>Во-первых, не додумывайте. Я не додумываю.Я знаю.Это так, по опыту насчет качества софта просто.Вам может быть и хотелось бы чтобы было иначе.Ну, хотите.А толку?В лучшем для вас случае - ос сдохнет до того как кто-то ей заинтересуется с точки зрения секурити и умрет "условно непобежденной".В хучшем вас скорее всего будет ждать суровое разочарование если кто-то откопает хотя-бы треть всех дыр которые там есть.Вон макос помните какой нерушимой считалась?А как под х86 ее сделали да популярность увеличилась - вон и трояны\вири для нее уже есть и апдейты пачками.А все потому что хаксорам x86 привычнее PPC а популярность способствует желанию засунуть свой нос в код системы.
>Во-вторых, если нельзя верить глазам и ушам, то строить любые умозаключения
>бессмысленно.
Кроме глаз и ушей нужен еще мозг.Желательно работающий.Идеально - еще и просто объективно и без фанатизма взвешивающий все факты.Все "за" и "против", etc.
>В частности, если мне говорят «А» вместо «Б»
>(не важно, по незнанию, рассеянности, глупости…), то мне это НЕ нравится.
Так на то и обсуждение чтобы привести контр-аргументы.Только вот аргументы вида "я своими глазами вижу что Солнце вращается вокруг Земли и что Земля - плоская а вы все брехуны!" мне не нравятся.Да, глаза иногда могут обмануть.Если бы люди верили *только* глазам - до сих пор думали бы что солнце вращается вокруг земли и что сама земля плоская.Ведь на первый взгляд - все именно так!Глаза видят именно это.
>Если он занимается разработкой систем защиты (а SCTP разрабатывался именно как
>«защищённый TCP»), то обязан. Впрочем, не об этом речь.
Простите, а в каком месте он позиционируется как "защищенный" то?Там только устранен тупняк с хэндшейком TCP разве что, позволявший DoS атаки.Сам по себе - просто транспортный протокол.Без каких-то особых секурити фич.Оно отличается по свойствам доставки данных от TCP и от UDP, чем и интересно всем в основном.
>Может. Только изначально в тексте речь шла не о конкретной дырке в
>SCTP (готов поспорить, тов. эксперт специально взял для примера нечто
>малораспространённое, чтобы не нагонять панику), а о подходе как таковом.
А насчет именно подхода - я совсем не против чтобы разработчиков лишний раз пнули чтобы они понимали истинную ответственность и опасность таких дыр.То что они увидели это как DoS - они не хакеры все-таки и в деталях хакерского ремесла разбираться в принципе не обязаны.Положа руку на сердце - для того чтобы такой сплойт сделать даже матерому хакеру пришлось посношать себе мозг.А разработчики - не хакеры которые именно профессионально взламывают системы все-таки.Не каждый разработчик замков всенепременно спец по их вскрытию подручными средствами.
>Как я (и не только) уже говорил, это вопрос рисков.
В чем-то вы правы.Но с такой точки зрения - этот конкретный эксплойт low risk.Почему-см.выше.Т.е. шуму много а толка - мало.Много вы видели систем в интернете где SCTP приложения слушают?Да еще надо чтобы они на число соединений плевали и т.п..Эксплойтец то достаточно брейнфакерский, им что попало не подломишь, нужно стечение ряда обстоятельств.Я вот так сходу попросту не нашел что им можно долбануть для проверки из того что под рукой.
>Во-первых, не путайте FireFox и собственно ОС. FireFox пишут отнюдь не разработчики
>ОС.
И что?Они его поставляют в комплекте как я понимаю, а потому в ответе и за него.И, простите, подсовывать заведомо дырявые дефолты - нехорошо.ИМХО.Думаете, мне большая радость от того что меня поимеют не через софт писаный такими-сякими а только ими засунутый и не обновленный до текущего?At the end of day мне результат все-таки важнее.
>Во-вторых, насчёт NetBSD не скажу, а в случае с OpenBSD все, кому надо,
Ой.Это все отмазки, согласитесь?В конечном итоге - было бы замечательно если бы в системе не лежали грабельки без добавочных телодвижений по их убиранию.И старый файрфокс в системе - достаточно безответственно.Именно в плане секурити как раз.
>работы она намного обходит «релизы» какой-нибудь Ubuntu.
Ну, у меня как минимум убунту заводит видео и все остальное без недельного приложения напильника и файрфокс без лишнего траха до текущего проапдейтить можно.
И, если честно, мне не очень охота "загорать" под днищем "Жигуля", колупать конфиги иксов и изучать побочные методы "как обновить файрфоксину" отличные от дефолтных системных средств управления софтом в их дефолтовом состоянии, чисто для того чтобы исправить проколы разработчиков своими руками. Особенно - если система планируется к юзежу как десктоп. В этом плане мне проще купить иномарку под которой загорать не придется, юзать ОС где не придется "загорать" в конфигах и т.п. - в конце концов, шина PCI-E доступна процу а не мне.Это не значит что я дуб, это значит что я полагаю что машинную работу - надо отдать именно машинам.А людям хорошо бы заниматься чем-то более креативным чем ручные указания системе по части видеокарты и ее параметров.
Также на мое ИМХО мне не должны подкладывать грабли в дефолтовом виде системы.А уж что я там дальше напортачу и где я захочу покопаться - мое дело и моя ответственность.А ответственность вендора (дистроклепателей, майнтайнеров, сообщества, кого угодно!) - предоставить систему без заведомых граблей настолько насколько это возможно. В противном случае не очень охота иметь дело с системой где надо постоянно опасаться каких-то капканов в дефолтном ее состоянии и ходить с картой их размещения (обновляемой и какой там еще).
>Дык это вы сами её приплели, не?
Я увидел комент чувака к эксплойту и предположил что его роутерная компания действует так же как и все остальные конторы такого типа.Т.е. засовывает проприетарный форк в свою железяку и продает.Стандартное поведение роутерных компаний.Вам ли это не знать?
>Ясно, не поняли друг друга. :) Я понял, что речь идёт о
>крупном провайдере, типа ТТК…
А я так понял что тот перец работает (или работал) в каком-то производителе роутеров и они юзали у себя FreeBSD.Для *провайдера*, особенно буржуйского было бы очень странно и нелогично покупать коммерческий софт для аудита и самолично фиксить систему.Вы ничего не попутали?Провайдер занимается предоставлением услуг а не майнтайнерством своих клонов системы - провайдерам оно нафиг не надо и им то как раз логично было бы спихать непрофильную деятельность не приносящую дохода на комьюнити, может даже и подкормив их разок на копию софта для аудита и прочая.Это дешевле чем орду своих програмеров, тестеров, манагеров и прочего стаффа содержать.
>>в NT4, сто лет назад.И в пингвине оно слава богу не
>>вчера появилось.Ничего так разница в развитии, да?
>Угу. Сколько пользовательских данных умерло до вылизывания ext3 мне вам напомнить, или
>сами погуглите? Про NT вообще молчу, сколько я уже падений NTFS видел…
И ... чего?Я вот добрых лет 5 пользуюсь EXT2/3.И *ничего* на моей памяти не терял по вине ФС so far, особенно ext3.Может везло.Или еще чего.NTFS - да, может подохнуть, видал такое.Но обычно все-таки с посторонней помощью (e.g. сбоящая RAM, левые записи на том, etc).А вот нежурналируемый фат у меня вполне себе рассыпался на лост кластеры в очень серьезном количестве при слете питания при активной записи файлов(что послужило веским стимулом к юзанию журналируемых ФС-они обычно настолько не разваливаются).И уж что может быть приятнее чем в середине работы (если чекать диск полчаса при загрузке влом) потом узнать что в ФС имеются сбои, дескать.А то вас послушать - можно подумать что без журнала ФС не рушится.Как правило сильнее рушится и требует длительной проверки утилсой.Чисто по логике вещей - с журналом можно ФС привести в консистентное состояние относительно малой кровью и быстро (в хучшем случае немного пострадает файл который писался в данный момент).А без журнала даже не известно в каком месте и что обломалось - придется за неимением лучших вариантов всю ФС лопатить в поисках неконсистентностей.Круто, да!Для времен эпохи FAT16 - самое оно.А для 2009 как-то не катит уже :P
