1.1, Аноним (1), 11:22, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
Как же классно пользоваться Rolling дистрибутивом, новость что уязвимость устранена в версии 2.37.1, смотрю, а в системе уже стоит 2.37.2
| |
|
2.2, anonus (?), 11:29, 13/02/2019 [^] [^^] [^^^] [ответить]
| +68 +/– |
Не пользоваться snapd тоже классно, новость что уязвимость в snapd... А пофигу.
| |
|
3.10, Qwerty (??), 12:01, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
А если вообще ПК не пользоваться, то даже Spectre становится нестрашен.
| |
|
|
|
|
|
8.102, gsdh (?), 07:29, 14/02/2019 [^] [^^] [^^^] [ответить] | +/– | не понятно, каких утверждений производителя, так-то ноутов уже в землю зарытых б... текст свёрнут, показать | |
|
|
|
|
4.76, Crazy Alex (ok), 20:02, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да он на ПК и так не страшен. Это ж не сервер с кучей виртуалок, которые друг от друга изолировать надо
| |
|
3.116, Gannet (ok), 22:35, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
К сожаленью, livepatch к примеру работает только через snap. Или если кто знает как организовать это без snap, объясните, как.
| |
|
2.4, Аноним (4), 11:33, 13/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Сильно оно вообще на роллингах надо? Виделись мне они всегда костылем по доставке свежачка в релизоцикличных дистрибутивах.
| |
|
3.13, Аноним (13), 12:23, 13/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Роллинг ещё и на качество влияет положительно, т.к. можно видеть регресс между версиями, и быстро фиксить, а не ждать десяток релизов, а потом пытаться понять, когда же оно начало глючить, в последней версии, или в более ранних? Программисты из этих же соображений быстро пушат код в репы, как только он готов
| |
|
4.15, Аноним (4), 12:33, 13/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вопрос был про какую-никакую пользу снэпофлэтов в роллингах все же, а не роллинги vs релизоциклы.
| |
|
5.27, DerRoteBaron (ok), 13:38, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ставить софт, жестко зависящий от чего-то древнего разве что. В основном проприетарь. Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы не мешалась, с изоляцией у них не все ок сейчас)
| |
|
6.82, Michael Shigorin (ok), 21:10, 13/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы
> не мешалась, с изоляцией у них не все ок сейчас)
Ну так голые namespaces -- это вовсе не полный openvz :(
| |
|
7.121, DerRoteBaron (ok), 01:01, 17/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы
>> не мешалась, с изоляцией у них не все ок сейчас)
> Ну так голые namespaces -- это вовсе не полный openvz :(
так там даже до этого не доходит, у 90% пакетов прямо и открыто r/w в ~, после чего о чем-то более серьезном говорить сложно
| |
|
|
|
4.18, ыы (?), 13:01, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну админам локалхоста обычно и заняться то нечем как правило.. только за роллингом и наблюдать...
| |
|
5.29, Аноним (4), 13:55, 13/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну так роллинг для десктопчика удобнее всего как раз. Релизоциклизм остро просит снэпофлетокостылей в десктоп раскладе.
Но чет лень снова лекции читать о ролях машин, историю возникновения модели релизоциклов и почему многим десктопоюзерам (но далеко не всем) или девопсикам в оной модели неуютно. А для админов линуксоинфраструктур манна небесная и изначально под их потребности создавалось, впрочем.
| |
|
4.77, Crazy Alex (ok), 20:05, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Альтернатива - выбираешь то, что устраивает по функциональности и безглючности, и сидишь на нём много лет (да ещё и с обновлениями безопасности) - ещё лучше. А меняешь только тогда, когда есть реальная потребность.
| |
|
|
|
1.6, Аноним (6), 11:44, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
sudo apt purge snapd - один из первых пургов которые делаю после установки системы.)
| |
|
2.9, Василий (??), 11:59, 13/02/2019 [^] [^^] [^^^] [ответить]
| –6 +/– |
Лишаете себя кучи софта, которого нет через механизм репо, и всё!
| |
|
3.12, packager (?), 12:12, 13/02/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
Про "кучу" это вы верно подметили. А если нужен какоё-то софт, которого нет в репах, его можно просто собрать. И опакетить, чтобы не превращать систему в раннюю Слакварь (при всём уважении).
| |
|
4.19, Аноним (19), 13:07, 13/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вопрос с обновлениями: если в программе найдут серьезную дыру, а ты об этом не узнаешь и не обновишь?
Большинство разработчиков предоставляют репозитории deb/flatpak/snapd и наверное все же правильно ими пользоваться.
| |
|
5.78, Crazy Alex (ok), 20:07, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
в абсолютном большинстве случаев десктопному софту дыры не критичны. Тем более тому, что в репах нет - это обычно какая-то экзотика.
| |
5.99, Аноним (99), 03:31, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>Вопрос с обновлениями: если в программе найдут серьезную дыру, а ты об этом не узнаешь и не обновишь?
Ну да, какой ужас, надо теперь совсем запретить отключать обновления. Вэйт, ох щи..
| |
|
4.34, Аноним (34), 14:30, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Могу согласиться, но частично. Если программа - дерьмо, то в упакованном в snap виде оно дерьмом и останется. Из последнего - snap Nextcloud для Ubuntu Server 18.04 (тоже, кстати, дерьмо порядочное с поломанным всем, что можно было сломать).
| |
4.37, Annoynymous (ok), 15:04, 13/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> его можно просто собрать.
Действительно. Зачем snap, если можно стоя и в гамаке.
| |
|
|
|
1.8, Аноним (8), 11:57, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Костыли оказались не просто костылями, а ещё и написанными индусами, не умеющими банально экранировать данные. Вот ведь удивительно.
| |
1.11, Аноним (11), 12:02, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Что это за язык программирования, где берется последнее совпадение? Строка в любом регэкспе читается слева направо и после первого совпадения проверка заканчивается
| |
|
2.16, ОнАнон (?), 12:35, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
В новости есть ссылка на исходник. Язык Go, но не имеет отношения к проблеме, там сделана цикличная проверка опций, и в итоге возможно переопределение уже ранее заданных значений.
| |
2.22, Ordu (ok), 13:21, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.
> Что это за язык программирования, где берется последнее совпадение?
На чём там принято писать утилиты командной строки?
| |
|
3.64, Аноним (64), 17:34, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.
И, если подумать, как работает парсинг? Правильно, читается слева на право, в результате, последняя опция остается... последней.
| |
|
4.73, Ordu (ok), 19:20, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.
> И, если подумать, как работает парсинг? Правильно, читается слева на право, в
> результате, последняя опция остается... последней.
Да ладно, не может быть. Настоящие мужики используют обратную грамматику и парсят с конца. С начала парсят только лошки всякие да скрипткиддисы, у которых интеллекта недостаточно, чтобы обратить грамматику.
| |
|
|
|
1.17, Michael Shigorin (ok), 12:54, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Любителям понабегать в темы о дырках с гошечками, ржавчинкой, дотнетиками и прочим: мотайте на ус наконец, ложное чувство безопасности полезно бывает разве что атакующему.
| |
|
2.20, Аноним (19), 13:10, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Атакующий сделает атаку, пока ты не ввел sudo apt upgrade, ибо способ уже спалили широкой общественности. Такую атаку любой кали школьник сделает.
| |
2.23, Ordu (ok), 13:24, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Откуда ты взял это ложное чувство безопасности? Ты можешь привести пример комментария, демонстрирующий это самое ложное чувство безопасности?
Что за манера вообще приписывать оппонентам всякие ложные чувства, ради того, чтобы потом блестяще их побеждать?
| |
|
3.47, Аноним (47), 15:53, 13/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Откуда ты взял это ложное чувство безопасности?
Из книжки Шнайера, вестимо.
> Ты можешь привести пример комментария
> демонстрирующий это самое ложное чувство безопасности?
Да. Однако, лень копировать широкоизвестный труд классика для Вас.
| |
|
4.55, Ordu (ok), 16:42, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Однако, лень копировать широкоизвестный труд классика для Вас.
И не стоит. Если примером такого чувства безопасности является труд Шнайера, то не стоит. Тут и так всё ясно.
| |
|
5.59, Аноним (47), 16:53, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> Однако, лень копировать широкоизвестный труд классика для Вас.
> И не стоит. Если примером такого чувства безопасности является труд Шнайера, то
> не стоит. Тут и так всё ясно.
Вот и ладненько. Если Вы не смекнули на какую часть книжки намёк, то доктрину АНБ обсуждать тем паче не стоит.
| |
|
6.63, Ordu (ok), 17:33, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> обсуждать тем паче не стоит.
Если тебе кажется, что здесь есть какое-либо обсуждение, то ты льстишь себе. У тебя нет аргументов, это видно любому мимопроходилу, даже несмотря на то, что ты встал в позу, подразумевающую, что они у тебя есть.
| |
|
7.108, Аноним (108), 14:51, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Обсуждение подразумевает наличие постоянной темы. Никто не просил привести аргументы. Ответ на заданный вопрос дан сразу же. Так что можно не проецировать позы. ;-)
| |
|
|
|
|
3.56, Отражение луны (ok), 16:43, 13/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Любой комментарий, осуждающий наличие уязвимости. Это демонстрирует полное непонимание человеком двух фактов:
1) В коде всегда есть ошибки. Часто исправление старых порождает появление новых. Это попросту человеческий фактор.
2) Ошибки порождают уязвимости
Непонимание этих фактов и является ложным чувством безопасности по определению.
| |
|
4.62, Ordu (ok), 17:32, 13/02/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Уязвимость -- это плохо Уязвимость надо осуждать Разговоры о том, что уязвимос... большой текст свёрнут, показать | |
|
|
6.94, Ordu (ok), 23:56, 13/02/2019 [^] [^^] [^^^] [ответить] | +/– | И что Человек придумал ассемблеры, чтобы не считать адреса меток вручную, и не ... большой текст свёрнут, показать | |
|
|
8.112, Ordu (ok), 15:44, 14/02/2019 [^] [^^] [^^^] [ответить] | +/– | Какая разница Ты ошибку-то посмотрел по ссылке Это реальная ошибка, которая ре... большой текст свёрнут, показать | |
|
|
10.115, Ordu (ok), 19:15, 14/02/2019 [^] [^^] [^^^] [ответить] | +/– | Мне становится реально любопытно, в каком вузе вы учитесь Где вас учат тому, чт... большой текст свёрнут, показать | |
|
|
|
|
|
|
4.74, Аноним (74), 19:52, 13/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
В исходниках могут быть ошибки, но это не тот случай. Здесь ошибка - сама идея. Таких примеров множество. Автором большинства является оффтопик, но и сабж решил внести свой вклад в копилку глупостей.
| |
4.93, псевдонимус (?), 23:55, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> В коде всегда есть ошибки
Давай не удем их правит скажем что это фича
>Непонимание этих фактов и является ложным чувством безопасности по определению.
Может убрат идерастическую "непрерывную дегенерацию"? Нет на такое мы пойти не можем!
| |
|
|
4.91, Ordu (ok), 23:25, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> Ты можешь привести пример комментария
> https://www.opennet.dev/openforum/vsluhforumID3/111522.html#6
А, да, вот так оно понятнее. Но даже там, человек ведь не понимает суть того, что называют "memory safety", и... ну, вряд ли, он не понимает того, что ошибки подобные тому что описано в данной новости, возможны вне зависимости от языка программирования. Как написать язык программирования избавляющий от таких ошибок, ещё не придумали.
Ну так вот, я к чему это. Твоё замечание, которое по-крайней мере по его форме, адресовано такому человеку, ничерта ему не поможет, как раз по описанной выше причине. Ты просто представь себе его состояние ума, и ты увидишь, что он твоё замечание просто отметёт и даже думать о нём не будет.
| |
|
5.109, Аноним (108), 15:18, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> замечание, которое по-крайней мере по его форме, адресовано такому человеку
Восприятие формы индивидуально. Например:
Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.
> Ты просто представь себе его состояние ума, и ты увидишь
А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?
| |
|
6.111, Ordu (ok), 15:41, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> замечание, которое по-крайней мере по его форме, адресовано такому человеку
> Восприятие формы индивидуально. Например:
> Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.
И что?
>> Ты просто представь себе его состояние ума, и ты увидишь
> А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?
Я много работаю над этой кашей. Ежедневно, годами. Я знаю, что у меня в голове такая каша, которую мало лишь кто в состоянии в своей голове создать. Я настолько к этому привык, что уже даже не испытываю гордости за содеянное, воспринимая это как заурядный факт.
| |
|
7.113, Аноним (108), 16:44, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>>> замечание, которое по-крайней мере по его форме, адресовано такому человеку
>> Восприятие формы индивидуально. Например:
>> Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.
> И что?
Что что?
>>> Ты просто представь себе его состояние ума, и ты увидишь
>> А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?
> Я много работаю над этой кашей. Ежедневно, годами. Я знаю, что у
> меня в голове такая каша, которую мало лишь кто в состоянии
> в своей голове создать. Я настолько к этому привык, что уже
> даже не испытываю гордости за содеянное, воспринимая это как заурядный факт.
О, умничка. Порвал мне шаблон. Два часа склеивал. Получилось "своё г. не пахнет". Народная мудрость, однако.
| |
|
|
|
|
|
|
1.24, microcoder (ok), 13:27, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Наерняка это не последняя уязвимость. snap, flatpack - это всё костыли. Неужели нельзя было разрулить проблему репозиториями и реструктуризацией файловой иерархии для приложений и версий библиотек? Если дистрибутив устарел, обновился на новый, то почему нельзя установить приложение из старого репозитория? Зачем все эти контейнеры, сложности, которые открывают уязвимости на пустом месте?
| |
|
2.58, Отражение луны (ok), 16:51, 13/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
По факту контейнеры закрывают уязвимости. Пользовательские apt репозитории небезопасны по определению, их владелец может делать с вашей системой все что хочет. Контейнеры же могут предоставлять доступы только к необходимым приложению вещам, при этом дав выбор пользователю.
В том же apt и аналогах все та же куча уязвимостей.
| |
|
3.79, Crazy Alex (ok), 20:11, 13/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
а никто и не говорил о пользовательских репозиториях. Разумеется, это дыра. Используйте родные.
| |
3.106, мимопроходил (?), 10:21, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> По факту контейнеры закрывают уязвимости.
по-факту, контейнеры создавались для других целей (тащить свои несовместимые версии библиотек) и их изоляция до сих пор оставляет желать лучшего, не говоря уже про дыры.
> Контейнеры же могут предоставлять доступы только к необходимым приложению вещам, при этом дав выбор пользователю.
кстати, о каких контейнерах речь? и о каком выборе, если не секрет? при установке snap-пакета тебя особо ни о чем не спрашивают, и скорее всего все твои данные из домашней папки оно легко сможет удалить. (я правда в снапе тестировал только системные приложения типа juju, MaaS, k8s перед тем как его удалить, чтоб зря проц не жрал)
| |
|
|
1.25, Аноним (25), 13:32, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Уязвимости во всяких контейнерах находят постоянно, там основная фишка в том, чтобы юзверь запустил софт собранный как задумано автором, который автор у себя и тестит. Еслиб эта хрень еще не жрала столько и с темами работала нормально... Flatpak не нравится тем, что тащит за собой Гном и ГТК, какой бы софт я не ставил, зачем? Ну и с темами да файловыми диалогами там вообще беда. Жалко Snap не взлетит, RedHat двигает стандарты, убунтоиды частенько отступают и не доводят дело до конца.
| |
1.61, IRASoldier (?), 17:28, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Увы, Ubuntu теперь пропихивает этот snap чересчур навязчиво. Возникает впечатление, что snap-пакеты планируются как способ доставки приложений по умолчанию. Понятно, что его поддержку можно из системы выпилить к чертям и адвансед юзеру пофиг, но что-то в этом неправильно в принципе.
Для сравнения - есть Fedora, есть flatpak и есть таки свобода выбора. И если есть нужда дать адекватный десктопный Linux обычному пользователю - то довести десктопную Fedor'у до убунтушной юзабилити и недефолтового внешнего вида (Adwaita уныла чуть менее, чем полностью) - дело 15 минут.
| |
|
2.75, Аноним (74), 19:55, 13/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ubuntu вообще после версии 16.04 не радует. А посему аноним рассматривает Ubuntu только в качестве хранителя репозитория системных вещей (прикладные там - просто древний мусор).
| |
|
3.84, IRASoldier (?), 21:35, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну, Unity был интересен, да. Но третьегном + Dash to dock делает Unity ненужным. И за вычетом snap'одрочества и непоспевания за таки излечивающимися болезнями развития третьегнома 18-я Ubuntu кагбэ не испортилась же - в том, что недесктопное, какой-то порчи не прозреваю я, 18 LTS сервера в продакшене не глючат и хвала Омниссии.
| |
|
4.101, Аноним (34), 06:58, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
На сервер обычно не ставят DE. Хотя некоторые, о ком не говорят здесь, ставят.
| |
|
|
|
|
2.90, Аноним (90), 22:56, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Он сразу монтирует все пакеты что установлены, даже если они не запущены.
| |
|
|