The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Демонстрация степени приуменьшения опасности уязвимости в Li..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от opennews on 02-Май-09, 11:58 
В начале апреля в Linux ядре 2.6.28 без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu (http://www.ubuntu.com/usn/usn-751-1) и RedHat (http://rhn.redhat.com/errata/RHSA-2009-0331.html) как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к тривиальным DoS уязвимостям, недолго думая написал (http://kernelbof.blogspot.com/2009/04/kernel-memory-corrupti...) работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя.


По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как вероятно серьезность их сильно приуменьшена.

URL: http://kernelbof.blogspot.com/2009/04/kernel-memory-corrupti...
Новость: http://www.opennet.dev/opennews/art.shtml?num=21561

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от хакир on 02-Май-09, 11:58 
>уязвимость в SCTP подсистеме

начать нужно с этого

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от User294 (ok) on 02-Май-09, 18:45 
Да уж.Извиняюсь, но на большинстве фаерволов и натов оно просто .. всосет.В результате удачи хакеру это сломать.А то что в новом протоколе и дыр наверняка есть - кто бы сомневался.Сколько лет во всех системах TCP\IP лечили?Ну вот столько же и SCTP будут.А учтя что его никто не пользует - еще дольше даже.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от Frank email(??) on 02-Май-09, 11:59 
Обновления-то вовремя поставить не проблема. Но для применения нового ядра нужна перезагрузка. Я вот смотрю на аптайм 40 недель у сервака провайдера - думаете, там достаточно свежее ядро? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от Аноним (??) on 02-Май-09, 13:25 
Что-то помнится было про залатывание ядра "на лету"...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Демонстрация степени приуменьшения опасности уязвимости в Li..."  +/
Сообщение от Oxbadcoded on 02-Май-09, 17:34 
Для применения патчей безопасности без перезагрузки используют ksplice:
http://www.ksplice.com/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от vadiml on 02-Май-09, 12:30 
> уязвимость в SCTP подсистеме

У кого она сейчас используется?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от dumendil (??) on 02-Май-09, 13:58 
>> уязвимость в SCTP подсистеме
>
>У кого она сейчас используется?

Вы не поверите, все современные коммутаторы мобильной и не очень связи, а так же SMS-центры и биллинговые сервера, поверх него гоняют SIGTRAN. Т.е. основную сигнализацию сети. И во многих из них оно именно на Linux-ядре построено.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 01:58 
>основную сигнализацию сети. И во многих из них оно именно на
>Linux-ядре построено.

А что, они вот так бойко кинулись пользоваться протоколом который не так уж давно существует?Ну вот и побудут подопытными кроликами для его отладки :)

Я конечно понимаю что хацкер сгородил довольно изобреательный сплойт и на весь мир трубит о победе.И даже формально прав - в каких-то условиях натурально можно поиметь удаленно рут.

Но если смотреть правде в глаза, на практике эксплойт малоинтересен.Чем и хорош - познавателен для тех кому интересна техническая сторона, малополезен всяким засранцам :)

1) Он зависит от конкретных версий ядер. Они у всех разные. Хацкер сделал для нескольких ядер.Но например моей убунты 9.04 х64 там вообще не оказалось.Да и вообще - в основном для относительно старых ядер.Понятно что дело наживное но штука не долгоиграющая - теперь хацкерам придется вечно догонять всех ядроклепателей (коих легион) по части релизов ядер? :)

2) Требуется довольно экзотичный протокол SCTP.Многие файрволы\наты его давят или не умеют обрабатывать.Если опсосы настолько дауны что вывесили свой интранет и все его кишки в интернет без файрвола так что можно просто взять и долбануть их хост по SCTP ремотно - мои им поздравления, они вполне заслуживают чтобы их бахнули эксплойтом.Глядишь поумнеют и начнут наконец нормально админить свои сети.

3) Требуется чтобы какая то прога слушала SCTP соединения.Наверное только у опсосов такие и есть. А вот взять и бабахнуть этим сплойтом "вон тот кульный хост" - как правило банально не судьба.За отсутствием на нем таковых программ.И\или из-за наличия файрвола.

Итого - прикольно, страшно и все такое.Но - не опасно на практике.В итоге критичным называть это все-таки перебор(понятно что хакеру хотелось бы именно такого названия, но ...).Последствия не те.Никаких массовых взломов, ботнетов и прочая - не будет.Будет нормальная такая страшилка для ядерщиков и чайников.Это правильно - нефиг расслабляться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от HZ (??) on 03-Май-09, 04:40 
Ляпихоиды такие ляпихоиды! :)

"По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра."

С русским языка проблемы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 07:08 
>Ляпихоиды такие ляпихоиды! :)

А там в коментах к сплойту другой перец нелестно высказался про FreeBSD'шный sctp в таком же контексте (см мой предыдущий комент).При том думается его роутерная компания вполне могла "забыть" вернуть улучшения в основную ветку, как это модно у контор юзающих *bsd. Как минимум, видим что дерьмецо в системе есть не только в пингвине. Ы?

P.S. не бывает безбажного софта.Особенно такого размера.Бывает недообследованный :).Хотите без багов?Юзайте примитивную RTOS на пару кило кода - их можно вылизать как кошкин зад при желании.А то что она ничерта не умеет - извините.А в любом коде на несколько Мб и более всегда накопается много веселых багов.А куда вы денетесь то?Людям свойственно ошибаться.И то что кажется нормальным програмеру с точки зрения хакера может выглядеть совсем иначе.И редкий программер при написании кода думает как хакер.Даже небезызвестный ЗАРАЗА писав свой 3Proxy что называется с "security in mind" (он по идее вообще спец по безопасности а не програмер) - фиксил в нем разок buffer overflow.Пардон, если спец по секурити в относительно небольшом коде может лопухнуться разок - что уж о других говорить?Shit happens.А в коде на несколько мегов багов просто не может не быть :P

>"По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при
>желании создать для большинства "DoS уязвимостей" ядра."

Можно наверное.А кто-то сомневался?Вы на эксплойт смотрели?Довольно геморройная в создании штука которая работает отнюдь не везде.Замечательная вещь - если "на подрочить" и все такое.И почти ноль на практике, чтобы "вон ту систему долбануть".Как по мне - пусть бы все такие сплойты были.Научный интерес представляет.Практически - не шибко опасен для большинства хомячков :).Пусть дальше так продолжают, чем больше такие как он подкалывают ядерщиков тем безопаснее система будет в итоге :-)

>С русским языка проблемы?

Это еще что.А вот у вас видимо куда более серьезные проблемы - с соображалкой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 03-Май-09, 22:02 
Вы так виртуозно провели защиту Microsoft Vista, что прямо слов нет. Какая бы ОС ни была «взломана», это будет её минус. Если её разработчики не смогли (или не захотели) правильно оценить опасность, то это тоже будет её минус. Если завтра выяснится, что разработчики *BSD систематически так поступают, я вряд ли останусь их добровольным пользователем. Пока что же всё наоборот, что и радует (я не ошибся с выбором), и огорчает (такие вещи происходят) одновременно.

И, кстати, вам ещё не надоело в каждую тему приплетать свою ненависть к *BSD? Тем паче, что вы периодически лажаетесь, как, например, здесь:

>При том думается его роутерная компания вполне могла "забыть" вернуть улучшения в основную ветку, как это модно у контор юзающих *bsd.

С тем же успехом улучшения забудут вернуть в Линукс, т.к. используемые модификации не выходят за рамки фирмы. То есть BSDL здесь ничем не лучше/хуже GPL.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 23:11 
>Вы так виртуозно провели защиту Microsoft Vista, что прямо слов нет.

Если смотреть с технической точки зрения, плюнув на отношение к фирме и прочая и рассматривая только технические аспекты - гайки в висте по сравнению с прошлыми системами MS натурально подтянуты.Другое дело что это у них юзабилити порушило очень сильно и кроме того - ряд бестолковостей остался (как то пачка сервисов с задранными привилегиями, впрочем по сравнению с XP некоторым привилегии откусили - полумеры, но все-таки).

>Какая бы ОС ни была «взломана», это будет её минус.

Понимаете, мне не нравится метод страуса "если я чего-то не вижу, значит этого нет".

>Если её разработчики не смогли (или не захотели) правильно оценить опасность,

Разработчики - не хакеры.Они мыслят несколько иначе.Они могут знать какие-то базовые основы.Но быть крутым экспертом по взлому разработчик не обязан.И, как я уже сказал, даже эксперт по секурити типа 3APA3A-ы и то как видим может и лопухнуться изредка(ну во всяком случае в его прокси разок дыру все-таки нашли).

>то это тоже будет её минус.

Если не хочется на такие минусы налетать - остается пользоваться простейшими RTOSами и т.п. на пару Кб.Они ничего не умеют но зато могут быть вылизаны до битика.В областях где отказ может очень дорого обойтись собственно так и делают.Но для general purpose серверов, десктопов и прочая так не выйдет.

>Если завтра выяснится, что разработчики *BSD систематически
>так поступают, я вряд ли останусь их добровольным пользователем. Пока что
>же всё наоборот, что и радует (я не ошибся с выбором),

Скажите, а релиз в (если не ошибаюсь) NetBSD фаерфокса 3.0.6 при наличии 3.0.10 на который уже на тот момент известный сплойт есть - это что, так и надо?Нет, я конечно понимаю что технические задержки или что там еще - у всех бывают.Одна проблема - хакеры ждать не будут.Вот припрет кому пойти на принцип, как вот этому чуваку с SCTP и результат будет такой же.Даже презренные убунтуйцы выпустившие свою систему гораздо раньше поюзали 3.0.8 - последний на момент выпуска.Более ответственный подход, а? Да и те же OpenSSH или sudo несколько раз ломали.Т.е. писали код все-таки простые смертные.Которые тоже могут ошибаться.А в коде на несколько мегабайтов просто не может не быть ошибок.Это так, по опыту насчет качества софта.Все что реально могут сделать разработчики систем весом в несколько Мб - это оперативно чинить известные ошибки и пытаться убавить их количество и тяжесть последствий.А совсем предотвратить ошибки в системе такого размера - это фантастика.Их все-таки люди пишут...

>Тем паче, что вы периодически лажаетесь, как, например, здесь:

Вам не кажется что доказательства такого плана надо снабжать например, указанием конкретных коммитов и фрагментов исходников и т.п. от этой "роутерной компании" а не просто голословными наездами?А то наезжать все горазды.А по делу?

>>При том думается его роутерная компания вполне могла "забыть" вернуть улучшения в основную ветку, как это модно у контор юзающих *bsd.
>С тем же успехом улучшения забудут вернуть в Линукс, т.к. используемые модификации
>не выходят за рамки фирмы.

Вы не находите что роутерная компания делающая роутеры только для себя - это НОНСЕНС! Так что сказки это хорошо но на практике - линуксные конторы делают результат своего труда обычно не только для себя.А потому - делятся.Что толкает развитие всего этого мяу-микса вперед.Да, со скрипом, скрежетом и своими проблемами.Но у других и такого нет.Поэтому они аж в 2009 году (спасибо что не в 2101-ом) приделывают "новинку".Файловую систему с журналом.Разрабы нетбсд например.Вот только я пользовался журналируемой файловой системой еще в NT4, сто лет назад.И в пингвине оно слава богу не вчера появилось.Ничего так разница в развитии, да?

>То есть BSDL здесь ничем не лучше/хуже GPL.

См. выше - роутерная компания, определенно, РАСПОСТРАНЯЕТ свой код.В виде проданных роутеров.А значит в случае GPL они должны вернуть улучшения.В случае BSD - могут послать всех в жопу.Что и делается обычно.С мелким конкурентным плюсом для одной конкретной компании.С огромным минусом в сумме - для проекта в целом.Или по вашему - роутерная компания, пардон, делает роутеры чтобы их чисто внутри себя пользовать?Вы с вашим фанатизмом нереально жжоте, начиная терять нить здравого смысла :).Вас настолько задело? I'm sorry, факты не всегда бывают лицеприятны. И строго говоря - не моя вина что они таковы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 03-Май-09, 23:37 
>>Вы так виртуозно провели защиту Microsoft Vista, что прямо слов нет.
>
>Если смотреть с технической точки зрения, плюнув на отношение к фирме и
>прочая и рассматривая только технические аспекты - гайки в висте по
>сравнению с прошлыми системами MS натурально подтянуты.Другое дело что это у
>них юзабилити порушило очень сильно и кроме того - ряд бестолковостей
>остался (как то пачка сервисов с задранными привилегиями, впрочем по сравнению
>с XP некоторым привилегии откусили - полумеры, но все-таки).

Да знаем, знаем... :)

>>Какая бы ОС ни была «взломана», это будет её минус.
>
>Понимаете, мне не нравится метод страуса "если я чего-то не вижу, значит
>этого нет".

Во-первых, не додумывайте. Во-вторых, если нельзя верить глазам и ушам, то строить любые умозаключения бессмысленно. В частности, если мне говорят «А» вместо «Б» (не важно, по незнанию, рассеянности, глупости…), то мне это НЕ нравится.

>>Если её разработчики не смогли (или не захотели) правильно оценить опасность,
>
>Разработчики - не хакеры.Они мыслят несколько иначе.Они могут знать какие-то базовые основы.Но
>быть крутым экспертом по взлому разработчик не обязан.

Если он занимается разработкой систем защиты (а SCTP разрабатывался именно как «защищённый TCP»), то обязан. Впрочем, не об этом речь.

>И, как я уже
>сказал, даже эксперт по секурити типа 3APA3A-ы и то как видим
>может и лопухнуться изредка(ну во всяком случае в его прокси разок
>дыру все-таки нашли).

Может. Только изначально в тексте речь шла не о конкретной дырке в SCTP (готов поспорить, тов. эксперт специально взял для примера нечто малораспространённое, чтобы не нагонять панику), а о подходе как таковом.

>>то это тоже будет её минус.
>
>Если не хочется на такие минусы налетать - остается пользоваться простейшими RTOSами
>и т.п. на пару Кб.Они ничего не умеют но зато могут
>быть вылизаны до битика.В областях где отказ может очень дорого обойтись
>собственно так и делают.Но для general purpose серверов, десктопов и прочая
>так не выйдет.

Как я (и не только) уже говорил, это вопрос рисков.

>>Если завтра выяснится, что разработчики *BSD систематически
>>так поступают, я вряд ли останусь их добровольным пользователем. Пока что
>>же всё наоборот, что и радует (я не ошибся с выбором),
>
>Скажите, а релиз в (если не ошибаюсь) NetBSD фаерфокса 3.0.6 при наличии
>3.0.10 на который уже на тот момент известный сплойт есть -
>это что, так и надо?

Во-первых, не путайте FireFox и собственно ОС. FireFox пишут отнюдь не разработчики ОС.

Во-вторых, насчёт NetBSD не скажу, а в случае с OpenBSD все, кому надо, просто подписаны на ports@openbsd.org или юзают openports.se. Более того, как я уже говорил, на десктопе OpenBSD-CURRENT чувствует себя прекрасно, по надёжности работы она намного обходит «релизы» какой-нибудь Ubuntu.

>>Тем паче, что вы периодически лажаетесь, как, например, здесь:
>
>Вам не кажется что доказательства такого плана надо снабжать например, указанием конкретных
>коммитов и фрагментов исходников и т.п. от этой "роутерной компании" а
>не просто голословными наездами?А то наезжать все горазды.А по делу?

Дык это вы сами её приплели, не?

>>>При том думается его роутерная компания вполне могла "забыть" вернуть улучшения в основную ветку, как это модно у контор юзающих *bsd.
>>С тем же успехом улучшения забудут вернуть в Линукс, т.к. используемые модификации
>>не выходят за рамки фирмы.
>
>Вы не находите что роутерная компания делающая роутеры только для себя -
>это НОНСЕНС!

Ясно, не поняли друг друга. :) Я понял, что речь идёт о крупном провайдере, типа ТТК…

>Так что сказки это хорошо но на практике -
>линуксные конторы делают результат своего труда обычно не только для себя.А
>потому - делятся.Что толкает развитие всего этого мяу-микса вперед.Да, со скрипом,
>скрежетом и своими проблемами.Но у других и такого нет.Поэтому они аж
>в 2009 году (спасибо что не в 2101-ом) приделывают "новинку".Файловую систему
>с журналом.Разрабы нетбсд например.Вот только я пользовался журналируемой файловой системой еще
>в NT4, сто лет назад.И в пингвине оно слава богу не
>вчера появилось.Ничего так разница в развитии, да?

Угу. Сколько пользовательских данных умерло до вылизывания ext3 мне вам напомнить, или сами погуглите? Про NT вообще молчу, сколько я уже падений NTFS видел…

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 02:26 
>Во-первых, не додумывайте.

Я не додумываю.Я знаю.Это так, по опыту насчет качества софта просто.Вам может быть и хотелось бы чтобы было иначе.Ну, хотите.А толку?В лучшем для вас случае - ос сдохнет до того как кто-то ей заинтересуется с точки зрения секурити и умрет "условно непобежденной".В хучшем вас скорее всего будет ждать суровое разочарование если кто-то откопает хотя-бы треть всех дыр которые там есть.Вон макос помните какой нерушимой считалась?А как под х86 ее сделали да популярность увеличилась - вон и трояны\вири для нее уже есть и апдейты пачками.А все потому что хаксорам x86 привычнее PPC а популярность способствует желанию засунуть свой нос в код системы.

>Во-вторых, если нельзя верить глазам и ушам, то строить любые умозаключения
>бессмысленно.

Кроме глаз и ушей нужен еще мозг.Желательно работающий.Идеально - еще и просто объективно и без фанатизма взвешивающий все факты.Все "за" и "против", etc.

>В частности, если мне говорят «А» вместо «Б»
>(не важно, по незнанию, рассеянности, глупости…), то мне это НЕ нравится.

Так на то и обсуждение чтобы привести контр-аргументы.Только вот аргументы вида "я своими глазами вижу что Солнце вращается вокруг Земли и что Земля - плоская а вы все брехуны!" мне не нравятся.Да, глаза иногда могут обмануть.Если бы люди верили *только* глазам - до сих пор думали бы что солнце вращается вокруг земли и что сама земля плоская.Ведь на первый взгляд - все именно так!Глаза видят именно это.

>Если он занимается разработкой систем защиты (а SCTP разрабатывался именно как
>«защищённый TCP»), то обязан. Впрочем, не об этом речь.

Простите, а в каком месте он позиционируется как "защищенный" то?Там только устранен тупняк с хэндшейком TCP разве что, позволявший DoS атаки.Сам по себе - просто транспортный протокол.Без каких-то особых секурити фич.Оно отличается по свойствам доставки данных от TCP и от UDP, чем и интересно всем в основном.

>Может. Только изначально в тексте речь шла не о конкретной дырке в
>SCTP (готов поспорить, тов. эксперт специально взял для примера нечто
>малораспространённое, чтобы не нагонять панику), а о подходе как таковом.

А насчет именно подхода - я совсем не против чтобы разработчиков лишний раз пнули чтобы они понимали истинную ответственность и опасность таких дыр.То что они увидели это как DoS - они не хакеры все-таки и в деталях хакерского ремесла разбираться в принципе не обязаны.Положа руку на сердце - для того чтобы такой сплойт сделать даже матерому хакеру пришлось посношать себе мозг.А разработчики - не хакеры которые именно профессионально взламывают системы все-таки.Не каждый разработчик замков всенепременно спец по их вскрытию подручными средствами.

>Как я (и не только) уже говорил, это вопрос рисков.

В чем-то вы правы.Но с такой точки зрения - этот конкретный эксплойт low risk.Почему-см.выше.Т.е. шуму много а толка - мало.Много вы видели систем в интернете где SCTP приложения слушают?Да еще надо чтобы они на число соединений плевали и т.п..Эксплойтец то достаточно брейнфакерский, им что попало не подломишь, нужно стечение ряда обстоятельств.Я вот так сходу попросту не нашел что им можно долбануть для проверки из того что под рукой.

>Во-первых, не путайте FireFox и собственно ОС. FireFox пишут отнюдь не разработчики
>ОС.

И что?Они его поставляют в комплекте как я понимаю, а потому в ответе и за него.И, простите, подсовывать заведомо дырявые дефолты - нехорошо.ИМХО.Думаете, мне большая радость от того что меня поимеют не через софт писаный такими-сякими а только ими засунутый и не обновленный до текущего?At the end of day мне результат все-таки важнее.

>Во-вторых, насчёт NetBSD не скажу, а в случае с OpenBSD все, кому надо,

Ой.Это все отмазки, согласитесь?В конечном итоге - было бы замечательно если бы в системе не лежали грабельки без добавочных телодвижений по их убиранию.И старый файрфокс в системе - достаточно безответственно.Именно в плане секурити как раз.

>работы она намного обходит «релизы» какой-нибудь Ubuntu.

Ну, у меня как минимум убунту заводит видео и все остальное без недельного приложения напильника и файрфокс без лишнего траха до текущего проапдейтить можно.

И, если честно, мне не очень охота "загорать" под днищем "Жигуля", колупать конфиги иксов и изучать побочные методы "как обновить файрфоксину" отличные от дефолтных системных средств управления софтом в их дефолтовом состоянии, чисто для того чтобы исправить проколы разработчиков своими руками. Особенно - если система планируется к юзежу как десктоп. В этом плане мне проще купить иномарку под которой загорать не придется, юзать ОС где не придется "загорать" в конфигах и т.п. - в конце концов, шина PCI-E доступна процу а не мне.Это не значит что я дуб, это значит что я полагаю что машинную работу - надо отдать именно машинам.А людям хорошо бы заниматься чем-то более креативным чем ручные указания системе по части видеокарты и ее параметров.

Также на мое ИМХО мне не должны подкладывать грабли в дефолтовом виде системы.А уж что я там дальше напортачу и где я захочу покопаться - мое дело и моя ответственность.А ответственность вендора (дистроклепателей, майнтайнеров, сообщества, кого угодно!) - предоставить систему без заведомых граблей настолько насколько это возможно. В противном случае не очень охота иметь дело с системой где надо постоянно опасаться каких-то капканов в дефолтном ее состоянии и ходить с картой их размещения (обновляемой и какой там еще).

>Дык это вы сами её приплели, не?

Я увидел комент чувака к эксплойту и предположил что его роутерная компания действует так же как и все остальные конторы такого типа.Т.е. засовывает проприетарный форк в свою железяку и продает.Стандартное поведение роутерных компаний.Вам ли это не знать?

>Ясно, не поняли друг друга. :) Я понял, что речь идёт о
>крупном провайдере, типа ТТК…

А я так понял что тот перец работает (или работал) в каком-то производителе роутеров и они юзали у себя FreeBSD.Для *провайдера*, особенно буржуйского было бы очень странно и нелогично покупать коммерческий софт для аудита и самолично фиксить систему.Вы ничего не попутали?Провайдер занимается предоставлением услуг а не майнтайнерством своих клонов системы - провайдерам оно нафиг не надо и им то как раз логично было бы спихать непрофильную деятельность не приносящую дохода на комьюнити, может даже и подкормив их разок на копию софта для аудита и прочая.Это дешевле чем орду своих програмеров, тестеров, манагеров и прочего стаффа содержать.

>>в NT4, сто лет назад.И в пингвине оно слава богу не
>>вчера появилось.Ничего так разница в развитии, да?
>Угу. Сколько пользовательских данных умерло до вылизывания ext3 мне вам напомнить, или
>сами погуглите? Про NT вообще молчу, сколько я уже падений NTFS видел…

И ... чего?Я вот добрых лет 5 пользуюсь EXT2/3.И *ничего* на моей памяти не терял по вине ФС so far, особенно ext3.Может везло.Или еще чего.NTFS - да, может подохнуть, видал такое.Но обычно все-таки с посторонней помощью (e.g. сбоящая RAM, левые записи на том, etc).А вот нежурналируемый фат у меня вполне себе рассыпался на лост кластеры в очень серьезном количестве при слете питания при активной записи файлов(что послужило веским стимулом к юзанию журналируемых ФС-они обычно настолько не разваливаются).И уж что может быть приятнее чем в середине работы (если чекать диск полчаса при загрузке влом) потом узнать что в ФС имеются сбои, дескать.А то вас послушать - можно подумать что без журнала ФС не рушится.Как правило сильнее рушится и требует длительной проверки утилсой.Чисто по логике вещей - с журналом можно ФС привести в консистентное состояние относительно малой кровью и быстро (в хучшем случае немного пострадает файл который писался в данный момент).А без журнала даже не известно в каком месте и что обломалось - придется за неимением лучших вариантов всю ФС лопатить в поисках неконсистентностей.Круто, да!Для времен эпохи FAT16 - самое оно.А для 2009 как-то не катит уже :P

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

89. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 10:01 
>>Во-первых, не додумывайте.
>
>Я не додумываю.

Я имел в виду «не додумывайте за меня».

>Я знаю.Это так, по опыту насчет качества софта просто.Вам может
>быть и хотелось бы чтобы было иначе.Ну, хотите.А толку?В лучшем для
>вас случае - ос сдохнет до того как кто-то ей заинтересуется
>с точки зрения секурити и умрет "условно непобежденной".В хучшем вас скорее
>всего будет ждать суровое разочарование если кто-то откопает хотя-бы треть всех
>дыр которые там есть.Вон макос помните какой нерушимой считалась?

Не знаю, кем она считалась, но точно не мной. Между прочим, до наступления гегемонии Windows на Макинтошах вирусы только так бегали.

>А как под
>х86 ее сделали да популярность увеличилась - вон и трояны\вири для
>нее уже есть и апдейты пачками.А все потому что хаксорам x86
>привычнее PPC а популярность способствует желанию засунуть свой нос в код
>системы.

Вы это кому рассказываете? :)

>>Во-вторых, если нельзя верить глазам и ушам, то строить любые умозаключения
>>бессмысленно.
>
>Кроме глаз и ушей нужен еще мозг.Желательно работающий.Идеально - еще и просто
>объективно и без фанатизма взвешивающий все факты.Все "за" и "против", etc.

Если нет данных, на которые можно положиться, то правильное умозаключение не выведешь. В лучшем случае можно угадать, но и тогда вы не отличите истинный вывод от ложного. Вспоминайте (учите) формальную логику. ;)

>>В частности, если мне говорят «А» вместо «Б»
>>(не важно, по незнанию, рассеянности, глупости…), то мне это НЕ нравится.
>
>Так на то и обсуждение чтобы привести контр-аргументы.Только вот аргументы вида "я
>своими глазами вижу что Солнце вращается вокруг Земли и что Земля
>- плоская а вы все брехуны!" мне не нравятся.Да, глаза иногда
>могут обмануть.Если бы люди верили *только* глазам - до сих пор
>думали бы что солнце вращается вокруг земли и что сама земля
>плоская.Ведь на первый взгляд - все именно так!Глаза видят именно это.

Люди так или иначе верят глазам. Теория Коперника ничего бы не стоила, если бы у неё не было доказательств. А доказательства в астрономии и вообще физике, если вы не в курсе, так или иначе всё равно базируются на наблюдении. И теория Коперника не противоречит имеющим фактам — она (вкупе с другими теориями) прекрасно объясняет, почему мы видим то, что видим — на основе ДРУГИХ наблюдений, которые противоречат «изначальному» видению мира. То есть выводы (доказательства) всё равно строятся на базе фактов. Теория без фактов — выдумка. Факты без теории — каша.

>>Может. Только изначально в тексте речь шла не о конкретной дырке в
>>SCTP (готов поспорить, тов. эксперт специально взял для примера нечто
>>малораспространённое, чтобы не нагонять панику), а о подходе как таковом.
>
>А насчет именно подхода - я совсем не против чтобы разработчиков лишний
>раз пнули чтобы они понимали истинную ответственность и опасность таких дыр.То
>что они увидели это как DoS - они не хакеры все-таки
>и в деталях хакерского ремесла разбираться в принципе не обязаны.

Для того, чтобы понять, DoS это или RCE, не обязательно быть хакером, нужно быть просто внимательным и знать, что происходит в каждой строчке кода.

>Положа руку
>на сердце - для того чтобы такой сплойт сделать даже матерому
>хакеру пришлось посношать себе мозг.А разработчики - не хакеры которые именно
>профессионально взламывают системы все-таки.Не каждый разработчик замков всенепременно спец по их
>вскрытию подручными средствами.

Данный хакер не искал дырку, а анализировал имеющуюся. Это две большие разницы.

>>Как я (и не только) уже говорил, это вопрос рисков.
>
>В чем-то вы правы.Но с такой точки зрения - этот конкретный эксплойт
>low risk.Почему-см.выше.Т.е. шуму много а толка - мало.Много вы видели систем
>в интернете где SCTP приложения слушают?Да еще надо чтобы они на
>число соединений плевали и т.п..Эксплойтец то достаточно брейнфакерский, им что попало
>не подломишь, нужно стечение ряда обстоятельств.Я вот так сходу попросту не
>нашел что им можно долбануть для проверки из того что под
>рукой.

И слава богу. Как я уже сказал выше, у меня есть основания полагать, что данная дырка была взята специально как малоопасная в практическом плане.

>>Во-первых, не путайте FireFox и собственно ОС. FireFox пишут отнюдь не разработчики
>>ОС.
>
>И что?Они его поставляют в комплекте как я понимаю, а потому в
>ответе и за него.И, простите, подсовывать заведомо дырявые дефолты - нехорошо.ИМХО.Думаете,
>мне большая радость от того что меня поимеют не через софт
>писаный такими-сякими а только ими засунутый и не обновленный до текущего?At
>the end of day мне результат все-таки важнее.

Это понятно, но вы сначала дальше прочитайте. ;)

>>Во-вторых, насчёт NetBSD не скажу, а в случае с OpenBSD все, кому надо,
>
>Ой.Это все отмазки, согласитесь?В конечном итоге - было бы замечательно если бы
>в системе не лежали грабельки без добавочных телодвижений по их убиранию.И
>старый файрфокс в системе - достаточно безответственно.Именно в плане секурити как
>раз.

Безответственно — когда обещают и не дают. Насчёт официальных портов в ветке -STABLE все предупреждения висят. К сожалению, нельзя сказать, когда ситуация изменится, потому что нужно, чтобы кто-то: а) имел более-менее полный набор железа из числа поддерживаемых архитектур; б) имел достаточно времени на тестирование и отладку бэкпортов; в) имел хорошую мотивацию; г) мог бы этим заниматься постоянно (то есть, фактически, нужно минимум 2 человека); д) хорошо разбирался в устройстве дерева портов, причём помнил об изменениях за последние полтора года. Энтузиастов много, а вот когда дело доходит до реальной работы — как всегда, начинаются проблемы. :-\

У фряшников вот, например, такого деления портов нет, зато ломаются порты чаще.

Кстати, не все дырки в FireFox на OpenBSD опасны, за счёт особенностей работы с памятью и не только…

>>работы она намного обходит «релизы» какой-нибудь Ubuntu.
>
>Ну, у меня как минимум убунту заводит видео и все остальное без
>недельного приложения напильника и файрфокс без лишнего траха до текущего проапдейтить
>можно.

Аналогично. Чем ещё померяемся? ;)

>И, если честно, мне не очень охота "загорать" под днищем "Жигуля", колупать
>конфиги иксов и изучать побочные методы "как обновить файрфоксину" отличные от
>дефолтных системных средств управления софтом в их дефолтовом состоянии, чисто для
>того чтобы исправить проколы разработчиков своими руками.

Простейший случай:

cd ${PORTSDIR:-/usr/ports}/www/mozilla-firefox && cvs -APd && make update

> Особенно - если система
>планируется к юзежу как десктоп. В этом плане мне проще купить
>иномарку под которой загорать не придется, юзать ОС где не придется
>"загорать" в конфигах и т.п. - в конце концов, шина PCI-E
>доступна процу а не мне.Это не значит что я дуб, это
>значит что я полагаю что машинную работу - надо отдать именно
>машинам.А людям хорошо бы заниматься чем-то более креативным чем ручные указания
>системе по части видеокарты и ее параметров.

Это вы про Linux? В отличие от OpenBSD, мне обычно там приходится создавать xorg.conf ручками. Не знаю уж почему так получается.

>Также на мое ИМХО мне не должны подкладывать грабли в дефолтовом виде
>системы.А уж что я там дальше напортачу и где я захочу
>покопаться - мое дело и моя ответственность.А ответственность вендора (дистроклепателей, майнтайнеров,
>сообщества, кого угодно!) - предоставить систему без заведомых граблей настолько насколько
>это возможно.

Если вы им за это платите, то да.

>В противном случае не очень охота иметь дело с
>системой где надо постоянно опасаться каких-то капканов в дефолтном ее состоянии
>и ходить с картой их размещения (обновляемой и какой там еще).

Грабли — это когда сталкиваешься с тем, с чем столкнуться не ожидал, то есть вопреки имеющейся документации. У меня только один вопрос: вам шашечки или ехать? Есть проблема, есть решение. Не нравится — вперёд, чините свои убунты после очередного обновления. У меня на работе коллеги с ними уже довоевались: один ушёл обратно на винду, другой собирается побаловаться с PC-BSD. Симптомы разные, но суть одна и та же: система не работает или сильно глючит после «официального» обновления. Нафига оно тогда нужно, а?

>>Дык это вы сами её приплели, не?
>
>Я увидел комент чувака к эксплойту и предположил что его роутерная компания
>действует так же как и все остальные конторы такого типа.Т.е. засовывает
>проприетарный форк в свою железяку и продает.Стандартное поведение роутерных компаний.Вам ли это не знать?

Ясно.

>Для *провайдера*, особенно буржуйского
>было бы очень странно и нелогично покупать коммерческий софт для аудита
>и самолично фиксить систему.Вы ничего не попутали?
>Провайдер занимается предоставлением услуг а
>не майнтайнерством своих клонов системы - провайдерам оно нафиг не надо
>и им то как раз логично было бы спихать непрофильную деятельность
>не приносящую дохода на комьюнити, может даже и подкормив их разок
>на копию софта для аудита и прочая.Это дешевле чем орду своих
>програмеров, тестеров, манагеров и прочего стаффа содержать.

Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком случае, самую ответственную часть), так как это надёжнее. И не только провайдеры. То есть понятно, гарантийный ремонт — это гарантийный ремонт, но все настройки обычно затачиваются так или иначе «под себя», а производитель используемого железа, по понятным причинам, ориентируется на «типовые» конфигурации. Причём тут «клоны системы» не совсем понял: провайдер просто обслуживает своё железо, на котором стоит как правило сильно кастомизированный софт. А для чего нужны открытые исходники, как не для относительно лёгкой кастомизации под конкретные задачи? :) (не только для этого, конечно, но не суть)

>>>в NT4, сто лет назад.И в пингвине оно слава богу не
>>>вчера появилось.Ничего так разница в развитии, да?
>>Угу. Сколько пользовательских данных умерло до вылизывания ext3 мне вам напомнить, или
>>сами погуглите? Про NT вообще молчу, сколько я уже падений NTFS видел…
>
>И ... чего?Я вот добрых лет 5 пользуюсь EXT2/3.

А вы не забыли, когда ext3 появилась? ;) Напомню: порядка 10 лет назад.

>И *ничего* на моей
>памяти не терял по вине ФС so far, особенно ext3.Может везло.Или
>еще чего.NTFS - да, может подохнуть, видал такое.Но обычно все-таки с
>посторонней помощью (e.g. сбоящая RAM, левые записи на том, etc).

Или просто аварийные выключения. Для ослабления последствий которых и нужно журналирование.

>А вот нежурналируемый фат у меня вполне себе рассыпался на лост кластеры в
>очень серьезном количестве при слете питания при активной записи файлов(что послужило
>веским стимулом к юзанию журналируемых ФС-они обычно настолько не разваливаются).

Если бы в FAT приделали журналирование, он бы рассыпался точно так же. ;) А, может, и быстрее. Но в FAT его никто прикручивать не будет, потому что это там нафиг не нужно. FAT имеет одно-единственное, но порой весомое достоинство: он туп и прост до безобразия. И ещё его все понимают:). Впрочем, вы это и так знаете, да?

>И уж что может быть приятнее чем в середине работы (если чекать диск
>полчаса при загрузке влом) потом узнать что в ФС имеются сбои,
>дескать.А то вас послушать - можно подумать что без журнала ФС
>не рушится.

Никогда такого не говорил. А говорил лишь о том, что журнал — отнюдь не панацея и более того — это усложнение системы. А усложнение повышает вероятность сбоев. :)

>Как правило сильнее рушится и требует длительной проверки утилсой.Чисто по
>логике вещей - с журналом можно ФС привести в консистентное состояние
>относительно малой кровью и быстро (в хучшем случае немного пострадает файл
>который писался в данный момент).

При условии корректной реализации журнала. Мелочь оговорка, правда? ;)

>А без журнала даже не известно в
>каком месте и что обломалось - придется за неимением лучших вариантов
>всю ФС лопатить в поисках неконсистентностей.Круто, да!Для времен эпохи FAT16 -
>самое оно.А для 2009 как-то не катит уже :P

По хорошему, лопатить надо в любом случае. Потому что журнал, повторюсь, НЕ панацея, а только средство быстрого запуска сервера после аварийного отключения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

91. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 12:37 
>К сожалению, нельзя сказать, когда ситуация изменится, потому что нужно, чтобы кто-то: а) имел более-менее полный набор железа из числа поддерживаемых архитектур; б) имел достаточно времени на тестирование и отладку бэкпортов; в) имел хорошую мотивацию; г) мог бы этим заниматься постоянно (то есть, фактически, нужно минимум 2 человека); д) хорошо разбирался в устройстве дерева портов, причём помнил об изменениях за последние полтора года. Энтузиастов много, а вот когда дело доходит до реальной работы — как всегда, начинаются проблемы. :-\

вот для этого и есть RHEL/SLES

>Кстати, не все дырки в FireFox на OpenBSD опасны, за счёт особенностей работы с памятью и не только…

вы правда уверены, что ASLR, неисполняемый хип/стэк - это только в openbsd?


>Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком случае, самую ответственную часть), так как это надёжнее.

бред. бравые камикадзе конечно ставят железо без саппорта или вообще юзают quagga на freebsd.

а потом такое: http://www.freebsd.org/cgi/query-pr.cgi?pr=134108

>При условии корректной реализации журнала. Мелочь оговорка, правда? ;)

jbd уже хрен знает сколько времени вылизан =)))


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

94. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 12:55 
>>К сожалению, нельзя сказать, когда ситуация изменится, потому что нужно, чтобы кто-то: а) имел более-менее полный набор железа из числа поддерживаемых архитектур; б) имел достаточно времени на тестирование и отладку бэкпортов; в) имел хорошую мотивацию; г) мог бы этим заниматься постоянно (то есть, фактически, нужно минимум 2 человека); д) хорошо разбирался в устройстве дерева портов, причём помнил об изменениях за последние полтора года. Энтузиастов много, а вот когда дело доходит до реальной работы — как всегда, начинаются проблемы. :-\
>
>вот для этого и есть RHEL/SLES

Угу. А также фирмы, которые в зоопарках и не только внедряют OpenBSD.

>>Кстати, не все дырки в FireFox на OpenBSD опасны, за счёт особенностей работы с памятью и не только…
>
>вы правда уверены, что ASLR, неисполняемый хип/стэк - это только в openbsd?

Не только. Правда, есть вопросы даже по этим моментам. В Windows Vista тоже вот сделали рандомные адреса загрузки библиотек — аж целых 256 вариантов местонахождения.

А вот, скажем, malloc, который старается размещать объекты в памяти рядом с границами страниц (причём соседние страницы — именно что guard pages) и использует mmap(2) для выделения крупных объектов, это в некоторой степени ноу-хау. Далеко не одну багу с его помощью выловили, даже я нашёл одну в libc. :)

Кстати, неисполняемый стек мало где включают, т.к. это сильно мешает работе некоторых программ (систем защиты и не только). Да и остальные защитные механизмы тоже. В скольких дистрах по умолчанию включён тот же SELinux? Вася Чайников его специально включать не полезет, настраивать не будет тем более. А если будет, то плакала его система.

>>Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком случае, самую ответственную часть), так как это надёжнее.
>
>бред. бравые камикадзе конечно ставят железо без саппорта или вообще юзают quagga
>на freebsd.
>
>а потом такое: http://www.freebsd.org/cgi/query-pr.cgi?pr=134108

Вот вы тоже не путайте саппорт с кастомизацией, а? Если железка, которую я купил, выдаёт «1» там, где должна выдавать «0», я постучусь в саппорт. А если некорректно работает оттюнингованная вами ОС, в которой стоят бог знает какие патчи, то я on my own way.

>>При условии корректной реализации журнала. Мелочь оговорка, правда? ;)
>
>jbd уже хрен знает сколько времени вылизан =)))

Я уже ответил выше, что на это ушёл не один год между «релизом» и реальной вылизанностью. Если не верите, проверьте сами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

118. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (??) on 05-Май-09, 15:28 
>Я имел в виду «не додумывайте за меня».

А я разве это делал?

>Не знаю, кем она считалась, но точно не мной.

Ну то вы.А маковцы постоянно понтовались.

>Между прочим, до наступления гегемонии Windows на Макинтошах вирусы только так бегали.

Я как-то не в курсе вирусов под маки, которые на PPC.Во всяком случае - юзеров этих штук видел и они все сроду прикалывались над виндузятниками по части заразы :)

>Вы это кому рассказываете? :)

Что, сами такой же? :)

>Если нет данных, на которые можно положиться, то правильное умозаключение не выведешь.

А кто сказал что данных - нет?Я видел дохрена разного софта.Баги бывают везде кроме совсем уж примитивных конструкций. Которые в силу примитивизма можно вылизать до байтика за какой-то более-менее разумный срок (и то не всегда получается).Ну там и кода - с гулькин нос.Для проектов которые в скомпиленом виде занимают мегабайты такое не катит.

>Люди так или иначе верят глазам. Теория Коперника ничего бы не стоила,
>если бы у неё не было доказательств.

А кто сказал что доказательств нет?См. выше...

>Для того, чтобы понять, DoS это или RCE, не обязательно быть хакером,

Вы видимо не понимаете - програмеры они вообще не хакеры зачастую.Если кто-то умеет программить и даже хорошо - еще не значит что он разбирается в том как там код выполнить можно :)

>нужно быть просто внимательным и знать, что происходит в каждой строчке кода.

Програмеры это знают под немного другим углом.Ну не учат програмеров код выполнять через переполнения буфферов.

>Данный хакер не искал дырку, а анализировал имеющуюся.

И в процессе этого явно сношал себе мозг некоторое время чтобы достичь выполнения кода.Строго говоря - там достаточно извращенно все получилось.То что програмеры не доперли что там можно код выполнить - имхо не показатель тупости программеров.Это скорее показатель того что у некоторых хакеров хорошо работает мозг, получше чем у других и в специфичном направлении :)

>И слава богу. Как я уже сказал выше, у меня есть основания
>полагать, что данная дырка была взята специально как малоопасная в практическом
>плане.

Я надеюсь что он тогда достигнет своей цели - построить програмеров.Все-таки ответственность на них нехилая и они должны ее понимать.

>Безответственно — когда обещают и не дают. Насчёт официальных портов в ветке
>-STABLE все предупреждения висят.

Предупрежления вместо новой версии - это весьма оригинально но требует внимательности и затрат времени.В случае щелкания клювом - возможно попадание в капкан :-).

>К сожалению, нельзя сказать, когда ситуация изменится,
>потому что нужно, чтобы кто-то:

Ну так для остальных то систем эти "кто-то" находятся все-таки как правило.Просто если уж беретесь понтоваться безопасностью - будьте морально готовы что кто-то не оценив понтов накопает больное место.Понты безопасностью - наименее выигрышные.Всегда есть шанс о них пожалеть.Вот сколько я видел тех кто слишком упирает на безопасность - столько же я видел лолов как они начинают вертеться когда у них дырку находят.Один хрен - от файрфокса до цысок картина одинаковая.Сначала шумят как все круто.Потом когда их приложат - отскребаются от асфальта :).Некоторые, типа файрфокса, оперативно отскребаются правда и на будущее носят каску, что впрочем 1 фиг не всегда спасает :)

>Энтузиастов много, а вот когда дело доходит до реальной работы
>— как всегда, начинаются проблемы. :-\

Ну тут уж ой - такова жизнь.

>Кстати, не все дырки в FireFox на OpenBSD опасны, за счёт особенностей
>работы с памятью и не только…

Ну, дыры на файрфоксе на х64 линухе тоже не особо опасны.Пока кому-то приспичит шарахнуть эксплойтом именно это - он там давно уже будет пропатчен :).Тем не менее, лучше уж софтина с заведомо починеными дырами.

>Аналогично. Чем ещё померяемся? ;)

А оно надо?Если вам нравится ваша система - какие проблемы то?Пользуйтесь себе, я что, против?Мне просто не нравится когда некоторые клеят ярлыки и т.п. - система это одно а кто за монитором - другое.

>cd ${PORTSDIR:-/usr/ports}/www/mozilla-firefox && cvs -APd && make update

Неплохо и даже разобраться можно.Но - при условии что вы интересуетесь системными делами а компилер - ваш верный друг и товарищ и вся эта возня вам нравится и вы готовы выучить все это.А если вас не дай боже будут например, оперировать - может вы и будете знать некоторые детали.Но какой там скальпель и зажимы использовать в конкретный момент - дело хирурга все-таки, а ваше - надеяться на то что хирург - не лох.Ну а вот если хирург пришел пользоваться операционкой - он вправе хотеть чего-то аналогичного.Он же не заставляет вас изучить всю номенклатуру скальпелей и зажимов?А он почему должен так распираться? =)

>Это вы про Linux? В отличие от OpenBSD, мне обычно там приходится
>создавать xorg.conf ручками. Не знаю уж почему так получается.

Хм.Решил перетрясти разделы а заодно - поставить современную версию убунту с нуля для разнообразия, посмотреть как оно ставится сейчас.Та же убунта сама впихнула мну атевый открытый драйвер.Мало того что разрешение моника сразу правильное, так еще и компиз "из коробки" пашет.Все бы так.Еще б опенсорцный драйвер бы в 3D был шустрей и стабильнее, но на R500 спеки на 3D открыты недавно только, так что тут даже ругать особо некого.

>Если вы им за это платите, то да.

А если не плачу - стало быть можно разложить граблей и создать проблем?Мне что-то такая логика не нравится.Я себе все-таки не враг ;)

>Грабли — это когда сталкиваешься с тем, с чем столкнуться не ожидал,

Ну так я не ожидаю что в системе граблеопасные дефолты.Потому что я себе не враг.

>то есть вопреки имеющейся документации. У меня только один вопрос: вам
>шашечки или ехать?

Мне, конечно, ехать.Но желательно - без приключений :)

>чините свои убунты после очередного обновления.

Ну дык я это и делаю - мой выбор.Ну и мне же за него воздастся.Вам стало быть нервничать не о чем :)

>У меня на работе коллеги с ними уже довоевались: один ушёл обратно на винду,
>другой собирается побаловаться с PC-BSD. Симптомы разные, но суть одна и та же:
>система не работает или сильно глючит после «официального» обновления.

Если под обновлением имеется в виду переход на новую версию ОС - так покажите тех у кого это есть, не глючит и все такое.Или может, можно без геморроя юзать ту же бздю допустим с 3-ми кедами а при появлении новой версии и 4-х кедов в автоматическом режиме проапгрейдить все это и ничего не отлипнет и глюков не будет невзирая на тонну отличий кедов друг от друга?А то что натерев мозоли на руках можно и там и сям чего-то добиться никто и не сомневался.Просто автоматические апдейты трудно задесигнить под такие вещи чтобы всегда и в 100% случаев работало.А какие варианты то?Предложить всем с нуля начать?Покласть на обновления болт?Или чего?Покажите какой-то разумный вариант, чтоли? :)

> Нафига оно тогда нужно, а?

Ну, я вот пользуюсь - мне нормально в принципе.Что до глюков - та же PC-BSD вечно испытывает траблы с моим видео.Черт его знает что ей не нравится но - факт.

>Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком
>случае, самую ответственную часть), так как это надёжнее.

Неужто самосбор - надежнее кучки готовых цысок?Что-то я слабо себе представляю зубров типа комкаста или AT&T собирающих себе оборудование вместо того чтобы его купить у той же цыски или там кого еще.В любом случае, "router company" - это наврядли про провайдера.Провайдер - ISP или как-то так обычно.

>производитель используемого железа, по понятным причинам, ориентируется
>на «типовые» конфигурации.

Эээ я думаю что цыска и ей подобные если и ориентируется на типовые конфигурации то эти конфигурации не столь уж далеки от того что у провайдеров по факту есть.

>А для чего нужны открытые исходники, как не для относительно лёгкой
>кастомизации под конкретные задачи? :)

Вот теперь вы наверное понимаете почему даже всякие цыски понемногу начинают какие-то заигрывания с линухом.

>А вы не забыли, когда ext3 появилась? ;) Напомню: порядка 10 лет
>назад.

Во-во.А у некоторых еще *только-только* появился журнал :).А ничего что я не живу вечно и ждать еще ...цать лет элементарных благ цивилизации мне неохота.И, наверное, не моя вина что если проекту столько лет - за столько лет вокруг него почему-то не собралось достаточно живое комьюнити програмеров.

>Или просто аварийные выключения. Для ослабления последствий которых и нужно
>журналирование.

Логично.У меня таким макаром фат рассыпался разок на тысячи потеряных кластеров.Журналируемые настолько сурово не сыпятся.Как максимум теряют то что записывалось в данный момент обычно.Что, блин, логично.

>Если бы в FAT приделали журналирование, он бы рассыпался точно так же.

С нормальным журналом не рассыпался бы - или уж транзакция доводится до логического финала или откатывается.А левые промежуточные состояния которые вызывают снос крыши - это то с чем журнал и должен бороться.

>одно-единственное, но порой весомое достоинство: он туп и прост до безобразия.

Ну, ExFAT немнооожечко усложнили.

>усложнение повышает вероятность сбоев. :)

Давайте вы будете тогда базы данных без логов транзакций гонять?И фс без журналирования?Камикадзить так по полной :).А мне неохота, спасибо.И черт побери аварийные тормоза в лифте на случай обрыва троса может и усложняют его конструкцию.И даже не 100% надежны наверное.Но я предпочту все-таки ехать в лифте с этими не на 100% надежными тормозами-уловителями чем вообще без них, извините.Потому что вообще без них - при обрыве троса мне гарантировано хана.А при их наличии - может и не хана.

>При условии корректной реализации журнала. Мелочь оговорка, правда? ;)

Да, см. выше.Я предпочитаю лифт с не 100% надежными но все-таки уловителями на случай обрыва троса, чем совсем без них, извините :P

>По хорошему, лопатить надо в любом случае.

Смысл существования журнала - чтобы не допустить противоречивого промежуточного состояния ФС.Или уж транзакция доводится до финиша или откатывается.Смысла при этом лопатить - нет.При условии что на момент монтирования ФС была исправна.Лопатинг просто ничего не даст - профуканые в оперативке данные он все-равно не вернет а ФС находится в валидном состоянии а не в каком-то промежуточном.

>Потому что журнал, повторюсь, НЕ панацея, а только средство быстрого запуска
>сервера после аварийного отключения.

Он средство не оставить метаданные ФС в противоречивом состоянии прежде всего.Во вторую очередь :( еще и по идее средство сохранить столько юзеровских данных сколько было возможно в создавшейся ситуации (понятно что никакой журнал не сможет спасти то что было только в RAM).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

119. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 05-Май-09, 17:06 
>>Я имел в виду «не додумывайте за меня».
>
>А я разве это делал?

Да.

>>Не знаю, кем она считалась, но точно не мной.
>
>Ну то вы.А маковцы постоянно понтовались.

Вот с ними об этом и флудите.

>>Между прочим, до наступления гегемонии Windows на Макинтошах вирусы только так бегали.
>
>Я как-то не в курсе вирусов под маки, которые на PPC.Во всяком
>случае - юзеров этих штук видел и они все сроду прикалывались
>над виндузятниками по части заразы :)

Вы историю не на 5 лет назад мотайте, а на 25.

>>Если нет данных, на которые можно положиться, то правильное умозаключение не выведешь.
>
>А кто сказал что данных - нет?Я видел дохрена разного софта.Баги бывают
>везде кроме совсем уж примитивных конструкций. Которые в силу примитивизма можно
>вылизать до байтика за какой-то более-менее разумный срок (и то не
>всегда получается).Ну там и кода - с гулькин нос.Для проектов которые
>в скомпиленом виде занимают мегабайты такое не катит.

А что вы доказывали-то? Что ошибки есть везде? Так с этим-то никто не спорил. Следите за разговором, а?

>>Люди так или иначе верят глазам. Теория Коперника ничего бы не стоила,
>>если бы у неё не было доказательств.
>
>А кто сказал что доказательств нет?См. выше...

Вы доказывали, что ошибки есть везде. Я говорил немножечко о другом, читайте внимательнее.

>>Для того, чтобы понять, DoS это или RCE, не обязательно быть хакером,
>
>Вы видимо не понимаете - програмеры они вообще не хакеры зачастую.Если кто-то
>умеет программить и даже хорошо - еще не значит что он
>разбирается в том как там код выполнить можно :)

Это, конечно, в любом случае плохо. Но когда это касается весьма чувствительных компонентов _ядра_ОС_, такое отношение, ИМХО, недопустимо. Здесь ошибок не прощают.

>>нужно быть просто внимательным и знать, что происходит в каждой строчке кода.
>
>Програмеры это знают под немного другим углом.Ну не учат програмеров код выполнять
>через переполнения буфферов.

Слушайте, а вы вообще в курсе, как это делается? Не обязательно уметь юзать переполнение буфера чтобы от него защищаться. Достаточно аккуратно к этим самым буферам относиться.

>>Данный хакер не искал дырку, а анализировал имеющуюся.
>
>И в процессе этого явно сношал себе мозг некоторое время чтобы достичь
>выполнения кода.Строго говоря - там достаточно извращенно все получилось.То что програмеры
>не доперли что там можно код выполнить - имхо не показатель
>тупости программеров.Это скорее показатель того что у некоторых хакеров хорошо работает
>мозг, получше чем у других и в специфичном направлении :)

Сношал, угу. А программер, значит, расслаблялся пока код писал? :) Никто и не говорит, что он ничего не сделал. А если программисты ядра ОС сами не могут анализировать собственный код, то либо пусть просят кого-то помочь ("дяденька, я тут функцию написал, а мне сказали, что она неправильная, проверьте, пожаааааалуйста"), либо пусть идут писать банк-клиенты. Дело тоже нужное.

>>И слава богу. Как я уже сказал выше, у меня есть основания
>>полагать, что данная дырка была взята специально как малоопасная в практическом
>>плане.
>
>Я надеюсь что он тогда достигнет своей цели - построить програмеров.Все-таки ответственность
>на них нехилая и они должны ее понимать.

Абсолютно согласен.

>>Безответственно — когда обещают и не дают. Насчёт официальных портов в ветке
>>-STABLE все предупреждения висят.
>
>Предупрежления вместо новой версии - это весьма оригинально но требует внимательности и
>затрат времени.В случае щелкания клювом - возможно попадание в капкан :-).

Возможно. Как и в случае "pass on $lan_if from any to any", например. :)

>[оверквотинг удален]
>
>Ну так для остальных то систем эти "кто-то" находятся все-таки как правило.Просто
>если уж беретесь понтоваться безопасностью - будьте морально готовы что кто-то
>не оценив понтов накопает больное место.Понты безопасностью - наименее выигрышные.Всегда есть
>шанс о них пожалеть.Вот сколько я видел тех кто слишком упирает
>на безопасность - столько же я видел лолов как они начинают
>вертеться когда у них дырку находят.Один хрен - от файрфокса до
>цысок картина одинаковая.Сначала шумят как все круто.Потом когда их приложат -
>отскребаются от асфальта :).Некоторые, типа файрфокса, оперативно отскребаются правда и на
>будущее носят каску, что впрочем 1 фиг не всегда спасает :)

Можно сказать "мы самые крутые". А можно сказать "мы стараемся быть таковыми". Если вы посмотрите внимательно, OpenBSD'шники говорят второе. А вот те, кто о них пишут обычно не гнушаются чуть-чуть подправить текст, чисто для красоты и слога, ага.

>>Аналогично. Чем ещё померяемся? ;)
>
>А оно надо?Если вам нравится ваша система - какие проблемы то?Пользуйтесь себе,
>я что, против?Мне просто не нравится когда некоторые клеят ярлыки и
>т.п. - система это одно а кто за монитором - другое.

Эммм, а кто первый ярлыки-то начал клеить? ;)

>[оверквотинг удален]
>Неплохо и даже разобраться можно.Но - при условии что вы интересуетесь системными
>делами а компилер - ваш верный друг и товарищ и вся
>эта возня вам нравится и вы готовы выучить все это.А если
>вас не дай боже будут например, оперировать - может вы и
>будете знать некоторые детали.Но какой там скальпель и зажимы использовать в
>конкретный момент - дело хирурга все-таки, а ваше - надеяться на
>то что хирург - не лох.Ну а вот если хирург пришел
>пользоваться операционкой - он вправе хотеть чего-то аналогичного.Он же не заставляет
>вас изучить всю номенклатуру скальпелей и зажимов?А он почему должен так
>распираться? =)

Хирургу эту ОС поставит и настроит на работе местный сисадмин. Никто никогда не говорил, что OpenBSD планирует быть системой для домохозяек. Это к Windows, Linux, FreeBSD и MacOS X, BeOS и иже с ними. Это система для гиков. Я — гик. Мне в ней удобно. Моей жене в ней тоже удобно, потому что я ей эту систему поставил. И меня (в отличие от вас?) не волнует, что соседу Пете поставили другую ОС, с которой ему удобно. Если ему хорошо, могу за него только порадоваться. Если его завтра взломают, или у него умрёт ОС — не моя вина. Если этого не произойдёт — хорошо.

>>Это вы про Linux? В отличие от OpenBSD, мне обычно там приходится
>>создавать xorg.conf ручками. Не знаю уж почему так получается.
>
>Хм.Решил перетрясти разделы а заодно - поставить современную версию убунту с нуля
>для разнообразия, посмотреть как оно ставится сейчас.Та же убунта сама впихнула
>мну атевый открытый драйвер.Мало того что разрешение моника сразу правильное, так
>еще и компиз "из коробки" пашет.Все бы так.Еще б опенсорцный драйвер
>бы в 3D был шустрей и стабильнее, но на R500 спеки
>на 3D открыты недавно только, так что тут даже ругать особо
>некого.

Ура, Linux догнал OpenBSD по удобству использования. :) Ещё бы утилиты типа route были поудобнее, ну да чего уж там… ;)

>>Если вы им за это платите, то да.
>
>А если не плачу - стало быть можно разложить граблей и создать
>проблем?Мне что-то такая логика не нравится.Я себе все-таки не враг ;)

Специально вам грабли никто раскладывать не будет. Если же вы не платите (или ещё как помогаете), то не вам и требовать. Если вас не устраивает такая логика, то с вами разговаривать, боюсь, особо не о чем.

>>Грабли — это когда сталкиваешься с тем, с чем столкнуться не ожидал,
>
>Ну так я не ожидаю что в системе граблеопасные дефолты.Потому что я
>себе не враг.

Если не читать документацию до установки системы, то вы конкретно данные «грабли» ожидать не будете. Только вот если вы себе не враг, то документацию прочитаете, не? ;)

>>то есть вопреки имеющейся документации. У меня только один вопрос: вам
>>шашечки или ехать?
>
>Мне, конечно, ехать.Но желательно - без приключений :)

Если для вас приключение — ввести приведённую выше команду, то, боюсь, вам действительно в OpenBSD делать нечего. :)

>>чините свои убунты после очередного обновления.
>
>Ну дык я это и делаю - мой выбор.Ну и мне же
>за него воздастся.Вам стало быть нервничать не о чем :)

А я и не нервничаю. ;)

>[оверквотинг удален]
>так покажите тех у кого это есть, не глючит и все
>такое.Или может, можно без геморроя юзать ту же бздю допустим с
>3-ми кедами а при появлении новой версии и 4-х кедов в
>автоматическом режиме проапгрейдить все это и ничего не отлипнет и глюков
>не будет невзирая на тонну отличий кедов друг от друга?А то
>что натерев мозоли на руках можно и там и сям чего-то
>добиться никто и не сомневался.Просто автоматические апдейты трудно задесигнить под такие
>вещи чтобы всегда и в 100% случаев работало.А какие варианты то?Предложить
>всем с нуля начать?Покласть на обновления болт?Или чего?Покажите какой-то разумный вариант,
>чтоли? :)

Один из товарищей при мне запустил родное гуёвое обновление системы. Оно, помимо прочего, обновило Иксы и ядро. После перезагрузки иксы так и не ожили. На OpenBSD у меня такого не было, вот и всё. :)

>> Нафига оно тогда нужно, а?
>
>Ну, я вот пользуюсь - мне нормально в принципе.Что до глюков -
>та же PC-BSD вечно испытывает траблы с моим видео.Черт его знает
>что ей не нравится но - факт.

Охотно верю.

>>Крупный провайдер обычно самолично обслуживает собственное оборудование (во всяком
>>случае, самую ответственную часть), так как это надёжнее.
>
>Неужто самосбор - надежнее кучки готовых цысок?Что-то я слабо себе представляю зубров
>типа комкаста или AT&T собирающих себе оборудование вместо того чтобы его
>купить у той же цыски или там кого еще.В любом случае,
>"router company" - это наврядли про провайдера.Провайдер - ISP или как-то
>так обычно.

Да разобрались давно уже, кто о чём говорил…

>>производитель используемого железа, по понятным причинам, ориентируется
>>на «типовые» конфигурации.
>
>Эээ я думаю что цыска и ей подобные если и ориентируется на
>типовые конфигурации то эти конфигурации не столь уж далеки от того
>что у провайдеров по факту есть.

Конфигурации бывают ОЧЕНЬ разными. У одного внутри датацентра больше через оптоволокно бегает, у другого почти всё на меди; у одного 2 внешних канала с одинаковой пропускной способностью, у другого 5 и с разной пропуской, причём пара вообще X.25; у одного основной траффик — P2P, у другого — streaming video; одному часто нужно предоставлять "органам" доступ к своей сети, другому нет, и т.п. Я не говорю об особенностях помещений и тому подобных нюансах. Всё это накладывает свой неизгладимый отпечаток на топологию, на предъявляемые к железу требования и т.д. Плюс наследие от аналогичных последствий прошлых конфигураций, от которого нельзя избавиться по различным причинам. А железо, между прочим, тоже денег стоит, и немалых. И далеко не всегда оправданных.

>>А для чего нужны открытые исходники, как не для относительно лёгкой
>>кастомизации под конкретные задачи? :)
>
>Вот теперь вы наверное понимаете почему даже всякие цыски понемногу начинают какие-то
>заигрывания с линухом.

Да пусть заигрывают, жалко, что ли. :)

>>А вы не забыли, когда ext3 появилась? ;) Напомню: порядка 10 лет
>>назад.
>
>Во-во.А у некоторых еще *только-только* появился журнал :).А ничего что я не
>живу вечно и ждать еще ...цать лет элементарных благ цивилизации мне
>неохота.И, наверное, не моя вина что если проекту столько лет -
>за столько лет вокруг него почему-то не собралось достаточно живое комьюнити
>програмеров.

Дык не ждите, пользуйте свой Linux, если для вас это самое главное в ОС. :)

>>Или просто аварийные выключения. Для ослабления последствий которых и нужно
>>журналирование.
>
>Логично.У меня таким макаром фат рассыпался разок на тысячи потеряных кластеров.Журналируемые настолько
>сурово не сыпятся.Как максимум теряют то что записывалось в данный момент
>обычно.Что, блин, логично.

При условии корректной реализации журнала.

>>Если бы в FAT приделали журналирование, он бы рассыпался точно так же.
>
>С нормальным журналом не рассыпался бы - или уж транзакция доводится до
>логического финала или откатывается.А левые промежуточные состояния которые вызывают снос крыши
>- это то с чем журнал и должен бороться.

При условии корректной реализации журнала.

>[оверквотинг удален]
>
>>усложнение повышает вероятность сбоев. :)
>
>Давайте вы будете тогда базы данных без логов транзакций гонять?И фс без
>журналирования?Камикадзить так по полной :).А мне неохота, спасибо.И черт побери аварийные
>тормоза в лифте на случай обрыва троса может и усложняют его
>конструкцию.И даже не 100% надежны наверное.Но я предпочту все-таки ехать в
>лифте с этими не на 100% надежными тормозами-уловителями чем вообще без
>них, извините.Потому что вообще без них - при обрыве троса мне
>гарантировано хана.А при их наличии - может и не хана.

Вы упорно продолжаете настаивать, что журналирование повышает надёжность ФС? Аналогия с лифтом некорректна. В случае с ФС, средства обеспечения безопасности лифта аналогичны, например, резервным копиям MFT/суперблока/как-там-ещё.

>>При условии корректной реализации журнала. Мелочь оговорка, правда? ;)
>
>Да, см. выше.Я предпочитаю лифт с не 100% надежными но все-таки уловителями
>на случай обрыва троса, чем совсем без них, извините :P

Про уловители я уже сказал. В данном случае вы усложняете систему, НЕ ПОВЫШАЯ её надёжность. Надёжность в ФС соблюдаться может только путём упорядоченной записи (такие нюансы как встроенный кэш жёсткого диска не рассматриваем). Все остальные варианты, включая журналирование, менее надёжны по определению.

>>По хорошему, лопатить надо в любом случае.
>
>Смысл существования журнала - чтобы не допустить противоречивого промежуточного состояния ФС.Или уж
>транзакция доводится до финиша или откатывается.Смысла при этом лопатить - нет.При
>условии что на момент монтирования ФС была исправна.Лопатинг просто ничего не
>даст - профуканые в оперативке данные он все-равно не вернет а
>ФС находится в валидном состоянии а не в каком-то промежуточном.

Смысл журнала — обеспечить быстрое восстановление ФС после аварийного останова. Слово "восстановление" уже показывает, что ошибки _будут_, и что журнал просто помогает их нивелировать. Но журнал — далеко не единственный способ решения подобной проблемы.

>>Потому что журнал, повторюсь, НЕ панацея, а только средство быстрого запуска
>>сервера после аварийного отключения.
>
>Он средство не оставить метаданные ФС в противоречивом состоянии прежде всего.Во вторую
>очередь :( еще и по идее средство сохранить столько юзеровских данных
>сколько было возможно в создавшейся ситуации (понятно что никакой журнал не
>сможет спасти то что было только в RAM).

Цель — восстановить ФС после сбоя. А вот обеспечивает он это через такое сохранение информации об изменении состояния ФС, которое обеспечивает восстановление более-менее непротиворечивого состояния данных.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

124. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 06-Май-09, 15:28 
>Да.

Сорри, значит так получилось.Это не специально :)

>Вот с ними об этом и флудите.

С ними неинтересно, у них мозг промытый агитаторами джобса.Более промытый он наверное разве что у шахидов каких-нибудь :\.А может они просто настолько тупы что сами думать не умеют.Умеющие использовать мозг юзеры мака - не столь уж частое явление.Чаще это креатиФФные личности.При том зачастую креатиФФность зачастую компенсируется тотальной отключкой мозга в других областях.

>Вы историю не на 5 лет назад мотайте, а на 25.

А 25 лет назад вирусы вообще всерьез никто не воспринимал имхо :).Так, шутки програмеров.И системы были без учета этой напасти в массе своей.Особенно десктопные.

>А что вы доказывали-то? Что ошибки есть везде? Так с этим-то никто
>не спорил.

Тогда какой смысл пенять на дыры и их существование?Их скорее всего есть везде.

>Это, конечно, в любом случае плохо. Но когда это касается весьма чувствительных
>компонентов _ядра_ОС_, такое отношение, ИМХО, недопустимо. Здесь ошибок не прощают.

Вот тут согласен, именно потому и поддерживаю что ядерщиков надо периодически так попинывать.Чтоб не расслаблялись.В конце концов ядро основа системы и по природе своей занимается секурити.

>Слушайте, а вы вообще в курсе, как это делается?

Это - это что?Переполнение буфера?Да, в курсе.

>Не обязательно уметь юзать переполнение буфера чтобы от него защищаться.
>Достаточно аккуратно к этим самым буферам относиться.

Все так.Но, видимо, дело в том что и на старуху бывает проруха.
Люди иногда даже вот так ошибаются: http://en.wikipedia.org/wiki/Kegworth_air_disaster (если вкратце, пилоты ошибочно срубили исправный движок а сбоящий немного не дотянул их до посадочной полосы до того как совсем подохнуть, кстати, автоматика там тоже показала себя не с лучшей стороны).А ты тут про какие-то буффера несчастные.

>Сношал, угу. А программер, значит, расслаблялся пока код писал? :)

Видимо что-то типа того.А это с людьми вообще бывает.Они вон не могут правильный движок выключить когда от этого зависит их жизнь и жизнь сотни с лишним пассажиров за спиной.А ты хочешь чтобы они были точны как часы со всеми буфферами :)

>ОС сами не могут анализировать собственный код, то либо пусть просят
>кого-то помочь ("дяденька, я тут функцию написал, а мне сказали, что
>она неправильная, проверьте, пожаааааалуйста"), либо пусть идут писать банк-клиенты.

Дык это... если дыру нашли, значит, кто-то помог это сделать?!

>Возможно.

Ну, лично я - за отсутствие капканов в дефолтах.А не за документацию капканов.

>Можно сказать "мы самые крутые". А можно сказать "мы стараемся быть таковыми".

Все так, но в моем понимании даже при декларации второго принципа файрфоксину можно все-таки и свежую класть и обновлять asap.Даже если система и не позиционируется на десктоп.

>Если вы посмотрите внимательно, OpenBSD'шники говорят второе.

Зато некоторые фанаты вопят о нерушимости и непогрешимости, порой обожествляя предмет обожания :).Хотя в том же openssh, например, дыры все-таки находили.

>Эммм, а кто первый ярлыки-то начал клеить? ;)

Хм.Наверное это вопрос из разряда "что было первым - яйцо или курица?" :)

>Хирургу эту ОС поставит и настроит на работе местный сисадмин.

Хирурги бывают и достаточно умные.И вот убунту неглупый хирург и сам себе поставит.А если повезет - она даже работать будет.Выполняя все базовые операции нужные обычному смертному не являющемуся системщиком, геймером, дезигнером или там еще кем.В моем понимании - это хорошо.

>Никто никогда не говорил, что OpenBSD планирует быть системой для домохозяек. Это к
>Windows, Linux, FreeBSD и MacOS X, BeOS и иже с ними.

Интересно, а чем она *планирует* быть?

>Это система для гиков.

Что, прям так и позиционируется? :)

> Я — гик.

К тому же явно не умирающий от скромности :P

> Мне в ней удобно.

Ну а мне удобно в той же убунте.На сервере - в ее серверной редакции и в дебиане.Если жизнь приперла - могу и с redhat-based разобраться(хотя гуано типа yum'а вызывает у меня рвотный рефлекс).А в принципе и с почти любым *nix-ом, а хотя-бы и убив время на вдупливание в мануалы и гуглинг vs крутой спец в этой системе.Просто у меня есть свои предпочтения и некоторые системы не вызывают у меня прилива энтузазизма т.к. не соответствуют моим критериям удобства или того чего бы мне хотелось видеть в ОС.

>Моей жене в ней тоже удобно, потому что я ей эту
>систему поставил.

А вот пардон за нескромность, а как при этом выглядит юзеж системы?В случае нужды чего-то изменить, поставить энную программу и прочая - кто это делает?Вы или жена?А то с убунтой многие юзвери например сами справляются, даже не будучи компьютерными гуру.Особенно если немного помочь на старте.И вмешательство системщика требуется только в случае когда "не повезло" а не "всегда".С моей стороны это позитивно т.к. разгружает системщиков и не дает юзерам деградировать до "я тупой, поэтому лучше позову специалиста".А у кого есть желание - внутрях той же убунты простой дебиан.Который может все то же что и его родич.В общем то приятных фишек для системщиков и гиков там найти не вопрос.

>И меня (в отличие от вас?) не волнует, что соседу Пете поставили другую ОС,

Меня тоже не волнует что поставили соседу.Меня волнует чтобы моя жизнь в ОС была не слишком геморройной.И у меня выработались вот такие вот предпочтения.Имею на них право.Тем не менее, отзывы соседей могут быть общим показателем насколько типовому юзвергу система подходит.А мне хочется чтобы системой могли пользоваться не только хардкорные гики но и просто все кто не является хроническим идиотом.Желательно чтобы система потенциально способствовала развитию мозга хотя-бы слегка(в отличие от виндов где за вас все решили другие и хрен оспоришь даже если появится такое желание).Но не с ножом к горлу.Насильно мил не будешь.

>у него умрёт ОС — не моя вина. Если этого не произойдёт — хорошо.

Дык.Каждый имеет выбор который потом его имеет.

>Ура, Linux догнал OpenBSD по удобству использования. :)

А что, там сразу, через полчаса от засовывания сидюка и без применения черной магии появится компиз?А то все это с убунтой может получить потенциально даже полный кофейник, способный сунуть сидюк и пройти простой визард попроще сетапа виндов (к досаде некоторых гиков с излишним самомнением?).Что-то я не думаю что такой кофейник достигнет того же с бздей :).При том  есть шанс что в итоге подобный кофейник будет сидеть в винде запомнив что "*nix-это ракетная наука, это не для меня!".А оно надо?Вдруг кофейник - не дурак?Никто же не рождается с копией манов в голове :)

>Ещё бы утилиты типа route были поудобнее, ну да чего уж там… ;)

ИМХО скорее уж айпитаблес, ну да в конечном итоге - если кто не хочет програмить на асм, есть высокоуровневые языки.А кому неохота с этим сетевым асмом разбираться - есть генераторы правил, даже гуйные :)

>Специально вам грабли никто раскладывать не будет. Если же вы не платите
>(или ещё как помогаете), то не вам и требовать.

Вот из-за такого подхода потом появляется класс вантузятников вопящих на всех it-форумах: "Вон та штука опенсорц?!Значит она - дерьмо!А что вы хотели забесплатно?!Такое говно что даже забесплатно его не берут!!!".При том они благодаря заявам типа вашей убеждены в своей правоте.Вы именно этого хотели достигнуть?Ну, продолжайте в том же духе тогда, мистер гик.

>Если вас не устраивает такая логика, то с вами разговаривать, боюсь, особо не
>о чем.

Хм.Я вам привел результат применения вашей логики.Реально виденные толпы вантузятников на форумах с таким калечным мнением о *никсах делающие задарма антипиар в пользу MS.Мне не понравилось увиденное...

>Если не читать документацию до установки системы,

А, простите, к вопросу о яйцах и курицах.Как я должен читать документацию если система - не установлена?А ничего что я не обязан для установки супер-дупер системы заранее обладать чем-то еще с операционной системой?Вот если система поставится и заработает - я могу и документацию почитать :)

>то вы конкретно данные «грабли» ожидать не будете.
>Только вот если вы себе не враг, то документацию прочитаете, не? ;)

Я, скорее, предпочту выбрать систему где грабли не долбят в лоб даже если документацию не прочитать.Лоб целее будет.А на чтение документации времени может в конкретно взятый момент попросту не оказаться, например.Зато может быть позарез надо отослать емэйл или что-то на энном сайте посмотреть, etc.Соответственно система которая не долбит граблями в лоб удобнее.Даже если я и не против самой по себе идеи почитать мануал.

>Если для вас приключение — ввести приведённую выше команду, то, боюсь, вам
>действительно в OpenBSD делать нечего. :)

Для меня приключение - это когда срочно нужна работающая система читать мануалы, вводить магические команды и прочая вместо того чтобы получить работающую систему за полчаса (а то и за пару минут с ливцд) а далее в меру желания и возможностей копаться в ее кишках.Если оно нравится.

>Один из товарищей при мне запустил родное гуёвое обновление системы. Оно, помимо
>прочего, обновило Иксы и ядро. После перезагрузки иксы так и не
>ожили. На OpenBSD у меня такого не было, вот и всё. :)

Ну а у меня не было проблем с иксами.Интересно, что за видяха такая и чего для такого отвала надо сделать?

>своей сети, другому нет, и т.п.

Если есть спрос - будет и предложение.Единственное что может вам что-то такое сильно хитрое надо - тогда да, готовое решение может и не устроить.Ну вот наверное потому кошки и прочие и копаются теперь с пингвинами и т.п..Как раз чтобы устранить этот свой недостаток.

>Я не говорю об особенностях помещений и тому подобных нюансах.

Если вы о мелких провайдерах которые не юзают 19" стойки и вместо этого содержат писюки, мне кажется, такое постепенно будет отмирать - по мере скупки мелких самопальных провов большими конторами.

>А железо, между прочим, тоже денег стоит, и немалых. И
>далеко не всегда оправданных.

Вот тут согласен.Но все-таки многие за него платят.Наверное не без причин.

>>за столько лет вокруг него почему-то не собралось достаточно живое комьюнити
>>програмеров.
>Дык не ждите, пользуйте свой Linux, если для вас это самое главное
>в ОС. :)

Я не живу вечно и хочу насладиться современными технологиями сейчас.Или хотя-бы завтра.А не к моменту своего выхода на пенсию.

>При условии корректной реализации журнала.

А при некорректной ... 100% гарантию вообще только страховой полис дает.А люди на то и люди что никакими 100% не пахнет.

>Вы упорно продолжаете настаивать, что журналирование повышает надёжность ФС?

Да, повышает.Не позволяя появиться неконсистентным метаданным, а что?

>резервным копиям MFT/суперблока/как-там-ещё.

Это скорее дополнительный трос ;).А журнал - именно ловушки, минимизирующие последствия обрыва троса.

>Про уловители я уже сказал. В данном случае вы усложняете систему, НЕ
>ПОВЫШАЯ её надёжность.

Повышая.Особенно прикольно у log-structured FS всяких и т.п. - в случае проблем неудачный лог транзакции можно просто ... похерить!Ну, вернется файл на котором навернулась запись к своей прошлой версии.И все дела.На самом деле простая и красивая идея.А если еще и под контроль юзеру  дать - вообще руль, машина времени у вас дома.Стерли файл?Не страшно, в прошлой версии он вполне себе живой.Перезаписали?Не проблема, есть прошлая версия.И, кстати, один из моих самых крупных data loss был именно из-за случайной перезаписи файлов старым бэкапом.На ФС без версионирования это - реальная задница.Никакой undelete не прокатит - нечего анделетить!

>Надёжность в ФС соблюдаться может только путём упорядоченной
>записи (такие нюансы как встроенный кэш жёсткого диска не рассматриваем). Все
>остальные варианты, включая журналирование, менее надёжны по определению.

Да?А как же версионники и подобные?Они вообще по природе своей в правильной реализации просто вернут все к виду как было до начала обломавшейся записи (и данные, и метаданные).И никакого дестроя и промежуточных состояний - просралось то что не успело записаться.Это - вполне честно.

>Слово "восстановление" уже показывает, что ошибки _будут_,

До восстановления.До него структуры ФС в промежуточном состоянии и к чему приведет работа с ФС в таком состоянии - никому не известно(возможна некорректная работа, etc).Журнал от этой проблемы спасает.А что еще он должен сделать?

>и что журнал просто помогает их нивелировать.

Журнал как минимум приводит метаданные к корректному состоянию.

>Но журнал — далеко не единственный способ решения подобной проблемы.

Смотря что понимать под журналом.Журналы - они разные бывают.Всякие сорта версионников например они тоже журналирующие формально.Особенно всякие там log structured - это вообще просто куча журналов %).При том версионники при невозможности завершить транзакцию обычно могут просто плюнуть на это и вернуться к прошлой версии файла да и все дела.Быстро и абсолютный минимум дестроя.И файлы могут быть в консистентном виде.А не так что полуперезаписано новыми данными (для многих типов файлов сие достаточно фатально).

>Цель — восстановить ФС после сбоя. А вот обеспечивает он это через
>такое сохранение информации об изменении состояния ФС, которое обеспечивает
>восстановление более-менее непротиворечивого состояния данных.

Не обязательно.Нынче придумали некоторое количество более интересных подходов.Версионники.Они не просто непротиворечивы, они могут вернуться на вид как было.И быстро.А журналирующие свойства - по сути халявное дополнение к их природе.Они так работают просто.А ваши взгляды на журналы - они нормальные.Для технологий времен NT4...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

125. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Май-09, 17:12 
>>Сношал, угу. А программер, значит, расслаблялся пока код писал? :)
>
>Видимо что-то типа того.А это с людьми вообще бывает.Они вон не могут
>правильный движок выключить когда от этого зависит их жизнь и жизнь
>сотни с лишним пассажиров за спиной.А ты хочешь чтобы они были
>точны как часы со всеми буфферами :)

Ну так их-то, в отличие от пилотов, никто не торопит с коммитами ;)

>>ОС сами не могут анализировать собственный код, то либо пусть просят
>>кого-то помочь ("дяденька, я тут функцию написал, а мне сказали, что
>>она неправильная, проверьте, пожаааааалуйста"), либо пусть идут писать банк-клиенты.
>
>Дык это... если дыру нашли, значит, кто-то помог это сделать?!

Угу. Правда, его не просили. ;) Это как соседка заходила: "а чего у вас дверь в квартиру открытая уже несколько часов, всё в порядке?".

>>Возможно.
>
>Ну, лично я - за отсутствие капканов в дефолтах.А не за документацию
>капканов.

Эх, покажите мне такую систему, в которой нет капканов…  ;)

>>Можно сказать "мы самые крутые". А можно сказать "мы стараемся быть таковыми".
>
>Все так, но в моем понимании даже при декларации второго принципа файрфоксину
>можно все-таки и свежую класть и обновлять asap.Даже если система и
>не позиционируется на десктоп.

В -CURRENT так и происходит.

>>Если вы посмотрите внимательно, OpenBSD'шники говорят второе.
>
>Зато некоторые фанаты вопят о нерушимости и непогрешимости, порой обожествляя предмет обожания
>:).Хотя в том же openssh, например, дыры все-таки находили.

Фанатик Леннона убил. ;)

>[оверквотинг удален]
>
>Хирурги бывают и достаточно умные.И вот убунту неглупый хирург и сам себе
>поставит.А если повезет - она даже работать будет.Выполняя все базовые операции
>нужные обычному смертному не являющемуся системщиком, геймером, дезигнером или там еще
>кем.В моем понимании - это хорошо.
>
>>Никто никогда не говорил, что OpenBSD планирует быть системой для домохозяек. Это к
>>Windows, Linux, FreeBSD и MacOS X, BeOS и иже с ними.
>
>Интересно, а чем она *планирует* быть?

Надёжной системой. По возможности безопасной.

>>Это система для гиков.
>
>Что, прям так и позиционируется? :)

Да. Это система, которую пишут хакеры (в широком смысле этого слова) для хакеров. Не верите — почитайте архив misc@openbsd.org. ;)

>> Я — гик.
>
>К тому же явно не умирающий от скромности :P

Был скромный — умирал от безденежья. ;)

>> Мне в ней удобно.
>
>Ну а мне удобно в той же убунте.На сервере - в ее
>серверной редакции и в дебиане.Если жизнь приперла - могу и с
>redhat-based разобраться(хотя гуано типа yum'а вызывает у меня рвотный рефлекс).А в
>принципе и с почти любым *nix-ом, а хотя-бы и убив время
>на вдупливание в мануалы и гуглинг vs крутой спец в этой
>системе.Просто у меня есть свои предпочтения и некоторые системы не вызывают
>у меня прилива энтузазизма т.к. не соответствуют моим критериям удобства или
>того чего бы мне хотелось видеть в ОС.

+1

>[оверквотинг удален]
>А вот пардон за нескромность, а как при этом выглядит юзеж системы?В
>случае нужды чего-то изменить, поставить энную программу и прочая - кто
>это делает?Вы или жена?А то с убунтой многие юзвери например сами
>справляются, даже не будучи компьютерными гуру.Особенно если немного помочь на старте.И
>вмешательство системщика требуется только в случае когда "не повезло" а не
>"всегда".С моей стороны это позитивно т.к. разгружает системщиков и не дает
>юзерам деградировать до "я тупой, поэтому лучше позову специалиста".А у кого
>есть желание - внутрях той же убунты простой дебиан.Который может все
>то же что и его родич.В общем то приятных фишек для
>системщиков и гиков там найти не вопрос.

KDE он везде одинаковый, знаете ли. ;) А софт — да, я ставлю сам. Хотя бы потому что я лучше знаю, что стОит ставить, а что — нет. Я ведь не пытаюсь портить лишний раз еду на кухне, тут жена рулит, а я — так, на подхвате, или разогреть. При этом, конечно, учусь потихоньку кулинарным хитростям. Ну и жена тоже шелл осваивает — ей понравилось. ;)

>>И меня (в отличие от вас?) не волнует, что соседу Пете поставили другую ОС,
>
>Меня тоже не волнует что поставили соседу.Меня волнует чтобы моя жизнь в
>ОС была не слишком геморройной.И у меня выработались вот такие вот
>предпочтения.Имею на них право.Тем не менее, отзывы соседей могут быть общим
>показателем насколько типовому юзвергу система подходит.А мне хочется чтобы системой могли
>пользоваться не только хардкорные гики но и просто все кто не
>является хроническим идиотом.

Ну а мне не хочется. :) Кому что надо, тот такую ОС и выберет. Лишь бы механизмы взаимодействия были доступны и удобны.

>>Ура, Linux догнал OpenBSD по удобству использования. :)
>
>А что, там сразу, через полчаса от засовывания сидюка и без применения
>черной магии появится компиз?

Compiz — нет, он слишком привередливый. :( Попытки портировать были, но стабильности так и не добились. Впрочем, я на других машинах, где он есть, попользовался-попользовался, да и поотключал нахрен: игрушки притормаживают от одного его включения, да и стабильности он не прибавляет. Хотя смотрится эффектно, конечно. :)

>А то все это с убунтой может получить
>потенциально даже полный кофейник, способный сунуть сидюк и пройти простой визард
>попроще сетапа виндов (к досаде некоторых гиков с излишним самомнением?).Что-то я
>не думаю что такой кофейник достигнет того же с бздей :).

А что, мне по этому поводу нужно переживать? ;) Правда, установщик OpenBSD (особенно тот, что в -CURRENT и будет, соответственно, доступен с 1 ноября 2009 года в 4.6) действительно прост, требует только знания английского языка — практически на все вопросы достаточно нажимать [Enter]. Серьёзно.

>При том  есть шанс что в итоге подобный кофейник будет сидеть
>в винде запомнив что "*nix-это ракетная наука, это не для меня!".А
>оно надо?Вдруг кофейник - не дурак?Никто же не рождается с копией
>манов в голове :)

Если бы всё было так плохо, я и многие другие никогда бы не ушли в мир *nix. ;)

>>Ещё бы утилиты типа route были поудобнее, ну да чего уж там… ;)
>
>ИМХО скорее уж айпитаблес, ну да в конечном итоге - если кто
>не хочет програмить на асм, есть высокоуровневые языки.А кому неохота с
>этим сетевым асмом разбираться - есть генераторы правил, даже гуйные :)

iptables, вроде как, хотят заменить чем-то более человеческим. Искренне на это надеюсь. А то давеча на misc@openbsd.org один чел присылал конфиг его фаервола с просьбой помочь переделать его на pf — его послали на хрен, потому что разбираться там целый день надо.

>>Специально вам грабли никто раскладывать не будет. Если же вы не платите
>>(или ещё как помогаете), то не вам и требовать.
>
>Вот из-за такого подхода потом появляется класс вантузятников вопящих на всех it-форумах:
>"Вон та штука опенсорц?!Значит она - дерьмо!А что вы хотели забесплатно?!Такое
>говно что даже забесплатно его не берут!!!".

Ну орут и орут. Дураков больше слушать надо? ;)

>При том они благодаря заявам
>типа вашей убеждены в своей правоте.Вы именно этого хотели достигнуть?Ну, продолжайте
>в том же духе тогда, мистер гик.

Переубеждать их — не в моих интересах. В конце концов, чем их больше, тем больше платят мне. ;)

>>Если вас не устраивает такая логика, то с вами разговаривать, боюсь, особо не
>>о чем.
>
>Хм.Я вам привел результат применения вашей логики.Реально виденные толпы вантузятников на форумах
>с таким калечным мнением о *никсах делающие задарма антипиар в пользу
>MS.Мне не понравилось увиденное...

Да пусть говорят, что хотят (кстати, далеко не факт, что говорят то, что думают). Собака лает, а караван идёт. Решают-то не они.

>>Если не читать документацию до установки системы,
>
>А, простите, к вопросу о яйцах и курицах.Как я должен читать документацию
>если система - не установлена?А ничего что я не обязан для
>установки супер-дупер системы заранее обладать чем-то еще с операционной системой?Вот если
>система поставится и заработает - я могу и документацию почитать :)

А на http://www.openbsd.org/ вы документацию не нашли или не искали?

>>то вы конкретно данные «грабли» ожидать не будете.
>>Только вот если вы себе не враг, то документацию прочитаете, не? ;)
>
>Я, скорее, предпочту выбрать систему где грабли не долбят в лоб даже
>если документацию не прочитать.Лоб целее будет.А на чтение документации времени может
>в конкретно взятый момент попросту не оказаться, например.Зато может быть позарез
>надо отослать емэйл или что-то на энном сайте посмотреть, etc.Соответственно система
>которая не долбит граблями в лоб удобнее.Даже если я и не
>против самой по себе идеи почитать мануал.

Вообще-то освоение новой ОС обычно начинается не с загрузки установочного диска…

>>Если для вас приключение — ввести приведённую выше команду, то, боюсь, вам
>>действительно в OpenBSD делать нечего. :)
>
>Для меня приключение - это когда срочно нужна работающая система читать мануалы,
>вводить магические команды и прочая вместо того чтобы получить работающую систему
>за полчаса (а то и за пару минут с ливцд) а
>далее в меру желания и возможностей копаться в ее кишках.Если оно
>нравится.

А чем отличается магическая команда в консоли от магической команды в GUI, кроме того, что для первого обычного используется клавиатура, а для второго — мышь?

>>Один из товарищей при мне запустил родное гуёвое обновление системы. Оно, помимо
>>прочего, обновило Иксы и ядро. После перезагрузки иксы так и не
>>ожили. На OpenBSD у меня такого не было, вот и всё. :)
>
>Ну а у меня не было проблем с иксами.Интересно, что за видяха
>такая и чего для такого отвала надо сделать?

Какая-то NVIDIA, не помню точно. Дрова пропиетарные (товарищ погамать не дурак).

>>Я не говорю об особенностях помещений и тому подобных нюансах.
>
>Если вы о мелких провайдерах которые не юзают 19" стойки и вместо
>этого содержат писюки, мне кажется, такое постепенно будет отмирать - по
>мере скупки мелких самопальных провов большими конторами.

Не совсем. Будут отмирать старые, а в других местах будут появляться новые. :)

>>А железо, между прочим, тоже денег стоит, и немалых. И
>>далеко не всегда оправданных.
>
>Вот тут согласен.Но все-таки многие за него платят.Наверное не без причин.

Опять же, это уже финансовый вопрос — расчёт TCO и т.п.

>>>за столько лет вокруг него почему-то не собралось достаточно живое комьюнити
>>>програмеров.
>>Дык не ждите, пользуйте свой Linux, если для вас это самое главное
>>в ОС. :)
>
>Я не живу вечно и хочу насладиться современными технологиями сейчас.Или хотя-бы завтра.А
>не к моменту своего выхода на пенсию.

На пенсии вы тоже будете гнаться за новыми технологиями, ага. Наслаждаться обычно можно только обкатанными и популярными технологиями, а новое — это всегда грабли. Всегда. Впрочем, кому что интереснее. :)

>>Вы упорно продолжаете настаивать, что журналирование повышает надёжность ФС?
>
>Да, повышает.Не позволяя появиться неконсистентным метаданным, а что?

Журнал позволяет им появиться. Он лишь позволяет нивелировать проблемы от их появления.

>>Про уловители я уже сказал. В данном случае вы усложняете систему, НЕ
>>ПОВЫШАЯ её надёжность.
>
>Повышая.Особенно прикольно у log-structured FS всяких и т.п. - в случае проблем
>неудачный лог транзакции можно просто ... похерить!Ну, вернется файл на котором
>навернулась запись к своей прошлой версии.И все дела.На самом деле простая
>и красивая идея.

У всякой проблемы всегда есть хорошие, удобные, неправильные решения. ;)

>А если еще и под контроль юзеру  дать
>- вообще руль, машина времени у вас дома.Стерли файл?Не страшно, в
>прошлой версии он вполне себе живой.Перезаписали?Не проблема, есть прошлая версия.И, кстати,
>один из моих самых крупных data loss был именно из-за случайной
>перезаписи файлов старым бэкапом.На ФС без версионирования это - реальная задница.Никакой
>undelete не прокатит - нечего анделетить!

Хранение версий файлов в ФС — это уже не журнал, это на порядок более сложная система. Не имеющая (как обычно) никакого отношения к обсуждаемому. :)

>>Надёжность в ФС соблюдаться может только путём упорядоченной
>>записи (такие нюансы как встроенный кэш жёсткого диска не рассматриваем). Все
>>остальные варианты, включая журналирование, менее надёжны по определению.
>
>Да?А как же версионники и подобные?Они вообще по природе своей в правильной
>реализации просто вернут все к виду как было до начала обломавшейся
>записи (и данные, и метаданные).И никакого дестроя и промежуточных состояний -
>просралось то что не успело записаться.Это - вполне честно.

По сути — тот же регулярный бэкап, только в чём-то более удобный. Сравнили БелАЗ с Газелью. :) И надёжность хранения данных они не повышают. Они повышают удобство восстановления при сбое. В случае с версионными ФС, сбоем так же может считаться «непредусмотренное» изменение, которое надо откатить, но суть не меняется.

>>Слово "восстановление" уже показывает, что ошибки _будут_,
>
>До восстановления.До него структуры ФС в промежуточном состоянии и к чему приведет
>работа с ФС в таком состоянии - никому не известно(возможна некорректная
>работа, etc).Журнал от этой проблемы спасает.А что еще он должен сделать?

Да ничего и не должен. Просто он не панацея, и отнюдь не уникален по своим свойствам, о чём и речь. Можете почитать хоть про тот же soft dependencies в FFS, который, с одной стороны, минимально нагружает ОС (журнал намного тяжеловеснее), а с другой — постоянно обеспечивает корректное состояние ФС. Конечно, при условии корректной реализации. ;)

>>Цель — восстановить ФС после сбоя. А вот обеспечивает он это через
>>такое сохранение информации об изменении состояния ФС, которое обеспечивает
>>восстановление более-менее непротиворечивого состояния данных.
>
>Не обязательно.Нынче придумали некоторое количество более интересных подходов.Версионники.Они не просто непротиворечивы, они
>могут вернуться на вид как было.И быстро.А журналирующие свойства - по
>сути халявное дополнение к их природе.Они так работают просто.А ваши взгляды
>на журналы - они нормальные.Для технологий времен NT4...

Версионники, версионники… Это уже совсем другой разговор. Не тот, который мы с вами начали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

116. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Креведко on 05-Май-09, 14:31 
>А в любом коде на несколько Мб и более всегда накопается много веселых багов.

Дело не в мегабайтах (в данном случае), а использовании убожеств навроде С/С++, коим место в музее под вывеской "Вот такие дебильные раньше были языки!".
В 21 веке, при объёмах кода в десятки тысяч строк (по-минимуму), юзать маллоки/фри и строки с "возможно, нулевым концом" - верх раздолбайства. Что и наблюдаем в мире ЮНИКС, приправленным корявым поделием Линуса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

117. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 05-Май-09, 15:08 
>>А в любом коде на несколько Мб и более всегда накопается много веселых багов.
>
>Дело не в мегабайтах (в данном случае), а использовании убожеств навроде С/С++,
>коим место в музее под вывеской "Вот такие дебильные раньше были
>языки!".
>В 21 веке, при объёмах кода в десятки тысяч строк (по-минимуму), юзать
>маллоки/фри и строки с "возможно, нулевым концом" - верх раздолбайства. Что
>и наблюдаем в мире ЮНИКС, приправленным корявым поделием Линуса.

Вас удивить, что ядро вашей любимой Windows и основные утилиты написаны на C?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

121. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 06-Май-09, 12:00 
>В 21 веке, при объёмах кода в десятки тысяч строк (по-минимуму), юзать
>маллоки/фри и строки с "возможно, нулевым концом" - верх раздолбайства. Что
>и наблюдаем в мире ЮНИКС, приправленным корявым поделием Линуса.

Так, блин, покажите мне систему которая бы реально использовалась и чтоб у нее ядро не на сях?А то все современные системы которые хоть как-то используются - с ядрами на сях как раз :).В мире виндовса точно такое же раздолбайство - ядро NT на обычном си.В каком мире ядра не на си?In your dreams? :D

И кстати, строго говоря - ни malloc, ни строки с 0 на конце - не есть неотъемлимое свойство си.Там где оно надо - их может и не быть, если так решено.Да, будет несколько нестандартно.Но за это си и используют в системных вещах.Потому что как альтернатива фортелям которые позволяет вытворить си - разве что на асме такое же выписывать делая все ручками.Как пример - посмотрите что делают с сями на мелких микроконтроллерах, где нет никаких malloc-ов зачастую.Как на сях написан Freeldr (ReactOS-овский загрузчик), где сишный код работает при тотальном отсутствии нормального рантайма, ну и прочая.Си может работать даже в случаях когда остальным туго.Скажем гарвардцы у которых память кода и данных разделена.Например у Atmel AVR код живет только в (условно)read-only флеш памяти, а данные - в оперативке.Оперативка не может содержать код.Си и такое свинство устраивает.Многие другие сольют: в таких условиях невозможна какая либо динамичная модификация или генерация кода на ходу.

И кстати на сях запросто пишут даже архикритичный код для систем от которых многое зависит.Правда там где цена вопроса очень велика, вводятся специфичные правила и ограничения.Например, в embedded бывает так что запрещено использовать арифметику указателей (не позволяет програмерам стрелять себе в пятки лишний раз).Не  говоря о чисто-статичном выделении памяти (т.е. память просто не может закончится, она гарантировано выделена критичному коду сразу при старте.Ломаться - нечему).

P.A. Да, прикиньте. Си бывает и без malloc.И без 0-strings.И даже без printf и вообще, stdin\stdout и файловая система могут и отсутствовать.А где они в 8-лапом "таракане" находятся?:) Всяким тупым фанбоям микрософта\сана этого очевидно понять не дано.Кстати managed код специально придуман чтобы всякие д@лбо@бы которые слишком тупы чтобы писать без ошибок построились бы в насильном порядке и не засирали все своими дырявыми программами.Увы, цена насильственного форсирования некоторых вещей - большой слив производительности в критичных местах.Как бы тут фанбои не пиндели а зайдя вчера на сайт спецов по компрессии я в очередной раз увидел совет начинающему чуваку - если хочешь чтобы твой компрессор работал быстро, выкинь свой дотнет и юзай плюсы, удивишься разнице, дескать ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от vitek (??) on 03-Май-09, 09:53 
>Ляпихоиды такие ляпихоиды! :)

сам то кто, воспитанный наш?
неужели кастомер самой быстрой и надёжной? :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от dumendil (??) on 03-Май-09, 16:15 
>А что, они вот так бойко кинулись пользоваться протоколом который не так
>уж давно существует?

Ясно, вы совершенно не в теме. И про то, что основная угроза это не школьник снаружи, похоже тоже не в курсе.

bye-bye

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от vitek (??) on 03-Май-09, 17:00 
а кто?
"спец" внутри? :-D

ну пока, коли так. :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от bys76 on 02-Май-09, 12:41 
Пока Линукс мало востребован у домашних и корпоративных юзеров, жить можно более-менее спокойно. Но если число компов с Линуксом перевалит 10-15% количество дыр будет расти в геометрической прогрессии. А с учетом того, что мало кто вкладывается в тестирование безопасности Линукс-дистров, то всех ждет тяжелое похмелье с вирусами, руткитами и прочей всякой хренью. Да и создатели этих дистров просто разведут руками - ну да вы из-за нас потеряли свои денежки, угробили свою инфраструктуру - но мы вам ничего НЕ ОБЯЗАНЫ!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 12:50 
а что макрософт к примеру .. пишет разве что они будут обязаны ?? они там прямым текстом вроде пишут что вы нам платите бабло а мы вам НЕ ОБЯЗАНЫ !!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Роман (??) on 02-Май-09, 12:55 
На священную войну замахиваетесь? :)
Самая главная уязвимость в любой системе - пользователь! Именно он сам запустит любую дрянь и, если его попросить, собственноручно вобьет пароль рута. И "востребованность Линукса" тут совершенно ни при делах.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 02-Май-09, 22:43 
>"востребованность Линукса" тут совершенно ни при делах.

Ну, собственно, так большинство современных троянов и ставится - прилетает почтой под видом отчетов и прочего.Только вот в винде без админских прав работать очень геморройно и половина программ без правов админа просто не работает.В итоге микрософт извращается с геморроем типа UAC, откусывая права даже админу.В пингвинах юзер сидит по дефолту с правами лузера.И обычные действия элементарно не требуют что-то сверх того.И весь софт работает.Чтобы заапгрейдиться до рута надо ввести пароль.И это заметно.Это все-таки не UAC вылезающий на каждый пук где достаточно бездумно бахнуть "yes" и только потом задуматься "а что это я подтвердил?" (благо, UAC вылезает на половину действий так что у юзеров скорее всего выработается простая привычка - слепо жать yes не читая описание и не думая).

Или еще.Нашел юзер кульную прогу.Поставил.Оказалось - кроме кульной проги в инсталер вшито двойное дно ака троян.Ну, понятное дело - качая софт от хз кого подразумевается что этому хз кому мы доверяем.Юзерье не больно заморачивается а потому часто отхватывает троянов.

В линухе чтобы бездумно поставить софт надо сделать куда больше действий.По простому ставится софт из репозиториев и только подписанный.А такой софт определенно без троянов в комплекте.И до кучи манагер пакетов будет следить за обновлением софта так что юзер не будет 10 лет с дырявой версией софтины сидеть.В итоге наступить на грабли получится сложнее.

Именно от дерьма со стороны юзера линукс позащищеннее пожалуй будет.Даже просто в виде по дефолту.Микрософт пытается к чему-то такому прийти в результате но делает это крайне геморройными для юзерей методами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от charon (ok) on 03-Май-09, 11:20 
Вы сильно переоцениваете защищённость Линукса.
Все проги не от рута? Ну и нафиг надо? Чтобы включить комп в бот-сеть рут абсолютно не нужен. Нужно только попасть на комп, а там все исходящие без проблем открыты почти всегда.
Сложно запустить что-то? Ну так в ОО уже есть макросы. Запустить их будет попроще.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Юниксоид email(??) on 03-Май-09, 13:30 
Всё это на словах.
Реально вирусов для Linux можно найти только на кафедрах информационной безопасности университетов, для изучения.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 03-Май-09, 22:03 
>Всё это на словах.
>Реально вирусов для Linux можно найти только на кафедрах информационной безопасности университетов,
>для изучения.

1. Это ложь; 2. Будет криминальный интерес — будут вирусы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

122. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 06-Май-09, 12:13 
>1. Это ложь; 2. Будет криминальный интерес — будут вирусы.

А что, его разве нет? А ботнет из роутеров с хилыми паролями - это что, научный интерес чтоли был?А серверов дофига и они помощнее роутеров будут.И интерес есть - редкий отморозок откажется от дармового шелла.Во всяком случае - на машине с ssh без принятия мер нынче генерятся мегабайты логов в день.Сканы\брут тупых паролей :).А массовых взломов не вижу.А вот виндовые тачки почему-то массово продают на форумах типа "асечки", "злой" и прочих недоношенных кулхацкеров.Кстати привет микрософту - по наличию на этих форумах виндовс сервер действительно обгоняет линукс с большим  отрывом :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

123. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Май-09, 13:41 
>>1. Это ложь; 2. Будет криминальный интерес — будут вирусы.
>
>А что, его разве нет?

Пока нет. Сервера хорошо защищаются специалистами, поэтому их взломы _относительно_ редки. А доля *nix на рынке десктопов (за вычетом MacOS X) пренебрежительно мала.

>А ботнет из роутеров с хилыми паролями - это что, научный интерес чтоли был?

Скорее проба клавиатуры. :) Написать-то его не так сложно, сложнее сделать его живучим. :)

>А серверов дофига и они
>помощнее роутеров будут.И интерес есть - редкий отморозок откажется от дармового
>шелла.Во всяком случае - на машине с ssh без принятия мер
>нынче генерятся мегабайты логов в день.Сканы\брут тупых паролей :).А массовых взломов
>не вижу.

См. выше насчёт специалистов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

126. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (??) on 07-Май-09, 02:51 
>Пока нет.

Как-нет?Виндовыми 2003 барыжат во всю, т.е потенциально это ресурс вполне себе интересный криминалам.Пингвинов сравнимые количества.Ими в сравнимых количествах не барыжат.Зато хостеров с вдс нынче-хоть попой жуй.И, видимо, за них платят раз хостеры появляются как на дрожжах.

>Сервера хорошо защищаются специалистами, поэтому их взломы _относительно_ редки.

Ой, я знаю ораву народа с VDSами и прочая.Половина - студенты и даже неглупые школьники.И ничего, почему-то у них ничего не ломают.Было бы с виндой - ну понятно что было бы.Винды высунутые в сеть требуют караульных мероприятий.Или становятся источником заразы.

> А доля *nix на рынке десктопов (за вычетом MacOS X) пренебрежительно мала.

Зато доля серверов - очень даже.И виндовые сервера - ломают(могу пруфлинков дать на форумы кульхаксоров которые ими барыжат).А *nix'овые почему-то в таких количествах не продают.Более секурные дефолты и особенности софта?Ну и наверное sysrem-wide апдейт софта портит хакерам малину.На винде достаточно найти лоха с древним непатченным софтом, их много - вручную отслеживать апдейты программ-геморно.А в пингвиноподобных обычно апдейтится не только система но и софт.Что ессно жизнь хакерам не упрощает.

>Скорее проба клавиатуры. :) Написать-то его не так сложно, сложнее сделать его
>живучим. :)

Ну просто тех кто понимает как надо - не так уж много.К счастью.Большинство - туповатые кулхацкеры или мелкие криминалы.Реально мозгастым к счастью обычно неинтересно срать ради срача или навара - настоящие хакеры и т.п. руководствуются интересом к ремеслу.Хотя конечно evil genius'ы бывают, но ботнетов с архитектурой которая близка к идеалу с точки зрения "хрен его такой остановишь" и "хрен с два найдешь кто им управляет" я пока не видел.Практически существующие дизайны обычно имеют ту или иную слабину, позволяющую  нейтрализовать бяку и\или найти при большом желании того кто ботнетом рулит.К счастью для всех оно пока так =).Хотя некоторые ботнеты уже бывают достаточно забавными конструкциями.

>>нынче генерятся мегабайты логов в день.Сканы\брут тупых паролей :).А массовых взломов
>>не вижу.
>См. выше насчёт специалистов.

Судя по объемам логов тем не менее, халявных шеллов охота много кому.Не было бы спроса-лог ssh не вырастал бы на мегабайты за дни\часы, имхо.А если долбятся, значит спрос есть, просто пробиться не смогли.ИМХО.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

127. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 07-Май-09, 10:41 
>>Пока нет.
>
>Как-нет?Виндовыми 2003 барыжат во всю, т.е потенциально это ресурс вполне себе интересный
>криминалам.Пингвинов сравнимые количества.Ими в сравнимых количествах не барыжат.Зато хостеров с вдс
>нынче-хоть попой жуй.И, видимо, за них платят раз хостеры появляются как
>на дрожжах.

Я знаю людей, которые держат всё или почти всё на Винде, и у них проблем нет. Но это действительно специалисты, а не

>студенты и даже неглупые школьники.

Систем на *nix, которые защищают неспециалисты, заметно меньше. В том числе потому, что, как вы сами выражаетесь, никсы способству развитию мозга. Проще найти незащищённую систему на винде, чем на *nix. Поэтому и криминальный интерес в данный момент нацелен в сторону винды. Будет популярен Linux => больше людей, в нём не разбирающихся, будет в нём работать (и ставить на нём сервера) => больше будет криминальный интерес.

Понятно, что интерес к отдельным серверам на *nix может быть высок. Но если говорить о тенденциях, винду пока что ломают намного охотнее. Потому что это обычно проще. Особенно там, где распространено пиратство и, как следствие, отключают автоматические обновления.

>> А доля *nix на рынке десктопов (за вычетом MacOS X) пренебрежительно мала.
>
>Зато доля серверов - очень даже.И виндовые сервера - ломают(могу пруфлинков дать
>на форумы кульхаксоров которые ими барыжат).А *nix'овые почему-то в таких количествах
>не продают.Более секурные дефолты и особенности софта?Ну и наверное sysrem-wide апдейт
>софта портит хакерам малину.На винде достаточно найти лоха с древним непатченным
>софтом, их много - вручную отслеживать апдейты программ-геморно.А в пингвиноподобных обычно
>апдейтится не только система но и софт.Что ессно жизнь хакерам не
>упрощает.

Барыжат-барыжат. Просто *nix обычно ценятся больше.

>>Скорее проба клавиатуры. :) Написать-то его не так сложно, сложнее сделать его
>>живучим. :)
>
>Ну просто тех кто понимает как надо - не так уж много.К
>счастью.Большинство - туповатые кулхацкеры или мелкие криминалы.Реально мозгастым к счастью обычно
>неинтересно срать ради срача или навара - настоящие хакеры и т.п.
>руководствуются интересом к ремеслу.Хотя конечно evil genius'ы бывают, но ботнетов с
>архитектурой которая близка к идеалу с точки зрения "хрен его такой
>остановишь" и "хрен с два найдешь кто им управляет" я пока
>не видел.

Боюсь, вы отстали от жизни. ;)

>Практически существующие дизайны обычно имеют ту или иную слабину, позволяющую
> нейтрализовать бяку и\или найти при большом желании того кто ботнетом
>рулит.К счастью для всех оно пока так =).Хотя некоторые ботнеты уже
>бывают достаточно забавными конструкциями.

При очень большом желании, может, и можно. Пока что правительства (а это, ИМХО, уже давно проблема мирового масштаба) неслишком чешутся, кроме США, которых за живое задевают регулярно (может, не стоило им отказываться от OpenBSD в пользу винды?.. ;) ).

>>>нынче генерятся мегабайты логов в день.Сканы\брут тупых паролей :).А массовых взломов
>>>не вижу.
>>См. выше насчёт специалистов.
>
>Судя по объемам логов тем не менее, халявных шеллов охота много кому.Не
>было бы спроса-лог ssh не вырастал бы на мегабайты за дни\часы,
>имхо.А если долбятся, значит спрос есть, просто пробиться не смогли.ИМХО.

Дык перебор-то запустить несложно. Авось повезёт. Накладные расходы минимальны, пожалуй даже меньше, чем на отсылку спама.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

128. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (??) on 07-Май-09, 15:22 
>Я знаю людей, которые держат всё или почти всё на Винде, и
>у них проблем нет. Но это действительно специалисты, а не

Знаете, специалистов которые реально понимают как работает активная директория например - по пальцам пересчитать.А остальные бездумно жамкают кнопочки.До поры до времени жамкают.У них все хорошо - до тех пор пока сбоев нет.И пока они никому не интересны в плане хака.А представляете себе например засер схемы активной директории на паре сотен DC раскиданых по филиалам в тутуево?И чего админам делать если они вовремя не просекли что дело дрянь?Стреляться?Представляете себе перестройку инфраструктуры отращиваемой годами с нуля в пожарном порядке? :D.Да и в крейсерском режиме - микрософт создавал свои протоколы в рассчете на что угодно.Только не на суровые реалии.А суровые реалии таковы что микрософтовские протоколы типа RPC очень непросто пропихнуть через NAT или файрвол.Ну, ладно, вроде у них VPN есть.Проблема только в том что PPTP всякие тоже через наты и фаеры не больно то хорошо лезут.

>>студенты и даже неглупые школьники.
>Систем на *nix, которые защищают неспециалисты, заметно меньше. В том числе потому, что,
>как вы сами выражаетесь, никсы способству развитию мозга.

Ну, знаете, сервер в руках неспециалиста не подарок.Это лайт-версия обезьяны с гранатой.Все-таки сервер мощная штука с дофига бандвиза.И вам врядли понравится есди этот бандвиз например начнет вас флудить, ага?

>Проще найти незащищённую систему на винде, чем на *nix. Поэтому и криминальный интерес в
>данный момент нацелен в сторону винды. Будет популярен Linux => больше людей, в нём не
>разбирающихся, будет в нём работать (и ставить на нём сервера) => больше будет
>криминальный интерес.

Серверов с линухом уже сейчас достаточно.И у пигвиноидов например хватает ума не крутить сервисы под рутом - в отличие от некоторых других, где часть сервисов так в системе по дефолту зачем-то.Поэтому очередной rpc-червяк может творить в системе что захочет.У SYSTEM даже длиннее чем у Administrator`а.Ему все можно, а админу некоторые вещи надо сначала себе разрешить :P.

>Понятно, что интерес к отдельным серверам на *nix может быть высок. Но
>если говорить о тенденциях, винду пока что ломают намного охотнее.

Конечно - сервисы под SYSTEM, обновления - только самой себя в лучшем случае.А что там с 3rdparty софтом - виндам пофиг.Дыры?Ну и хрен с ним.А в довершение ко всему админ зачастую еще и тотальный дуб.Ессно в итоге сломать - куда проще.Линуксы даже туповатому админу все-таки при обновлении и "апач" с "мускулем" и "пыхпыхом" обновят.А в винде - никто никому ничего обновлять не будет.Вот и бывают идиоты с софтом n-летней давности.Что может быть проще?Найти какого-нибудь дятла у которого есть антикварный сетевой софт юзающий zlib сжатие и отоварить его антикварным сплойтом.В пингвинах то злиба сто лет обновлена.А в винде - там каждая прога сама по себе и выгребает как умеет.Чаще всего - никак стало быть.

>Потому что это обычно проще. Особенно там, где распространено пиратство и, как
>следствие, отключают автоматические обновления.

А это вообще жесть - и микрософт после такого борется со спамерами.Хотя сам же прежде всего и виноват в их наличии.Вот такой вот практикой троянских апдейтов.

>Барыжат-барыжат. Просто *nix обычно ценятся больше.

Да что-то не вижу особо.В отличие от.А если больше ценится - гм, тогда проще легальный VDSник купить.С поддержкой и все дела и не накроют внезапно в неподходящий момент :)

>Боюсь, вы отстали от жизни. ;)

Хорошо, тогда скажите как в вашем понимании должен выглядеть идеальный ботнет и примеры реализации желательно.С пруфлинками и т.п. :)

>При очень большом желании, может, и можно. Пока что правительства (а это,
>ИМХО, уже давно проблема мирового масштаба)

А оно правительствам не очень мешает как правило.Чего им там дергаться?

> неслишком чешутся, кроме США, которых за живое задевают регулярно
>(может, не стоило им отказываться от OpenBSD в пользу винды?.. ;) ).

А когда они отказались и где? oO

>Дык перебор-то запустить несложно. Авось повезёт.

Ну да, рассчитано на лохов.А более интересными методами? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

129. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 07-Май-09, 15:38 
[много-много слов]

Так я не понял, вы кому о траблах в винде рассказываете, и с кем спорите? С собой, что ли? :)

>>Барыжат-барыжат. Просто *nix обычно ценятся больше.
>
>Да что-то не вижу особо.В отличие от.А если больше ценится - гм,
>тогда проще легальный VDSник купить.С поддержкой и все дела и не
>накроют внезапно в неподходящий момент :)

На легальном VDS-нике всё равно не будет легальным устраивать DDoS и прочие радости. ;)

>>Боюсь, вы отстали от жизни. ;)
>
>Хорошо, тогда скажите как в вашем понимании должен выглядеть идеальный ботнет и
>примеры реализации желательно.С пруфлинками и т.п. :)

Да в общем-то последние заразы, гуляющие по инету, одна другой краше. Тот же Conficker сейчас завалить весьма сложно, за счёт распределённой структуры. Эволюция, панимашь, уже первые многоклеточные.

Помните где-то с год назад в каком-то банке обнаружили небольшой зоосад, который без палева работал несколько месяцев? :) Могу ссылок накидать, но гугл, думаю, у вас не медленнее моего работает. :)

>>При очень большом желании, может, и можно. Пока что правительства (а это,
>>ИМХО, уже давно проблема мирового масштаба)
>
>А оно правительствам не очень мешает как правило.Чего им там дергаться?

Мешает. Та же Эстония уже огребла от простого DDoS. А США не на пустом месте свои "киберподразделения" создаёт, угрозы не просто есть — периодически реализуются.

>> неслишком чешутся, кроме США, которых за живое задевают регулярно
>>(может, не стоило им отказываться от OpenBSD в пользу винды?.. ;) ).
>
>А когда они отказались и где? oO

Старая история. Некоторые подробности здесь: http://openbsd.org/lyrics.html#34 . А самое забавное, что через некторое время правительство США объявило, что в массовом порядке будет закупать Windows 2000. ;)

>>Дык перебор-то запустить несложно. Авось повезёт.
>
>Ну да, рассчитано на лохов.А более интересными методами? :)

А вот с ними пока туго. Ещё одной серьёзной уязвимости в OpenSSH пока что не нашли. :) Хотя ведь найдут, конечно, когда-нибудь…

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 23:33 
>Вы сильно переоцениваете защищённость Линукса.

Ой, забейте.Я не питаю иллюзий.Ни насчет линукса, ни насчет *nix, ни насче *bsd, ни на счет Windows.Наверняка у всех куча багов.Просто последствия и оперативность исправления разные.Некоторые например выпускают фиксы только раз в месяц, когда половину юзеров уже переимели сплойтами.

>Все проги не от рута? Ну и нафиг надо? Чтобы включить комп
>в бот-сеть рут абсолютно не нужен. Нужно только попасть на комп,
>а там все исходящие без проблем открыты почти всегда.

Все так.Но - это до ребута.А после ребута может и запатченая система быть.С рутом можно замаскироваться, прописаться в стартап скрипты\крон\чтотамеще и прочая - вреда поболее.Впрочем, уязвимость в ядре - это уязвимость в ядре.В этом случае пофиг на программы и права, ядру можно все.Но все-таки "поверхность для атаки" почем зря увеличивать не надо.И если какая-то система так делает - ей не в плюс.Может потому червяки для MS-SQL, IIS, RPC и т.п. - есть а для *nix столь же массово гуляющих аналогов нет?Невзирая на то что серверов с Apache, MySQL и прочая - навалом.

>Сложно запустить что-то? Ну так в ОО уже есть макросы. Запустить их
>будет попроще.

Ага, а у меня на сервере нет OO например :).На десктопе конечно есть но тут еще и сниффер присутствует.Чайникам - тем похуже, да.Но даже тут плюсы есть.Например, системный апдейтер сам обновляет установленный софт и не очень просто поставить неподписанный левак от хз кого.При этом юзер не скачает себе виря и не получит вирусню через софт который он 5 лет не апдейтил а потому - какойнить zlib или libpng в паре прог окажется не обновлен, чем хакер и попользуется.Благо в большинстве *nix\Linux апдейтер обновит zlib или libpng и остальные автоматически не будут страдать дырой в них.В виндовсе такого нет поэтому для хаксоров там истинное раздолье с сломом 3rd party софта - его никто не обновляет и можно годами долбить лузеров через древние баги.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от IOException on 02-Май-09, 12:55 
Да любой производитель софта, точно так же, "просто разведёт руками". В том числе и IBM, и Oracle, и MS, и Adobe.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 02-Май-09, 23:05 
>числе и IBM, и Oracle, и MS, и Adobe.

Что они и делают.Регулярно клепая критичные обновления.Адоб например к тому же как-то бестолково сделал апдейтер в винде - он работает мягко говоря через раз.Поэтому можно немало времени юзать дырявый флеш не зная о том что его надо заапдейтить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от ононим on 02-Май-09, 13:00 
ты, конечно унылый тролль, но заметка правильная. если появилась security обновление - его надо поставить
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Avatar (??) on 02-Май-09, 13:22 
Вы немного запоздали этому выражению уже, как минимум, лет 20!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 15:32 
Почитайте лицензионное соглашение на винду: там черным по белому написано, что МС не несет никакой ответственности в случае утери или какого-либо повреждения информации при использовании их продуктов, даже если таковое привело к материальному ущербу пользователю их ПО.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от iZEN (ok) on 02-Май-09, 23:17 
>Пока Линукс мало востребован у домашних и корпоративных юзеров, жить можно более-менее
>спокойно.

Живите, если сможете. Недолго осталось. Первый звоночек с ботнетами уже прозвенел.

Linux распространён как никакая зараза в SOHO-роутерах, ADSL-модемах и Wi-Fi-точках доступа. Современные модификации включают в себя ядро Linux 2.6.xx.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 00:51 
>Живите, если сможете. Недолго осталось. Первый звоночек с ботнетами уже прозвенел.

А вы всерьез надеетесь что у остальных лучше?Когда их внедрят хотя-бы как линукс - не меньше веселостей накопается.Да впрочем что там, в последнее время уязвимостей в той же соляре - находили :).Или любимая вами жава.В ней постоянно дыры находят.

Проблема то простая как топор - большой код трудно досканально проаудитить.Или система проста как топор или - код сомнительный.Ну вот и выбирайте между примитивной системой без нихрена и периодически находимыми дырами :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 06:54 
>Живите, если сможете. Недолго осталось. Первый звоночек с ботнетами уже прозвенел.

Ну а вот и вам звоночек.Из коментов к эксплойту:
===Кусь===
Anonymous said...
    Kernels in general always have flaws. Finding them
    on any driver or module is always something that
    kernel developers are trying to do. In fact their
    are toolkits out there that look for these, not only
    in SCTP, but also in TCP, UDP, IP et.al.

    When I worked for a large router company we
    turned these against some of the stacks we worked
    on and they of course found bugs. Since these
    tools cost $$'s its not surprising the kernel developers
    for linux SCTP did not have access to them. I know
    when we ran the tools against the FreeBSD SCTP
    stack a huge number of vulnerabilities were fixed.

    Basically bottom line is ... I bet you could find bugs
    in several places in linux (or other O/S's) by using
    such tools.
===Кусь===

Если вкратце то какой-то фрукт работая в роутерной компании прошелся по фрибсдшному sctp коммерческим софтом для поиска дыр и ессно накопал там вагон оных. Интересно, а вернули ли они фиксы в основную ветку или как всегда предпочли зажопить изменения?Это же можно делать по BSDL. А что, нормальное такое конкурентное преимущество - все с дырами а они без.А то что массы хомячков типа iZEN будут ждать своего часа пока и их поимеют в общем то не проблемы какой-то роутерной компании - у тех кто им платит проблем не будет :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от vitek (??) on 03-Май-09, 09:57 
есть альтернативы?
или фанатский туман зрение застит?
или это от бессилия что-либо изменить? :-D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 12:51 
На серверах Linux и часто используется. Ну и где рост уязвимостей в геометрической прогрессии? Где ботнеты из серверов?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Avatar (??) on 02-Май-09, 13:24 
>На серверах Linux и часто используется. Ну и где рост уязвимостей в
>геометрической прогрессии? Где ботнеты из серверов?

А ботнет действительно недавно был(сейчас не знаю, может ликвидировали) из-за халатности производителя домашних роутеров.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Дмитрий Ю. Карпов on 02-Май-09, 13:54 
Извините, но та халатность была "платформенно независима": создание дефолтной конфигурации было доверено неумным людям, а т.к. большинство юзеров доверяют производителям, они не меняли настройки (в т.ч. админский пароль). Эта уязвимость появилась бы на базе любой операционки.

PS: Linux - открытая система, на базе которой любой желающий может сделать свой дистрибутив. При этом Linux не может гарантировать отсутствие уязвимостей в тех компонентах, которые этот желающий модифицировал или настраивал сам; а "открытость" означает "возможность настроить в широком диапазоне", в т.ч. "настроить неправильно".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Logo (ok) on 02-Май-09, 15:25 
>PS: Linux - открытая система, на базе которой любой желающий может сделать свой
>дистрибутив. При этом Linux не может гарантировать отсутствие уязвимостей в тех
>компонентах, которые этот желающий модифицировал или настраивал сам; а "открытость"
>означает "возможность настроить в широком диапазоне", в т.ч. "настроить неправильно".

Верно, но с другой стороны, можно модифицировать свою систему и тем самым ввести в заблуждение злоумышленника, который не найдет на своем месте нужных путей взлома :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 02-Май-09, 22:56 
>Верно, но с другой стороны, можно модифицировать свою систему и тем самым
>ввести в заблуждение злоумышленника

К сожалению первым делом в заблуждение войдут юзеры.Последствия понятны - они закидают производителя какашками и будут правы.Т.к. привычные им средства вдруг не работают.Не стоит путать массовые решения с кастомной защитой конкретной системы по максимуму.Ширпотребной максимальной безопасности не бывает.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от XoRe (ok) on 02-Май-09, 13:56 
>>На серверах Linux и часто используется. Ну и где рост уязвимостей в
>>геометрической прогрессии? Где ботнеты из серверов?
>
>А ботнет действительно недавно был(сейчас не знаю, может ликвидировали) из-за халатности производителя
>домашних роутеров.

Ботнет был не из серверов.
Ботнет был из роутеров, и то - только потому что поставщик этих роутеров включил по умолчанию всем один и тот же рутовый пароль и оставил возможность удаленного доступа.

А так любую систему можно "взломать" - если знать рутовый пароль и иметь возможность подключаться рутом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 02-Май-09, 22:52 
>А ботнет действительно недавно был(сейчас не знаю, может ликвидировали)
>из-за халатности производителя домашних роутеров.

К soho оборудованию относятся все-таки иначе чем к ответственным серверам, согласитесь?В первом случае производитель относится к добру как к ширпотребу, лишь бы побыстрее настрогать и продавать.А админ зачастую отсутствует как класс.А на серверах все-таки обычно есть вменяемый админ и с производителей админы спрашивают суровее чем юзеры.Отсюда и разные результаты.Пистолетом тоже можно подстрелить себя в пятку.И это не вина пистолета в принципе, особенно если он с предохранителем и к тому же не заряжен в заводском виде ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Pilat (ok) on 02-Май-09, 12:54 
Виртуальные системы решают проблему обновления. OpenVZ контейнер мигрирует, HN обновляется, мигрируем обратно. Тем более что после обновления ядра стоит потестироваться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от const86 (ok) on 02-Май-09, 20:10 
> OpenVZ

...работает на музейных ядрах. Наверное, стоит надеяться на те контейнеры, что в ванильном ядре потихоньку обрастают фичами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 02-Май-09, 23:04 
>> OpenVZ
>...работает на музейных ядрах.

Но - работает.Насчет музейности - на .24 работает, как минимум в убунте - на столь уж оно и музейное.Да, могли бы и на что поновее спортировать но на некоторых серверах авангардизм и не требуется.Могло бы быть и лучше?Могло.Ну так вы покажите что-то лучше?Именно виртуализаторы - обычно скорость сажают куда сильнее и ресурсов хавают больше - одно дело контейнер а другое - полностью независимая копия оси :)

>Наверное, стоит надеяться на те контейнеры, что в ванильном ядре потихоньку
>обрастают фичами.

Было бы неплохо, но - они где?OpenVZ - он есть сегодня.Он умеет кучу всего, не сажает производительность, снабжен какой-никакой утилсой управления сделаной с оглядкой на реальные нужды и т.п. - достаточно прикольная штука.Будет что-то такое же или лучше в ваниле - будем на оное надеяться.Но пока (вы ведь про cgroups?) оно как-то довольно невнятно выглядит пока.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от prapor (??) on 03-Май-09, 11:55 
>> OpenVZ
>
>...работает на музейных ядрах. Наверное, стоит надеяться на те контейнеры, что в
>ванильном ядре потихоньку обрастают фичами.

Если так рассуждать, то RHEL и клоны (Oracle Ubreakable, Scientific, CentOS, etc) тоже живут на музейных ядрах. Но при этом именно подобные дистрибутивы применяются для серьезных задач, и крайне редко припекает так, что в production выпускают систему со свежайшим ядром.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 12:58 
>Да и создатели этих дистров просто разведут руками - ну да вы из-за нас
>потеряли свои денежки, угробили свою инфраструктуру - но мы вам ничего НЕ
>ОБЯЗАНЫ!

Еще один не "асилил" прочитать EULA. Да прочитай ты ее хоть раз, там тебе НИЧЕГО НЕ ОБЯЗАНЫ. Там тебе только обещают подать на тебя в суд чуть что.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 07:17 
Коммерсанты не дураки.Денег срубить они хотят.А вот отвечать за свои про%#ы они разумеется не хотят.Так что лемминги которые верят что заплатив круглую сумму они приобретают гарантии - ССЗБ.Ничего они не приобретают кроме ослиных ушей, если внимательно почитать лицензию которую заставляют акецптануть коммерсанты.В случае МС к тому же можно наслаждаться саппортом с ДЕБИЛАМИ на проводе и ... ну удачи достучаться до разработчиков через многочисленные левелы идиотов отделающих их от вас.Не пройдет и полугода как вы доказав пару дюжин раз что не верблюд и что это у них баг а не у вас мозг тупой может быть сможете достукаться до каких-то индусов.Многим исследователям безопасности такая процедура правда не нравится и задолбавшись ждать реакции вендора они просто выпускают PoC в паблик.После этого разумеется MS хватается за попу и спешно чинит дыру про которую им писали еще полгода назад.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от ононим on 02-Май-09, 12:58 
sctp_houdini.c:32:26: error: netinet/sctp.h: No such file or directory

нужны исходники ядра?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от cp_t_ch on 02-Май-09, 13:21 
apt-get install libsctp-dev
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от аноним on 02-Май-09, 13:24 
интересно SCTP в винде в каком виде поддерживает, а когда включат, то сколько там уязвимостей будет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Май-09, 13:35 
>интересно SCTP в винде в каком виде поддерживает, а когда включат, то
>сколько там уязвимостей будет?

Кстати, очень забавно было когда-то давно читать упрёки типа «Linux поддерживает SCTP, а ваша ОС — нет!». Кому как, а по мне так нафиг нужна такая поддержка, на которую нельзя положиться. Да и сам SCTP далеко не идеален, то есть реального толку с точки зрения безопансости от него не слишком много получается. Короче, юзайте HTTPS и VPN и будет вам щастье. :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от kanaet on 02-Май-09, 13:54 
отключите в ядре раз не нужно , как у все ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от ононим on 02-Май-09, 14:23 
как можно посмотреть в текущем установленном ядре активированные опции?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 14:33 
cat /boot/config-`uname -r` | less  например
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от XoRe (ok) on 02-Май-09, 13:59 
>Короче, юзайте HTTPS и
>VPN и будет вам щастье. :-D

Угу.
Автомобили - это фигня.
Ездите на жигулях и будет вам счастье)

VPN/HTTPS работают поверх TCP/SCTP.
Поэтому даже при использовании VPN/HTTPS/SSL и т.д., можно использовать дырку в SCTP, если у вас есть эти SCTP линки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Май-09, 14:14 
>>Короче, юзайте HTTPS и
>>VPN и будет вам щастье. :-D
>
>Угу.
>Автомобили - это фигня.
>Ездите на жигулях и будет вам счастье)
>
>VPN/HTTPS работают поверх TCP/SCTP.
>Поэтому даже при использовании VPN/HTTPS/SSL и т.д., можно использовать дырку в SCTP,
>если у вас есть эти SCTP линки.

Дык о том и говорю, что связка TCP + VPN лучше SCTP. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 02-Май-09, 15:31 
>Дык о том и говорю, что связка TCP + VPN лучше SCTP. :)

sctp поверх mpls-сети куда лучше ваших лисапедов. Да и в каком месте tcp умеет multihoming/multistreaming, 4-way handshake и гарантию того, что записав на одной стороне в сокет 3 раза по 20 байт на другой стороне вы прочитаете все те же 3 порции по 20 байт, а не 2 по 30байт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Май-09, 17:46 
>>Дык о том и говорю, что связка TCP + VPN лучше SCTP. :)
>
>sctp поверх mpls-сети куда лучше ваших лисапедов. Да и в каком месте
>tcp умеет multihoming/multistreaming, 4-way handshake и гарантию того, что записав на
>одной стороне в сокет 3 раза по 20 байт на другой
>стороне вы прочитаете все те же 3 порции по 20 байт,
>а не 2 по 30байт.

Наверное, я ламер (серьёзно), но зачем это может быть надо — ума не приложу.

Да и лисапед — это как раз будет MPLS + SCTP, т.к. TCP и тот же IPSec появились намного раньше. ;)

И, кстати, не MPLS единым… Есть, например, такая вещь как банальный multicast. ;) А чем 4-way handshake лучше 3-way handshake? 3 шага - это просто теоритеческий минимум, более 3-х — избыточность, либо следствие дополнительных ограничений.

Опять же, возможно, я несу полную чепуху, прошу в таком случае меня ткнуть носом в конкретику. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от KBAKEP (ok) on 03-Май-09, 19:21 
http://ru.wikipedia.org/wiki/SCTP
http://www.ibm.com/developerworks/ru/library/l-sctp/index.html
http://www.osp.ru/os/2002/02/181115/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 02:56 
>Дык о том и говорю, что связка TCP + VPN лучше SCTP.

А что лучше, еж или уж? Или в каком месте TCP+VPN обеспечит скажем резку потока на messages в том виде как оно было влито отправителем, что может сделать SCTP?Ничего что они "малость" разные по свойствам? :)

>:)

Стыдно. БСДшник, а какой-то презренный убунтуец лучше вас в сетевых протоколах шарит...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

90. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 10:06 
>>:)
>
>Стыдно. БСДшник, а какой-то презренный убунтуец лучше вас в сетевых протоколах шарит...

Ну слил, слил, не спорю :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 16:35 
> Кстати, очень забавно было когда-то давно читать упрёки типа «Linux поддерживает SCTP, а ваша ОС — нет!». Кому как, а по мне так нафиг нужна такая поддержка, на которую нельзя положиться.

Вы можете не верить, но ни на одну программу нельзя положиться, ни один автор не гарантирует что его программа будет работать. только грамотное дублирование функций и резервирование Вам поможет :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 02-Май-09, 17:42 
>> Кстати, очень забавно было когда-то давно читать упрёки типа «Linux поддерживает SCTP, а ваша ОС — нет!». Кому как, а по мне так нафиг нужна такая поддержка, на которую нельзя положиться.
>
>Вы можете не верить, но ни на одну программу нельзя положиться, ни
>один автор не гарантирует что его программа будет работать. только грамотное
>дублирование функций и резервирование Вам поможет :)

Видимо, это нюанс формулировок. :) Полностью доверять — нельзя. А вот полагаться — приходиться. Вопрос рисков, только и всего. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 03-Май-09, 23:51 
>SCTP далеко не идеален, то есть реального толку с точки зрения
>безопансости от него не слишком много получается.

SCTP не делался ради безопасности.Он просто решает ряд проблем на которые традиционные протоколы кладут болт.Например, UDP - ненадежен и порядок доставки не контролируется.А TCP не шибко хорошо регулируется по скорости на уровне приложений и только достаточно черезжопными методами.Congestion control в TCP по сути отсутствует.Поэтому в условиях congestion можно запросто лицезреть черезжопную работу TCP.Да и некоторые вещи хотят работать с "сообщениями" а не "потоками".А TCP оперирует только потоками.Что приводит к необходимости извращаться для тех кому нужно именно обмен сообщениями с доставкой их как отдельной сущности.А TCP имеет право размазать получение одного сообщения так как ему угодно по времени.Скажем может приехать половина сообщения сейчас а еще половина - через 15 секунд.С точки зрения TCP это валидно.С точки зрения message-orineted приложения выгребать сообщения в таком виде - дико неудобно.А по UDP - ненадежно и порядок не гарантирован.SCTP эти проблемы решает.А также решает и иные проблемы типа наличия нескольких IP\изменения IP и прочая.Оно потенциально может пережить отвал соединения и потерю одного из IP адресов не разрывая соединение (удобно для прозрачного failover-а, да?)

Вот, почитайте - http://en.wikipedia.org/wiki/SCTP - судя по всему вы вообще про этот SCTP слышали только по системе ОБС?Или как он сам по себе к безопасности относится?Это всего лишь новый транспортный протокол сочетающий некоторые свойства TCP и UDP одновременно + свои собственные полезные фичи.Ну, некоторые проблемы TCP там поправлены, да.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 00:30 
>[оверквотинг удален]
>TCP не шибко хорошо регулируется по скорости на уровне приложений и
>только достаточно черезжопными методами.Congestion control в TCP по сути отсутствует.Поэтому в
>условиях congestion можно запросто лицезреть черезжопную работу TCP.Да и некоторые вещи
>хотят работать с "сообщениями" а не "потоками".А TCP оперирует только потоками.Что
>приводит к необходимости извращаться для тех кому нужно именно обмен сообщениями
>с доставкой их как отдельной сущности.А TCP имеет право размазать получение
>одного сообщения так как ему угодно по времени.Скажем может приехать половина
>сообщения сейчас а еще половина - через 15 секунд.С точки зрения
>TCP это валидно.С точки зрения message-orineted приложения выгребать сообщения в таком
>виде - дико неудобно.

Правильно. TCP - протокол 4-го уровня в модели OSI. Выделять отдельные потоки внутри соединения - дело 5-го уровня (session layer — название говорит за себя). А SCTP валит всё в одну кучу. Можно, конечно, сказать, что модель OSI устарела, но она, по крайней мере, обеспечивает ясность и взаимозаменяемость компонентов. Впрочем, это оффтопик.

>А по UDP - ненадежно и порядок не
>гарантирован.SCTP эти проблемы решает.А также решает и иные проблемы типа наличия
>нескольких IP\изменения IP и прочая.Оно потенциально может пережить отвал соединения и
>потерю одного из IP адресов не разрывая соединение (удобно для прозрачного
>failover-а, да?)

Эта фича любопытная, да.

>Вот, почитайте - http://en.wikipedia.org/wiki/SCTP - судя по всему вы вообще про этот
>SCTP слышали только по системе ОБС?

Как раз в Википедии когда-то и читал, плюс что-то из списков рассылки. Это явно было ошибкой. :( Хотя сейчас там более толковая статья, конечно. Но RFC лучше. Кстати, могли бы и не трудиться пересказывать Википедию. ;)

>Или как он сам по себе
>к безопасности относится?Это всего лишь новый транспортный протокол сочетающий некоторые свойства
>TCP и UDP одновременно + свои собственные полезные фичи.Ну, некоторые проблемы
>TCP там поправлены, да.

Там применён, например, cookie — по сути, аналогичная схема используется в грамотных фаерволах, работающих с TCP. Это именно защитная мера. А вот то, что шифрование в него всё же стали вносить, меня как раз и запутало в начале сей беседы. Надо бросать эту чёртову работу, я на ней тупею. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 00:36 
>А вот то, что шифрование в него всё же стали вносить, меня как раз

"НЕ стали", конечно же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 01:00 
>за себя). А SCTP валит всё в одну кучу. Можно, конечно, сказать, что модель OSI
>устарела, но она, по крайней мере, обеспечивает ясность и взаимозаменяемость
>компонентов. Впрочем, это оффтопик.

Она не устарела, просто ее все-равно никто никогда не соблюдает с точностью до буквы.Ее НИГДЕ нет именно в точно том виде который описан "на бумаге".Плюс-минус лапоть в сторону ничего такого не меняет.На то и модель чтобы быть абстракцией.Ориентир - да.Руководство к действию?Не была им и не будет.

>Эта фича любопытная, да.

Вообще протокол достаточно любопытный.И я могу понять почему его сделали.Потому что у TCP и у UDP есть свои проблемы.Их можно как-то через жопу заворкэраундить в конкретном применении но если такой протокол получит распотранение - тогда множеству людей не придется изобретать (с переменным успехом) свои велосипеды в очередной раз.

>Кстати, могли бы и не трудиться пересказывать Википедию. ;)

Я пересказал из головы (начальное представление о этом протоколе я вроде получил с сайта IBM из их статей если не глючу) а потом посмотрел насколько вики соответствует действительности.Вроде там нынче не врут...

>Там применён, например, cookie — по сути, аналогичная схема используется в грамотных
>фаерволах, работающих с TCP. Это именно защитная мера.

Это защитная мера чисто от протокольной слабины характерной для TCP (большая часть протоколов семейства TCP\IP и того что по ним гуляет делалась делались во времена когда хакеры вообще не рассматривались как угроза, со всеми вытекающими).Просто протокол сделаный с учетом известных пролетов.Нормальная практика вполне - зачем на одни грабли вставать дважды?По сути тоже работа над ошибками как и затыкание дыр :)

>А вот то, что шифрование в него всё же [НЕ] стали вносить,

А его и не планировали, зачем оно транспортнику?Вон в IPSEC внесли.Так его в итоге почти никто не юзает - получилось монстрило выносящее мозг админам.Даже в винде с их гуйным эдитором весь мозг сломаешь это настраивать.В остальных и вовсе тот еще брейнфак.Кому как а мне проще какойнить опенвпн прокинуть - там все просто, понятно, на фаерах\натах не застревает и работает везде и без сношаний мозга :).Хотя опять же с точки зрения OSI VPN-тунель поверх UDP или TCP вместо уровня под ним наверное не ахти как круто но мне то что?Зато оно в таком виде работает через фаерволы и наты.А вот те кто пытаются делать это уровнем ниже - вечно застревают...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

88. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 09:07 
>>за себя). А SCTP валит всё в одну кучу. Можно, конечно, сказать, что модель OSI
>>устарела, но она, по крайней мере, обеспечивает ясность и взаимозаменяемость
>>компонентов. Впрочем, это оффтопик.
>
>Она не устарела, просто ее все-равно никто никогда не соблюдает с точностью
>до буквы.Ее НИГДЕ нет именно в точно том виде который описан
>"на бумаге".Плюс-минус лапоть в сторону ничего такого не меняет.На то и
>модель чтобы быть абстракцией.Ориентир - да.Руководство к действию?Не была им и
>не будет.

Ну, положим, с первыми тремя уровнями всё более-менее хорошо:). Ибо сильно с железом связаны, там не разгуляешься. Ну а дальше — чисто софтварные приколы пошли, вот и изгаляются кто во что горазд. Программисты — народ, которому его идея важнее чужих, знаю по себе. ;)

>>Эта фича любопытная, да.
>
>Вообще протокол достаточно любопытный.И я могу понять почему его сделали.Потому что у
>TCP и у UDP есть свои проблемы.Их можно как-то через жопу
>заворкэраундить в конкретном применении но если такой протокол получит распотранение -
>тогда множеству людей не придется изобретать (с переменным успехом) свои велосипеды
>в очередной раз.

Да не так уж много проблем. Даже в самом оптимистичном (из реальных) для SCTP случае UDP и TCP всё равно будут быстрее SCTP, чисто исходя из соотношения навороченности протоколов, а, значит, у них своя ниша останется. ;)

>>Там применён, например, cookie — по сути, аналогичная схема используется в грамотных
>>фаерволах, работающих с TCP. Это именно защитная мера.
>
>Это защитная мера чисто от протокольной слабины характерной для TCP (большая часть
>протоколов семейства TCP\IP и того что по ним гуляет делалась делались
>во времена когда хакеры вообще не рассматривались как угроза, со всеми
>вытекающими).Просто протокол сделаный с учетом известных пролетов.Нормальная практика вполне - зачем
>на одни грабли вставать дважды?По сути тоже работа над ошибками как
>и затыкание дыр :)

Суть не меняется: это защитная мера. :)

>>А вот то, что шифрование в него всё же [НЕ] стали вносить,
>
>А его и не планировали, зачем оно транспортнику?Вон в IPSEC внесли.Так его
>в итоге почти никто не юзает - получилось монстрило выносящее мозг
>админам.

Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз, обладая исключительно теоретической подготовокой, заняло меньше часа. Во фряхе есть толковое руководство, думаю, цифры те же. В Linux и Windows не пробовал, и желания нет, если честно. :)

>Даже в винде с их гуйным эдитором весь мозг сломаешь это
>настраивать.

Не люблю гуй за то, что потом всё равно приходится от него отвыкать: в консоли реально быстрее…

>В остальных и вовсе тот еще брейнфак.Кому как а мне проще
>какойнить опенвпн прокинуть - там все просто, понятно, на фаерах\натах не
>застревает и работает везде и без сношаний мозга :).

IPSec в моём случае работает в ядре и поэтому заметно более производительный.

>Хотя опять же
>с точки зрения OSI VPN-тунель поверх UDP или TCP вместо уровня
>под ним наверное не ахти как круто но мне то что?Зато
>оно в таком виде работает через фаерволы и наты.А вот те
>кто пытаются делать это уровнем ниже - вечно застревают...

Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.

И это, предлагаю завязывать, а то мы уже совсем в оффтопик какой-то пошли и вообще отыгрываем ведущих передачи «современные сети для самых маленьких» :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

92. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 12:51 

>Да не так уж много проблем. Даже в самом оптимистичном (из реальных)
>для SCTP случае UDP и TCP всё равно будут быстрее SCTP,
>чисто исходя из соотношения навороченности протоколов, а, значит, у них своя
>ниша останется. ;)

ЩИТО? вы бы хоть не позорились. вот есть у меня канала до одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с ним я могу пустить одновременно трафик по всем каналам. А с TCP у вас такой фокус не пройдёт.

>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>обладая исключительно теоретической подготовокой, заняло меньше часа. Во фряхе есть толковое
>руководство, думаю, цифры те же. В Linux и Windows не пробовал,
>и желания нет, если честно. :)

о... а неужели в openbsd уже есть IKEv2, DPD и NAT-T? или вы про IPSEC с PSK и "белыми" адресами на обоих концах? :)
А если одна из сторон за NAT?

>IPSec в моём случае работает в ядре и поэтому заметно более производительный.

вы там гигабиты гоняете? Даже если сильно актуален вопрос производительности, openssl(который использует openvpn) умеет криптоакселераторы. Так что опять же, мимо кассы.

>Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А
>фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.

NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень, очень плохо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

96. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 14:09 
>
>>Да не так уж много проблем. Даже в самом оптимистичном (из реальных)
>>для SCTP случае UDP и TCP всё равно будут быстрее SCTP,
>>чисто исходя из соотношения навороченности протоколов, а, значит, у них своя
>>ниша останется. ;)
>
>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до
>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с
>ним я могу пустить одновременно трафик по всем каналам. А с
>TCP у вас такой фокус не пройдёт.

Только траффик у вас будет идти один и тот же. Проверьте по RFC, если мне не верите.

>>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>>обладая исключительно теоретической подготовокой, заняло меньше часа. Во фряхе есть толковое
>>руководство, думаю, цифры те же. В Linux и Windows не пробовал,
>>и желания нет, если честно. :)
>
>о... а неужели в openbsd уже есть IKEv2

нет, только IKE

>DPD

вроде нет, но не уверен

>NAT-T?

да

>>IPSec в моём случае работает в ядре и поэтому заметно более производительный.
>
>вы там гигабиты гоняете? Даже если сильно актуален вопрос производительности, openssl(который использует
>openvpn) умеет криптоакселераторы. Так что опять же, мимо кассы.

Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится с большой скоростью. Ну а при не небольшой скорости, конечно, разницы особой нет.

>>Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А
>>фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.
>
>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот
>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень,
>очень плохо.

А кто мешает поставить фаервол?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

97. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 15:11 
>>DPD
>
>вроде нет, но не уверен

Проверил, поддерживает (1.0). NAT-T версий 2 и 3.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

99. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 16:11 
>>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до
>>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с
>>ним я могу пустить одновременно трафик по всем каналам. А с
>>TCP у вас такой фокус не пройдёт.
>Только траффик у вас будет идти один и тот же. Проверьте по
>RFC, если мне не верите.

wtf "один и тот же"? ессно на L3 будет бегать ip, но речь шла о ситуации, когда SCTP будет быстрее TCP.
Чтобы аналогичное сгородить на TCP, надо постараться.


>>о... а неужели в openbsd уже есть IKEv2
>нет, только IKE

т.е. IKEv1
А теперь смотрим сюда: http://www.strongswan.org/
и сюда: http://www.strongswan.org/uml/testresults42/all.html

>Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится
>с большой скоростью. Ну а при не небольшой скорости, конечно, разницы
>особой нет.

через pci можно прокачать сотку в обе стороны. куда вам больше? это во-1х. во-2х, почему сразу pci? тот же pcie даст гигабит только в путь.
Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно.

>>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот
>>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень,
>>очень плохо.
>
>А кто мешает поставить фаервол?!

фаервол или пакетный фильтр? или МСЭ?
А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

100. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от iZEN (ok) on 04-Май-09, 17:45 
>>А кто мешает поставить фаервол?!
>
>фаервол или пакетный фильтр? или МСЭ?
>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.

block proto sctp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

101. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 17:58 
>>>А кто мешает поставить фаервол?!
>>
>>фаервол или пакетный фильтр? или МСЭ?
>>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.
>
>block proto sctp

и в каком месте man pf.conf есть упоминание sctp?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

104. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от iZEN (ok) on 04-Май-09, 18:27 
>>>>А кто мешает поставить фаервол?!
>>>
>>>фаервол или пакетный фильтр? или МСЭ?
>>>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.
>>
>>block proto sctp
>
>и в каком месте man pf.conf есть упоминание sctp?

PACKET FILTERING/PARAMETERS:
proto <protocol>
           This rule applies only to packets of this protocol.  Common proto-
           cols are icmp(4), icmp6(4), tcp(4), and udp(4).  For a list of all
           the protocol name to number mappings used by pfctl(8), see the file
           /etc/protocols.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

109. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 05-Май-09, 02:44 
>[оверквотинг удален]
>           This
>rule applies only to packets of this protocol.  Common proto-
>
>           cols
>are icmp(4), icmp6(4), tcp(4), and udp(4).  For a list of
>all
>           the
>protocol name to number mappings used by pfctl(8), see the file
>
>           /etc/protocols.

класс. а то же самое, но что-то в стиле:

pass in quick on em0 proto sctp from any to (em0) port 80 keep state
pass out quick on em0 proto sctp from any to any keep state
drop in all
drop out all

а матчить по номеру протокола ума много не надо. хотя, каюсь, надо было сразу уточнять: интересует не возможность убить/разрешить sctp, а работа с ним так же, как с udp/tcp.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

105. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 18:42 
>>>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до
>>>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с
>>>ним я могу пустить одновременно трафик по всем каналам. А с
>>>TCP у вас такой фокус не пройдёт.
>>Только траффик у вас будет идти один и тот же. Проверьте по
>>RFC, если мне не верите.
>
>wtf "один и тот же"?

   In its current form, SCTP does not do load sharing, that is, multi-
   homing is used for redundancy purposes only.  A single address is
   chosen as the "primary" address and is used as the destination for
   all DATA chunks for normal transmission.  Retransmitted DATA chunks
   use the alternate address(es) to improve the probability of reaching
   the remote endpoint, while continued failure to send to the primary
   address ultimately results in the decision to transmit all DATA
   chunks to the alternate until heartbeats can reestablish the
   reachability of the primary.

http://tools.ietf.org/html/rfc3286

> ессно на L3 будет бегать ip, но
>речь шла о ситуации, когда SCTP будет быстрее TCP.
>Чтобы аналогичное сгородить на TCP, надо постараться.

Не будет он быстрее TCP, потому что используется тот же принцип окна. А вот накладные расходы на все эти мультистриминги и мультихоминги в TCP отсутствуют.

>>>о... а неужели в openbsd уже есть IKEv2
>>нет, только IKE
>
>т.е. IKEv1
>А теперь смотрим сюда: http://www.strongswan.org/
>и сюда: http://www.strongswan.org/uml/testresults42/all.html

Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A.

>>Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится
>>с большой скоростью. Ну а при не небольшой скорости, конечно, разницы
>>особой нет.
>
>через pci можно прокачать сотку в обе стороны. куда вам больше?

Вы про такую вещь как latency в курсе?

> это во-1х. во-2х, почему сразу pci? тот же pcie даст гигабит только
>в путь.

Я пока знаю только об одном криптоакселераторе на PCI Express от Sun. Последний раз когда я интересовался, он стоил порядка $1500. Насколько он эффективен и работоспособен вообще не в курсе. Так что единственный толковый акселератор пока что остётся Via C3.

>Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно.

Да-а? Может ещё и напишете, почему? И заодно расскажете, почему в D-Link'ах Linux, а у некоторых провов — BSD, а не наоборот? Сказку эти-провы-дураки не рассказывайте только. Я могу так же «авторитетно» сказать, что те, кто строят крупную сеть на Linux — дураки и скопидомы. Но это будет точно такой же глупостью. :)

>>>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот
>>>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень,
>>>очень плохо.
>>
>>А кто мешает поставить фаервол?!
>
>фаервол или пакетный фильтр? или МСЭ?
>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.

Как блокировать - уже сказали. Называйте как хотите, дело ваше, суть не меняется: между инетом и внутренней сетью стоит НЕЧТО, что фильтрует (при желании — абсолютно прозрачно) траффик. И не пропускает к кофемолке и холодильнику вообще ничего, а только от холодильника на разрешённые сайты. На OpenBSD и FreeBSD это делается не просто, а очень просто. В Linux пока не пробовал, но хаву-ту видел. Таки возвращаемся к теме: чем плох такой вариант?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

111. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 05-Май-09, 03:16 
>http://tools.ietf.org/html/rfc3286

http://bgp.potaroo.net/ietf/idref/draft-ahmed-lssctp/

хотя, тут уже от реализации зависит. у циски есть =)

>Не будет он быстрее TCP, потому что используется тот же принцип окна.
>А вот накладные расходы на все эти мультистриминги и мультихоминги в
>TCP отсутствуют.

видимо, вы не сталкивались с тем, что элементарные изменения в congestion control приводили к разнице результатов в разы.

>Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A.

застегиваются =) Ради EAP уже стоит заморачиваться.

>Вы про такую вещь как latency в курсе?

более чем. и?

>Я пока знаю только об одном криптоакселераторе на PCI Express от Sun.
>Последний раз когда я интересовался, он стоил порядка $1500. Насколько он
>эффективен и работоспособен вообще не в курсе. Так что единственный толковый
>акселератор пока что остётся Via C3.

вы вот всё-таки скажите: куда вам такие скорости? полный гигабит закрыть AES/3DES?

>>Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно.
>Да-а? Может ещё и напишете, почему? И заодно расскажете, почему в D-Link'ах
>Linux,

дешево. экономят буквально на всём. отсюда и взрывающиеся конденсаторы в БП и прочие радости.

>а у некоторых провов — BSD, а не наоборот?

ну вот назовите хоть одного прова. и даёт ли он L2/L3 vpn между 2мя точками с гарантиями по SLA(rtt, jitter, packet loss)?
Т.е. вдув туда войп я не получу нечто квакающее. В идеале чтобы я ещё мог на входе "покрасить" трафик (привет, dscp).

>эти-провы-дураки не рассказывайте только. Я могу так же «авторитетно» сказать, что
>те, кто строят крупную сеть на Linux — дураки и скопидомы.
>Но это будет точно такой же глупостью. :)

Введите в гугле "Comverse One", почитайте. http://www.comverseone.com/about.asp
Оно целиком на Linux. "Whatever deployment mode, your solution will support tens
of millions of subscribers and billions of events per month."

А если говорить об ISP, то сколько я их не видел, у большинства в ядре сейчас либо Juniper MX960, либо CRS-1, либо GSR, либо 10720 =)


>Как блокировать - уже сказали. Называйте как хотите, дело ваше

между МСЭ и пакетным фильтром пропасть. огромная такая.

>меняется: между инетом и внутренней сетью стоит НЕЧТО, что фильтрует (при
>желании — абсолютно прозрачно) траффик. И не пропускает к кофемолке и
>холодильнику вообще ничего, а только от холодильника на разрешённые сайты. На
>OpenBSD и FreeBSD это делается не просто, а очень просто.

ну так расскажите же, как в pf/ipfw/ipfilter закрыть доступ для всех входящий ассоциаций кроме порта 80, но при этом не блокировать sctp-трафик, инициированный процессом с опр. uid с данной машиной?

>Linux пока не пробовал, но хаву-ту видел. Таки возвращаемся к теме:
>чем плох такой вариант?

давайте определимся, о каких сетях мы говорим. там где используют sigtran в production, роутеров на linux, net/open/free bsd нет.
во всяких домонетах - да, используют. но претензии просты:
1)pf - это только пакетный фильтр(как следует из названия) и никаким местом не МСЭ
2)pf знает о sctp только то, что он такой протокол с соотв. номером. всё.
обрабатывать внутренности sctp он не умеет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

130. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 07-Май-09, 15:51 
>>http://tools.ietf.org/html/rfc3286
>
>http://bgp.potaroo.net/ietf/idref/draft-ahmed-lssctp/
>
>хотя, тут уже от реализации зависит. у циски есть =)

У циски много чего есть. Запатентованного особенно, типа VRRP.

>[оверквотинг удален]
>видимо, вы не сталкивались с тем, что элементарные изменения в congestion control
>приводили к разнице результатов в разы.
>
>>Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A.
>
>застегиваются =) Ради EAP уже стоит заморачиваться.
>
>>Вы про такую вещь как latency в курсе?
>
>более чем. и?

Вот и считайте, сколько займёт прочкачка туда-сюда _множества_маленьких_потоков_. А не одного непрерывного.

>>Я пока знаю только об одном криптоакселераторе на PCI Express от Sun.
>>Последний раз когда я интересовался, он стоил порядка $1500. Насколько он
>>эффективен и работоспособен вообще не в курсе. Так что единственный толковый
>>акселератор пока что остётся Via C3.
>
>вы вот всё-таки скажите: куда вам такие скорости? полный гигабит закрыть AES/3DES?

Хорошо, намекну: в некоторых приложениях пиковые нагрузки превышают средние на порядки. А система должна справляться с пиковыми нагрузками.

>[много-много букаф]
>давайте определимся, о каких сетях мы говорим. там где используют sigtran в
>production, роутеров на linux, net/open/free bsd нет.
>во всяких домонетах - да, используют. но претензии просты:
>1)pf - это только пакетный фильтр(как следует из названия) и никаким местом
>не МСЭ
>2)pf знает о sctp только то, что он такой протокол с соотв.
>номером. всё.
>обрабатывать внутренности sctp он не умеет.

Обрабатывать не умеет. Только мы о чём говорили? Что SCTP поддерживается в Linux и не поддерживается в OpenBSD (pf). Потом разговор ушёл к крупным провайдерам, где якобы SCTP востребован, и теперь вы сами говорите, что роутеров на Linux там нет. :) Вы уж определитесь как-то… ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

131. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от iZEN (ok) on 07-Май-09, 17:29 
>во всяких домонетах - да, используют. но претензии просты:
>1)pf - это только пакетный фильтр(как следует из названия) и никаким местом
>не МСЭ
>2)pf знает о sctp только то, что он такой протокол с соотв.
>номером. всё.

Ага. А ещё PF может IP-пакеты, обёрнутые в этот (и другие ~250) протокол, пробрасывать их на другие интерфейсы или же занося такие пакеты в лог.

>обрабатывать внутренности sctp он не умеет.

А надо? Как? PF не работает на сеансовом уровне, кроме как отслеживая (keep state) состояния соединений. Ну может он дропнуть IP-пакеты SCTP или ограничить полосу пропускания (зашейпить в ALTQ), дальше -- дело исключительно приложений.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

103. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 18:11 

>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>обладая исключительно теоретической подготовокой, заняло меньше часа. Во фряхе есть >толковое руководство, думаю, цифры те же.

расскажите, что же вы по тем примерам из handbook настраивали? =) PSK на static public ip? ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

106. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 18:45 
>
>>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>>обладая исключительно теоретической подготовокой, заняло меньше часа. Во фряхе есть >толковое руководство, думаю, цифры те же.
>
>расскажите, что же вы по тем примерам из handbook настраивали? =) PSK
>на static public ip? ;)

По примерам из man'ов. В FreeBSD несколько другая реализация, если вы не в курсе. Не знаю, что именно вы имеете в виду под PSK (слишком много вариантов смысла даже в текущем контексте разговоров), я имею в виду как ручное задание ключей, так и IKE.

Да, OpenVPN я тоже настраивал и не раз, если вас это волнует.

Теперь хотелось бы услышать что-то от вас, какой у вас опыт. М?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

112. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 05-Май-09, 03:23 
>>расскажите, что же вы по тем примерам из handbook настраивали? =) PSK
>>на static public ip? ;)
>По примерам из man'ов. В FreeBSD несколько другая реализация, если вы не
>в курсе.

в курсе. вы упоминали фряху, в моем ответе фигурирует слово "handbook".
то что описано в рукокниге на толковое руководство не тянет совсем.


>Не знаю, что именно вы имеете в виду под
>PSK (слишком много вариантов смысла даже в текущем контексте разговоров), я
>имею в виду как ручное задание ключей, так и IKE.

гугл по "ipsec psk" даёт в первой же ссылке расшифровку: preshared key


>Теперь хотелось бы услышать что-то от вас, какой у вас опыт. М?

ну... на описанном strongswan ikev2 с eap. у клиентиков сертификатики на смарткартах + доменная учётка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

113. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (??) on 05-Май-09, 14:07 
>Ну, положим, с первыми тремя уровнями всё более-менее хорошо:).

Ишь размечтались :) Нате вот, попробуйте что-то типа http://www.ntop.org/n2n/ на модель оси распихать.Ну как?Неплохая смесь?И каким уровнем считается допустим эзернет фрейм VPN`а завернутый в UDP-пакет?А если тунельнутый по HTTP?Huh?А если подобное наложить на wireless mesh сеть например?Вы там не припухнете пытаясь это по OSI отсортировать? :)

>Ибо сильно с железом связаны, там не разгуляешься.

Нюню?См.выше.Можно ведь сгородить и виртуальный адаптер (tun\tap адаптеры например), выгрести из него пакеты и пхнуть их поверх... чего-нибудь.Ну-ка расскажите, как это по OSI классифицировать? :)

>Ну а дальше — чисто софтварные приколы пошли, вот и изгаляются кто во что горазд.

Дело в том что "софтварными приколами" можно без проблем тунельнуть эзернет-фреймы или там что еще поверх чего-то еще.А тунелинг serial-over-tcp например - это каково?Когда по сути все что выше уровня физики компорта - выпихивается в TCP поток.А что, немного похож по свойствам - стало быть, технически реализуемо :)

Ну или вот например так: эзернет-фреймы тунелятся в OpenVPN который пропихнут в TCP конекцию, которая создается HTTP-туннелем поверх HTTP ("как испортить настроение админу файрвола").Ну-ка расскажите, что там у нас с пачками протоколов OSI?Осторожно, мозг не сломайте :D.А тот же Hyper-V например умеет программно назначать виртуальным сетевкам VLAN-ы даже.Такое вот "железо" нынче.

>Программисты — народ, которому его идея важнее чужих, знаю по себе. ;)

В этом мире железо и софт сплетаются в единое целое.Провести четкую грань очень сложно-часто софт является продолжением железа а железо-продолжением софта.Как вам например управление brushless двигателем, когда софт (firmware) иной раз просто *программно* коммутирует обмотки двигла в реалтайме, руля ключами?А раньше такое хардварно делалось - механикой aka коллектором. С которым вечно была куча проблем.

>Да не так уж много проблем.

Много, не много - но есть.

>для SCTP случае UDP и TCP всё равно будут быстрее SCTP,

Как минимум SCTP попросту избавит програмеров в ряде случаев от изобретения велосипедов и костылей которые они изобретают сейчас.

>чисто исходя из соотношения навороченности протоколов, а, значит, у них своя
>ниша останется. ;)

А никто вроде и не собирался их закапывать.Просто еще 1 протокол с новыми свойствами, отличными от TCP и UDP.

>Суть не меняется: это защитная мера. :)

Это просто поправка на суровые реалии :P.Да, в эпоху создания TCP\IP и того что поверх бегает о хакерах не думали.А вот на момент разработки SCTP все уже были в курсе проблемы.

>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>обладая исключительно теоретической подготовокой, заняло меньше часа.

Понимаете, я минимальный OpenVPN в режиме "точка-точка" без какой либо особой теоретической подготовки (которая у IPSec достаточно зубодробильная) подниму при отсутствии сюрпризов минут за 5.Ну может 10.При том оно еще и с NATами и фаерволами дружить будет (обычный набор UDP датаграмм или одно TCP соединение).Так что вторая точка легко может быть в Зимбабве при том что я - за натами и файрволами.До кучи может траффик сжимать например.А IPSec - достаточно наворочен, геморроен в настройке и пролезает далеко не везде.

>Во фряхе есть толковое руководство, думаю, цифры те же. В Linux и Windows
>не пробовал, и желания нет, если честно. :)

А у меня вообще особого желания связываться с ipsec нет.Завязываться на одну единственную фряху у меня желания еще меньше.А тот же openvpn я спокойно настрою за те же 10 минут в практически любой системе - а оно более-менее одинаковое везде.Может из-за всего этого ipsec и не шибко популярен? Во всяком случае юзают его весьма мало.

>Не люблю гуй за то, что потом всё равно приходится от него
>отвыкать: в консоли реально быстрее…

Я что-то не уверен что в винде ipsec без гуя настраивается нормально.И, собственно, от VPN зачастую желательно чтобы оно все-таки работало везде и мне как-то не прикольно часами вдупливать "как это настроить на вон той системе?!".Собссно в винде тот же опенвпн с тем же конфигом будет работать(с минимальными поправками на ветер aka особенности платформы, доступно описанные на сайте этой штуки).Как и в пингвине и в *бсд и где там еще.А куда он денется то?Достаточно универсальная штукенция.Может и не всегда лучшая, хз.

>IPSec в моём случае работает в ядре и поэтому заметно более производительный.

А, гм, вы его бенчмаркали?И vs чего?И во что упирались конкуренты?Неужто - в CPU за счет переключения контекстов?А ipsec с его шифрованиями и MACами в CPU при том же не упирался?А то по идее шифрование и MAC хоть в ядре, хоть в юзере а проц всяко нагрузит.И кроме того - VPN обычно юзается на практике для соединения достаточно удаленных мест (филиалов компаний, etc) в единую сеть.Чаще всего каналы для этого отнюдь не толстые и упереться в производительность а не в канал - это еще постараться надо.С любым VPN.

>Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А
>фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.

Угу, кроме того что если файрволов и натов по пути эн штук - все их конфигурячить несколько запипешься, особенно если они - где-то в заднице.А так ничего.С тем же опенвпн'ом все сильно проще получается ИМХО - достаточно чтобы кто-то 1 мог слушать на 1 порту TCP или UDP и ... все.Явно универсальнее и куда как проще достижимое требование.Можно хоть с жпрса с его натом конектиться. И ты опять в своей сети...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

115. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 05-Май-09, 14:29 
>>Ну, положим, с первыми тремя уровнями всё более-менее хорошо:).
>
>Ишь размечтались :) Нате вот, попробуйте что-то типа http://www.ntop.org/n2n/ на модель оси
>распихать. [далее много бесполезных букаф]

Родной мой, туннелирование — это отдельный разговор. И OSI он ничуть не мешает. Точно так же как ядерная физика не мешает химии. :)

>>Да не так уж много проблем.
>
>Много, не много - но есть.
>
>>для SCTP случае UDP и TCP всё равно будут быстрее SCTP,
>
>Как минимум SCTP попросту избавит програмеров в ряде случаев от изобретения велосипедов
>и костылей которые они изобретают сейчас.

Я согласен, но только отчасти. От той части, которая относится к 5-му уровню OSI.

>>чисто исходя из соотношения навороченности протоколов, а, значит, у них своя
>>ниша останется. ;)
>
>А никто вроде и не собирался их закапывать.Просто еще 1 протокол с
>новыми свойствами, отличными от TCP и UDP.

Да ходють тут всякие...

>>Суть не меняется: это защитная мера. :)
>
>Это просто поправка на суровые реалии :P.Да, в эпоху создания TCP\IP и
>того что поверх бегает о хакерах не думали.А вот на момент
>разработки SCTP все уже были в курсе проблемы.

Называйте как хотите: поправками, аддонами или сервис-паками. :) Суть не меняется, это защитная мера.

>>Зависит от реализации. В OpenBSD поднять IPSec "с нуля" в первый раз,
>>обладая исключительно теоретической подготовокой, заняло меньше часа.
>
>Понимаете, я минимальный OpenVPN в режиме "точка-точка" без какой либо особой теоретической
>подготовки (которая у IPSec достаточно зубодробильная) подниму при отсутствии сюрпризов минут
>за 5.Ну может 10.

Читайте внимательно: "с нуля" и "в первый раз". Я OpenVPN сейчас быстро подниму, и IPSec тоже, т.к. опыт есть. И что? Вам лишь бы поспорить, или вы всё-таки будете читать, что вам пишут?

>При том оно еще и с NATами и
>фаерволами дружить будет (обычный набор UDP датаграмм или одно TCP соединение).Так
>что вторая точка легко может быть в Зимбабве при том что
>я - за натами и файрволами.До кучи может траффик сжимать например.А
>IPSec - достаточно наворочен, геморроен в настройке и пролезает далеко не
>везде.

Не надоело повторяться и других повторять? ;)

В настройке он где как геммороен. Вот скажите мне, где тут гемморой:

flow esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8
esp from 1.2.3.4 to 5.6.7.8 spi file "/etc/ipsec/spi" \
        authkey file "/etc/ipsec/authkey" \
        enckey file "/etc/ipsec/enckey"

(плюс стандартные туннель и роутинг).

"Правильный" вариант с сертификатами требует столько же дополнительных усилий, сколько будет требовать в случае с OpenVPN.

ЧЯДНТ?

>>Во фряхе есть толковое руководство, думаю, цифры те же. В Linux и Windows
>>не пробовал, и желания нет, если честно. :)
>
>А у меня вообще особого желания связываться с ipsec нет.Завязываться на одну
>единственную фряху у меня желания еще меньше.А тот же openvpn я
>спокойно настрою за те же 10 минут в практически любой системе
>- а оно более-менее одинаковое везде.Может из-за всего этого ipsec и
>не шибко популярен? Во всяком случае юзают его весьма мало.

Если понимать теорию (то есть что как должно проходить), то с практикой проблем нет, достаточно читать руководство. Ещё раз повторяю: при знании теории достаточно читать руководство.

Ну а если не понимать, что происходит, вы и OpenVPN не настроите. Там ведь тоже туннели поднимаются, и всё такое…  ;)

>[оверквотинг удален]
>>отвыкать: в консоли реально быстрее…
>
>Я что-то не уверен что в винде ipsec без гуя настраивается нормально.И,
>собственно, от VPN зачастую желательно чтобы оно все-таки работало везде и
>мне как-то не прикольно часами вдупливать "как это настроить на вон
>той системе?!".Собссно в винде тот же опенвпн с тем же конфигом
>будет работать(с минимальными поправками на ветер aka особенности платформы, доступно описанные
>на сайте этой штуки).Как и в пингвине и в *бсд и
>где там еще.А куда он денется то?Достаточно универсальная штукенция.Может и не
>всегда лучшая, хз.

Да пусть будет OpenVPN, сколько угодно. А у меня без дополнительных пакетов уже есть VPN. Стабильно работающий. И поддерживаемый на заметно большем числе платформ.

>>IPSec в моём случае работает в ядре и поэтому заметно более производительный.
>
>А, гм, вы его бенчмаркали? [много лишних букаф] Чаще всего
>каналы для этого отнюдь не толстые и упереться в производительность а
>не в канал - это еще постараться надо.С любым VPN.

Это у кого какие каналы.

>>Ну, про причины широкого распространения NAT я рассказывать не буду. ;) А
>>фаерволу ничто не мешает пропускать VPN-траффик между указанными узлами.
>
>Угу, кроме того что если файрволов и натов по пути эн штук
>- все их конфигурячить несколько запипешься, особенно если они - где-то
>в заднице.А так ничего.С тем же опенвпн'ом все сильно проще получается
>ИМХО - достаточно чтобы кто-то 1 мог слушать на 1 порту
>TCP или UDP и ... все.Явно универсальнее и куда как проще
>достижимое требование.Можно хоть с жпрса с его натом конектиться. И ты
>опять в своей сети...

В случае NAT оно лучше, я и не спорю. Но речи-то не шло о NAT'е! Вам ещё не надоело подменять обсуждаемые тезисы? Речь была не о OpenVPN vs. IPSec, вообще-то…

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 02:53 
>Короче, юзайте HTTPS и VPN и будет вам щастье. :-D

Улыбнуло :) реально так. Да, выкинте дурацкий "форд".К черту "мерседесы"! Боинг - лучше!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

107. "Демонстрация степени приуменьшения опасности уязвимостей в L..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 04-Май-09, 18:48 
>>Короче, юзайте HTTPS и VPN и будет вам щастье. :-D
>
>Улыбнуло :) реально так. Да, выкинте дурацкий "форд".К черту "мерседесы"! Боинг -
>лучше!

Ага ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от av (??) on 02-Май-09, 14:56 
>Да и создатели этих дистров просто разведут руками - ну да вы из-за нас >потеряли свои денежки, угробили свою инфраструктуру - но мы вам ничего НЕ >ОБЯЗАНЫ!

А Microsoft вам чем то обязан после того как вся ваша сеть заразилась conflicker? Позвоните - спросите! Они вам скажут что они выпустили заплатку и все. В Linux то же самое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 02-Май-09, 15:33 
"Да и создатели этих дистров просто разведут руками - ну да вы из-за нас потеряли свои денежки, угробили свою инфраструктуру - но мы вам ничего НЕ ОБЯЗАНЫ!" - повторюсь, читай microsoft EULA - там тебе вообще НИЧЕГО не обязаны! Пусть вирусы тебе уничтожили важные документы на миллион долларов - они не вернут тебе ни копейки!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от 123456 (??) on 02-Май-09, 15:37 
если память мне не изменяет, sctp ещё включить нужно (modprobe sctp или как-то так), чтоб оно начало угрожать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от thedix (??) on 02-Май-09, 16:57 
Так что же теперь каждый раз обновлять ядро, когда выходит новая версия?
И каждый раз ребутить сервера.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от аноним on 02-Май-09, 17:28 
>Так что же теперь каждый раз обновлять ядро, когда выходит новая версия?
>И каждый раз ребутить сервера.

можно не ребутить, но это потенциальная дыра, с другой стороны нужен root, чтобы воспользоваться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от sHaggY_caT (ok) on 02-Май-09, 17:47 
Это remote'ая дыра. О каком root'е Вы говорите??
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от аноним on 02-Май-09, 21:19 
>Это remote'ая дыра. О каком root'е Вы говорите??

я про обновление ядра без перезагрузки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от vitek (??) on 03-Май-09, 10:04 
sctp - обычно модуль ядра.
$ modinfo sctp
filename:       /lib/modules/2.6.29-my/kernel/net/sctp/sctp.ko
license:        GPL
description:    Support for the SCTP protocol (RFC2960)
author:         Linux Kernel SCTP developers <lksctp-developers@lists.sourceforge.net>
alias:          net-pf-10-proto-132
alias:          net-pf-2-proto-132
srcversion:     58EC783C53ACDA5D93AA0FC
depends:        libcrc32c
vermagic:       2.6.29-my SMP mod_unload modversions 586

патчим исходники. собираем модуль.
останавливаем старый, запускаем новый.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Loafer (??) on 02-Май-09, 23:30 
Привыкайте - перестанете "аптаймами" меряться
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 02:59 
>Привыкайте - перестанете "аптаймами" меряться

Если захотим померяться - и дыры заткнем и аптайм будет некислый.2009 год на дворе - привыкайте к тому что ряд технологий позволяет и не ребутаться если уж реально неохота.Это вам не виндовс :P

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от av (??) on 02-Май-09, 23:45 
к чертовой матери аптаймы, и прочий детский сад, нормальные люди давно уже обновились. Разработчики железок наверняка уже понавыпускали новых прошивок.

ps. очень часто большие аптаймы получаются когда на серверной стороне стоят кластерные конфигурации - в них пользователям выключение одного нода - не ощутимо вообще.
Винду до сих пор после каждого чиха перезагружать надо ;-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (ok) on 04-Май-09, 03:05 
>Разработчики железок наверняка уже понавыпускали новых прошивок.

А сильно много железок которые с линухом умело SCTP?

>ps. очень часто большие аптаймы получаются когда на серверной стороне стоят кластерные
>конфигурации - в них пользователям выключение одного нода - не ощутимо
>вообще.

Можно также поупражняться в штуках типа openvz с живой миграцией.Смигрировать, проапдейтить, ребутнуть, обратно вернуть.Никто ничего и не заметит в лучшем случае :)

>Винду до сих пор после каждого чиха перезагружать надо ;-D

Ну на то оно и виндовс чтоб быть впереди планеты всей.Виндовс сервер обгоняет линукс! Микрософт как всегда забыл сказать половину правды.Там должно было быть еще: "По даунтаймам и числу ребутов".Но про это как всегда промолчали.Даже врать не надо.Достаточно не всю правду сказать :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

93. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 12:55 
>А сильно много железок которые с линухом умело SCTP?

много. везде, где есть sigtran и есть linux ;)

>Можно также поупражняться в штуках типа openvz с живой миграцией.Смигрировать, проапдейтить, ребутнуть,
>обратно вернуть.Никто ничего и не заметит в лучшем случае :)

никто туда openvz на пушечный выстрел не подпустит. оно конечно хорошо, но пока оно не часть RHEL/SLES - никаких openvz.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

110. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от sHaggY_caT (ok) on 05-Май-09, 03:08 

>никто туда openvz на пушечный выстрел не подпустит. оно конечно хорошо, но
>пока оно не часть RHEL/SLES - никаких openvz.

Есть Virtuozzo с поддержкой от Parallels...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от bys76ru on 02-Май-09, 23:54 
Конечно немного перегнул с ответственностью производителя. Но факт с линукс-роутерами уже есть. Многие конечно правы что главная проблема - дырявый юзер, но факт налице как говорится и нечего тут бить пяткой в грудь насчет безопасного "линукса". Все это блеф. Судя по последнему нашумевшему вирусу Конфикер - вирусописатели бывают ОЧЕНЬ профессиональные. Так что имея на руках открытые исходники ОС боюсь представить что будет твориться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от XoRe (ok) on 03-Май-09, 17:00 
>Конечно немного перегнул с ответственностью производителя. Но факт с линукс-роутерами уже есть.
>Многие конечно правы что главная проблема - дырявый юзер, но факт
>налице как говорится и нечего тут бить пяткой в грудь насчет
>безопасного "линукса". Все это блеф. Судя по последнему нашумевшему вирусу Конфикер
>- вирусописатели бывают ОЧЕНЬ профессиональные. Так что имея на руках открытые
>исходники ОС боюсь представить что будет твориться.

Уважаемый.
Не путайте факты и логику с домыслами и эмоциями.
В случае с линукс роутерами - виноват производитель роутеров.
Он сделал один пароль на рута на всех роутерах.
И оставил удаленный доступ к каждому роутеру.
Если бы на этих роутерах стояла бы windows, её бы тоже "взломали".
Если бы стоял Solaris, его бы тоже "взломали".
Если бы стоял *BSD, его бы тоже взломали.
Почему?
Потому что любая система так работает - если есть доступ, есть рутовый логин и есть рутовый пароль, то система думает, что ты админ и дает тебе делать что угодно.

> Судя по последнему нашумевшему вирусу Конфикер
>- вирусописатели бывают ОЧЕНЬ профессиональные.

http://support.kaspersky.ru/faq/?qid=208636215
Профессиональны в том, чтобы найти дырку в windows и заюзать - да.
Но... таких профессиональных до них были тысячи.
Вирус ещё распостраняется с помощью авторана, но это знаете... в детстве я тоже делал такие "вирусы")
А знаете, какие вирусы были раньше...
Например, вирус анализировал разметку жесткого диска, находил неотформатированные (неотформатированные!) сектора, форматировал их сам (!) и записывал себя в них.
Или перехватывал нажатия Ctrl+Alt+Delete и имитировал перезагрузку (показывал черный экран и т.д.).
Или шифровал важные данные файловой системы, таблицу разделов и выдавал сообщение, типа "перезагрузишь комп - пи***ц твоим данным", но давал возможность восстановить данные, если напишешь продолжение стиха, который он выводит.

А это... дырка в windows + autorun, тысяча таких было ДО и тысяча таких будет ПОСЛЕ.

>Так что имея на руках открытые
>исходники ОС боюсь представить что будет твориться.

Бойся, бойся)
Исходники linux, FreeBSD и прочих систем в открытом доступе уже полтора десятка лет.
А вирусы атакуют именно Windows, исходников которых нет.
Почему так?
Потому что если один программист из Microsoft напишет глючный код, то никто об этом не узнает, пока кто-нибудь отладчиком не пройдет и не напишет вирус.
А если один из программистов linux ядра пришлет патч с глючным кодом, то такой патч не примут.
Патчи-то проверяются.
Скажут "переписывай" и все.

За кодом-то следят.
Просто в случае открытого кода следят хорошо.
И в случае закрытого кода тоже следят неплохо... везде, кроме Microsoft.
Там лучше следят за продажами, чем за качеством кода.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

114. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от User294 (??) on 05-Май-09, 14:25 
>Конечно немного перегнул с ответственностью производителя. Но факт с линукс-роутерами уже есть.
>Многие конечно правы что главная проблема - дырявый юзер,

С роутерами хуже: главным идиотом являлся производитель.Это более фатально.Кстати данный кретинизм производителей soho железяк провайдерам известен. Пруфлинк: http://stream.ru/filtering/ - внимание на отмеченное лэйбой (CPE protection).У них эти фильтры уже давно.А теперь я понимаю почему они у них.Потому что много %#ланов вывешивает на WAN-интерфейс много того чего не стоило бы.Да еще и с дефолтовыми паролями.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от nikitos on 02-Май-09, 23:59 
Да причем тут "к чертовой матери". Дело не в том что у людей просто uptime, и они "письками" меряются. У меня с серваком работает около 10000 пользователей одновременно и перезагрузка сервера - это огромный "геморой". Но и НЕ перегрузиться тоже нельзя. Вот тут и возникает дилемма.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от vOrOn (ok) on 03-Май-09, 00:28 
> Да причем тут "к чертовой матери". Дело не в том что у
> людей просто uptime, и они "письками" меряются. У меня с серваком
> работает около 10000 пользователей одновременно и перезагрузка сервера - это огромный
> "геморой". Но и НЕ перегрузиться тоже нельзя. Вот тут и возникает
> дилемма.

Просто интересно стало.

Сервер не стоит задом в нет, не несёт всё в себе, перед ним линии защиты, внутренняя сетка сегментирована и под контролем.
В чём дилемма? Или опять страдания из-за того,что при планировке не было ни денег, ни логики и в результате получился коленносуставный хайтек канторА-ынтырпрайз вундервафель солюшен?  
Сейчас же опять - ни денег, ни технических средств, чтобы исправить ситуацию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 03-Май-09, 22:32 
>Сервер не стоит задом в нет, не несёт всё в себе, перед
>ним линии защиты, внутренняя сетка сегментирована и под контролем.

При чём тут сетка, линии защиты ? В вашей голове существуют только серверы-маршрутизаторы ? Вы никогда не видели серверы приложений ? Ну перейдёте в 5-й класс - вам покажут.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

95. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 12:58 
> При чём тут сетка, линии защиты ? В вашей голове существуют
>только серверы-маршрутизаторы ? Вы никогда не видели серверы приложений ? Ну
>перейдёте в 5-й класс - вам покажут.

будьте вежливы, уважаемый. в сегментированной сети да с какой-нибудь proventia всё куда интереснее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

98. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 04-Май-09, 15:58 
>будьте вежливы, уважаемый. в сегментированной сети да с какой-нибудь proventia всё куда
>интереснее.

Я очень вежливо высказался, кстати. Особенно если proventia - это которая Proventia® Network Intrusion Prevention System. Каким она боком тут ? Мне правда интересно. Ато складывается впечатление, что вы - бот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

102. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Добрый Дохтур on 04-Май-09, 18:01 
>Я очень вежливо высказался, кстати. Особенно если proventia - это которая Proventia®
>Network Intrusion Prevention System. Каким она боком тут ? Мне правда
>интересно. Ато складывается впечатление, что вы - бот.

вы некомпетентны. объяснять элементарные вещи не вижу смысла.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

108. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Аноним (??) on 04-Май-09, 21:35 
Уже не нужно. Ваш ответ всё объяснил.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Pilat (ok) on 03-Май-09, 02:53 
>Да причем тут "к чертовой матери". Дело не в том что у
>людей просто uptime, и они "письками" меряются. У меня с серваком
>работает около 10000 пользователей одновременно и перезагрузка сервера - это огромный
>"геморой". Но и НЕ перегрузиться тоже нельзя. Вот тут и возникает
>дилемма.

Дилемма - делать сервис через жопу или с расчётом на то, что надо будет перегружаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от uZver (ok) on 03-Май-09, 23:29 
> Да причем тут "к чертовой матери". Дело не в том что у людей просто uptime, и они "письками" меряются. У меня с серваком работает около 10000 пользователей одновременно и перезагрузка сервера - это огромный "геморой". Но и НЕ перегрузиться тоже нельзя. Вот тут и возникает дилемма.

Просто интересно: а кто придумал чтобы софт с которым работает 10к пользователей делать НЕ КЛАСТЕРИЗУЕМЫМ?

И что это такое если не веб-сервер чтобы тянуло 10к пользователей? СУБД компании что-ль?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

132. "Демонстрация степени преуменьшения опасности уязвимостей в L..."  +/
Сообщение от Sem email(ok) on 07-Май-09, 21:49 
Вам не показалось, что новость не про SCTP, а про замалчивание критичности уязвимости?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру