forum.opennet.ru

Составление сообщения

Исходное сообщение

"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..."
Отправлено коксюзер, 26-Сен-11 23:45

>[оверквотинг удален]
> конечно...
>> Хотя проще и надёжнее, конечно, верить разработчикам OpenBSD на слово. Особенно после
>> их меткого и оперативного анализа уязвимости в реализации IPv6, найденной Core
>> Security. А также после виртуозной и безошибочной реализации W^X (об ошибках,
>> которых не было, естественно, публику никто не уведомлял - не было
>> ведь ;). После успехов этих замечательных людей на поприще ИБ, включая
>> взаимодействие с экспертным сообществом, лично у меня сложилось о них как
>> об экспертах однозначно положительное мнение. ;) Но главное - эти люди
>> надёжные, им можно верить. ;)
> А если без сарказма? И главное - если такой вот централизованный список
Да я уже устал повторять. И не я один. В IRC эта тема за последние несколько лет поднималась на разных каналах не один десяток раз. В листах рассылки, вроде, тоже проскакивало. И все, кто думал своей головой и не затыкал уши, выводы давно сделали.
Суть в том, что разработчики OpenBSD отказались изучать возможности эксплуатации уязвимости в коде IPv6 и объявили её DoS-уязвимостью. После чего Core Security представила рабочий PoC-эксплойт.
Это при том, что DoS-уязвимости не считаются опасными в OpenBSD, и заплатки на них не анонсируются как обновления безопасности.
Более того, в качестве меры защиты от эксплуатации Core Security предложила разработчикам идею и предварительный патч в несколько срок, с примитивной реализацией W^X для адра (аналог KERNEXEC на базе сегментов x86). Где W^X в ядре? Где гарантии, что разработчики OpenBSD не проигнорируют уязвимости в будущем? Где документация для проведения peer review с описанием принципов и путей их реализации? Где, хотя бы, детальные комментарии в коде? Ничего нет. Вы как хотите, а я таким экспертам доверять не стану.
> будет опубликован, это ли не будет как раз "верить на слово",
> вместо того, чтобы самому смотреть детали?
Лично меня интересует не список, а документация. Но нет даже списка, не говоря уже о таблице с непроставленными галочками напротив пунктов, которые надо бы реализовать.

Исходное сообщение
"Итоги встречи разработчиков OpenBSD в Словении: nginx займет..." Отправлено коксюзер, 26-Сен-11 23:45
>[оверквотинг удален] > конечно... >> Хотя проще и надёжнее, конечно, верить разработчикам OpenBSD на слово. Особенно после >> их меткого и оперативного анализа уязвимости в реализации IPv6, найденной Core >> Security. А также после виртуозной и безошибочной реализации W^X (об ошибках, >> которых не было, естественно, публику никто не уведомлял - не было >> ведь ;). После успехов этих замечательных людей на поприще ИБ, включая >> взаимодействие с экспертным сообществом, лично у меня сложилось о них как >> об экспертах однозначно положительное мнение. ;) Но главное - эти люди >> надёжные, им можно верить. ;) > А если без сарказма? И главное - если такой вот централизованный список Да я уже устал повторять. И не я один. В IRC эта тема за последние несколько лет поднималась на разных каналах не один десяток раз. В листах рассылки, вроде, тоже проскакивало. И все, кто думал своей головой и не затыкал уши, выводы давно сделали. Суть в том, что разработчики OpenBSD отказались изучать возможности эксплуатации уязвимости в коде IPv6 и объявили её DoS-уязвимостью. После чего Core Security представила рабочий PoC-эксплойт. Это при том, что DoS-уязвимости не считаются опасными в OpenBSD, и заплатки на них не анонсируются как обновления безопасности. Более того, в качестве меры защиты от эксплуатации Core Security предложила разработчикам идею и предварительный патч в несколько срок, с примитивной реализацией W^X для адра (аналог KERNEXEC на базе сегментов x86). Где W^X в ядре? Где гарантии, что разработчики OpenBSD не проигнорируют уязвимости в будущем? Где документация для проведения peer review с описанием принципов и путей их реализации? Где, хотя бы, детальные комментарии в коде? Ничего нет. Вы как хотите, а я таким экспертам доверять не стану. > будет опубликован, это ли не будет как раз "верить на слово", > вместо того, чтобы самому смотреть детали? Лично меня интересует не список, а документация. Но нет даже списка, не говоря уже о таблице с непроставленными галочками напротив пунктов, которые надо бы реализовать.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>> конечно...
>>> Хотя проще и надёжнее, конечно, верить разработчикам OpenBSD на слово. Особенно после 
>>> их меткого и оперативного анализа уязвимости в реализации IPv6, найденной Core 
>>> Security. А также после виртуозной и безошибочной реализации W^X (об ошибках, 
>>> которых не было, естественно, публику никто не уведомлял - не было 
>>> ведь ;). После успехов этих замечательных людей на поприще ИБ, включая 
>>> взаимодействие с экспертным сообществом, лично у меня сложилось о них как 
>>> об экспертах однозначно положительное мнение. ;) Но главное - эти люди 
>>> надёжные, им можно верить. ;) 
>> А если без сарказма? И главное - если такой вот централизованный список

> Да я уже устал повторять. И не я один. В IRC эта 
> тема за последние несколько лет поднималась на разных каналах не один 
> десяток раз. В листах рассылки, вроде, тоже проскакивало. И все, кто 
> думал своей головой и не затыкал уши, выводы давно сделали.

> Суть в том, что разработчики OpenBSD отказались изучать возможности эксплуатации уязвимости 
> в коде IPv6 и объявили её DoS-уязвимостью. После чего Core Security 
> представила рабочий PoC-эксплойт.

> Это при том, что DoS-уязвимости не считаются опасными в OpenBSD, и заплатки 
> на них не анонсируются как обновления безопасности.

> Более того, в качестве меры защиты от эксплуатации Core Security предложила разработчикам 
> идею и предварительный патч в несколько срок, с примитивной реализацией W^X 
> для адра (аналог KERNEXEC на базе сегментов x86). Где W^X в 
> ядре? Где гарантии, что разработчики OpenBSD не проигнорируют уязвимости в будущем? 
> Где документация для проведения peer review с описанием принципов и путей 
> их реализации? Где, хотя бы, детальные комментарии в коде? Ничего нет. 
> Вы как хотите, а я таким экспертам доверять не стану.

>> будет опубликован, это ли не будет как раз "верить на слово", 
>> вместо того, чтобы самому смотреть детали?

> Лично меня интересует не список, а документация. Но нет даже списка, не 
> говоря уже о таблице с непроставленными галочками напротив пунктов, которые надо 
> бы реализовать.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру