The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenBSD идёт в сторону использования цифровых подписей для п..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от opennews (??) on 20-Янв-14, 07:40 
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, сообщил (http://marc.info/?l=openbsd-misc&m=138992613426488&w=2) в списке рассылки misc@openbsd "Мы идём в сторону подписанных пакетов".  Чуть позже, в рассылке tech@ была опубликована инструкции (http://marc.info/?l=openbsd-tech&m=139014288906188&w=2) по проверке подлинности релизов c использованием утилиты signify(1) (http://mdoc.su/o/signify.1), и призыв к тестированию нововведений.


Данные заявления поступили вслед недавнему внедрению новой утилиты signify (http://bxr.su/OpenBSD/usr.bin/signify/signify.c), которая была написана (http://www.tedunangst.com/flak/post/signify) из-за слишком большого размера пакета gnupg (http://ports.su/security/gnupg), так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты.


В качестве системы для формирования цифровых подписей используется криптосистема с открытым ключом Ed25519 (http://ed25519.cr.yp.to/), разработанная небезызвестным D. J. Bernstein (http://cr.yp.to/djb.html), и его код (http://bxr.su/OpenBSD/usr.bin/signify/mod_ed25519.c) был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы (http://www.opennet.dev/opennews/art.shtml?num=38635) в близлежащий OpenSSH.


URL: http://bsd.slashdot.org/story/14/01/19/0124202/openbsd-movin...
Новость: http://www.opennet.dev/opennews/art.shtml?num=38884

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 07:42 
неделя openbsd :)

ну, раз официально рекомендуется пользоваться бинарными пакетами - то, конечно, нужно их подписывать... а то мало ли, что там на зеркалах подмешают... сделаешь pkg_add -u - а у тебя, хоп, и linux завместо openbsd появился :) [шутка, базовую систему так не подменишь, только пакеты]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 13:31 
> а то мало ли, что там на зеркалах подмешают...

А потом мы задумаемся что с сорцами может получиться такая же фигня...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

42. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 13:34 
>> а то мало ли, что там на зеркалах подмешают...
> А потом мы задумаемся что с сорцами может получиться такая же фигня...

Левый сырец не подмешают :)

Ну а если нет доверия официальному сырцу от автора, то какая разница, в сырце он или в пакете? Сырец хотя бы даёт гарантию, что это именно с него собирали.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

81. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 19:42 
> Левый сырец не подмешают :)

И что этому помешает?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

203. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 21-Янв-14, 21:21 
SSH. Гуглить по слову "AnonCVS"
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

11. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +11 +/
Сообщение от AlexAT (ok) on 20-Янв-14, 10:13 
А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился? На сайте и в самой работе ни единого упоминания об аудите.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –3 +/
Сообщение от metallica (ok) on 20-Янв-14, 11:50 
У разрабов опенбсд гениальная стратегия безопасности всей системы
и отдельных её компонентов-околонулевая её популярность и восстребованность.
Тем самым достигается беспрецендентная защита от хакеров, средствами
наличия у них здравого смысла, согласно которому они никогда не будут тратить время
на ковыряние в ОС, которая нигде кроме шкафа у Тео и дешёвого нетбука у
деревянного не применяется.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

94. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 20:08 
Да, эта стратегия называется "elusive Joe".
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

101. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:15 
И, между прочим, она вполне эффективна.
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

53. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 14:32 
> А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился?

Смотря что понимать под "полноценный".

Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный параноик и специалист в ИБ, который временами даже выдвигает премии за взлом своих алгоритмов. Не помню касалось ли сие 25519, но за наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно. Тем не менее, даже самая слабая версия salsa не была сломана полностью, не говоря уж о полной. А жтот 25519 нынче применяется кучей народа и какой-то большой криминал пока не обнаружили. Более того, Берштейн вполне доходчиво описывает его свойства, например слабые ключи (каковых можно считать что нет, если для diffie-hellman'а).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

76. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от myhand (ok) on 20-Янв-14, 17:09 
> Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный
> параноик и специалист в ИБ, который временами даже выдвигает премии за
> взлом своих алгоритмов. Не помню касалось ли сие 25519, но за
> наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно.

Килобакс как-то смишно выглядит, не находите?


Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

82. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +5 +/
Сообщение от Аноним (??) on 20-Янв-14, 19:45 
> Килобакс как-то смишно выглядит, не находите?

Это скорее дань уважения. Криптографы все-равно изучают алгоритмы. Получить при этом такой бонус от создателя алгоритма врядли кто откажется. Ну а Берштейн все-таки академик а не магнат. Если вы хотите миллион - идите минет делать какому-нибудь Рокфеллеру, чтоли.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

163. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от myhand (ok) on 20-Янв-14, 21:25 
>> Килобакс как-то смишно выглядит, не находите?
> Это скорее дань уважения.

Чек на стенку повесить?  Так тут сумма как бы и не важна - можно
и 2.56$ пообещать.

В чем прикол и великая ценность конкретно 1k$?  Как стоимость аудита
практически ценного криптографического алгоритма - она смешна, не менее чем 2$.

> Криптографы все-равно изучают алгоритмы. Получить при этом такой
> бонус от создателя алгоритма врядли кто откажется.

Для академиков - вполне достаточно и публикации.  А денюшки - есть
гранты, фонды и реальные призы...

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

215. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от KBAKEP (ok) on 31-Янв-14, 00:01 
"Штука" баксов примерно как миллион, имеет психологическое значение.
Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

216. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от myhand (ok) on 31-Янв-14, 00:09 
Повторяю, с точки зрения реальной ценности работы: 2$ здесь неотличимы от 1k$.
Ответить | Правка | ^ к родителю #215 | Наверх | Cообщить модератору

13. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 10:50 
20.000 баксов нашли, стало быть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 11:28 
Гугл-пожертвования...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

30. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Хвост on 20-Янв-14, 12:14 
Румынский биткоин-миллионер оплатил долги OpenBSD.
http://habrahabr.ru/post/209660/
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 12:19 
> Румынский биткоин-миллионер оплатил долги OpenBSD.
> http://habrahabr.ru/post/209660/

"Но нельзя отрицать и наличие преимущества: маленькая часть мировых финансов перешла в руки хакеров и инженеров-программистов, которые используют эти деньги так, как их никогда не потратит миллиардер с Уолл-Стрит, то есть правильным образом."


вот это мощно... вот это по-анонимовски... хотя ещё недавно у этих "инженеров-программистов" была ВСЯ власть, и они могли определять всё развитие...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

84. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от Аноним (??) on 20-Янв-14, 19:48 
> была ВСЯ власть, и они могли определять всё развитие...

Вся власть над чем? Над мировыми финансами? Ты ушибся, буратина. А биткоины хоть как-то контролируются только теми кто вносит изменения в клиент и общим консенсусом сети. Ты о чем?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

16. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от myhand (ok) on 20-Янв-14, 11:04 
Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю инфраструктуру?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Andrey Mitrofanov on 20-Янв-14, 11:23 
> Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
> инфраструктуру?

Конечно. Ведь у самой безопасной ОС не может быть долгов по безопасности инфраструктуры, инсталятора и пакеж менеджера.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +3 +/
Сообщение от myhand (ok) on 20-Янв-14, 11:53 
> Ведь у самой безопасной ОС не может быть долгов

Почему?  Да запросто.

PS: Если вы увидели в моем сообщении какой-то негатив или осуждение - то зря.  OpenBSD мы любим, причем не только за openssh.  Несмотря на упоротость (временами) Тео...

PPS: А еще там нет systemd.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

103. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 20:18 
> PPS: А еще там нет systemd.

В слаке его тоже нет, вообще-то.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

136. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:45 
А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех под 1 гребенку 1 махом загнать.
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

217. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 26-Фев-14, 02:07 
> А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех
> под 1 гребенку 1 махом загнать.

Двоих из перечисленных уже вычёркиваем...

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

19. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 11:32 
> Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
> инфраструктуру?

На виндовые ботнеты. Их много.

Причём сама хостовая винда постепенно превращается в openbsd.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

85. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 19:50 
> Причём сама хостовая винда постепенно превращается в openbsd.

Ты намекаешь что там точно так же ничего не работает? Ну да, в опенке нет виртуализаторов, для начала. Так что если виртуализатор сдох - винда превращается в опенбзду :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +8 +/
Сообщение от dxd on 20-Янв-14, 11:33 
Итак, самая безопасная ось в начале 2014 года начала думать о проверке подлинности. Я люблю этот мир.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +5 +/
Сообщение от AlexAT (ok) on 20-Янв-14, 11:41 
> Итак, самая безопасная ось в начале 2014 года начала думать о проверке
> подлинности. Я люблю этот мир.

Неплохо бы начать с того, что ни хрена она не самая безопасная. 99% атак идут на софт, а не на ядро ОС, а софт там вполне обычный. MAC, способного оградить софт от несвойственных ему действий, там тоже нет.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 11:43 
Виртуальные машины и банки на что?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +7 +/
Сообщение от AlexAT (ok) on 20-Янв-14, 11:52 
> Виртуальные машины и банки на что?

Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Аноним (??) on 20-Янв-14, 12:53 
Ну так виртуалки и не нужны, если есть банки.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

93. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 20:07 
> Ну так виртуалки и не нужны, если есть банки.

Какие еще банки? Вы имеете в виду того миллионера который оплачивает долги Тео? Ну да, кто-то должен волочь на своем горбу неэффективную доистрическую инфраструктуру. А виртуализация как раз позволяет на 1-2 современных сервака набить сервисы поплотнее, почти не в ущерб изоляции относительно железных машин. А бздюки думали что ей чисто для прикола пользуются, чтоли? Ручник иногда полезно отпускать, господа!

Вон про подписи уже доползло. Не прошло и полувека...

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

172. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от Аноним (??) on 21-Янв-14, 03:32 
Банка - софт изолирующий программу, запущенную в нём, от основной ОС, без полноценной эмуляции компьютера, как это происходит в виртуальных машинах.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

187. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от AlexAT (ok) on 21-Янв-14, 10:17 
> Банка - софт изолирующий программу, запущенную в нём, от основной ОС, без
> полноценной эмуляции компьютера, как это происходит в виртуальных машинах.

Это называется "контейнер(ы)". В openbsd их, строго говоря, нет.

Ответить | Правка | ^ к родителю #172 | Наверх | Cообщить модератору

189. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –5 +/
Сообщение от Аноним (??) on 21-Янв-14, 12:01 
Нет, это называется банка.
И их много разных видов.
Ответить | Правка | ^ к родителю #187 | Наверх | Cообщить модератору

37. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –5 +/
Сообщение от Аноним (??) on 20-Янв-14, 13:18 
>> Виртуальные машины и банки на что?
> Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что
> в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.

Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров имеются.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

40. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 13:29 
> Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой
> ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров  имеются.

Аналог jail не помешал бы...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

49. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от metallica (ok) on 20-Янв-14, 14:23 
На спарках объявлена поддержка  аппаратных LDOM-ов.
Есть здесь кто проверял, работает или нет?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

77. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +5 +/
Сообщение от Miha (??) on 20-Янв-14, 19:29 
Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт в мир на базовой системе страшно. Ну ифиг с ним, что система типа безопасная, взломали php-приложение и тю-тю.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

79. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –5 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 19:35 
> Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт
> в мир на базовой системе страшно. Ну ифиг с ним, что
> система типа безопасная, взломали php-приложение и тю-тю.

В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь. Secure by default, чё уж там.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

86. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +3 +/
Сообщение от Аноним (??) on 20-Янв-14, 19:51 
> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.

Чрут вообще не есть средство безопасности и позволяет программе делать уйму нежелательных действий. По идее те кто интересуется безопасностью это знает. Но у тебя же безопасность - слоган, а не фактическое состояние дел...


Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

87. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –5 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 19:54 
>> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.
> Чрут вообще не есть средство безопасности и позволяет программе делать уйму нежелательных
> действий. По идее те кто интересуется безопасностью это знает. Но у
> тебя же безопасность - слоган, а не фактическое состояние дел...

Хорошо, сделаю поправку - chroot есть средство безопасности для всех, кроме теоретиков с Уолл-стрит.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

95. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:09 
Моя поправка лучше: чрут - средство безопасности. Для сам себе злобных буратин. Потому что кроме файловой системы в операционке есть уйма других вещей, который chroot вообще никак не затрагивает.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

104. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 20:20 
> Моя поправка лучше: чрут - средство безопасности. Для сам себе злобных буратин.
> Потому что кроме файловой системы в операционке есть уйма других вещей,
> который chroot вообще никак не затрагивает.

Ну так сломай "другие вещи" с помощью дырявого php, теоретик.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

107. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:23 
> Ну так сломай "другие вещи" с помощью дырявого php, теоретик.

Не знаю, как насчет теоретиков, а практики вполне себе ломают. Иногда очень интересно почитать отчеты аудита. Другое дело, что не каждому это дают.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

143. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:54 
> Ну так сломай "другие вещи" с помощью дырявого php, теоретик.

Дырявая вебня как правило позволит выполнить произвольный код. А вот дальше я могу основательно поразвлекаться, дергая самые разные системные вызовы с самыми разнообразными последствиями.

Прикол в том что дерг сисколов и библиотечных функций в чруте ничем не отличается от дерга таковых вне чрута. В этом месте у тех кто понимает как работают операционки и как с ними взаимодействуют программы должно появиться очень нехорошее подозрение насчет того что хаксорская программа может откалывать уйму нежелательных действий. Но ламакам типа буратины вещающим фанатский булшит задумываться о таких мелочах совершенно ни к чему. За тебя подумает питон и опенбсд.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

157. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 21:14 
> Речь идет не про chroot, как таковой, а про дефолтный httpd, который
> патчен-проперепатчен, и под который вся система патчена-проперепатчена

Это, конечно, абсолютная гарантия защиты. Патчи, переставляющие отступы и переименовывающие переменные, гораздо важнее патчей, добавляющих MAC, namespaces, контейнеры, виртуализацию, и прочие бесполезные финтифлюшки.

> (фактически, это всё - единое велое).

Да, без велосипедов явно не обошлось.

> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.

Ну, когда взломали, это неудобно, да.
И единственный способ защитить свой опенок от этого - стараться не привлекать к себе внимание серьезных дядек.

Ответить | Правка | Наверх | Cообщить модератору

180. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 05:46 
> Это, конечно, абсолютная гарантия защиты. Патчи, переставляющие отступы и переименовывающие
> переменные, гораздо важнее патчей, добавляющих MAC, namespaces, контейнеры, виртуализацию,
> и прочие бесполезные финтифлюшки.

Это теоретикам нужны громкие маркетинговые слова, чтобы производить впечатление на девочек. Практикам главное - чтобы не ломали на практике.


>> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.
> И единственный способ защитить свой опенок от этого - стараться не привлекать
> к себе внимание серьезных дядек.

Чё, киддис, не подошёл твой эксплоит к openbsd? И от этого обида на всю жизнь? Да, знатно тебя, видимо, openbsd припустил, раз у тебя такая истерика.

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

165. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 21:28 
> Речь идет не про chroot, как таковой, а про дефолтный httpd,

Начались отмазки. А я разве говорил про httpd? Я сказал - пролезут через дырявую вебню. Там в отличие от httpd код пишут такие как ты. Поэтому секурность - в районе плинтуса. А вот дальше будет интересно. И чрут - это не непреодолимая преграда а лишь досадная помеха. Ну да, кидисов типа тебя оно может и обломает.

> jail мне нужен не для httpd, и даже не для безопасности, а для удобства.

Жги еще, буратина.

Ответить | Правка | Наверх | Cообщить модератору

169. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 20-Янв-14, 22:53 
> Хорошо, сделаю поправку - chroot есть средство безопасности

Нет.

Другое дело, если это не только смена области видимости в пространстве имён файловой системы.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

176. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 05:38 
>> Хорошо, сделаю поправку - chroot есть средство безопасности
> Нет.
> Другое дело, если это не только смена области видимости в пространстве имён
> файловой системы.

То есть, я правильно понял кинутую предъяву, что вот это

http://www.openbsd.org/faq/faq10.html#httpdchroot

не для безопасности, а для понта?

Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

188. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от исчо_адын_аноним on 21-Янв-14, 12:01 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
>> Другое дело, если это не только смена области видимости в пространстве имён
>> файловой системы.
> То есть, я правильно понял кинутую предъяву, что вот это
> http://www.openbsd.org/faq/faq10.html#httpdchroot
> не для безопасности, а для понта?

Да, в данный момент ( 2014-год ) это именно так

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

204. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 21-Янв-14, 21:27 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
>> Другое дело, если это не только смена области видимости в пространстве имён
>> файловой системы.
> То есть, я правильно понял кинутую предъяву, что вот это
> http://www.openbsd.org/faq/faq10.html#httpdchroot
> не для безопасности, а для понта?

Сам по себе chroot мало что даёт. А вот в сочетании с отказом от привилегий (Apache в базе OpenBSD работает не от рута, роняя привилегии после открытия всего, что нужно) - уже да.

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

209. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 22-Янв-14, 02:20 
>>> Хорошо, сделаю поправку - chroot есть средство безопасности
>> Нет.
> То есть, я правильно понял кинутую предъяву, что вот это [...]
> не для безопасности, а для понта?

Как совершенно справедливо заметили в #204, "это" -- не чрут, а другой комплекс мероприятий.  И я про него давно в курсе, в т.ч. применительно к опёнку, если что.

ldv@altlinux вон тоже известен неравнодушием к пустым readonly чрутам ;-]

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

105. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 20:22 
> В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь.

До многих вещей в системе можно добраться и не сбегая из чрута.

> Secure by default, чё уж там.

Bullshit идет во все поля.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору
Часть нити удалена модератором

146. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:59 
> До каких вещей ты добираться собрался?

Сисколы и библиотечные функции. Ну да, бидонисты о такой мелочи не знают. За них бидон думает. А их собственный котелок - пустой. И основ работы своей системе эти скрипткидевые ламаки не знают. В противном случае ты бы догадывался какого хрена в линуксе запилили флаги clone() откусывающие разные namespace-ы, ибо кроме файловой системы есть много иных интересных вещей. Вот так оно уже несколько более секурно. И то не полностью айс. Например чувак из LXC контенера перевел часы, а они во всей системе - оба-на! Так что даже там как видишь не все порезали. А перевод часов может доставить немало лулзов...

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

147. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 21:03 
>> До каких вещей ты добираться собрался?
> Сисколы и библиотечные функции. Ну да, бидонисты о такой мелочи не знают.
> За них бидон думает. А их собственный котелок - пустой. И
> основ работы своей системе эти скрипткидевые ламаки не знают. В противном
> случае ты бы догадывался какого хрена в линуксе запилили флаги clone()

Мсье теоретику предложили конкретный вопрос - как он будет убегать из чрута дефолтового openbsd-шного httpd. Хоть бы на страничку конкретной реализации бы зашёл... хотя зачем это теоретикам, они только пафосно вещают об общих вещах... что-то типа гороскопа - "всё будет плохо, если, конечно, не будет хорошо".

А про "потенциально у нас две тысячи долларов, а реально - две шлюхи" - это мы уже слышали. Чё-нить новое, более практичное, будет?

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

166. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 21:32 
> Мсье теоретику предложили конкретный вопрос - как он будет убегать из чрута
> дефолтового openbsd-шного httpd.

А зачем "убегать из чрута"? Многие вещи будут работать и там. Да, некоторые файловые операции отвалятся. Но дергать системные вызовы и библиотечные функции с правами текущего юзера это не помешает.

> Хоть бы на страничку конкретной реализации бы зашёл...

А смысл? Не могу же с заменить бидонисту-скрипткидису мозги на нормальные, способные к осознанию того как софт <-> OS вообще взаимодействуют.

> хотя зачем это теоретикам, они только пафосно вещают об общих вещах...

Теоретик тут ты, вещающий про супербезопасность и при этом не понимающий самых базовых основ на которых все это зиждется. За это мы и презираем скрипткидисов.

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

173. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от chinarulezzz (ok) on 21-Янв-14, 04:27 
>Теоретик тут ты, вещающий про супербезопасность и при этом не понимающий самых базовых основ на которых все это зиждется. За это мы и презираем скрипткидисов.

аж отсвечивает 31337тарностью.

По факту, тех принципов безопасности которых придерживается фуга, я не видел ни в какой другой системе. И линукс-разработчики часто пренебрегают этими http://www.openbsd.org/ru/security.html принципами.

Ответить | Правка | ^ к родителю #166 | Наверх | Cообщить модератору

179. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 05:44 
> По факту, тех принципов безопасности которых придерживается фуга, я не видел ни
> в какой другой системе. И линукс-разработчики часто пренебрегают этими http://www.openbsd.org/ru/security.html принципами.

Они медленнее.

Массовый продукт из скорости и безопасности почти всегда выбирает скорость. Скорость можно продать (хотя "Продают лошадиные силы, а выигрывает крутящий момент"), а по безопасности теоретики объяснят, что это всё не нужно, потому что мы все умрём. :)


И только старый опытный openbsd никуда не спешит, и поэтому всё успевает. :)

Ответить | Правка | ^ к родителю #173 | Наверх | Cообщить модератору

27. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –6 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 11:57 
Если не ставить php, который небезопасен by design, и который ломают даже девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно ядра.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +5 +/
Сообщение от исчо_адын_аноним on 20-Янв-14, 12:01 
> Если не ставить php, который небезопасен by design, и который ломают даже
> девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
> ядра.

А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 12:06 
> А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.

Смотря, что хочешь получить. Возможно, в твоём случае, не ставить ОС на комп - это лучший выбор.


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

97. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:10 
В твоем случае компьютеры вообще лучше даже не включать. Я помню как ты месяц пытался вику раскатать на ноут. При таком феерическом уровне ламерства лучше не использовать ничего сложнее палки-копалки.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

106. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 20:22 
> В твоем случае компьютеры вообще лучше даже не включать. Я помню как
> ты месяц пытался вику раскатать на ноут. При таком феерическом уровне
> ламерства лучше не использовать ничего сложнее палки-копалки.

Чувак, если указана вполне конкретная инструкция, и она не работает, то единственный косячник - это тот, кто её делал. Кстати, и авторы, и сама жизнь признали, что этот вариант не работает. В принципе. Вообще. Уж не знаю, потому что php, или нет, это не ко мне вопросы.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

110. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:25 
>> В твоем случае компьютеры вообще лучше даже не включать. Я помню как
>> ты месяц пытался вику раскатать на ноут. При таком феерическом уровне
>> ламерства лучше не использовать ничего сложнее палки-копалки.
> Чувак, если указана вполне конкретная инструкция, и она не работает, то единственный
> косячник - это тот, кто её делал.

"Неча на зеркало пенять, коли рожа крива". У других работает, у тебя нет, а причина, конечно же, в плохой инструкции.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

78. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от Miha (??) on 20-Янв-14, 19:31 
> Если не ставить php, который небезопасен by design, и который ломают даже
> девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
> ядра.

Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых рук пишущих его, от растущих с неправильного места использующих его.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

80. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 19:37 
>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
> рук пишущих его, от растущих с неправильного места использующих его.

Чей код я не видел?

В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

92. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:03 
Да, бидонисты только и умуют что других грязью поливать. Потому что сами вообще нормальные продукты выкатить не в состоянии. Вот и остается других поливать...
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

170. "(offtopic) ...идёт в сторону..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 20-Янв-14, 23:02 
> Вот и остается других поливать...

Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё же знать меру.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

171. "(offtopic) ...идёт в сторону..."  –1 +/
Сообщение от Led (ok) on 21-Янв-14, 02:53 
>> Вот и остается других поливать...
> Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё
> же знать меру.

Ты посмотри сначала процент постов о буратины (от общего числа на опеннете), причём, по ЛЮБОМУ поводу (такое ощущение, что раз он деревянный, то для любой бочки - затычка), а потом уже решай у кого "обострение":)

Ответить | Правка | ^ к родителю #170 | Наверх | Cообщить модератору

181. "(offtopic) ...идёт в сторону..."  +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 06:07 
>> Вот и остается других поливать...
> Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё же знать меру.

То есть, вы отрицаете, что люди, у которых тот факт, что кто-то где-то выпускает операционную систему openbsd вызывает истеричную ненависть и обильное выделение лжи - это всесезонно больные люди?

Ответить | Правка | ^ к родителю #170 | Наверх | Cообщить модератору

190. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от тигар (ok) on 21-Янв-14, 13:13 
>>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
>> рук пишущих его, от растущих с неправильного места использующих его.
> Чей код я не видел?
> В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png

а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

191. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 14:36 
>>>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
>>> рук пишущих его, от растущих с неправильного места использующих его.
>> Чей код я не видел?
>> В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
>> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png
> а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?

То есть "mysql лежит, но страница должна продололжать генерироваться дальше? есть же такой неиссякаемый источник данных, как random!"

Ну, может быть. Потому что я так и не вспомню ни одного языка, где "mysql лежит, но мы продолжаем дальшеупорно генерировать страницу, как будто ничего не произошло" является штатной, кроме как в php.

Ответить | Правка | ^ к родителю #190 | Наверх | Cообщить модератору

192. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от тигар (ok) on 21-Янв-14, 14:43 
>>> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png
>> а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?
> То есть "mysql лежит, но страница должна продололжать генерироваться дальше? есть же
> такой неиссякаемый источник данных, как random!"

на странице может быть и статика, которую можно/нужно отдать. олсо гламурное "окошечко" с текстом "ой, миленькие наши, у нас сервер заболел, мы его чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными буковками надпись can't connect to mysql server blablabla, которое в особо запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня интернет не работает!" от какой-нить светловолосой бухгалтерши.


Ответить | Правка | ^ к родителю #191 | Наверх | Cообщить модератору

193. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 14:53 
> на странице может быть и статика, которую можно/нужно отдать. олсо гламурное "окошечко"
> с текстом "ой, миленькие наши, у нас сервер заболел, мы его
> чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными
> буковками надпись can't connect to mysql server blablabla, которое в особо
> запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня
> интернет не работает!" от какой-нить светловолосой бухгалтерши.

Ну так эта ситуация любым языком нормально отрабатывается. Именно ОТРАБАТЫВАЕТСЯ, а не сначала шпарит без данных, и только потом, особым повелением, можно заставить вести себя ЛОГИЧНО. А до этого - нет данных, не беда, ща напишем "видимость нулевая, иду по приборам, через 40 копеек поворот направо", и дальше поедем.

Именно этим отличаются handling errors и hiding errors :)

Ответить | Правка | ^ к родителю #192 | Наверх | Cообщить модератору

194. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от тигар (ok) on 21-Янв-14, 14:58 
>[оверквотинг удален]
>> с текстом "ой, миленькие наши, у нас сервер заболел, мы его
>> чаем с малиной отпаиваем! придите завтра" всяко лучше чем написаная красными
>> буковками надпись can't connect to mysql server blablabla, которое в особо
>> запущеных случаях оторвет админа от игрушки телефонным звонком с "у меня
>> интернет не работает!" от какой-нить светловолосой бухгалтерши.
> Ну так эта ситуация любым языком нормально отрабатывается. Именно ОТРАБАТЫВАЕТСЯ, а не
> сначала шпарит без данных, и только потом, особым повелением, можно заставить
> вести себя ЛОГИЧНО. А до этого - нет данных, не беда,
> ща напишем "видимость нулевая, иду по приборам, через 40 копеек поворот
> направо", и дальше поедем.

у тебя уже веки сгорели от света из глаз;(
пиши на ПХП чтобы было ЛОГИЧНО. оно и будет работать предсказуемо и логично.
это примерно как винить дорожников в плохо почищеной/не посыпаной дороге летая 100+ км/ч на лысой летней резине.
> Именно этим отличаются handling errors и hiding errors :)

Ответить | Правка | ^ к родителю #193 | Наверх | Cообщить модератору

196. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 15:09 
> пиши на ПХП чтобы было ЛОГИЧНО. оно и будет работать предсказуемо и логично.
> это примерно как винить дорожников в плохо почищеной/не посыпаной дороге летая 100+
> км/ч на лысой летней резине.

Нет, не примерно. Если пришли неоднозначные данные, оно не должно пытаться додумать за других. Потому что иначе разработчик может даже что-то не знать, что что-то пошло не так - это раз. И в случае непредсказуемой ситуации поведение может стать СОВСЕМ непредсказуемым - это два (включая конфиденциальные утечки). (кстати, с php ещё один смешной случай связан - если что-то не так отработает, вместо результатов выводов может выводиться исходный код .php. Ситуация редкая, но от того ещё более смешная).


Нормальное поведение - в случае непредсказуемой ситуации мы не знаем, что делать.

Поведение php - в случае непредсказуемой ситуации мы делаем вид, что ничего не произошло.

Ответить | Правка | ^ к родителю #194 | Наверх | Cообщить модератору

198. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от тигар (ok) on 21-Янв-14, 15:13 
> конфиденциальные утечки). (кстати, с php ещё один смешной случай связан -
> если что-то не так отработает, вместо результатов выводов может выводиться исходный
> код .php. Ситуация редкая, но от того ещё более смешная).

ты меня конечно прости... но настроить php пригласи того, кто это делать умеет (случай когда ты в браузере вбиваешь http://domain.tld/ololo.php и видишь код на пхп)

Ответить | Правка | ^ к родителю #196 | Наверх | Cообщить модератору

199. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 15:45 
>> конфиденциальные утечки). (кстати, с php ещё один смешной случай связан -
>> если что-то не так отработает, вместо результатов выводов может выводиться исходный
>> код .php. Ситуация редкая, но от того ещё более смешная).
> ты меня конечно прости... но настроить php пригласи того, кто это делать
> умеет (случай когда ты в браузере вбиваешь http://domain.tld/ololo.php и видишь код на пхп)

Я говорю о ситуации "внезапно отвалилось", например при какой-нибудь ошибке обновления. В нормальных случаях так - если не работает, значит не работает. Если работает - значит работает. А в случае файлов, которые размазаны там же, где и все остальные файлы, которые нужно отдавать, ситуация такая - если работает, значит работает, а если не работает - значит ты можешь посмотреть все сырцы.

Не, ну понятно, для всех пыхеров это самый нормальный путь. Ведь он заставляет чувствовать себя сапёрами, где каждая ошибка - смертельна. А вот нормальные люди всё таки предпочтут, если что-то пошло не так, чтобы их сырцы не были достоянием общественности.

Я такую ошибку однажды, лет 10 назад, даже на хостинге видел. Где не было никакой возможности "перенастроить самому" - что хостер выдал, то и произошло.

Ответить | Правка | ^ к родителю #198 | Наверх | Cообщить модератору

88. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +3 +/
Сообщение от Аноним (??) on 20-Янв-14, 19:54 
> Если не ставить php,

Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже. Не работает чего-то твой совет нифига. Вебня пишется всякими специалистами по вьюжлвасику типа тебя, при этом не так уж важно, питон там, пых, руби, нода.жс или что там еще. Вы такие хорошие все-равно лажаетесь в самых базовых вещах совершенно одинаково, не будучи в состоянии предусмотреть самые простые и очевидные ляпы.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

91. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 20:00 
>> Если не ставить php,
> Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже.

Это имеет такое же отношение к дизайну языка, как Аноним - к адекватности.

Когда в языке дозволено, несмотря на критические ошибки, продолжать дальше производить расчёты, впору вешать табличку "п...дец" и ползти на кладбище. А не выискивать единичные случаи у других.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

38. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от Аноним (??) on 20-Янв-14, 13:21 
> Итак, самая безопасная ось в начале 2014 года начала думать о проверке
> подлинности. Я люблю этот мир.

Не "начала думать" а "заканчивает реализовывать". Цифровые подписи - это чуть сложнее, чем openssl -genrsa. Сделать процесс простым, надёжным и безопасным - это совсем не то же, что отрапортовать о внедрении технологии.

А подписывать пакеты, собираемые из портов, можно было уже N лет назад.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

89. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 19:58 
> Не "начала думать" а "заканчивает реализовывать".

"...а 22-е лезвие заканчивает полировку вашей челюсти".

> Цифровые подписи - это чуть сложнее, чем openssl -genrsa.

Именно - ЧУТЬ. Вот реально - цифровые подписи это цифровые подписи. В конкретно 25519 юзеж публичной криптографии прост как топор. Берштейн специально это сделал, как контраст с SSL который секурно заюзать и нигде не стрельнуть себе в пятку - семь потов сойдет.

> совсем не то же, что отрапортовать о внедрении технологии.

Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

> А подписывать пакеты, собираемые из портов, можно было уже N лет назад.

А "бы" в этом мире не считается. Это называется "упущенные возможности".


Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

174. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +2 +/
Сообщение от chinarulezzz (ok) on 21-Янв-14, 04:38 
>Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

в среде kernel-хакеров была замечена привычка умалчивать об уязвимостях.

>Это называется "упущенные возможности".

для кого? "фатальный недостаток", да. Аноним по причине отсутствия подписей - не выбрал опёнка. Недостаточно секюрна для него :-D Какая упущенная возможность. А ведь если б он ею пользовался, возможно он за электричество уплатил бы Тео, и опёнок не имел таких материальных проблем.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

218. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 26-Фев-14, 02:24 
>> Не "начала думать" а "заканчивает реализовывать".
> "...а 22-е лезвие заканчивает полировку вашей челюсти".
>> Цифровые подписи - это чуть сложнее, чем openssl -genrsa.
> Именно - ЧУТЬ. Вот реально - цифровые подписи это цифровые подписи. В
> конкретно 25519 юзеж публичной криптографии прост как топор. Берштейн специально это
> сделал, как контраст с SSL который секурно заюзать и нигде не
> стрельнуть себе в пятку - семь потов сойдет.

Нет, не чуть. Наиболее распространённые схемы вроде X.509 подразумевают наличие цепочек доверия. И эти схемы уже благополучно зарекомендовали себя, как сводящие реальный уровень безопасности, для достаточно сильного противника, к нулю.

>> совсем не то же, что отрапортовать о внедрении технологии.
> Тем не менее, у того же дебиана или редхатов за годы использования
> ими подписей прецедентов с именно подделкой подписей не зафиксировано.

Ложь. Контрпример: http://www.opennet.dev/opennews/art.shtml?num=17510

Кстати, если правильно помню, dpkg (в отличие от apt*) не проверяет подписи. А ведь админы порой пользуются именно dpkg по причине поломки базы пакетов или ещё какой особой нужде (мне самому повезло, а вот некоторым знакомым - нет).

>> А подписывать пакеты, собираемые из портов, можно было уже N лет назад.
> А "бы" в этом мире не считается. Это называется "упущенные возможности".

Где вы увидели "бы"? "Можно было" означает, что эта технология УЖЕ работала. Кому надо - тот собирал и подписывал пакеты для себя, в рамках организации, например. Благо, в OpenBSD сборка пакетов весьма предсказема и редко ломается от появления чего-то незапланированного в зоне доступа (неучтённые зависимости и т.д.).

Возможностей никто не упускал. Ну, кроме отдельных диванных аналитиков.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

32. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +3 +/
Сообщение от Аноним (??) on 20-Янв-14, 12:34 
Я не понял, они ещё их не подписывали до сих пор? Фигасе, самая безопасная ОС. Даже в Арче уже достаточно давно есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 20-Янв-14, 12:37 
> Я не понял, они ещё их не подписывали до сих пор? Фигасе,
> самая безопасная ОС. Даже в Арче уже достаточно давно есть.

Теперь будут. Если хотел внедрить что-то на левое зеркало - ты опоздал. :)

Вообще, механизм был доступен очень давно:

http://www.openbsd.org/faq/faq15.html#PkgSig

Но на официальных зеркалах этим никто не занимался - на дискету не влезало :) Теперь нашли способ :) Да и народ как-то больше на портах висел, чем на пакетах.


ps. Достаточно давно - это год назад? :)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 12:57 
Да, всего-то было на LZMA перейти.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 13:22 
> Да, всего-то было на LZMA перейти.

AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно для упаковки.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

68. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 15:27 
>> Да, всего-то было на LZMA перейти.
> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно
> для упаковки.

Да прям.....

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

90. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-14, 20:00 
> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря,
> особенно для упаковки.

Насколько старые? Если кто не может выкроить себе 2 мега на словарь - это не просто старье, это какой-то ZX-спектрум уже.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

205. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от Аноним (??) on 21-Янв-14, 21:36 
>> AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря,
>> особенно для упаковки.
> Насколько старые? Если кто не может выкроить себе 2 мега на словарь
> - это не просто старье, это какой-то ZX-спектрум уже.

2 метра? А 32 метра не хотите? Не говоря о том, что разница даже в скорости самой распаковки между GZip и XZ на каком-нибудь m68k вполне ощутима.

А "старьё", как неоднократно уже объяснялось, нужно для вылавливания тех багов, которые на других архитектурах ловятся крайне плохо. Слетело выравнивание в структуре из-за ошибки в указательной арифметике, например, и SPARC моментально даст SIGBUS, в то время как i386 позволит проблемам копиться и проявиться самым неожиданным образом. Или, скажем, баг может почти не проявляться на amd64 из-за того, что какой-то лок успевает освободиться, а на vax'е он будет висеть достаточно для устойчивого отлавливания. И т.д.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

70. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +1 +/
Сообщение от metallica (ok) on 20-Янв-14, 15:42 
*BSD в атаке ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.0/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

98. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 20-Янв-14, 20:11 
Нетка тоже немного участвует:
http://ftp.netbsd.org/pub/NetBSD/NetBSD-6.1.3/images/
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

115. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от lucentcode (ok) on 20-Янв-14, 20:28 
Рад, что финансовые проблемы проекта разрешились. Хоть и не пользуюсь OpenBSD, но всегда симпатизировал данному проекту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

182. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 06:35 
Кстати, пацаны, есть одна проблема, кто знает, как разобраться?

Есть роутер, по-моему, dlink dir 320. не мой, как мне его дали, так он и шуршит, я там ничего не настраивал.

Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё нормально - скорость до сервера в районе 250 кбайт-сек.

Если же запустить rsync или wget c openbsd, то скорость стабильно 60 кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его всё-таки прорвало на номинал, но я не понял - как.

При этом, если запустить при этом что-то с другого linux, то скорость будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер тупит.

Скорость внутри дома, по лану - нормальная, никаких ограничений.

В чём может быть проблема?


Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы (аптайм 80% - это норма. больше - это большое счастье) - помнится, даже было такое, что запуск даже двух вгетов не проходил - т.е. запускаешь один вгет - скорость 500 кбайт.сек, запускаешь второй - минуту к сети коннектится...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

183. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от cnst on 21-Янв-14, 08:30 
Где у тебя сервер?  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.
Ответить | Правка | ^ к родителю #182 | Наверх | Cообщить модератору

184. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 08:54 
> Где у тебя сервер?

Это не сервер, это мой домашний компьютер.


>  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.

Ничё не понял. В роутер оно уходит одинаково. А там уже мальчики налево, девочки направо. И когда оно по комнате бегает, нет никаких лимитов. А когда в интернет - 60 кб с занятием всего канала напрочь. Внимание, вопрос - ОТКУДА ОНО ЗНАЕТ? :)

Ответить | Правка | ^ к родителю #183 | Наверх | Cообщить модератору

185. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 09:18 
это из openbsd

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:01:2e:3a:ec:b0
        priority: 0
        groups: egress
        media: Ethernet autoselect (100baseTX full-duplex,rxpause,txpause)
        status: active
        inet6 fe80::201:2eff:fe3a:ecb0%re0 prefixlen 64 scopeid 0x2
        inet 192.168.0.120 netmask 0xffffff00 broadcast 192.168.0.255

Ответить | Правка | ^ к родителю #183 | Наверх | Cообщить модератору

195. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Neus on 21-Янв-14, 15:06 
А причем тут BDP и как оно объясняет указанное поведение?
Ответить | Правка | ^ к родителю #183 | Наверх | Cообщить модератору

197. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от Neus on 21-Янв-14, 15:11 
> Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы

О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)

Ответить | Правка | ^ к родителю #182 | Наверх | Cообщить модератору

200. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 15:46 
>> Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы
> О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)

Боюсь, никакого техдиректора тут нет. Как было настроено один раз 15 лет назад, так оно до сих пор "методом живтительного ребута" и реставрируется. :)

ps. Почему сбежал? Почему не расстреляли? :)


Ответить | Правка | ^ к родителю #197 | Наверх | Cообщить модератору

201. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Andrey Mitrofanov on 21-Янв-14, 15:56 
> ps. Почему сбежал? Почему не расстреляли? :)

Да, твоё творчество ведт к этой мысли.

Ответить | Правка | ^ к родителю #200 | Наверх | Cообщить модератору

202. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 16:00 
>> ps. Почему сбежал? Почему не расстреляли? :)
> Да, твоё творчество ведт к этой мысли.

То колобок был. Мой брат двоюродный.


Ответить | Правка | ^ к родителю #201 | Наверх | Cообщить модератору

206. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 21-Янв-14, 21:47 
>[оверквотинг удален]
> Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё
> нормально - скорость до сервера в районе 250 кбайт-сек.
> Если же запустить rsync или wget c openbsd, то скорость стабильно 60
> кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его
> всё-таки прорвало на номинал, но я не понял - как.
> При этом, если запустить при этом что-то с другого linux, то скорость
> будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер
> тупит.
> Скорость внутри дома, по лану - нормальная, никаких ограничений.
> В чём может быть проблема?

Покажи вывод:

1) sysctl -a
2) netstat -ni  (во время проблемной закачки)
3) pfctl -vsr

Ответить | Правка | ^ к родителю #182 | Наверх | Cообщить модератору

211. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 22-Янв-14, 05:57 
> Покажи вывод:
> 1) sysctl -a
> 2) netstat -ni  (во время проблемной закачки)
> 3) pfctl -vsr

http://ob.51t.ru/n/

Это, конечно, смешно звучит, но после второй команды у меня скорость закачки поднялась с 60 до 150 кбайт. Секретный код? :) А коды на бессмерть есть? :)

Ответить | Правка | ^ к родителю #206 | Наверх | Cообщить модератору

186. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 09:39 
Тээкс, интересненько...

обновление на снэпшоте от 18 января высветило новое поведение...

(обновление с диска, как это выглядит при сетевом обновлении, я не знаю)

сначала взяло SHA256 (файл SHA256.sig я не ложил, поэтому не знаю, проверяло бы оно его), хотя раньше - не брало, и все суммы, по-моему, были прошиты в bsd.rd (впрочем, я не уверен). и потом написало Installing sets, но при этом не выводило графиков установки - я даже не понял, что это с ним, чего оно просто так висит...

Ждём новых снапшотов, и буду экспериментировать с ними уже в виртуалке, ставить до обновлять туда-сюда...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

207. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 21-Янв-14, 21:50 
>[оверквотинг удален]
> обновление на снэпшоте от 18 января высветило новое поведение...
> (обновление с диска, как это выглядит при сетевом обновлении, я не знаю)
> сначала взяло SHA256 (файл SHA256.sig я не ложил, поэтому не знаю, проверяло
> бы оно его), хотя раньше - не брало, и все суммы,
> по-моему, были прошиты в bsd.rd (впрочем, я не уверен). и потом
> написало Installing sets, но при этом не выводило графиков установки -
> я даже не понял, что это с ним, чего оно просто
> так висит...
> Ждём новых снапшотов, и буду экспериментировать с ними уже в виртуалке, ставить
> до обновлять туда-сюда...

Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на системе, делать им проверку подписи (это не то же, что проверка контрольных сумм) и уже потом устанавливать. На лету проверить и тут же установить по определению, нельзя - подпись проверить можно только получив файл полностью, но и устанавливать из ещё не проверенного файла тоже как-то глупо. В случае установки с диска это, действительно, излишне - думаю, скоро это исправят.

Ответить | Правка | ^ к родителю #186 | Наверх | Cообщить модератору

208. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 21-Янв-14, 23:10 
> Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
> системе, делать им проверку подписи (это не то же, что проверка
> контрольных сумм) и уже потом устанавливать. На лету проверить и тут
> же установить по определению, нельзя - подпись проверить можно только получив
> файл полностью, но и устанавливать из ещё не проверенного файла тоже
> как-то глупо. В случае установки с диска это, действительно, излишне -
> думаю, скоро это исправят.

А, нет, при установке с диска делаются симлинки. Так что лишнего копирования не происходит, но "полосок прогресса" мы на данный момент лишены, увы.

Ответить | Правка | ^ к родителю #207 | Наверх | Cообщить модератору

212. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –2 +/
Сообщение от бедный буратино (ok) on 22-Янв-14, 05:59 
> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.

Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying base55.tgz"... а то я уже начал волноваться, чего это он такое делает....

Ответить | Правка | ^ к родителю #208 | Наверх | Cообщить модератору

214. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 24-Янв-14, 05:34 
>> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
>> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
> Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
> мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
> base55.tgz"... а то я уже начал волноваться, чего это он такое
> делает....

О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение... короче говоря, если постоянно обновлять снапшоты - ничего хорошего не будет :) жду релиза, будем ставить начисто :)


ps. А почему про OpenBSD уже два дня нет никаких новостей. Что-то случилось? :)

Ответить | Правка | ^ к родителю #212 | Наверх | Cообщить модератору

219. "OpenBSD идёт в сторону использования цифровых подписей для п..."  +/
Сообщение от Аноним (??) on 26-Фев-14, 02:28 
>>> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
>>> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
>> Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
>> мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
>> base55.tgz"... а то я уже начал волноваться, чего это он такое
>> делает....
> О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение...

Стоит проверить права на /dev/drm0. Если для входа в систему используется *dm, проблем не должно быть, они сами выставляют нужные.

Ответить | Правка | ^ к родителю #214 | Наверх | Cообщить модератору

210. "OpenBSD идёт в сторону использования цифровых подписей для п..."  –1 +/
Сообщение от бедный буратино (ok) on 22-Янв-14, 05:10 
> Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
> системе, делать им проверку подписи (это не то же, что проверка
> контрольных сумм) и уже потом устанавливать. На лету проверить и тут
> же установить по определению, нельзя - подпись проверить можно только получив
> файл полностью, но и устанавливать из ещё не проверенного файла тоже
> как-то глупо. В случае установки с диска это, действительно, излишне -
> думаю, скоро это исправят.

ну дысь, я так и понял, логично...

/altroot2? :)

хотя я и первый не использовал никогда. :)

Ответить | Правка | ^ к родителю #207 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру