forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Glibc обнаружена серьезная уязвимость"
Отправлено paxuser, 20-Окт-10 20:44

> Все бы ничего, но в таковых средах, типа Java/.NET/PHP/whatever ... почему-то находят
Java/.NET/PHP - это разве маргинальные языки/платформы? Это угодные индустрии комбайны. Я имел ввиду Erlang, например, или обероны.
> уязвимости, пачками. Колосс получается на глиняных ногах. А общая монструозность таких
Уязвимости там связаны с применением внешних интерфейсов, небезопасным выполнением опкодов, логическими ошибками в методах изоляции привилегированного кода и линковкой с библиотеками на языках с небезопасными типами. То есть, интерфейсы (а ля JNLP) надо использовать, опкоды - внедрить в песочницу, запустить потенциально опасный код или пользоваться foreign-библиотеками (или встроенными функциями). В случае с демоном, написанным на языке под ту же JVM, эти условия в большинстве случаев не соблюдаются, либо их можно несоблюсти намеренно. Попробуйте найти информацию хотя бы об одной уязвимости в этих средах, не связанную с соблюдением одного из выше перечисленных условий.
> сред заведомо гарантирует что там будут кучи багов. ИМХО большой вопрос
Багов, связанных с ошибкой в реализации безопасных типов, там нет (но ничтожную вероятность их наличия я не отрицаю).
> что там дырявее окажется: демон на 10 кило на си, или
> демон на 10 кило на типобезопасном языке + 100 мегов среды
> этого типобезопасного (писаные как правило на все тех же типоопасных сях).
Демон на си будет дырявее. А 100 мегов среды - это зарезервированная динамическая память, библиотеки (которые часто нельзя маппить прямо в память и в таком виде использовать, как секции в том же ELF) и память для JIT-компиляции. По-моему, это безобразие, но вполне терпимое. Хорошие (все они маргинальные) типобезопасные языки от таких недостатков свободны.
>> (как раз они реализованы в PaX и т.п.) для приложений на языках с
>> небезопасными типами, вроде C/C++.
> Хз, почему-то все хотят видеть панацею в таких языках, но по факту
Это не панацея, а средство избавления от классов наиболее серьёзных ошибок.
> - как-то сильно лучше не становится. Ну да, там вместо переполнений
> буферов - sql injection, php includes всякие и т.п.. И даже
> назойливый XSS как оказалось может быть более зловредной штукой чем можно
> самоходное ПО :). В общем старые проблемы решили (если бы :D),
> новых насоздавали.
Вы сейчас опровергаете свои же слова о типобезопасности как панацеи.
> А результаты сообщить не хотите для разных программ?
Хочу, но не помню. Оверхед был крайне незначительный, на уровне погрешности вычислений. Вещи, вроде PaX/MEMORY_SANITIZE в отдельных случаях съедают гораздо больше, и это для нас приемлемо. Регрессий производительности не наблюдается.
> Вообще, звучит разумно.
Кроме того, рост потребности в ресурсах должен прогнозироваться и обеспечиваться материально (докупить железо, провести оптимизацию архитектуры/алгоритмов и т.п.), иначе итогом будет захлёб и простои.

Исходное сообщение
"В Glibc обнаружена серьезная уязвимость" Отправлено paxuser, 20-Окт-10 20:44
> Все бы ничего, но в таковых средах, типа Java/.NET/PHP/whatever ... почему-то находят Java/.NET/PHP - это разве маргинальные языки/платформы? Это угодные индустрии комбайны. Я имел ввиду Erlang, например, или обероны. > уязвимости, пачками. Колосс получается на глиняных ногах. А общая монструозность таких Уязвимости там связаны с применением внешних интерфейсов, небезопасным выполнением опкодов, логическими ошибками в методах изоляции привилегированного кода и линковкой с библиотеками на языках с небезопасными типами. То есть, интерфейсы (а ля JNLP) надо использовать, опкоды - внедрить в песочницу, запустить потенциально опасный код или пользоваться foreign-библиотеками (или встроенными функциями). В случае с демоном, написанным на языке под ту же JVM, эти условия в большинстве случаев не соблюдаются, либо их можно несоблюсти намеренно. Попробуйте найти информацию хотя бы об одной уязвимости в этих средах, не связанную с соблюдением одного из выше перечисленных условий. > сред заведомо гарантирует что там будут кучи багов. ИМХО большой вопрос Багов, связанных с ошибкой в реализации безопасных типов, там нет (но ничтожную вероятность их наличия я не отрицаю). > что там дырявее окажется: демон на 10 кило на си, или > демон на 10 кило на типобезопасном языке + 100 мегов среды > этого типобезопасного (писаные как правило на все тех же типоопасных сях). Демон на си будет дырявее. А 100 мегов среды - это зарезервированная динамическая память, библиотеки (которые часто нельзя маппить прямо в память и в таком виде использовать, как секции в том же ELF) и память для JIT-компиляции. По-моему, это безобразие, но вполне терпимое. Хорошие (все они маргинальные) типобезопасные языки от таких недостатков свободны. >> (как раз они реализованы в PaX и т.п.) для приложений на языках с >> небезопасными типами, вроде C/C++. > Хз, почему-то все хотят видеть панацею в таких языках, но по факту Это не панацея, а средство избавления от классов наиболее серьёзных ошибок. > - как-то сильно лучше не становится. Ну да, там вместо переполнений > буферов - sql injection, php includes всякие и т.п.. И даже > назойливый XSS как оказалось может быть более зловредной штукой чем можно > самоходное ПО :). В общем старые проблемы решили (если бы :D), > новых насоздавали. Вы сейчас опровергаете свои же слова о типобезопасности как панацеи. > А результаты сообщить не хотите для разных программ? Хочу, но не помню. Оверхед был крайне незначительный, на уровне погрешности вычислений. Вещи, вроде PaX/MEMORY_SANITIZE в отдельных случаях съедают гораздо больше, и это для нас приемлемо. Регрессий производительности не наблюдается. > Вообще, звучит разумно. Кроме того, рост потребности в ресурсах должен прогнозироваться и обеспечиваться материально (докупить железо, провести оптимизацию архитектуры/алгоритмов и т.п.), иначе итогом будет захлёб и простои.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Все бы ничего, но в таковых средах, типа Java/.NET/PHP/whatever ... почему-то находят > Java/.NET/PHP - это разве маргинальные языки/платформы? Это угодные индустрии комбайны. > Я имел ввиду Erlang, например, или обероны. >> уязвимости, пачками. Колосс получается на глиняных ногах. А общая монструозность таких > Уязвимости там связаны с применением внешних интерфейсов, небезопасным выполнением опкодов, > логическими ошибками в методах изоляции привилегированного кода и линковкой с библиотеками > на языках с небезопасными типами. То есть, интерфейсы (а ля JNLP) > надо использовать, опкоды - внедрить в песочницу, запустить потенциально опасный код > или пользоваться foreign-библиотеками (или встроенными функциями). В случае с демоном, > написанным на языке под ту же JVM, эти условия в большинстве > случаев не соблюдаются, либо их можно несоблюсти намеренно. Попробуйте найти информацию > хотя бы об одной уязвимости в этих средах, не связанную с > соблюдением одного из выше перечисленных условий. >> сред заведомо гарантирует что там будут кучи багов. ИМХО большой вопрос > Багов, связанных с ошибкой в реализации безопасных типов, там нет (но ничтожную > вероятность их наличия я не отрицаю). >> что там дырявее окажется: демон на 10 кило на си, или >> демон на 10 кило на типобезопасном языке + 100 мегов среды >> этого типобезопасного (писаные как правило на все тех же типоопасных сях). > Демон на си будет дырявее. А 100 мегов среды - это зарезервированная > динамическая память, библиотеки (которые часто нельзя маппить прямо в память и > в таком виде использовать, как секции в том же ELF) и > память для JIT-компиляции. По-моему, это безобразие, но вполне терпимое. Хорошие (все > они маргинальные) типобезопасные языки от таких недостатков свободны. >>> (как раз они реализованы в PaX и т.п.) для приложений на языках с >>> небезопасными типами, вроде C/C++. >> Хз, почему-то все хотят видеть панацею в таких языках, но по факту > Это не панацея, а средство избавления от классов наиболее серьёзных ошибок. >> - как-то сильно лучше не становится. Ну да, там вместо переполнений >> буферов - sql injection, php includes всякие и т.п.. И даже >> назойливый XSS как оказалось может быть более зловредной штукой чем можно >> самоходное ПО :). В общем старые проблемы решили (если бы :D), >> новых насоздавали. > Вы сейчас опровергаете свои же слова о типобезопасности как панацеи. >> А результаты сообщить не хотите для разных программ? > Хочу, но не помню. Оверхед был крайне незначительный, на уровне погрешности вычислений. > Вещи, вроде PaX/MEMORY_SANITIZE в отдельных случаях съедают гораздо больше, и это > для нас приемлемо. Регрессий производительности не наблюдается. >> Вообще, звучит разумно. > Кроме того, рост потребности в ресурсах должен прогнозироваться и обеспечиваться материально > (докупить железо, провести оптимизацию архитектуры/алгоритмов и т.п.), иначе итогом будет > захлёб и простои.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру