The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критическая уязвимость в сервисе Librem One, выявленная в де..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от opennews (ok), 02-Май-19, 12:15 
В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска (https://puri.sm/posts/the-new-librem-one-services/) всплыла критическая проблема (https://puri.sm/posts/underscoring-our-transparency-first-li.../) с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аудентификации.

В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка (https://github.com/matrix-org/matrix-synapse-ldap3/commit/90...), которая оказалась перенесена и в  код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации  войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix  утверждают (https://twitter.com/matrixdotorg/status/1123298776725303299), что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует (https://github.com/matrix-org/matrix-synapse-ldap3/commit/4b...) ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений).


Введённый в строй набор сервисов Librem One подразумевает  платную подписку ($7.99 в месяц или  $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы (https://puri.sm/posts/how-purism-works-upstream-and-gives-back/) для распространения под брендом Librem. Например,   Librem Chat является переименованным Matrix-клиентом Riot (https://github.com/vector-im/riot-android), Librem Social основан на Tusky (https://github.com/tuskyapp/Tusky), Librem Mail переименован из K-9 (https://github.com/k9mail/k-9), Librem Tunnel заимствован из Ics-openvpn (https://github.com/schwabe/ics-openvpn). Серверные компоненты основаны на  
Postfix и Dovecot для Librem Mail, Matrix (https://matrix.org/)  для Librem Chat и Mastodon (https://mastodon.social/) для Librem Social. В качестве причины поставки приложений под другими названиями называется желать собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стантартов (Matrix, ActivityPub, IMAP).


URL: https://puri.sm/posts/underscoring-our-transparency-first-li.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=50616

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +13 +/
Сообщение от freehckemail (ok), 02-Май-19, 12:15 
Ну, Librem теперь можно разве что поздравить. =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +10 +/
Сообщение от Аноним (17), 02-Май-19, 13:35 
Что-то Matrix вообще не везет в последнее время...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +5 +/
Сообщение от Аноним (32), 02-Май-19, 16:04 
просто им начали пользоваться кто-то кроме полутора его разработчиков. Ничего, скоро до них дойдет, что такое разработка ПО со всей ответственностью, а не сидение на мамкиных борщах.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

54. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 19:46 
Жопоруким вообще часто не везёт.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

71. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от Dmitry77 (ok), 02-Май-19, 23:09 
нафига этот матрикс вообще нужен? есть более провереные и надёжные протоколы.
Пользуйтесть delta.chat
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (22), 02-Май-19, 14:15 
Да, дырочка весьма кстати. Теперь можно ещё раз отложить поставку по предзаказам. ;)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

55. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 19:49 
Так дырка не в железе/прошивке, а в онлайн-сервисе. Так что не проканает, пусть другую отмазку ищут.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

2. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +8 +/
Сообщение от Аноним (2), 02-Май-19, 12:22 
После этой истории отношение к Librem и Purism у меня сильно изменилось. Громко раструбили https://puri.sm/posts/the-new-librem-one-services/ о запуске суперзащищённых и охраняющих приватность сервисов. Затем вляпались в огромную дыру и стали отмазываться, что код не их, они готовый взяли. Подозреваю, что если бы не дыра то поста  https://puri.sm/posts/how-purism-works-upstream-and-gives-back/ бы небыло и о том, что их платные сервисы лишь переупаковка чужого кода знали бы лишь избранные.

Нехороший осадок остался, переименовали master-ветки других проектов без изначального упоминания. Собрались стричь бабло, но вляпались и только тогда раскрыли карты. В новостях https://puri.sm/news/ на общей странице они кстати пост про дыру не разместили, только по прямой ссылке и в блоге для разработчиков.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (6), 02-Май-19, 12:47 
> избранные

Ну конечно, знакомого интерфейса никто-никто бы не увидел. А ovpn и tusky, извините, под gpl

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –2 +/
Сообщение от Анонимemail (16), 02-Май-19, 13:35 
В защищенных системах тоже существуют баги, особенно на старте.
Благо о проблеме не умолчали, что позволяет надеяться на лучшее.
Переименование открытого софта как миниум странно, желание собрать несвязанный софт под одним брендом не понимаю(разве что пускать пыль глаза, что мы "все это сделали со звездочкой)". Подписка на сервисы свободного софта и вовсе дикость. Впрочем альтернатив особо нет - либо рабские андройд\йос, либо такой вот пуризм.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от freehckemail (ok), 02-Май-19, 13:47 
> В защищенных системах тоже существуют баги, особенно на старте.

Это, конечно, правда. Вот только все эти "защищённые из коробки сервисы" есть популизм чистой воды, рассчитанный в первую очередь на людей, которые мечтают за любые деньги купить кнопку "сделай мне зашибись секурно". Хорошим специалистам такие сервисы не нужны. Плохим специалистам они не помогут. А подобные новости сильно сузят круг людей, желающих связаться с этой компанией.

> Благо о проблеме не умолчали, что позволяет надеяться на лучшее.

Надеяться можно, да. Я лично желаю ребятам успеха, равно как и всем, кто что-либо делает.

> разве что пускать пыль глаза, что мы "все это сделали со звездочкой"

Маркетинг, сэр! =)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

36. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от хотел спросить (?), 02-Май-19, 16:36 
вопрос в том что такие "проблемы" с софтом могут свидетельствовать о проблеме с железом

а мне нравится идея физическое отключение микро и т.д. и отделение модема и его блоба от основного кирпича на котором софт крутится

только какова же реализация?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

47. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –12 +/
Сообщение от Michael Shigorinemail (ok), 02-Май-19, 18:24 
/me погладил ёлочку :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

53. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +5 +/
Сообщение от Ключевский (?), 02-Май-19, 19:41 
> Подписка на сервисы свободного софта и вовсе дикость

С какого бодуна «дикость»? Подписка на сервисы, которые работают на их серверах, на серверах ими обслуживаемых. Нормальная практика совершенно. Не хочешь пользоваться? Не плати и не пользуйся.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

56. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (54), 02-Май-19, 19:52 
> Затем вляпались в огромную дыру и стали отмазываться, что код не их, они готовый взяли.

Их ошибка тут есть, но всё же она не в том, что они допустили дырку, а в том, что связались с модным стартапом Matrix.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (3), 02-Май-19, 12:25 
Но ведь виноваты тут разрабы матрицы, а не либрема.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +19 +/
Сообщение от Аноним (19), 02-Май-19, 14:00 
Виноваты разработчики либрема, не выполнившие тестирование и аудит. За что они собирались брать бабло?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

57. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (54), 02-Май-19, 19:54 
За железку и дистрибутив, как вариант. Это уже немало, даже если бы дополнительных онлайн-сервисов вообще не прилагалось. Ты же не ругаешь дистрибутив каждый раз, когда в каком-нибудь пакете обнаруживается уязвимость, приехавшая из апстрима.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

66. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (66), 02-Май-19, 20:55 
А зачем нужен такой дистриб и его ментейнеры. Можно самому хоть из гита собирать и не заботится что там приедет.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

68. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 21:41 
Ты так и делаешь, вероятно?
Сюрприз-сюрприз: майнтейнеры дистрибутивов не проводят никакого аудита, разве что лицензионную чистоту проверяют. Ну в крайнем случае могут обнаружить *****код, на который заругается их компилятор/интерпретатор, или пофейлившиеся юнит-тесты.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

74. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (66), 03-Май-19, 11:44 
А, стейбл-ветка с заморозкой версий и портирование только патчей безопасности для тебя сюрприз?
Ну ок, расскажи где таким макаром работаешь, что бы обходить эту фирму стороной.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

79. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 03-Май-19, 12:21 
> А, стейбл-ветка с заморозкой версий и портирование только патчей безопасности для тебя сюрприз?

Не понимаю, каким образом ты мог сделать такой вывод, и тем более какое это всё имеет отношение к какому-то мифическому аудиту.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

85. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (66), 03-Май-19, 16:21 
--
Сюрприз-сюрприз: майнтейнеры дистрибутивов не проводят никакого аудита, разве что лицензионную чистоту проверяют.
--
Вот это твой текст? Явно написано что майнтейнеры ничего не делают кроме сборки.
Но вот какой сюрприз. У любого изделия есть гарантийный срок. В данном случае дистрибы гарантируют в течении определенного времени неизменность поведения и исправление только ошибок. А именно - бекпорт исправлений безопасности с новых версий. Именно это задача майнтейнеров, а не тащить всё подряд из гита. Там где делают wget|tar|make|make install я за дистрибутивы не считаю. У тебя по этому поводу своё мнения наверное. Вот и у разработчиков этого поделия такое же мнение.
А писатели матрикса своё слово высказали:
--
разработчики проекта Matrix утверждают, что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах
--
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

87. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 03-Май-19, 17:05 
>> не проводят никакого аудита
> ничего не делают кроме сборки

Найдёшь десять отличий? И мой тебе совет: прежде чем бросаться умными словами типа «аудит», смотри их значение в словаре.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

88. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –1 +/
Сообщение от Аноним (66), 03-Май-19, 21:26 
А, попытка перевести разговор в русло что удобно тебе? Не выйдет соскочить и приписать свои измышления мне. Вернемся к комменту от брата анонима за номером 19. http://www.opennet.dev/openforum/vsluhforumID3/117255.html#19
И что же мы там читаем?
--
Виноваты разработчики либрема, не выполнившие тестирование и аудит.
--
Слово тестирование мне надо:
а) подчеркнуть,
б) выделить жирным,
в) увеличить размер шрифта.

Выбирай на вкус. В следующий раз, прежде чем давать пафосные советы незнакомым людям, перечитай ещё раз весь контекст беседы.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

90. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 04-Май-19, 00:09 
Молодец. Теперь прочитай и то, что писал я:

> майнтейнеры дистрибутивов не проводят никакого аудита, разве что лицензионную чистоту проверяют. Ну в крайнем случае могут обнаружить *****код, на который заругается их компилятор/интерпретатор, или пофейлившиеся юнит-тесты.

В ч

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

91. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 04-Май-19, 00:12 
В чём я неправ?
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

93. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (66), 04-Май-19, 01:10 
Тебе уже сказали следить за тем с чего началось обсуждение - аудит и тестирование при сборке готового продукта. В ответ услышали что ничем таким в дистрах не занимаются, максимум лицензиями. На коммент выше указана прямо ссылка на 19 номер где это описано. В ответ ты опять приводишь своё мнение - искаженное оригинальное высказывание. И спрашиваешь в чём неправ. Ну разговаривай сам с собой, мне то что.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

94. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от anonymous (??), 04-Май-19, 11:52 
Так он и ответил, что maintainer-ы дистрибутивов не проводят ни аудита, ни тестирования (в том виде, как это требуют от разработчиков Librem в данном thread-е).

То, что в дистрибутивах бывают "стабильные ветки" -- это никак не связано с аудитом/тестированием.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

20. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (22), 02-Май-19, 14:06 
А особенно не при делах усердно рекламировавшие этих пызнесменов анонимы.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +5 +/
Сообщение от Аноним (25), 02-Май-19, 15:07 
Либремы предоставляли его под своим именем, так что в данном случае к матриксу никаких претензий.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +12 +/
Сообщение от Аноним (4), 02-Май-19, 12:26 
Переименование сервисов.... Это кого-то мне напоминает. Денис Попов постарался?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от Какаянахренразница (ok), 02-Май-19, 12:38 
Дениска, вроде, ещё и тексты лицензий удалял.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от anonymous (??), 02-Май-19, 12:49 
Purism делает готовый продукт для конечного протребления на базе свободных (собственно аналогично делает и почти любой современный проприетарщик) и, как понимаю, думает о user experience при компановке этих продуктов. То есть их достижение не в переименовании сервисов, а в реальной тяжёлой работе (которую лично я бы не потянул как хобби проект, не знаю как Вы).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –4 +/
Сообщение от Аноним (12), 02-Май-19, 13:07 
>То есть их достижение не в переименовании сервисов, а в реальной тяжёлой работе (которую лично я бы не потянул как хобби проект, не знаю как Вы)  

наивное летнее дитя. На этом сайте каждый настраивает постфикс минимум раз в неделю. А барыги из пуризма совсем охренели - брать бабло за хостинг с бесплатным софтом! Раз софт бесплатный, значит и хостинг должен быть бесплатным, очевидно же.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Аноним (26), 02-Май-19, 15:10 
Железо для хостинга тоже бесплатное, очевидно
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Аноним (30), 02-Май-19, 15:44 
электроэнергия для этого всего тоже бесплатная, очевидно
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

70. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от виндотролль (ok), 02-Май-19, 22:20 
очевиндо этот аноним не понимает сарказма
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от хотел спросить (?), 02-Май-19, 16:38 
я настриваю его максимум раз в год в связи со сменой сервера
чет не понимаю накой раз в неделю.. админы? так не все же
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

86. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от OpenEcho (?), 03-Май-19, 16:58 
наверное под настройкой подрузумевалось подкручивание header_checks или postscreen_access, что там настраивать еще каждую неделю хотелось бы узнать. Очень.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

69. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 21:46 
> На этом сайте каждый настраивает постфикс минимум раз в неделю.

Брехня. Я, например, этим не каждый год занимаюсь.

> А барыги из пуризма совсем охренели - брать бабло за хостинг с бесплатным софтом! Раз софт бесплатный, значит и хостинг должен быть бесплатным, очевидно же.

А за железо и электричество кто платить будет? Это ж не гугл, который любезно твою почту попарсит и выдаст по ней контекстную рекламу, чтобы покрыть свои расходы.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

103. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (103), 18-Май-19, 02:22 
И никто выше не понял что это был сарказм...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от fleonis (ok), 02-Май-19, 13:13 
ага, эволюционировал :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

59. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –1 +/
Сообщение от Аноним (54), 02-Май-19, 19:57 
> Переименование сервисов.... Это кого-то мне напоминает.

Примерно каждого поставщика почтовых сервисов, который использует те же Postfix и Dovecot?
Не, в чём проблема-то? В том, что на этот раз от тебя не скрыли, что под капотом?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –4 +/
Сообщение от InuYasha (?), 02-Май-19, 12:49 
Трэш какой-то с этими именами. Разве трудно было просто взять и предустановить софт под исходными именами? Я понимаю, конечно, что авторы линуксофта любят упражняться в остроумии и называть софт так, чтобы аналитики ФСБ не смогли догадаться что Дельфин - это файловый менеджер, а aptitude, audacity, anality, idioty - набор полезного софта... Но всё равно, что-то здесь не так.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от anonymous (??), 02-Май-19, 12:52 
Из ссылки из комментариев чуть выше даётся такой официальный ответ:

> Why Rebranding?
>
> A major goal with Librem One was to provide people with convenient and easy-to-use alternatives to big tech services that respected their privacy. The key to this was the combination of decentralized services with a centralized brand. With decentralized services that used open standards and ran on free software, users aren’t locked in to any one provider and can even host services themselves (more on that in a future blog post).
>
> By putting services under a centralized brand, we make these decentralized services just as convenient to use as the big tech alternatives. That way an end-user doesn’t have to know what Matrix, ActivityPub, or even IMAP are or try to find all of the applications that work with those services on their particular platform. Instead, they just need to know that they want to chat, join social media, or send email.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

98. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –1 +/
Сообщение от InuYasha (?), 05-Май-19, 14:31 
Я читал. И это меня напрягает - т.е. что такое Watsup и Facebok юзеры знают и не напрягаются, а вот тут вдруг и их мозговой потенциал пропадает. Почему?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

102. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от anonymous (??), 06-Май-19, 22:33 
Прошу прощения, не понял о чём Вы)

Стандартно на телефонах и планшетах сейчас всё называется предельно просто: "Почта", "Интернет", "Чат" и т.п. Всё это чтобы не перенагружать пользователя. Librem решили просто соблюсти эту славную традицию.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

104. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от АнонАнонemail (?), 25-Сен-19, 18:07 
Ну тогда и назвали бы Messages, а не librem chtototam
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

14. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Аноним (6), 02-Май-19, 13:15 
Опеннет эксперт решил что нужно весь софт называть его категорией. Video player, video player, mail client, mail client 2, mail client 3!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

99. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от InuYasha (?), 05-Май-19, 14:36 
> Опеннет эксперт решил что нужно весь софт называть его категорией. Video player,
> video player, mail client, mail client 2, mail client 3!

Я бы не отказался.
Media player classic
Sound Forge
Video Director
sndrec32 :)

Есть же всякие kmplayer, smplayer, qmmp. Если б не аббревиатуры даже в меню, то было бы очень здорово. А то в результате пусковое меню обрасло к каждому названию программы ещё и строкой описания. :) Нет, выкидывать её не надо, конечно, просто факт.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +7 +/
Сообщение от Аноним84701 (ok), 02-Май-19, 15:18 
> Я понимаю, конечно, что авторы линуксофта любят упражняться в остроумии и называть софт так, чтобы аналитики ФСБ не смогли догадаться что Дельфин - это файловый менеджер, а aptitude, audacity,
> anality, idioty - набор полезного софта...

И то ли дело такие интуитивно-понятные названия, как: Outlook, Edge, AIMP,  Winamp, Windows Explorer, IrfanView, ACDSee?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –2 +/
Сообщение от А (??), 02-Май-19, 12:54 
result, _ = ...

Наркоманы блин, что уж сразу не

result,:%^#@./ _+- =:= ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от Аноним (24), 02-Май-19, 14:42 
Обычное поведение для неиспользуемых переменных, в чём проблема?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

43. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –1 +/
Сообщение от Аноним (43), 02-Май-19, 18:13 
У этого психологического феномена есть собственное название, но оно у меня начисто вылетело из головы. Суть заключается в том, что его раньше унижали за выбор языка, и ему это было неприятно. Поэтому он копирует поведение своих обидчиков, чтобы таким образом показать, мол, я тоже часть стаи, не надо меня трогать.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

51. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от А (??), 02-Май-19, 19:11 
Зачем спецсимволы? Зачем их так много? result = понятен всем, unset var понятен всем и т.п. Зачем вся это ахинея с ;?*:,№?_%"! __dw__?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

60. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 20:00 
> Обычное поведение для неиспользуемых переменных

Оно обычно далеко не для всех языков и очень далеко от интуитивного. Поэтому такие ошибки и случаются, причём отнюдь не редко.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

75. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним84701 (ok), 03-Май-19, 11:46 
> Оно обычно далеко не для всех языков и очень далеко от интуитивного.
> Поэтому такие ошибки и случаются, причём отнюдь не редко.

Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.
mydata(AnonNr, _, Message,_,_,_,_), вместо mydata(AnonNr, Unused0, Message, Unused1, Unused2, Unused3, Unused4).

А ошибка тут классическая для динамической типизации, т.к. даже из контекста понятно, что типы TResult и TYieldedPairWhatever совсем разные вещи.
Писали бы вместо "result, _ ="   "result, u(nused) =" было бы точно такое же кино.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

80. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 03-Май-19, 12:28 
> Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.

О того, что какая-то форма записи используется давно, она не становится автоматически более удачной. А, скажем, в go

a = foo()
эквивалентно
a, _ = foo()

С фига ли в питоне не так?
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним84701 (ok), 03-Май-19, 13:03 
>> Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.
> О того, что какая-то форма записи используется давно, она не становится автоматически  более удачной.

Для паттерматчинга в этих ЯП она достаточно удачна:
foo(x,y,_,_) и foo(x,y,unused,unused) в декларативной сематнике очерь разные выражения.
А вот размытые определения "(не)интуитивно" обычно просто "синдром утенка"

> А, скажем, в go

a = foo()
эквивалентно
a, _ = foo()

> С фига ли в питоне не так?

Во-первых:
с фига ли вообще в более старом ЯП с дин. типизацией "должно" копироваться поведение более нового, cо статистической?

Во-вторых:
> эквивалентно


package main
import "fmt"
func foo()(int,int) { return 1,2 }
func main() {
    y,_ := foo()
    z := foo()
    fmt.Println("y:",y,"z:",z)
}
prog.go:8:4: assignment mismatch: 1 variable but foo returns 2 values

https://golang.org/doc/effective_go.html#blank
> If an assignment requires multiple values on the left side, but one of the values will not be used by the program, a blank identifier on the left-hand-side of the assignment avoids the need to create a dummy variable and makes it clear that the value is to be discarded.

...
> If you only need the second item in the range (the value), use the blank identifier, an underscore, to discard the first:


sum := 0
for _, value := range array {
    sum += value
}

яснопонятно 🙄
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

11. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –5 +/
Сообщение от iPony (?), 02-Май-19, 12:59 
А PVS-studio 🦄 для пайтона нет 😕
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (22), 02-Май-19, 14:11 
Не надоело коверкать греческий?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –2 +/
Сообщение от GG (ok), 02-Май-19, 15:37 
Для пайтона нет проблем тестами покрыть весь проект вдоль и поперёк
И так же нет проблем написать один раз аккуратную функцию для аутентификации через какой-то бекенд, а не городить новый велосипед в каждом отдельном случае.

Такие ошибки попадают в продакшн исключительно от рукожопия.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Аноним (15), 02-Май-19, 13:27 
Что езе раз подтверждает ущербность matrix
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Анонимemail (16), 02-Май-19, 14:28 
> Что езе раз подтверждает ущербность matrix

Предлагай альтернативу

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Аноним (29), 02-Май-19, 15:39 
XMPP, Tox
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от хотел спросить (?), 02-Май-19, 16:40 
сам на токсе сижу.. но почему он не развивается?
говорят новые девы "не вытягивают"
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

42. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (42), 02-Май-19, 18:10 
слабенькие программисты сейчас пошли, только жс осиливают. а в лучшем случае шарп или го.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

67. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –1 +/
Сообщение от Аноним (66), 02-Май-19, 20:59 
<позевывая в очередной раз>
Что там нам предлагается в очередной раз для использования большими компаниями с поддержкой аудио-видео конференций, прозрачной авторизацией и поддержкой лдап?
А, всё тот же конструктор собери_сам_и_попрбуй_взлететь?
Ничего нового.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

61. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (54), 02-Май-19, 20:02 
Jami. Он хоть какой-то аудит проходил, к тому же serverless.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

73. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –2 +/
Сообщение от Аноним (73), 03-Май-19, 07:09 
>Предлагай альтернативу

Skype, WhatsApp, Viber

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

81. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 03-Май-19, 12:29 
Конечно, товарищ майор, только ими и пользуемся. Как Вы могли сомневаться?
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

31. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от Дон Ягон (?), 02-Май-19, 15:54 
Matrix снова порадовал нас дырой. Почему я не удивлён? Интересно, сколько ещё инцидентов потребуется, чтобы в общественном сознании разрушился миф о том, что matrix - надёжный и безопасный опенсорс чят?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +4 +/
Сообщение от Аноним (34), 02-Май-19, 16:27 
Референсный клиент на электроне - нуфф сэйд.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Дон Ягон (?), 02-Май-19, 16:29 
> Референсный клиент на электроне - нуфф сэйд.

Тоже обращаю на такое внимание и считаю, что это, как минимум, звоночек.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от anonymous (??), 02-Май-19, 17:29 
Справедливости ради, тут была тупо опечатка, а не какая-то ошибка в design-е приложения (приводящая к проблемам безопасности).

А "снова" -- это про что речь? Недавно ещё какая-то столь же серьёзная проблема была?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

45. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от Дон Ягон (?), 02-Май-19, 18:20 
> Справедливости ради, тут была тупо опечатка, а не какая-то ошибка в design-е приложения (приводящая к проблемам безопасности).

И что? Поимеют тебя, а ты такой: "Сорян парни, нещитово! Это не ошибка в дезигне, а тупо опечатка.". И все такие сразу разойдутся и расстроятся.

> А "снова" -- это про что речь? Недавно ещё какая-то столь же серьёзная проблема была?

"Снова" - это я всё же некорректно написал. Ну т.е. я не сомневаюсь, что оно насквозь дырявое, но имел ввиду я вот эти недавние события:
https://www.opennet.dev/opennews/art.shtml?num=50501
https://www.opennet.dev/opennews/art.shtml?num=50502
Все эти "опечатки" и торчащие наружу дженкинсы непротиворечиво показывают, какой именно орган клали разработчики на безопасность.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

84. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от anonymous (??), 03-Май-19, 14:19 
> торчащие наружу дженкинсы

Понятно, вот это действительно выглядит как халатное отношение к security и privacy :(

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

62. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (54), 02-Май-19, 20:04 
Это не опечатка. Это мелкая ошибка, имеющая крупные последствия. Процентов 95 всех уязвимостей так выглядят.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

83. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от anonymous (??), 03-Май-19, 14:16 
Я убёжден, что в >99% крупных проектов есть такого рода опечатки.

Собственно, когда находят уязвимость -- это хорошо. Далее становится интересна причина появления этой уязвимости, чтобы понять насколько можно доверять этому проекту. И если уявимость была вызвана опечаткой (а не каким-то плохим принятым техническим решением), то не надо сразу из-за этого закапывать проект (как некоторые местные комментаторы), по моему скромному мнению :)

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

39. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (39), 02-Май-19, 17:06 
Питон, такой питон.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +2 +/
Сообщение от Аноним (43), 02-Май-19, 18:20 
В данном случае эта ошибка универсальна для большинства нетипизированных языков.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

64. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от виндотролль (ok), 02-Май-19, 20:12 
s/нетипизированных/любимых макаками/
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

41. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (41), 02-Май-19, 17:42 
ну и дырища
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +7 +/
Сообщение от Аноним (44), 02-Май-19, 18:15 
Был бы сам телефон Librem 5, а софт и из исходников с официальных сайтов проектов самостоятельно установим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Эффективный менеджер (?), 02-Май-19, 18:28 
Уязвимости - то второстепенно. Главное - как можно скорее выйти на рынок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (50), 02-Май-19, 18:59 
Питон особо не поможет (или не помешает, кому как), если на весь компонент "супер защищенного мессенджера" три сомнительных теста:
https://github.com/matrix-org/matrix-synapse-ldap3/blob/mast...

А особенно с такими проверками `if not result:` (которая скорее слепа, чем полезна) есть ощущение, что новостей феерических еще будет от проекта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  –2 +/
Сообщение от zower (ok), 02-Май-19, 19:38 
>преподносимый как защищённая платформа для обеспечения приватности.
>что позволяло любому пользователю без авторизации войти в чат под любым идентификатором.
>Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год)

Интересно какой лох после такого будет покупать у них что-то? если и найдутся такие, не когда им супер анонимками не стать, ибо даже с опеннета анонимы буду смотреться солидней чем те кто воспользуются этим платным 💩.😆

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от виндотролль (ok), 02-Май-19, 20:11 
чего еще можно было ждать от питономакак
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (76), 03-Май-19, 11:53 
> +result, _ = yield self._ldap_simple_bind
> -result, _ = yield self._ldap_simple_bind

И дыра. Вот такой вот он, охрененный питоновский синтаксис.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (76), 03-Май-19, 11:54 
> -result, _ = yield self._ldap_simple_bind
> +result = yield self._ldap_simple_bind
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

78. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (78), 03-Май-19, 12:15 
Желная новость ни о чем.
Обычная бага. Сервис ведь только создали. Фиксится мгновенно.
И причем тут еще не вышедший телефон? Лишь бы говна налить.

А по существу во всем виноват хипстерский питон.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +3 +/
Сообщение от виндотролль (ok), 03-Май-19, 22:27 
хипстерский??? Даже хипстеры уже додумались до статической типизации. Куда не плюнь, везде фп и строгая богатая система типов.

Питон — это какое-то коллективное помешательство, которое, к счастью, вытесняется все больше и больше.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

92. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Michael Shigorinemail (ok), 04-Май-19, 00:31 
Это была довольно унылая попытка at downplaying, имейте в виду.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

95. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +1 +/
Сообщение от Аноним (95), 04-Май-19, 17:45 
Питон? А что вы ожидали от динамически-типизированного языка...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (96), 05-Май-19, 04:54 
А кто нибудь пояснит смысл этого сервиса? То есть компания будет собирать всю секретную переписку пользователей за их же деньги и хранить в своём "секретном" хранилище? Это же а_рабство чистой воды!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от anonymous (??), 05-Май-19, 11:01 
Вопрос не риторический (сам не пользовался, поэтому не знаю): А тот же Matrix разве не федеративный? Если федеративный и разрешается использовать собственный сервер, то в этом есть смысл.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

100. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Аноним (100), 05-Май-19, 21:02 
Переписка в матриксе на серверах не хранится.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

101. "Критическая уязвимость в сервисе Librem One, выявленная в де..."  +/
Сообщение от Анонимомус (?), 06-Май-19, 13:17 
Что-то я запутался, Librem 5 будет на андроиде?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру