forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Проект grsecurity опубликовал реализацию механизма защиты RA..., opennews (ok), 07-Фев-17, (0) [смотреть все]

Типа, ну вы тут жуйте плебеи, а за нормальную версию нуно платить А как же http, Аноним (-), 12:28 , 07-Фев-17, (2) –3 //

Точно так же, как сотрудники Intel, которые комитят в gcc А их коллеги работают, Андрей (??), 20:41 , 07-Фев-17, (35)

А чо - хавленый selinux, который шляпа так активно двигала, не помогает , Аноним (-), 12:38 , 07-Фев-17, (3) –4 //

Хваленый SELinux - это когда вы вешаете замок чтобы никто не пролез Защиты всяк, Владимир (??), 12:50 , 07-Фев-17, (4) +10 //

текущая реализация больше похожа на понапутанную как попало колючую проволоку - , . (?), 17:22 , 07-Фев-17, (18) +2 //

нормальная реализация сложновата чуток в grsecurity есть возможность отключат, Валик228 (?), 18:36 , 07-Фев-17, (25) –2

Что там сложного Все просто - пользователь, роль, тип, vitvegl (?), 10:56 , 08-Фев-17, (56) –1

Можетю защиты от RAP , Аноним (-), 13:19 , 07-Фев-17, (6) +3 //

Нет RAP Reuse Attack Protector защищает от ROP Return Oriented Programming , irinat (ok), 01:24 , 08-Фев-17, (48) +1

Объясните, кто грамотный Вот, они под эту защиту целый регистр r12 резериврую, Аноним (-), 15:16 , 07-Фев-17, (9) //

Экий печальный бред , Crazy Alex (ok), 15:47 , 07-Фев-17, (14) +15
А куда ж этот стек из процессора речь ведь о x86_64 архитектуре то делся Или, Аноним (-), 16:16 , 08-Фев-17, (64) +1

Потому что тогда хакеру будет сложней работать Ему прйдётся найти другие дыры, die_russofobs Не раб STEAMDRM (?), 21:30 , 14-Фев-17, (77) –1

А с каких пор можно продавать патчи на ядро , Аноним (-), 15:25 , 07-Фев-17, (10) //

Всегда можно было Более того, они не обязательно должны быть под GPL , Аноним (-), 15:37 , 07-Фев-17, (13) //

Ты перепутал патчи и модули ядра , Аноним (-), 20:22 , 07-Фев-17, (32) //

И патчи тоже можно Другое дело, что после наложения патча ты получившийся проду, Crazy Alex (ok), 21:24 , 07-Фев-17, (38)

то есть GPL не мешает пропринетарщикам зажимать код , Аноним (-), 22:04 , 07-Фев-17, (39)

Скажем так - сильно затрудняет это дело Настолько, что как мейнстрим такой подх, Crazy Alex (??), 04:31 , 08-Фев-17, (51) –2

Ребята из grsecurity чувствую себя при этом прекрасно , Вы все врете (?), 09:23 , 08-Фев-17, (55)

Перед GPL и Столманом все ровны, но ребята из grsecurity ровнее других Альтернат, Аноним (-), 09:24 , 17-Фев-17, (78)

Это вбросчик был, если что PS re 19 порой ещё и автомодер по результатам отсмо, Michael Shigorin (ok), 13:25 , 11-Фев-17, (76)

О, да тут, я смотрю, модер порезвился Непонятно, правда, с чего Ну повторю, не, Crazy Alex (ok), 17:31 , 07-Фев-17, (19) //

grsecurity все же не какой-то левый патч И настолько странных идей в нем ранее,, . (?), 17:36 , 07-Фев-17, (21) //

Давай ты прямо сейчас назовешь имена людей, которые представляют компанию Pax Te, Аноним (-), 17:42 , 07-Фев-17, (23) //

давай ты прямо сейчас не подглядывая в файлик назовешь имена людей, которые не , пох (?), 18:52 , 07-Фев-17, (27) –3

Стоп Давай сначала отвечать за базар Нонейм шлет патчи Нонейм НЕ является пер, Аноним (-), 21:12 , 07-Фев-17, (36)

кому это он их шлет Он их никому не шлет, в паблик вываливает ровно наоборот У, тоже аноним (?), 23:52 , 07-Фев-17, (42)

https bugzilla kernel org show_bug cgi id 123211https www grsecurity net dow, Аноним (-), 00:11 , 08-Фев-17, (44)

ну вот вывалено в паблик - хотите пользуйтесь, не хотите - мимо идите хорошо чт, тоже аноним (?), 01:04 , 08-Фев-17, (46) –1

Фишка GPL в том, что они должны предоставить пользователю свои патчи ПОД ЛИЦЕНЗИ, gogo (?), 03:50 , 08-Фев-17, (50)

Э grsecurity я в гробу видел по десятку причин, но вот тут ты не прав Патч , Crazy Alex (??), 04:38 , 08-Фев-17, (52) –2

Вы неправы В GPL указано распространять экземпляры такого произведения, произв, gogo (?), 08:43 , 08-Фев-17, (54) +1

Производный продукт http www gnu org licenses gpl-faq en html GPLInProprietary, Аноним (-), 11:20 , 08-Фев-17, (58) –1
Дорогая, патч без ядра - это вообще ничто Сам по себе он ничего не может делать, gogo (?), 14:43 , 09-Фев-17, (70) +2

Да, я не знаю, что такое stable-версия Мне что, надо купить чтобы узнать Вот т, Аноним (-), 10:58 , 08-Фев-17, (57)

но истерически верещишь, обвиняя автора во всех смертных грехах и еще чего-то от, Аноним (-), 14:01 , 08-Фев-17, (59)

Вобщем, ничего ты не выяснил Ответов на вопросы не дал Все что высказал вода , Аноним (-), 16:13 , 08-Фев-17, (63) +2

0 ты не умеешь читать - то ли по-английски, то ли вообще в виду 0 ты так и не, . (?), 17:27 , 08-Фев-17, (66) –1

Есть мейнлайн и есть левые патчи Что касается конкретно grsecurity - то было б , Crazy Alex (ok), 18:43 , 07-Фев-17, (26) //

А какая цена платится при использовании этого патча , Аноним (-), 20:24 , 07-Фев-17, (33)

Да какая и всегда с заботой о безопасности - потеря производительности и огранич, Crazy Alex (ok), 21:21 , 07-Фев-17, (37)

у них пока получается ниша совершенно понятная - когда тебе действительно важна, тоже аноним (?), 23:57 , 07-Фев-17, (43)

Собственно критерий нормлаьной технологии - внятно указанные границы применимост, Crazy Alex (??), 04:44 , 08-Фев-17, (53)

ну а какие вот границы применимости у пачки капканов, разложенной внутри перимет, Аноним (-), 14:18 , 08-Фев-17, (60)

что-то тут у них концы с концами не сходятся и как ее подбирать - код исполнять , . (?), 17:33 , 07-Фев-17, (20) //

Может, ещё как может Стандарты защиты таковы, что системный код разбивают на дв, Аноним (-), 19:12 , 07-Фев-17, (30) –2

я не знаю что ты такое называешь системной библиотекой libc состоит из вполне , пох (?), 00:24 , 08-Фев-17, (45) +1

Ты бы хоть книжки почитал раз даже в терминологии плаваешь Дам наводку адрес, Аноним (-), 01:22 , 08-Фев-17, (47) –1

я эти книжки писал А вот ты дальше первой страницы так и не продвинулся, хотя я , пох (?), 14:59 , 08-Фев-17, (61) –1

а, да - для менее упертых и более любознательных школьников - рекомендую все же , пох (?), 15:03 , 08-Фев-17, (62) –1

Справедливости ради, попытки использовать разные сегменты были и вполне успешные, добрый (?), 18:30 , 09-Фев-17, (72)

Очень много недопонимания и агрессии в комментариях Попробую прояснить некоторы, добрый (?), 03:35 , 09-Фев-17, (67) –1 //

Очень хорошо, спасибо Ты говоришь, что запрет распространения купленных исходни, Аноним (-), 04:29 , 09-Фев-17, (68) +1 //

Он же написал никаких ограничений на использование и распространение предоставл, Аноним (-), 08:54 , 09-Фев-17, (69) –1 //

Я покопался в сути вопроса Ньанс заключается в том, что ядро Linux поставляется, Аноним (-), 01:26 , 10-Фев-17, (73)

Откуда у вас эта информация, можете поделиться На сколько я понимаю, ядро поста, добрый (?), 03:32 , 10-Фев-17, (74) –1

А данный патч загружается Не линкуется с ядром Нет Тогда почему человек так бу, Аноним (-), 04:03 , 10-Фев-17, (75)

Всё-таки, если такое право одной из сторон в одностороннем порядке определять ос, добрый (?), 18:19 , 09-Фев-17, (71) –1

Сообщения [Сортировка по времени | RSS]

26. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от Crazy Alex (ok), 07-Фев-17, 18:43

Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то было б у них поменьше пафоса (как минимум - елси б они не претендовали на универсальность, а конкретно указывали бы ниши, на которые они претендуют) - лично я бы относился к ним лучше. А так - ещё одни masturbating monkeys, считающие, что главное - безопасность любой ценой.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

33. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от Аноним (-), 07-Фев-17, 20:24

> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то
> было б у них поменьше пафоса (как минимум - елси б
> они не претендовали на универсальность, а конкретно указывали бы ниши, на
> которые они претендуют) - лично я бы относился к ним лучше.
> А так - ещё одни masturbating monkeys, считающие, что главное -
> безопасность любой ценой.
А какая цена платится при использовании этого патча?

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от Crazy Alex (ok), 07-Фев-17, 21:21

Да какая и всегда с заботой о безопасности - потеря производительности и ограничение возможностей, ну и дополнительная сложность. С этой штукой из топика, например, разного рода ассемблерные фокусы вида "запрыгнул в середину функции" явно будут проблемными. Вообще есть очень мало техник (если есть вообще), которые можно применить только злонамеренно. Подозреваю, что с какими-нибудь вариациями на тему ksplice оно тоже дружить не будет.

Ответить | Правка | Наверх | Cообщить модератору

43. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от тоже аноним (?), 07-Фев-17, 23:57

> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то
> было б у них поменьше пафоса (как минимум - елси б
> они не претендовали на универсальность,
у них пока получается.
> а конкретно указывали бы ниши, на которые они претендуют)
ниша совершенно понятная - когда тебе действительно важна безопасность.
При этом (ну, до текущего момента) они действительно старались ничего не сломать, любой
типовой lamp-сервер вполне совместим с этим патчем.
Плюс возможности включать фичи избирательно, если тебя все же угораздило вляпаться.
> А так - ещё одни masturbating monkeys, считающие, что главное -
> безопасность любой ценой.
они утверждают , что цена - копеечная потеря единиц процентов производительности.
Но тебе никто не мешает провести свое исследование.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

53. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от Crazy Alex (??), 08-Фев-17, 04:44

Собственно критерий нормлаьной технологии - внятно указанные границы применимости. Защитить порнушку от родителей или фото с любовницей от жены - это одно, сервак в интернете - другое, а понять, в каких сценариях какие trade-off - вообще третье.
"они утверждают , что цена - копеечная потеря единиц процентов производительности." - угу, на этой конкретной технике. Тольк она не первая ни хрена. Ни ASLR даром не даётся, ни разные stack guards, ни прочее - навскидку разного рода защит с "копеечной потерей" штук двадцать уже пролетало - и вот суммарно там может очень прилично натикать.

А что до исследований - я поступлю проще - делегирую это дело компетентным людям, то есть тем, кто пишет и поддерживает мейнлайн. Эти товарищи свою репутацию давно заслужили. А сам буду работать на своём уровне - реджектить кривые данные, проверять подписи и т.п. - в общем, принимать те меры, которые имеют вмысл в каждом конкретном случае, в отличие от разного рода серебряных пуль.

Ответить | Правка | Наверх | Cообщить модератору

60. "Проект grsecurity опубликовал реализацию механизма защиты RA..." +/–

Сообщение от Аноним (-), 08-Фев-17, 14:18

> Собственно критерий нормлаьной технологии - внятно указанные границы применимости.
ну а какие вот границы применимости у пачки капканов, разложенной внутри периметра с колючкой, особенно если ты не знаешь, кто там ходить будет?
Ну кого-то схватят, наверное. Кто-то вляпается.
> Защитить порнушку от родителей или фото с любовницей от жены - это
> одно, сервак в интернете - другое, а понять, в каких сценариях
> какие trade-off - вообще третье.
ну так твой сценарий, ты и понимай - автор-то его откуда может изобрести? Этот вон делает как раз чтоб применимо было в большинстве случаев, а не в cпецифичных местах. Ну, ему так интереснее.
> Ни ASLR даром не даётся, ни разные stack guards, ни прочее
ну так aslr у нас сто лет неотключаем (и не у нас тоже, покажите, кто его еще у себя не завел - иллюмос, может быть? Не, я не в курсе)
stack guards местами отключаем, но все идет к тому, что перестанет - см последнюю странную новость про glibc и намеки что это рекомендуемая фича (читай либо дефолт, либо скоро будет)
К grsec это все мало относится, хотя, надо заметить, впервые именно там появилось.
> - навскидку разного рода защит с "копеечной потерей" штук двадцать уже
> пролетало - и вот суммарно там может очень прилично натикать.
ну так померяй, кто тебе не дает? Я вот не вижу разницы на своих проектах, но они у меня нынче мелко плавают, вдруг у тебя что-то сверх-интенсивное, чему действительно важно.
Глядишь, войдешь в историю как независимый эксперт по потерям производительности от grsec'ов в высоконагруженных системах. Или наоборот, убедишься, что надо ставить везде и всегда, потому что явных потерь нет, а бонусы есть.
> А что до исследований - я поступлю проще - делегирую это дело
> компетентным людям, то есть тем, кто пишет и поддерживает мейнлайн. Эти
дык они, гады, фичи грсека уже лет десяток в него тянут - поштучно, в рамках неосиляторской концепции, и с опозданием на пять лет ;-)
Ну и учти, что эти компетентные могут быть совсем не заинтересованы в том, чтобы тебе жилось хорошо - они просто играют в свои игрушки за зарплату, которая от твоего счастья не зависит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	26. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от Crazy Alex (ok), 07-Фев-17, 18:43
	Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то было б у них поменьше пафоса (как минимум - елси б они не претендовали на универсальность, а конкретно указывали бы ниши, на которые они претендуют) - лично я бы относился к ним лучше. А так - ещё одни masturbating monkeys, считающие, что главное - безопасность любой ценой.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	33. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от Аноним (-), 07-Фев-17, 20:24
	> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то > было б у них поменьше пафоса (как минимум - елси б > они не претендовали на универсальность, а конкретно указывали бы ниши, на > которые они претендуют) - лично я бы относился к ним лучше. > А так - ещё одни masturbating monkeys, считающие, что главное - > безопасность любой ценой. А какая цена платится при использовании этого патча?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от Crazy Alex (ok), 07-Фев-17, 21:21
	Да какая и всегда с заботой о безопасности - потеря производительности и ограничение возможностей, ну и дополнительная сложность. С этой штукой из топика, например, разного рода ассемблерные фокусы вида "запрыгнул в середину функции" явно будут проблемными. Вообще есть очень мало техник (если есть вообще), которые можно применить только злонамеренно. Подозреваю, что с какими-нибудь вариациями на тему ksplice оно тоже дружить не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от тоже аноним (?), 07-Фев-17, 23:57
	> Есть мейнлайн и есть левые патчи. Что касается конкретно grsecurity - то > было б у них поменьше пафоса (как минимум - елси б > они не претендовали на универсальность, у них пока получается. > а конкретно указывали бы ниши, на которые они претендуют) ниша совершенно понятная - когда тебе действительно важна безопасность. При этом (ну, до текущего момента) они действительно старались ничего не сломать, любой типовой lamp-сервер вполне совместим с этим патчем. Плюс возможности включать фичи избирательно, если тебя все же угораздило вляпаться. > А так - ещё одни masturbating monkeys, считающие, что главное - > безопасность любой ценой. они утверждают , что цена - копеечная потеря единиц процентов производительности. Но тебе никто не мешает провести свое исследование.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	53. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от Crazy Alex (??), 08-Фев-17, 04:44
	Собственно критерий нормлаьной технологии - внятно указанные границы применимости. Защитить порнушку от родителей или фото с любовницей от жены - это одно, сервак в интернете - другое, а понять, в каких сценариях какие trade-off - вообще третье. "они утверждают , что цена - копеечная потеря единиц процентов производительности." - угу, на этой конкретной технике. Тольк она не первая ни хрена. Ни ASLR даром не даётся, ни разные stack guards, ни прочее - навскидку разного рода защит с "копеечной потерей" штук двадцать уже пролетало - и вот суммарно там может очень прилично натикать. А что до исследований - я поступлю проще - делегирую это дело компетентным людям, то есть тем, кто пишет и поддерживает мейнлайн. Эти товарищи свою репутацию давно заслужили. А сам буду работать на своём уровне - реджектить кривые данные, проверять подписи и т.п. - в общем, принимать те меры, которые имеют вмысл в каждом конкретном случае, в отличие от разного рода серебряных пуль.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Проект grsecurity опубликовал реализацию механизма защиты RA..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 14:18
	> Собственно критерий нормлаьной технологии - внятно указанные границы применимости. ну а какие вот границы применимости у пачки капканов, разложенной внутри периметра с колючкой, особенно если ты не знаешь, кто там ходить будет? Ну кого-то схватят, наверное. Кто-то вляпается. > Защитить порнушку от родителей или фото с любовницей от жены - это > одно, сервак в интернете - другое, а понять, в каких сценариях > какие trade-off - вообще третье. ну так твой сценарий, ты и понимай - автор-то его откуда может изобрести? Этот вон делает как раз чтоб применимо было в большинстве случаев, а не в cпецифичных местах. Ну, ему так интереснее. > Ни ASLR даром не даётся, ни разные stack guards, ни прочее ну так aslr у нас сто лет неотключаем (и не у нас тоже, покажите, кто его еще у себя не завел - иллюмос, может быть? Не, я не в курсе) stack guards местами отключаем, но все идет к тому, что перестанет - см последнюю странную новость про glibc и намеки что это рекомендуемая фича (читай либо дефолт, либо скоро будет) К grsec это все мало относится, хотя, надо заметить, впервые именно там появилось. > - навскидку разного рода защит с "копеечной потерей" штук двадцать уже > пролетало - и вот суммарно там может очень прилично натикать. ну так померяй, кто тебе не дает? Я вот не вижу разницы на своих проектах, но они у меня нынче мелко плавают, вдруг у тебя что-то сверх-интенсивное, чему действительно важно. Глядишь, войдешь в историю как независимый эксперт по потерям производительности от grsec'ов в высоконагруженных системах. Или наоборот, убедишься, что надо ставить везде и всегда, потому что явных потерь нет, а бонусы есть. > А что до исследований - я поступлю проще - делегирую это дело > компетентным людям, то есть тем, кто пишет и поддерживает мейнлайн. Эти дык они, гады, фичи грсека уже лет десяток в него тянут - поштучно, в рамках неосиляторской концепции, и с опозданием на пять лет ;-) Ну и учти, что эти компетентные могут быть совсем не заинтересованы в том, чтобы тебе жилось хорошо - они просто играют в свои игрушки за зарплату, которая от твоего счастья не зависит.
	Ответить \| Правка \| Наверх \| Cообщить модератору