The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз OpenBSD 6.4, OpenSSH 7.9 и LibreSSL 2.8.2

19.10.2018 23:16

В соответствии с релизным циклом вышла новая версия операционной системы общего назначения OpenBSD 6.4. Самые примечательные изменения в новой версии:

  • Множество добавлений для платформы arm64;
  • Улучшения в удобстве использования Wi-Fi;
  • Продолжение работы над избавлением сетевого стека от использования глобальной блокировки ядра;
  • Cистемный вызов unveil(), который предоставляет новый способ изоляции доступа к файловой системе;
  • Механизм защиты RETGUARD, нацеленный на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования;
  • Переработка синтаксиса OpenSMTPD для значительного увеличения гибкости не в ущерб удобству;

К сожалению, полагающаяся песня к моменту релиза ещё не была готова, анонс будет произведён отдельно.

Список изменений:

    Улучшения в области безопасности:

    • Новый системный вызов unveil(2) для ограничения доступа текущего процесса к файловой системе путём задания списка используемых файлов и каталогов. Наибольший эффект достигается в сочетании с pledge(2).
    • Реализована опция MAP_STACK для mmap(2). При возникновении ошибок доступа и системных вызовах ядро будет проверять, что верхушка стека находится в отведённой ей (с участием MAP_STACK) области памяти, что мешает атакам, переносящим верхушку стека в контролируемую атакующим область памяти (stack pivot attack).
    • Новый защитный механизм RETGUARD (для платформ amd64 и arm64), использующий индвидуальные для каждой функции cookie для защиты доступа к командам возврата из функции, что затрудняет их использование в качестве ROP-гаджетов.
    • В clang(1) на amd64 и i386 добавлен проход по коду с идентификацией типичных полезных для ROP-гаджетов инструкций и заменой таких инструкций альтернативами.
    • Защита от Spectre v2, Retpoline, включена в clang(1) и ассемблерных файлах на amd64 и i386.
    • Механизм защиты SpectreRSB включён на amd64.
    • Также для amd64 добавлена защита Intel L1 Terminal Fault.
    • PCID, при их наличии, используются на amd64 для разделения пользовательских и ядерных записей TLB.
    • Защита от Meltdown добавлена для i386.
    • На amd64 теперь используется немедленное переключение контекста FPU для предотвращения утечки состояния FPU из-за спекулятивного выполнения.
    • Фальшивая многопоточность (SMT, в случае с процессорами Intel называется HT — HyperThreading) отключена по умолчанию из-за небезопасного использования ядер ЦП. Она может быть включена обратно с помощью новой переменной sysctl(2) hw.smt.
    • Запись звука по умолчанию глобально отключена (имитируется запись тишины) и может быть включена с помощью новой переменной sysctl(2) kern.audio.record.
    • getpwnam(3) и getpwuid(3) возвращают теперь указатель не на статичный буфер, а на явно выделяемую память, позднее освобождаемую. Это позволяет детектировать доступ к устаревшим записям.
    • sshd(8) получил дополнительную защиту от атак на перебор названий учётных записей.

    Улучшения гипервизора vmm(4) и соответствующего сервиса vmd(8)

    • Поддержка образов дисков и снимков состояния (snapshots) в формате qcow2.
    • Поддержка шаблонов виртуальных машин и наследования в vm.conf(5) и vmctl(8).
    • Добавлена начальная поддержка unveil(2) в vmctl(8), заодно произведена общая чистка кода данной утилиты.
    • Различные исправления ошибок и улучшения.

    Улучшения в стеке IEEE 802.11 (Wi-Fi)

    • Новая команда «join» в ifconfig(8) для сохранения списка известных сетей и автоматического подключения к ним.
    • Значительно увеличена скорость работы команды «ifconfig scan» для многих устройств.

    Общие улучшения сетевого стека

    • В trunk(4) добавлены опции для настройки режимов работы, таймаутов и приоритетов.
    • В ifconfig(8) добавлена возможность настройки параметров trunk(4) (см. выше).
    • Системные вызовы sendmsg(2), sendto(2), recvfrom(2) и recvmsg(2) работают без глобальной блокировки ядра (KERNEL_LOCK).
    • Новые глобальные счётчики IPsec, доступные через netstat(1).
    • Новый интерфейс eoip(4) для протокола инкапсуляции MikroTik Ethernet over IP (EoIP).

    Маршрутизация и другие улучшения сетевого стека в пользовательском пространстве:

    • ospf6d(8) теперь может устанавливать метрику маршрута в зависимости от состояния интерфейса.
    • ospf6d(8) теперь может работать в альтернативном домене маршрутизации.
    • ospf6d(8) теперь использует pledge(2).
    • ospfd(8) и ospf6d(8) теперь защищены от многократного запуска в одном домене маршрутизации.
    • slaacd(8) теперь полноценно использует pledge(2).
    • slaacd(8) теперь получает от ядра уведомления о дублировании сетевых адресов, и по возможности генерирует новые.
    • Когда slaacd(8) обнаруживает переход между сетями, он отмечает как устаревшие все сконфигурированные сетевые адреса. Предпочтение получают адреса с новыми анонсированными префиксами.
    • Новый сервис, rad(8), пришедший на замену rtadvd(8) (часть проекта KAME), для отправки сообщений IPv6 Router Advertisement.
    • Анахронизм networks(5) более не поддерживается.
    • Улучшена надёжность и предсказуемость поведения парсера pfctl(8) в крайних ситуациях.
    • route(8) теперь сообщает об ошибках использования «-netmask» и «-prefixlen» вместо конфигурирования непонятных маршрутов.
    • dhclient(8) теперь добавляет прямой маршрут к шлюзу по умолчанию, если он не доступен в рамках полученных сетевых адреса и маски.
    • dhclient(8) теперь обновляет dhclient.leases(5), resolv.conf(5) и все отмеченные ключом «-L» файлы до ухода на задний план и возвращения управления вызывающей программе (скрипту).
    • Опция «-i» в dhclient(8)] теперь отбрасывает любые ранее определённые значения для отмеченных к игнорированию опций.
    • Любое изменение на любом интерфейсе теперь побуждает dhclient(8) соответствующим образом обновить resolv.conf(5).
    • dhclient(8) теперь всегда записывает идентификатор клиента, использованный для получения lease, для лучшей совместимости с RFC 6842.
    • dhclient(8) теперь имеет опцию «-r» для прекращения работы с освобождением текущей lease.
    • dhclient(8) теперь избегает некорректной модификации resolv.conf(5) путём игнорирования dhclient.leases(5) для интерфейсов, не умеющих сообщать о наличии связи.

    Улучшения в установщике

    • installurl(5) по умолчанию получает значение «cdn.openbsd.org», если зеркало не было выбрано явным образом при установке ОС. Благодаря этому pkg_add(1) и syspatch(8) работают «из коробки» в таких случаях.
    • DUID можно использовать для ответа на вопрос "Which disk is the root disk?" при обновлении системы (актуально при автоматическом обновлении).
    • Установка согласно diskless(8) может производиться через интерфейсы, сконфигурированные dhclient(8).
    • disklabel(8) теперь создаёт раздел /usr/obj размером минимум 5ГБ при использовании автоматической разметки.
    • disklabel(8) теперь создаёт раздел /usr/local размером не более 20ГБ при использовании автоматической разметки.

    Улучшения в поддержке оборудования

    • Поддержка ACPI на платформе arm64.
    • Обновлён драйвер radeondrm(4) до соответствующего Linux 4.4.155, что принесло поддержку modesetting для APU KAVERI/KABINI/MULLINS и GPU OLAND/BONAIRE/HAINAN/HAWAII.
    • Также radeondrm(4) теперь поддерживается на arm64.
    • Новый драйвер umt(4) для сенсорных экранов, соответствующих стандарту USB Windows Precision Touchpad.
    • Новый драйвер bnxt(4) для карт Broadcom NetXtreme-C/E (PCI Express) на базе чипов Broadcom BCM573xx и BCM574xx. Драйвер изначально включён для платформ amd64 и arm64.
    • Новый драйвер mue(4) для гигабитных Ethernet-устройств Microchip LAN7500/LAN7505/LAN7515/LAN7850 (USB 2.0) и LAN7800/LAN7801 (USB 3.0).
    • Новый драйвер acpisurface(4) для поддержки ACPI на ноутбуках Microsoft Surface Book.
    • Новый драйвер agintcmsi(4/arm64) для ITS-компонентов ARM GIC.
    • Новый драйвер dwpcie(4) для PCIe-контроллеров Synopsys Designware, встречающихся на различных SoC.
    • Новый драйвер acpipci(4/arm64) для мостов хост-PCI, информация о которых берётся из ACPI.
    • Новые драйвера mvclock(4), mvgpio(4), mvicu(4), mvrng(4), mvrtc(4) и mvtemp(4) для различных компонентов SoC Marvell Armada.
    • Новые драйверы hiclock(4), hidwusb(4), hireset(4) и hitemp(4) для различных компонентов SoC HiSilicon.
    • Новые драйверы ccp(4) и octcrypto(4/octeon) для аппаратной акселерации криптографических операций.
    • Новые драйверы ccpmic(4) и tipmic(4) для управления питанием на Intel Crystal Cove и Dollar Cove TI.
    • Новый драйвер imxrtc(4) для часов реального времени (RTC), интегрированных в процессоры Freescale i.MX7 и i.MX8.
    • Новые драйверы fanpwr(4) для регуляторов напряжения Fairchild FAN53555 и Silergy SYR827/828.
    • Новый драйвер pinctrl(4) для единого мультиплексирования pin.
    • Новый драйвер plgpio(4) для GPIO-контроллеров ARM PrimeCell PL061.
    • Поддержка PIE на платформе m88k.
    • Поддержка для некоторых сенсорных экранов HID-over-I^2C в imt(4).
    • Поддержка чипов RTL8188EE и RTL8723AE в rtwn(4).
    • Поддержка RT3290 в ral(4).
    • Поддержка контроллеров SAS 3.5 (SAS34xx и SAS35xx) в mpii(4).
    • Поддержка сенсоров состояния диска и батареи, а также bio(4) в mfii(4).
    • На платформе i386 микрокод для процессоров Intel загружается при запуске ядра ОС.
    • На платформе i386 уменьшено зарезервированное для brk(2) адресное пространство с целью увеличения объёма памяти, доступного для анонимных вызовов mmap(2).
    • На платформе sparc64 ldomctl(8) теперь поддерживает более новые системные прошивки в машинах SPARC T2+ и T3, в частности T1000, T5120 и T5240. Переменные NVRAM теперь могут выставлять на уровне логического домена.
    • Улучшена поддержка UART Synopsys Designware в com(4).
    • Новый драйвер https://man.openbsd.org/islrtc.4 islrtc(4)]] для часов реального времени (RTC) Intersil ISL1208.
    • Поддержка Huawei k3772 в umsm(4).
    • Поддержка чипсета VIA VX900 в viapm(4).
    • Поддержка других, кроме GPS, сетей GNSS в nmea(4).
    • Поддержка трекпойнтов Elantech в pms(4).
    • Поддержка сенсора подключения репликатора портов в acpithinkpad(4).
    • Поддержка SoC Allwinner H3 и A64 в scitemp(4).

    Улучшения в bgpd(8)

    • Фильтрующее действие по умолчанию изменено с «allow» на «deny».
    • Параметр конфигурации «announce (all|self|none|default-route)» объявлен устаревшим, на замену пришло конфигурирование фильтров.
    • Улучшена работа наборов префиксов (prefix-sets), как в скорости, так и в удобстве.
    • Введены наборы AS (as-sets) для сопоставления ASPATH большому количеству номеров AS.
    • Поддержка BGP Origin Validation (RFC 6811) посредством директивы «roa-set».
    • Добавлены наборы исходящих пунктов (origin-sets) для эффективного сопоставления AS пар «префикс — источник».
    • Небольшая чистка синтаксиса: переводы строк опциональны внутри раскрывающихся списков (ранее переводы строк должны были быть экранированы), однако в блоках «neighbor», «group» и «rdomain» записи должны быть на отдельных строках.
    • Уменьшен объём работы при перезагрузке конфигурации.
    • Перезагрузка конфигурации более не блокирует обработку остальных событий в механизме выбора маршрута.
    • Улучшена поддержка и исправлен ряд ошибок при одновременной работе множества bgpd в разных доменах маршрутизации.

    Прочие улучшения:

    • Поддержка прокрутки по истории для фреймбуферных консолей на базе rasops(9), таких как inteldrm(4), radeondrm(4) и efifb(4).
    • rebound(8) получил поддержку постоянных A-записей, по аналогии с «local-data» в Unbound.
    • Новый драйвер kcov(4) для сбора статистики о покрытии кода внутри ядра. Он является частью текущего проекта по fuzz-тестированию ядра.
    • uid_from_user(3) и gid_from_group(3) добавлены в стандартную библиотеку языка C и уже используются некоторыми программами для ускорения повторных запросов.
    • Новая реализация семафоров, обеспечивающая безопасность асинхронного использования sem_post(3).
    • pcap_set_immediate_mode(3) была импортирована из upstream libpcap, что позволяет программам обрабатывать пакеты сразу по мере их поступления.
    • ksh(1) теперь использует 64-битные целые числа в арифметических выражениях на всех архитектурах.
    • Исправлена ошибка в раскрытии ksh(1) переменных помеченных флагом «только для чтения».
    • lam(1) теперь поддерживает UTF-8.
    • trunk(4) и vlan(4) теперь включены в RAMDISK на arm64.
    • Улучшен алгоритм пересборки IP-фрагментов в PF с целью защиты от DoS—атак.
    • Новая утилита ldap(1), реализующая простой LDAP-клиент.
    • Исправлен баг в init(8), приводивший к зависаниям на платформе i386 при работе под VMWare.
    • Добавлена поддержка загрузки посредством TFTP в U-Boot на платформах arm64 и armv7 посредством EFI Simple Network protocol.
    • Добавлена поддержка EFI Random Number Generator Protocol для получения дополнительной энтропии для ГПСЧ при запуске системы.
    • В snmpd(8) добавлена поддержка RFC 3430 (подключение по TCP).
    • Драйвер bwfm(4) включён на платформах amd64, i386, arm64 и armv7, а также — для USB-устройств — на платформах loongson и macppc.
    • Новый консольный шрифт «Spleen 5x8», предназначенный для небольших OLED-дисплеев.
    • usbdevs(8) теперь сообщает о состоянии USB-портов.
    • top(1) и systat(1) теперь сообщают время, потраченное каждым ЦП на ожидании в критических секциях (spinning locks).
    • Улучшена скорость чтения MSDOSFS благодаря кластеризации.
    • Доступ к NFS-узлам теперь упорядочен.
    • Утилита systat(1) получила новый экран «uvm», отображающий различную статистику подсистемы UVM.
    • mg(1) теперь обрабатывает символы возврата каретки при последовательном поиске (incremental search) путём установки метки (mark) и выхода из поиска, как это делают другие современные клоны Emacs.
    • В disklabel(8) улучшено округление смещений и размеров разделов на границы цилиндров.
    • disklabel(8) теперь контролирует выход за допустимые пределы для всего пользовательского ввода.
    • disklabel(8) более не позволяет разделам типа FS_RAID становиться точками монтирования.
    • disklabel(8) теперь изменяет параметры разделов только если весь пользовательский ввод был валидирован.
    • Улучшены директивы управления журналированием к конфигурационном файле relayd(8) для более гибкой настройки того, что необходимо логировать.
    • tmux(1) теперь корректно работает с палитрами терминалов, состоящими более чем из 256 цветов.
    • httpd(8) теперь поддерживает аутентификацию по клиентскому сертификату.
    • Множество исправлений в подсистеме fuse(4).
    • Улучшен алгоритм поиска ядром свободной памяти для удовлетворения запросов mmap(2) на анонимную память.
    • efifb(4) теперь переназначает фреймбуфер EFI раньше для использования комбинированной записи (write combining mapping), что даёт значительное ускорение его (фреймбуфера) работы.

    OpenSMTPD

    • Нарушающие совместимость изменения в синтаксисе smtpd.conf: разделены сопоставление конвертов (envelope), происходящее во время SMTP-диалога, и выполняемые действия (actions), которые начинают выполняться при первой попытке доставки. Это изменение позволяет убрать ряд серьёзных барьеров для дальнейшего развития OpenSMTPD.
    • Улучшен движок SMTP с появлением нового парсера сообщений, соответствующего RFC 5322.
    • Убраны ограничения, не позволявшие smtpd(8) взаимодействовать с клиентами, отправляющими чрезмерно длинные строки.
    • Улучшена безопасность путём перемещения раскрытия переменных для файлов .forward в процесс, отвечающий за доставку сообщений пользователю (MDA).
    • Введены обёртки для MDA, позволяющие командам на получение быть прозрачно обёрнутыми внутри глобальных команд.
    • Добавлен SMTP-клиент для командной строки.
    • Множество улучшений документации и мелких исправлений в коде.

    OpenSSH 7.9 Новые возможности:

    • В большинстве мест конфигурации ssh(1) и sshd(8), где используются номера портов, теперь можно использовать названия сервисов из /etc/services.
    • В директиве ssh(1) IdentityAgent теперь можно использовать переменные окружения. Это позволяет использовать несколько сокетов для SSH-агентов без необходимости задания фиксированных путей.
    • Поддержка передачи сигналов сессиям по протоколу SSH в sshd(8).
    • Команда «ssh -Q sig» может быть использована для получения списка поддерживаемых параметров подписей. Также, «ssh -Q help» покажет полный список поддерживаемых запросов.
    • Новая опция CASignatureAlgorithms в ssh(1) и sshd(8) управляет разрешёнными формами подписей для центров сертификации, которыми можно подписывать сертификаты. Например, это позволяет заблокировать центры сертификации, подписывающие сертификаты с использованием алгоритма RSA-SHA1.
    • Списки отзыва ключей (KRL) теперь могут включать в себя ключи по хешу SHA-256. Эти списки управляются ssh-keygen(8). Более того, KRL теперь могут быть созданы из Base64-кодированного представления SHA256-отпечатков, то есть, из информации в сообщения об аутентификации sshd((8).

      Неполный список исправлений:

    • ssh(1): ssh-keygen(1): убраны ошибки «invalid format» при загрузке приватных ключей в формате PEM с неверной парольной фразой.
    • sshd(8): когда канал закрывается во время получения сообщения от клиента, теперь вместе со stdin и stdout закрывается также файловый дескриптор stderr. Это позволяет избежать зависания процессов, если они ожидают закрытия stderr, не обращая внимания на закрытие stdin и stdout.
    • ssh(1): разрешено ForwardX11Timeout=0 для безусловного отключения недоверенного перенаправления X11. До этого поведение при ForwardX11Timeout=0 было неопределённым.
    • sshd(8): не закрывается при конфигурировании текстового списка отзыва ключей, содержащего слишком короткий ключ.
    • ssh(1): подключения с ProxyJump обрабатываются так же как с ProxyCommand касаемо приведения имени хоста к каноническому виду (то есть, приведение не производится, если только опция CanonicalizeHostname не выставлена в «always»).
    • ssh(1): исправлена регрессия в OpenSSH 7.8, которая не позволяла аутентификацию по ключу с использованием сертификата в ssh-agent(1) или относительно sshd(8) из OpenSSH {7.8.

    LibreSSL 2.8.2 (первый стабильный релиз ветки 2.8). Улучшения API и документации:

    • Верификация X509 стала строже, любая проблема X509_VERIFY_PARAM для имени хоста, IP-адреса или email заставит X509_verify_cert(3) сообщить об ошибке.
    • Убрана поддержка классического (одиночного) DES.
    • В RSA_sign(3) добавлена поддержка RSASSA-PKCS1-v1_5 (RFC 8017).
    • Изменено поведение функций CRYPTO_mem_leaks_*(3) на возврат значения -1. Эти функции являются пустышками в LibreSSL, поэтому возвращается индикатор ошибки, чтобы не показывать (не-)наличие утечек памяти.
    • SSL_copy_session_id(3), PEM_Sign(3), EVP_EncodeUpdate(3), BIO_set_cipher(3), X509_OBJECT_up_ref_count(3) теперь возвращают int для обработки ошибок, как в OpenSSL.
    • Часть #define превращена в настоящие функции, для соответствия OpenSSL ABI, в частности, X509_CRL_get_issuer(3) и другие функции X509_*get*(3).
    • Добавлена X509_get0_serialNumber(3) из OpenSSL.
    • Убраны EVP_PKEY2PKCS8_broken(3) и PKCS8_set_broken(3), и в то же время добавлены PKCS8_pkey_add1_attr_by_NID(3) и PKCS8_pkey_get0_attrs(3), для соответствия OpenSSL.
    • Удалены неработоспособные pkcs8 форматы из openssl(1).
    • Добавлены RSA_meth_get_finish(3) и RSA_meth_set1_name(3) из OpenSSL.
    • Добавлены новые EVP_CIPHER_CTX_(get|set)_iv(3) API, позволяющие получать и заполнять инициализирующий вектор (IV) с подходящей валидацией.
    • Экстенсивные обновления документации и истории API.
    • Убраны глючные клиентские костыли SSL_OP_TLS_ROLLBACK_BUG.
    • ENGINE_finish(3) и ENGINE_free(3) теперь возвращают NULL при успехе для упрощения жизни вызывающим и соответствия поведению OpenSSL; документация ENGINE_* переписана.
    • Добавлена аннотация const ко множеству существующих API из OpenSSL, для облегчения взаимозаменяемости для использующих приложений.
    • Документированы решаемые проблемы с безопасностью при описании BN_FLG_CONSTTIME и константного времени работы функций BN_*.

      Тестирование и проактивная защита:

    • Добавлена поддержка теста Wycheproof для тестовых векторов ECDH, RSASSA-PSS, AES-GCM, AES-CMAC, AES-CCM, AES-CBC-PKCS5, DSA, ChaCha20-Poly1305, ECDSA, X25519. Исправлены ошибки, выявленные в ходе тестирования.
    • Добавлены тесты алгоритмов шифрования, включая все шифры TLS 1.2. Добавлены ослепляющие значения при генерации подписей DSA и ECDSA для усложнения проведения атак с утечкой приватного ключа по сторонним каналам.
    • Добавлены timing-safe сравнения для проверки результатов верификации подписи.
    • Добавлена поддержка скалярного умножения эллиптических кривых за константное время. От Билли Брумли (Billy Brumley) и его команды из Технологического университета Тампере.

      Внутренние улучшения:

    • Упрощены генерация и верификация сигнарутры обмена ключами.
    • Ещё больше кода теперь использует CBB/CBS. В частности, все сообщения-приветствия (handshake) теперь создаются CBB. Обмен ключами RSA упрощён и использует отдельные буферы для хранения секретных данных.
    • Упрощены разбор и обработка сессионных билетов (session tickets), по мотивам изменений в BoringSSL.
    • Прекращена обработка AES-GCM в ssl_cipher_get_evp, так как там используется интерфейс EVP_AEAD.
    • Прекращено использование составных EVP_CIPHER AEAD.
    • Убраны неиспользуемые флаги SSL3_FLAGS_DELAY_CLIENT_FINISHED и SSL3_FLAGS_POP_BUFFER при записи, что упростило организацию ввода-вывода.
    • BN_clear(3) теперь использует explicit_bzero(3).
    • Почищены BN_* вслед за изменениями, сделанными в OpenSSL Давидом Галаси (Davide Galassi) и другими.
    • Проведена ревизия реализации RSASSA-PKCS1-v1_5 на предмет соответствия RFC 8017, базируясь на коммите Дэвида Бенджамина (David Benjamin) в OpenSSL.

      Исправления ошибок:

    • Исправлено переполнение на один байт буфера у пользователей EVP_read_pw_string(3).
    • Исправлены различные утечки памяти, найденные Coverity.
    • Больше функций в публичных API теперь используют константные аргументы.
    • Корректное очищение текущего состояния шифратора при смене состояния. Это исправляет проблему когда пересогласование заменяет AEAD-шифр на не-AEAD или наоборот. О проблеме сообщил Бернард Спил (Bernard Spil).
    • Исправлена пара ошибок более чем двадцатилетней давности в X509_NAME_add_entry(3).
    • Исправлены потенциальные утечки памяти при ошибке в ASN1_item_digest(3).
    • Исправлена потенциальная ошибка выравнивания памяти в asn1_item_combine_free().
    • Исправлены небольшие сторонние каналы утечки, связанные со временем, в ecdsa_sign_setup() и dsa_sign_setup().
    • Добавлены пропущенные проверки на допустимые границы в c2i_ASN1_BIT_STRING().
    • Исправлена потенциальная утечка / ошибка при возврате значения в механизме генерации DSA-подписи.

    Mandoc 1.14.4

    • В HTML-выводе, многие mdoc(7)-макросы теперь используют более подходящие HTML-элементы.
    • В HTML-выводе убраны почти все атрибуты «style» и часть избыточных «class».
    • Первые шаги в сторону responsive design: @media в mandoc.css, HTML-элемент meta viewport, из генерируемого кода убраны все жёсткие размеры.
    • Множество улучшений в стилях в mandoc.css.
    • Более чем 15 новых низкоуровневых возможностей roff(7) и GNU man-ext. Mandoc теперь может форматировать руководства groff.

    Порты и пакеты:

    • Программа update-plist(1) была полностью переписана и теперь практически без ошибок обрабатывает ситуации с MULTI_PACKAGES и раскрытием переменных.
    • Новые пакеты теперь инициируют запуск средств вроде update-desktop-database лишь один раз за сессию вместо запуска после каждого добавления/удаления пакета.
    • Страницы руководства по системе портов (bulk(8), dpb(1) и другие) теперь включены в базовую поставку и поэтому доступны даже без дерева портов.

