forum.opennet.ru

"Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"	+/–
Сообщение от недобрый (?), 24-Фев-20, 20:17
>> Но сообщество пользователей grsecurity, включая дистростроителей, в своё время отдало предпочтение флагам в xattrs и демону paxctld. Причём, не сговариваясь. Потому что это удобнее. > Нет, потому что править ELF-заголовок не при сборке пакета (как, видимо кроме > Hardened Gentoo никто не делал) = заставлять пакетный менеджер ругаться на > битые чексуммы у пакета. Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_? Если пакетный репо кастомный, то контрольные суммы модифицированных пакетов считаются в момент их публикации в репо. Если репо штатный, то и флаги будут выставлены в момент сборки штатной системой сборки. Если речь о средствах проверки целостности _файлов_ пакета после его установки в систему, то проверяет их не пакетный менеджер, а дополнительные средства вроде debsums, в выводе которых пользователь получит куцый список из нескольких файлов, который совпадёт с содержимым в paxctld.conf. И волновать это будет только тебя и только с моих слов. > А так как никто не поспешил добавлять > божественный pax в базовую поставку мейнстримных дистрибутивов пришлось лепить костыль > с xattrs. paxctld и XATTR_PAX_FLAGS - универсальное решение, которое позволяет управлять _всеми_ флагами в системе, в том числи для приложений, установленных из сторонних источников, включая внутренние и закрытые. Но у тебя в голове снова единственный юз-кейс: выставление флагов для файлов системных пакетов. Опыта нет, вот и несёшь чушь. > Который можно не пихать в пакеты, где он дистроклепатеям нафиг не нужен, а запустить моднейший демон paxctld. Маневрирование 80 уровня. Эмоции поумерить не пробовал? Флагами в тех же дебианах я свободно рулил через хуки, но paxctld позволил охватить более широкий круг кейсов однообразно и (де)централизованно (в зависимости от ситуации). >>> кажется, вполне могу обосновать правильность своей позиции. >> Нельзя обосновать правильность свей позиции в категориях а ля "неудобно", "ненадёжно", "неправильно" и т.п. без технической конкретики. > Я объяснял и почему неудобно, и почему не надёжно, не надо тут. Вот именно. Вместо того, чтобы обсуждать область применения, ограничения, плюсы, минусы, ты занимался и занимаешься обоснованием (как тебе кажется) своего мнения, которое у тебя с привлечением этих категорий и сформулировано. И не обоснуешь ты его ни техническими доводами (даже если б они не содержали фактических ошибок), ни эмоциональными (превалируют) - ни для кого, кроме себя. > И про то, что MAC применяется до запуска бинарника, а не во время, поэтому требует кучу доступных для чтения путей При при этом ты заявляешь (ниже по тексту), что понимаешь что-то в митигациях, в критериях их анализа и оценки. Два инструмента - pledge и MAC - которые ортогональны и лишь частично пересекаются областью применения и природой накладываемых ограничений, ты сравниваешь напрямую. MAC хуже, PaX-флаги хуже, pledge лучше. И считаешь это технической конкретикой. Замечательно. Пищи ещё. > и про необходимость настройки там, где её не должно быть Не должно быть, но она объективно есть. Продолжай путать свои фантазии с реальностью и удивляться ответам. > и про уродливые демоны для pax-флагов Уродливые демоны - у тебя в голове. > и про возможность сбрасывать привилегии по разному в разных процессах программы. Параноики тоже, знаешь, много, о чём написать и рассказать могут. Или альтернативные историки. С фактами, доводами, рассуждениями, выводами. Вот только целостная картина из их доводов не выстраивается. В твоём случае всё аналогично. > Но зачем это читать, это же вода? Я всю твою воду читаю, не волнуйся. > Гораздо лучше придолбаться к обощающим характеристикам и делать вид, что я ничего более не писал. Я на всё отвечаю. Покажи пальчиком, что оставил без внимания. Какой конкретно технический довод, в каком контексте. А я тебе снова покажу, где ты не потрудился понять прочитанное. >>> Заморачиваться лень, простой контрпример - KARL. >> Не лень, а ничего ты толком не знаешь и ляпнуть лишнего боишься. > Да как скажешь. Скажу, что ты продолжаешь себя компрометировать. Раскрылся полностью и когда PaX с SELinux сравнил, и когда заявил про убийство процессов при срабатывании запрета PAX_MPROTECT. >> Сравниваешь зрелый быстрый CFI и плагины для автоматического устранения уязвимого к Specter кода - с KARL! Ты ещё про securelevel вспомни. > Я не сравниваю, а привожу контрпример. Не надо врать потому что. И к чему этот контрпример? Пример защиты ядра, как опровержение моей фразы, что OpenBSD ничего для защиты ядра не делает не в рамках корректности? Ну так это единственный такой "контрпример", которым можно пренебречь по тем же причинам, что и KASLR. Ссылку с обоснованием этой позиции привёл выше - почитай. Ты не к частям фраз привязывайся, к каким тебе удобее - ты мне эквивалент хоть какой-то серьёзной работы покажи, осмысленной в рамках соображений безопасности. Чтобы твой ненаглядный pledge работал в полноте, ядро должно иметь собственные защиты от эксплуатации уязвимостей в нём, соответствующие современному уровню сложности угроз. Где они? Где планы? Где хоть что-то? > Ни тогда, ни сейчас. Что "ни тогда, ни сейчас"? Хочешь сказать, есть ещё реплики, которые ты считаешь ложью? Ну так предъяви. > А вот ты сравниваешь полноценную ОС и патчи (закрытые) к ядру Linux Патчи работают сами, отдельно от ядра? Нет. Ядра работают сами, отдельно от приложений? Нет. Вот я и сравниваю OpenBSD со связкой grsecurity-ядро + дистрибутив общего назначения. А ты мне под надуманным предлогом пытаешься отказать в праве на такое сравнение. > в котором и без них куча всего интересного. Типа как dirty > cow, когда никакой grsec ничем никому не помог, но это к > слову. Ну да, а в OpenBSD в своё время была опубликована уязвимость к удалённому выполнению произвольного кода в ядре. Покажи мне аналогичную уязвимость в линуксе за время с тех пор по сегодня. Хотя бы такую, которая так же надёжно эксплуатировалась бы в простом линуксе, без grsecurity. И дело не в том, чтобы померяться уязвимостями, а какие выводы затем сделать по факту наличия или отсутствия предпринятых мер, дабы ситуация не повторилась. > И сравниваешь ты на уровне "кукурити-фич", т.е. в лоб, т.е. без учёта > импакта и сложностей при внедрении и подобного. Здесь ты решил меня в своих грешках обвинить. > Это детский сад. Не льсти себе, в детском саду дети себя ведут адекватнее, чем ты. > Я вполне допускаю, чтобы ты не думал, что grsec могут сделать что-то, решающее ту или иную проблему. Ты это уже несколько раз повторил. Твоих бессвязных, фактически ошибочных и эмоциональных возражений это никак не отменяет и не сглаживает. > Но пока это сторонние патчи (даже если и опенсорсные, как раньше) - это всё игрули для секуьюрити-энтузиастов Ещё один технический аргумент от не-эксперта. Моськи лают - караван идёт. Grsecurity сначала пророчили смерть в забвении, а затем под тяжестью суммы исков в деле против Перенса. На деле же, невзирая ни на что, проект чувствует себя лучше, чем когда-либо. И если всё это благо на деньги от "секуьюрити-энтузиастов", могу их только поприветствовать. ;) Про государствннные дистрибутивы специального применения с grsecurity ты тоже не в курсе. Кто бы сомневался. > и proof of concept. Загляни в словарь. > Я могу поверить, что те или иные проблемы решены, но не могу поверить в то, что это "бесплатно". > А это имеет значение. А кто тебя убеждал, что это бесплатно? Только ты сам. Вот себе все претензии и адресуй. Личный рост начинается с азов, со взятия на себя ответственности за собственные заблуждения. >> Если бы ты прочитал и попытался усвоить прочитанное, то понял, что я не делал утверждений об отсутствии механизмов защиты ядра в OpenBSD, а высказался, что по уровню они не дотягивают даже до PaX начала нулевых. > Вот твоя цитата: "В OpenBSD же на ядерном поприще если и делается что, так только под лозунгами наведения корректности. Явный курс на безопасность они оставили ещё в начале нулевых и с тех пор даже не пытались на него вернуться.". > Ты утверждал, что с нулевых ничего не делается для безопасности ядра, я опроверг. Ну и где я тут утверждал, что "ничего не делается для безопасности ядра"? Перечитай по слогам, медленно. Явный курс оставили, это факт. "Если и делается что, так только под лозунгами наведения корректности" - пренебрежительная характеристика, которую ты возвёл в рамки строгого фактического утверждения. Себе и предъявляй претензии. По факту в эту характеристику укладывается и KARL, о котором я уже высказал обоснованное мнение, и аналог mmap_min_addr, который даже в обычном линуксе появился не несколько лет раньше, чем в OpenBSD. > Тупо тем, что вспомнил сразу. Ещё раз: больше нечем. > Сравнивать openbsd с pax нулевых мне как раз малоинтересно, писями меряться - это детский сад. Я смотрю, история тебя интересует, только когда ты делаешь к ней многозначительную отсылку фразой "история нас рассудит, посмотрим". А когда речь заходит о уже свершившейся истории, о реальных успехах и неудачах, так сразу "детский сад". История тебе не интересна, потому что в неё вошли успехи PaX и бездействие OpenBSD. > Какие-то отдельные решения можно сравнить, если очень хочется, > но лично я бы потихоньку закругялся с флудом тут. Закругляйся, кто ж тебе не даёт. >> Ты хоть сам понимаешь, что такое "митигации"? И чем они на практике от "наведения корректности" отличаются? > Я? Да ты што, откуда мне, ты ж один тут умный. Из нас двоих - да. Прискорбный факт. Ты ляпнул в очередной раз, не подумав, про безопасность через корректность. А как запахло жаренным и стало ясно, что безопасность через корректность - это бред, и я за него с тебя спрошу... Так сразу, сам, без моей помощи, соскочил на личности, в очередной раз обрезав всю смысловую часть моей реплики. Это потому, что ты ведёшь разговор в кругу воображаемых зрителей. И тебя кажется, что ты свои "продолбы" такими незатейливыми способами сможешь скрыть или смягчить. Но это не так. Увы, не так. >> К тому же, из достижимой на практике корректности напрямую не следует никаких свойств безопасности. > Всецело согласен Да брось, не всецело. Хм, хотя допускаю, что плюрализм мнений в твоей отдельно взятой голове делает такое согласие возможным. Но ровно до следующей реплики. > я даже выступал с подобной позицией против NetBSDшника в какой-то недавней теме тут, который "надрачивал" на "наведение корректности". Тем не менее, я останусь при том, что озвучил ранее: я рад, что openbsd крайне осторожны с внедрением средств смягчения последствий эксплуатации уязвимостей. Ну так и PaX/grsecurity крайне осторожны. Ты ведь намекаешь на обратное? Вот только они работают и у них есть результаты, лучшие из достигнутых на сегодняшний день именно для ОС общего назначения. А у опенбсдшников - защита памяти ядра с середины 10-ых годов, "для корректности", и KARL. > Любой новый написанный код, в т.ч. "митигация" требует поддержки и может содержать дыры, внедрение и/или эксплуатация может быть "небесплатной" - и прочие остальные банальности. И зачем ты мне эти банальности рассказываешь? Ты ведь намекаешь на то, что grsecurity поступает иначе. А факты где? Фактов нет. Вот их-то я с тебя и спрашивал ещё в предыдущем комменте. >> А если чуть серьёзнее, то хватаешься за любую возможность показаться умным. > Я не понимаю, это ты меня задеть пытаешься, или что? Это я до тебя доношу очевидное (но не тебе): что эти твои внутренние скрытые переживания - на самом деле очевидны, типичны и предсказуемы. > А если чуть серьёзнее, то следствия из того, что я написал про ядра довольно очевидны, но тебе интереснее плохо завуалированные оскорбления. В моих "оскорблениях" присутствует содержание по существу, но тебе интереснее бегать от этого содержания в жалобы на побочные реплики и формат, который ты сам же и задал. >> Не было опубликовано. Это больше говорит об интересе, а вернее, отсутствии такового со стороны исследователей безопасности. > Может и так. Но вот тут недавно очень умные, без всяких шуток и иронии, ребята нашли N дыр в компонентах OpenBSD, в том числе и довольно серьёзные. Так что я не стал бы утверждать о полном отсутствии интереса. И я не стал бы утверждать. О полном. А вот об отсутствии относительного и существенного, достаточного для формирования у публики обоснованнной оценки реального положения вещей - утверждаю. >>> В целом, за grsec я перестал следить после того, как они закрыли код. >> А раньше следил по публикациям в интернете? ;) > Нет, в журнале "мурзилка". А знаешь, походу именно в журнале "Мурзилка". Перл про MPROTECT, убивающий процессы, его вполне достоен. >> Так это pledge опциональный. ...... пытаешься выставить недостатком. Вооот, видишь, как ты удобно для себя вновь поскипал смысловую часть моей реплики. Ну ничего, я верну её в контекст, дабы не повторяться: Так это pledge опциональный. В твоих фантазиях он есть везде, а на деле - чуть менее, чем нигде. И ни через флаги, ни посредством MAC, мандатно, ты его не включишь, если для тебя и за тебя его уже не включили. Только ручками, только в каждом отдельно взятом случае. Ну или хаками, которые тебе не нравятся. Придумал себе критерии опциональности и безальтернативности, в отрыве от какой-либо модели угроз, и пыжишься. Пытаешься свободу выбора для владельца системы повернуть изъяном безопасности. Возможность в одно действие получить защиту, для которой в случае pledge требуется пройти путь от исходников до бинарников в системе - пытаешься выставить недостатком. В цирк иди работай, по специальности, зрителей веселить. > Твои хаки, которые на самом деле костыли, можно заменить тривиальным использованием execpromises, > про то, зачем нужен оный в мане всё написано. Вот. И это всё, что ты смог "ответить" по существу. Мне даже добавлять ничего не нужно. Далее ты делешься своими новыми замечательными идеями. Ну, давай их рассмотрим. > Т.е. написать pledge-враппер (на самом деле, тоже костыль) не очень сложно. Это ты имеешь ввиду не рантайм-враппер в форме библиотеки, а процесс-враппер, который будет устанавливать ограничения для экзешника целевой прораммы. В код не смотрел, но уверен, что для setuid/setgid-экзешников execpromises, установленные в непривилегированном процессе, работать не будут. То есть, у такого враппера остаётся проблема, аналогичная игнорированию LD_PRELOAD. > Но таких целей, насколько я знаю нет, потому что придётся выдавать приложениям куда больше прав, чем им по-факту в main loop нужно -> _потенциально_менее_безопасно_. Действительно, твой процесс-враппер не сможет сравниться по гибкости и строгости с рантайм-враппером. Но что гораздо важнее, такой процесс-враппер придётся запускать явно (под этим я имею ввиду в том числе включение в PATH директории враппера с линками с именами реальных экзешников, перед директориями с реальными экзешниками). Так зачем он такой нужен? Чем он лучше рантайм-враппера? Тем, что у тебя получилось идею родить? Молодец, только идея совсем на поверхности лежала и сравнительными достоинствами, увы, не обладает, в отличие от сравнительных недостатков. > Pledge опциональный, да. В том плане, что нельзя принудить к его использованию. Но если он уже внедрён, то его нельзя отключить, разве что такая логика предусмотрена в самом приложении. И это также является недостатком. Выше я пояснил, в каких случаях поддкржка pledge может не давать желаемых ограничений. > И в этом смысле он безальтернативен, нет никакой sysctl, которая выключит pledge глобально, нет никакого аналога setenforce=0. Это я уже слашал и не считаю существенным. Как и те общие политики SELinux, которые обычно отключают. >> Мечтай. Руки развязало. > Ну т.е. ты искал повод, чтобы начать кидаться говном, нашёл его, и Говном я в тебя не кидался, за словами-то следи. Повод я не искал, ты мне его сам дал и за одно не стеснил в средствах, только и всего. За что ты огребаешь, я тебе уже объяснял. > с чистой совестью приступил - я всё верно понял? Поздравляю с успешно найденым оправданием для своего поведения! Лицемерненько так, ничо, мне нравится. Нет никакого лицемерия. Ты сам, своим поведением обеспечил к себе соответствующее отношение. Не перекладывай отвественность на меня. >> Огребаешь ты не за тыкания и физиологизмы, а за поведение в целом, каковое характерно для обширной группы лиц. Считай, что по случаю отдуваешься "за всех". > Твоё восприятие реальности оторвано от оной. Это тебе так кажется. В силу как раз того, что данное утверждение очень применимо к тебе. > Ты выдаёшь желаемое за действительное или провоцируешь меня. Неконструктивно. Я ничего не выдаю, а действую на своё усмотрение. И кстати, ничто не мешало и не мешает тебе умерить претензии, унять эмоции, перестать говорить за всех, начать вдумываться в то, что я тебе пишу, и перевести разговор в конструктивное русло. Но ты этого не сделаешь и изначально не был в этом заинтересован. >> А я тебя и не прошу. У меня другие методы. > У тебя самомнение, а не "методы". Ничем, к сожалению, не подкреплённое. Это всё слова, а на деле я вижу результат, как ты виляешь с темы на тему и трёшь смысловую составляющую моих реплик. Цепляешься за знакомые слова и силишься что-то ответить ради ответа. > Если предполагается, что я сейчас буду что-то доказывать или оправдываться, то - нет. Вообще не предполагается. Мне твоя реакция не интересна и не нужна. Как не нужна реакция таракана или комара, которого я давлю. > Я готов часами ходить кругами в спорах по существу вопроса, Кругами вокруг существа вопроса, ты хотел сказать. > но любые нападки на мою персону мне не интересны. Можешь продолжать, если тебе нравится. Ах, я забыл спросить твою персону, интересно ли ей! Ты старательно даешь мне все основания. Не фактом своего существования или содержанием личного мнения, а поведением и только им. >> Да грош цена твоему спасибо. Ты же ведёшь себя как малолетний невоспитанный хам, говнами всё вокруг клеймишь. Кого ты обмануть-то хочешь, меня или себя? Или крестик сними, или штаны надень. > Боже, да какой же ты обидчивый! На тараканов не обижаюсь. > Слушай, правда, если я так тебя обидел чем-то - извини. Но умоляю, или пиши по существу вопроса, > или не пиши, мне ну совсем не интересны твои моралфажеские замечания. Не обидел, а подобно таракану вызываешь некоторое отвращение. И не сам по себе, как самостоятельная единица, а лишь постольку, поскольку. > Ты тратишь своё время зря. Если трачу, значит, зачем-то мне это нужно. > Хам, не хам - это не твоё дело, тебе не жить со мной и детей не растить. Ха! Ты меня ещё этикету поучи. Дело непосредственно моё, покуда хамишь ты мне, а не кому-то ещё. > Хочешь говорить про pax и openbsd - давай, нет - заканчиваем. У тебя есть вариант: не заметить вообще всё, что я пишу по существу, и слиться. Что ж ты до сих пор не воспользовался им? >>> И да, экспертом я себя не считаю. >> А кем ты себя считаешь? > А ты-то кто ты такой, чтобы с меня спрашивать? Я не _с тебя_ спрашиваю, а у тебя. Разницу понимаешь? Но ты уже ответил на исходный вопрос: в прошлом пользователь grsecurity в течение двух лет, на Arch Linux. > Я никем себя не считаю, это бесполезное занятие. Да? А по апломбу-то и ведь не скажешь! Диванный эксперт, не меньше. > Но я имею некий опыт и видел некоторое говно. Мало знаю про то, как делать > надо, но довольно много про то, как делать не надо. Как-то так. Ооо, "довольно много"! Всё ясно. Человек, который не знает азов и делает ложные фактические утверждения - много знает "про то, как делать не надо", потому что видел некоторое говно. Спасибо, прояснил.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD, opennews, 16-Фев-20, 08:44 [смотреть все]

Но как же хвалёное внимание BSD-шников к безопасности , Аноним, 16-Фев-20, 08:44 (1) //
- непрерывный аудит и находит такие ошибки, б.б., 16-Фев-20, 08:50 (2) //
  - Да, тут было бы интересно узнать, какое время эта уязвимость просидела незамечен, Андрей, 16-Фев-20, 18:26 (32) //
    - судя по тому, что патч вышел для 6 6, но не вышел, как обычно, для 6 5, значит у, б.б., 17-Фев-20, 07:15 (49)
  - Но тогда получается что линуксоиды со своим syzkaller ом и сотнями тестов, аудит, Аноним, 16-Фев-20, 20:30 (38) //
    - Отдельные линуксоиды опеннета, по понтам -- так уж точно , Аноним, 16-Фев-20, 22:52 (43)
      - У кого ж они этому научились Вроде, говорят что BSD до Linux появились , Аноним, 16-Фев-20, 23:12 (44)
        
        И часовню - тоже они , Аноним, 17-Фев-20, 00:37 (46)
        
        BSDшники написали Unix, да , Аноним, 17-Фев-20, 11:48 (51)
        
        Да они рядом, это просто соседняя стайка напыщеных гусей Что характерно, и тем , Аноним, 17-Фев-20, 15:11 (56)
        Авотфиг Вон там Euler Linux таки сертифицЫровли как UNIX facepalm А бздов в, Аноним, 20-Фев-20, 22:43 (92)
    - Да , Аноним, 17-Фев-20, 17:22 (60)
    - syzkaller ом и сотнями тестов, аудитов и фуззинга не гарантируют нахождение ошиб, Аноним, 17-Фев-20, 17:47 (61)
      - Стопроцентные гарантии в этом мире даже страховой полис, увы, не дает Работает , Аноним, 17-Фев-20, 21:13 (65)
- Так вот же оно - были столь внимательны, что обнаружили очередную уязвимость , Валик, 16-Фев-20, 08:52 (3)
- BSD большой и все 1782 4 BSDшника не смогут выловить все баги до очередного рел, A.Stahl, 16-Фев-20, 08:54 (4) //
  - По-моему, ваша оценка числа разработчиков опёнка сильно завышена На пару порядк, Аноним, 17-Фев-20, 11:50 (52)
  - Активных разработчиков OpenBSD одномоментно порядка 70, всего 8212 несколько , Аноним, 17-Фев-20, 21:35 (67)
- Тео изначально сказал что защита памяти в опенке будет не строгая, а со щелями , Аноним, 16-Фев-20, 08:58 (6) //
  - А есть пруфы , Аноним, 16-Фев-20, 13:23 (22) //
    - Были, надо искать, даже здесь писали Смотри планы по защите памяти в опенке, осо, Аноним, 18-Фев-20, 08:49 (68)
    - paxtest запусти , Аноним, 18-Фев-20, 09:54 (74)
    - https security stackexchange com questions 139238 why-does-paxtest-show-openbs, Аноним, 18-Фев-20, 09:58 (75)
  - Так говорил Заратустра , xm, 16-Фев-20, 16:19 (25)
- Сейчас тебе расскажут, что поэтому и находят уязвимости, что внимательно следят, llol, 16-Фев-20, 11:59 (20) //
  - Дегенераты из линуксового мира до сих пор не могут понять что основные BSD это , xm, 16-Фев-20, 16:21 (26) //
    - Знаете, я не специалист по таким состояниям, но Вашу мысль можно было переформул, Michael Shigorin, 16-Фев-20, 18:18 (30)
    - Жителю Санкт-Петербурга простительно не понимать тонкой разницы между чеченцем и, Аноним, 17-Фев-20, 11:51 (53)
      - Жителям Санкт-Петербурга прежде чем искать всякого рода тонкие разницы недур, xm, 17-Фев-20, 13:07 (54)
        
        Да вот знаете, если так посмотреть кто в парадных ссыт, у них почему-то обычно ч, Аноним, 17-Фев-20, 15:23 (57)
- Во-первых, не BSD-шников , а опёнковцев Во-вторых, на всякого Акелу в сходяще, Michael Shigorin, 16-Фев-20, 18:13 (29) //
  - При том если Акелла вдруг удумает лечить что, например, виртуализация не нужна -, Аноним, 16-Фев-20, 20:34 (39) //
    - Потому что аноним, как обычно, слышал звон И ЧСЗ, самозабвенно повторяет его уж, Аноним, 16-Фев-20, 23:14 (45)
      - Во первых, я видел виртуализаторы самого разного пошиба в продакшнах и тестлабах, Аноним, 17-Фев-20, 04:50 (48)
        
        Разве что в параллельной вселенной Ну или все эти ваши жирные корпорации с мир, Аноним, 17-Фев-20, 14:45 (55)
        
        Это годные сельпо, оно завалили глобус продукцией С хорошей вероятностью вы их , Аноним, 17-Фев-20, 16:51 (58)
        
        Вряд ли Два комментария с морем пафоса, воды, повторов одно и того же на разные , анонн, 17-Фев-20, 18:40 (63)
        
        Мегакорпорации штука забавная - ухитряются пролезть в самые неожиданные области , Аноним, 17-Фев-20, 21:34 (66)
В OpenBSD защита памяти сделана хуже чем в Linux PAX GrSecurity https pax , Аноним, 16-Фев-20, 08:56 (5) //
- В дополнение к защите памяти с помощью классических R, W, X, UNIX должен защищат, Аноним, 16-Фев-20, 09:13 (8) //
  - мы выслушали очередную рекламу Grsec не осилившего прочитать штатные средства за, Аноним, 16-Фев-20, 09:24 (13) //
    - После Grsecurity, Аноним, 17-Фев-20, 17:50 (62)
      - да да, вот шнурки отглажу тогда уж grsec спер из Virtuozzo Linux-VServer, Аноним, 17-Фев-20, 20:51 (64)
- мы выслушали очередную рекламу grsec Как там в у вас с нарушениями GPL , Аноним, 16-Фев-20, 09:22 (11) //
  - https www opennet ru openforum vsluhforumID3 119728 html 31https www opennet, Аноним, 16-Фев-20, 09:32 (14)
- The restrictions prevent - creating executable anonymous mappings - creatin, Аноним, 16-Фев-20, 09:22 (12)
- Конечно же, вы правы Только хотелось бы уточнить, почему пользователей дистрибу, Аноним, 16-Фев-20, 11:06 (18) //
  - Хорош вопрос Вернемся к истокам и вспомним историю первого безопасного дистрибут, Аноним, 16-Фев-20, 11:57 (19) //
    - Это был линукс , Consta, 16-Фев-20, 12:50 (21)
      - Да, GNU Linux, но с расширенными возможностями ядра, компилятора, глибс и бинути, Аноним, 18-Фев-20, 09:00 (69)
        
        Это не спасает Дело не только в формальной матмодели как таковой как в совокуп, Consta, 18-Фев-20, 17:41 (80)
        
        Много писать не хочется, буду краток 1 Если идти путем разработки микроядра с т, Аноним, 19-Фев-20, 16:58 (83)
        
        Зачем Там свое Кроме того, я не предлагал такое Смысл моего прсыла был в том,, Consta, 20-Фев-20, 13:47 (89)
        
        Доказано что любая реализация DAC и MAC в микроядерных OS будет работать более ч, Аноним, 22-Фев-20, 11:48 (101)
        
        Где можно ознакомиться с соответствующими доказательствами Может, хоть у меня п, Consta, 22-Фев-20, 15:06 (102)
        
        Мы когда-то посовещались и Я так решил https www opennet ru openforum vsluhfor, Аноним, 26-Фев-20, 16:43 (114)
        
        - Вы не хотите настроить простую DAC, спорите о том, что можно выделять память о, Аноним, 26-Фев-20, 17:25 (117)
        Правильно понимаю, что предлагается в качестве доказательств рассматривать ссылк, Consta, 02-Мрт-20, 15:24 (130)
        Там вполне достаточно чтобы сложить 2 2 Дополнения для безопасности Писал уже, c, Аноним, 04-Мрт-20, 16:24 (135)
        Да я и не сомневался, что сразу все ясно Решение, безусловно, новаторское Снач, Consta, 06-Мрт-20, 11:12 (146)
        Нет времени спорить и что то доказывать Это сложные вещи Кратко Сетевой экран, , Аноним, 07-Мрт-20, 12:40 (147)
    - Теперь это Астра , pin, 16-Фев-20, 13:42 (23)
      - Если вдруг Вы угадали -- то было бы особенно пикантно, потому как несколько лет , Michael Shigorin, 16-Фев-20, 18:27 (33)
      - Нет не Астра , Аноним, 18-Фев-20, 09:01 (70)
    - Спектре матмодель учитывала , cutlass, 16-Фев-20, 14:59 (24)
      - Это было 10 лет назад , Аноним, 18-Фев-20, 09:02 (71)
    - На ентерпрайз-дистрибутивах можно неплохо попилить, а на твоей разработке как , Аноним, 16-Фев-20, 16:23 (27)
    - Во-первых, если он и претендовал на первый безопасный , это была ложь Во-вторых, Michael Shigorin, 16-Фев-20, 18:24 (31)
    - Всё уже придумано полвека назад, но только не бздунами под дырявую платформу htt, tensor, 16-Фев-20, 19:57 (36)
    - Да, в донкихотство теперь не верит даже Газпром, им видимо донесли что бюджет вс, Аноним, 17-Фев-20, 17:00 (59)
      - Речь шла об ОС общего назначения , Аноним, 18-Фев-20, 09:10 (72)
        
        В ос общего назначения крапа слишком уж много, все предусмотреть имхо малореальн, Аноним, 19-Фев-20, 01:00 (81)
- Она, главным образом, сделана по другому И OpenBSD, в отличие от NetBSD и Harde, Дон Ягон, 16-Фев-20, 20:18 (37) //
  - Спасибо за расширенный ответ Неизыблемое правило DAC - все исполняемое не должно, Аноним, 18-Фев-20, 09:50 (73) //
    - Это которая с питоном и шеллскриптами, умеющими в eval и чьи интерпрета, анонн, 18-Фев-20, 13:27 (77)
      - Интерпретаторы, с питоном включительно, можно обрезать простым DAC Обычному пол, Аноним, 19-Фев-20, 17:24 (84)
        
        Угу, обрежь пакетный менеджер простым DAC И чего он сможет потом А ежели это, Аноним, 20-Фев-20, 22:54 (93)
        
        Именно так и надо делать Пакетным менеджером должен рулить отдельный пользовате, Аноним, 22-Фев-20, 09:07 (98)
        
        А как насчет простого тезиса Подлом этого юзера почти эквивалентен подлому рута, Аноним, 01-Мрт-20, 21:11 (127)
        
        О, а попробуйте так сделать вот прям сейчас на localhost Разумеется, используемо, Michael Shigorin, 22-Фев-20, 16:18 (103)
        
        У меня именно так все и настроено Пользователям права на их shell даю На остал, Аноним, 26-Фев-20, 16:48 (115)
    - Это общеиспользуемые стандарты, других нет Реальность, увы, иная JIT используе, Дон Ягон, 18-Фев-20, 14:31 (78)
      - del, Дон Ягон, 18-Фев-20, 14:50 (79)
      - Желаю все оптимизировать во время компиляции под свой проц, а во время исполнени, Аноним, 19-Фев-20, 17:54 (85)
        
        Это желания и только Реальность есть реальность Некоторые подвижки есть, но и , Дон Ягон, 20-Фев-20, 07:48 (87)
        
        У меня source based дистрибутив вопрошающий мои желания в реальность И по этому , Аноним, 22-Фев-20, 10:45 (99)
        
        Нет, это не так Было бы хорошо, если бы это было так, но это не так и игнориров, Дон Ягон, 23-Фев-20, 06:31 (105)
        
        Потому что никто не хочет лепить свои костыли вместо стандартных возможностей ff, Аноним, 26-Фев-20, 17:09 (116)
        
        Пример, который я описывал был не про обход W X pt 2 pax mprotect , а про обход, Дон Ягон, 26-Фев-20, 23:29 (118)
        
        Рандомизацтя адресного пространства сильно затрудняет поиск нужного кода Ты не с, Аноним, 27-Фев-20, 16:01 (119)
        
        Я про это, да Я не про это Божечки, да причём тут это Когда-то у меня был арч с , Дон Ягон, 27-Фев-20, 16:11 (120)
        Мое мнение, контроль за памятью должен быть только у ядра Изменение исполняемых, Аноним, 28-Фев-20, 15:44 (121)
        Ради бога Почему я считаю, что такой максималистский подход малоприменим для вс, Дон Ягон, 28-Фев-20, 15:49 (122)
        Надеюсь, что всем уже стало понятно необходимость, ядром OS или аппаратно процес, Аноним, 29-Фев-20, 09:07 (123)
        Я прочитал сейчас что-то, по меньшей мере, очень странное И в случае pledge, и в, Дон Ягон, 01-Мрт-20, 05:07 (124)
        Нет, в OpenBSD ядро не дает никаких гарантий, оставляя возможность приложениям и, Аноним, 01-Мрт-20, 15:26 (126)
        Прости, но ты пишешь ахинею Pledge - это системный вызов, как следствие, вся ра, Дон Ягон, 02-Мрт-20, 00:44 (129)
        Плохо то, что есть в ядре OpenBSD возможность дать программ право изменять испол, Аноним, 02-Мрт-20, 15:51 (131)
        Нет, это не плохо, это адекватно требованиям, выдвигаемым к ОС общего назначения, Дон Ягон, 02-Мрт-20, 16:10 (132)
        Нет сегодня возможности проверить логику работы всех программ А безопасность им, Аноним, 03-Мрт-20, 15:55 (133)
        Ну, я к тому, что можно и заканчивать Кажется, друг друга мы поняли, друг с дру, Дон Ягон, 03-Мрт-20, 16:05 (134)
        Вы не сказали самый главный аргумент против использования W X А его надо понима, Аноним, 04-Мрт-20, 16:38 (136)
        ИМХО, это всё совсем не про ОС общего назначения И даже не только лишь по требо, Дон Ягон, 04-Мрт-20, 16:41 (137)
        Про OS общего назначения это Реализация PaX в GNU Linux очень правильная и преду, Аноним, 04-Мрт-20, 16:48 (138)
        Я понял На эту тему все мысли, которые у меня были я уже написал, больше не х, Дон Ягон, 04-Мрт-20, 17:20 (139)
        Классика жанра В спец ПО для райнимации больного допустили ошибку переполнения б, Аноним, 04-Мрт-20, 17:41 (140)
        Логика рассуждения мне понятна, спасибо Мне не понятно, почему бы не резервиров, Дон Ягон, 04-Мрт-20, 17:58 (141)
        А кто даст гарантию что не упадет процесс отвечающий за переключения или вообще , Аноним, 05-Мрт-20, 16:31 (144)
        Всё зависит от того, как именно всё реализовано Мы этих моментов не уточнили - , Дон Ягон, 05-Мрт-20, 17:06 (145)
        Например, переключатель может быть вообще исполнен в железе Есть общая теория пр, Аноним, 07-Мрт-20, 14:28 (148)
  - А кто за лоббирование бесполезной для жизни и очень вредной для безопасности, те, Аноним, 18-Фев-20, 10:02 (76)
  - Типичная апологетика и двойные стандарты Зато соответствует модели угроз с учёто, недобрый, 19-Фев-20, 07:49 (82) //
    - При чём тут мои критерии Приложения хромиум, java перестанут работать Лично , Дон Ягон, 20-Фев-20, 07:27 (86)
      - Что ты тут ёрничаешь Перестанут работать, только если не будет способа снять дл, недобрый, 20-Фев-20, 12:06 (88)
        
        Ну то есть ещё раз если для некоторых приложений не ОТКЛЮЧИТЬ pax-защиты, они р, Дон Ягон, 20-Фев-20, 17:55 (90)
        
        А если отключить - будут Ещё раз это whitelisting, лучшая практика по индустри, недобрый, 20-Фев-20, 22:33 (91)
        
        Вместо решения конкретных проблем - мантры о стандартах индустрии В случае проб, Дон Ягон, 21-Фев-20, 06:34 (94)
        
        ничего себе тут войну и мир пишут можно уже на бумаге издавать, б.б., 21-Фев-20, 08:04 (95)
        Это ты сейчас свои отсылки к стандартам хорошо охарактеризовал Да мне всё равно,, недобрый, 21-Фев-20, 12:48 (96)
        
        Это твои домыслы В первом комментарии речь шла не про paxd и прочие костыли, чт, Дон Ягон, 22-Фев-20, 06:22 (97)
        
        Ты не читатель ты, судя по этому посту писатель https www opennet ru openf, Аноним, 22-Фев-20, 10:59 (100)
        Не домыслы, а хорошо обоснованные выводы Уродство - слово литературное Потом ты, недобрый, 24-Фев-20, 20:11 (106)
        
        Извини, но далее я буду стараться отвечать только на то, на что есть смысл отвеч, Дон Ягон, 25-Фев-20, 03:29 (109)
        Очевидно, что не безразлично Но мне удобнее, чтобы ты не слился, а наоборот про, недобрый, 26-Фев-20, 10:47 (110)
        Ты можешь быть уверен в чём угодно - я не против Во всех ОС общего назначения по, Дон Ягон, 26-Фев-20, 15:54 (112)
        Это ты на словах не против А на деле две недели упражняешься в зарабатывании пр, недобрый, 04-Мрт-20, 20:42 (142)
        Рассуждать отказался Ну, кто бы сомневался И это твоё замечание могло бы иметь , недобрый, 04-Мрт-20, 20:44 (143)
        Вопрос выбора абстракций определений Как по мне, меры защиты должны быть реакцие, Дон Ягон, 26-Фев-20, 15:58 (113)
        Сразу - это прям сразу Значит, у тебя в голове вместо целостной картины не один, недобрый, 26-Фев-20, 10:50 (111)
        
        А где я утверждал, что делали неосознанно и что чинить надо В OpenBSD пусть хот, недобрый, 24-Фев-20, 20:13 (107)
        Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_ Если пакетный , недобрый, 24-Фев-20, 20:17 (108)
У опенка нет будущего Впрочем, как и у бсд Куда корпорации и большой бизнес вл, Аноним, 16-Фев-20, 09:15 (9) //
- В рекламу , neAnonim, 16-Фев-20, 09:53 (15)
- В слежку за тобой через гаджеты , Ананимус, 16-Фев-20, 10:14 (16)
- В геноцид , Аноним, 16-Фев-20, 10:52 (17)
- звук загружающейся плойки , pda, 16-Фев-20, 18:09 (28)
- Смотря какие, штатовские вот последнее время -- всё больше в помойку но тут луч, Michael Shigorin, 16-Фев-20, 18:30 (34) //
  - А что им достанется то В сухом остатке они как делали более 90 софта на планет, Аноним, 16-Фев-20, 20:37 (40) //
    - и это я слышу, если не ошибаюсь, от любителя порой вспомнить изобретение коле, Michael Shigorin, 16-Фев-20, 21:10 (41)
      - Даже и не знаю Я изобретаю велосипеды если вижу в в этом какой-то пойнт А если, Аноним, 16-Фев-20, 21:20 (42)
А ещё лет 10 назад на опеннете Да кому ты нужен, зачем фаервол настраивать, заче, Аноним, 16-Фев-20, 18:37 (35) //
- 10 лет назад ещё не изобрели китайцев Некомпетентные люди существуют во все вре, Аноним, 17-Фев-20, 03:45 (47)
Если помечено уже read-only кем-то третьим, то зачем же второй раз уже самому за, Аноним, 17-Фев-20, 08:08 (50)
https marc info l openbsd-tech m 158237030723610 w 2Трололо, там с первого ра, Дон Ягон, 22-Фев-20, 22:33 (104) //
- https www opennet ru opennews art shtml num 52418, Аноним, 01-Мрт-20, 14:30 (125) //
  - Спасибо, видел Мой комментарий был раньше, когда я ещё не знал, что Максим план, Дон Ягон, 01-Мрт-20, 23:16 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру