| 1.1, Аноним (-), 10:20, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
> В первом случае атака проводится через процесс gnome-video-thumbnailer, создающий эскиз с пиктограммой
> в втором случае используется процесс tracker-extract, автоматически собирающий метаданные новых файлов.
Опять гном. Кушайте не обляпайтесь.
| | |
| |
| 2.40, freehck (ok), 13:13, 16/12/2016 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Я тоже не люблю гном. Но в данном случае проблема не с ним, а с плагинами.
Не все, как мы, согласятся 95% времени в терминале сидеть. Юзер-казуал в самом деле ждёт превьюшек всяких картинок и видео-файлов. И Гном обязан иметь этот пресловутый трекер, которые оные картинки создаёт.
| | |
| |
| 3.43, Аноним (-), 13:48, 16/12/2016 [^] [^^] [^^^] [ответить]
| –15 +/– |
ЧСВ еще не распирает черепную коробку? ГУИ - дефолт. точка.
К тому же тебе хватит и 1% времени чтобы эта уязвимость сработала.
Проблема в гстримере, который есть набор костылей с эмуляторами какого-то мусора для неиспользуемых форматов и просто рeшето. Там же синим по зеленому написано.
| | |
| 3.80, Аноним (-), 17:52, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
А ты в терминале не слушаешь mp3? Или у тебя там слаще vim нет ничего? А то обработчики форматов штуки навороченные и внимание их безопасности стали уделать только недавно. Когда народ начал fuzzing'ом баловаться и проч.
| | |
| |
| 4.100, Аноним (-), 19:02, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Xorg еще ооочень долго будет жить.
Он будет жить ровно столько сколько его кто-то готов поддерживать. Разработчики графики в лине вполне себе хотят отвертеться от майнтенанса древнего кода который обладает кучей проблем и который невероятно сложно допиливать под современные реалии. А современные реалии могут быть и 4K * 4K да еще 64bpp (fp16 на канал). Там железячники то "pushed to their limits" и придумывают невероятные костыли. А уж крап типа иксов по любому будет тормозом прогресса.
| | |
| |
| 5.134, freehck (ok), 22:21, 18/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Да и сам WM вполне нормально заменяется в тех же кедах, крысе или гнуме:
Кстати, а в чём вот суть замены xfwm на i3wm? Посмотрел одну вашу ссылку: там выпиливыют всё касающееся xfce и xfwm, и оставляют только конфиг i3. Как следствие, вопрос: не легче ли тогда взять за основу чистый i3wm и добавить к нему xfce-panel?
Если ещё точнее, то мне, пожалуй, не совсем ясно, какой именно функционал добавляет DE к оконному менеджеру. Я вот пока вижу только панель и всякие плагинчики к ней. А больше ничего такого DE-специфичного..
| | |
| |
| 6.137, zeus (??), 13:19, 19/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Я вот пока вижу только панель и всякие плагинчики к ней
А я не понимаю зачем эти извращения в иксах вашему брату вообще нужны, когда tmux/screen тыщу лет как. Или прописывать floating для каждого ГУИ-приложения составляет особое удовольствие? )
| | |
| |
| 7.138, freehck (ok), 17:08, 19/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
tmux/screen - это конечно вещь нужная, но уж извините, i3 поддерживает смену хоткеев при входе в особые режимы работы, в отличие от wmii3 без плясок с бубном поддерживается кириллица в заголовках окон, а также многомониторные конфигурации заводятся с полпинка.
PS: А floating, кстати, я так и не прописал ни одному приложению. :)
| | |
|
|
|
|
| 3.126, Аноним (-), 04:17, 17/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Но в данном случае проблема не с ним, а с плагинами.
Если что, "gnome" в репе - это вообще пустой пакет, но с кучей зависимостей. По такой логике, на него ни один баг повесить нельзя, он безглючен как программа с нулевым размером.
Реальность же в том, что трекер и гстример пишут ТЕ ЖЕ макаки, что и прочие гномоприложения. Думают при это тем же самым межушным ганглием, и пишут теми же самыми кривыми руками.
Иными словами - для вхождения в общество разработки гнома тебе нужно (и/или): быть фанатом редхата, быть хипстером/дизайнером/вые6щиком, быть фанатом мобильного убожества, или просто быть содомитом (там любят двигать всякие outreach program). А лучше всё и сразу.
Эта добрая традиция поддерживается уже больше 15 лет. См также CADT (https://www.jwz.org/doc/cadt.html)
| | |
|
|
| 1.2, Фуррь (ok), 10:22, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
 Перекатился на KDE со времён третьеГНОМА и на VLC тогда же и не дую.
| | |
| |
| 2.39, soarin (ok), 13:06, 16/12/2016 [^] [^^] [^^^] [ответить] | –3 +/– |  Держи в курсе Но какое это отношение имеет к этой статье По дефолту в том же K... большой текст свёрнут, показать | | |
| |
| 3.58, Аноним (-), 14:44, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> По дефолту в том же KDE много завязано и на gstreamer.
Я больше скажу: monodevelop на гстримере завязан. Нахрена козе боян?
| | |
| 3.114, Аноним (-), 22:22, 16/12/2016 [^] [^^] [^^^] [ответить]
| –4 +/– |
Чего хайп развели то? На Linux нет же вирусов! Вот и не паримся...
| | |
|
| 2.41, vantoo (ok), 13:24, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 VLC в свое время был лучшим, сейчас mpv рулит, но его интерфейс и управление отбивает все желание им пользоваться. Подумываю перейти на SMPlayer, или что-то другое с mpv в качестве бэкэнда, но с классическим интерфейсом.
| | |
| |
| 3.101, Аноним (-), 19:04, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> VLC в свое время был лучшим, сейчас mpv рулит
Все бы ничего но ни тот ни другой как таковые не мультимедийные фреймворки для встраивания в другие программы. Хотя у vlc еще есть libvlc, но чтобы им пользоваться для обработки мультимедии в софте - а софт который так делал бывает вообще? :)
| | |
|
| 2.71, Фуррь (ok), 16:03, 16/12/2016 [^] [^^] [^^^] [ответить]
| +9 +/– |
Кажется, меня не поняли. Я имею в виду бэкэнд vlc, а не проигрыватель.
| | |
| |
| 3.79, Ordu (ok), 17:33, 16/12/2016 [^] [^^] [^^^] [ответить]
| –10 +/– |
 Все тебя поняли. Ты почему-то считаешь, что кому-то есть какое-то дело до того, каким софтом ты пользуешься. Отзывчивое сообщество предложило тебе и дальше всем рассказывать о том, какими проигрывателями ты пользуешься, какой туалетной бумагой подтираешь свой зад, и всю прочую инфу тоже рассказывать.
| | |
| |
| 4.112, Фуррь (ok), 20:53, 16/12/2016 [^] [^^] [^^^] [ответить]
| +9 +/– |
А, ты, наверно, ГНОМер :-) Тогда понятен твой бугурт.
А я, кстати, реализую своё право на свободу слова.
| | |
| |
| 5.117, Ordu (ok), 23:33, 16/12/2016 [^] [^^] [^^^] [ответить]
| –8 +/– | |
Лол, эти борцы за свободу слова, которые считают что кому-то кроме них есть дела до того, что им причиняет баттхёрт существование какой-то там DE, иногда становятся даже забавны.
Я не пользуюсь ни гномом, ни кедами. Для меня лучший IDE -- терминал. И wm при этом я выбираю по принципу чем проще тем лучше, лишь бы модель фокуса переключаемого наведением мышки была бы реализована нормально.
| | |
| 5.121, freehck (ok), 00:44, 17/12/2016 [^] [^^] [^^^] [ответить]
| –6 +/– |
> А, ты, наверно, ГНОМер :-) Тогда понятен твой бугурт.
> А я, кстати, реализую своё право на свободу слова.
Эээ... Во-первых он точно не гномер.
Во-вторых бугурт - это когда латник врывается в строй врага. хз почему лурковцы стали использовать его как синоним баттхёрта.
В-третьих, свобода свободой, а людям конечно же оооооочень есть дело до того, каким софтом Вы пользуетесь.
| | |
|
|
|
| 2.90, минус_1_мэйнтэйнер (?), 18:26, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Перекатился на KDE со времён третьеГНОМА и на VLC тогда же и
> не дую.
Я вас поздравляю, но реализация кед и пакетирование ее под разные дистры в т.ч. интеграция с конкретным дистрибутивом очень страдают у всех дистро-строителей современных, а с gnome-shell ни у кого таких проблем не наблюдается, сказать почему? Потому что большая фрагментация пакетной базы у КДЕ, об этом еще говорил мэйнтэйнер федоры, когда сваливал и мотивировал свой съ?б как раз тем, что не находит в себе сил поддерживать все это г?вно.
| | |
|
| |
| 2.7, Аноним (-), 10:32, 16/12/2016 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> -gstreamer
Вы думаете в других мультимедийных фреймворках с этим сильно лучше? Или ваша идея в том, чтобы вообще на компьютере музыку не слушать и фильмы не смотреть?
| | |
| |
| 3.22, Анончик (?), 11:32, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> -gstreamer
> Вы думаете в других мультимедийных фреймворках с этим сильно лучше? Или ваша
> идея в том, чтобы вообще на компьютере музыку не слушать и
> фильмы не смотреть?
Не одним Govnostreamer'ом единым мир полнится, есть ещё ffmpeg (можно с -networking для мамкиных параноиков).
| | |
| |
| 4.60, Аноним (-), 14:47, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не одним Govnostreamer'ом единым мир полнится, есть ещё ffmpeg (можно с -networking
> для мамкиных параноиков).
Тогда проще взять топор и в подъезде кабель перерубить. Вот тогда "защита" будет, ога.
| | |
| 4.61, Аноним (-), 14:48, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Как это поможет от уязвимостей в демуксерах и кодеках? Думаете их там нет? Куча обработчиков весьма сложных форматов, написанных на Си, и все это без единой уязвимости?
В том-то и дело, что это не проблема гстримера, это системная проблема, и поменять шило на мыло — не решение.
| | |
| |
| 5.84, Аноним (-), 18:02, 16/12/2016 [^] [^^] [^^^] [ответить] | +3 +/– | Там еще и ассемблер есть А ява которая в виртуалочке и типа-безопасная но тормо... большой текст свёрнут, показать | | |
| |
| |
| 7.102, Аноним (-), 19:09, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Нет, Вы упустили одну мысль, потому что в 2000х не было никаких
> хакеров ;)...и человеку который что-то строит в голову не придет, что
> кто-то придет и взорвет этот дом ;)
Вообще-то червяк морриса довольно баянная штука. Замки в дверях тоже придумали вроде бы далеко не вчера. А некоторые жили в мире розовых пони, искренне полагая что принцессы не какают, а хакеры не пришлют их программе carefully crafted данные, нацеленные на то чтобы логику программы сломать, с тем или иным профитом.
| | |
|
| 6.119, Аноним (-), 00:29, 17/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Так я Джаву и не предлагал, да сама JVM и ОС под ней написаны на C/C++.
Мы слишком давно и глубоко зашли не туда, решением может быть только принципиально другая ОС на принципиально другом железе.
| | |
|
|
|
| 3.50, Аноним (-), 14:24, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> -gstreamer
> Вы думаете в других мультимедийных фреймворках с этим сильно лучше? Или ваша
> идея в том, чтобы вообще на компьютере музыку не слушать и
> фильмы не смотреть?
>Особого внимания заслуживает техника атаки, основанная на ошибке в коде обработки музыкального формата SNES (Super Nintendo Entertainment System).
Да будет сильно лучше, если использовать то-же deadbeef/audacious/mocp/mpd, то поддерживаемые форматы вынесены в качестве плагинов, которые можно при желании отключить или заменить на безопасные, а gstreamer - это большое неповоротливое гуано, куда напихали бездумно все подряд, его вероятно можно пересобрать без поддержки SNES, но это займет порядком больше времени.
| | |
| |
| 4.55, Аноним (-), 14:37, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вообще-то в gstreamer тоже плагины и их тоже можно удалять индивидуально и без пересборки.
| | |
| |
| 5.74, Аноним (-), 16:39, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, только в большинстве дистрибутивов они разбиты на good/bad/base, хочешь иначе - иди пересобирай.
| | |
| |
| 6.85, Аноним (-), 18:03, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ну да, только в большинстве дистрибутивов они разбиты на good/bad/base, хочешь иначе
> - иди пересобирай.
Так это же и плагинов mpd касается.
Ну и вообше, gstreamer это фреймворк которым можно пользоваться из других программ. А mpd это просто программа. Которую из своей программы вызывать криво и нерезультативно.
| | |
|
|
| |
| 5.105, Аноним (-), 19:29, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Проще ограничить себя интернет радио и не качать всякую муть с браузеров,
ИМХО это недостаточно радикально. Лучше ограничить себе сеть локалхостом. И его потом забанить на фаере, согласно заветам роскомпозора. Хотя более надежно наверное ограничить себя в электричестве. Без электричества компьютеры не работают - враг не пройдет.
> а юзать там торренты скажем + проигрыватели, да и все.
А это, кто гарантирует отсутствие дыр в торрент клиенте и проигрывателях? А также то что торрент и его данные - не malicious?
| | |
|
|
|
|
| 1.6, Аноним (-), 10:30, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Сохранять файлы на рабочий стол - чисто вендузятническая привычка.
| | |
| |
| 2.9, Аноним (-), 10:34, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не важно, т. к это только один возможных из вариантов эксплуатации.
| | |
| 2.25, Аноним (-), 11:55, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Только неполноценные используют ПО не так как им удобно, а так как в в каких-то гайдах написано.
p.s. Рабочий стол - обычная папка в системе.
| | |
| |
| 3.30, Аноним (-), 12:13, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Скажи, что можно засунуть на рабочий стол такое, для чего не найдется место в других xdg user dirs? Документы? Но им место в... папке "Документы". Изображения? Но им место в... папке "Изображения". Скачанные наспех файлы? Но им место в... папке "Загрузки". И так далее. Нужность папки "Рабочий стол" неопределенна. Разве что для ярлыков программ, но это опять вендовенько.
| | |
| |
| 4.34, Аноним (-), 12:30, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>"Вендовенько"
Ну мам, ну скажи им что я особенный, я не такой как вся эта серость.
| | |
| |
| 5.35, Аноним (-), 12:32, 16/12/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Мам, ну зачем мне порядок? Мам, ну зачем класть ложки сюда, тарелки сюда, а пылесос сюда? Мам, ну давай просто сделаем один большой склад всегО на балконе? Мам, гении управляют хаосом, пойми.
| | |
|
| 4.53, Аноним (-), 14:33, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Скажи, что можно засунуть на рабочий стол такое, для чего не найдется
> место в других xdg user dirs? Документы? Но им место в...
> папке "Документы". Изображения? Но им место в... папке "Изображения". Скачанные наспех
> файлы? Но им место в... папке "Загрузки". И так далее. Нужность
> папки "Рабочий стол" неопределенна. Разве что для ярлыков программ, но это
> опять вендовенько.
xdg-user-dirs вообще ненужная опухоль. Адекватный пользователь сам знает какие каталоги ему нужно создать и для чего. А эта хрень на столько въелась в систему, что продукты от Mozilla создают ~/Desktop и ~/Downloads при запуске, абсолютно игнорируя тот факт, что xdg в системе отсутствует.
| | |
| |
| 5.67, Аноним (-), 15:14, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> xdg-user-dirs вообще ненужная опухоль. Адекватный пользователь сам знает какие каталоги
> ему нужно создать и для чего.
Тормозилла вообще не такая как все. И xdg она вообще не умеет по назначению использовать. Потому что в стандарте чётко написано, что и где хранить. Только многие пренебрегают этим фактом. В стандарте прописано, что хранить настройки, кеш и какие-то долгосрочные файлы в ~/.config, ~/.cache и ~/.local соответственно. Мне не нравится, когда весь софт гадит в ~/, но увы. Я писал для себя пару патчей, а потом забил. Весь софт сложно переучить, а особенно когда это какой-нибудь gnome, которого у тебя в помине нет, но что-то упорно создаёт ~/.gnome-*. Куда копать - непонятно. А ещё этим страдают alsa, bash и Xorg.
| | |
|
| |
| 5.103, Аноним (-), 19:15, 16/12/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
Накатал целую простыню, оправдывая свое неумение пользоваться хот-кеями.
| | |
| |
| 6.122, freehck (ok), 01:02, 17/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Угу. И ведь ярлыки-то использовать не удобно. Искать ещё эту хренотень глазами по экрану.
Вот то ли дело dmenu. Вызвал его хоткеем, набрал имя нужной программы, она запустилась. Куда как проще.
| | |
|
|
|
| 3.106, Аноним (-), 19:33, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> уязвимости-то работают в любом случае, куда бы не сохранили. Просто журнашлюхи этого
> не понимают.
Чтобы сработало - должен случиться thumbnailing. И если сложить абы куда, он может и случиться. Но когда-нибудь потом. Когда юзер забредет в диру, или какие там критерии.
А если на десктоп вывалить - thumbnail потребуется немедленно. И вот тут то и будет ололо.
Ну а сказ про то что без превьюшек можно обойтись - да конечно моно, но сейчас камеры у каждой собаки в ошейнике, не то что у каждого чудака в смарте. И когда у вас образуется этак штук 500 мувиков, без превьюшек становится галимо.
| | |
|
| 2.47, Crazy Alex (ok), 14:13, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Собственно, как ни наличие "рабочего стола" в принципе. Но вот индексация - штука очень даже осмысленная.
| | |
| 2.62, Аноним (-), 14:52, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Читайте новости целиком, пожалуйста.
>> или открытии каталога с файлом в файловом менеджере | | |
|
| |
| |
| 3.86, Аноним (-), 18:05, 16/12/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> рулит неописуемо! На Фряхе и Солярке в том числе!
На реактос надо портировать. Система вообще не загрузится и проблема с уязвимостями мультимедийных фреймворков отпадет сама собой.
| | |
|
|
| 1.12, J.L. (?), 10:50, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > привлечь внимание к проблеме с плачевным уровнем безопасности в плагинах Gstreamer
только не "в плагинах Gstreamer" а в десктопных дистрибутивах линукса
очень правильно делает, побольше ему разнонаправленных дырок чтоб до народа дошло что надо кроме латания кротовых нор ещё и сам огород забором огораживать
зы: уязвимость в эмуляторе звукового проца порадовала
| | |
| 1.15, Michael Shigorin (ok), 11:01, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 > Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности
По этому поводу заметил, что он ушёл-таки из Microsoft (а вот как он туда попал -- уже толком и не помню, припоминается только, что его лавочку купили SuSE-шники и потащили наработки в дистрибутив, а затем их купил Novell и всё это выкинул). Уже хорошо, т.к. очень грамотный дядька.
| | |
| |
| 2.16, Аноним (-), 11:10, 16/12/2016 [^] [^^] [^^^] [ответить]
| +7 +/– |
Вы путайте, он в MS никогда не работал. Работал в Oracle, Google и Tesla Motors.
А вообще он с чувством юмора и на вопрос, где работает в анкетах указывает "Senior builder of Lego".
| | |
|
| 1.17, Сергей (??), 11:17, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Последние уязвимости это уязвимости парсеров в любых проявлениях, от музыки и картинок до архивов...
| | |
| 1.19, Аноним (-), 11:24, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
У меня dwm. На рабочем столе только паяльник, платы и куча разного барахла валяется.
| | |
| |
| |
| 3.52, Аноним (-), 14:29, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
помню такие дыры были в винде лет 5 назад, может 10.. с тех пор давно не слышно было.
А линукс получается только входит в эту зону.. лет на 10 отстает.
| | |
| |
| 4.56, Anon1 (?), 14:37, 16/12/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Если я на свой десятилетний комп поставлю линукс, то он будет себя вести так, будто ему 20 лет? =)
| | |
| |
| 5.63, Аноним (-), 14:55, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
вспоминая недавний ping death в линуксе - то соглашусь с вами. в винде такую ошибку фиксили в 95м.. 20 лет назад.
| | |
| |
| 6.69, Аноним (-), 15:17, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> вспоминая недавний ping death в линуксе - то соглашусь с вами. в
> винде такую ошибку фиксили в 95м.. 20 лет назад.
Главное, что фиксят, а в венде некоторый софт от этих дыр зависит. И там это либо не фиксится, либо эмулируется.
| | |
| 6.132, Andrey Mitrofanov (?), 15:25, 18/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> вспоминая недавний ping death в линуксе - то соглашусь с вами. в
> винде такую ошибку фиксили в 95м.. 20 лет назад.
Ты главное не вспопинай, как "такие"ТМ ошибки "в линукс" (да, тебе не понять про Гноме) фиксили 20 лет назад, "какие"Тм в венде в это вториник. А то и не пофиксили (см.выше про "вредоносы и ссылки в них") совсем, да? И вообще не смей думать в ту сторону, а то ни дай Б.Г., диссонанс, завороток и аморальная смерть. Такого ж специалиста по сравнительному анализу потеряем! Не-е-ет.
| | |
|
|
| 4.131, Andrey Mitrofanov (?), 15:19, 18/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> помню такие дыры были в винде лет 5 назад, может 10.. с
> тех пор давно не слышно было.
> А линукс получается только входит в эту зону.. лет на 10 отстает.
То-то по нескольку раз в месяц слёзные письма от интерпрайзной техподдержки: мол, участились отдельные случаи обнаружения в почте вредоносных ссылок, если видишь вредоносную ссылку в почте -- удали её и не открывай. И скриншотик в jpeg-е с аутглюком -- вот он какой вредонос и ссылка в нём.
Да-да, расскажите нам больше про "десяточка стала лучше"...
| | |
|
|
|
| 1.26, Аноним (-), 12:02, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Не имею ничего против конкуренции между GNOME и KDE. Однако я уверен, что если бы Red Hat вместо вбухивания кучи денег в аналог KDE - вбухала эту же кучу в развитие KDE, то ничего бы этого не было. GNOME оставался бы маргинальщиной, как и остальные программы авторства Мигеля.
| | |
| |
| 2.28, Аноним (-), 12:05, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Не, ну реально, нафига столько прослоек и абстрацкий? Мало того, что это жрёт память - так это ещё и привносит целую кучу уязвимостей в каждой прослойке!
Нахрена нужен Totem поверх Gstreamer поверх ffmpeg поверх liblamemp3? И ещё пульса там где-то посередине. Я бы понял если бы Totem был навороченным комбайном с кучей крутилочек и всяких фильтров - но нет же, он обладает возможностями Windows Media Player времён Wineows 95.
| | |
| 2.32, Аноним (-), 12:19, 16/12/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
RH болеет NIH-синдромом. Впилила KDE, чтобы потом выпилить. Впилила Xen только потому, что не успевала доделать KVM к релизу RHEL5, а рынок не ждёт. Впилила upstart в Fedora 9 и RHEL6, чтобы потом... ну вы знаете.
| | |
| |
| 3.33, Andrey Mitrofanov (?), 12:23, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> RH болеет NIH-синдромом. Впилила KDE, чтобы потом выпилить. Впилила Xen только потому,
> что не успевала доделать KVM к релизу RHEL5, а рынок не
> ждёт. Впилила upstart в Fedora 9 и RHEL6, чтобы потом... ну
> вы знаете.
Навар с оборота. Движуха! Чем хуже, тем виндовее. Сверьхдоходы сами себя не получат. Не давать клиету расслабиться -- пусть платит. Спасибо Гейтсу, О'Райли и Вайтхёрсу за наш опенсорсик, ура!1
| | |
|
| 2.54, Аноним (-), 14:36, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не имею ничего против конкуренции между GNOME и KDE. Однако я уверен,
> что если бы Red Hat вместо вбухивания кучи денег в аналог
> KDE - вбухала эту же кучу в развитие KDE, то ничего
> бы этого не было. GNOME оставался бы маргинальщиной, как и остальные
> программы авторства Мигеля.
как ни странно, но Мигель был автором mc, который маргинальщиной ну никак назвать нельзя. А вот GNOME3 вроде вообще без его участия делается(могу ошибаться) и да, он должен помереть или уйти с десктопов на планшеты, где ему самое место.
| | |
|
| 1.27, Аноним (-), 12:03, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Печально всё с парадигмой автоматического сбора информации о файле из файла...
Когда-то я считал что если файл имеет расширение mp3, то в нём может лежать только mp3 в определённом формате, и если формат не подходит, то приложение не должно пытаться любыми способами его распарсить. Но оказывается так многим неудобно, и у нас появляются .mp3 файлы в которых лежит совсем другое содержимое, которое мне вероятно никогда в жизни и не понадобилось, но для "нужд пользователей", миллион распознавателей запихали в систему.
| | |
| |
| 2.29, Аноним (-), 12:08, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Мне нравится так смотреть директории "found.000". Там внутри file0000.chk и задолбаешься переименовывать, чтобы понять что это. А Linux показывает: ZIP-архив, mp3-файл, видео. Или "Не распознано, BIN".
| | |
| |
| 3.31, unxed (?), 12:14, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 fidentify, которая от testdisk/photorec прекрасно решает эту проблему.
| | |
| |
| 4.107, Аноним (-), 19:38, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> fidentify, которая от testdisk/photorec прекрасно решает эту проблему.
В большинстве пингвинов сразу есть банальный file и он таки большинство файлов распознает. А проблема с упомянутыми файлами в том что они могут быть не полные. И тут уже ой.
| | |
|
| |
| 4.125, Аноним (-), 03:30, 17/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Калькулятор при это не запускается?
Нет, libmagic ищет "магические числа".
| | |
|
|
| 2.49, Crazy Alex (ok), 14:23, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что если этого не делать - нужно учитывать мешок вариантов. Для того же mp3 это, может, и ограничится приведением регитсра расширения, а вот для джипега мне вариантов 5 точно попадалось. .jpeg, .jpg, .jpe, .jfif - было что-то ещё, но не помню. И это не единственный случай, у DJVU несколько расширений. В этом плане определение по содержанию - способ, избавляющий от привязки к фиксированному списку. Плюс ещё как именно сохранится скачанный из сети файл - интересный вопрос, можно и MP3 с расширением .html получить, или любым другим.
| | |
| 2.57, Аноним (-), 14:40, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Печально всё с парадигмой автоматического сбора информации о файле из файла...
> Когда-то я считал что если файл имеет расширение mp3, то в нём
> может лежать только mp3 в определённом формате, и если формат не
> подходит, то приложение не должно пытаться любыми способами его распарсить. Но
> оказывается так многим неудобно, и у нас появляются .mp3 файлы в
> которых лежит совсем другое содержимое, которое мне вероятно никогда в жизни
> и не понадобилось, но для "нужд пользователей", миллион распознавателей запихали в
> систему.
расширения реально удобно использовать в файловых менеджерах для сортировки файлов, при открытии грамотнее оперировать HEX/ASCII заголовками
| | |
| 2.76, Аноним (-), 17:18, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
В юниксе (и потомках) нет расширений. Такая вот парадигма - есть имя файла и в нем может быть точка.
| | |
| |
| 3.108, Аноним (-), 19:42, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> В юниксе (и потомках) нет расширений. Такая вот парадигма - есть имя
> файла и в нем может быть точка.
Технически оно как бы так, однако ж миднайт командер умеет сортировку по расщирению :). Ну то-есть расширение это сейчас скорее человеческий convention нежели что-то еще.
А просто потому что не удобно когда есть допустим
aba
bac
daf
acb
И поди догадайся кто из них что.
А если хочется лулзов срубить - можно в имя файлов 0x0d или 0x0a засунуть. Или все и сразу. Алсо не менее годно засунуть в навание файла пробелы, кавычки, > | < и проч. В этом месте шеллскриптеры могут конкретно откушать, да и любители командлайна могут наипаться от души :)
| | |
|
|
| 1.36, Аноним (-), 12:38, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Особого внимания заслуживает техника атаки, основанная на ошибке в коде обработки музыкального формата SNES (Super Nintendo Entertainment System). Как оказалось gstreamer-плагин воспроизводит SNES через эмуляцию машинных кодов звукового процессора Sony SPC700 при помощи эмулятора Game Music Emu. В предложенных эксплоитах задействованы две ранее неизвестные уязвимости в эмуляторе, приводящие к переполнению буфера и позволяющие добиться выполнения кода процессором основной системы.
Ну вот и зачем это тащить в умолчательной поставке? Кому это нужно, тот сам поставит.
| | |
| 1.37, Аноним (-), 12:47, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> tracker-extract
вот эта нужная программа очень глючная. Сначала вроде работает. А через некоторое время, смотришь системные логи и диву даешься сколько она гадит, а потом смотришь монитор ресурсов - и охреневаешь от занятых ей ресурсов. А потом сносишь её и живешь без быстрого поиска.
Ну, есть там synapse, кстати, полуживой. Уже хорошо.
| | |
| 1.42, Аноним (-), 13:31, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> flac-файл, который в Fedora достаточно открыть в браузре Chrome
Нно… зачем?!
| | |
| 1.44, Аноним (-), 13:53, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А какого, простите, хера, эти превьюшкосоздавалки не запускаются под строгими профилями AppArmor или SELinux?
Им ведь писать надо только в директорию с превьюшками, запускать всё подряд им не требуется (только что-то вспомогательное для превьюшек).
| | |
| |
| 2.46, лвлвш (?), 14:06, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А какого, простите, хера, эти превьюшкосоздавалки не запускаются под строгими профилями
> AppArmor или SELinux?
> Им ведь писать надо только в директорию с превьюшками, запускать всё подряд
> им не требуется (только что-то вспомогательное для превьюшек).
Затем что
1 АНБ нужны дырки
2 это всё не поможет - в таком случае будет задействованы эксплоиты в рендеринге картинок в de и вообще исполнения произвольного кода в ядре
| | |
| 2.51, Crazy Alex (ok), 14:25, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Скорее - какого там никто дыры искать и чинить не пытался. Надо посмотреть, но у меня сильное подозрение, что половина там тупо статическим анализатором поймается, а две трети от оcтавшегося - gcc-шными санитайзерами.
| | |
| 2.81, AlexYeCu (ok), 17:53, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >Им ведь писать надо только в директорию с превьюшками, запускать всё подряд им не требуется (только что-то вспомогательное для превьюшек).
Да ладно?
Смотрим, чего нужно keneric-у:
unzip, ffmpegthumbnailer, convert_palette.py, blender-thumbnailer.py, gsf-office-thumbnailer, convert…
Т.е. софт из /usr/bin и скрипты из ~/bin (к примеру).
| | |
| |
| 3.109, Аноним (-), 19:46, 16/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> unzip, ffmpegthumbnailer, convert_palette.py, blender-thumbnailer.py, gsf-office-
Если нечто писано на бидоне то оно почти гарантированно не обрабатывает ошибки и считает что принцессы не какают, в том плане что форматы файлов будут правильные, имена файлов всегда будут без подлян, а какой-нибудь system() сделанный на невалидированные юзерские данные - ничем как бы и не чреват.
| | |
| |
| 4.113, AlexYeCu (ok), 21:58, 16/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Если нечто писано на бидоне
К сожалению, бывает так, что если что-то не написано на Питоне, то оно не написано вовсе.
| | |
|
|
| 2.124, Анонимный Алкоголик (??), 02:20, 17/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> А какого, простите, хера, эти превьюшкосоздавалки не запускаются под строгими профилями
> AppArmor или SELinux?
> Им ведь писать надо только в директорию с превьюшками, запускать всё подряд
> им не требуется (только что-то вспомогательное для превьюшек).
А такого, что они должны правильно работать. А не быть дырами в системе, норовящими запустить чей-то зловредный код.
| | |
|
| |
| 2.72, Аноним (-), 16:34, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Да ну тебе, ничего не придется. Просто дождись, когда обновы прилетят, ну и установи их. Думаю, ментейнеры разберутся, че там как организовать.
| | |
| |
| 3.116, Ui (?), 22:44, 16/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Да ну тебе, ничего не придется. Просто дождись, когда обновы прилетят, ну
> и установи их. Думаю, ментейнеры разберутся, че там как организовать.
что делать тем у кого mitm?
| | |
|
|
| 1.70, МимоМаккузик (?), 15:30, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
tracker - это первое, что отключаю при сборке xfce.
жрать столько ресурсов ради дурацких сабнейлов - моветон. Особенно на слабых машинах.
| | |
| |
| 2.127, Аноним (-), 04:24, 17/12/2016 [^] [^^] [^^^] [ответить]
| +/– | |
tracker? в xfce? rly?
Превьюшками там занимается tumbler, вызываемый thunar'ом через dbus, но никак не tracker.
А вот tumbler как раз таки зависит от gstreamer, имеет поганую привычку виснуть и сегфолтится.
| | |
|
| 1.128, Аноним (-), 09:04, 17/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Я одного не понимаю. Давно уже известен вагон методик при кодировании в "небезопасных" языках, таких как С, которые возможность скрытого появления таких уязвимостей сводят к минимуму. Но писатели не устают наступать на одни и те же грабли. А ведь по большому счету это просто вопрос дисциплины и всё.
| | |
| |
| 2.129, XXXasd (ok), 14:11, 17/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Но писатели не устают наступать на одни и те же грабли. А ведь по большому счету это просто вопрос дисциплины и всё.
я тоже считаю -- надо быть с ними построже.. ато совсем уже распоясались
| | |
|
| 1.130, Аноним (-), 19:16, 17/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>gstreamer
шо, опять?
Обиднее всего, что многие нужные тулзы тянут жистремер в зависимостях (аудасити, например), из-за чего совсем снести его из системы нельзя
| | |
|
