25, 20:49	+/–
Ни одна кухарка не сможет это настроить в линуксе. А вот в симбиане это было "из коробки".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #150

123. Сообщение от Гомер (?), 26-Ноя-25, 20:51	+/–
>ХРюшей, что с семеркой до появления сервиспаков... Никогда небыло с Xp, проблем. >Теперь ждать двагода, пока выйдет очережной сервиспак никто не хочет. Исправили баг - отправили юзеру. Исправили баг, и накидали непонятных фич жрущщих ресурсы, это не одно и то же. Исправили, этот как на примере с играми, игра выходит и тормозит на топовом железе, после оптимизации, летает на почти самых слабых пк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

124. Сообщение от Геймер (?), 26-Ноя-25, 20:54	–1 +/–
А загружаемый тоннами со стороны веб-сервера и тут же исполняемый в браузере код JavaScript - это не атака на компьютеры пользователя? По сравнению с Хромом Блендер идеал безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127, #183

125. Сообщение от Аноним (15), 26-Ноя-25, 20:54	+1 +/–
> надо Почему браузеры это не могут сделать? Почему разработчики браузеров это не могут сделать? Почему мейтенеры пакетов это не могут сделать? Никто не может, а кухарка - должна мочь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

126. Сообщение от Аноним (106), 26-Ноя-25, 20:57	+/–
Это все очень интересно, но не жизнеспособно у домохозяйки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

127. Сообщение от Аноним (15), 26-Ноя-25, 21:12	+/–
> JavaScript ну напиши пример чтения произвольного файла...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #137, #153

129. Сообщение от Аноним (129), 26-Ноя-25, 21:21	+/–
Скрипты в 3Д модели... за каким якодзуном??? ЧТО там делать скрипту, если это просто сетка модели???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

130. Сообщение от Аноним (129), 26-Ноя-25, 21:22	+/–
PDF туда же, как ни странно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #159

132. Сообщение от Аноним (129), 26-Ноя-25, 21:27	+/–
Только ограниченный ментально линукс-durачок будет думать, что венду придумали только запускать нотепад. Нормальные люди держат ДЕСЯТКИ приложений + ещё тысячи перделок ждут своей загрузки. Это нормально - решать на компьютере тысячи жизненных задач.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #145

134. Сообщение от Аноним (129), 26-Ноя-25, 21:47	–3 +/–
Вот на такой безалаберной логике нынешний вирус и построен. Удивительно, как можно прочитать новость и продолжать думать, сто "скрипты в модели" - это хорошо? Вам ПЕРВЫЕ грабли вообще что ли не оставили пищи для размышлений???
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

137. Сообщение от Аноним (129), 26-Ноя-25, 22:04	–1 +/–
Почитай любой CVE на Хром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #141, #191

138. Сообщение от Bottle (?), 26-Ноя-25, 22:08	+/–
Ты не понимаешь! Из песочницы вирус безопасно ворует твои пароли и данные банковской карточки, и также безопасно переходит по ссылкам для безопасного скачивания специально оформленных файлов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #154

139. Сообщение от Аноним (139), 26-Ноя-25, 22:14	+/–
Извечная проблема с безопасностью в десктопных ОС. https://xkcd.com/1200
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #181

140. Сообщение от мнов (?), 26-Ноя-25, 22:20	+/–
а ничо, что лог4ж - это про жаву ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #192

141. Сообщение от Аноним (15), 26-Ноя-25, 22:26	+/–
Почитал любой. Примера чтения файла - нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

142. Сообщение от Аноним (142), 26-Ноя-25, 22:26	+/–
Уверен, это именно целенаправленная атака. На кого? На разработчиков тех самых игр. У них на форумах Итча совсем недавно активировался анон, с разных аккаунтов со сгенерированными именами постящий "самые свежие обновления" с вредоносом (короткие ссылки типа lilurl.run или psee.io, ведущие на hardware-gui.su). Ждите прилётов и на F95, там вообще заливают все, кому не лень. Домен с вредоносом как бы намекает на юрисдикцию уполномоченного злоумышленника, в которой изготовление такого контента запрещено, а значит, подвергает изготовителя, имевшего счастье оказаться в той же юрисдикции, риску преследования, шантажа или вымогательства.
Ответить | Правка | Наверх | Cообщить модератору

144. Сообщение от Tron is Whistling (?), 26-Ноя-25, 22:30	+/–
Не. Этого мало. Во-первых, каждое приложение - на отдельные ядра и отдельные модули памяти. Мало ли там, шпектр какой-нибудь или там рохляммер. Во-вторых, каждое приложение под гипервизор. Который тоже на отдельных ядрах сидит. Каждому приложению - по отдельному набору железа. А вдруг через клавиатуру что утечёт. И да, сеть у каждого приложения тоже своя, изолированная, со своим отдельным аппаратным файрволом - на той же системе нельзя. И даже в одной коробке нельзя. И блоки питания разные должны быть. Файлы - каждый на отдельной флешке в отдельный для каждого приложения USB-порт. Ну короче покупай, не стесняйся, производители железа тебя заждались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

145. Сообщение от Аноним (106), 26-Ноя-25, 22:52	+/–
> перделок ждут своей загрузки Да, да... бесплатно и без СМС... >  жизненных задач. например, вызвать компьютерного докторишку систему почистить :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

150. Сообщение от Аноним (106), 26-Ноя-25, 23:30	–1 +/–
Причем тут линукс если строян поражал именно виндузятников? Может кухарки уже побросали свой ужасный виндовс и побежали на более защищенные системы? И да... Если кухарка последует совету Ильича, то сможет. А так пусть она этим симбианом пользуется или страдает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #160

151. Сообщение от Аноним (151), 26-Ноя-25, 23:37	+/–
Понравилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

152. Сообщение от Аноним (-), 27-Ноя-25, 00:03	+/–
> благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, Уроки макровирусов некоторых так ничему и научили. А, хотя это ж питонисты, им надо все грабли на СВОЕМ лбу собрать. > предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели. Или тыринг ключей ssh, паролей, инсталляция бэкдоров и прочих червяков для pip^W nodejs а впрочем найдите 10 отличий между ними.
Ответить | Правка | Наверх | Cообщить модератору

153. Сообщение от Аноним (-), 27-Ноя-25, 00:05	–1 +/–
> ну напиши пример чтения произвольного файла... В свое время был такой сплойт, фигачил лису через внедрение через PDF-просмотрщик на JS в контекст браузера. И дальше оно лихо шарахалось по всей ос с правами браузера. Фактические боевые экспонаты собирали все - от ключей ssh до логинов-паролей, списков прокси, номеров кредиток, кошелей крипто и какие там еще ассеты с вас можно поиметь (довольно длинный список интересных файлов). Так что - можно и уже было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127 Ответы: #163

154. Сообщение от windows10 (ok), 27-Ноя-25, 00:27	+/–
> Ты не понимаешь! Из песочницы вирус безопасно ворует твои пароли и данные > банковской карточки, и также безопасно переходит по ссылкам для безопасного скачивания > специально оформленных файлов. Такой песочницы не существует, в том числе и в MacOS. Когда ты скачиваешь софтину - ты даешь ей разрешение на установку. Дальше либо запускается бинарь, либо запускается примонтированный раздел с бинарем и либами, и запускается бинарь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

155. Сообщение от Аноним (155), 27-Ноя-25, 00:34	+/–
Столько комментов, а ничего по делу. Не скачивать! Не запускать! Выдавать предупреждение! Вы понимаете, что это все припарки или вы реально думаете, что бумажками можно запретить человеку нажимать кнопки? Действенный практический (без пространных философтствований) способ тут один - дать по башке разрабам блендера, чтобы скрипты на ЯВУ в их софтине были ВСЕГДА И ВЕЗДЕ ограничены их пемочницей. Никакого доступа к системе. Никакого резидентного запуска. Область видимости ТОЛЬКО внутри объектов блендера. То есть реально виноваты тут только разрабы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #164, #170, #171

156. Сообщение от Аноним (-), 27-Ноя-25, 00:56	+/–
> Бытовые приборы буквально по закону обязаны быть готовы для использования, а не > иметь форму DIY конструктора. Ну попробуй так поюзать хотя-бы смартфон или планшет чтоли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

157. Сообщение от Аноним (-), 27-Ноя-25, 00:58	+/–
> + работать под стандартным пользователем, или использовать Administrator Protection хотя > бы. > https://learn.microsoft.com/en-us/windows/security/applicati.../ Сколько манов на винду не читай а безопасно в ос с онлайн акаунтами, телеметрией, перезагрузками без спроса и AI в блокноте будет - уж точно не майкрософту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

158. Сообщение от Аноним (-), 27-Ноя-25, 01:01	+/–
> скрипт Rig_Ui.py включал известную реализацию > системы автоматического риггинга. It definitely rigged. Its some setup! :D
Ответить | Правка | Наверх | Cообщить модератору

159. Сообщение от Аноним (15), 27-Ноя-25, 02:52	+/–
Напиши PDF, который бы показывал /etc/passwd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

160. Сообщение от Аноним (15), 27-Ноя-25, 02:56	+/–
В линуксе перестал работать питон?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

161. Сообщение от Аноним (162), 27-Ноя-25, 03:01	+/–
О, опять макровирусы пошли. А зачем макросам по умолчанию давать доступ к файловой системе? Почему нельзя как в браузере на доступ к файловой системе постоянно запрашивать разрешение или как в андроиде? Или же пробелема из-за того, что вместо нормального языка взят гвидобейсик?
Ответить | Правка | Наверх | Cообщить модератору

162. Сообщение от Аноним (162), 27-Ноя-25, 03:03	+1 +/–
>Ну там наверняка же есть питон-песочница. У бидона нет песочницы, это вам не lua и не любой другой встраиваемый язык.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #189

163. Сообщение от Аноним (15), 27-Ноя-25, 03:04	+/–
> PDF-просмотрщик У меня нету такого просмотрщика... Дак будут примеры на JS?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #166

164. Сообщение от Аноним (15), 27-Ноя-25, 03:09	+/–
> дать по башке разрабам блендера Первое, что самое стрёмное в блендере, он юзает внешний системный питон. Со всеми вытекающими последствиями. И определяет его весьма изощрённым методом: через пакетный манагер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #167

166. Сообщение от Аноним (-), 27-Ноя-25, 04:29	–1 +/–
> У меня нету такого просмотрщика... Дак будут примеры на JS? YOLO, он в каждой версии Firefox по дефолту встроен - и активирован. По дефолту, Карл! Это был жесточайший CVE. Вот прям на JS, да! Поскольку морда браузера тоже JS - оно внедрялось в нее и далее могло все что угодно - с правами морды файрфокса. А поскольку в песочницы эти бакланы тоже не умели.. ну.. норм такая CVEха вышла то. Кроссплатформенная, на JS! :D А софт который обход дир делал и тыринг файла - относительно кроссплатформенный получился. Там все равно были некоторые специфики вроде, типа того у кого какие диры с ништяками. Но в целом отличный кроссплатформенный эксплойт на именно JS, как вы и просили. Я повстречал этот баг в районе что-то типа наг.ру - где сетевиков-затейников гасили ЭТИМ прямо в диком виде! Кто-то налил ЭТО прямсюда, я в меру талантов небольшой анализ того что я вижу и провел. На вид напоминало творчество незабвенного Equation - те тоже UUID'ы любили, да и в целом такое - было бы весьма в их духе. Ну то-есть это была полноценная боевая малварина. Вот прям на JS! :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #188

167. Сообщение от Аноним (-), 27-Ноя-25, 04:31	+/–
> Первое, что самое стрёмное в блендере, он юзает внешний системный питон. Можно подумать несистемный сильно поможет. На этом battle for wesnoth в свое время налетел, заметив что питон сандбоксингу не поддается хоть ты что - поэтому "ai script" может вылезти в основную систему более 9000 способов и конкретно поразвлечься. И таки поскольку это loadable content, питон был задропан нафиг - и заменен на Lua. Вот так да, AI скрипты более не могут ничего в системе ломать. А чем думали в сабже - хз. Синдромом утенка и хайпом видимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #187

168. Сообщение от Alex5Anc (ok), 27-Ноя-25, 09:51	+/–
>В MacOS все приложения всегда запускаются в песочнице. Таще-то нет.  Наличие sandbox не означает, что ВСЕ! приложения в нем запускаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

169. Сообщение от Аноним (185), 27-Ноя-25, 09:51	+/–
У меня бы такое не сработало, т.к. запускаю все программы, которым не нужен доступ в интернет, через пользовательскую группу, которой запрещен доступ в интернет. Да и сценарии запрещены, разумеется.
Ответить | Правка | Наверх | Cообщить модератору

170. Сообщение от Аноним (185), 27-Ноя-25, 10:06	+/–
Всегда найдут сбособ выйти из песочницы. Нужно другое решение. Уже такой дыры, как JS в браузере, хватает. Это все из одной оперы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

171. Сообщение от Аноним (175), 27-Ноя-25, 10:17	–1 +/–
> Никакого доступа к системе. Чтбы даже свои blend-файлы не открывались! > То есть реально виноваты тут только разрабы. Виноваты только злоумышленники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

172. Сообщение от Аноним (175), 27-Ноя-25, 10:23	+1 +/–
> Какая разница на каком языке написан скрипт который качает и запускает строян > с интернета? У некоторых встраиваемых языков (например, Lua) можно ограничить функции. Например, доступ к ФС. Что не позволит ни читать, ни писать, ни запускать сторонние файлы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

173. Сообщение от Аноним (175), 27-Ноя-25, 10:28	+/–
> Расширенный вывод в блендере с разрешением запустить код, в котором > будет указано что используются функции, которые обычно не встречаются > в моделях не помешал бы. А не просто да/нет Проблема в том, чтобы понимать какие функции и как могут быть использованы по неназначению, нужно самому быть злоумышленником. А последние в разработке полезных программ не участвуют. Они вирусы распространяют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

174. Сообщение от Alex5Anc (ok), 27-Ноя-25, 10:29	+/–
>Почему-то во времена симбиана у каждой программы был "из коробки" приватный каталог. От не надо про симбу и "приватный каталог",  оно только для пользака могло так выглядеть, но не для другой приложухи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

175. Сообщение от Аноним (175), 27-Ноя-25, 10:31	+/–
> Что дальше откроют "исследователи"? Что левый бинарь, скачанный из инета, может делать > с твоей системой что угодно, если ты "не задумываясь, пдтвердил запуск > в диалоге с предупреждением"? Раскрыли вполне конкретную _атаку_. Проинформировали общественность. В том числе описали сценарий. Что не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

176. Сообщение от Alex5Anc (ok), 27-Ноя-25, 10:38	+/–
>>любая Тьюринг-полная система со скриптами подвержена вирусам. >Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске. Неверно. Т.к. браузер не написан на js и имеет доступ не только к своим файлам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

177. Сообщение от Аноним (177), 27-Ноя-25, 10:48	+1 +/–
Ну это не страшно. Только Windows касается. Впрочем, конечно, лучше не использовать ПО, где используется Python.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #186

178. Сообщение от Аноним (185), 27-Ноя-25, 11:10	+/–
> Погуглил. Ничего кроме рекомендаций запускать питон в докере не нашёл. > Если это так, то питон не самый подходящий для таких целей язык. > Тот же JS и понятен всем и имеет изоляцию. "Если на сайте имеется Java, JS, MM flash или ещё что-нибудь подобное, для пользователя это означает, что в момент просмотра сайта на компьютер пользователя незаметно для него самого будет загружена программа для алгоритмически полного исполнителя, и не только загружена, но и исполнена. Создатели всего этого мракобесия предполагали, что виртуальные машины, исполняющие соответствующий код, будут ограничены в возможностях настолько, что исполняющийся код ничего страшного с компьютером пользователя сделать не сможет. Практика, разумеется, показала прямо противоположное. Года не проходит, чтобы в интерпретаторах JS и/или MM flash не нашли очередую уязвимость, причём как правило это сразу remote code execution. Если взглянуть на проблему реально, получится, что создание полностью защищённого тьюринг-полного интерпретатора - это задача, превышающая возможности человека. Есть алгоритмическая полнота - будут и эксплойты. Таким образом, используя на своём сайте client side, в особенности если сайт без них работать не может, разработчик сайта принуждает своих пользователей к включению в браузере интерпретаторов JS и прочего, то есть к компрометации безопасности их компьютеров. На основании вышесказанного я заявляю, что все веб-разработчики, создающие такие сайты, которые невозможно просматривать с отключённым в браузере интерпретатором JS и/или MM flash и других подобных примочек - безответственные убл*дки, ни в грош не ставящие интересы своих пользователей, и это моё окончательное слово по данному вопросу".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #190

179. Сообщение от Аноним (185), 27-Ноя-25, 11:12	+/–
>> Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там >> наверняка же есть питон-песочница. > Я нашел на дорожке в парке чей-то старый пирожок и съел его... > Теперь у меня болит живот... Пекарни планируют что-то с этим делать? Ты в здравом уме и твердой памяти сравниваешь пирожок на улице, который воздействует на тело, и выполнением действий с имуществом индивида?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

181. Сообщение от Аноним (91), 27-Ноя-25, 11:19	+/–
Поэтому приходится костылять, в отсутствие продуманной архитектуры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

182. Сообщение от Аноним (185), 27-Ноя-25, 11:22	+/–
Здесь проблема в том, что есть возможность совершать действия с имуществом индивида без его добровольного информированного согласия. Такие действия должны интерпретироваться, как вредоносные. Если есть исходный текст python-сценариев, разработчики сценариев информируют об одних действиях, а сценарий выполняет другие, то насилие с имуществом индивида совершили разработчики сценариев. В любом случае разработчик Blender не имеет к этому никакого отношения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

183. Сообщение от Аноним (185), 27-Ноя-25, 11:25	+/–
Это однозначно вредоносные действия ПО, но какого-то ч*рта государство не интерпретирует это как вредоносные действия. https://www.opennet.me/openforum/vsluhforumID3/138488.html#178
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

184. Сообщение от Аноним (185), 27-Ноя-25, 12:07	+/–
Чушь не неси. Про донаты или платную поддержку свободного ПО слышал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

185. Сообщение от Аноним (185), 27-Ноя-25, 12:09	+/–
Ты прям серьезно путаешь. Свободное - это значит без вредоносных действий и с открытыми исходниками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

186. Сообщение от Аноним (15), 27-Ноя-25, 12:49	+/–
> лучше не использовать ПО, где используется Python Есть такое, сейчас через эту дыру повалят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

187. Сообщение от Аноним (15), 27-Ноя-25, 12:54	+/–
> питон был задропан нафиг - и заменен на Lua Кажется, ты начинаешь понимать... Что мешает сделать встроенный питон, работающий как Lua?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

188. Сообщение от Аноним (15), 27-Ноя-25, 12:56	+/–
Тебя про сырцы на JS спрашивают, которые такие script в html, а ты всё на PDF зациклился...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166

189. Сообщение от Аноним (15), 27-Ноя-25, 12:59    Скрыто ботом-модератором	+/–
Разработчики блендера могли бы сразу баш-портянки в бленды затолкать :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

190. Сообщение от Аноним (15), 27-Ноя-25, 13:06	+/–
> все веб-разработчики, создающие такие сайты, которые невозможно просматривать с отключённым в браузере интерпретатором JS и/или MM flash и других подобных примочек - безответственные убл*дки Золотые слова... Но сейчас без JS даже данный сайт не полностью работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178

191. Сообщение от Аноним (15), 27-Ноя-25, 13:08	+/–
> CVE на Хром Наличие питона в блендере, который может исполнить всё, что угодно - это CVE? Это начали исправлять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

192. Сообщение от Bottle (?), 27-Ноя-25, 14:45	+/–
Я в курсе разницы между Java & JavaScript. Просто вот прикол, оказывается, сколько не обкладывайся виртуализации, контейнеризацией, изоляцией, они не помогут защитить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема