> Вы давно видели NT Server ? сдается мне что не видели вообще. Видел, видел. Это был NT 4.0 на аж целом пентиум2-233, 32Mb RAM. По тем временам это было неимоверно круто. Кстати тогда MS больше полезного делал и меньше гадил пользователям. И именно тогда и завоевал популярность. А вот потом - скурвился. Конкретно так. Особенно начиная с XP и далее - пошло по нарастающей. Онлайн активации всякие с доказательством что не верблюд, подписи на драйвера, потом вообще "секур" бут. Ну да, утекает понемногу монополия сквозь пальцы, т.к. започивали на лаврах. Вот и приходится приматывать юзерей проволокой и скотчем. А раньше вот не требовалось что-то. Так, на подумать о what's going up.
> Давайте тогда вспомним ping of death для линухового ядра?
О, целый один баг за хренову кучу лет. А LSASS ломали наверное не менее дюжины раз различными подвидами по сути одной и той же заразы. При том традиционно - от винтукея (а то и NT4) до семерки. Сплошняком. Что как бы намекает на то сколько модификаций между версиями систем было. Единственное что по крупному передедали например в ядре - в висте и новее изменили работу видеодрайверов и сгородили "защищенные" процессы. Ну и конечно же все эти изменения - чтобы DRM (то котрое про управление ограничениями) понадежнее было. Вы себе не представляете как мне надо такие изменения в системе. Вам такие ченжлоги надо? Вот вы этим и пользуйтесь! А мне не требуется максимально бастардизированная против пользователя система, извините. В процессе у проприерасов резко поглючнели видеодрайвера. На висте был вообще пэ - там вендоры в пожарном порядке их переписывали. Последствия тем не менее икаются до сих пор в виде странных локапов графической подсистемы при тех или иных вроде бы безобидных операциях.
И да, я что-то не помню чтобы перед ядерщиками надо было 5 лет волком выть как в ситуации с автозапуском, задолбавшей вообще всех.
> Была далеко не одна уязвимость когда ядро линуха валилось или эксплуатировалось
> при помощи простых пакетов переданых по сети.
Тем не менее, я даже не могу припомнить за последнее время сколь-нибудь заметных грабель в TCP/IP стеке линя за последние ... ну лет 5 точно. А вон в винде не так давно только законопатили выполнение кода с правами ядра при отсылке UDP пакетов на закрытый (!!!) порт. Вот это я понимаю - убедительная дырка.
> Значит ли это ядро линуха - потенциально бажное?
Любая программа такого размера и сложности - потенциально бажная. Те кто говорит иначе - или добросовестно заблуждаются, или что хуже, пытаются выдавать желаемое за действительное.
Тем не менее, при своем размере кода и фичности, линевое ядро - на редкость стабильная штука и не так уж и богато на реально крутые баги, которые позволили бы раздолбать именно ремотно, по сети, без авторизации (что для винды является совершенно типовой ситуацией, достаточно иногда читать описания апдейтов, бэть). По поводу чего я в целом имею основания считать что там качество кода в среднем может заткнуть за пояс многих других, в том числе и всяких неуловимых Джо, пытающихся тут гарцевать.
> Каждые 2 недели выходит бюлютени в которых перечислены 2-3 дырки в разных версиях ядер у Linux.
Ну а в винде ежемесячно приезжает стопарь обновлений, каждое второе из которых рассказывает о том что "remote attacker" .... "could compromise system", блаблабла. Мне такое описание, скажем прямо, не нравится. Это не какой-нибудь локальный подъем прав. Это как правило именно ремотно эксплуатируемая дырка. При том это приезжает только для того что мс считает ос или своими продуктами. А остальное - изволь мониторить сам, дорогой пользователь. А если учесть что каждая прога еще и прет с собой свою копию библ и не факт что автор проги спец по секурити и мониторит ситуацию, а у проги вообще есть апдейтер... ну в общем в винде до сих пор можно при желании найти программы с дырявым zlib, libpng и чем там еще, по которым можно долбануть сплойтом. Мне такой подход к работе с библиотеками опять же не нравится, увы и ах. Я считаю что это создает чрезмерно большой оверхед на админа если тот хочет содержать системы в обновленном состоянии без известных дыр в ВСЕМ софте и библах.
> Ох. Вам напомнить ситуации когда дыры в ядре Linux не фиксились 2-3 года ?
На фоне просьб отключить долбаный авторан с флешек >5 лет - не так уж и страшно смотрится, между прочим. Как видите, может быть и хуже. Вообще, виндоусом я пользовался много и имел возможность сравнить. Собственно, виндоусом "фанатик линукса" пользовался дольше чем линуксами. Когда-то мне это нравилось. До винтукея примерно. А потом MS скурвился. И вместо технических преимуществ стал давить массой. С понятным результатом.
>> знает откуда. Это просто ведет к общей завирусованности машин.
> Уже давно - стоит подпись пакетов.
Во первых, подпись там все-таки опциональна, при ее отсутствии достаточно 1 кнопочку нажать. Что делает процесс залета быстрым и ненапряжным.
Во вторых, сами "пакеты" слова доброго не стоят. MSI инсталлеру лет не меньше чем остальным пакетным менеджерам. Но если сравнить - он такое убожище, что просто слов нет. Ни вам трекинга зависимостей. Ни вам скачки shared/redistributable компонентов из репов нормальной. Ни вам внятной возможности культурно ставить сторонние компоненты. Механизм роллбэка? Хотели как лучше. Получилось как всегда - он довольно часто загоняет сетапер в режим когда ни откатить, ни доехать до финиша. Наступает ж**а! После этого в систему вообще никакой msi-based софт ни поставить ни снести, как это чинится - а черт знает. Я это лечил гильотиной - откатом на снапшот. Как это хомяки на железных машинах лечат - понятия не имею. Сам MSI - жутко тормозной. К неинтерактивной установке он крайне враждебен. Точнее, если сетаперский програмер явно не подложит костылей - софт в неинтерактивном режиме ставится абы как. Или точнее, чаще всего не ставится. Так что групповой инсталл по политикам AD и прочая развлекуха - конкретный такой прон. Виндузятники всегда этим бряцают. И всегда забывают уточнить насколько паршиво это работает. Половина программ таким манером в принципе не инсталлябельна.
Кроме того - виндус апдейтер класть болт хотел на обновления чужих программ. Так что процветает смесь пофигизма одних авторов и зоопарка из дюжин апдейтов других авторов. Очень удобно, блин, когда в системе не один апдейтер а два десятка. И все-равно апдейтится только половина программ. В результате апдейт софта превращается в полное порно. Ну или сиди с дырками на выбор. Пфф.
> появилось примерно в тоже время когда это добавили в RPM.
А толку? RPM или DEB реально упрощают администреж системы и берут на себя типовые проблемы. А MSI только головняк создает в оснвном. Вы знаете, я очень плотно работал с парнями которые MSI "пакеты" как раз пекут. От них слышно в основном или отборный мат в адрес MS, или снисходительное "ну вы понимаете, это же майкрософт...". Просто потому что делать сетаперы в MSI это очень утомительная и грабельная работенка, скажу я вам. Создание пакетов под линуксные системы на фоне этого - так, легкая разминка.
> при этом поставить пакет в систему на linux - весьма не сложно.
> а у пользователя каталоги ~/bin вполне себе в PATH.
И? Так что вам не нравится? Не понимаю. Как по мне - хоть я и не жалую PRM, но выбирая между RPM и MSI я лучше уж с редхатовским барахлом буду иметь дело чем с MSI. Тот намного ужаснее. Хотя в целом - yum весьма мерзкая тормозилка на питоне. У дебиан-образных пакетный менеджер явно приятнее на мой вкус.
> Ох. Вы сильно удивитесь если я скажу что это было и в
> Linux - во всяком случае в KDE?
Там сколько я себя помню, подтверждение спрашивали. Как минимум в 3-м и 4-м кде подтверждение на выполнение операции было. И это подтверждение уж точно сделали раньше чем его сделал MS. Они это сподобились на это только в висте сделать и несколько позже (чтобы дать висте фору в продажах) - в SP для XP очередном. А до тех пор вирус просто моча запускался и натягивал систему. А т.к. юзер в винде обычно админ...
> Сломать Windows когда пользователь сидит рутом - просто, но достаточно просто заходить
> от гостя, и я сомневаюсь что вы настолько легко все сломаете.
Смотря что понимать под "сломаете". Сканы сети проводить по мелочи можно и из гостя. Какая нафиг разница? А вот повседневно юзать винду под не-административным юзером крайне геморно. Потому что половина софта не работает или работает глючно. Вот MS и начал городить какие-то адовы костыли с виртуализацией путей доступа и редиректом записи в скрытые папки, админом который не совсем админ и прочим бредом. Лишь бы не строить апликушников до состояния когда софт сможет работать без административных прав. Как это уже сто лет в *никсах есть и работает. Тем более что система прав NT все это позволяет. Но на нее апликушники долго клали с прибором, ибо win9x ее не умела совсем никак. В общем и тут MS себе пятки прострелил. Загадив неплохие изначально концепции.
>> Если выставить любую иную систему в сеть с кренделями вида admin/admin
>> - она тоже будет довольно быстро поломана.
> тоже самое - если под виндой не сидеть под админом, или использовать
> "запустить как" - это сложно сломать.
Что значит - сложно? Ну, я создам сокет и просканирую чей-то айпи. Все, я "сломал" систему - она делает то же что и "сломанный" линукс. Буахахаха :). На это даже у непривилегированного юзера прав хватит. А вот юзать софт под таким юзеров в винде очень грабельно оказывается. Вы реально пробовали? Я - да. А UAC только добавил глюков, т.к. если в *никсах программе пофиг как и кто ее подкинет в правах, то в винде MS это показалось слишком уж простым и очевидным. Поэтому программа должна явно знать о том что такое UAC. И если ее не переписали - вот тут вас ждет большой прикол. Она не сможет попасть в половину дир даже если сильно надо. Вот это я понимаю - сделали максимально через зад. Зачем-то изломав и закостылив вполне стройную и работоспособную систему прав NT которая в таких адовых костылях изначально в общем то и не нуждается. Вообще, представляете себе дописывание каждой апликухи и демона под штуки типа sudo? Это ж маразм полный!
> При этом то что не использовалось это - это проблемы пользователя - а не системы.
У той системы своих проблем хватает. О них говорить можно долго. Но я уже сказал наиболее доставшее. И поскольку я более не планирую пользоваться упомянутым типом систем, не вижу смысла продолжать. Кстати если что - я умею админить винды на уровне нормального энтерпрайзного админа AD и даже более. Но умею != хочу иметь дело с оными. Так что если вы хотите рассказать мне о винде - ну, попробуйте. Посмотрим кто, что и кому расскажет.
> А вы знаете - очень часто ваши собратья бабуины из лагеря Linux
> тыкают в проблемы Windows смешивая 2 понятия - проблемы системы, и
> проблемы бабуинов которые ставят эту систему и эксплуатируют.
Как бы надеяться на то что пользователь будет титаном мысли - не приходится. Поэтому факоффы за кривые дефолты едут и майкрософту и тем бабуинам которые образ для роутеров билдовали. Что вам не нравится то? У кого кривые дефолты - тем и факоффы. Вроде честно все.
> Поверьте - один раз хорошо поставленая Windows может работать годами и никаких
> вирусов, троянов и тп..Просто один раз настроено.
Просто это будет жутко геморно и потребует много возни. Я в курсе как это делается и прочая. И я как-то так обнаружил что допинать до эквивалентного состояния мой десктоп может быть В РАЗЫ ПРОЩЕ если там будет стоять пингвин. Один только пакетный менеджер экономит мне время просто сказочно. А еще там можно вкатить кучу хидеров/либ что полезно при написании программ. Или например при кастомной работе с usb-девайсами через libusb пингвин ведет себя куда приятнее чем винды постоянно трындящие "дайте драйвер!ой дайте! Ой, а давайте поищем!" (да где ж я его на кастомную железяку возьму? libusb для того и нужен чтобы не влетать на написон ядерного драйвера).
> А вам приплитили за обсирание всего?
Я просто попробовал так и сяк и сделал выводы как мне больше нравится. Правда просто?
> вам не смешно - говорить сначала о "Windows вообще" смешивая проблемы настройки
> пользователей и потом пытаться отмазаться - что идиотские дефолты это не проблемы Linux вообще?
Нет, мне не смешно. В винде дефолты может задавать только майкрософт и более по сути никто. Модификация системы вообще явно запрещена лицензией. Поэтому весь спрос насчет дефолтов только с MS. В лине дефолты задает тот кто билдил окончательный образ. И спрос соответственно с него. Вроде бы простая логика - предъявлять за кривые дефолты тому кто их выставил. А не каким-то абстрактным "виндам" или "линуксам".
> между прочим очень не плохо ориентируется в том балагане который называется Linux kernel.
А ваш оппонент между прочим неплохо ориентируется в винде. И смеет заверить что там такой балаган что на пять линуксов хватит. А, да, если я не говорил - самый цирк с конями это как индусы из редмонда баги пытаются локализовать и чинить. Вот это реально лулзовый процесс. И да, а еще я пробовал репортить MS баги. Обнаружил что фиг доорешься, а если и доорешься - всем пофигу. С другой стороны, несколько "моих" багов в линевом ядре - успешно пришлепнули. Такая хренота. Ну а соотношение efforts/results я прикинуть в состоянии.
