Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов"	+/–
Сообщение от opennews (??), 13-Янв-23, 15:03
Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует  SOCKS4, поэтому проблема его не касается... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58473
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Анонимм (??), 13-Янв-23, 15:03	+4 +/–
Отличная опечатка! Тянет как минимум на премию от товарища майора
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #28

2. Сообщение от Аноним (2), 13-Янв-23, 15:04	+1 +/–
>Уязвимость вызвана ошибкой из-за которой проверка настройки SafeSocks при использовании SOCKS4 инвертировалась и защита не применялась в то время, как пользователь считал, что он защищён от утечек через DNS. Надеюсь, что швятой Раст спасет от этого Си-недоразумения, который позволяет делать логические ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (5), 13-Янв-23, 15:06	+/–
А у нас тор уже можно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #44, #46, #56

5. Сообщение от Аноним (5), 13-Янв-23, 15:12	+/–
Спасают только святые админы: https://wiki.gentoo.org/wiki/Tor#DNS_Resolver
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10

6. Сообщение от Аноним (6), 13-Янв-23, 15:12	+/–
Я вот тоже подумал найс дыра. С другой стороны, прикрываемся от мудаков владельцев сайтов, а не от провайдера днс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

8. Сообщение от Аноним (8), 13-Янв-23, 15:18	+/–
Спасибо дидам за cleartext в DNS-запросах.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #12

9. Сообщение от Аноним (9), 13-Янв-23, 15:19	+/–
а как надо было? и в новости написано, что владелец днса может там что-то сделать, как неклитекст поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (2), 13-Янв-23, 15:21	+/–
Кстати, о генту, говорят, что она последние годы загибается и ебилды стали ужасного качества. Это правда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #14, #16

12. Сообщение от Аноним (12), 13-Янв-23, 15:26	+/–
про шированный DNS слышал? DNS Over TLS называется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #60, #63

13. Сообщение от Аноним (12), 13-Янв-23, 15:26	+/–
И DNSSEC еще
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

14. Сообщение от Аноним (6), 13-Янв-23, 15:30	+/–
Кто говорит? Качество ебилдов и их гибкость определённо выросли за последние 15 лет, часть параметров конфигурационных скриптов по-прежнему приходится переопределять вручную. Не уверен вообще, что такая функциональность раньше была.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (5), 13-Янв-23, 15:51	–3 +/–
Многие крутые разрабы Gentoo взяли паузу "по семейным обстоятельствам". Пришедшая молодежь в сложной политобстановке не справилась. Раньше Gentoo работала как научный институт в области ИТ безопасности. Разрабатывала самые передовые технологии и вела за собой других. Не обновляли бездумно пакеты, а когда надо, форкали и поддерживали свои правельные версии. Сегодня под дывизом "апстрим знает как лучше надо и никогда не ошибается" натаскали всякое овно типа dbus, polkit+JS+JIT, systemd, ... А старые рабочие версии без овна с боем повыкидывали с портадж. Сегодня молодежь как дохлая рыбешка, плывет верхпузом куда несет течение. Аргументирую: Stage1, stage2 нет. Admincd на hardened технологиях нет. Масштабы деградации колосальны: Было: https://wiki.gentoo.org/wiki/Project:Hardened Стало: https://wiki.gentoo.org/wiki/Project:Security
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18

17. Сообщение от Аноним (17), 13-Янв-23, 15:53	–2 +/–
Это децентрализованная сеть, её невозможно полностью заблокировать, можно лишь сделать так, чтобы она работала хуже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #19

18. Сообщение от Аноним (6), 13-Янв-23, 16:18	+1 +/–
Hardened сдох сразу как grsecurity стал платным. О чём ты говоришь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20, #24

19. Сообщение от Аноним (19), 13-Янв-23, 16:21	+1 +/–
> Это децентрализованная сеть, её невозможно полностью заблокировать Ох уж этот Неуловимый Джо...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21

20. Сообщение от Аноним (6), 13-Янв-23, 16:32	+/–
Кстати, его остатки интегрировали в мейн.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31

21. Сообщение от Аноним (21), 13-Янв-23, 16:34	+1 +/–
Tor это не неуловимый Джо. Это тысячи неуловимых Джо. Причём, каждый месяц несколько десятков Джо уходят и на их место приходят новые. Даже если ты отловишь их всех, всё равно придут новые, тебе придётся за этим постоянно следить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #22, #36

