>>Во-первых, не додумывайте.
>
>Я не додумываю.Я имел в виду «не додумывайте за меня».
>Я знаю.Это так, по опыту насчет качества софта просто.Вам может
>быть и хотелось бы чтобы было иначе.Ну, хотите.А толку?В лучшем для
>вас случае - ос сдохнет до того как кто-то ей заинтересуется
>с точки зрения секурити и умрет "условно непобежденной".В хучшем вас скорее
>всего будет ждать суровое разочарование если кто-то откопает хотя-бы треть всех
>дыр которые там есть.Вон макос помните какой нерушимой считалась?
Не знаю, кем она считалась, но точно не мной. Между прочим, до наступления гегемонии Windows на Макинтошах вирусы только так бегали.
>А как под
>х86 ее сделали да популярность увеличилась - вон и трояны\вири для
>нее уже есть и апдейты пачками.А все потому что хаксорам x86
>привычнее PPC а популярность способствует желанию засунуть свой нос в код
>системы.
Вы это кому рассказываете? :)
>>Во-вторых, если нельзя верить глазам и ушам, то строить любые умозаключения
>>бессмысленно.
>
>Кроме глаз и ушей нужен еще мозг.Желательно работающий.Идеально - еще и просто
>объективно и без фанатизма взвешивающий все факты.Все "за" и "против", etc.
Если нет данных, на которые можно положиться, то правильное умозаключение не выведешь. В лучшем случае можно угадать, но и тогда вы не отличите истинный вывод от ложного. Вспоминайте (учите) формальную логику. ;)
>>В частности, если мне говорят «А» вместо «Б»
>>(не важно, по незнанию, рассеянности, глупости…), то мне это НЕ нравится.
>
>Так на то и обсуждение чтобы привести контр-аргументы.Только вот аргументы вида "я
>своими глазами вижу что Солнце вращается вокруг Земли и что Земля
>- плоская а вы все брехуны!" мне не нравятся.Да, глаза иногда
>могут обмануть.Если бы люди верили *только* глазам - до сих пор
>думали бы что солнце вращается вокруг земли и что сама земля
>плоская.Ведь на первый взгляд - все именно так!Глаза видят именно это.
Люди так или иначе верят глазам. Теория Коперника ничего бы не стоила, если бы у неё не было доказательств. А доказательства в астрономии и вообще физике, если вы не в курсе, так или иначе всё равно базируются на наблюдении. И теория Коперника не противоречит имеющим фактам — она (вкупе с другими теориями) прекрасно объясняет, почему мы видим то, что видим — на основе ДРУГИХ наблюдений, которые противоречат «изначальному» видению мира. То есть выводы (доказательства) всё равно строятся на базе фактов. Теория без фактов — выдумка. Факты без теории — каша.
>>Может. Только изначально в тексте речь шла не о конкретной дырке в
>>SCTP (готов поспорить, тов. эксперт специально взял для примера нечто
>>малораспространённое, чтобы не нагонять панику), а о подходе как таковом.
>
>А насчет именно подхода - я совсем не против чтобы разработчиков лишний
>раз пнули чтобы они понимали истинную ответственность и опасность таких дыр.То
>что они увидели это как DoS - они не хакеры все-таки
>и в деталях хакерского ремесла разбираться в принципе не обязаны.
Для того, чтобы понять, DoS это или RCE, не обязательно быть хакером, нужно быть просто внимательным и знать, что происходит в каждой строчке кода.
>Положа руку
>на сердце - для того чтобы такой сплойт сделать даже матерому
>хакеру пришлось посношать себе мозг.А разработчики - не хакеры которые именно
>профессионально взламывают системы все-таки.Не каждый разработчик замков всенепременно спец по их
>вскрытию подручными средствами.
Данный хакер не искал дырку, а анализировал имеющуюся. Это две большие разницы.
>>Как я (и не только) уже говорил, это вопрос рисков.
>
>В чем-то вы правы.Но с такой точки зрения - этот конкретный эксплойт
>low risk.Почему-см.выше.Т.е. шуму много а толка - мало.Много вы видели систем
>в интернете где SCTP приложения слушают?Да еще надо чтобы они на
>число соединений плевали и т.п..Эксплойтец то достаточно брейнфакерский, им что попало
>не подломишь, нужно стечение ряда обстоятельств.Я вот так сходу попросту не
>нашел что им можно долбануть для проверки из того что под
>рукой.
И слава богу. Как я уже сказал выше, у меня есть основания полагать, что данная дырка была взята специально как малоопасная в практическом плане.
>>Во-первых, не путайте FireFox и собственно ОС. FireFox пишут отнюдь не разработчики
>>ОС.
>
>И что?Они его поставляют в комплекте как я понимаю, а потому в
>ответе и за него.И, простите, подсовывать заведомо дырявые дефолты - нехорошо.ИМХО.Думаете,
>мне большая радость от того что меня поимеют не через софт
>писаный такими-сякими а только ими засунутый и не обновленный до текущего?At
>the end of day мне результат все-таки важнее.
Это понятно, но вы сначала дальше прочитайте. ;)
>>Во-вторых, насчёт NetBSD не скажу, а в случае с OpenBSD все, кому надо,
>
>Ой.Это все отмазки, согласитесь?В конечном итоге - было бы замечательно если бы
>в системе не лежали грабельки без добавочных телодвижений по их убиранию.И
>старый файрфокс в системе - достаточно безответственно.Именно в плане секурити как
>раз.
Безответственно — когда обещают и не дают. Насчёт официальных портов в ветке -STABLE все предупреждения висят. К сожалению, нельзя сказать, когда ситуация изменится, потому что нужно, чтобы кто-то: а) имел более-менее полный набор железа из числа поддерживаемых архитектур; б) имел достаточно времени на тестирование и отладку бэкпортов; в) имел хорошую мотивацию; г) мог бы этим заниматься постоянно (то есть, фактически, нужно минимум 2 человека); д) хорошо разбирался в устройстве дерева портов, причём помнил об изменениях за последние полтора года. Энтузиастов много, а вот когда дело доходит до реальной работы — как всегда, начинаются проблемы. :-\
У фряшников вот, например, такого деления портов нет, зато ломаются порты чаще.
Кстати, не все дырки в FireFox на OpenBSD опасны, за счёт особенностей работы с памятью и не только…
>>работы она намного обходит «релизы» какой-нибудь Ubuntu.
>
>Ну, у меня как минимум убунту заводит видео и все остальное без
>недельного приложения напильника и файрфокс без лишнего траха до текущего проапдейтить
>можно.
Аналогично. Чем ещё померяемся? ;)
>И, если честно, мне не очень охота "загорать" под днищем "Жигуля", колупать
>конфиги иксов и изучать побочные методы "как обновить файрфоксину" отличные от
>дефолтных системных средств управления софтом в их дефолтовом состоянии, чисто для
>того чтобы исправить проколы разработчиков своими руками.
Простейший случай:
cd ${PORTSDIR:-/usr/ports}/www/mozilla-firefox && cvs -APd && make update
> Особенно - если система
>планируется к юзежу как десктоп. В этом плане мне проще купить
>иномарку под которой загорать не придется, юзать ОС где не придется
>"загорать" в конфигах и т.п. - в конце концов, шина PCI-E
>доступна процу а не мне.Это не значит что я дуб, это
>значит что я полагаю что машинную работу - надо отдать именно
>машинам.А людям хорошо бы заниматься чем-то более креативным чем ручные указания
>системе по части видеокарты и ее параметров.
Это вы про Linux? В отличие от OpenBSD, мне обычно там приходится создавать xorg.conf ручками. Не знаю уж почему так получается.
>Также на мое ИМХО мне не должны подкладывать грабли в дефолтовом виде
>системы.А уж что я там дальше напортачу и где я захочу
>покопаться - мое дело и моя ответственность.А ответственность вендора (дистроклепателей, майнтайнеров,
>сообщества, кого угодно!) - предоставить систему без заведомых граблей настолько насколько
>это возможно.
Если вы им за это платите, то да.
>В противном случае не очень охота иметь дело с
>системой где надо постоянно опасаться каких-то капканов в дефолтном ее состоянии
>и ходить с картой их размещения (обновляемой и какой там еще).
Грабли — это когда сталкиваешься с тем, с чем столкнуться не ожидал, то есть вопреки имеющейся документации. У меня только один вопрос: вам шашечки или ехать? Есть проблема, есть решение. Не нравится — вперёд, чините свои убунты после очередного обновления. У меня на работе коллеги с ними уже довоевались: один ушёл обратно на винду, другой собирается побаловаться с PC-BSD. Симптомы разные, но суть одна и та же: система не работает или сильно глючит после «официального» обновления. Нафига оно тогда нужно, а?
>>Дык это вы сами её приплели, не?
>
>Я увидел комент чувака к эксплойту и предположил что его роутерная компания
>действует так же как и все остальные конторы такого типа.Т.е. засовывает
>проприетарный форк в свою железяку и продает.Стандартное поведение роутерных компаний.Вам ли это не знать?
Ясно.
>Для *провайдера*, особенно буржуйского
>было бы очень странно и нелогично покупать коммерческий софт для аудита
>и самолично фиксить систему.Вы ничего не попутали?
>Провайдер занимается предоставлением услуг а
>не майнтайнерством своих клонов системы - провайдерам оно нафиг не надо
>и им то как раз логично было бы спихать непрофильную деятельность
>не приносящую дохода на комьюнити, может даже и подкормив их разок
>на копию софта для аудита и прочая.Это дешевле чем орду своих
>програмеров, тестеров, манагеров и прочего стаффа содержать.
Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком случае, самую ответственную часть), так как это надёжнее. И не только провайдеры. То есть понятно, гарантийный ремонт — это гарантийный ремонт, но все настройки обычно затачиваются так или иначе «под себя», а производитель используемого железа, по понятным причинам, ориентируется на «типовые» конфигурации. Причём тут «клоны системы» не совсем понял: провайдер просто обслуживает своё железо, на котором стоит как правило сильно кастомизированный софт. А для чего нужны открытые исходники, как не для относительно лёгкой кастомизации под конкретные задачи? :) (не только для этого, конечно, но не суть)
>>>в NT4, сто лет назад.И в пингвине оно слава богу не
>>>вчера появилось.Ничего так разница в развитии, да?
>>Угу. Сколько пользовательских данных умерло до вылизывания ext3 мне вам напомнить, или
>>сами погуглите? Про NT вообще молчу, сколько я уже падений NTFS видел…
>
>И ... чего?Я вот добрых лет 5 пользуюсь EXT2/3.
А вы не забыли, когда ext3 появилась? ;) Напомню: порядка 10 лет назад.
>И *ничего* на моей
>памяти не терял по вине ФС so far, особенно ext3.Может везло.Или
>еще чего.NTFS - да, может подохнуть, видал такое.Но обычно все-таки с
>посторонней помощью (e.g. сбоящая RAM, левые записи на том, etc).
Или просто аварийные выключения. Для ослабления последствий которых и нужно журналирование.
>А вот нежурналируемый фат у меня вполне себе рассыпался на лост кластеры в
>очень серьезном количестве при слете питания при активной записи файлов(что послужило
>веским стимулом к юзанию журналируемых ФС-они обычно настолько не разваливаются).
Если бы в FAT приделали журналирование, он бы рассыпался точно так же. ;) А, может, и быстрее. Но в FAT его никто прикручивать не будет, потому что это там нафиг не нужно. FAT имеет одно-единственное, но порой весомое достоинство: он туп и прост до безобразия. И ещё его все понимают:). Впрочем, вы это и так знаете, да?
>И уж что может быть приятнее чем в середине работы (если чекать диск
>полчаса при загрузке влом) потом узнать что в ФС имеются сбои,
>дескать.А то вас послушать - можно подумать что без журнала ФС
>не рушится.
Никогда такого не говорил. А говорил лишь о том, что журнал — отнюдь не панацея и более того — это усложнение системы. А усложнение повышает вероятность сбоев. :)
>Как правило сильнее рушится и требует длительной проверки утилсой.Чисто по
>логике вещей - с журналом можно ФС привести в консистентное состояние
>относительно малой кровью и быстро (в хучшем случае немного пострадает файл
>который писался в данный момент).
При условии корректной реализации журнала. Мелочь оговорка, правда? ;)
>А без журнала даже не известно в
>каком месте и что обломалось - придется за неимением лучших вариантов
>всю ФС лопатить в поисках неконсистентностей.Круто, да!Для времен эпохи FAT16 -
>самое оно.А для 2009 как-то не катит уже :P
По хорошему, лопатить надо в любом случае. Потому что журнал, повторюсь, НЕ панацея, а только средство быстрого запуска сервера после аварийного отключения.
