| |
| 2.12, Аноним (-), 22:40, 26/09/2014 [^] [^^] [^^^] [ответить]
| +29 +/– |
Ну а что, нормально сработали. За примерно сутки 2 итерации фикса приехало. Это вам не какой-нибудь MS где месяц бы осла за уши тянули.
| | |
| |
| 3.22, Карбофос (ok), 02:29, 27/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 m$ не только на поприще критических уязвимостей хромает на обе нижние конечности, даже виноватых в ошибках драйверов долго не сыскать.
| | |
| |
| 4.24, Аноним (-), 09:05, 27/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> даже виноватых в ошибках драйверов долго не сыскать.
А с драйверами у них перманентная ж...! В линухе были прецеденты успешной починки багов на которые я нарвался. В винде такого не случилось ни разу. Как мне больше нравится - ну вы поняли. Я за живых разработчиков которые чинят свои ляпы, а не корпоративную стену из бакланов первой линии саппорта, выдающих стандартные отписки.
| | |
| |
| 5.37, cmp (ok), 15:51, 27/09/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > а не корпоративную стену из бакланов первой линии саппорта
О да, 1-2 линия саппорта приравнивается к 9 кругам ада.
| | |
| |
| 6.40, Аноним (-), 20:07, 27/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> О да, 1-2 линия саппорта приравнивается к 9 кругам ада.
Ну, понимаешь, с открытым драйвером я могу просто пойти да попинать живого разработчика, если понимаю где проблема. И если не прислать фикс, так хотя-бы показать нормальную диагностику, а если чего-то не хватило - получить по макушке и не отходя от кассы собрать.
Есть некая разница: потратить на взаимодействие полчаса или полгода. И да, я участвовал в разработке проприетарного софта и получше вашего в курсе как это все выглядит. Не желаю для себя такой участи, извините. Да и для других тоже.
| | |
| |
| 7.51, клоун (?), 00:04, 28/09/2014 [^] [^^] [^^^] [ответить]
| –5 +/– | |
Ваше (не лично ваше, а вообще) "могу" уже надоело. Ничего вы не можете!
В итоге стоит какая-нибудь ---ня размером 10-100 метров сырца и чёрт его знает что с ней делать. Выбьешь здесь кирпич - там полбашни развалится. "Я могу разобраться!" - можешь, можешь, малыш, годка за 3-4, но ждать пока ты разберёшься в их бы-локоде никто не будет; да и быстрее написать своё г--но, чем разобраться в этом.
Прислать фикс, произвести диагностику - то же самое. Кто платит? Или ты своё время будешь тратить? Сколько уже потратил? Говорят, после 1000 часов имеешь право называться мастером, у тебя сколько? Сдаётся, что такое же "могу".
Я уже давно приравнял "хочу" и "делаю", но с каждым месяцем я всё ближе к тому, чтобы приравнять "могу сделать" и "делаю".
| | |
| |
| 8.53, XoRe (ok), 11:25, 28/09/2014 [^] [^^] [^^^] [ответить] | +1 +/– |  Ну на винде же тратим время на изучение дампов в BlueScreenView и прочих В linu... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.2, Sluggard (ok), 22:04, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +21 +/– |
 А что тут подчёркивать? Все и так всё понимают. Ну, кроме упоротых вендофанов, вендотроллей на полставки, и прочих наркоманов и идиотов.
| | |
| |
| 2.15, A.Stahl (ok), 22:50, 26/09/2014 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Идиоты тоже не полностью потеряны для общества. Объяснить и убедить их, конечно, невозможно, но если долго что-то повторять, то они начинают в это верить. И пусть лучше FSF повторяет, чем... ладно, хрен с ней, с политикой...
| | |
| |
| 3.54, XoRe (ok), 11:25, 28/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> но если долго что-то повторять, то они начинают в это верить.
Если бить палкой, верить начинают быстрее.
| | |
|
| 2.25, Int (?), 09:18, 27/09/2014 [^] [^^] [^^^] [ответить]
| –6 +/– |
Особенно доставляют идиоты кричащие что раз есть возможность исправить, значит всевозможные ошибки уже исправлены и следовательно открытый код качественней.
| | |
|
| 1.4, Аноним (-), 22:21, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Кроме того, процесс устранения уязвимости выявил немощь зажравшегося интерпрайза с микрософтом во главе в оперативном реагировании на проблемы, решённые сообществом свободного ПО.
| | |
| |
| |
| 3.42, Аноним (-), 20:09, 27/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Шапка тырпрайз и ниче, резвая.
А шапка одна из немногих энтерпрайзов которые смогли нормально интегрироваться в открытые процессы как их составная часть а не пудовая гиря на ногах.
| | |
| 3.57, Аноним (-), 12:35, 28/09/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось у них совещание было по вопросам эффективности инвестиций и волатильности рынка, тестировать уже готовый патч было некому.
| | |
| |
| 4.58, Andrey Mitrofanov (?), 13:23, 28/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> шапка и есть зажравшийся тырпрайз, который дольше всех второй фикс выкладывал, небось
> у них совещание было по вопросам эффективности инвестиций и волатильности рынка,
> тестировать уже готовый патч было некому.
""[...]allowed Red Hat to develop and share patches in conjunction with Bash upstream developers efforts to fix the bug, which anyone can download and apply themselves.
FSF, вверху.
+++Пожиратели блобов должны! %)))
| | |
|
|
|
| 1.6, Аноним (-), 22:26, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На фоне того, что по примерным оценкам эта дыра существовала лет 5 и одному богу известно, кто про нее знал и молчал (а ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят исключительно поиском дыр в открытом ПО) - эта оперативность особой роли не играет...
| | |
| |
| 2.18, Дмитрий (??), 23:28, 26/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО. А х да, точно, он есть. На фоне того, что по примерным оценкам около 146% дыр в проприетарном ПО так и не были обнаружены никем, кроме АНБ - эта опиративность играет весомую роль.
| | |
| |
| 3.21, Аноним (-), 01:39, 27/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
У мелкософта с АНБ любовь и дружба - неразлейвода (совместные конференции, мутные скандалы с ослаблением шифрования и проч.) надо думать - не за просто так. Сколько там пока еще не известных бэкдоров Большому брату слито - один Бог знает. Ну и АНБ.
| | |
| |
| 4.43, Аноним (-), 20:09, 27/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Это только у нас может быть 146%, а у них 110%
А разве не 120%7 :)
| | |
|
| 3.56, XoRe (ok), 11:28, 28/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Эх, жаль, то у АНБ нет такого же отдела для проприетарного ПО.
Есть. Называется "отдел по работе с партнерами".
Зачем ковырять бинарники, когда можно договориться?
| | |
|
| 2.23, all_glory_to_the_hypnotoad (ok), 03:10, 27/09/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 в гогне которое использует sh/bash постоянно находят уязвимости. Лет пять назад без этой баги было полно других дыр и их ещё хватит на лет десять. sh/bash само по себе большая дыра если используется вне терминала пользователем.
| | |
| 2.63, Andrey Mitrofanov (?), 14:43, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> На фоне того, что по примерным оценкам эта дыра существовала лет 5
В
bash-2.05b.tar.gz 17-Jul-2002
тоже попатчили
bash205b-010.sig 27-Sep-2014 22:36
, так что примерные оценки несколько смещаются ближе к "всегда".
Соурс-коуд археологи уже спешат^Wснаряжают верблюдов в сторону версий 1.x и поиска того героя, что _так удачно совмеслил окружение и передачу ф-ций в sub-shell.
> и одному богу известно, кто про нее знал и молчал (а
> ведь Сноуден рассказывал, что в АНБ есть специальный отдел, который занят
..гм, 2002: git-а ещё не было, но АНБ была.
| | |
|
| 1.11, qqq (??), 22:38, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?
Старье никто обновлять не собирался, да и порой невозможно это.
Было бы правильно, еще и опубликовать инструкции как пофиксить это на работающих системах, особенно старых или железо, где обновление затруднено.
| | |
| |
| 2.14, Аноним (-), 22:45, 26/09/2014 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> На сколько быстро и оперативно патчи дойдут до всяких "закрытых" линуксов?
Ну так вы сами себе виноваты. Нефиг с такими полупроприетарными конторами связываться. Плюсами СПО надо по факту пользоваться, а не так что для галочки сугубо. Если у вас оно было для галочки - ну вы и получили результат "на отъ...сь".
> Старье никто обновлять не собирался, да и порой невозможно это.
Опять же - если вы юзали систему без поддержки - ну вы понимали на что шли.
> системах, особенно старых или железо, где обновление затруднено.
При аварии выдерни шнур, выдави стекло.
| | |
| |
| 3.19, manster (ok), 23:49, 26/09/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 К сожалению таких контор появляется все больше и больше и они были и раньше...которые своей фактически паразитной политикой безопасности (как формальный предлог) подвергают риску потребителей системы. За то время например, пока выйдут патчи, произойдет т.н. "бюрократический отстой" - критические участки подвержены взлому.
Поддержка? Никто со старьем возиться не будет, даже за деньги. Это порою невозможно. Софт пишут так, что через ~5-10+ лет выкидывается. Это проблема. Приходится задумываться о "музеях"
Выдерни шнур? Что делать с роутерами и железками - еще предстоит выяснить, как там обстоят дела у прошивок.
Кстати, если в баше нашлась такая экзотика, то в аналогичных системах тоже может быть, а у МС и подавно...
| | |
| |
| 4.26, Аноним (-), 09:20, 27/09/2014 [^] [^^] [^^^] [ответить] | +4 +/– | Наперсточников хватало во все времена Пора бы уже за столько лет усвоить что не... большой текст свёрнут, показать | | |
| |
| 5.39, manster (ok), 19:15, 27/09/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это все понятно и согласен со многим, но ведь хочется чтобы - поставил железки и забыл - работает и проблем никаких. С софтом и операционками тоже самое. Почему потребитель должен принимать на себя проблемы и недоработки разработчиков? В конце концов почему за счет потребителя? Потребитель готов платить за решение его проблем.
| | |
| |
| 6.44, Аноним (-), 20:23, 27/09/2014 [^] [^^] [^^^] [ответить] | –1 +/– | А поставщику-коммерсанту в общем случае совсем не хочется забесплатно поддержива... большой текст свёрнут, показать | | |
|
|
| 4.31, Аноним (-), 10:59, 27/09/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>К сожалению таких контор появляется все больше и больше и они были и раньше
Какие конторы, о чем Вы говорите, Я тут у соседнего провайдера сетку посмотрел по 80 порту, в первом же десятке нашел открытый микротик, в смысле совсем открытый, даже логин набирать не надо, панель управления открывается сразу.
Тут поддержка нужна не софту, а здравомыслию.
А конторам и их изделиям нужен публичный адекватный рейтинг.
| | |
|
|
|
| 1.16, Аноним (-), 23:19, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру! Ха! А в тихаря юзать и продавать эксплойты кто будет?
Латание дыры в закрытой программе может произойти как до публикации инфы о ее существовании так и сразу же после.
| | |
| |
| 2.17, Аноним (-), 23:27, 26/09/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Похоже на маркетинговый буллшит. Все зависит от добросовестности и профессионализма
> разработчиков и самоотверженности хакеров. Нашел дыру - рассказал миру!
Вот только насколько я помню - MS сподвигнуть на внеплановые релизы фиксов без ожидания месяц смогли может пару раз за всю историю. И те через неделю жестокого поимения хакерами всего и вся. Так что у кого там маркетинговый булшит - а где они так уж приукрасили? Процесс есть и работает и конструктивно настроенные люди объединяются в рамках таких процессов. Потому что это эффективно и результативно, в отличие от проприерасов.
| | |
| |
| 3.28, uchiya (ok), 10:23, 27/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Во первых ,проприетарщина это не только МС ,во вторых arch и до сих пор в репах нет нехрена ,дыра остается .
| | |
| |
| |
| |
| 6.60, Аноним (-), 14:16, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
Как и в некоторых других дисрах. пашет обходной маневр 2014-7169
На воне чего сабжевые заявления выглядят...
| | |
|
|
| 4.33, Ты (?), 12:26, 27/09/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> arch .. дыра остается
Можно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как и все остальное).
| | |
| |
| 5.45, Аноним (-), 20:25, 27/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Можно не беспокоиться, любой руткит сломается на арче при следующем обновлении (как
> и все остальное).
Идея для руткитчиков - на лету патчить арчеводу ридми на апдейт, чтобы включал действия по приведению руткита в чувство. Арчеводы все-равно не разбираются для чего они фигачат черную магию, так что никакого подвоха 99% арчеводов не обнаружит.
| | |
| |
| 6.48, Ordu (ok), 23:27, 27/09/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Код руткита в readme, написанный на естественном языке программирования, и выполняющийся на биологическом компьютере -- мозге арчевода? Слава роботам!
| | |
| 6.61, Аноним (-), 14:19, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Да уж побольше понимают чем большинсто убунтоидов. До арчвики остальным инструкция как до луны.
| | |
|
|
|
|
| 2.30, Andrey Mitrofanov (?), 10:42, 27/09/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Латание дыры в закрытой программе
в редких случаяю
> может произойти как до публикации инфы о
> ее существовании так и сразу же после
, но обычно не происходит вовсе или происходит заметно позже обнародования независимыми источниками.
---Да, логика дырявая. Но _ровно_ такая же дырявая, как в исходном тексте.
| | |
| |
| 3.62, Аноним (-), 14:26, 29/09/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Во-первых, все эти заявления сделаны на фоне неисправленной полностью дыры в баш.
Во-вторых, даже если бы дыра была исправлена, то можно было бы говорить лишь о хорошем примере оперативности опенсорсников
в-третьих, даже в этом случае, говорить, что все закрытые программы сливают по безопасности глупо. Многие из них реально безопасны и закрыты в т ч для безопасности Просто другой подход к защите. Для аудитов и сертификаций они код дают, а для прочих хакеров нет.
Т е просто маркетинговое заявление, не более.
| | |
|
|
| 1.34, Нанобот (ok), 12:53, 27/09/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >подчеркнул достоинства СПО
ога. 25 лет с критическим багом - это достойно
| | |
| |
| 2.38, cmp (ok), 16:10, 27/09/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>подчеркнул достоинства СПО
> ога. 25 лет с критическим багом - это достойно
А я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец символы - сформировал запрос, а так тупо отдавать данные на исполнение, до сих пор не понимаю причем тут баш.
| | |
| |
| 3.65, Andrey Mitrofanov (?), 14:55, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>>подчеркнул достоинства СПО
>> ога. 25 лет с критическим багом - это достойно
> А я думал, что это фича. Этож как sql-инжект, проверил строку/экранировал спец
> символы - сформировал запрос, а так тупо отдавать данные на исполнение,
> до сих пор не понимаю причем тут баш.
Ещё раз: это не _тупое экранирование. Просмотра на 1-2 символа не достаточно, как мне кажется.
Там фактически нужно на стороне суб-шела исполнять передаваемые через окружение определения ф-ций в "песочнице", чтоб _реальный код не исполнялся, а только deffun-или-как-его-там. Или не передавать через окружение *вообще*. Или, как сделали сейчас, насколько я ничего не понимаю (нет, патчи я не читал), затыкать _прямое исполнение переданных обёртками-регулярками и готовиться к новым "прилетающим" обходам.
| | |
|
| |
| 3.67, Нанобот (ok), 16:01, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– | |
каждый год на стене ставил засечки, вчера посчитал :)
зашёл в википедию и посмотрел год первого релиза и вычел из 2014
| | |
| |
| 4.68, Andrey Mitrofanov (?), 18:52, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> каждый год на стене ставил засечки, вчера посчитал :)
> зашёл в википедию и посмотрел год первого релиза и вычел из 2014
Я бы переспросил "релиз чего", а потом "а как проверял, что там дыра", но... смысл? Будешь автором непровененной(методика хлипковата) верхней оценки. Нижняя вверху в моём #63 = 12 лет без 2ух месяцев и 10 дней [если я с 60ричной арифметикой не].
| | |
| |
| |
| 6.70, Andrey Mitrofanov (?), 21:29, 29/09/2014 [^] [^^] [^^^] [ответить]
| +/– |
> насчёт "методика хлипковата" - согласен. но у нас же тут не НИИ
> :)
> вот тут писали про 1.14.7 - https://www.opennet.ru/openforum/vsluhforumID3/99034.html#22
bash-1.14.0-1.14.1.diff.gz даёт "Thu Jun 2 09:36:36 1994". 20 лет с небольшим. Метод с засечками -- крутая :) археология. Академики, смогшие _собрать 1.14.0 и проверить наличие дыръ, впишут своё имя в. (павлин, выходи! мастера LFS-Fu также имеют щанс. Стоячая оваиця за сборку, на тех же условиях, для ARM/телефона.) Для _полной академичности нужен .spec или rules - _работающий в "настоящем". И да, кто там поближе, RMS-у скажите, чтоб всю историю в git выложил и подписал (&ключом не из 90-ых).
...На ibiblio.org/pub/historic-linux/distributions/ - 2002/2003 и _без исходников [навскидку].
| | |
|
|
|
|
|
|