      Подготовлено пакетов ко дню релиза, по архитектурам:

    • aarch64 (arm64): 8139
    • amd64: 10304
    • i386: 10230

      Пакеты для нижеследующих архитектур будут доступны по мере того как их сборка будет закончена:

    • arm
    • mips64
    • mips64el
    • powerpc
    • sparc64

    Из находящихся в портах приложений, отмечены:

    • AFL 2.52b
    • CMake 3.10.2
    • Chromium 69.0.3497.100
    • Emacs 21.4 и 26.1
    • GCC 4.9.4
    • GHC 8.2.2
    • Gimp 2.8.22
    • GNOME 3.28.2
    • Go 1.11
    • Groff 1.22.3
    • JDK 8u172
    • LLVM/Clang 6.0.1
    • LibreOffice 6.1.1.2
    • Lua 5.1.5, 5.2.4 и 5.3.5
    • MariaDB 10.0.36
    • Mono 5.14.0.177
    • Mozilla Firefox 60.2.2esr и 62.0.3
    • Mozilla Thunderbird 60.2.1
    • Mutt 1.10.1 и NeoMutt 20180716
    • Node.js 8.12.0
    • OCaml 4.03.0
    • OpenLDAP 2.3.43 и 2.4.46
    • PHP 5.6.38, 7.0.32, 7.1.22 и 7.2.10
    • Postfix 3.3.1 и 3.4-20180904
    • PostgreSQL 10.5
    • Python 2.7.15 и 3.6.6
    • R 3.5.1
    • Ruby 2.3.7, 2.4.4 и 2.5.1
    • Rust 1.29.2
    • Sendmail 8.16.0.29
    • SQLite3 3.24.0
    • Sudo 1.8.25
    • Tcl/Tk 8.5.19 и 8.6.8
    • TeX Live 2017
    • Vim 8.1.438
    • Xfce 4.12

    Компоненты от сторонних разработчиков, входящие в состав OpenBSD 6.4:

    • Графический стек Xenocara на базе X Server 1.19.6 c патчами, freetype 2.9.1, fontconfig 2.12.4, Mesa 13.0.6, xterm 331, xkeyboard-config 2.20;
    • LLVM/Clang 6.0.0 с патчами
    • GCC 4.2.1 (с патчами) и 3.3.6
    • Perl 5.24.3 (с патчами)
    • NSD 4.1.25
    • Unbound 1.8.2
    • Ncurses 5.7
    • Binutils 2.17 (с патчами)
    • Gdb 6.3 (с патчами)
    • Awk версия от 10 августа 2011 года
    • Expat 2.2.6


  1. Главная ссылка к новости (https://www.openbsd.org/64.htm...)
  2. OpenNews: Выпуск криптографической библиотеки LibreSSL 2.8.1
  3. OpenNews: Выпуск LibreSSL 2.8.0
  4. OpenNews: В состав OpenBSD-Current добавлен механизм защиты RETGUARD
  5. OpenNews: В OpenBSD добавлен код программного отключения SMT (HyperThreading)
  6. OpenNews: В OpenBSD предложен новый системный вызов unveil() для изоляции ФС
Автор новости: Вадим Жуков
Тип: Программы
Короткая ссылка: https://opennet.ru/49467-openbsd
Ключевые слова: openbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (135) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:01, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Очень подробное и интересное описание новости!!!) Спасибо!
     
     
  • 2.107, А (??), 05:52, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А в разные новостные статьи это нельзя было раскидать, зачем такой компот? Вышло бы 3 прекрасные новости.
     
     
  • 3.112, PereresusNeVlezaetBuggy (ok), 11:23, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А в разные новостные статьи это нельзя было раскидать, зачем такой компот?
    > Вышло бы 3 прекрасные новости.

    Это перевод (с ма-а-аленькими вольностями) официальной релизной страницы OpenBSD 6.4. Релизы LibreSSL и OpenSSH вышли одновременно, так что единая новость получилась сама собой.

     

  • 1.2, timur.davletshin (ok), 00:04, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    Запись тишины вместо звука... это уже из области маразма.
     
     
  • 2.3, Megabit (ok), 00:39, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Не могу понять, чем такие как Вы недовольны?!? Процесс разработки идёт! Вносятся очень много исправлениий-новшевств, люди работают для себя и Вас - а Вы всё не довольны... ( Может пора что-либо от себя вложить - дабы словопоносом потом не гадить?!?.. Блин!.... Простите, наболело... (((
     
     
  • 3.37, Акакжев (?), 13:45, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они и сами не понимают, что делают. Когда-то увидели подобную "критику", а дурной пример заразителен.
     
  • 3.74, BABUT (??), 09:50, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не понимаю, чем такие как ты, которые опёнок в глаза не видели, всегда довольны ... большой текст свёрнут, показать
     
     
  • 4.111, PereresusNeVlezaetBuggy (ok), 11:20, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Портаните, раз это так легко Patches are welcome За всю мою практику видел все... большой текст свёрнут, показать
     
     
  • 5.114, myhand (ok), 16:45, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Портаните, раз это так легко. Patches are welcome.

    Beware CVS.  Шел 2018 год.

     
     
  • 6.118, PereresusNeVlezaetBuggy (ok), 22:52, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Портаните, раз это так легко. Patches are welcome.
    > Beware CVS.  Шел 2018 год.

    А что, «cvs diff» чем-то сильно отличается от «git diff» (ну, кроме дурной привычки последнего добавлять «a/» и «b/»)? Или patch(1) как-то иначе работает? Или исходники, полученные из CVS, работают как-то иначе? Или cvsync запретили?..

     
     
  • 7.119, myhand (ok), 23:33, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Портаните, раз это так легко. Patches are welcome.
    >> Beware CVS.  Шел 2018 год.
    > А что, «cvs diff» чем-то сильно отличается от «git diff»

    Не самая часто используемая команда, прямо скажем.

    > Или исходники, полученные из CVS, работают как-то иначе? Или
    > cvsync запретили?..

    Да, наверно, можно жить вовсе без системы контроля версий.  Но лично я бы в XXI веке жить без команд branch, merge, checkout (c -b) и bisect - не захотел бы категорически.

     
     
  • 8.120, PereresusNeVlezaetBuggy (ok), 15:32, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    171 Bentley 187 тоже встречаются реже, чем 171 Калина 187 , но Так ... большой текст свёрнут, показать
     
     
  • 9.121, myhand (ok), 20:27, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Главное - никому не говорите Я хороший, умный, добрый и скромный А другие мо... большой текст свёрнут, показать
     
     
  • 10.123, PereresusNeVlezaetBuggy (ok), 23:21, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хм Я понимаю, если бы такое про Subversion сказали, там действительно оригин... большой текст свёрнут, показать
     
     
  • 11.124, myhand (ok), 11:04, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Притом, что им merge и branch - во как нужны Не ошибаетесь, пока кто-то не приш... текст свёрнут, показать
     
     
  • 12.126, PereresusNeVlezaetBuggy (ok), 15:51, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Во-о-от То есть, ещё раз, 171 продвинутые 187 средс... текст свёрнут, показать
     
     
  • 13.127, myhand (ok), 21:23, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет же Пока ваш одноразовый патч отрецензируют - придут другие очумелые руч... текст свёрнут, показать
     
     
  • 14.128, PereresusNeVlezaetBuggy (ok), 21:34, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    rebase в не-DVCS как бы отсутствует по определению ... текст свёрнут, показать
     
     
  • 15.129, myhand (ok), 13:43, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы речь и шла о git Таки нужны продвинутые средства управления ветками ... текст свёрнут, показать
     
     
  • 16.130, PereresusNeVlezaetBuggy (ok), 14:16, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Речь изначально шла о patches are welcome Чтобы подготовить или обновить патч... большой текст свёрнут, показать
     
     
  • 17.131, myhand (ok), 18:28, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, может вам везет В других проектах - diff а категорически будет не хватать,... большой текст свёрнут, показать
     
     
  • 18.132, Аноним (132), 21:16, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет TL DR Vнога букав https wiki freebsd org GitDrawbacks Это раз https ... большой текст свёрнут, показать
     
     
  • 19.133, PereresusNeVlezaetBuggy (ok), 21:42, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это зеркала, они вообще не в счёт в зеркало закоммитить нельзя Сам репозиторий... текст свёрнут, показать
     
     
  • 20.135, Аноним (132), 22:12, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я же специально цитировал И Часть проектов pkg вообще разрабатывается только... большой текст свёрнут, показать
     
  • 18.134, PereresusNeVlezaetBuggy (ok), 21:51, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я пока что натыкался на проекты с замороченным порядком внесения изменений, с от... большой текст свёрнут, показать
     
     
  • 19.136, myhand (ok), 10:48, 29/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Во всяком случае, думаю что это, в принципе, решаемо OpenBSD - большой и стары... большой текст свёрнут, показать
     
     
  • 20.137, PereresusNeVlezaetBuggy (ok), 11:18, 31/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как сказать Проект OpenBSD, например, был первым проектом ОС, который вообще... большой текст свёрнут, показать
     
  • 21.138, myhand (ok), 14:45, 31/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Логично А потому для программироваиия - только Notepad, ибо в этих ваших емакс... текст свёрнут, показать
     
  • 22.139, PereresusNeVlezaetBuggy (ok), 14:54, 31/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не-не-не Смотрите можно взять 171 универсальную 187 отвёртку, с насадками ... текст свёрнут, показать
     
  • 23.140, myhand (ok), 10:48, 01/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда git да и hg тем более - как раз отвертка валшебная Если надо тоньше - ... текст свёрнут, показать
     
  • 24.141, PereresusNeVlezaetBuggy (ok), 15:18, 01/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да можно, можно всё это в случае с Git, кто ж спорит Только вы же сами говорите... большой текст свёрнут, показать
     
  • 25.142, Andrey Mitrofanov (?), 15:49, 01/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ой, страшно Страшно оригинально и нОво Ой, ой Ты гл... большой текст свёрнут, показать
     
  • 26.144, PereresusNeVlezaetBuggy (ok), 11:35, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Переклинило Rebase там, конечно же Писал, пользуясь в ... текст свёрнут, показать
     
  • 25.143, myhand (ok), 19:03, 01/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не надо ничего дорабатывать, максимум - выучиться командам Задача, как я пон... большой текст свёрнут, показать
     
  • 26.145, PereresusNeVlezaetBuggy (ok), 12:00, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда вы сами себе противоречите словами 171 если надо 8212 сделаем 187 ... большой текст свёрнут, показать
     
  • 27.146, myhand (ok), 12:40, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, команды _уже_ сделаны Максимум - их надо выучить И, кстати, современный... большой текст свёрнут, показать
     
  • 28.147, PereresusNeVlezaetBuggy (ok), 19:54, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Видел я таких разработчиков 171 Пушать 187 на GitHub они умеют, да А... большой текст свёрнут, показать
     
  • 29.148, myhand (ok), 11:17, 03/11/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот чтобы начать что-то делать - вам предварительно от этих элементарных на... большой текст свёрнут, показать
     
  • 5.149, BABUT (??), 18:29, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    я- простой юзер, всех моих навыков программирования ассемблер- лет тридцать наз... большой текст свёрнут, показать
     
  • 2.4, Michael Shigorin (ok), 00:50, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     
     
  • 3.7, Megabit (ok), 01:19, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да потому Миша, что критиков 99.99% - а реальновыложить отчет о найденых "багах" у нас почти 0%! Но зато амбиций и требований, у нас хоть отбавляй.. (((
     
     
  • 4.75, BABUT (??), 09:54, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    сообщать о багах- чревато вырезанием подсистемы полностью. "нет подсистемы- нет багов"- такова политика тео
     
  • 3.18, Аноним (-), 07:48, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Почему?

    Потому что помешает пользователям пользоваться своим оборудованием, например. Можно еще вспомнить про скрытые каналы и "bridging air gaps" путем ультразвука в звуковуху или показа картинок на мониторе чтобы RF в эфир полетел - и наверное надо будет отключить вывод звука и изображения. А на случай если хакеров это не смутит - показывать всем по умолчанию пустой диск.

     
  • 3.28, myhand (ok), 10:51, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Песенки пропали!111
     
  • 2.5, PereresusNeVlezaetBuggy (ok), 00:50, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Вообще-то над выработкой решения долго думали. Вы же понимаете, надеюсь, с чего вообще такой вопрос возник? Любое приложение на современном десктопе может совершенно спокойно шпионить за пользователем, открыв на чтение аудиоустройство (чтение из аудиоустройства и есть запись звука в обычном смысле слова). Соответственно, вариантов поведения в этом случае два: запрет на запись, или же фальшивые данные. Запрет на запись оказался более проблемным с точки зрения пользователя, при ближайшем рассмотрении, поэтому пошли по второму пути, вот и всё.

    И, да, не советую смеяться над теми, кто заклеивает глазок видеокамеры на ноутбуке. Далеко не все из них — безосновательные параноики.

     
     
  • 3.10, Ан он имус (?), 02:09, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –15 +/
    > И, да, не советую смеяться над теми,
    > кто заклеивает глазок видеокамеры на ноутбуке.

    Всегда интересовало, зачем эти чудаки на букву М заклеивают камеру? Что такого секретного в их еб^Wморде лица? Что секретного в том, что они там наковыряют в носу?

    Знаете, что более секретно, чем видео? То, что вы говориие или вам говорят. Значит надо заклеивать микрофон!

    Но знаете, что ещё секретнее? То, что вы набиваете на клавиатуре (пароли от всего, включая банкинг, пинкоды от карт, и т.д.). Т.е. надо не камеру заклеивать и не микрофон. Первым делом надо запенивать клавиатуру монтажной пеной. Параноики мамкины.

     
     
  • 4.19, Аноним (19), 07:54, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А ты когда-нибудь думал о том что AI нейросеть посмотрев на тебя 1000 раз, в 1... большой текст свёрнут, показать
     
     
  • 5.53, пох (?), 08:48, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это уже настоящее Пока - в отдельно взятом китае и у нас так же будет То есть... большой текст свёрнут, показать
     
     
  • 6.54, myhand (ok), 09:20, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Технологии сами по себе не являются чем-то плохим, в частности и эти.  Проблема лишь в известной экономической системе, в которой средства производства принадлежат (вместе с технологиями) ничтожной кучке людей.

    А в Китае, напоминаю, у власти КПК, могут и правильно все сделать.  И страшилки в буржуазных газетенках нужно делить на десять.

     
     
  • 7.56, пох (?), 12:06, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема лишь в известной экономической системе, в которой средства производства принадлежат
    > (вместе с технологиями) ничтожной кучке людей.

    проблема в головах, набитых тяжким бредом.
    В частности, мой компьютер вполне себе принадлежит - мне.
    И да, это - средство производства.

    А вам - счастливой жизни в "безопасном городе", где из каждой дырки на вас смотрит камера, знающая кто вы такой - надеюсь, уже без меня.

     
     
  • 8.57, КГБ СССР (?), 12:59, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Красно-левые товарищи не дадут тебе выбора ... текст свёрнут, показать
     
     
  • 9.60, пох (?), 18:09, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    при красно-левых товарищах шанс дожить до прекрасного завтра как раз становится ... текст свёрнут, показать
     
     
  • 10.62, myhand (ok), 19:40, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При красно-левых товарищах есть банальный шанс дожить хоть до какого-то завтра, ... большой текст свёрнут, показать
     
     
  • 11.63, пох (?), 20:18, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    очередная сказочка хоть бы поинтересовались дальше викивракии, что оно на самом... большой текст свёрнут, показать
     
     
  • 12.67, myhand (ok), 21:31, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я В вики Смешно Ваши любят и про СССР говорить, что там был экономический с... большой текст свёрнут, показать
     
     
  • 13.69, пох (?), 07:38, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ты - эколог-профессионал, лично зачерпывавший пробы из мусорного острова А, н... большой текст свёрнут, показать
     
     
  • 14.72, myhand (ok), 09:44, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, я не эколог-профессионал и с удовольствием выслушаю вашу информацию с источ... большой текст свёрнут, показать
     
  • 14.87, BABUT (??), 11:35, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не скажу за всю одессу , но крайний север, и всё по дороге от него на юг, были ... текст свёрнут, показать
     
  • 14.91, КГБ СССР (?), 12:53, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    171 Товарищи 187 тебя не поймут У них Вера 8482 Они всерьёз намерены нас... текст свёрнут, показать
     
  • 11.79, Аноним (-), 10:28, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая с какой скоростью красно-левые товарищи гнали углеводороды, особенно ко... большой текст свёрнут, показать
     
     
  • 12.84, myhand (ok), 10:59, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не знал, что саудиты и буржуи РФии - красно-левые Век живи - век учись В прин... текст свёрнут, показать
     
  • 10.64, КГБ СССР (?), 20:24, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по тому, что красно-коричневые товарищи уже в немалом количестве есть среди... текст свёрнут, показать
     
     
  • 11.70, пох (?), 07:39, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для начала надо валить туда, где его разрешено иметь и применять по товарищам ... текст свёрнут, показать
     
     
  • 12.73, myhand (ok), 09:46, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ВНаУкраину ... текст свёрнут, показать
     
     
  • 13.115, пох (?), 22:16, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нет, туда лет разьве что через 200 - посбрасывать истуканов, конечно, неплохо пр... текст свёрнут, показать
     
     
  • 14.117, myhand (ok), 21:16, 24/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не могут простить фашисты Ильичу, что к нему ихние знамена однажды бросали ... текст свёрнут, показать
     
     
  • 15.122, фошизд (?), 21:56, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да, ну, бросьте, геноссе - мы ваших красных тряпок в 41 осенью тоже нормально по... текст свёрнут, показать
     
     
  • 16.125, myhand (ok), 11:10, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дадада, Сталин напал на Польшу с Гитлером и расстрелял панов из подаренных фюрер... текст свёрнут, показать
     
  • 8.59, myhand (ok), 13:49, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что именно болезным квалифицируется как бред Садись, два ... текст свёрнут, показать
     
  • 8.80, Аноним (80), 10:34, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И даже с этим Intel с ME и Microsoft c кейлоггером уже готовы кажется поспорить ... большой текст свёрнут, показать
     
     
  • 9.86, myhand (ok), 11:19, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Таки да, это - глупость Дык поскреби антисоветчика - покажется фашист Железно... большой текст свёрнут, показать
     
     
  • 10.95, PereresusNeVlezaetBuggy (ok), 13:59, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален М-да Куда, казалось бы, может завести максимально подро... текст свёрнут, показать
     
     
  • 11.96, Michael Shigorin (ok), 14:01, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да это же светлолицый Себя-то он ни фашистом, ни хамом, разумеется, не считает... текст свёрнут, показать
     
     
  • 12.100, Аноним (100), 14:55, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мишико, а тебе бы помолчать, нэ Посконно-православно-черносотенный фошшизм куда... текст свёрнут, показать
     
  • 12.105, myhand (ok), 23:35, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так вроде бы не я тут предлагал голодным сдохнуть Христианское милосердие Не... текст свёрнут, показать
     
  • 9.97, Michael Shigorin (ok), 14:03, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    User294, если это Вы, то случай ещё более редкий милости просим ... текст свёрнут, показать
     
     
  • 10.106, myhand (ok), 23:37, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не перегрызитесь там между собой, на баррикадах-то ... текст свёрнут, показать
     
  • 6.78, Аноним (-), 10:22, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В этом месте мы начинаем догадываться, почему общество рабов - плохо Пока таки ... большой текст свёрнут, показать
     
  • 4.29, Аноним (29), 11:06, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    fixed: Всегда интересовало, зачем эти чудаки на букву М закрывают квартиру на замок? Что такого секретного в их жилище?
     
  • 4.58, Аноним (58), 13:46, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Black Mirror, 3 сезон, 3-я серия.
     
  • 3.25, Аноним (25), 09:26, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужно загонять каждое приложение в персональную песочницу с разрешениями, как сделано на мобильных платформах. А не общесистемные разрешения на запись звука, при флипе которых разрешения даются всем приложениям, вклжчая шпионские.
     
     
  • 4.30, Аноним (29), 11:09, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А первое, что надо сделать, не пользоваться клозетсорсными приложениями, любым образом подразумевающими работу с камерой и микрофоном.
     
  • 4.35, PereresusNeVlezaetBuggy (ok), 12:29, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно загонять каждое приложение в персональную песочницу с разрешениями, как сделано на
    > мобильных платформах. А не общесистемные разрешения на запись звука, при флипе
    > которых разрешения даются всем приложениям, вклжчая шпионские.

    OpenBSD в эту сторону и двигается, см. pledge(2) и unveil(2):

    https://www.snb.it/downloads/seccomp-pledge-oss2017.pdf
    https://www.openbsd.org/papers/eurobsdcon2018-unveil/

     
  • 3.42, AnonPlus (?), 16:13, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Запрет на запись оказался более проблемным с точки зрения пользователя

    Расшифруйте, пожалуйста. С моей точки зрения, наоборот, это решение вводит пользователя в заблуждение. Он будет грешить на микрофон и прочее железо (запись-то прошла, а там тишина)

     
     
  • 4.44, пох (?), 18:09, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вероятнее всего - заманались патчить модный-линуксонли-софт, падающий по sigsegv или просто отказывающийся работать, если у него не получилось открыть mixer.

    > С моей точки зрения, наоборот, это решение вводит пользователя в заблуждение.

    openbsd никогда для альтернативно-одаренных и не позициронировали.

     
  • 4.50, PereresusNeVlezaetBuggy (ok), 23:43, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Запрет на запись оказался более проблемным с точки зрения пользователя
    >
    > Расшифруйте, пожалуйста. С моей точки зрения, наоборот, это решение вводит пользователя в заблуждение. Он будет грешить на микрофон и прочее железо (запись-то прошла, а там тишина)

    Очень просто: пользователь может в любой момент включить и выключить разрешение на запись, программа об этом не узнает. То есть даже во время работы программы, когда она уже подключена к устройству, пользователь имеет возможность решать, давать доступ ко входящему звуку или нет. Решение более гибкое.

    Ну и да, в OpenBSD не сильно заботятся о пользователях, не читающих руководство по системе до установки и changelog перед обновлением. :)

     
     
  • 5.82, Аноним (80), 10:42, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень просто: пользователь может в любой момент включить и выключить разрешение на
    > запись, программа об этом не узнает.

    И сама по себе идея - отличная. Но вот реализация...

    > Ну и да, в OpenBSD не сильно заботятся о пользователях, не читающих
    > руководство по системе до установки и changelog перед обновлением. :)

    ...получилась как обычно. Эти мины в поле - для вашей же безопасности. Предполагается что на них подорвется враг, а вы изучите карту. И все бы хорошо, но кишки на деревьях при таком подходе все же есть, а враждебно настроенные entity обычно более готовы к противодействию чем пользователи.

    Поэтому как мне кажется - безопасность это хорошо, но если она не будет юзабельной то толку от нее немного.

     
     
  • 6.94, PereresusNeVlezaetBuggy (ok), 13:56, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Очень просто: пользователь может в любой момент включить и выключить разрешение на
    >> запись, программа об этом не узнает.
    > И сама по себе идея - отличная. Но вот реализация...

    А что не так с реализацией? Софт работает как работал. Пользователь — в настройках по умолчанию — не получает подставы в виде подслушивания. Как вы иначе представляете себе secure by default? :)

     
  • 4.85, КО (?), 11:17, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зато не вводит в заблуждение программу.

    Если программа, например browser, не видит нужного ей устройства записи при своем старте, то дальше два пути - либо segfault либо перестать работать со звуком.

    Соответственно, программу надо переписывать, чтоб она понимала, что звуковое устройство у нее появилось и можно за пользователем шпионить. Заставлять всех переписывать таким образом программы - не в силах проекта.

     
  • 3.77, BABUT (??), 09:57, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    проблема тут в другом- комплексе бога у тео. он и мысли не допускает, что пользователю может быть виднее, чем ему. надо памятник поставить тому герою, который отстоял смт
     
     
  • 4.93, PereresusNeVlezaetBuggy (ok), 13:54, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > проблема тут в другом- комплексе бога у тео. он и мысли не
    > допускает, что пользователю может быть виднее, чем ему. надо памятник поставить
    > тому герою, который отстоял смт

    Знаете, очень смешно это читать, когда всё происходило на твоих глазах. Я не скажу сейчас точно, кто именно предложил текущую схему (а ковыряться в архиве некогда), но геройства там никакого не было — нормальное аргументированное обсуждение различных решений для нахождения наилучшего.

     
  • 2.6, Ivan_83 (ok), 00:58, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это чтобы подслушивание не случилось.
    В том же браузере есть WebRTC, да и вообще мало ли прог странных и дырявых, а с этой крутилкой они смогут подслушивать только имея права рута.
     
     
  • 3.8, Megabit (ok), 01:27, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это ты зря... Любое устройтсво USB подключенное в том же линухе - доступно полностю в прокладке юзерспей, ха-ха-ха... или тебе уже не смешно?
     
     
  • 4.9, Блатной анархист (?), 01:51, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому ЦРУ недавно выкладывала фототки в твит своих инновационные затычки для портов сервера.
     
  • 4.12, Ivan_83 (ok), 03:38, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне всё равно.
    1. Входной порог для работы с USB дровами через LibUSB и дровами в юзерспейсе значительно выше - это надо примерно как у нас во фряшечке webcamd с куском ядра линухсе собирать.
    2. Открытие USB устройства наверное может потребовать прав больше чем у юзера.
    3. Открыть наверное всё равно не получится тк дрова ОС его уже юзают.
    4. USB звуковухи не сильно распространены, а фича наверняка нацелена на владельцев ноутов, где микрофон внутри прибит гвоздями и сделать с этим ничего нельзя.
     
     
  • 5.17, Аноним (-), 07:43, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В случае Linux большинство операций с libusb у непривилегированного юзера для на... большой текст свёрнут, показать
     
  • 4.16, Аноним (-), 07:37, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Любое устройтсво USB подключенное в том же линухе - доступно полностю

    Наверное именно поэтому я не могу в линуксе так с наскока открыть /dev/ttyUSB2, который на самом деле FTDI через который МК прошивается. Приходится или юзеря явно прописывать в группу dialout, или же udev'ом в момент появления устройства перехватывать инициативу и вписывать нужные права/юзерей. Интересная полная доступность.

    И если кто думал что через libusb как-то иначе - ага, сейчас. Большинство операций с usb устройствами - привилегированные.

     
     
  • 5.31, PereresusNeVlezaetBuggy (ok), 12:11, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Верно. Но с аудиоустройствами ситуация обстоит иначе: в качестве заботы об удобстве пользователей в большинстве ОС устройства USB Audio доступны (как минимум!) текущему пользователю сразу после втыкания.
     
     
  • 6.83, Аноним (-), 10:48, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > пользователей в большинстве ОС устройства USB Audio доступны (как минимум!) текущему
    > пользователю сразу после втыкания.

