> W^X -> технология, основанная на Х-бит? Если так, то она есть -
> ею можно пользоваться в userspaceНе обязательно именно на аппаратный бит. Суть именно в принципе «либо запись, либо исполнение», конкретные реализации на разных платформах могут отличаться.
> SSP -> Stack-Smashing Protector (ProPolice) это рандомная фишка gcc, которая кушает 5%
> на тестах, и в реальных боевых условиях не сделает из компа ракету.
Эта фишка не раз и не два спасала собранные с её помощью приложения от эксплуатации имевшихся в них серьёзных дырок. Да и 5% — это именно результат тестов, в реальности паразитная нагрузка ниже, так как относится только к контексту выполнения приложения. В приложениях, завязанных на тот или иной вид I/O (а таких на боевых серверах большинство) и/или на сложную математику (шифрование и другие задачи, где немалая часть работы осуществляется в рамках одной функции), потери вообще незаметны.
> Все остальные технологии основаны на рандомизации. Круто быть рандомно защищенным и платить
> за это усложнением поддержки разрабатываемого кода, невозможностью дебага, поднятым ручником
> для всех приложений.
Ну и как, скажем, PIE помешает дебагу? Если это именно дебаг, а не попытка взлома чужого бинарника. Вообще, не путайте разработку и продакшн. Для разных целей используются разные системы (в плане настройки). Для разработки особо извращённых программ, или там модулей ядра, я выставлю securelevel=-1 в /etc/rc.securelevel, подкручу несколько sysctl, и буду щаслив. А для разработки обычных и это не требуется.
Зато вражескому коду, попади он в вашу систему, придётся несладко. Шелл-код нередко ограничен считанными десятками байтов (сколько в буфер влезло, ограниченный тем же SSP), и найти, скажем, адрес нужной библиотеки ему будет сильно проблематично.
> Давайте сравним? OpenBSD во главу угла ставит параноидальную защищенность. Её можно воспринимать
> как платформу для обкатки технологий, которые потом появляются в других ОС.
> NetBSD - переносимость. DragonFlyBSD - класстеризация. FreeBSD - это платформа для
> продакшен серверов, которую можно и нужно сравнивать с Windows и Linux.
> Весь этот зоопарк *BSD* ОС подобен зоопарку Linux платформ, только BSD
> более четко разделены меж собой по подходу.
Мир несколько сложнее, чем вы здесь утверждаете.
> И вообще, считается, что защита связанная с усложнением технологии по преодолению защиты
> системы не может считаться достаточным для целого ряда программных ошибок, способных
> привести к компрометации системы или хранимой ею данных. Нет гарантии, что
> код, призванный защитить от проникновения, сам не послужит ступенькой для злоумышленника.
> Поэтому во FreeBSD разработчики кодовой базы избегают модных тенденций, портируя лишь
> зарекомендовавшие себя технологии.
FreeBSD — хорошая система. Но в первую очередь — для фанатов скорости работы системы. Здесь она действительно хороша. А вот по остальным пунктам (удобство установки, удобство сопровождения и обслуживания, надёжность работы) есть свои нюансы. Точно так же другие *BSD нередко портируют драйвера из FreeBSD (например, драйвера для последних поколений Ethernet-контроллеров от Intel).
> Чтобы мой ответ не послужил темой холивора, отметичу, что на сегоднешний день
> ни одна ОС не может считаться идеальной. Прекрасно представляю, насколько это
> касается FreeBSD, поскольку мне с ней приходится более всего работать. Профессионалы
> знают недостатки тех систем, с которыми работают. Именно это их кормит.
> Хотел бы узнать, какими ОС вы занимаетесь?
Хоть это и не ко мне, но во избежание ненужных разборок отвечу: OpenBSD, FreeBSD, MS Windows, GNU/Linux — в порядке убывания интенсивности работы.