22. Сообщение от Аноним (2), 13-Янв-23, 16:43	+/–
>Tor это не неуловимый Джо. Это тысячи неуловимых Джо Верно, Тор - это тысячи Неуловимых Джо и десяток входных/выходных узлов, которые держатся нужными людьми.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #34, #53

23. Сообщение от Аноним (6), 13-Янв-23, 16:48	+/–
Это не то, dnscrypt защищает днс траф, но провайдеры под колпаком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

24. Сообщение от Аноним (5), 13-Янв-23, 17:08	+/–
https://www.linux.org.ru/forum/linux-hardware/7895968?cid=16... Патчи PAX+GrSecurity бесплатны по условиям GPL-2, п. 2, ПП. Б !!! Зачем выкинули hardened ядро с портов и версии binutils, gcc которые его собирали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27

27. Сообщение от Аноним (6), 13-Янв-23, 17:18	+1 +/–
Угу, бесплатны. Гпл никогда не был бесплатным, он про право расшарить код. И оно у тебя есть, если ты купишь эти патчи. Только апдейт тебе не продадут больше, если расшаришь. Именно поэтому и выкинули. > которые его собирали в мейн всё интегрировали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #33

28. Сообщение от Аноним (29), 13-Янв-23, 17:21	+/–
Удачи ему конфиг где это вообще работает найти. Сейчас найти софт не умеющий socks5 - довольно необычно, и проблемы socks4 - мягко говоря экзотика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #50

29. Сообщение от Аноним (29), 13-Янв-23, 17:22	+/–
С еще более другой стороны, какого черта вы socks4 вообще в 2023 использовали? У вас что, программы socks5 не умели? Вы серьезно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #49

30. Сообщение от Аноним (30), 13-Янв-23, 17:24	–1 +/–
Тогда надо делать DNS of Blockchain
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #54

31. Сообщение от Аноним (5), 13-Янв-23, 17:25	+/–
Grsecurity продолжает развиваться теми же людьми: https://grsecurity.net/download KSPP хорошее начинание. Но: 1. не все фичи от PAX, GrSecurity интегрированы в ванильное ядро 2. некоторые из интегрированных фич реализованы в Linux неверно, их авторы не разобрались с патчами от GrSecurity: https://grsecurity.net/10_years_of_linux_security.pdf
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32

32. Сообщение от Аноним (6), 13-Янв-23, 17:32	+/–
Я про project hardened, он никому не интересен без grsecurity. Не все фичи интегрированы в ядро, поскольку у авторов диаметрально противоположные представления о том, как ПО должно работать. Наиболее полезные вещи утянули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #70

33. Сообщение от Аноним (5), 13-Янв-23, 17:35	+/–
> Гпл никогда не был бесплатным, он про право расшарить код. И оно у тебя есть, если ты купишь эти патчи. Только апдейт тебе не продадут больше, если расшаришь. Именно поэтому и выкинули. Еще разок, все программы лицензированные под GPL-2 и ВСЕ их производные, патчи к ним - бесплатны по условиям GPL-2 пункт 2, подпункт Б. GrSecurity не имеет прав брать деньги за патчи к ядру Linux распространяется под GPL-2 и каким либо образом ограничивать распространение патчей. > в мейн всё интегрировали Разрабы ядра Linux участвовавшие в KSPP не поняли даже сути многих технологий безопасности используемых в PAX & GrSecuroty, по этому то что они "наинтегрировали" не защищает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #35

34. Сообщение от Аноним (5), 13-Янв-23, 17:43	–1 +/–
> которые держатся нужными людьми. В РФ сабж уже можно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #38

35. Сообщение от Аноним (6), 13-Янв-23, 17:45	+/–
Вирусная лицензия это хорошо, но обновлять и развивать патчи ты дальше будешь самостоятельно. Ты готов, у тебя есть такая квалификация? >не поняли даже сути многих технологий Я не говорил про ядро, не возьмусь судить, но патчи grsecurity были местами довольно неадекватные по части фич так точно. А насчёт "не защищает", оригинальный проект так-то тоже работает только пока ты Неуловимый Джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #65

36. Сообщение от rshadow (ok), 13-Янв-23, 18:40	+1 +/–
> если ты отловишь их всех, всё равно придут новые Это так не работает. Запретить, сделать пару показательных судов и все само рассосется. Никто не будет сидеть в тюрьме за то чтобы ты мог что-то анонимно скачать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #55

38. Сообщение от X86 (ok), 13-Янв-23, 20:17	+/–
А что нельзя то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #64

44. Сообщение от AKNOR (?), 13-Янв-23, 21:38	+/–
Уже сложно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

46. Сообщение от user (??), 14-Янв-23, 00:36	+/–
Да, 29.5.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

47. Сообщение от user (??), 14-Янв-23, 00:38	+/–
Для защиты детей от псевдозаботы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

48. Сообщение от Тот_Самый_Анонимус_ (?), 14-Янв-23, 04:50	+/–
Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #68

49. Сообщение от Аноним (49), 14-Янв-23, 05:21	+/–
Протокол socks5 так себе апгрейд. Ради чего он был сделан почти никогда не используется. А именно - авторизация. Как и биндинг портов на удаленном сервере. Для задачи соединения на такой-то хост 4а и 5 функционально идентичны, но 4а проще и эффективнее. В 4а нужно всего один раз в сокет записать, а в 5 отдельный хендшейк и нужно проверять статус коды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #51

50. Сообщение от Аноним (49), 14-Янв-23, 05:24	+/–
Реализация 4а - это одну структуру в сокет послать и прочитать код ответа. В отличие от 5, где никто и никогда не реализует полную спецификацию. Все используют socks5, но в сценарии, в котором справился бы 4а. Так уже сложилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #52

51. Сообщение от Аноним (-), 14-Янв-23, 09:38	+/–
Нормальный апгрейд. Позволяет имена хостов сразу отдавать, а не через джеппу. Так что DNSопроблемы радикально отваливаются. А авторизация в случае сабжа... позволяет тору внезапно разделять потоки от разного софта, понимая что изолировать по разным цепочкам. В общем применительно к использованию tor стоит просто запомнить что socks4 маздай и забыть про него. А маздай он потому что работать с именами хостов нормально толком не умеет. Если конечно легитимно конектиться к только айпишникам, и никакого ресольва не требуется... но это очень вольное допущение. А иначе оно вон тем постепенно воздается. В случае сокс5 тор сразу именем хоста оперирует и ресольв этой штуки в конечном итоге проблемы exit node.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #62

52. Сообщение от Аноним (-), 14-Янв-23, 09:39	+/–
Как бы вам сказать? Срезание углов и безопасность живут по разную сторону улицы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от Аноним (-), 14-Янв-23, 09:41	+/–
> десяток входных/выходных узлов, которые держатся нужными людьми. Узлов там так то сильно более десятка, поэтому они держатся много кем. А тор еще и придирчив на тему выбора узлов в цепочках, так что вот именно удобно развесить имено всю цепочку на правильные хосты тот еще гимор. В целом масс шпионаж за Джо портится. А если кем-то прицельно уже заинтересовались, ну, э, ой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

54. Сообщение от Аноним (-), 14-Янв-23, 09:43	+1 +/–
Поздравляю, ты только что изобрел namecoin. Првда, кажется, его авторы сперли твою идею и даже воспользовались для этого машиной времени...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

55. Сообщение от Аноним (-), 14-Янв-23, 09:45	–1 +/–
Одно рассосется, другое появится. Вон революционеров вообще по каторгам таскали. В количестве сильно более пары. И как, помогло оно жандармам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #57, #61

56. Сообщение от faa (?), 14-Янв-23, 10:40	+/–
Сайт Torа разблокирован.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

57. Сообщение от rshadow (ok), 14-Янв-23, 17:54	–1 +/–
Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла. Что бдет дальше не понятно. Одно радует что физиков пока особо не трогает государство. "необязательность исполнения" работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #69

60. Сообщение от Аноним (19), 14-Янв-23, 23:27	+/–
> про шированный DNS слышал? шированный?! И чем надо ширнуться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

61. Сообщение от Аноним (19), 14-Янв-23, 23:33	+1 +/–
> по каторгам таскали та каторга больше на курорт за счёт государства походила.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #67

62. Сообщение от Аноним (49), 15-Янв-23, 13:09	+/–
Я писал клиенты и серверы под этим протоколы, и много использовал разные решения для них. Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского дизайна времён доткомов, который по какой-то причине стал стандартом. Любой средней руки программист может за вечер создать протокол лучше. HTTP CONNECT и то лучше, чем socks5. Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу. То что в 4а хост передается в не предназначенном для этого поле - совершенно пофиг. Технически происходит все то же самое, что в 5, только проще. В реальности 5 полезен только поддержкой ipv6. До которой никому как не было дела, так и нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #66

63. Сообщение от Аноним (49), 15-Янв-23, 13:11	+/–
Шифрованный днс от провайдера типа Амазона или Клаудфлейр. Кому надо, все видят ваши запросы открытым текстом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

64. Сообщение от Аноним (70), 16-Янв-23, 15:42	+/–
Разве год назад не запретили анонимные сети?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

65. Сообщение от Аноним (70), 16-Янв-23, 15:54	+/–
> Вирусная лицензия это хорошо, Лицензия защищает свободу распространения открытого ПО! > но обновлять и развивать патчи ты дальше будешь самостоятельно. Ты готов, у тебя есть такая квалификация? Почему самостоятельно? Мне ОБЯЗАНЫ и следующую версию бесплатно отдать! > патчи grsecurity были местами довольно неадекватные по части фич так точно. Тыкни пальцем конкретно: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri... > А насчёт "не защищает", оригинальный проект так-то тоже работает только пока ты Неуловимый Джо. Grsecurity работает все как надо. А в Linux некоторые "портированные" фичи работают некорректно, дыры не закрывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

66. Сообщение от Аноним (-), 16-Янв-23, 16:27	+/–
> Я писал клиенты и серверы под этим протоколы, и много использовал разные > решения для них. В этом твоя проблема и состоит. Ты решил сэкономить на кодинге ценой всего остального. В секурити за такое воздается. > Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского > дизайна времён доткомов, Проблемы господ которые хотят пернуть в сокет как можно проще, и озадаченные только упрощением кодинга, забив на статус операции, рассматривать в контексте секурити крайне не умно. > протокол лучше. HTTP CONNECT и то лучше, чем socks5. Внезапно tor и это умеет. Но на обычном прокси это ведет к риску утечки хттп реквестов. > Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу. Поэтому отдельные неудачники е...ся конем с NTLM костылями, замечательно просто. > 5, только проще. Простота она хуже воровства... особенно в секурити, и там где экономия боком выходит. > В реальности 5 полезен только поддержкой ipv6. Там еще UDP так то есть. Tor'у он понятное дело не актуален. > До которой никому как не было дела, так и нет. Вот вас забыл спросить до чего мне дело есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #76

67. Сообщение от Аноним (-), 16-Янв-23, 16:30	+1 +/–
> та каторга больше на курорт за счёт государства походила. Ну если это курорт то живете вы наверное в окрестностях замка саурона, не меньше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

68. Сообщение от Аноним (-), 16-Янв-23, 16:32	+/–
> Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили. Назвать вон то бэкдором можно только с жесткого перепою, ничерта не разбераясь в сетях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

69. Сообщение от Аноним (-), 16-Янв-23, 16:37	+/–
> Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла. > Что бдет дальше не понятно. Ну так прошареный народец, вот им как раз видимо понятно. Потому и. > Одно радует что физиков пока особо не трогает государство. "необязательность исполнения" > работает. Видимо не до того майорам ща видимо. Как и остальным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

70. Сообщение от Аноним (70), 16-Янв-23, 17:47	+/–
> project hardened, он никому не интересен без grsecurity https://wiki.gentoo.org/wiki/Project:Hardened "Hardened Gentoo's purpose is to make Gentoo viable for highly secure, high stability production server environments." И действительно, никому сегодня безопасность и стабильность уже не нужна. Патчи ядра Linux от GrSecuroty дают очеь много для безопасности. Время будет свяжусь с их разрабом. А SeLinux почему забросили? Integrity и то застопорилось, хотя в GRUB2 и ванильном ядре Linux все уже как 10 лет есть. Воспроизводимость сборок тоже стоит прикрутить. Лет 15 назад, когда начали херить Linux меня спрашивали, а не сделать ли ещё одну ветку: кроме стабильной (amd64) и тестовой (~amd64) ввести ещё супер стабильную и безопасную. Тогда замялся. А сегодня жалею. Имели бы щас веточку без dbus, polkit, systemd... и с KDE3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #71, #72

71. Сообщение от Аноним (6), 16-Янв-23, 18:01	+/–
А что selinux? Я же сказал, все наработки интегрировали в мейн. Тот проект всегда бы экспериментом, в том, что его свернули, нет ничего страшного, это логическое завершение. Ты просто не понимаешь, о чём говоришь. Какая ещё супер стабильная и безопасная ветка? Достаточно того, что баги с уязвимостями и так долго остаются не исправленными на стабильной ветке (их исправляют в тестовой), а по-настоящему проблемные патчи и апдейты одновременно с этим пропихивают в стабильную ветку (и оперативно сносят рабочие ревизии ебилдов). Тестовую ветку засирают намного чаще конечно, так было всегда -- если ты не вовремя обновишься, ты словишь все прелести криворукости мейнтейнеров. Но это вообще не о том. То, что ты хочешь, реализуется профилями, и да, есть профили с hardened и selinux и сегодня, но по-сути это просто набор дефолтных юзов, замаскированных пакетов, параметров сборки, и так далее. Всё то же самое и лучше можно реализовать руками, например, я не согласен по части решений и применяю свои настройки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #73

72. Сообщение от Аноним (6), 16-Янв-23, 18:03	+/–
И вот уж кде "безопасен", да уж… Особенно с HAL и FAM, угу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

73. Сообщение от Аноним (70), 16-Янв-23, 18:26	+/–
Политики SeLinux всегда были в портадж. Лет 15 назад Gentoo имело свои политики. А сегодня? Тащут с федорки. Hardened профили gentoo были стабильны. Супер стабильная и безопасная ветка необходима. Вернуть туда hardened-source и компиляторы ко орые умеют его собирать. Прочий нужный софт. Аудитить в ней код. Всегда использовал родные профили hardened раньше ещё с selinux, плюс свои настройки. Вопрос: какие кеды безопаснее 3 или 5? Я за 3. Мне системы с init нравились больше. Hal не проблема если есть integrity при доступе. Виря в скрипты не зауунуть. И все работало корректно, по всем правилам и кретериям безопасности: https://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #74

74. Сообщение от Аноним (6), 16-Янв-23, 19:04	+/–
10 лет назад и мультилиб был блобами. Генту очень выросла за это время, но увеличение сложности означает и увеличение нагрузки на сопровождающих, которых вечно недостаточно. Кто будет заниматься всеми этими экспериментами? Вот есть cloveros, там ребята решают те же задачи которые одно время решал для себя я. Есть проект gentoolto, где ребята ходят по тем же граблям, по которым я ходил до них. Генту это мета-дистрибутив, что хочешь, то и собирай. Если никто не делает стабильную hardened сборку с grsecurity и всем остальным, значит, просто нет заинтересованных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #77

76. Сообщение от Аноним (49), 17-Янв-23, 09:39	+/–
Более простой код всегда более безопасный. Меньше кода и неиспользуемых особенностей - больше безопасности. Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему понадобится целый день. Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то что-то может из нее почерпнуть. С вами мне особо нечего обсуждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #78

77. Сообщение от Аноним (77), 18-Янв-23, 18:16	+/–
Продолжаю сидеть на Hardened Gentoo, поддерживаю оверлей с gcc, binutils, ..., ..., собираю ими hardened-source и всю систему, без systemd, dbus, polkit, JIT, ..., ... и прочей дряни. Даже воспроизводимость себе запилил: https://www.linux.org.ru/forum/admin/16136554?cid=16150302 https://www.linux.org.ru/forum/admin/16136554?cid=16151597 Вот только системный портадж не обновляю много лет из-за dbus... В очередях софт чуть шевелю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

78. Сообщение от Аноним (-), 18-Янв-23, 20:06	+/–
> Более простой код всегда более безопасный. Верно только до известного предела. Давайте крипто уберем? А чо, пусть пароли по воздуху прям так летают. Безопаснее же станет. > Меньше кода и неиспользуемых особенностей - больше безопасности. Простите, вы хотите по факту работать с прокси - но при этом класть на статус операций прокси и их обработку? Это вот когда бы такое вело к чему-то позитивному в безопасности? > Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему > понадобится целый день. Зато не будет на статус операций забивать и не прострелит себе пятки. Тем более что для работы с тором не обязательно реализовывать продвинутости. > Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то > что-то может из нее почерпнуть. Она аргументирована, но, имхо, ни к чему хорошему не ведет. > С вами мне особо нечего обсуждать. Как угодно но я пользуюсь сабжем и софтом через него. И все это случается через сокс5. Вот в том числе и во избежание вон тех факапов. А также общей дебагабельности сетапа, видите ли, в сложной сетевой конфиге нормальная реакция софта на ошибки еще и позволяет понимать что не так. Как это делать в вон том подходе - я без понятия, удобных способов не вырисовывается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема