URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 91352
[ Назад ]

Исходное сообщение
"Уязвимость в XMir"

Отправлено opennews , 22-Авг-13 23:05 
В развиваемой компанией Canonical прослойке XMir, обеспечивающей трансляцию ввода и вывода между Mir и X-сервером, выявлена (http://mjg59.dreamwidth.org/27327.html) уязвимость. Проблема связана с отсутствием отключения обработки событий ввода при переключения на виртуальный терминал. XMir не обрабатывает ситуацию выхода из текущего графического сеанса, что приводит к продолжению обработки ввода даже после начала работы в виртуальной текстовой консоли. Например, если в графическом сеансе был запущен текстовый редактор и фокус ввода был активен на нём, то после переключения на виртуальный терминал по Ctrl+Alt+F1, весь ввод в консоли, в том числе ввод логина и пароля, дублируется в окне текстового редактора.

URL: http://mjg59.dreamwidth.org/27327.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=37717


Содержание

Сообщения в этом обсуждении
"Уязвимость в XMir"
Отправлено Аноним , 22-Авг-13 23:05 
Лютый баг! Зачёт!

"Уязвимость в XMir"
Отправлено Аноним , 22-Авг-13 23:36 
У иксов и не такие были. (кстати, конкретно этот баг тоже был когда-то)

"Уязвимость в XMir"
Отправлено nogood3 , 23-Авг-13 01:21 
Действительно был!!! Но это же детские болезни, уже если пишут сервер в 2013 году , могли бы и обратить внимание на ошибки прошлых лет.

"Уязвимость в XMir"
Отправлено rshadow , 23-Авг-13 03:17 
Лучше бы знать они тестами свой код покрывают, или опять все на коленке написано будет и десятилетиями исправляться...

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 03:28 
Ты будешь смеятся, но они используют TDD - то есть сначала пишут тесты, и только потом пишут код. Баги, похоже, добавляют потом - или они такие профессионалы

"Уязвимость в XMir"
Отправлено rshadow , 23-Авг-13 03:56 
> но они используют TDD

ну чтож это круто. посморим что получится: canonical(Mir) vs x12(Wayland)


"Уязвимость в XMir"
Отправлено Stellarwind , 23-Авг-13 12:43 
>> но они используют TDD
> ну чтож это круто. посморим что получится: canonical(Mir) vs x12(Wayland)

Wayland это не X12: http://www.x.org/wiki/Development/X12/



"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 12:48 
> Wayland это не X12

бессмысленно пояснять.


"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 10:22 
> Лучше бы знать они тестами свой код покрывают, или опять все на
> коленке написано будет и десятилетиями исправляться...

Тесты это прекрасно, но не стоит их переоценивать. Вон у майкрософта ну все тестами обложено. Что не мешает пролезать совершенно феерическим багам типа "при записи крешдампа на том более 2Тб, файловая система будет разъ@$на в хламину и восстановлению не подлежит".

И как вы понимаете, нашли эти баги отнюдь не тесты. А хомяки у которых по мере популяризации >2Tb дисков в массах - стали сыпаться фаловый системы и злые хомяки стали покусывать за задницы саппортов, которые призадумались что "это жжж неспроста".


"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 10:34 
тесты — это такое современное суеверие. дескать, если много-много тестов написать, то всё будет очень хорошо.

очень интересно говорить таким суеверным, что огромное количество тестов делается вообще «пост-фактум», после обнаружения ошибки. часть начинает задумываться, а часть — орать, что «там все дураки, не умеют сразу тесты писать!»

что характерно, вторая часть обычно сама или не пишет ничего вообще, или «приветмиры», или их копрокод имеет два с половиной теста, которые всё равно не запускают, потому что «они давно не работают, а обновлять нет времени».


"Уязвимость в XMir"
Отправлено mf , 23-Авг-13 15:17 
Тесты - как коментарий к коду. Неактуальный тест хуже его отсутствия. Тесты требуют ресурсов на разработку и сопровождение. Причем сопровождение дороже чем разработка. На сопровождение ресурсов нет никогда. Дополнительно - проектированию системы тестов внимания уделяется меньше. В результате тесты - это херня, которая тормозит разработку в 100500 раз и бесполезна в работе. Не верите? Попробуйте сказать заказчику правду. Срочная фича может быть заимплеменчена за 1 минуту, но выдана будет через месяц, т.к. полный тестовый прогон выполняется 48 часов и повлечет изменение 100500 тестов.

"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 15:25 
не то чтобы совсем уж бесполезна. но да, если с ними переусердствовать, то проект из «разработки софта с сопутствующими тестами» превращается в «разработку тестов с сопутствующим софтом».

к тому же реализовывать «заглушки» для тестовых целей — задача неимоверно нудная, поэтому часто есть желание тестировать только большие кучки.

в общем-то, умение делать хорошие тесты — такое же искусство, как и умение делать хороший код. только код научиться делать всё-таки проще, потому что код писать намного интересней, чем тесты.


"Уязвимость в XMir"
Отправлено Михрютка , 23-Авг-13 12:18 
> очень интересно говорить таким суеверным, что огромное количество тестов делается вообще
> «пост-фактум», после обнаружения ошибки. часть начинает задумываться, а часть
> — орать, что «там все дураки, не умеют сразу тесты писать!»

99% таких суеверных ни одного теста собст руками не написали, знакомы с вопросом понаслышке идиоты дэс. зачем ты с такими разговариваешь?


"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 12:30 
> 99% таких суеверных ни одного теста собст руками не написали, знакомы с
> вопросом понаслышке идиоты дэс. зачем ты с такими разговариваешь?

забавы для. сидишь когда, куришь, думаешь — часть мозга можно выделить и под забаву. настроение, опять же, себе улучшить.


"Уязвимость в XMir"
Отправлено Michael Shigorin , 24-Авг-13 21:56 
> могли бы и обратить внимание на ошибки прошлых лет.

В каноникале?!


"Уязвимость в XMir"
Отправлено Толстеннный троллль , 23-Авг-13 00:03 
Всё правильно, но консоль всё же удобный инструмент, так что пусть люди сами выбирают чем пользоваться. Даже если это "чисто гиковское", то я за равноправие :)

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 05:07 
Товарищ, успокойтесь. Никому не нужна вторая MacOSX, но бесплатная. И первая-то совсем недорого стоит, кому нужно, тот уже купил.

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 06:23 
MacOS, действительно, стоит денег, но отдельно от компьютера не продается. Такой вот парадокс. А посему говорить о ее цене - нонсенс.

"Уязвимость в XMir"
Отправлено Аноним , 22-Авг-13 23:15 
Молодцы! Постим новости от 20 июня. Мешочек конфет вам в подарок.

"Уязвимость в XMir"
Отправлено Аноним , 22-Авг-13 23:15 
https://bugs.launchpad.net/xmir/+bug/1192843

"Уязвимость в XMir"
Отправлено Михрютка , 22-Авг-13 23:55 
Breaking news!!! в альфа версии софтины обнаружена бага!!!

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 00:03 
Эта "альфа версия" будет в следующем релизе убанты. Ее ЛИЧНО космнавт одобрил!

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 00:13 
Что-то утихли новости про вяленд и мир. А так хорошо все начиналось

"Уязвимость в XMir"
Отправлено Magister , 23-Авг-13 00:33 
Прикольно, в первом вышедшем смарте на Android (HTC Dream) на первой прошивке похожим способом рута получали :)

"Уязвимость в XMir"
Отправлено Пиу , 23-Авг-13 02:44 
у него хоть одна версия уже вышла?

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 06:27 
> у него хоть одна версия уже вышла?

А у него не будет версий. Будут сезоны и серии. В свете принятого закона. Типа 3-я серия 2-го сезона. Хотя статус "снимается" после первого сезона могут и отменить.


"Обычный ИЮНЬский баг"
Отправлено Фдуч , 23-Авг-13 08:53 
Этот тикет висит ещё с 20 июня. Но некоторые открыли его для себя только сейчас.
https://bugs.launchpad.net/xmir/+bug/1192843

"Обычный ИЮНЬский баг"
Отправлено Прохожий , 23-Авг-13 09:14 
А это всё потому, что пользователи Ubuntu в консоли почти не работают. Видимо, даже и разработчики, вот и отловили баг так поздно.

"Обычный ИЮНЬский баг"
Отправлено Crazy Alex , 23-Авг-13 16:25 
А кто сейчас в нормальных условиях (то есть когда не поломано всё и вся) работаетв натуральной текстовой консоли, а не в графическом псевдотерминале? Мазохисты?

"Уязвимость в XMir"
Отправлено Прохожий , 23-Авг-13 09:14 
А это всё потому, что пользователи Ubuntu в консоли почти не работают. Видимо, даже и разработчики, вот и отловили баг так поздно.

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 10:06 
И компилируют они не "make", а ЗЕЛЕНОЙ КНОПОЧКОЙ PLAY.

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 10:25 
> И компилируют они не "make", а ЗЕЛЕНОЙ КНОПОЧКОЙ PLAY.

Да не, скорее просто никто не хотел пользоваться обкоцаной консолью при наличии симпатичных графических терминалов. А приколитесь, на ряде девайсов вообще нет такого понятия как консольный режим.


"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 10:29 
> А приколитесь, на ряде девайсов вообще нет такого
> понятия как консольный режим.

поэтому если ядро вошло в ступор — остаётся сделать кофе покрепче, выпить и гадать на оставшейся гуще, почему красивый аппарат превратился в унылый кирпич.


"Уязвимость в XMir"
Отправлено Михрютка , 23-Авг-13 12:20 
>> А приколитесь, на ряде девайсов вообще нет такого
>> понятия как консольный режим.
> поэтому если ядро вошло в ступор — остаётся сделать кофе покрепче, выпить
> и гадать на оставшейся гуще, почему красивый аппарат превратился в унылый
> кирпич.

for everyone else there's always a JTAG porn


"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 12:27 
> for everyone else there's always a JTAG porn

это если его соизволили дать. у меня вот друг есть, так он, бедняга, был вынужден писать софт для девайса, где жопорукие разработчики решили, что жтаг — бесполезная перделка. да-да, даже в «девелоперском» варианте (который нифига не отличается от «нормального»).

понятно, что это дивайс типа «сам пан склепав», просто вспомнилось, с какой нежной любовью он рассказывал, что хотел бы сделать с этими разработчиками.


"Уязвимость в XMir"
Отправлено Михрютка , 23-Авг-13 12:53 
>> for everyone else there's always a JTAG porn
> это если его соизволили дать. у меня вот друг есть, так он,
> бедняга, был вынужден писать софт для девайса, где жопорукие разработчики решили,
> что жтаг — бесполезная перделка. да-да, даже в «девелоперском» варианте
> (который нифига не отличается от «нормального»).

эээ что, даже на разводке не предусмотрен? это... оригинально
а как эти извращенцы предлагали девам софт на плату заливать?


"Уязвимость в XMir"
Отправлено arisu , 23-Авг-13 12:59 
> эээ что, даже на разводке не предусмотрен? это… оригинально
> а как эти извращенцы предлагали девам софт на плату заливать?

нежно! (ц)
я сейчас уже всех подробностей не упомню, разве что парочку новых ругательств.


"Уязвимость в XMir"
Отправлено Прохожий , 23-Авг-13 12:24 
А что для компиляции нужно обязательно переключиться на виртуальные терминалы (CTRL+F*)? Или вы не умеете запускать компиляцию в эмуляторе терминала в вашем DE ? Кстати эмулятор терминала в DE (графической оболочке) не тормозит вывод.

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 09:47 
смешно

"Уязвимость в XMir"
Отправлено Аноним , 23-Авг-13 09:53 
Ну всё, теперь оно точно готово для декстопа!

"Уязвимость в XMir"
Отправлено Необъективный_ , 23-Авг-13 12:23 
> Например, если в графическом сеансе был запущен текстовый редактор и фокус ввода был активен на нём, то после переключения на виртуальный терминал по Ctrl+Alt+F1, весь ввод в консоли, в том числе ввод логина и пароля, дублируется в окне текстового редактора.

Это плохой пример. Гораздо интереснее, когда у пользователя остается открытым окно диалога в каком-нибудь IM клиенте, в котором отправка сообщений настроена по Enter...


"Уязвимость в XMir"
Отправлено UNIm95 , 23-Авг-13 13:47 
xxx: su root -
xxx: dsfew[rgdvfdasdfr
yyy: Привет.
xxx: Ты меня своим привет поседеть заставил.