forum.opennet.ru

Составление сообщения

Исходное сообщение

"(offtopic) Debian, OpenSSL и нюансы общения"
Отправлено Michael Shigorin, 11-Май-12 23:09

> А если
Исключения не отменяли. :)
> "выделенные люди" будут просто пинать мейнтейнера и ждать, когда он выйдет из анабиоза?
Обычно дают таймаут на ответ и сообщают свои предполагаемые дальнейшие планы.
>>> Вы, видимо, предлагаете до загрузки пакетов исключить из public все:
>> Для некоторых видов дырок -- да, именно так.
> и принцип "мы не скрываем проблем" - это "правило" (вообще, часть конституции).
Вот здесь и у меня есть претензия к отмазывающим.  Лучше уж отмалчивались бы...
>> Ваш покорный слуга несколько раз такие обновления готовил
> В одиночку?
Нет, координированно и при поддержке security@.
>>> вы никак не устраните лаг между выходом DSA и обновлением пакетов у [...]
>> Конечно, но vulnerability window уменьшится.
> А вы так уверены?
Да.
> Вы думаете, они молча ждут каждый раз, когда мейнтейнер выпустит апдейт
Вы существенно более оптимистичного мнения о нынешних хостерах, такое было более характерным лет десять тому.  Хотя могу сгущать краски, не имея достаточной полноты информации.
>>> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те
>>> "кому надо" - но и конечные пользователи (например, я).
>> Зачем именно?
> Затем, к примеру, что ваши пользователи могут быть квалифицированнее вас.
> Не приходило такое в голову?
Мои-то регуляно :-)  Но для пользы от такой информации нужно ещё много чего помимо квалификации.
>> Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили.
> Ну, я даже не знаю:
Если ABI не едет, пересобирать ни к чему.  Хотите -- верьте, хотите -- проверьте.
>>> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить.
>> Конкретно по openssh -- не "вылечить", а влепить чёрный список
> Это я и назвал "вылечить".
(занудно) Это не вылечить. :)  Это заткнуть один из наиболее вероятных векторов атаки для случая длины ключей по умолчанию, помнится.

Исходное сообщение
"(offtopic) Debian, OpenSSL и нюансы общения" Отправлено Michael Shigorin, 11-Май-12 23:09
> А если Исключения не отменяли. :) > "выделенные люди" будут просто пинать мейнтейнера и ждать, когда он выйдет из анабиоза? Обычно дают таймаут на ответ и сообщают свои предполагаемые дальнейшие планы. >>> Вы, видимо, предлагаете до загрузки пакетов исключить из public все: >> Для некоторых видов дырок -- да, именно так. > и принцип "мы не скрываем проблем" - это "правило" (вообще, часть конституции). Вот здесь и у меня есть претензия к отмазывающим. Лучше уж отмалчивались бы... >> Ваш покорный слуга несколько раз такие обновления готовил > В одиночку? Нет, координированно и при поддержке security@. >>> вы никак не устраните лаг между выходом DSA и обновлением пакетов у [...] >> Конечно, но vulnerability window уменьшится. > А вы так уверены? Да. > Вы думаете, они молча ждут каждый раз, когда мейнтейнер выпустит апдейт Вы существенно более оптимистичного мнения о нынешних хостерах, такое было более характерным лет десять тому. Хотя могу сгущать краски, не имея достаточной полноты информации. >>> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те >>> "кому надо" - но и конечные пользователи (например, я). >> Зачем именно? > Затем, к примеру, что ваши пользователи могут быть квалифицированнее вас. > Не приходило такое в голову? Мои-то регуляно :-) Но для пользы от такой информации нужно ещё много чего помимо квалификации. >> Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили. > Ну, я даже не знаю: Если ABI не едет, пересобирать ни к чему. Хотите -- верьте, хотите -- проверьте. >>> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить. >> Конкретно по openssh -- не "вылечить", а влепить чёрный список > Это я и назвал "вылечить". (занудно) Это не вылечить. :) Это заткнуть один из наиболее вероятных векторов атаки для случая длины ключей по умолчанию, помнится.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> А если > Исключения не отменяли. :) >> "выделенные люди" будут просто пинать мейнтейнера и ждать, когда он выйдет из анабиоза? > Обычно дают таймаут на ответ и сообщают свои предполагаемые дальнейшие планы. >>>> Вы, видимо, предлагаете до загрузки пакетов исключить из public все: >>> Для некоторых видов дырок -- да, именно так. >> и принцип "мы не скрываем проблем" - это "правило" (вообще, часть конституции). > Вот здесь и у меня есть претензия к отмазывающим. Лучше уж > отмалчивались бы... >>> Ваш покорный слуга несколько раз такие обновления готовил >> В одиночку? > Нет, координированно и при поддержке security@. >>>> вы никак не устраните лаг между выходом DSA и обновлением пакетов у [...] >>> Конечно, но vulnerability window уменьшится. >> А вы так уверены? > Да. >> Вы думаете, они молча ждут каждый раз, когда мейнтейнер выпустит апдейт > Вы существенно более оптимистичного мнения о нынешних хостерах, такое было более характерным > лет десять тому. Хотя могу сгущать краски, не имея достаточной > полноты информации. >>>> Так что лично я за то, чтобы о проблемах знали как можно скорее не только те >>>> "кому надо" - но и конечные пользователи (например, я). >>> Зачем именно? >> Затем, к примеру, что ваши пользователи могут быть квалифицированнее вас. >> Не приходило такое в голову? > Мои-то регуляно :-) Но для пользы от такой информации нужно ещё > много чего помимо квалификации. >>> Вот и я говорю, что ни при чём и слово "зависящие" неудачно употребили. >> Ну, я даже не знаю: > Если ABI не едет, пересобирать ни к чему. Хотите -- верьте, > хотите -- проверьте. >>>> и для openssh, к примеру, был выпущен апдейт, чтобы все это дело вылечить. >>> Конкретно по openssh -- не "вылечить", а влепить чёрный список >> Это я и назвал "вылечить". > (занудно) Это не вылечить. :) Это заткнуть один из наиболее вероятных > векторов атаки для случая длины ключей по умолчанию, помнится.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру