> я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?Мне бы в идеале один телефон.
> мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен. хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему). Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.
Мы про обновления ядра. У меня, например, VPS есть на OpenSUSE, и обновления ядра прилетают в худшем случае раз в месяц-два. И всё остальное фиксится весьма оперативно, в отличие от устройсв Sony, HTC и др., коими доводилось пользоваться.
> это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тоже не всякий линукс стану обновлять (эмм...собственно, какого года у меня этот - 13го, наверное? Обновлению не подлежит, совсем. Сломается gpu, необратимо.)
13-го? Если бы это был телефон, вы бы уже три года без обновлений жили.
>> Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие
> эмм, ну как обычно - много сам-то пофиксил? А вот упомянутый товарищ?
Ну, допустим, некоторое количество моих патчей давно в апстриме, включая патчи на ядро линукса (при этом баги нашёл сам). А так, да, чайник-чайником.
> как минимум - наличие исходников упрощает хакеру поиск дыр.
Или поисх бэкдоров и аудит безопасности.
>> другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery +
>> Privoxy + ... А у вас на андроиде много браузеров с
> и вы все это вот, конечно же, хотя бы бегло глазами пробежали, не добавляет ли оно вам больше проблем, чем решило? (особенно вот ghostery, учитывая реальный бизнес этой конторы)
Я говорю про то, чем пользуюсь, а не рассуждаю абстрактно.
> не переживайте, у вас на десктопе тоже скоро не будет. Что там из них совместимо с модным-новым-гугловым типом расширений?
У меня SeaMonkey, и я всем доволен. ;-) Ближайшую пару лет можно точно не беспокоиться.
>> Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.
> кто сказал, что официальный репо не хакнут/автор не поехал крышей/не получил предложение от которого нельзя отказаться? Кстати, что вы только что бормотали про исходники - вы их тоже исключительно в официальных пакетах изучать собрались?
Верификация соответствия исходников бинарникам -- отдельная тема. Я говорил про разумный уровень недоверия. В первую очередь, я имел в виду атаки извне. А то, знаете ли, можно дойти до того, что начать выращивать еду в собственном огороде. А то вдруг в супермаркете кто-нибудь отраву подсыплет? Там-то у еды цифровой подписи нет.
Да, если придёт официальный апдейт с официальным бэкдором, то будет всё плохо. Но в этом мире приходится кому-то доверять.
>> параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит, позволяющих раздраконить различные популярные BIOS'ы.
> популярные биосы десятилетней давности были блобом этак на пару пакованных мегабайт, успехов в дизассемблировании. Современный вы ни разобрать, ни понять в нем ничего вообще не сможете, благодаря новым модным интеловским технологиям, а размером он уже в десятки.
Полно разных утилит на биос-моддерских форумах. Там народ прекрасно раздербанивает их на модули, и, например, апгрейдит драйверы на старых материнках или добавляет поддержку RAID'а туда, куда официальный производитель добавлять не стал. Например, http://www.win-raid.com/t18f16-Guide-Manual-AMI-UEFI-BIOS-Mo...
>> Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC
>> 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил,
> видите как плохо покупать дорогостоящие пoнты подорого? ;-)
Девайс, в целом, отлично выполняет свои задачи.
>> (И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать, должно сойтись несколько условий:
> я вообще не знаю, что за хрень может штатно ТАК работать (хотя для кого-то ж этот апи "понюхать пакет и запихать обратно в дырку откуда взяли" придумали), но - а кто сказал что "хрень" это делает не намеренно - и ее вы же сами и запустили?
Ну так и я о том. Вам сначала надо установить такое приложение, а потом ещё и получить такой пакет из сети. У меня, вот, на компе фаервол стоит.
> до кучи - наберите netstat -ua и задумайтесь о грустном (я вот задумался. Нет, это нельзя выбросить, и верифицировать тоже. И оно кривое, это я хорошо знаю)
Задумывался. iptables -- мой ответ. Плюс самописный детектор атак, который анализирует логи, и добавляет адреса в чёрный список. Первый скан портов или неверный пароль по ssh или попытка обратиться в каталог типа /admin/ на сайте -- бан на сутки, второй -- на две недели, третий и последующий -- на три месяца. И ежедневный отчёт на почту -- сколько забанено всего, и сколько новеньких сегодня.