forum.opennet.ru

"Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"	+/–
Сообщение от Дон Ягон (ok), 25-Фев-20, 03:29
Извини, но далее я буду стараться отвечать только на то, на что есть смысл отвечать. Можешь считать, что я слился и так далее - мне безразлично. > Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_? Там потерялось слово "файлов". Т.е. речь о: > Если речь о средствах проверки целостности _файлов_ пакета Да. > И волновать это будет только тебя и только с моих слов. Тогда у меня нет адеватных идей, зачем могли перейти на xattr. В моём понимании, это всегда было сдедствием отсутствия в стандартной поставке и нежеланием воевать с пакетным менеджером. > Два инструмента - pledge и MAC - которые ортогональны и лишь частично пересекаются областью применения и природой накладываемых ограничений, ты сравниваешь напрямую. MAC хуже, PaX-флаги хуже, pledge лучше. И считаешь это технической конкретикой. Я ещё уточнял, для чего pledge лучше. И если бы ты и это прочитал/процитировал, было бы не так феерично. Я писал, что pledge лучше чем MAC подходит для защиты приложений от "самих себя", т.е. от эксплуатации дыр в них. Pledge - сорт privilege revocation, MAC - это принудительный контроль доступа, _очевидно_, что это разные решения разных проблем. Многие проблемы, которые можно решать при помощи MAC, при помощи pledge или аналогов решать нельзя в принципе, или какими-то адовыми костылищами. И это _нормально_. > когда PaX с SELinux сравнил Ты делаешь то, в чём постоянно обвиняешь меня - не учитываешь контекст. В сравнении была логика, но ты предпочёл попытаться поглумиться. > Патчи работают сами, отдельно от ядра? Нет. Ядра работают сами, отдельно от приложений? Нет. Вот я и сравниваю OpenBSD со связкой grsecurity-ядро + дистрибутив общего назначения. А ты мне под надуманным предлогом пытаешься отказать в праве на такое сравнение. Какой смысл сравнивать _нишевое_ решение и то, что позиционируется, как общее решение? Право ты, имеешь, и кто я вообще такой, чтобы в чём-то тебя ограничивать? Только а смысл? > Ну да, а в OpenBSD в своё время была опубликована уязвимость к удалённому выполнению произвольного кода в ядре. Покажи мне аналогичную уязвимость в линуксе за время с тех пор по сегодня. Хотя бы такую, которая так же надёжно эксплуатировалась бы в простом линуксе, без grsecurity. И дело не в том, чтобы померяться уязвимостями, а какие выводы затем сделать по факту наличия или отсутствия предпринятых мер, дабы ситуация не повторилась. Насколько я помню, меры были разве что в области проверки аналогичных по смыслу мест, аудиту и так далее. Интеграция тех или иных мер безопасности не бесплатна. Я не знаю, насколько хорошо принятое опенбсдшниками решение поступить так, как они поступили, но аналогичных дыр, емнип, более и в OpenBSD не было. Может быть, потому что таки починили. Может - дыры ещё ждут своего открывателя. Лучше бы OpenSMTPD починили, блин, с ним пока никакие дыры в ядре не нужны. > Про государствннные дистрибутивы специального применения с grsecurity ты тоже не в курсе. Никогда не сомневался в вероятном существовании чего-то подобного. >> Но пока это сторонние патчи (даже если и опенсорсные, как раньше) - это всё игрули для секуьюрити-энтузиастов > Ещё один технический аргумент от не-эксперта. Ну а что, нет? Едва ли "гос дистрибутивы" - это тупо наложенные и активрованные pax-патчи, правда? "Гос дистрибутивы" - это, вероятно, "готовое решение", патчи - playground для разработчиков и энтузиастов и база для чьего-то stable. Я принципиально неправ? >> Сравнивать openbsd с pax нулевых мне как раз малоинтересно, писями меряться - это детский сад. > Я смотрю, история тебя интересует, только когда ты делаешь к ней многозначительную отсылку фразой "история нас рассудит, посмотрим". А когда речь заходит о уже свершившейся истории, о реальных успехах и неудачах, так сразу "детский сад". История тебе не интересна, потому что в неё вошли успехи PaX и бездействие OpenBSD Почему же бездействие? Согласись, не факт, что из-за одного инцидента следует тащить в ядро некую конструкцию, а не просто зачинить то, что было сделано плохо? Успехи PaX, безусловно есть, и в моём признании не нуждаются, но это довольно нишевые успехи. Есть, например, OpenVMS, которая тоже нишевая и тоже умеет КУЧУ того, что OpenBSD не умеет, даже рядом не умеет. Но мы же не сравниваем их, не так ли? > Ты ляпнул в очередной раз, не подумав, про безопасность через корректность. А как запахло жаренным и стало ясно, что безопасность через корректность - это бред, и я за него с тебя спрошу Нет, безопасность через корректность это не бред. Просто закладываться _только_ на корректность - неправильно. И опенбсдшники этого не делают. Но и число интегрированных защит у них меньше, чем у grsecurity, например. > Ну так и PaX/grsecurity крайне осторожны. Ты ведь намекаешь на обратное? Я намекаю на то, что PaX/grsecurity - это набор патчей, который ни в одну публичную ОС общего назначения в стандартную поставку интегрирован не был. > И зачем ты мне эти банальности рассказываешь? Ты ведь намекаешь на то, что grsecurity поступает иначе. А факты где? Фактов нет. Какие могут быть факты, если grsecurity - это патчи, не используемые <и далее по тексту, см. выше>? Не сомневаюсь, что разработчики grsec тестируют в том числе и производительность своих решений, но при всём уважении, полнота их тестов едва ли может быть абсолютной. Но я не намекаю не то, что разработчики grsecurity поступают иначе, я намекаю на то, что есть смысл сравнивать openbsd и какой-нибудь дистрибутив linux, по-возмоности показательный. Но не ОС и набор патчей. >> Так это pledge опциональный. ...... пытаешься выставить недостатком. > Вооот, видишь, как ты удобно для себя вновь поскипал смысловую часть моей реплики. и далее: > Ты специально потёр всю смысловую часть в моей реплике, чтобы увильнуть от отвественности за свои слова. Для справки: opennet выдал мне ошибку о том, что сообщение превышает 30000 символов и я вырезал всё, чтобы сэкономить. Ты напрасно ищешь в этом тайный смысл (но - бога ради). > То есть, у такого враппера остаётся проблема, аналогичная игнорированию LD_PRELOAD. Справедливо (тоже не проверял). > Так зачем он такой нужен? [враппер] Они никакой не ну..н. > Тем, что у тебя получилось идею родить? Молодец, только идея совсем на поверхности лежала и сравнительными достоинствами, увы, не обладает, в отличие от сравнительных недостатков. Потому что я не понимаю, зачем мудрить с "правильным" (в твоей терминологии) решении с хитрожопым враппером, если это всё равно _костыль_? По задумке, это не я придумал, можешь посмотреть в презентациях, pledge и должен явно вызываться в коде. Я думал, что ты хотел костыль-воркэраунд и предложил тебе более простое решение. Как основное решение - никаких врапперов не предполагается. Не вижу смысла обсуждать это - неправилен сам подход. > в прошлом пользователь grsecurity в течение двух лет, на Arch Linux. Продакшен был на debian, но к его настройке я не имел отношения. Никаких проблем с эксплуатацией не было, хотя некоторые вещи были сделаны, по-видимому, странно. Это ничего не значащий опыт - факт. > Во-вторых, даже мнение о том, что PAX_MPROTECT является нарушением стандарта - всего лишь мнение. Это очень удобная позиция. Поэтому я сразу добавляю всегда "и, что самое главное, ломает приложения". Если бы не ломал - чхали бы все на нарушения стандарта. > Ты потому не увидел проблемы "в более позднем отзыве prot_exec", что не учёл, например, случаев атаки на setuid-процессы, когда уязвимость может обнаружиться в самом раннем коде, и эксплуатироваться будет локально, для повышения привилегий. Да нет, я сразу именно про xorg и подумал. Только, емнип, pledge там так или иначе не помог бы. И обрати внимание, что я сказал про то, что не вижу _большой_ проблемы, а также что я согласился с тобой, что с точки зрения безопасности его правильнее отзыать как можно раньше. > И про уязвимости, например, в libc Да нет, не туда ты. Я просто изначально стою на позициях, что 1) pledge - не серебрянная пуля 2) не аналог pax_mprotect. Можно придумать ещё много примеров, когда pledge потенциально(?) не эффективен, и что? Неисполнимую память тоже пытаются обходить, я про всяческий ROP. В значительной части случаев тех мер, которые позволяет pledge достаточно, отдельные кейсы типа тех suid-бинарников можно защитить как-то отдельно. > браузел - лишь один из кейсов, а ты мне снова мычишь в ответ про pledge и unveil, как они могут быть практичнее, чем PaX, и про шансы на эксплуатацию в реальном (!) мире. Браузер - это просто _показательный_ кейс, показывающий пример силы подхода. Про реальный мир - из контекста же было понятно, что речь про использование не на специализированных системах, типа военного и гос сектора, а in the wild? Я _в_курсе_ что PaX используется. Я сомневаюсь в его шансах стать решением по умолчанию хотя бы в одной ОС общего назначения. Насчёт pledge, напоминаю, тоже сомневаюсь, но сам подход мне видится более правильным и перспективным. >>> была, ну т.е. на стадии инициализации), но шансы на эксплуатацию подобного >> в реальном мире невелики. > Очередное самораскрытие. .... И этот опыт нередок Ну, может в какой-то степени, ок. Согласен. Специфика моего текущего окружения - отсутствие посторонних на машинах, поэтому локальные атаки для меня мало актуальны (мало != "не актуальны"). Возможно, недооценил специфики, например, хостинга. > То есть, чтобы добиться практически эквивалетнтого по гибкости использования pledge без модификации и пересборки исходников. Не, я правда не понимаю, зачем ты так хочешь. Потом автор что-то поменяет в коде программы и что-то может в этой конструкции развалиться. Её придётся поддерживать. Это слишком сложно, тогда как добавить в код - просто (технически). Это не требует инфраструктуры. > Преимущества такого подхода в том, что не нужно править исходники. Ты не согласен с тем, что это преимущество, но я чётко и неоднократно озвучил свои предпочтения и требования. Само по себе это не преимущество и не недостаток. Ты же сам про контекст мне напоминал, не? Да, нужно править исходники. Зато не нужна инфраструктура. Твои требования и предпочтения - ради бога, я не утверждаю, что ты нуждаешься в OpenBSD. Я сравниваю конкретные подходы. И я в курсе, если ты не понял, что пока не так много программ защищено с использованием pledge, в то время как grsec используется давно и успешно, в своей области. > Ха, действительно, в OpenBSD нет и, похоже, не было ld.so.preload. Звучит, как будто это не ты допустил ошибку, а OpenBSD виновата. > В любом случае, остаётся как минимум ещё один вариант Ради бога. Может быть, я немного подумаю и догадаюсь, о чём ты, а может быть и нет - не сомневаюсь, что ты знаешь немало того, чего я не знаю. > Чем, по-твоему, занимаются бизнесы, которые оплачивают подписку на grsecurity? Нет, часть клиентов предлагает специализированные дистрибутивы, о grsecurity в составе которых тебе даже гугль не расскажет. Честно, хочешь верь, хочешь нет - ни секунды не сомневался в наличии чего-то подобного. Дальше-то что? Это всё _приватное_. Какой смысл сравнивать специализированное решение и общее решение? Комерчесские решение есть на базе всех или почти все BSD систем, например, и что? Там, наверное, тоже немало всего интересного. Ты хочешь, чтобы я признал (лол), что в grsec разработано больше всяческих техник защиты ядра и не только? Я никогда этого не отрицал, для начала! Только вот говорить про то, что "OpenBSD не доросли до grsec" (или как ты там написал) - некорректно, потому что одно - ОС, другое набор патчей. В публичных дистрибутивах их уже нет, да и при опенсорсности - не было, приватные - отдельная история, т.к. являются спец. решениями (просто по своей сути, на случай, если ты захочешь потроллить меня вопросом "почему?"). > в том числе и такое, вроде Mathematica, которое для "ОС общего назначения" OpenBSD даже не выпускаются. ;) А это, конечно, имеет такое отношение к обсуждаемым темам? Я в курсе, какая nix ОС сейчас самая популярная, спасибо. > что каждый пакет и каждая новая его версия была собрана именно с pledge Процессы в ps помечаются "p". Это можно даже автоматизировать, если это важно. А так да, если важно - проверять. > есть приложения, для которых PROT_EXEC через pledge в лучшем случае сделают опциональным (и придётся настраивать руками), в худшем - вообще не включат Естественно. Я нигде не утверждал обратного. > И получится, что запрет PROT_EXEC через pledge тоже нужно настраивать, но через аргументы командной строки, конфиги (множество разных) или переменные окружения. Всё верно. Мы можем или также не включать, как в PaX