    Это... гм... если я воткнул usb аудио - наверное, я им попользоваться хотел?! Представить себе хакера который без моего ведома мне звуковуху доустановит я затрудняюсь. Это уже какая-то диверсионная группа, и если уж все настолько плохо - вон та фигня размером с пуговицу будет тебя слушать месяцок и без компа вообще. И фиг ты ее обнаружишь так по простому - современные варианты даже не излучают постоянно. Разве что у тебя нелинейный локатор есть и ты готов каждый подозрительный гвоздь лично проинспектировать.

     
     
  • 7.110, PereresusNeVlezaetBuggy (ok), 11:05, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> пользователей в большинстве ОС устройства USB Audio доступны (как минимум!) текущему
    >> пользователю сразу после втыкания.
    > Это... гм... если я воткнул usb аудио - наверное, я им попользоваться
    > хотел?!

    Пользоваться USB Audio можно двумя способами: для воспроизведения звука и для записи. Если вы втыкаете для первого, то автоматически нередко получаете и второе. Бельме? :)

     
  • 2.11, Dapredator (?), 02:11, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Что ты хочешь от, цитирую, "обезьян, мастурбирующих на безопасность", конец цитаты.
     
     
  • 3.34, PereresusNeVlezaetBuggy (ok), 12:22, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так и живём: https://www.openbsd.org/papers/lvee_2016_openbsd_inside/img3.html
     
  • 2.15, Аноним (-), 07:33, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  Запись тишины вместо звука... это уже из области маразма.

    Есть еще идея на ту же тему: можно из файлов нули по умолчанию читать. А если пользователь явно попросит, так и быть, вот данные файла. Хотя, учитывая что сейчас микрофоны куда только не пихают, с поводом и без...

     

  • 1.27, myhand (ok), 10:37, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Где песенки?!
     
     
  • 2.32, PereresusNeVlezaetBuggy (ok), 12:12, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будут. По ним все соскучились, с Тео живого без них не слезут. :)
     

  • 1.33, PereresusNeVlezaetBuggy (ok), 12:14, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по всему, аудитория OpenNet — сплошь аудиалы, или как там это называется: все комментарии — касаемо записи звука и песенок. :))
     
     
  • 2.36, КГБ СССР (?), 13:08, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Отнюдь. Я, например, уже второй день пробую свежий выпуск на виртуалке, читаю маны, пишу конфиги и всё такое прочее.
     
  • 2.38, Andrey Mitrofanov (?), 13:49, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Судя по всему, аудитория OpenNet — сплошь аудиалы, или как там это
    > называется: все комментарии — касаемо записи звука и песенок. :))

    Ну, на тебе не-аудио вопрос:

    Тео действительно считает ASL2 не достаточно свободной "для базы"?

    Санкции, анафемы и демонстрации по поводу перелицензирования LLVM будут, или там у эппле-гнезде какой-то фанатик-самозванец выдаёт себя за представителя проекта?

     
     
  • 3.39, PereresusNeVlezaetBuggy (ok), 14:28, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Судя по всему, аудитория OpenNet — сплошь аудиалы, или как там это
    >> называется: все комментарии — касаемо записи звука и песенок. :))
    > Ну, на тебе не-аудио вопрос:
    > Тео действительно считает ASL2 не достаточно свободной "для базы"?

    Если вы про Apache Software License 2.0, то — да. Чтобы не заниматься пересказами, здесь, на официальном сайте OpenBSD, подробно описана политика проекта: http://www.openbsd.org/policy.html .

    Но вообще спрашивать Тео на OpenNet как-то странно. Спросите его лично, если вам интересно его мнение. А если интересно моё мнение (раз уж вы ко мне прямо обратились), то причём тут Тео?

    > Санкции, анафемы и демонстрации по поводу перелицензирования LLVM будут, или там у
    > эппле-гнезде какой-то фанатик-самозванец выдаёт себя за представителя проекта?

    Эм. Какие санкции? Вы телевизора пересмотрели?

     
     
  • 4.76, Andrey Mitrofanov (?), 09:55, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Судя по всему, аудитория OpenNet — сплошь аудиалы, или как там это
    >>> называется: все комментарии — касаемо записи звука и песенок. :))

    Не все, а только лишь половина...

    >> Ну, на тебе не-аудио вопрос:
    >> Тео действительно считает ASL2 не достаточно свободной "для базы"?
    > Если вы про Apache Software License 2.0, то — да. Чтобы не
    > заниматься пересказами, здесь, на официальном сайте OpenBSD, подробно описана политика
    > проекта: http://www.openbsd.org/policy.html .

    Спасибо.

    > Но вообще спрашивать Тео на OpenNet как-то странно. Спросите его лично, если
    > вам интересно его мнение. А если интересно моё мнение (раз уж
    > вы ко мне прямо обратились), то причём тут Тео?
    >> Санкции, анафемы и демонстрации по поводу перелицензирования LLVM будут, или там у
    >> эппле-гнезде какой-то фанатик-самозванец выдаёт себя за представителя проекта?
    > Эм. Какие санкции? Вы телевизора пересмотрели?

    Ну, эээ... Вы там теперь
       https://www.phoronix.com/scan.php?page=news_item&px=LLVM-Code-Relisencing-2018
    снова без компилятора (без двух!) будете во имя Луны?

     
     
  • 5.109, PereresusNeVlezaetBuggy (ok), 11:03, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Но вообще спрашивать Тео на OpenNet как-то странно. Спросите его лично, если
    >> вам интересно его мнение. А если интересно моё мнение (раз уж
    >> вы ко мне прямо обратились), то причём тут Тео?
    >>> Санкции, анафемы и демонстрации по поводу перелицензирования LLVM будут, или там у
    >>> эппле-гнезде какой-то фанатик-самозванец выдаёт себя за представителя проекта?
    >> Эм. Какие санкции? Вы телевизора пересмотрели?
    > Ну, эээ... Вы там теперь
    >    https://www.phoronix.com/scan.php?page=news_item&px=LLVM-Code-Relisencing-2018
    > снова без компилятора (без двух!) будете во имя Луны?

    А, ну так это не санкции. Санкции — это если бы разработчики OpenBSD могли создать проблемы разработчикам LLVM/Clang, но я себе это представляю с трудом. Добавлять пункт «это ПО нельзя компилировать компилятором не под BSD-лицензией» в OpenSSH точно никто не будет, во всяком случае. :)

    А так — да, ситуация не из приятных. Но конкретно здесь я не слишком «в теме», за развитием ситуации не слежу и комментировать предметно не могу, к сожалению.

     
  • 5.113, PereresusNeVlezaetBuggy (ok), 11:41, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вдогонку, насчёт LLVM/Clang: только что (в начале релизного цикла OpenBSD 6.5) платформа amd64 переехала на компоновку с использованием lld. До этого на lld были переведены ARM-архитектуры. Так что пока пользуемся тем, что есть и надеемся на лучшее. :)
     

  • 1.40, Аноним (40), 14:58, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Шапочки из фольги символизируют всю секурность OpenBSD. Пошел в линукс обмазываться контейнерами.
     
     
  • 2.41, Аноним (41), 15:15, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ли шапочки с клеткой Фарадея внутри?
     
     
  • 3.45, myhand (ok), 19:17, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Завернись весь в фольгу - вот тебе и клетка Фарадея.
     
     
  • 4.48, Аноним (48), 21:55, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Завернись весь в фольгу

    и в духовку.

     
     
  • 5.49, Газенваген (?), 22:51, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Все в духовку!
     
  • 3.46, Аноним (46), 19:41, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    трусы, пончо, балаклавы, перчатки, носки, обложки для бесконтактных паспортов, но для значимых полей нужна хорошая связь между элементами одежды и землей для шунтирования
     

  • 1.43, myhand (ok), 17:49, 20/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как там с master/slave, инклюзивностью, вот этим вот всем?
     
     
  • 2.51, PereresusNeVlezaetBuggy (ok), 23:46, 20/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если читал (и воспринял) OpenBSD FAQ и Absolute OpenBSD, то ты — master, если нет — slave.

    Если общаешься на misc@openbsd.org (а лучше на tech@), то ты инклюзивен; если нет, то нет.

    А если вы хотели что-то более конкретное узнать, то и вопрос лучше задайте более конкретный. :)

     
     
  • 3.52, Зуев Иван (?), 06:42, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Короче говоря, мужиков в образе бабы и прочих сжв-снежиночек капризных жалуют? Уступают, стелятся?
     
     
  • 4.65, PereresusNeVlezaetBuggy (ok), 21:26, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Короче говоря, мужиков в образе бабы и прочих сжв-снежиночек капризных жалуют? Уступают,
    > стелятся?

    В сообществе, и в том числе среди разработчиков, есть люди... разные (не буду акцентировать внимание на конкретных примерах, хорошо?). В целом всем пофиг, какого вы цвета кожи, вероисповедания а также с кем, как и когда спите; важно только умение работать в команде. Конечно, кто-то в команде иногда может чего-то ляпнуть типа «я не доверяю коду, написанному ...», но в итоге пока что побеждал разум. :) Логика та же, что и в известной фразе Боба Бека, что, мол, если кто-то использует OpenBSD для изготовления машин по уничтожению младенцев или атомной бомбардировки Австралии, он имеет полное право это делать — с точки зрения лицензии. Функции няни — это не к OpenBSD.

    И скажу честно, если бы там было как-то по-другому, я бы лично очень быстро свалил в закат.

     
  • 3.55, myhand (ok), 09:28, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более конкретно?  Да пожалуйста.

    Нет ли там Code of Conduct?  Не собирается ли Teo сменить пол или вслед за Линусом удалиться к психиатру "get help on how to behave differently"?

     
     
  • 4.66, PereresusNeVlezaetBuggy (ok), 21:31, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Более конкретно?  Да пожалуйста.
    > Нет ли там Code of Conduct?

    Упаси боги. Есть policy по лицензированию, есть code style, есть ещё пара документов об организации взаимодействия и сферах ответственности. Быть примерным семьянином и любить Родину никто не требует.

    >  Не собирается ли Teo сменить
    > пол или вслед за Линусом удалиться к психиатру "get help on
    > how to behave differently"?

    Повторюсь, я не Тео и отвечать за него не могу. Но пока что признаков не вижу. Максимум — по моим наблюдениям Тео в последние годы стал чуть подробнее в своих формулировках по отношению к тем, кто, по его мнению, не приносит пользы проекту. То есть не просто посылает, а чуть подробнее объясняет, почему.

     
     
  • 5.68, КГБ СССР (?), 21:40, 21/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно ли появление в обозримом будущем в OpenBSD дополнений virtualbox-ose-additions?
     
     
  • 6.71, нах (?), 09:36, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    зачем насиловать труп?

    xen, скорее уж, просите - во-первых, можно копипастить из фри, во-вторых, там и почти работает.
    А не 300к/s на внутренней сети при числе процессоров больше одного.

     
     
  • 7.89, КГБ СССР (?), 12:46, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    xen курятник-only. А мне надо универсальное. Альтернатив для VirtualBox не вижу. Ну, точнее, бесплатных. За деньги-то все умные. :)
     
     
  • 8.92, нах (?), 13:20, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну если толком неработающее даже в тех системах, которые официально поддерживают... текст свёрнут, показать
     
     
  • 9.103, КГБ СССР (?), 19:38, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что там, кстати, вообще во фре, какие процессы протекают, что плохого слышно ... текст свёрнут, показать
     
  • 6.98, PereresusNeVlezaetBuggy (ok), 14:03, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вероятно ли появление в обозримом будущем в OpenBSD дополнений virtualbox-ose-additions?

    Маловероятно — в том виде, в котором вы себе представляете. Например, потому что механизм загружаемых модулей ядра благополучно выпилен из OpenBSD ещё N лет назад.

    В OpenBSD из коробки идут паравиртуальные (или как правильно их назвать?) драйвера для всех популярных гипервизоров. VirtualBox из них наименнее популярная среди разработчиков, хотя есть положительные отзывы о работе под последними версиями VB (которые вроде как больше не пытаются патчить на лету работающее ядро гостевой ОС).

     
     
  • 7.104, КГБ СССР (?), 19:57, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, спасибо.
     

  • 1.88, Stax (ok), 12:33, 22/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Фальшивая многопоточность (SMT, в случае с процессорами Intel называется HT — HyperThreading) отключена по умолчанию из-за небезопасного использования ядер ЦП.

    Им лишь бы отключать. А проверить на предмет уязвимости проца перед отключениям - никак? В свежих интелах, к примеру, эти уязвимость (Foreshadow) уже устранили - на железном уровне в кремнии, даже не в микрокоде. Равно как и meltdown, устранен и больше не требует замедлений из-за обхода в микрокоде и/или ядре.

     
     
  • 2.99, PereresusNeVlezaetBuggy (ok), 14:09, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Фальшивая многопоточность (SMT, в случае с процессорами Intel называется HT — HyperThreading) отключена по умолчанию из-за небезопасного использования ядер ЦП.
    > Им лишь бы отключать. А проверить на предмет уязвимости проца перед отключениям
    > - никак?

    А что, вы знаете способ «проверять на предмет уязвимостей процессоры», даже ещё не известные? Круто, чо. Где же вы раньше были, когда уязвимости в HT _уже_ имелись, только не известные публике?

    Технология SMT на x86 зарекомендовала себя... отвратительно. Поэтому в OpenBSD, в полном соответствии с подходом secure by default, отключили по умолчанию грабельное поведение. Захотите — включите себе нужный sysctl.

    Кстати, если вы не в курсе, то далеко не во всех задача SMT вообще повышает производительность, иногда даже наоборот выходит.

    > В свежих интелах, к примеру, эти уязвимость (Foreshadow) уже
    > устранили - на железном уровне в кремнии, даже не в микрокоде.

    А сколько ещё НЕ устранили, можете сообщить?

    > Равно как и meltdown, устранен и больше не требует замедлений из-за
    > обхода в микрокоде и/или ядре.

    Meltdown — разговор отдельный.

     
     
  • 3.101, Stax (ok), 14:55, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, вы знаете способ «проверять на предмет уязвимостей процессоры», даже ещё не известные?

    Зачем вам неизвестные уязвимости?

    Если боитесь неизвестных, то вообще нельзя использовать никакие процессоры со спекулятивным выполнением, а также с общим кэшем и остальным. Только жестко сбрасывать все состояние всех частей процессора при каждом переключении задач, чтобы ничего никогда не разделялось. Между прочим, о том, что архитектура современных процессоров способствует таким уязвимостям грамотные инженеры писали еще много лет назад. Почтайте документ "Side channel vulnerability factor" от semantic scholar - 2012 года, между прочим, там уже есть о причинах всех эти уязвимостей и известные примеры утечки данных через разделение структур. Пару проблем нашли еще в 2005, еще 4 в 2007 и так далее. Далее эти грамотные инженеры сделали SPARC, который очень хорошо защищен от подобных проблем.. но тут то ли маркетологи слили, то ли что еще.

    > Технология SMT на x86 зарекомендовала себя... отвратительно

    Где именно? На серверной нагрузке (не совсем любой, но абсолютном большинстве) - отлично. На рендеринге и другой хорошо параллелящейся нагрузке - тоже хорошо. Даже геймеры на бюджете беря "гиперпни" или core i3 с HT получают в своих играх огромный прирост от HT, если исходно ядер было мало.

    HT это грамотная технология. Кстати, на тех же SPARC и Power часто потоков намного больше, чем 2. Но и на x86 легко запустить бенчмарк и убедиться.

    > А сколько ещё НЕ устранили, можете сообщить?

    Вам лень открыть официальные документы? Spectre всех мастей не устранили, потому что это очень сложно. Какие-то подвижки по некоторым вариациям будут в следующих поколениях.

    > Meltdown — разговор отдельный.

    Почему Meltdown отдельный, а L1TF / Foreshadow нет?

     
     
  • 4.102, Stax (ok), 15:51, 22/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На серверной нагрузке (не совсем любой, но абсолютном большинстве) - отлично. На рендеринге и другой хорошо параллелящейся нагрузке - тоже хорошо. Даже геймеры на бюджете беря "гиперпни" или core i3 с HT получают в своих играх огромный прирост от HT, если исходно ядер было мало.

    Чтобы не быть голословным, сразу пруфы с моей стороны:
    Рандомная нагрузка на "домашнем" четырехядерном i7 (самые разные примеры, включая компиляцию ядра) - выигрыш от HT порядка 30%: https://www.phoronix.com/scan.php?page=article&item=intel-ht-2018&num=1

    Более серьезный 10C/20C 7900X - "почти маленький Xeon" - очень некислый выигрыш в pgbench: https://www.phoronix.com/scan.php?page=article&item=i9scaling-linux-bsd&num=6

    По поводу рендеринга. Вот свежие тесты по последнему поколению (в котором, собственно, аппаратный фикс L1TF) - https://www.tomshardware.com/reviews/intel-core-i9-9900k-9th-gen-cpu,5847-8.ht

    На первой группе графиков сравниваем 9700K (8C/8T) и 9900K (8C/16T); у последнего на 2% больше тактовая частота, но реальная разница намного больше. А еще на второй группе 7-zip decompression впечатляет.

    По поводу малоядерных pentium / core i3 и игр конкретные ссылки не дам (находится какой-то youtube шлак в основном), но такие бенчмарки были и прирост от HT при двух ядрах весьма ощутимый.
    Но вообще малоядерные CPU встречаются не только на десктопах, напр. у меня простенькие серверы есть с двухядерным Atom с HT, или планшет на двухядерном Pentium с HT. Прирост от HT там весьма заметен.

     
  • 4.108, PereresusNeVlezaetBuggy (ok), 10:39, 23/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Затем, что если я иду в тёмный лес, я могу и не знать, как зовут того разбойника... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру