> Ох как я раз за ребят из *WRT =))) А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях - расскажете потом как получилось :).
Хинт1: по дефолту там вообще на WAN нет нифига. И радио отрублено. Удачи в взломе, ага. Правда взломщик должен быть в интранете а юзеру всяко придется сунуться в девайс до начала его юзежа (врядли юзер юудет рад роутеру без вайфая).
Хинт2: разработчики оного судя по сайту вполне в курсе той бяки и проверили что их оно не пробирает в дефолтовой конфиге. А как там юзер напортачит дальше - уже дело юзера.
>Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии
>пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части
>фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно,
>записался, сунулся в rc.local и счастлив =)))
А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать. Давайте на него тоже запись запретим? Как по мне так нормальная RW файловая система - это фича. Позволяющая ставить пакеты. Кстати, именно малвари не обязательно записываться на диск. Не это ее цель. Вон msblsat и его наследники до сих пор существуют. Живут себе в виндозных сетях как бестелесные пакеты. Летают себе. На диск половина модификаций вообще не пишет себя. А зачем им это? Они и так хорошо летают. Так что хрен их в большой сети полностью удавишь. Потому и живые до сих пор.
> ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?
Ну дык в OpenWRT ничего и не открыто по дефолту в WAN :).Так что до того как ругать - хорошо бы посмотреть сначала, имхо. Нет, чисто технически на OpenWRT можно запустить вируса но в лучших традициях *никсов заливать его и запускать придется самолично :).Да, после этого он разумеется сможет заработать.Правда так даже J2ME трояны работают, блин и они кстати завалили асю спамом с ссылками на скачку самих себя, кстати :)
>Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы
>доступа извне.
OpenWRT юзеру в дефолтах не гадит. За остальных не скажу.
>1) черезчур увлеклись унификацией
Ну, если уж о паранойе - я видел PoC пример (шелл)кода который запускается на 3 абсолютно разных архитектурах и прыгает на соотв. блок кода "своего" процессора. Паранойя вас замучает теперь :)
>2) кнопка кайф в *WRT до добра не доведёт
Что такое кнопка кайф в OpenWRT например? :)
>3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту
> если вдруг открыт ssh во вне ибо подбор упрощается
За открытие SSH вовне в роутере по дефолту надо сразу расстреливать. Без суда и следствия. А там уж история разберется, было оно секурно или нет :)
>4) криворукие юзеры не меняющие паролей
В случае опенврты во первых юзеру придется сходить в админку чтобы радио включить а во вторых - wan по дефолту ничего не торчит. Ну и как там поиметь криворукого юзера?
>И всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))
Думаете, вам сделает честь черный пиар при том что он содержит недостоверную инфорормацию? oO
>Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ
>был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".
Ну а мне нравятся OpenWRTшные прошивки. За гибкость и возможность заставить роутер делать то что надо мне а не кому-то-там без чрезмерно большого траходрома. Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС, горбатые тулсы для сборки и прочая. А если исходить из вашей логики - лучше всего не подавать на роутер питание. Тогда его уж точно никто не сломает :)
>Можете закидать меня какашками, но это моё мнение.
Постарался сделать это конструктивно. Надеюсь получилось :)