или, _возможно_ попробовать сделать лучше. Ну или не сделать, пример ты привёл - pledge не серебрянная пуля, я в курсе, что она решает не все на свете проблемы. > У меня есть. Тебе - нигде. Ну так это аргумент "в мою пользу", а не в твою. С тем что приватно бывает очень всякое я никогда не спорил. > Видишь, тебе _отвратителен_ сам подход. Какие ты от меня технические аргументы в ответ на отвращение хочешь услышать-то? Я писал и про то, что наличие дополнительного процесса, работающего со входными данными от пользователя и управляющего безопасностью приложений - это плохая практика. Потому что это логика сбоку от пакетного менеджера. Потому там могут быть ошибки. Потому что он может упасть, а с обновлением приедет пакет без pax-флагов. Не сомневаюсь, что ты или проигнорируешь это или объявишь несущественным. > То есть, примерно везде, где востребован уровень защиты наилучший из практически достижимых по совокупности требований на сегодняшний день. Доказательств ты, разумеется, не предоставишь. Не, я охотно допускаю, что всё так, но сам факт. > А кто сказал, что оно нишевое? Ты. А на каком основании? Может быть, есть общепринятые представления, классификация ОС? Нет. Может быть, ты эксперт и даёшь экспертное заключение? Тоже нет. Утверждение о нишевости - твоё личное мнение, которое ты очень хочешь выдать за авторитетное. А это напрямую следует из их приватности и декларированных целей - предоставлять максимальную безопасность насмотря на стандарты (например). >> PAX MPROTECT прибивает процесс, который вызывает mprotect, добавляющий PROT_EXEC > Не прибивает, а возвращает EACCES. Поэтому Да, это ты по делу, а я нет. Я не могу сказать, что на самом деле я тогда хотел сказать, или имел ввиду, но так или иначе, по факту я написал херню. Но странно, ведь по контексту _нашей_ беседы, уж что что, а то, что я понимаю, что делает pax_mprotect следует. Стоит ли так передёргивать? Впрочем, ты всё равно будешь - успехов. > О нём уже можно сказать ... полнотой своего применения. А где я опровергал что-то из написанного тобой тут? > Для масс содержимое paxctld.conf могло бы управляться пакетным менеджером Могло бы. Реальность иная и моей вины в этом нет. Это и есть аргументы, а не "выдуманные сложности". > В grsecurity KASLR от-клю-чён. Да, ошибка. Я что-то перепутал, был уверен в обратном. > Нет, факты того, что в стремлении не просадить производительность они от кого-то отличаются, а конкретно от PaX и grsecurity. А я не хочу ничего такого доказывать. Дистрибутивов общего назначение с grsec внутри нет - нет возможности наокпить опыт с сравнить производительность до и после. Согласен, из контекста выглядит так, будто я конкретно в этом противопоставлял openbsd grsec'у. Нет, я просто перечислял, чиселок с grsec у меня нет, и я на это не намекал. > Ну-ка, ну-ка, какие там накладные расходы на KASLR? Копейки, но они есть. А KARL - не рантайм процедура. > Нельзя говорить, потому что ты так сказал? Где критерии? Где факты? Тебе просто очень хочется вывести PaX и grsecurity из ряда конкурентов OpenBSD. Приём не тобой придуман. Эту песню я слышал от разработчиков OpenBSD ещё в начале нулевых. А по факту в этой "ОС не-общего назначения" работает больше приложений, чем в OpenBSD. Прямо с ходу, без расстановки флагов, из пакетов дистрибутивов общего назначения. Вот такой критерий. Можешь теперь с ним не соглашаться, сколько душе угодно. Лучше всё равно не предложишь. Сравнивай условный debian до pax и с pax, зачем тут OpenBSD? Приложений под неё меньше, и для меня это не новость, но это по другим причинам. Ты ещё про то, что она масштабируется хуже, например, вспомни, ага. Критерии - декларируемые цели / реализуемые по факту решения. > Тебе не надо, а мне надо. "Ни в коем случае" - типичный нигилизм и неуважение к чужому мнению. Один ты умный с правильным мнением, да разработчики OpenBSD. У всех остальных мнение неправильное. Конкретное решение (с pledge) мне кажется слишком очевидным, я, наверное, до этого сообщения воспринимал твой пример про LD_PRELOAD исключительно как троллинг и желание простого костыля. Цели задеть тебя не было, если ты об этом.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD, opennews, 16-Фев-20, 08:44 [смотреть все]

Но как же хвалёное внимание BSD-шников к безопасности , Аноним, 16-Фев-20, 08:44 (1) //
- непрерывный аудит и находит такие ошибки, б.б., 16-Фев-20, 08:50 (2) //
  - Да, тут было бы интересно узнать, какое время эта уязвимость просидела незамечен, Андрей, 16-Фев-20, 18:26 (32) //
    - судя по тому, что патч вышел для 6 6, но не вышел, как обычно, для 6 5, значит у, б.б., 17-Фев-20, 07:15 (49)
  - Но тогда получается что линуксоиды со своим syzkaller ом и сотнями тестов, аудит, Аноним, 16-Фев-20, 20:30 (38) //
    - Отдельные линуксоиды опеннета, по понтам -- так уж точно , Аноним, 16-Фев-20, 22:52 (43)
      - У кого ж они этому научились Вроде, говорят что BSD до Linux появились , Аноним, 16-Фев-20, 23:12 (44)
        
        И часовню - тоже они , Аноним, 17-Фев-20, 00:37 (46)
        
        BSDшники написали Unix, да , Аноним, 17-Фев-20, 11:48 (51)
        
        Да они рядом, это просто соседняя стайка напыщеных гусей Что характерно, и тем , Аноним, 17-Фев-20, 15:11 (56)
        Авотфиг Вон там Euler Linux таки сертифицЫровли как UNIX facepalm А бздов в, Аноним, 20-Фев-20, 22:43 (92)
    - Да , Аноним, 17-Фев-20, 17:22 (60)
    - syzkaller ом и сотнями тестов, аудитов и фуззинга не гарантируют нахождение ошиб, Аноним, 17-Фев-20, 17:47 (61)
      - Стопроцентные гарантии в этом мире даже страховой полис, увы, не дает Работает , Аноним, 17-Фев-20, 21:13 (65)
- Так вот же оно - были столь внимательны, что обнаружили очередную уязвимость , Валик, 16-Фев-20, 08:52 (3)
- BSD большой и все 1782 4 BSDшника не смогут выловить все баги до очередного рел, A.Stahl, 16-Фев-20, 08:54 (4) //
  - По-моему, ваша оценка числа разработчиков опёнка сильно завышена На пару порядк, Аноним, 17-Фев-20, 11:50 (52)
  - Активных разработчиков OpenBSD одномоментно порядка 70, всего 8212 несколько , Аноним, 17-Фев-20, 21:35 (67)
- Тео изначально сказал что защита памяти в опенке будет не строгая, а со щелями , Аноним, 16-Фев-20, 08:58 (6) //
  - А есть пруфы , Аноним, 16-Фев-20, 13:23 (22) //
    - Были, надо искать, даже здесь писали Смотри планы по защите памяти в опенке, осо, Аноним, 18-Фев-20, 08:49 (68)
    - paxtest запусти , Аноним, 18-Фев-20, 09:54 (74)
    - https security stackexchange com questions 139238 why-does-paxtest-show-openbs, Аноним, 18-Фев-20, 09:58 (75)
  - Так говорил Заратустра , xm, 16-Фев-20, 16:19 (25)
- Сейчас тебе расскажут, что поэтому и находят уязвимости, что внимательно следят, llol, 16-Фев-20, 11:59 (20) //
  - Дегенераты из линуксового мира до сих пор не могут понять что основные BSD это , xm, 16-Фев-20, 16:21 (26) //
    - Знаете, я не специалист по таким состояниям, но Вашу мысль можно было переформул, Michael Shigorin, 16-Фев-20, 18:18 (30)
    - Жителю Санкт-Петербурга простительно не понимать тонкой разницы между чеченцем и, Аноним, 17-Фев-20, 11:51 (53)
      - Жителям Санкт-Петербурга прежде чем искать всякого рода тонкие разницы недур, xm, 17-Фев-20, 13:07 (54)
        
        Да вот знаете, если так посмотреть кто в парадных ссыт, у них почему-то обычно ч, Аноним, 17-Фев-20, 15:23 (57)
- Во-первых, не BSD-шников , а опёнковцев Во-вторых, на всякого Акелу в сходяще, Michael Shigorin, 16-Фев-20, 18:13 (29) //
  - При том если Акелла вдруг удумает лечить что, например, виртуализация не нужна -, Аноним, 16-Фев-20, 20:34 (39) //
    - Потому что аноним, как обычно, слышал звон И ЧСЗ, самозабвенно повторяет его уж, Аноним, 16-Фев-20, 23:14 (45)
      - Во первых, я видел виртуализаторы самого разного пошиба в продакшнах и тестлабах, Аноним, 17-Фев-20, 04:50 (48)
        
        Разве что в параллельной вселенной Ну или все эти ваши жирные корпорации с мир, Аноним, 17-Фев-20, 14:45 (55)
        
        Это годные сельпо, оно завалили глобус продукцией С хорошей вероятностью вы их , Аноним, 17-Фев-20, 16:51 (58)
        
        Вряд ли Два комментария с морем пафоса, воды, повторов одно и того же на разные , анонн, 17-Фев-20, 18:40 (63)
        
        Мегакорпорации штука забавная - ухитряются пролезть в самые неожиданные области , Аноним, 17-Фев-20, 21:34 (66)
В OpenBSD защита памяти сделана хуже чем в Linux PAX GrSecurity https pax , Аноним, 16-Фев-20, 08:56 (5) //
- В дополнение к защите памяти с помощью классических R, W, X, UNIX должен защищат, Аноним, 16-Фев-20, 09:13 (8) //
  - мы выслушали очередную рекламу Grsec не осилившего прочитать штатные средства за, Аноним, 16-Фев-20, 09:24 (13) //
    - После Grsecurity, Аноним, 17-Фев-20, 17:50 (62)
      - да да, вот шнурки отглажу тогда уж grsec спер из Virtuozzo Linux-VServer, Аноним, 17-Фев-20, 20:51 (64)
- мы выслушали очередную рекламу grsec Как там в у вас с нарушениями GPL , Аноним, 16-Фев-20, 09:22 (11) //
  - https www opennet ru openforum vsluhforumID3 119728 html 31https www opennet, Аноним, 16-Фев-20, 09:32 (14)
- The restrictions prevent - creating executable anonymous mappings - creatin, Аноним, 16-Фев-20, 09:22 (12)
- Конечно же, вы правы Только хотелось бы уточнить, почему пользователей дистрибу, Аноним, 16-Фев-20, 11:06 (18) //
  - Хорош вопрос Вернемся к истокам и вспомним историю первого безопасного дистрибут, Аноним, 16-Фев-20, 11:57 (19) //
    - Это был линукс , Consta, 16-Фев-20, 12:50 (21)
      - Да, GNU Linux, но с расширенными возможностями ядра, компилятора, глибс и бинути, Аноним, 18-Фев-20, 09:00 (69)
        
        Это не спасает Дело не только в формальной матмодели как таковой как в совокуп, Consta, 18-Фев-20, 17:41 (80)
        
        Много писать не хочется, буду краток 1 Если идти путем разработки микроядра с т, Аноним, 19-Фев-20, 16:58 (83)
        
        Зачем Там свое Кроме того, я не предлагал такое Смысл моего прсыла был в том,, Consta, 20-Фев-20, 13:47 (89)
        
        Доказано что любая реализация DAC и MAC в микроядерных OS будет работать более ч, Аноним, 22-Фев-20, 11:48 (101)
        
        Где можно ознакомиться с соответствующими доказательствами Может, хоть у меня п, Consta, 22-Фев-20, 15:06 (102)
        
        Мы когда-то посовещались и Я так решил https www opennet ru openforum vsluhfor, Аноним, 26-Фев-20, 16:43 (114)
        
        - Вы не хотите настроить простую DAC, спорите о том, что можно выделять память о, Аноним, 26-Фев-20, 17:25 (117)
        Правильно понимаю, что предлагается в качестве доказательств рассматривать ссылк, Consta, 02-Мрт-20, 15:24 (130)
        Там вполне достаточно чтобы сложить 2 2 Дополнения для безопасности Писал уже, c, Аноним, 04-Мрт-20, 16:24 (135)
        Да я и не сомневался, что сразу все ясно Решение, безусловно, новаторское Снач, Consta, 06-Мрт-20, 11:12 (146)
        Нет времени спорить и что то доказывать Это сложные вещи Кратко Сетевой экран, , Аноним, 07-Мрт-20, 12:40 (147)
    - Теперь это Астра , pin, 16-Фев-20, 13:42 (23)
      - Если вдруг Вы угадали -- то было бы особенно пикантно, потому как несколько лет , Michael Shigorin, 16-Фев-20, 18:27 (33)
      - Нет не Астра , Аноним, 18-Фев-20, 09:01 (70)
    - Спектре матмодель учитывала , cutlass, 16-Фев-20, 14:59 (24)
      - Это было 10 лет назад , Аноним, 18-Фев-20, 09:02 (71)
    - На ентерпрайз-дистрибутивах можно неплохо попилить, а на твоей разработке как , Аноним, 16-Фев-20, 16:23 (27)
    - Во-первых, если он и претендовал на первый безопасный , это была ложь Во-вторых, Michael Shigorin, 16-Фев-20, 18:24 (31)
    - Всё уже придумано полвека назад, но только не бздунами под дырявую платформу htt, tensor, 16-Фев-20, 19:57 (36)
    - Да, в донкихотство теперь не верит даже Газпром, им видимо донесли что бюджет вс, Аноним, 17-Фев-20, 17:00 (59)
      - Речь шла об ОС общего назначения , Аноним, 18-Фев-20, 09:10 (72)
        
        В ос общего назначения крапа слишком уж много, все предусмотреть имхо малореальн, Аноним, 19-Фев-20, 01:00 (81)
- Она, главным образом, сделана по другому И OpenBSD, в отличие от NetBSD и Harde, Дон Ягон, 16-Фев-20, 20:18 (37) //
  - Спасибо за расширенный ответ Неизыблемое правило DAC - все исполняемое не должно, Аноним, 18-Фев-20, 09:50 (73) //
    - Это которая с питоном и шеллскриптами, умеющими в eval и чьи интерпрета, анонн, 18-Фев-20, 13:27 (77)
      - Интерпретаторы, с питоном включительно, можно обрезать простым DAC Обычному пол, Аноним, 19-Фев-20, 17:24 (84)
        
        Угу, обрежь пакетный менеджер простым DAC И чего он сможет потом А ежели это, Аноним, 20-Фев-20, 22:54 (93)
        
        Именно так и надо делать Пакетным менеджером должен рулить отдельный пользовате, Аноним, 22-Фев-20, 09:07 (98)
        
        А как насчет простого тезиса Подлом этого юзера почти эквивалентен подлому рута, Аноним, 01-Мрт-20, 21:11 (127)
        
        О, а попробуйте так сделать вот прям сейчас на localhost Разумеется, используемо, Michael Shigorin, 22-Фев-20, 16:18 (103)
        
        У меня именно так все и настроено Пользователям права на их shell даю На остал, Аноним, 26-Фев-20, 16:48 (115)
    - Это общеиспользуемые стандарты, других нет Реальность, увы, иная JIT используе, Дон Ягон, 18-Фев-20, 14:31 (78)
      - del, Дон Ягон, 18-Фев-20, 14:50 (79)
      - Желаю все оптимизировать во время компиляции под свой проц, а во время исполнени, Аноним, 19-Фев-20, 17:54 (85)
        
        Это желания и только Реальность есть реальность Некоторые подвижки есть, но и , Дон Ягон, 20-Фев-20, 07:48 (87)
        
        У меня source based дистрибутив вопрошающий мои желания в реальность И по этому , Аноним, 22-Фев-20, 10:45 (99)
        
        Нет, это не так Было бы хорошо, если бы это было так, но это не так и игнориров, Дон Ягон, 23-Фев-20, 06:31 (105)
        
        Потому что никто не хочет лепить свои костыли вместо стандартных возможностей ff, Аноним, 26-Фев-20, 17:09 (116)
        
        Пример, который я описывал был не про обход W X pt 2 pax mprotect , а про обход, Дон Ягон, 26-Фев-20, 23:29 (118)
        
        Рандомизацтя адресного пространства сильно затрудняет поиск нужного кода Ты не с, Аноним, 27-Фев-20, 16:01 (119)
        
        Я про это, да Я не про это Божечки, да причём тут это Когда-то у меня был арч с , Дон Ягон, 27-Фев-20, 16:11 (120)
        Мое мнение, контроль за памятью должен быть только у ядра Изменение исполняемых, Аноним, 28-Фев-20, 15:44 (121)
        Ради бога Почему я считаю, что такой максималистский подход малоприменим для вс, Дон Ягон, 28-Фев-20, 15:49 (122)
        Надеюсь, что всем уже стало понятно необходимость, ядром OS или аппаратно процес, Аноним, 29-Фев-20, 09:07 (123)
        Я прочитал сейчас что-то, по меньшей мере, очень странное И в случае pledge, и в, Дон Ягон, 01-Мрт-20, 05:07 (124)
        Нет, в OpenBSD ядро не дает никаких гарантий, оставляя возможность приложениям и, Аноним, 01-Мрт-20, 15:26 (126)
        Прости, но ты пишешь ахинею Pledge - это системный вызов, как следствие, вся ра, Дон Ягон, 02-Мрт-20, 00:44 (129)
        Плохо то, что есть в ядре OpenBSD возможность дать программ право изменять испол, Аноним, 02-Мрт-20, 15:51 (131)
        Нет, это не плохо, это адекватно требованиям, выдвигаемым к ОС общего назначения, Дон Ягон, 02-Мрт-20, 16:10 (132)
        Нет сегодня возможности проверить логику работы всех программ А безопасность им, Аноним, 03-Мрт-20, 15:55 (133)
        Ну, я к тому, что можно и заканчивать Кажется, друг друга мы поняли, друг с дру, Дон Ягон, 03-Мрт-20, 16:05 (134)
        Вы не сказали самый главный аргумент против использования W X А его надо понима, Аноним, 04-Мрт-20, 16:38 (136)
        ИМХО, это всё совсем не про ОС общего назначения И даже не только лишь по требо, Дон Ягон, 04-Мрт-20, 16:41 (137)
        Про OS общего назначения это Реализация PaX в GNU Linux очень правильная и преду, Аноним, 04-Мрт-20, 16:48 (138)
        Я понял На эту тему все мысли, которые у меня были я уже написал, больше не х, Дон Ягон, 04-Мрт-20, 17:20 (139)
        Классика жанра В спец ПО для райнимации больного допустили ошибку переполнения б, Аноним, 04-Мрт-20, 17:41 (140)
        Логика рассуждения мне понятна, спасибо Мне не понятно, почему бы не резервиров, Дон Ягон, 04-Мрт-20, 17:58 (141)
        А кто даст гарантию что не упадет процесс отвечающий за переключения или вообще , Аноним, 05-Мрт-20, 16:31 (144)
        Всё зависит от того, как именно всё реализовано Мы этих моментов не уточнили - , Дон Ягон, 05-Мрт-20, 17:06 (145)
        Например, переключатель может быть вообще исполнен в железе Есть общая теория пр, Аноним, 07-Мрт-20, 14:28 (148)
  - А кто за лоббирование бесполезной для жизни и очень вредной для безопасности, те, Аноним, 18-Фев-20, 10:02 (76)
  - Типичная апологетика и двойные стандарты Зато соответствует модели угроз с учёто, недобрый, 19-Фев-20, 07:49 (82) //
    - При чём тут мои критерии Приложения хромиум, java перестанут работать Лично , Дон Ягон, 20-Фев-20, 07:27 (86)
      - Что ты тут ёрничаешь Перестанут работать, только если не будет способа снять дл, недобрый, 20-Фев-20, 12:06 (88)
        
        Ну то есть ещё раз если для некоторых приложений не ОТКЛЮЧИТЬ pax-защиты, они р, Дон Ягон, 20-Фев-20, 17:55 (90)
        
        А если отключить - будут Ещё раз это whitelisting, лучшая практика по индустри, недобрый, 20-Фев-20, 22:33 (91)
        
        Вместо решения конкретных проблем - мантры о стандартах индустрии В случае проб, Дон Ягон, 21-Фев-20, 06:34 (94)
        
        ничего себе тут войну и мир пишут можно уже на бумаге издавать, б.б., 21-Фев-20, 08:04 (95)
        Это ты сейчас свои отсылки к стандартам хорошо охарактеризовал Да мне всё равно,, недобрый, 21-Фев-20, 12:48 (96)
        
        Это твои домыслы В первом комментарии речь шла не про paxd и прочие костыли, чт, Дон Ягон, 22-Фев-20, 06:22 (97)
        
        Ты не читатель ты, судя по этому посту писатель https www opennet ru openf, Аноним, 22-Фев-20, 10:59 (100)
        Не домыслы, а хорошо обоснованные выводы Уродство - слово литературное Потом ты, недобрый, 24-Фев-20, 20:11 (106)
        
        Извини, но далее я буду стараться отвечать только на то, на что есть смысл отвеч , Дон Ягон, 25-Фев-20, 03:29 (109)
        Очевидно, что не безразлично Но мне удобнее, чтобы ты не слился, а наоборот про, недобрый, 26-Фев-20, 10:47 (110)
        Ты можешь быть уверен в чём угодно - я не против Во всех ОС общего назначения по, Дон Ягон, 26-Фев-20, 15:54 (112)
        Это ты на словах не против А на деле две недели упражняешься в зарабатывании пр, недобрый, 04-Мрт-20, 20:42 (142)
        Рассуждать отказался Ну, кто бы сомневался И это твоё замечание могло бы иметь , недобрый, 04-Мрт-20, 20:44 (143)
        Вопрос выбора абстракций определений Как по мне, меры защиты должны быть реакцие, Дон Ягон, 26-Фев-20, 15:58 (113)
        Сразу - это прям сразу Значит, у тебя в голове вместо целостной картины не один, недобрый, 26-Фев-20, 10:50 (111)
        
        А где я утверждал, что делали неосознанно и что чинить надо В OpenBSD пусть хот, недобрый, 24-Фев-20, 20:13 (107)
        Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_ Если пакетный , недобрый, 24-Фев-20, 20:17 (108)
У опенка нет будущего Впрочем, как и у бсд Куда корпорации и большой бизнес вл, Аноним, 16-Фев-20, 09:15 (9) //
- В рекламу , neAnonim, 16-Фев-20, 09:53 (15)
- В слежку за тобой через гаджеты , Ананимус, 16-Фев-20, 10:14 (16)
- В геноцид , Аноним, 16-Фев-20, 10:52 (17)
- звук загружающейся плойки , pda, 16-Фев-20, 18:09 (28)
- Смотря какие, штатовские вот последнее время -- всё больше в помойку но тут луч, Michael Shigorin, 16-Фев-20, 18:30 (34) //
  - А что им достанется то В сухом остатке они как делали более 90 софта на планет, Аноним, 16-Фев-20, 20:37 (40) //
    - и это я слышу, если не ошибаюсь, от любителя порой вспомнить изобретение коле, Michael Shigorin, 16-Фев-20, 21:10 (41)
      - Даже и не знаю Я изобретаю велосипеды если вижу в в этом какой-то пойнт А если, Аноним, 16-Фев-20, 21:20 (42)
А ещё лет 10 назад на опеннете Да кому ты нужен, зачем фаервол настраивать, заче, Аноним, 16-Фев-20, 18:37 (35) //
- 10 лет назад ещё не изобрели китайцев Некомпетентные люди существуют во все вре, Аноним, 17-Фев-20, 03:45 (47)
Если помечено уже read-only кем-то третьим, то зачем же второй раз уже самому за, Аноним, 17-Фев-20, 08:08 (50)
https marc info l openbsd-tech m 158237030723610 w 2Трололо, там с первого ра, Дон Ягон, 22-Фев-20, 22:33 (104) //
- https www opennet ru opennews art shtml num 52418, Аноним, 01-Мрт-20, 14:30 (125) //
  - Спасибо, видел Мой комментарий был раньше, когда я ещё не знал, что Максим план, Дон Ягон, 01-Мрт-20, 23:16 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру