Компания Qualys выявила четыре уязвимости в OpenBSD, одна из которых позволяет удалённо подключиться без аутентификации к некоторым сетевым сервисам, а три остальные повысить свои привилегии в системе. В отчёте Qualys отмечена быстрая реакция разработчиков OpenBSD - все проблемы были устранены в OpenBSD 6.5 и OpenBSD 6.6 в течение 40 часов после приватного уведомления...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51979
Only two remote holes in the default install, in a heck of a long time!сказочка так и будет висеть на главной?
> сказочка так и будет висеть на главной?Напиши Тео, задай вопрос.
> сказочка так и будет висеть на главной?Печально. Среагировали конечно быстро и исправили, но такие ошибки стимулируют. Всё-таки ОпенБСД бежит вперёд паровоза и создаёт вокруг себя слишком сильный хайп о секурити, хотя это не совсем соотвествует действительности. Если на неё будут обращать внимание - будет больше багов. Просто ОпенБСД не пользуется особой популярностью. Стоит только какой-нибудь группе ресёрчеров присмотреться внимательнее, так в ОпенБСД находят фэйл на фэйле. Так что да - сказочка так и будет висеть на главной.
Я тебе по секрету скажу Security/Безопасность это не обьем выявленных или нет ошибок - это скорость их исправления.
а у OpenBSD конкурентов в этом нет.Не пойти ли тебе в школу, мальчик? Вместе с хайпом.
+1 сектант. К вечеру подбежит ещё с десяток.> это скорость их исправления
Так и запишем - в OpenBSD своё рёшeто штопают очень-очень быстро.
> конкуренты
Количество разработанных эксплойтов для нетки в два раза меньше, чем для опенки. ХардндБСД из коробки даёт больше фич, чем в опенке. Опёнок и секурити - это миф. Был даже сайт когда-то вайдопенбсд.ком, там чел лулзов ради рассматривал примитивнейшие баги в нутрях опёнка. Потом ему просто надоело платить за доменное имя.
> Не пойти ли тебе в школу, мальчик? Вместе с хайпом.
Могу тебя сводить в школу, если хочешь. У меня сегодня работы много. Нужно на многих форумах отлупить по попе сектантов. Не только тут на опеннете. Так что извиняй.
>> Я тебе по секрету скажу Security/Безопасность это не обьем
>> выявленных или нет ошибок - это скорость их исправления.Это "динамическая" безопасность -- новомодный подход, приводящий к необходимости постоянной траты ресурсов на "безопасность".
В опёнке всегда занимались и хвалились как раз обратным -- proactive security, когда не кастрюлю завариваем прямо при варке супа (сколь угодно быстро), а обеспечиваем подходящий материал и достаточную толщину днища и стенок _заранее_.
> Так и запишем - в OpenBSD своё рёшeто штопают очень-очень быстро.
Если что, мне лично NetBSD попадается на местности ещё реже, чем опёнок -- хотя знаком с разработчиками этого всего. В сумме, впрочем, всё равно примерно никогда.
>[оверквотинг удален]
>>> выявленных или нет ошибок - это скорость их исправления.
> Это "динамическая" безопасность -- новомодный подход, приводящий к необходимости постоянной
> траты ресурсов на "безопасность".
> В опёнке всегда занимались и хвалились как раз обратным -- proactive security,
> когда не кастрюлю завариваем прямо при варке супа (сколь угодно быстро),
> а обеспечиваем подходящий материал и достаточную толщину днища и стенок _заранее_.
>> Так и запишем - в OpenBSD своё рёшeто штопают очень-очень быстро.
> Если что, мне лично NetBSD попадается на местности ещё реже, чем опёнок
> -- хотя знаком с разработчиками этого всего. В сумме, впрочем,
> всё равно примерно никогда.Каких ресурсов, че за бред?! ЧИТАЕМ ВНИМАТЕЛЬНО - разговор идет о скорости пропатчивания дырок производителем системы. О каких затратах ресурсов речь!? И кем затратах ресурсов? Самим производителем системы чтоли?!??
Хотя ты видимо оговорился, так сказать ПО ФРЕЙДУ, видимо такая бизнес модель в Альте? так называемой "Динамической безопасности"??? Так сказать подождать пока заплатят - а иначе в ядре Линя ошибки живут годами!?? Ну да, на Линь очень похоже.
> Каких ресурсов, че за бред?! ЧИТАЕМ ВНИМАТЕЛЬНО - разговор идет
> о скорости пропатчивания дырок производителем системы. О каких
> затратах ресурсов речь!? И кем затратах ресурсов?
> Самим производителем системы чтоли?!??Предлагаю Вам выключить эмоции, включить назад голову и думать.
На ПРОПАТЧИВАНИЕ ПРОИЗВОДИТЕЛЕМ время, состояние головы, силы -- нужны?
Нужны.
Значит, это и запишем в необходимые ресурсы.На ВЫКАТЫВАНИЕ ПАТЧЕЙ по боевым системам это всё тоже нужно.
Теперь перечитайте написанное мной, вдохните, выдохните, если остаётся что сказать по существу -- скажите.
PS: альт из линуксов изначально один из самых близких к опёнку в части подходов, особенно той самой proactive security. Ближе -- пожалуй что Openwall из того, что встречалось мне. Можете спросить что Чеусова, что Грабина или Нечаева.
> На ПРОПАТЧИВАНИЕ ПРОИЗВОДИТЕЛЕМ время, состояние головы, силы -- нужны?
> Нужны.
> Значит, это и запишем в необходимые ресурсы.
> На ВЫКАТЫВАНИЕ ПАТЧЕЙ по боевым системам это всё тоже нужно.ЭЭЭЭммм.. А че, с момента написания первой программы на калькуляторе все это работало как то по другому?!?
> А че, с момента написания первой программы на калькуляторе все это
> работало как то по другому?!?Вообще-то да, если Вы и калькуляторы пропустили. (если нет -- вспомните да подумайте ещё; например, над _характером_ расхода времени при создании и "выкатывании" программы)
>> А че, с момента написания первой программы на калькуляторе все это
>> работало как то по другому?!?
> Вообще-то да, если Вы и калькуляторы пропустили. (если нет -- вспомните да
> подумайте ещё; например, над _характером_ расхода времени при создании и "выкатывании"
> программы)Над каким характером расхода времени??
У тебя разговор идет о безопасности решения. Как пример - тебе написали что при проведении транзакции твое решение теряет один цент. А ты сидишь и думаешь "над характером расхода времени" ну и само собой "а исправить ли мне это сейчас или через год", а тут конкуренты с таким же решением только без этой проблемы - и что? Чье решение будет безопаснее??
>> А че, с момента написания первой программы на калькуляторе все это
>> работало как то по другому?!?
> подумайте ещё; например, над _характером_ расхода времени при создании и "выкатывании"Бизнесмены пля, с "характером расхода времени", всю отрасль в вонючее болото превратили.
ПыСы я не сторонник отрыва IT от бизнеса, я сам руководитель IT подразделения, но оголтелое Бизнес вмешательство в IT ведет к тому что даже стоящие программисты/админы/системщики вырождаются - а приходят какое-то отребье.
> Бизнесмены пля, с "характером расхода времени", всю отрасль
> в вонючее болото превратили.Ровно наоборот -- _без_ характера. И без плана. Сиюминутная эфемерная прибыль, а дальше хоть трава не расти.
> ПыСы я не сторонник отрыва IT от бизнеса, я сам руководитель IT
> подразделенияУж не знаю, какой Вы руководитель, если неспособны заметить в прозрачном намёке тот факт, что на куркуляторе программу, как правило, приходилось руками вдалбливать после (повторного) включения (да, у меня не было тех модулёчков ППЗУ к МК-52 или -54, кто из них был горизонтальным) -- а СТРУКТУРА расхода времени на выкатывание тех же исправлений сейчас всё-таки не подразумевает ковыряния каждого бинарника на каждой машине hexedit'ом.
И уж тем более не оперирующий словом "ресурсы" СХОДУ.
Может, просто задолбанный или не с той ноги вставший...
В любом разе -- доброго дня Вам, идёмте полезное делать.
> тот факт, что на куркуляторе программу, как правило, приходилось руками вдалбливать
> после (повторного) включения (да, у меня не было тех модулёчков ППЗУ
> к МК-52 или -54, кто из них был горизонтальным) -- аИменно об этом я и говорю и абсолютной необходимости это делать невзирая на "характер расхода времени" если нужно что-то исправить и программка нужна.
Честно говоря, от тебя как человека с "характером расхода времени" я ожидал большего - хотя-бы умения расставлять приоритеты и делить "расход времени" на требующие абсолютного внимания и исправления - как то как раз безопасность, и баги которые можно отложить в долгий ящик. Читал читал пост за постом и никак этого не увидел. Говоришь об одном в ключе будто все "баги" равны. Хотя я по моему тексту намекал на приоритезацию.
> В опёнке всегда занимались и хвалились как раз обратным -- proactive securityСправедливости ради, этим всегда больше всех хвалились Pax Team. Они и лидеры по количеству "секурити фич" и наиболее распиаренные товарищи в целом.
OpenBSD свои проактивные защиты внедряло очень постепенно и осторожно. Тот же W^X был внедрён только после длительного аудита ядра и базовой системы. И в итоге, в самой системе он ничего не ломает. И отличается от pax'овского W^X.
Pax Team всегда топили за то, что качество кода не имеет значения, главное - проактивные защиты.
(и огребли по меньшей мере раз local root в своих патчах, ага)
OpenBSD всегда топили за то, что без поиска и устранения багов и улучшения кода никакие проактивные защиты не помогут.Как-то так.
> Это "динамическая" безопасность -- новомодный подход, приводящий к необходимости постоянной траты ресурсов на "безопасность".И какой же он новомодный? Шнайер ещё в 1999 году писал: The mantra of any good security engineer is: "Security is a not a product, but a process." Вот подтверждение: https://www.schneier.com/essays/archives/1999/10/risks_of_re...
Хорошо, что ребята и опёнка это понимают и не ограничиваются проактивной защитой. Она тоже полезна, но не отменяет того, что безопасность — это процесс, а не результат.
А вот дубы из сертифицирующих органов это не очень понимают. Есть бумажка — значит безопасно указанный в ней срок, а это обычно несколько лет. Ну хоть CVE стали требовать закрывать, а то совсем смешно было. Хотя вот интересная информация для размышления: чем выше степень защиты и сертификации или аттестации, тем дольше она проходит, тем старее там софт, тем больше в нём дыр, тем слабее защита. А по бумажкам всё наоборот.
OpenBSD появилась в 1995, ищите цитату получше.
>[оверквотинг удален]
>> конкуренты
> Количество разработанных эксплойтов для нетки в два раза меньше, чем для опенки.
> ХардндБСД из коробки даёт больше фич, чем в опенке. Опёнок и
> секурити - это миф. Был даже сайт когда-то вайдопенбсд.ком, там чел
> лулзов ради рассматривал примитивнейшие баги в нутрях опёнка. Потом ему просто
> надоело платить за доменное имя.
>> Не пойти ли тебе в школу, мальчик? Вместе с хайпом.
> Могу тебя сводить в школу, если хочешь. У меня сегодня работы много.
> Нужно на многих форумах отлупить по попе сектантов. Не только тут
> на опеннете. Так что извиняй.Никогда OpenBSD не касался и не планирую. И вопрос не в том
Я в афиге, давно доказано что "Плановая экономика" худшее что может быть в принципе, особенно когда по такому принципу живут и отчитываются менты и иже с ними, и все равно находяться индивидуумы недалекого ума которые уровень безопасности количеством эксплойтов, а то еще лучше - количеством патчей считают. (facepalm) Ну а че, самый дубовый способ как и "плановая экономика" - преступлений должно быть столько-то а раскрытий столько-то. А дальше хоть трава не расти.
> Я в афиге, давно доказано что "Плановая экономика"
> худшее что может быть в принципеА кем доказано, как именно и почему тот же интел живёт де-факто по плану?
>> Я в афиге, давно доказано что "Плановая экономика"
>> худшее что может быть в принципе
> А кем доказано, как именно и почему тот же интел живёт де-факто
> по плану?Ты че, пьяный сегодня чтоле?
Причем тут интел и его экономика? Еще раз мозговые извилины напряжем - "плановая экономика" плохо так как оторвана от реальности почти всегда! "Проектная хорошо" в 99%
> Ты че, пьяный сегодня чтоле?NO U.
> Причем тут интел и его экономика? Еще раз мозговые извилины напряжем -
> "плановая экономика" плохо так как оторвана от реальности почти
> всегда! "Проектная хорошо" в 99%На такие заявления остаётся пожать плечами в духе "если брак по расчёту оказался счастливым, значит, расчёт был правильным".
PS: что с Вами?..
На рынке качественных товаров не найти, т.к. предложений может быть много, но покупают обычно у тех, кто предложит подешевле. В результате производители качественной продукции для повышения конкурентоспособности часто вынуждены снижать цены и вместе с ними - качество продукции.По означенной выше причине на рынке нельзя достать детали для устаревшей техники, или ремонтопригодную технику, т.к. старая техника часто оказывается в состоянии конкурировать с новой, более дешёвой и менее качественной. Но доступность деталей снижает продажи новой техники.
Рынок не работает, если нужно изготовить технически очень сложную продукцию, в производстве которой должны участвовать тысячи промышленных предприятий. Выбор в таком случае либо отсутствует вовсе, либо приходится подстраиваться под предложения. Например, при необходимости совершить запуск одной тяжёлой космической станции, под неё невозможно найти ракету-носитель: рынок просто не будет производить то, что стоит колоссальных денег, но на что нет гарантированного регулярного спроса. Такие вещи неизбежно будут производиться на заказ и по плану.
Рынок не способен решать проблемы эффективно, с использованием синергетического эффекта. При рынке на электростанциях ставятся градирни, а частные дома отапливаются индивидуальными печками. При плане ТЭЦ охлаждает отработанный пар, отопляя коллективные жилища.
При рынке сложно строить инфраструктуру - то, чем будут пользоваться все. Люди хотят пользоваться, но не хотят складываться на её строительство. Когда же люди готовы вкладываться в инфраструктуру, формируется несколько параллельно действующих инфраструктур, имеющих меньшую надёжность и стоящих дороже. Примеры - базовые станции сотовых операторов, находящиеся поблизости друг от друга, коммутаторы разных провайдеров в одних и тех же домах.
На самом деле рынок хорош только для простой и востребованной продукции. Условно говоря, каждый способен вязать простые веники, а сложный автомобиль может быть любого цвета, при условии что он чёрный. Когда нужна сложная качественная дорогая и мало востребованная продукция, план неизбежен.
> почему тот же интел живёт де-факто по плану?По госплану??? Если по своему собственному, то это не плановая экономика.
> Никогда OpenBSD не касался и не планирую. И вопрос не в томБездарь этот ваш Карузо! Я точно знаю, мне Рабинович напел.
> давно доказано что "Плановая экономика" худшее что может быть в принципе, особенно когда по такому принципу живут и отчитываются ментыДавай поговорим об этом! Как-то только встречается где-то фраза вида: "Давно доказано...", "Как всем хорошо известно..." -- это маркер флудера и болтуна. Потрешь/капнешь и выяснится, что и не доказано, а если попытки были, то они говорливому персонажу не известны. ;)
А "менты" отчитываются, потому что с них требуют, не требовали бы показатели, они бы и не отчитывались. Я скорее согласен, что показатели нужны и важны для криминальной милиции, но зачем они для общественной безопасности для меня тайна.
>[оверквотинг удален]
>> конкуренты
> Количество разработанных эксплойтов для нетки в два раза меньше, чем для опенки.
> ХардндБСД из коробки даёт больше фич, чем в опенке. Опёнок и
> секурити - это миф. Был даже сайт когда-то вайдопенбсд.ком, там чел
> лулзов ради рассматривал примитивнейшие баги в нутрях опёнка. Потом ему просто
> надоело платить за доменное имя.
>> Не пойти ли тебе в школу, мальчик? Вместе с хайпом.
> Могу тебя сводить в школу, если хочешь. У меня сегодня работы много.
> Нужно на многих форумах отлупить по попе сектантов. Не только тут
> на опеннете. Так что извиняй.И да, насчет сектантства, тебе в голову то и не пришло что по данному принципу живут и другие системы не только OpenBSD, только патчи различаются скоростью реакции, что дает потенциальному атакующему большую свободу действий? НЕ?!
Отшлепать он сектантов решил. Хотябы бардак в голове упорядочил, домыслы и мысли должны хотя-бы на основополагающих принципах базироваться. А то так - треп получается.
> +1 сектант. К вечеру подбежит ещё с десяток.Меня ещё запиши.
> Так и запишем - в OpenBSD своё рёшeто штопают очень-очень быстро.
И это правда важно. Правда, они-то как раз, обычно, не сильно быстрее всех прочих - размер коллектива сказывается. Тот же meltdown (по понятным причинам) они сильно позже прочих починили.
> Количество разработанных эксплойтов для нетки в два раза меньше, чем для опенки.
Я статистику не собирал, но даже если и так - то что?
Мерять число эксплоитов в отрыве от популярности - абсурд.
Не, я ничего не хочу сказать, NetBSD - хорошая ОС, но выставлять её такой безопасной альтернативой OpenBSD - тупость. В ней тоже есть дыры. Как и везде.> ХардндБСД из коробки даёт больше фич, чем в опенке.
Фичи - это к линуксоидам, пожалуйста, они ими меряться любят. HardenedBSD - бездумное глюкалово, в котором тупо перенесены grsec патчи на фряшное ядро, ну и своего немного накручено по-минимуму.
Как следствие, оно наследует все уродства решений из grsec. Типа pax w^x, который будучи включенным полностью ломает часть приложений и принуждает выключать для них защиту через paxctl.
Да-да, я про "Restrictions on mprotect to prevent switching pages between writable and executable". То ли дело OpenBSD, в которой не запрещают переключать исполняемость страниц всем и сразу, но позволяет отозвать эту возможность через pledge!
Пока любители pax отключают свои защиты для chrome и наслаждются "фичами" и "безопасностью", опенбсдшники усиляют его другими способами (pledge, unveil) и пытаются делать такие инструменты проактивной защиты, которые можно использовать на практике, а не только выключать, чтобы хоть что-то работало.
Но вы продолжайте меряться фичами, ага.> Был даже сайт когда-то вайдопенбсд.ком, там чел лулзов ради рассматривал примитивнейшие баги в нутрях опёнка.
Почитал. Примитивные набросы pax-истерички, пытающейся делать вид, что тот факт, что OpenBSD не меняет слоган из-за, например, local root - это проблема.
Но проблема в том, что автор не умеет читать. В слогане прямым текстом написано про remote holes и default install.
А все остальные дыры (наличие которых НИКТО не отрицает) фиксятся также как и те две, которые привели к смене слогана.Если кто-то считает, что OpenBSD неуязвима, или считает, что разработчики OpenBSD считают, что она неуязвима и в ней дыр нет - те, кто так считают не разобравшиеся ни в чём неадекваты.
В OpenBSD лишь стремятся к подобному (очевидно, недостижимому) раскладу и ставят вопросы безопасности во главу угла.
> выставлять её такой безопасной альтернативой OpenBSD - тупостьТупость - говорить вышеприведённую фразу, так как вполне может быть и так, что NetBSD более защищённая ОС. Не так ли? Можно ведь такое допустить?
> В ней тоже есть дыры
Безусловно. Дыры есть везде. В OpenBSD, и в NetBSD. И дыр в NetBSD (может статься так) например, может быть и меньше. Скоро выйдет NetBSD 9.0 вот и посмотришь какие security-технологии там будут.
>> выставлять её такой безопасной альтернативой OpenBSD - тупость
> Тупость - говорить вышеприведённую фразу, так как вполне может быть и так, что NetBSD более защищённая ОС. Не так ли? Можно ведь такое допустить?Допустить можно абсолютно всё что угодно. Но если мы хотим заниматься не пустым теоретизированием, то не обязательно, что стОит этим заниматься.
Безопасность, если уж на то дело пошло, никто измерять не умеет. Можно лишь оценивать, какие меры принимаются для её обеспечения и осторожно делать выводы.
И OpenBSD и NetBSD уделяют значительное внимание качеству кода и корректности. И стремятся избавить код от уязвимостей.
Также обе ОС внедряют в базу разнообразные проактивные средства защиты. В OpenBSD оно, в основном, своё, в NetBSD - куски портированного PAX + некоторые свои разработки, типа veriexec, которые в теории забавны, а на практике не используются и отключены по-умолчанию.
OpenBSD практикует "безопасность по-умолчанию", т.е. всяческие "защиты" обычно неотключаемы и не препятствуют обычной работе ОС и приложений.
В NetBSD проактивные средства защиты включены по дефолту не все (потому что включение всех будет что-то ломать или сложно в сопровождении, как тот же veriexec).Пожалуй, принципиальная разница в подходах к безопасности у этих ОС только в этом.
Какие выводы нужно из этого сделать - я точно не знаю.
Подход OpenBSD выглядит как более направленный на обеспечение безопасности, но это не значит, что NetBSD дырява и там положен болт на секурити.> И дыр в NetBSD (может статься так) например, может быть и меньше.
Как ты это меряешь?
> Скоро выйдет NetBSD 9.0 вот и посмотришь какие security-технологии там будут.
Я примерно знаю, что там будет. KASLR, да? Если есть что сказать по-существу - не стесняйся, излагай.
> Как ты это меряешь?Абсолютно так же, как и ты. Ты решил (не обладая при этом никакими основаниями), что NetBSD не может быть безопасной альтернативой OpenBSD. Как ты это меряешь? Вот я тебе говорю об обратном. Что это вполне может быть. Такая же логика, как и у тебя.
> Если есть что сказать по-существу - не стесняйся
Странный ты паренёк. То есть, не обладая данными о NetBSD, ты, тем не менее, безапеляционно утверждаешь "выставлять её такой безопасной альтернативой OpenBSD - тупость". Ты сам понимаешь, что ты творишь?
> там будет. KASLR, да?
Там будет KASLR, KLEAK, KASAN, KUBSAN, KCOV, userland sanitizers, audited network stack и многое другое. Ну ты типо мог зайти да почитать формальные данные на релиз-кандидат 1. Я ведь не ленюсь читать доки, майл-листы и новости openbsd, потому что в отличии от тебя я не фанатик каких-то ОС, мне важна суть вещей.
> Ты решил (не обладая при этом никакими основаниями), что NetBSD не может быть безопасной альтернативой OpenBSD.Нет, я решил не так. Я вообще ничего не решил. Я утверждаю, что на основании того, что, ВОЗМОЖНО, к NetBSD существует меньше публичных эксплоитов, чем к OpenBSD нельзя делать вывод о том, что она безопаснее.
Обратного утверждать тоже нельзя.> То есть, не обладая данными о NetBSD, ты, тем не менее, безапеляционно утверждаешь "выставлять её такой безопасной альтернативой OpenBSD - тупость". Ты сам понимаешь, что ты творишь?
Вполне. А вот ты - нет.
Данными о NetBSD я в какой-то мере обладаю, и ничего из того, что я знаю не заставляет меня считать, что NetBSD потенциально безопаснее OpenBSD. Что OpenBSD потенциально безопаснее NetBSD я, кстати, тоже не считаю, потому что повторюсь, непонятно, как это всё измерять.
Проактивные средства защиты в OpenBSD более продвинутые и интегрированные в систему, это да, но это не единственный важный критерий и гарантией не является.
Текущая новость - лишь один из примеров тому.> Там будет KASLR, KLEAK, KASAN, KUBSAN, KCOV, userland sanitizers, audited network stack и многое другое. Ну ты типо мог зайти да почитать формальные данные на релиз-кандидат 1.
Ну так я и почитал. Только на всё кроме KASLR по-сути, можно приположить в контексте секурити. Найдут и пофиксят какие-то дыры с помощью санитайзеров - хорошо. Это будет успехом.
А в отрыве от подобных успехов это просто полезное улучшение, а не "секурити-фича" (дико бесит это словосочетание).
Т.е. все секурити-внедрения по-факту - это KASLR. Это, конечно, хорошо, только это как бы года два назад примерно надо было делать.> Я ведь не ленюсь читать доки, майл-листы и новости openbsd, потому что в отличии от тебя я не фанатик каких-то ОС, мне важна суть вещей.
Ты молодец. И кругом прав. А я фанатик и пишу левой рукой. Потому что в правой писюн, который я надрачиваю на опенбсд.
Если тебе важна суть вещей, давай их и обсуждать, а не разбавлять не очень-то тонкие набросы на опенбсд унылыми переходами на личности.
> ОпенБСД бежит вперёд паровоза и создаёт вокруг себя слишком сильный хайп о секуритиХайп создают не особо внимательные и сообразительные, зато зело скорые на выводы личности. Которые знают лишь любовь и ненависть.
Проект OpenBSD не кричит на каждом углу, что данная ОС — самая лучшая и самая безопасная, но лишь утверждает своей целью создание безопасной и удобной — в понимании разработчиков! — операционной системы. Кричат же восторженные фанатики, которых, увы, найдётся предостаточно в любом сообществе. И которые подставляют это сообщество порой куда сильнее, чем целенаправленные атаки на оное.
Чем сильнее сущность подвержена проблеме reputation overestimated by masses, тем сложнее отказаться от сказок, ибо электор... сорян, пользователи не поймут. Людям нужна была супербезопасная ос, они ее вообразили.
Да, это проблема любого сияющего града на холме.
На самом деле, такого рода сияние превращается в проблему, когда его нужно продавать, либо оно работает как свет для мотылька. Вот Вы же, Михаил ( не совсем честно, конечно, но попробуйте ответить за всю Alt Team ), если бы гипотетически речь шла о вашем продукте, убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить? Или все же нет ? :)
> Вот Вы же, Михаил (не совсем честно, конечно, но попробуйте ответить
> за всю Alt Team)Не совсем понял. У team продуктов нет (хотя есть сборки), обходить всех и каждого с просьбой меня на какие-либо заявления от _всей_ команды -- в голову никогда не приходило.
> если бы гипотетически речь шла о вашем продукте, убрали бы со своего
> сайта такую надпись и опубликовали бы вместо этого краткий отчетец:
> как нашли, почему так вышло, что сделали, чтобы поправить?
> Или все же нет ? :)А у нас проще: нет такой надписи. И других подобных, которые в общем-то могли бы быть технически уместны.
Сперва придумывать, _что_ убрать, а потом ещё и _как_ убрать -- выше моих полуношных сил, простите :-)
> убрали бы со своего сайта такую надпись и опубликовали бы вместо этого краткий отчетец: как нашли, почему так вышло, что сделали, чтобы поправить?А вот расскажи, почему по-твоему Тео должен так сделать? Вот смотри.
Слоган на сайте OpenBSD - "Only two remote holes in the default install, in a heck of a long time!".Всего две удалённо-эксплуатируемые дыры (подразумевается remote root) в установке по-умолчанию.
Теперь посмотрим на текущие дыры.
CVE-2019-19521 - удалённо получить доступ с правами _smtpd, _ldapd или _radiusd. При условии, что все эти сервисы включены и используются (по умолчанию включен только smtpd, но слушает только локалхост). При условии, что в smtpd используется PLAIN авторизация.CVE-2019-19520 - локальный атакующий может поднять свои права до auth через дыру в xlock.
CVE-2019-19522 - в случае, если используется S/Key или YubiKey локальный атакующий может поднять свои права с auth до root.
(https://www.openwall.com/lists/oss-security/2019/12/04/5)Не пойми неправильно - я не хочу сказать, что проблемы фигня и ничего не значат. Нет. Ничего хорошего, абсолютно, неприятные и обидные дыры.
Но формулировке из слогана они не соответствуют, не так ли?
Его смысл, кстати, не в "в OpenBSD всего две дыры", а в том, что стандартная установка OpenBSD (т.е. сразу после установки ОС) была удалённо дырява всего 2 раза.
Отсутствие удалённых дыр в стандартной поставке - это минимальный признак безопасности, а не максимальный, как почему-то все думают.
Если сразу после установки ОС сразу можно портутать, то она шерето. OpenBSD доказанно была оным всего два раза за долгое время.
Смысл слогана в этом, а не в том, что "в опенбсд никаких дыр, вот только всего 2 было и больше не".
Но не суть. Так почему Тео должен менять слоган?А то, что в OpenBSD, как и в любой другой ОС есть дыры никогда и не скрывалось. На той же странице, где написано про эту уязвимость написаное ещё и про другие. Короткое описание проблемы и ссылка на патч. Сойдёт за описание и "что сделали, чтобы поправить"? А что касается как нашли - это к тем, кто нашёл. Они довольно подробно описали.
Это диверсия и антиреклама, учитывая, что они умудрились получить "two remote holes", когда в "default install" у них все сетевые сервисы отключены :-)
> Это диверсия и антиреклама, учитывая, что они умудрились получить "two remote holes",
> когда в "default install" у них все сетевые сервисы отключены :-)По факту ничего не поменялось, они ведь и сейчас наверное только лупбэк слушают, поправил конфу, то это уже и не "default install". ;)
Не все. Включены sshd, slaacd и ntpd.
А что не так? Почему «сказочка»?
Быстро исправленное уязвимостью не считается
> поддерживается лишь формально, а фактически игнорируется с выводом признака успешной аутентификацииа вот такой стиль написания кода (или стратегии в разработке?) - считается.
всё хорошо, прекрасная маркиза.
Какой? Постепенное написание программы это норма.
Да, знаменитое правило 3 секунд(3 недель)
> Only two remote holes in the default install, in a heck of a long time!
> сказочка так и будет висеть на главной?Почему сказочка? Просто у них немного "альтернативно" трактовали/трактуют значение слова уязвимость:
https://pwnies.com/archive/2007/nominations/
> OpenBSD IPv6 mbuf kernel buffer overflow (CVE-2007-1365)
> The OpenBSD team refused to acknowledge the bug as a security vulnerability and issued a "reliability fix" for it. A week later Core Security had developed proof of concept code that demonstrated remote code execution.https://web.archive.org/web/20070317193433/http://www.corese...
> > 2007-02-20: First notification sent by Core.
> 2007-02-20: Acknowledgement of first notification received from the OpenBSD team.
> [...]
> 2007-02-26: OpenBSD team communicates that the issue is specific to OpenBSD. OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack, as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term.
А в чём проблема-то?"2007-03-09: OpenBSD team changes notice on the project's website to "security fix" and indicates that Core's advisory should reflect the requirement of IPv6 connectivity for a successful attack from outside of the local network."
Им принесли remote kernel panic - они не отнесли это к уязвимостям. Им доказали, что возможность удалённого исполнения кода есть - они отнесли это к уязвимостям.
Ну да, было бы круто, если бы они осознали масштаб проблемы сразу, но имхо, тут разведён шум, по большому счёту, на пустом месте. Мысль понятна: "в опенбсд неадекваты, которые стремятся сделать вид, что дыры нет, когда она есть". Но из таймлайна (вторая ссылка) этого, увы, не следует.
> А в чём проблема-то?
> "2007-03-09: OpenBSD team changes notice on the project's website to "security fix"
> and indicates that Core's advisory should reflect the requirement of IPv6
> connectivity for a successful attack from outside of the local network."
> Им принесли remote kernel panic - они не отнесли это к уязвимостям.
> Им доказали, что возможность удалённого исполнения кода есть - они отнесли
> это к уязвимостям. Ну да, было бы круто, если бы они осознали масштаб проблемы сразу, но имхо, тут разведён шумПроблема - в альтернативной трактовке. "remote DoS не считается уязвимостью, покажите нам рабочий сплойт!" - это весьма ... специфичное понимание уязвимости в 2007.
Ну и
> 2007-03-05: Core develops proof of concept code that demonstrates remote code execution in the kernel context by exploiting the mbuf overflow.
>2007-03-05: OpenBSD team notified of PoC availability.
> 2007-03-07: OpenBSD team commits fix to OpenBSD 4.0 and 3.9 source tree branches and releases a "reliability fix" notice on the project's website.оставили определенный такой осадочек.
> "remote DoS не считается уязвимостью, покажите нам рабочий сплойт!" - это весьма ... специфичное понимание уязвимости в 2007.Ну, remote DoS действительно != remote hole, в этом их вполне можно понять.
> releases a "reliability fix"
Да, твой осадочек вполне понятен. Но в свете того, что происходило дальше, это выглядит скорее как бардак и несогласованность, чем как попытка скрыть что-то.
> Ну, remote DoS действительно != remote hole, в этом их вполне можно понять.Плюсую.
Вся мегасекурность опенбсд работает по принципу неуловимого Джо.
Большинству пользователей всё равно КАК что-то работает пока оно работает. Принцип Джо, конечно, не самый лучший, но лучше чем вообще никак.
Такие пользователи используют Linux или FreeBSD, а не OpenBSD
это не-такие-как-все пользователи их используют.те кому все равно - используют б-жественную десяточку, и нет, это ни разу не дебиан
Только самые не такие поставят бздю там где десяточке место, пусть даже трижды сомнительна ее божественность :) страшно жить с такими рядом :))
Все верно, тем кому все равно насколько он идиот - поставят свою десяточку, и будуть фапать на нее на форумах
> те кому все равно - используют б-жественную десяточку, и нет, это ни разу не дебианС разморозкой. Десяточка уже того - EOL:
> Branch Release Type Release Date EoL
> releng/10.4 10.4-RELEASE Normal October 3, 2017 October 31, 2018
Не та десяточка. :)Вы бы ещё Солярку-десяточку обыграли каламбурами.
> те кому все равно - используют б-жественную десяточку, и нет, это ни
> разу не дебианТелезрителю отвечает Анастасия Мельникова!
«Приходится в очередной раз констатировать, что и антивирусы, и специализированные программы, предполагающие повышенный уровень защищенности, далеко не всегда соответствуют пользовательским ожиданиям в плане своей собственной безопасности, — говорит в интервью CNews Анастасия Мельникова, эксперт по информационной безопасности [...]
. https://roskomsvoboda.org/53043/
. . https://www.gnu.org/proprietary/malware-microsoft.html
А что плохого в "той самой десяточке", если она используется в своей нише ?)
Зато юниксвейно!11 Смотри в википедии unix family tree, там бсд почти на самом верху!!1
И системдоса нету!!!11один1
Наверное потому, что от юникса в лине, кроме оболочки и юзеров бывших, и нет ничего толком? А со временем становится и того меньше? Юзеров разбавили модные парни с голыми щиколотками, а у них свои шелы :))Не то, чтобы я в этом вижу что-то плохое, просто натягивать линь на юниксвей это все равно, что керосиновую лампу причислять к миру автоспорта на основании того, что она в работе тоже использует топливо, полученное в результате нефтепереработки.
Мне плевать, что керосиновая лампа не из мира автоспорта. У меня задача стоит освещать квартиру.
> Мне плевать, что керосиновая лампа не из мира автоспорта. У меня задача
> стоит освещать квартиру.у тебя шесть ошибок в слове спалить
шесть? :)
> спалитьЭто зависит от рукожoпости конкретного пользователя. Ориентируясь на свои (не)умения обращаться с бытовыми приборами, ты посчитал, что тут нужно было написать "спалить". Ну что ж...
>> У меня задача стоит освещать квартиру.
> у тебя шесть ошибок в слове спалитьДостаточно пяти: http://planetcalc.ru/1721/ :]
> У меня задача стоит освещать квартиру.Керосиновой лампой? Ну-ну. Ты хоть раз её использовал? Она подходит для освещения разве что сортира, чтобы мимо очка не промазать.
То есть все-таки нужно освещать сортир спорткаром?
Или ты просто потерял нить разговора?
> То есть все-таки нужно освещать сортир спорткаром?
> Или ты просто потерял нить разговора?Электрической лампой. Толчок иногда нужен очень срочно, иногда времени нет на то, чтобы растапливать керосиновую лампу.
Разжую так, что поймет и четырехлетний.Комментатор "Фигноним" в своей аналогии ничего про электрические лампы не говорил. В его аналогии линукс - это керосиновая лампа, а UNIX - это мир автоспорта. Он намекал, что линукс не является UNIX-чистой системой (что керосиновая лампа слабо связана с миром автоспорта). Я ему указал, что мир автоспорта (UNIX-чистота) мне не нужен, а нужно мне решать свои обыденные задачи (освещать квартиру). Из ____перечисленных____ "Фигнонимом" сущностей адекватнее всего здесь применяется керосиновая лампа.
И все было хорошо: "Фигноним" понял, что мне не интересен мир автоспорта (мне не нужна UNIX-чистота). А я понял, что "Фигнониму" мир автоспорта чрезвычайно важен и интересен (ему важна UNIX-чистота). Мы оба поняли всё друг о друге, пользуясь одним и тем же понятийным аппаратом, содержащимся в емкой аналогии "Фигнонима".
И тут прискакал Ordu со своей электрической лампой.
Разумеется, могут/будут существовать операционные системы, которые справляются с моими задачами лучше, чем линукс (эл. лампочка однозначно лучше керосиновой; линукс образца 2030 года однозначно лучше текущего). Но конкретно в этом диалоге есть только две сущности: керосиновая лампа (текущий линукс) и мир автоспорта (UNIX). Поэтому электрическая лампа лежит за пределами нашего короткого с "Фигнонимом" диалога.
Поэтому спрошу еще раз: ты потерял нить разговора?
</покормил>
> Разжую так, что поймет и четырехлетний.О, это я люблю.
> Комментатор "Фигноним" в своей аналогии ничего про электрические лампы не говорил.
Что значит "не говорил"? В спорткаре электрические лампы, совершенно точно. Туда никто не будет ставить керосиновые.
> в емкой аналогии "Фигнонима".
Да-да, и я пытаюсь как раз показать вам всю её безграничную ёмкость.
> Поэтому спрошу еще раз: ты потерял нить разговора?
Нет. Я целенаправленно увожу разговор в болото аналогий. Люди думают, что можно провести аналогию, сделать какой-то вывод в параллельной аналогичной вселенной, после чего вернуть этот вывод в исходный домейн. Ха-ха. Это работает только в математике, и только после доказательства того, что между параллельными вселенными действует подходящий морфизм (как правило изоморфизм).
Вне математики, пытаться делать выводы на аналогиях -- значит нарываться на то, что разговор утонет в гумне, именно так как ты сейчас пронаблюдал.
> </покормил>
Спасибо.
> В спорткаре электрические лампыЭто уже твои личные проблемы, что там у кого в спорткаре.
> Люди думают, что можно провести аналогию, сделать какой-то вывод в параллельной аналогичной вселенной, после чего вернуть этот вывод в исходный домейн.
Никто по аналогии в этом диалоге выводов не делал (кроме тебя). Вот что произошло в этом диалоге:
1) "Фигноним" решил выразить мысль, что Linux не является UNIX-чистой системой.
2) Он ее выразил явным образом без аналогий (первый абзац коммента).
3) Он ее выразил еще раз в виде аналогии (второй абзац коммента). Таким образом, к этому моменту одна и та же мысль выражена как минимум два раза: с употреблением терминов "исходного домена", и с употреблением терминов аналогии.
4) Я понял исходную мысль. Она выражена явным образом без аналогий в первом абзаце коммента.
5) Я принял к сведению, какой термин аналогии к какому термину "исходного домена" относится.
6) Размышляя над исходной мыслью "Фигнонима" (выраженную без аналогий), я решил выразить свою собственную мысль, что лично мне UNIX-чистота не нужна.
7) Я решил не дублировать свою свежесгенерированную мысль два раза, а употребить лишь один набор терминов.
8) Я выразил мысль, выбрав для этого набор терминов из аналогии. С таким же успехом я мог бы воспользоваться терминами "исходного домена".
9) exit(0);Так что никто и нигде не делал выводы из аналогии. Возможно, тебе это просто померещилось в силу неспособности учитывать контекст диалога. В этом плане ты напоминаешь примитивного stateless чат-бота, который генерит сообщения только на основе самого последнего сообщения от человека.
Dixi.
>> В спорткаре электрические лампы
> Это уже твои личные проблемы, что там у кого в спорткаре.Нет, в рамках аналогии: электрическая лампа из спорткара гораздо лучше подходит твоей задаче, чем керосиновая.
> Зато юниксвейно!11 Смотри в википедии unix family tree, там бсд почти на
> самом верху!!1Эк у тебя от этого подгорает, хотя причина непонятна. Опять какие-то перепончатые комплексы?
> И системдоса нету!!!11один1
Любители "нового стандарта" и почитатели "notabug-theoneandonly-Lennartus I" лучше бы скромненько молчали:
https://www.opennet.ru/opennews/art.shtml?num=51421
> Выпуск системного менеджера systemd 243
> 05.09.2019 10:42
> Устранена уязвимость CVE-2019-15718, вызванная отсутствием контроля доступа к D-Bus интерфейсу systemd-resolved. Проблема позволяет непривилегированному пользователю выполнить операции, доступные только администраторам, например, можно изменить настройки DNS и направить DNS-запросы на подставной сервер;
> Устранена уязвимость CVE-2019-9619, связанная с невключением pam_systemd для неинтерактивных сеансов, которая позволяет организовать спуфинг активного сеанса.[19.02.2019] Уязвимость в systemd, которую можно использовать для блокирования работы системы
https://www.opennet.ru/opennews/art.shtml?num=50168
[10.01.2019] В systemd-journald выявлены три уязвимости, позволяющие получить права root
https://www.opennet.ru/opennews/art.shtml?num=49931
[27.10.2018] Удалённая уязвимость в systemd-networkd
https://www.opennet.ru/opennews/art.shtml?num=49508 (дальше сами как нибудь: https://www.opennet.ru/keywords/systemd.html)
[24.07.2017] Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
[03.07.2017] Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
[28.06.2017] Уязвимость в systemd-resolved
Блин... А ведь и правда линчуют негров.
качество кода говорили они.... CVE-2019-19520 - совсем какие-то детские баги...
обычная ошибка, и детская и взрослая
ошибка уровня неопытного программиста-студента, который пропустил на занятиях главу о setuid.
пора уже начать писать книгу о мифах опенбсд и наивности публики.
Непременно займитесь
> Непременно займитесьСомневаетесь? А зря! Здесь почти любой анонимный комментатор -- минимум сеньор разработчик, а обычно нобелевский лауреат с IQ за 400. :D
А разве IQ может быть >255? Там же переполнение получается...
То-то у анонимов интеллект так и хлещет
> Аноним: "То-то у анонимов интеллект так и хлещет".5 баллов за этот прекрасный комментарий и две чашечки чёрного горячего чая с мёдом в виде подарка.
> пора уже начать писать книгуНу так нешто перед тобой клавиатуры нет?
За передачу параметров через CLI надо выписывать волчий билет.Нужно вообще в операционках запретить CLI, оболочка должна исключительно строить объекты и вызывать их методы, классы брать из динамических библиотек, а разработчики программ, не желающие соблюдать это правило должны быть посланы лесом.
глупости
> глупостиMSDN-технологии Микрософт! АктивКС-то уже давно кончился, а раненных пуаршеллом всё везут и везут. </ахаха>
Powershell обкурились?
PS, кстати, офигенен - не чета башпортянкам.
Башпортянки, кстати, офигенны - не чета PS.
> PS, кстати, офигенен - не чета башпортянкам.Не, офигенен VB. Вирусы в .doc-ах и почтах -- киллер-фичА и визитная МС!
>> PS, кстати, офигенен - не чета башпортянкам.
> Не, офигенен VB. Вирусы в .doc-ах и почтах -- киллер-фичА и
> визитная МС!"вирусы" (во всяком случае - трояны) в bbs-почте в виде интересных ascii-последовательностей присылали друг-другу во времена, когда доки пересылали той почтой, которой "выемка производится в обозначенные часы".
А что в твоем mutt'е ты их никогда не видал - говорит только о том, что ты нахрен никому со своей мутью не нужен, специально ради тебя возиться.
Принимаю цивилизационно винду как данность, ей безусловно есть место в жизни, все не так плохо. Но ПШ - отвратителен.
Это вот такое, где в bash-e например надо написать -f, а в этом вашем ps - пару слов на английском, букв по 7-8? (Вышеуказанное - придумано наобум, от балды и т.п.)
> Это вот такое, где в bash-e например надо написать -f, а в
> этом вашем ps - пару слов на английском, букв по 7-8?ты и в баше - тоже tab completion не умеешь? И да, время двухбуквенных команд немного прошло, памяти у компьютера уже не 32k (слов ;-)
> (Вышеуказанное - придумано наобум, от балды и т.п.)
оно и видно - лишь бы обос... - правдоподобие не требуется, укушенные линyпсом и так поверят.
... | Get-VMGuest | Where-Object { $_.State -NE 'Running' } | % {Re
start-VMGuest -VM $_.vm }вот все кроме последнего пункта - вполне разумно и удобочитаемо. За последнюю х-ню надо благодарить не MS, которая хотя бы предоставила эту возможность, а vmware - Get-VMGuest должен возвращать объект VM, а возвращает хз что.
Как периодически ляпающий и на sh и на powershell скриптоту, честно признаюсь - предпочитаю perl.Не приходится переписывать при переносе.
Чуваки, в ПШ есть автодополнение.Не благодарите.
Да, и ПШ в руках грамотного специалиста одной левой делает эти все ваши баши.
автодополнение чего? по tab и в баше дополняет. вы уж конкретнее. одна из старейших функций кстати.
> автодополнение чего? по tab и в баше дополняет. вы уж конкретнее. одна
> из старейших функций кстати.google.com/search?q=powershell+autocomplete
Ну и чтоб два раза не вставать:google.com/search?q=cmd+autocomplete
Зашёл чтобы написать ровно то же. CLI, как и SQL, это юзер интерфейсы, а не API.
> Зашёл чтобы написать ровно то же. CLI, как и SQL, это юзер
> интерфейсы, а не API.от повторения глупости она меньшей глупостью не становится.
юзеры уже тридцать лет не набирают sql-команд. А когда их "набирает" приложение, для взаимодействия с бд - это таки часть API.Юниксный cli разработан с самого начала так, чтобы быть - api, а не только юзеринтерфейсом.
> от повторения глупости она меньшей глупостью не становится.К сожалению, может стать реальностью -- см. "Третья волна".
> Юниксный cli разработан с самого начала так, чтобы быть - api, а не только юзеринтерфейсом.Так они же ж книжек про это (Unix is an IDE) не читали.
Пользуясь случаем, вброшу полезное:https://sanctum.geek.nz/arabesque/series/unix-as-ide/ (по-английски)
https://habr.com/ru/post/150930/ (перевод на русский)
NetBSD, кстати, ничем не хуже OpenBSD. Хотя и не кукарекает на каждом углу о безопасности (появляются баги - они их тихо молча исправляют). И качество кода на несколько порядков выше, так как приходится добиваться унификации кода/алгоритмов для огромного спектра платформ.
Ну они хуже например тем что openssh не сделали :-)
Они лучше тем, что либре-как-её-там не сделали. Даже не хочу участвовать в этом обсуждении. Я видел реальных пользователей опенка и никакой квалификацией у тех пользователей даже не пахнет. А нетбсд, например, популярна у разнообразных студентов, исследующих разработку ОС.
По количеству платформ они давно уже уступают линуксу.
Какому линуксу? Linux - это ядро. А NetBSD - монолитная универсальная операционная система. Какой дистрибутив GNU/Linux, какая именно linux-baed ОС опережает NetBSD по количеству поддерживаемых платформ? Может я отстал от жизни и что-то пропустил.
> Какому линуксу? Linux - это ядро.
> А NetBSD - монолитная универсальная операционная система.Какая NetBSD? BSD -- это дистрибутив софта из Беркли.
PS: если подковырка не понята -- ответ не требуется.
та понятно всё, только вот что ответить на это ума не приложу...
сарказмом на сарказм? неинтересно...
А железо не ядром поддерживается, случаем?
Разумеется, но ядро не само ведь по себе железо поддерживает - ему ещё и инструменты нужны для работы. Загрузчики, либы, парсеры, бинутилсы и всё прочее, не так ли? Головое абстрактное ядро само по себе ничего не умеет - это либо тарболл либо бинарная порция. То есть получаемм ядро + инструментарий, что собственно и будет являться уже дистрибутивом. Вот и расскажи мне, что за дистрибутив ты имеешь ввиду? А потом посмотрим сколько архитектур этот дистрибутив поддерживает и сравним с NetBSD.
netbsd хуже тем, что практически не работает на реальном железе, а иногда не работает даже в виртуалке. OpenBSD же у меня много где реально работает. Завести netbsd на чём-то кроме i386 тоже ОЧЕНЬ нетривиально...
> netbsd хуже тем, что практически не работает на реальном железенадо полагать, что она незаслуженно получила статус самой портабельной системы
> иногда не работает даже в виртуалке
ну почему, нетка например работает даже в тех виртуалках, в которых близко не заявлена её поддержка, например, старые проприетарые пакеты от вмваре. пишу про это, так как сам с этим сталкивался
> OpenBSD же у меня много где реально работает
а у меня много где нетка - старые ноуты, серваки с копеешной памятью и тп. на очень старом железе опенка еле еле ворочается, из-за своих крипто-смузи
> Завести netbsd на чём-то кроме i386 тоже ОЧЕНЬ нетривиально...
смотря что вы имеете ввиду, на сайте в доках же всё есть...
да, придётся постараться, покомпилять, поколдовать... процесс трудоёмкий...
На моем лаптопчике netbsd заведет вайфай, камеру, сеть, динамики и прочую периферию?
Точно заведёт процессор, память, стандартный компорт (если повезёт, что он есть) и текстовый режим видеокарты.
И это при том, что винду (10-ку с некоторыми оговорками об старом железе) и линукс (с некоторыми оговорками о совсем свежем железе) я могу ставить прямо из коробки, не морочась с драйверами.Я помню эти прекрасные времена, когда поднять Х-сервер было сродни подвигу. Спасибо, не надо.
> винду ... с некоторыми оговорками
> линукс .... с некоторыми оговоркамиВ NetBSD подобных оговорок гораздо меньше.
> когда поднять Х-сервер было сродни подвигу. Спасибо, не надо
Эти времена никуда не делись. Люди до сих пор мучаются с линуксами. Причём мучаются с довольно попсовыми дистрибутивами и на довольно попсовом железе.
Тео не думал перейти на Rust? Очевидно 70% проблем решат.
Городские легенды. Думаю, Тео и Ко достаточно опытны, чтобы не совершать ошибок, которые попадают в эти 70%
да, действительно... а новость, под которой мы все пишем комментарии, видима иллюзорна и не существует... мы все спим или грезим наяву... в маня-мирке у сектантов продолжают существовать Тео и Ко, которые достаточно опытны, чтобы не совершать ошибок, которые попадают в эти 70%...
Хоть и всеми руками за Rust, но такие комментарии меня очень огорчают.
Еще раз внимательно прочитайте новость. Рассматриваемые уязвимости имеют отношение к _логике_ работы программы и никоим образом Rust здесь не поможет, а ввиду отсутствия опытных разработчиков на Rust - даже помешает. Ну в самом деле, не "адептов" же привлекать.
В итоге в спецолимпиаде "адепты" Rust перепрыгивают "адептов" OpenBSD
Там еще про нулевой указатель чтот было.
Кстати, в ****расте принято исползовать крейт https://clap.rs/ (с тех пор как его оптимизировали) для таких вещей.
Расскажи нам, непризнанный гений, чем бы в данном случае помог rust? Или всё-таки не попадают эти ошибки в 70%? А может, и не 70%, а гораздо меньше?
Пусть сразу на питоне пилят, там главное чтоб пробелами не ошибались.
>там главное чтоб пробелами не ошибались.в bf это -- главнее!
даже kate за тебя все пробелы решит в питоне. нечего так уныло поскуливать. ибо показывает глупость. а божественный раст еще ой как не скоро придет в соответствие с промышленными разработками. они когда решат устаканить хоть один стабильный выпуск, так и скажешь, а пока они играют в перегонки на выпуск новых фич, ломающих совместимость со старыми версиями. а опенбсд и правда сильно много загордилась. там очень много дыр, как бы они ни старались это опровергнуть. проблема в том, что опенком мало пользуются. был бы спрос как на линя , то давно опенка в CVE закопали по уши. или по RC cкрипты?)))) неважно это только первая ласточка.
Ваш rust ни о чем. М$ пилит верону, так что и вам тужа же.
>самая безопасная ос
Откуда вы это все берёте?"Try to be the #1 most secure operating system."
Значение слова "Try" не понятно?
Стремиться быть самыми безопасными != быть самыми безопасными."Only two remote holes in the default install, in a heck of a long time!" != "No security holes. Never."
за множество лет её так превозносили как самая безопасная, так что сами они и попали в свою ловушку. знаешь если подняться выше остальных, то и падать тоже дольше и больнее.))
> за множество лет её так превозносили как самая безопасная, так что сами они и попали в свою ловушку. знаешь если подняться выше остальных, то и падать тоже дольше и больнее.))Как сами разработчики пишут о себе, я процитировал.
Всё остальное - чьи-то неумные фантазии.И даже если предположить, что она "самая безопасная", это всё равно не отменяет наличия дыр, не так ли?
Эта история не про то, что "если подняться выше остальных, то и падать тоже дольше и больнее", а про то, что у безграмотных хомячков появилась возможность самоутвердиться и с пафосным апломбом заявить "Ну вот, такое же р-шето как и всё остальное, я был прав".
Это типичное проявление юношеского максимализма и чёрно-белого мышления.Разработчики OpenBSD никогда не утверждали, что у них не бывает дыр. Описанные в новости - не единственные, не самые вопиющие и не наиболее показательные.
тут ты прав. нет ни одного человека в мире не делающего ошибок, а пишут программы как известно люди. и даже если будут роботы, то сомневаюсь, что всегда безошибочно. это просто мнение некоторых людей типа я пользуюсь и освоил самую безопасною операционку , поэтому я круче вас, а того что первый принцип - "что не разрешено, то запрещено" походу никто и не помнит. закрой в лине все что есть изначально и открывай минимально необходимое и я сомневаюсь , что безопасность будет менее сильной. но вот чсв некоторых личностей сильно завышено.
> но вот чсв некоторых личностей сильно завышеноЕсли ты про крикунов-фанатиков, которые кричат, что "OpenBSD рулезфарева" и "ниадной дыры никагда", то да, это, вне сомнений, рак и идиотизм.
Для меня загадка, откуда они вообще берутся. В моём понимании, такие "личности" должны сломаться уже об инсталятор опенбсд. Нет, он элементарный, но для даунов слишком много букв.
у дебиана был похожий.
Кастую кого-нибудь из сектантов. Дон Ягон, приди! Дон Ягон, приди! Дон Ягон, приди!
Не так.
Вот так: "Spawnmass Дон Ягон".
> Дон Ягон, приди!Ну пришёл, и что? Я, правда, и так бы пришёл.
А звать пора уже дедушку мороза, а не меня.По существу: ты думал, что я не знаю, что в OpenBSD (о, Боже, Боже!) бывают дыры?
Нет, я в курсе: бывают. И даже более феерические.
Например, меня в своё время куда больше тронула дыра в xorg (Тео про неё пишет примерно тут https://marc.info/?l=openbsd-tech&m=154050351216908&w=2). Как по мне, вот это прям дыра была. И не так уж и давно! А это так, технологические отверстия.Ну, ничего, конечно, хорошего.
Не удивлен. Пока OpenBSD не будет переписан на расте - не имеет смысла говорить о защите информации. Хотели поставить на сервер в банке, но шэф спросил - написана ли OpenBSD на расте? Я ответил - нет. И шэф сказал, что нельзя такое ставить.
> Пока OpenBSD не будет переписан на расте - не имеет
> смысла говорить о защите информации.Боюсь, растоманов к ней подпускать становится всё опаснее -- мантры ведь не работают.
Когда идиот полагается на инструмент, получается всё равно идиотство. Когда умный человек знает свой инструмент и пределы его применимости -- он может и что-то толковое сделать, и по возможности избежать проблем, связанных с неизбежными недостатками инструмента. И уж тем более не забивать шурупы сколь угодно навороченным сканирующим микроскопом.
В общем, я Ваш мусор оставлю в назидание потомкам... "шЭф".
Значит свой мусор в виде "подковырок и шуток" ты понимаешь хорошо, а когда другие шутят (по-моему, прикол с шЭфом и банком вполне очевиден) ты "подковырок и шуток" не понимаешь? Эх, Шигорин, Шигорин.
>на сервер в банке, но шэф спросил - написана ли OpenBSD на расте?Управляющий банка знает про Rust? Сильно пошутил.
Почему на Расте-то? На нём толком и доказать-то ничего нельзя! Надо обязательно хотя-бы на Coq.
Есть в английском слово cocksure. Если доказывать безопасность софта формально, то можно утверждать, что за софт ты coqsure.
безопасность - это обязательное шифрование всех дисковых разделов! мдэ.. таки придётся накатывать апгрейд до 6.6.. или уже плюнуть и Crux вкорячить? - дилемма однако..
> Дополнительно можно отметить реализацию в OpenBSD нового метода проверки допустимости обращения к системным вызовамХотел написать про это мини-новость, откладывал три дня. Дооткладывался =(
А никто из сдравомыслящих и не сомневается в секурности ОпенБСД.
> сдравомыслящихДа-да, именно из них...
Как верно было замечено вся безопасность openbsd заключается в её ненужности.Пока макос был никому не нужен, тоже холили слухи про яво неуязвимость. Но как только коммерчески стало выгодно ломать маки, король оказался голым.
Самые на сейчас безопасные операцинки - винда и линукс, именно потому, что их не ломает только совсем ленивый и неумелый.
Как тео был шизиком, форкнувшим нетку из-за ФАТАЛЬНОГО НЕДОСТАТКА, так и остался.
Уж очень красивая дыра. Подставляем нужный символ в логин и нас пускают. Не специально ли внесено?
> Не специально ли внесено?Так рута таким образом всё равно не получишь. Так что смысл?
Почитал каменты. Захотелось цитатами Тео некоторым поотвечать.
Так ответь. Интересно же почитать.
Там недоразумение в libc вышло, но почему-то надо было это отнести к OpenBSD и OpenSMTPD. Это, как если бы у меня процессор сдох в компьютере, а я бы сказал, что Торвальдс программист - так себе. При том что система на компе была бы Windows.
М-дя... Пришлось адаптировать патч для libc к одной из старых версий OS и пересобирать - здоровая либа, однако.Что мне нравится в опёнке - хорошая документация, лучше чем у FreeBSD.
Хорошо, что нашли уязвимости и устранили.