Comments 413
Может MS сразу предложить отказаться от Windows? Так еще проще.
Действительно, ведь в других операционных системах «уязвимостей нет»
Дело не в уязвимостях, а в отношении к ним.
А вы я смотрю любите патчить наспех не протестировав произведённые изменения.
Нормальное отношение, они опубликовали оповещение и несколько путей временно избежать уязвимость, пока ведется исследование проблемы, а не просто «предлагает просто отказаться от открытия этих файлов». Почитайте www.microsoft.com/technet/security/advisory/2501696.mspx для начала.
А вот подход автора новости (искажение информации), это да, это некрасиво.
А вот подход автора новости (искажение информации), это да, это некрасиво.
Может оно и так, я лишь прокомментировал то, что увидел. Глубоко в проблеме не разбирался, поскольку тема не очень для меня интересна, а понадеялся на компетенцию и объективность автора.
У других операционных систем в конце подобных новостей обычно есть строчка «патч уже выпущен».
Обычно ставишь апдейты безопасности а потом ждешь новостей, что это были за уязвимости :)
Очевидно, патч не могут выпустить мгновенно после появления уязвимости. Более того, для всестороннего тестирования патча как ни крути может потребоваться несколько дней времени, а то и неделя. Если в новости пишут «патч уже выпущен», скорее это просто новость запоздалая =)
> Очевидно, патч не могут выпустить мгновенно после появления уязвимости.
Мгновенно — нет. Обычно выпускают в день обнаружения или максимум на следующий.
Мгновенно — нет. Обычно выпускают в день обнаружения или максимум на следующий.
Хотите сказать, что в линуксе (в ядре и популярных дистрибутивах) в баг-трэкере нет критичных багов в безопасности старее одного-двух дней?
Я просто удивляюсь рассуждениям, смысл которых сводится к тому, что разработчик лох, потому что не выпустил патч сразу же или через день/два после обнаружения уязвимости.
Вы сами-то способны выпустить патч сразу или через день или два после обнаружения уязвимости в Вашей софтинке? Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
Вы сами-то способны выпустить патч сразу или через день или два после обнаружения уязвимости в Вашей софтинке? Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
> Я просто удивляюсь рассуждениям, смысл которых сводится к
Написанию выводов из сделанных наблюдений.
> Вы сами-то способны
lurkmore.ru/Сперва_добейся
> Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
Вы можете пойти к офису Red Hat Inc. и поорать всё это там. Кстати, а чего это вы так нервничаете? Что-то не так?
Написанию выводов из сделанных наблюдений.
> Вы сами-то способны
lurkmore.ru/Сперва_добейся
> Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
Вы можете пойти к офису Red Hat Inc. и поорать всё это там. Кстати, а чего это вы так нервничаете? Что-то не так?
Написанию выводов из сделанных наблюдений
Подытожим Ваши результаты наблюдений из этой ветки обсуждений:
1) «У других операционных систем в конце подобных новостей обычно есть строчка «патч уже выпущен»»
2) «Обычно <патч> выпускают в день обнаружения или максимум на следующий»
Надеюсь Вы не много ресурсов потратили на наблюдения?
Вы можете пойти к офису Red Hat Inc. и поорать всё это там
Зачем? RedHat Inc. пишет патчи для ядра Linux. Ребята из RedHat Inc. смогут сказать за сколько в среднем они устраняют ту или иную уязвимость, основываясь на своем опыте. И они, естественно, не будут кричать, что кто-то не устранил уязвимость в один момент, а значит он плохой программист. Потому что они знают, что это непросто.
А на чем основываются Ваши суждения? На наблюдениях, что описаны Вами выше?
Кстати, а чего это вы так нервничаете? Что-то не так?
Я не нервничаю. Я
> просто удивляюсь
Продолжим, когда вы процитируйте моё сообщение, в котором я кого-либо называл плохим программистом. Так же прошу вас обратить внимание на те сообщения, на которые я отвечал.
Вы этого не писали.
Но смысл Ваших сообщений с негодованием по поводу «мгновенных патчей» сводится именно к этому.
Это результат моего наблюдения за Вами.
Но смысл Ваших сообщений с негодованием по поводу «мгновенных патчей» сводится именно к этому.
Это результат моего наблюдения за Вами.
> Вы этого не писали.
> Но смысл Ваших сообщений
> Это результат моего наблюдения
Пожалуйста выложите здесь развёрнутый лингвистический анализ вот этих двух комментариев:
habrahabr.ru/blogs/infosecurity/112801/#comment_3614173
habrahabr.ru/blogs/infosecurity/112801/#comment_3614232
Спасибо.
> Но смысл Ваших сообщений
> Это результат моего наблюдения
Пожалуйста выложите здесь развёрнутый лингвистический анализ вот этих двух комментариев:
habrahabr.ru/blogs/infosecurity/112801/#comment_3614173
habrahabr.ru/blogs/infosecurity/112801/#comment_3614232
Спасибо.
Не нашёл красивого графика за более поздний год, поэтому:
В результате были получены следующие значения среднего времени (в днях) устранения уязвимостей в различных операционных системах:
На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.
www.securitylab.ru/analytics/311005.php
В результате были получены следующие значения среднего времени (в днях) устранения уязвимостей в различных операционных системах:
На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.
www.securitylab.ru/analytics/311005.php
> Не нашёл красивого графика за более поздний год
В таком случае максимум, что нам есть обсуждать, это безопасность Windows XP SP2.
В таком случае максимум, что нам есть обсуждать, это безопасность Windows XP SP2.
С времён XP всё с безопасностью стало лучше.
Вы реально считаете, что в RedHat уязвимости закрывались 106.83 дня в 2006 году, а через 4 года стали «выпускают в день обнаружения или максимум на следующий»???
Вы реально считаете, что в RedHat уязвимости закрывались 106.83 дня в 2006 году, а через 4 года стали «выпускают в день обнаружения или максимум на следующий»???
> С времён XP всё с безопасностью стало лучше.
Предоставьте более актуальную статистику с пруфлинками.
> Вы реально считаете, что в RedHat уязвимости закрывались
Если у Red Hat всё так плохо с безопасностью, то почему нет эпидемий на Linux-серверах из-за уязвимостей в Linux?
Предоставьте более актуальную статистику с пруфлинками.
> Вы реально считаете, что в RedHat уязвимости закрывались
Если у Red Hat всё так плохо с безопасностью, то почему нет эпидемий на Linux-серверах из-за уязвимостей в Linux?
Хороший сисадмин держит открытыми только те порты, которые необходимы для работы сервера. Сделайте так на винде и к ней никто не подберется.
P.S. Не в тему, но все же. Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
P.S. Не в тему, но все же. Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
Windows Update и дистрибутивы Windows раздаются с Винды? А то Akamai похоже на Linux работает.
А к чему это вообше?
Akamai Technologies — поставщик услуг для Web: акселерация веб-сайтов, провайдер платформ доставки контента и приложений. Использует большое количество территориально распределённых серверов для более быстрой доставки контента посетителям.
Среди клиентов компании: Adobe, Apple, AMD, Amazon.com, BBC, BenQ, CNET, European Space Agency, IBM, L’Oréal, Microsoft, MySpace, NASA, Nintendo, PC World, Sony, Red Hat, Reuters, Siemens, Yahoo, Icloud.
Akamai — это CDN. У Microsoft сервера на Windows.
Akamai Technologies — поставщик услуг для Web: акселерация веб-сайтов, провайдер платформ доставки контента и приложений. Использует большое количество территориально распределённых серверов для более быстрой доставки контента посетителям.
Среди клиентов компании: Adobe, Apple, AMD, Amazon.com, BBC, BenQ, CNET, European Space Agency, IBM, L’Oréal, Microsoft, MySpace, NASA, Nintendo, PC World, Sony, Red Hat, Reuters, Siemens, Yahoo, Icloud.
Akamai — это CDN. У Microsoft сервера на Windows.
> А к чему это вообше?
А это?
> Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
А это?
> Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
К вопросу о правильной настройке сервера, от которой сервер на любой ОС избегает «эпидемий».
UFO just landed and posted this here
С этим я согласен. Но хотя бы можно будет свести к минимуму вероятность падения. А дырок полно везде.
> К вопросу о правильной настройке сервера
Как подметил ваш коллега «Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.»
Согласны с ним? Если да, то причём тут xakep.ru? Если нет, то пишите ему habrahabr.ru/blogs/infosecurity/112801/#comment_3615256 а не мне.
Как подметил ваш коллега «Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.»
Согласны с ним? Если да, то причём тут xakep.ru? Если нет, то пишите ему habrahabr.ru/blogs/infosecurity/112801/#comment_3615256 а не мне.
> а не мне
Я не Вам писал.
Я не Вам писал.
А кому вы вот здесь писали? habrahabr.ru/blogs/infosecurity/112801/#comment_3615229
Всем, кто может ответить на тот вопрос.
Вы задали этот вопрос всем, кто может на него ответить,«к вопросу о правильной настройке сервера, от которой сервер на любой ОС избегает «эпидемий».»
Возвращаемся к:
habrahabr.ru/blogs/infosecurity/112801/#comment_3615317 — будете считать дырки?
habrahabr.ru/blogs/infosecurity/112801/#comment_3615331 — так согласны с ним, или нет?
Возвращаемся к:
habrahabr.ru/blogs/infosecurity/112801/#comment_3615317 — будете считать дырки?
habrahabr.ru/blogs/infosecurity/112801/#comment_3615331 — так согласны с ним, или нет?
да, сервер xakep.ru на Win2k Server раньше работал. Помню как раз в неделю туда закидывали трояны и потом не работал чатик.
А почему не эпидемий на Windows серверах?
Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
> А почему не эпидемий на Windows серверах?
Напомнить про Conflicker?
> Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
Будто Linux только на web-серверах используют.
Напомнить про Conflicker?
> Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
Будто Linux только на web-серверах используют.
>Будто Linux только на web-серверах используют.
А оно больше не для чего не годно, поэтому и 1%.
А оно больше не для чего не годно, поэтому и 1%.
> А оно больше не для чего не годно, поэтому и 1%.
ИТ-шники фондовых бирж (особенно Лондонской) смотрят на вас исподлобья, несколько осуждающе. Может мне ещё про Android напомнить?
ИТ-шники фондовых бирж (особенно Лондонской) смотрят на вас исподлобья, несколько осуждающе. Может мне ещё про Android напомнить?
>ИТ-шники фондовых бирж (особенно Лондонской) смотрят на вас исподлобья, несколько осуждающе.
Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
>Может мне ещё про Android напомнить?
А чего там? От линукса там только ядро, которое для гугла тысяча обезьян за бесплатно пишут. И с каких пор у линуксоидов такая любовь к закрытым вещам?
Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
>Может мне ещё про Android напомнить?
А чего там? От линукса там только ядро, которое для гугла тысяча обезьян за бесплатно пишут. И с каких пор у линуксоидов такая любовь к закрытым вещам?
> Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
Вы разбираетесь в сортах Linux? Да неужели?! Расскажите больше!
> От линукса там только ядро
И?
> которое для гугла тысяча обезьян за бесплатно пишут.
Докажите.
> И с каких пор у линуксоидов такая любовь к закрытым вещам?
На эту тему вот тут хорошо сказано: twitter.com/arubin/status/27808662429
Вы разбираетесь в сортах Linux? Да неужели?! Расскажите больше!
> От линукса там только ядро
И?
> которое для гугла тысяча обезьян за бесплатно пишут.
Докажите.
> И с каких пор у линуксоидов такая любовь к закрытым вещам?
На эту тему вот тут хорошо сказано: twitter.com/arubin/status/27808662429
>Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
Да.
Да.
А Линукс — это и есть ядро.
Смотрите как интересно получается. Когда удобно говорить, что только ядро то так и говорим, когда удобно говорить, что это вообще ОС то тоже так говорим и ещё примазываем кучу софта к этому делу.
Ведь как удобно говорить «в нашем линуксе куча софта сразу идёт не то, что в вашем виндовсе». А то что линукс это только ядро мы как всегда забываем…
Ведь как удобно говорить «в нашем линуксе куча софта сразу идёт не то, что в вашем виндовсе». А то что линукс это только ядро мы как всегда забываем…
Большинство уязвимостей вообще трудно эксплуатировать если у оператора компьютера / администратора сервера руки прямые. Но это не означает что на всех остальных можно забить и уязвимости не исправлять.
Вы всегда на веру все принимаете, даже не попытавшись разобраться? То что вы показали это перевод «Days-of-risk in 2006: Linux, Mac OS X, Solaris and Windows» руководителя стратегией безопасности Микрософт, не говоря уже о том что для Микрософта тут посчитана разница с момент появления уязвимости, а с момента официального признания ей Микрософт…
www.opennet.ru/opennews/art.shtml?num=13503
www.opennet.ru/opennews/art.shtml?num=13503
Как Вы лихо приравниваете цитирование «руководителя стратегией безопасности Микрософт» к «не попытавшись разобраться». Тоесть по Вашему, те отчёты, что делает Microsoft рассматривать вообще не стоит? А вот opennet.ru — вершина аналитической работы и правда в чистейшем, отборном виде?
Конечно же «разница НЕ с момента появления уязвимости», извиняюсь
По заказу Microsoft наа деньги Microsoft при технической поддержки специалистов Microsoft было проведено независимое исследование
Логика: всё, что говорит Microsoft неправда, независимо от того, что говорится — это хороший способ отбросить в споре аргументы, противоречащие Вашей позиции, независимо от содержания аргументов.
Если продукты RedHat в чём-то уступают продуктам Microsoft, никто из RedHat в здравом уме об этом не напишет. Напишет об этом только Microsoft. Но то, что об этом пишет Microsoft делает это автоматически в Ваших глазах неправдой.
Хорошая позиция. Отбрасывание всех аргументов «за» Microsoft и «против» не Microsoft — ход гениальный. Так в любом споре выйграть намного легче.
Если продукты RedHat в чём-то уступают продуктам Microsoft, никто из RedHat в здравом уме об этом не напишет. Напишет об этом только Microsoft. Но то, что об этом пишет Microsoft делает это автоматически в Ваших глазах неправдой.
Хорошая позиция. Отбрасывание всех аргументов «за» Microsoft и «против» не Microsoft — ход гениальный. Так в любом споре выйграть намного легче.
У MS репутация известных подтасовщиков фактов.
UFO just landed and posted this here
Я ни разу не заражался с флешек. ЧЯДНТ?
Мне говорят, что на улице дождь. Я смотрю в окно и вижу тёплую солнечную погоду. ЧЯДНТ? Это я про Windows…
И да, я не говорю, что так у всех пользователей. Я говорю только про себя.
Мне говорят, что на улице дождь. Я смотрю в окно и вижу тёплую солнечную погоду. ЧЯДНТ? Это я про Windows…
И да, я не говорю, что так у всех пользователей. Я говорю только про себя.
Порадовали своим полным непониманием механизмов и мотивов киберпреступников.
Для вашей ОС Linux пока что не пишут вирусов не потому что она супербезопасная, а потому что ее экономически не выгодно атаковать. Какой смысл исследовать и взламывать ОС которой пользуется 1% населения? Затраты не окупятся.
Как только Linux наберет хотя бы 5% десктопного рынка к его взлому сразу проявят интерес. Так что все самое потрясающее у вас еще впереди. Вы ведь гордитесь отсутствием антивируса.
Для вашей ОС Linux пока что не пишут вирусов не потому что она супербезопасная, а потому что ее экономически не выгодно атаковать. Какой смысл исследовать и взламывать ОС которой пользуется 1% населения? Затраты не окупятся.
Как только Linux наберет хотя бы 5% десктопного рынка к его взлому сразу проявят интерес. Так что все самое потрясающее у вас еще впереди. Вы ведь гордитесь отсутствием антивируса.
UFO just landed and posted this here
Сходите что ли на Secunia.org посмотрите количество уязвимостей в вашем любимом Linux. Я не считаю что Linux чем либо лучше и надежнее Windows.
Нет на планете ни одной надежной и совершенной ОС или приложений. Везде и всегда будут ошибки в коде. Вопрос лишь в их количестве и в том насколько они критичны для выполнения функций заявленых производителем.
Ваш подход это весьма опасное заблуждение. Вы не понимаете реального уровня безопасности используемого продукта, но твердо уверены в том что защищены.
В тоже время вся ваша защита это лишь ненужность атакующему. Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.
Нет на планете ни одной надежной и совершенной ОС или приложений. Везде и всегда будут ошибки в коде. Вопрос лишь в их количестве и в том насколько они критичны для выполнения функций заявленых производителем.
Ваш подход это весьма опасное заблуждение. Вы не понимаете реального уровня безопасности используемого продукта, но твердо уверены в том что защищены.
В тоже время вся ваша защита это лишь ненужность атакующему. Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.
UFO just landed and posted this here
Скринлокер появляется потому что потенциальное поле деятельности для злоумышленника 90% рабочих станций. Это значит что существует большая вероятность заблокировать что то ценное для пользователя. А значит кто то да заплатит.
А теперь посчитаете вероятность заблокировать Linux который используется на 1% компьютеров. Сколько среди заблокированных окажется неквалифицированных пользователей готовых заплатить? Под сколько дистибутивов злоумыщленнику надо писать зловредный код чтобы его труд окупился?
Надеюсь теперь вы понимаете что движет злоумышленником и догадываетесь что малое количество зловредного кода для той или иной платформы связано в первую очередь не с ее безопасностью а с потенциальной выгодой от удачной атаки.
А теперь посчитаете вероятность заблокировать Linux который используется на 1% компьютеров. Сколько среди заблокированных окажется неквалифицированных пользователей готовых заплатить? Под сколько дистибутивов злоумыщленнику надо писать зловредный код чтобы его труд окупился?
Надеюсь теперь вы понимаете что движет злоумышленником и догадываетесь что малое количество зловредного кода для той или иной платформы связано в первую очередь не с ее безопасностью а с потенциальной выгодой от удачной атаки.
У этого 1% на компе можно разжиться много чем интересным :) ssh ключики, пароли, ценная инфа.
UFO just landed and posted this here
Не согласен. Предлагаю вам изучить почему безопасность через сокрытие глупый подход к безопасности.
en.wikipedia.org/wiki/Security_through_obscurity#Arguments_against
Вас не ломают не потому что вы защищены с помощью Linux, а потому что вас как неуловимого Джо никто не ловит.
А как начнут ловить будет очень грустно отказываться от мифов которыми вы тут пытаетесь всех кормить.
Безопасность это не только использование той или иной технологии, но еще и выполнение элементарных процедур. Отсутствие антивируса на вашей машине показывает что вы как рыцарь в картонных доспехах бравируете своей уникальностью, которая никакого отношения к безопасности не имеет.
en.wikipedia.org/wiki/Security_through_obscurity#Arguments_against
Вас не ломают не потому что вы защищены с помощью Linux, а потому что вас как неуловимого Джо никто не ловит.
А как начнут ловить будет очень грустно отказываться от мифов которыми вы тут пытаетесь всех кормить.
Безопасность это не только использование той или иной технологии, но еще и выполнение элементарных процедур. Отсутствие антивируса на вашей машине показывает что вы как рыцарь в картонных доспехах бравируете своей уникальностью, которая никакого отношения к безопасности не имеет.
Где вы безопасность через сокрытие увидели? этим как раз Микрософт и иже с ними страдают
А использование редкого ПО в надежде на то что его не сломают это разве не безопасность через сокрытие?
При этом нормальных мер таких как аудит ОС, антивирусная защита и.т.д не проводится.
При этом нормальных мер таких как аудит ОС, антивирусная защита и.т.д не проводится.
Тогда я вообще должен быть параноиком, ибо юзаю в некоторых областях самописное ПО.
Зачем нужна вообще антивирусная защита? Аудит кода проводится, попробуйте включить свое ПО в состав Убунты или Дебиана.
Зачем нужна вообще антивирусная защита? Аудит кода проводится, попробуйте включить свое ПО в состав Убунты или Дебиана.
А часто в репозитарий еще и с троянами опенсорс укладывают. И лежит он там не найденым месяцами.
www.google.ru/url?sa=t&source=web&cd=1&ved=0CB0QFjAA&url=http%3A%2F%2Fnews.softpedia.com%2Fnews%2FLinux-Trojan-Hid-in-Popular-IRC-Server-Software-for-Months-144550.shtml&ei=sZ5FTcH8B8SDOry94M8B&usg=AFQjCNHaeTrWyx02kwrK0n86FxvdVmOeyA
Правда удивительно? Или вера в то что открытый код обязательно безопасен непоколебима?
www.google.ru/url?sa=t&source=web&cd=1&ved=0CB0QFjAA&url=http%3A%2F%2Fnews.softpedia.com%2Fnews%2FLinux-Trojan-Hid-in-Popular-IRC-Server-Software-for-Months-144550.shtml&ei=sZ5FTcH8B8SDOry94M8B&usg=AFQjCNHaeTrWyx02kwrK0n86FxvdVmOeyA
Правда удивительно? Или вера в то что открытый код обязательно безопасен непоколебима?
Ткните пальцем, где там про репозиторий?
Если вам трудно найти на странице слово репозитарий то пожалуйста:
The backdoored source tarball was distributed through the official repository and many of the mirror servers for the past eight months without anyone noticing something was wrong.
The backdoored source tarball was distributed through the official repository and many of the mirror servers for the past eight months without anyone noticing something was wrong.
Ему, видимо, трудно найти хоть один репозиторий для Linux на странице проекта. Ещё трудно найти в этой новости информацию о том, что заражённый пакет попал хоть в репозиторий хоть одного Linux-дистрибутива (мейнтеры обычно берут исходный код для сборки с SVN/Git).
Я писал про трояны в опенсорс репозиториях. Я думаю вы понимаете что Linux это лишь малая часть опенсорс.
Например вот случай когда троян был в репозитории Mozila
www.zdnet.com/blog/hardware/how-much-more-malware-is-lurking-in-linux-official-repositories/8615
А вот тут поломали Redhat и заразили исходники, правда до раздачи пользователям вероятно не дошло.
www.theregister.co.uk/2008/08/22/red_hat_systems_hacked/
Надеюсь я наглядно продемонстрировал что опенсорс модель разработки ничем не защищает.
Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)
Такого не было. Отсюда делаю вывод что процессы безопасности в Microsoft налажены гораздо лучше чем у вендоров опенсорса.
www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
Ну а если хочется чтобы троян нашелся и в репозитории настоящего Linux охраняемого настоящими мейнтейнерами то пожалуйста. Искать долго не нужно. Троян в репозитории Gentoo
Например вот случай когда троян был в репозитории Mozila
www.zdnet.com/blog/hardware/how-much-more-malware-is-lurking-in-linux-official-repositories/8615
А вот тут поломали Redhat и заразили исходники, правда до раздачи пользователям вероятно не дошло.
www.theregister.co.uk/2008/08/22/red_hat_systems_hacked/
Надеюсь я наглядно продемонстрировал что опенсорс модель разработки ничем не защищает.
Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)
Такого не было. Отсюда делаю вывод что процессы безопасности в Microsoft налажены гораздо лучше чем у вендоров опенсорса.
www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
Ну а если хочется чтобы троян нашелся и в репозитории настоящего Linux охраняемого настоящими мейнтейнерами то пожалуйста. Искать долго не нужно. Троян в репозитории Gentoo
> Надеюсь я наглядно продемонстрировал что опенсорс модель разработки ничем не защищает.
Неа, пользователи не пострадали.
> Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)
С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?
> Троян в репозитории Gentoo
Где?
> www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
Смеялись всем офисом, как говориться.
> One add-ons are affected:
> Master Filer — Infected with a password-stealing Trojan called Win32.LdPinch.gen
Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
Неа, пользователи не пострадали.
> Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)
С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?
> Троян в репозитории Gentoo
Где?
> www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
Смеялись всем офисом, как говориться.
> One add-ons are affected:
> Master Filer — Infected with a password-stealing Trojan called Win32.LdPinch.gen
Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
Угу пользователи зараженного аддона для mozila конечно не пострадали.
www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
It is believed that some 4,600 users have been infected.
То что аддон с трояном в Mozila влиял на пользователей Windows не имеет никакого значения. Мы обсуждали то что трояны могут быть успешно помещены в опенсорс репозитории.
И конечно же этот аддон был проверен Mozila перед помещением в репозиторий
Mozilla does scan all uploaded add-ons for malware, and blocks any that are infected. However, in this case the process failed.
Таким образом я успешно доказал неопровержимыми фактами что опносорс репозитории легко могут быть поражены троянами.
Посему расцениваю ваши высказывания как отмазки. Можете продолжать смеяться всем офисом или плакать фактов ведь у вас нет.
Те кто скачал троян в опенсорсном Unreal IRC конечно тоже «не пострадали», они ведь так и не установили этот пакет в свои системы. Скачивали просто чтобы поиграться. :)
То что Redhat никого не успел заразить не его заслуга а случайность. Его заслугой было бы проявить профессионализм и недопустить взлом своей инфраструктуры и заражение репозитория.
А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)
www.fewt.com/2010/06/linux-infected.html
Unrealircd packages containing malware were found in Gentoo and Arch, and were removed as soon as they were discovered.
www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
It is believed that some 4,600 users have been infected.
То что аддон с трояном в Mozila влиял на пользователей Windows не имеет никакого значения. Мы обсуждали то что трояны могут быть успешно помещены в опенсорс репозитории.
И конечно же этот аддон был проверен Mozila перед помещением в репозиторий
Mozilla does scan all uploaded add-ons for malware, and blocks any that are infected. However, in this case the process failed.
Таким образом я успешно доказал неопровержимыми фактами что опносорс репозитории легко могут быть поражены троянами.
Посему расцениваю ваши высказывания как отмазки. Можете продолжать смеяться всем офисом или плакать фактов ведь у вас нет.
Те кто скачал троян в опенсорсном Unreal IRC конечно тоже «не пострадали», они ведь так и не установили этот пакет в свои системы. Скачивали просто чтобы поиграться. :)
То что Redhat никого не успел заразить не его заслуга а случайность. Его заслугой было бы проявить профессионализм и недопустить взлом своей инфраструктуры и заражение репозитория.
А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)
www.fewt.com/2010/06/linux-infected.html
Unrealircd packages containing malware were found in Gentoo and Arch, and were removed as soon as they were discovered.
> Угу пользователи зараженного аддона для mozila конечно не пострадали.
Видимо с первого раза не доходит, поэтому спрошу ещё раз:
> Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
> фактов ведь у вас нет
=>
> С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?
> А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)
Не знаю, но пример заражения репозиториев популярных дистрибутивов вы так и не привели. А до тех пор ваши примеры равносильны вирусу на каком-нибудь ZverCD.
Видимо с первого раза не доходит, поэтому спрошу ещё раз:
> Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
> фактов ведь у вас нет
=>
> С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?
> А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)
Не знаю, но пример заражения репозиториев популярных дистрибутивов вы так и не привели. А до тех пор ваши примеры равносильны вирусу на каком-нибудь ZverCD.
Вы очень странно читаете то что вам пишут. Официальное заявление опенсорс вендора mozila o том что все аддоны в репозитории проверяются это для вас не факты и то что аддон не смотря на это был заражен тоже для вас не факт. И то что 4 с мелочью тысячи человек его скачали и поставили снова не факт.
Взлом репозитория Redhat тоже не факт?
Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation тоже не факт несмотря на существующий официальный отчет?
blogs.apache.org/infra/entry/apache_org_04_09_2010
В общем вижу случай крайней религиозности и фанатизма.
Взлом репозитория Redhat тоже не факт?
Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation тоже не факт несмотря на существующий официальный отчет?
blogs.apache.org/infra/entry/apache_org_04_09_2010
В общем вижу случай крайней религиозности и фанатизма.
> Вы очень странно читаете то что вам пишут.
И ещё раз:
> Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
> Взлом репозитория Redhat тоже не факт?
Пользователи не пострадали.
> Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation
Это тут каким боком? И, да, «On minotaur, they were unable to escalate privileges with the compromised accounts.»
> В общем вижу случай крайней религиозности и фанатизма.
И снова:
> Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
И ещё раз:
> Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
> Взлом репозитория Redhat тоже не факт?
Пользователи не пострадали.
> Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation
Это тут каким боком? И, да, «On minotaur, they were unable to escalate privileges with the compromised accounts.»
> В общем вижу случай крайней религиозности и фанатизма.
И снова:
> Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
UFO just landed and posted this here
То что у вас паранойя не означает что за вами не следят. :)
Как показывают истории с переполнением буфера и прочими уязвимостями.
Аудит кода не срабатывает.
secunia.com/advisories/43009/
secunia.com/advisories/42758/
Как видите уязвимое ПО отлично включается и в состав Ubuntu и в состав других дистрибутивов.
Если аудит был бы панацеей уязвимостей в готовых продуктах не стало бы очень быстро. Однако находят уязвимости постоянно вне рамок процесса аудита.
Как показывают истории с переполнением буфера и прочими уязвимостями.
Аудит кода не срабатывает.
secunia.com/advisories/43009/
secunia.com/advisories/42758/
Как видите уязвимое ПО отлично включается и в состав Ubuntu и в состав других дистрибутивов.
Если аудит был бы панацеей уязвимостей в готовых продуктах не стало бы очень быстро. Однако находят уязвимости постоянно вне рамок процесса аудита.
И чо? Это реальный мир блин и в нем возможность такого аудита у опенсорсных проектов есть, а у закрытых нету. То, что он не может все дыры закрыть? Ну увы и ах
Как показывает практика возможность аудита в опенсорсе есть, только пользуются ей малое количество проектов потому что специалистов способных качественно провести аудит и готовых работать за бесплатно считанные единицы.
А проектов нуждающихся в аудите многие тысячи.
Я надеюсь вы понимаете всю безнадежность такого подхода.
Как хрестоматийный пример таких проблем обнаружение ошибки которая была во всех BSD дистрибутивах в течении 20 лет.
А проектов нуждающихся в аудите многие тысячи.
Я надеюсь вы понимаете всю безнадежность такого подхода.
Как хрестоматийный пример таких проблем обнаружение ошибки которая была во всех BSD дистрибутивах в течении 20 лет.
Кстати переход на выражение «И чо» показывает что у вас исчерпались логические доводы в защиту своей точки зрения. :)
UFO just landed and posted this here
Антивирус конечно же не нужен если вы не пересылаете свою почту с документами содержащими макросы.
А обучать apparmor и selinux сами будете?
А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
А обучать apparmor и selinux сами будете?
А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
> А обучать apparmor и selinux сами будете?
При растущей угрозе как раз этим и займутся, а не антивирусами.
При растущей угрозе как раз этим и займутся, а не антивирусами.
Сколько специалистов способно это сделать? Вы так верите в миллионы анонимных экспертов?
Я верю в сообщество. К тому же, чтобы создать правило для определённого приложения в AppArmor или SELinux, таким уж экспертом не надо быть.
Насколько я помню адекватная тренировка apparmor и selinux предполагает установку исследуемого ПО на заведомо чистой системе. Затем прогон всех веток исполнения изучаемого ПО. Отсмотр того куда это ПО пытается лезть и разрешения этого.
Вы такие верите что у кого либо хватит терпения вызвать исполнение всех функций программы и затем написать адекватные политики?
На данный момент в самых передовых дистрибутивах созданы правила всего лишь для 200 системных процессов. За ПО из репозитория никто и не брался.
Вы такие верите что у кого либо хватит терпения вызвать исполнение всех функций программы и затем написать адекватные политики?
На данный момент в самых передовых дистрибутивах созданы правила всего лишь для 200 системных процессов. За ПО из репозитория никто и не брался.
По-вашему отлов и исследование вирусов — занятие такое простое, относительно того, что вы написали выше?
Отлов и исследование не менее трудоемкое действие именно поэтому им занимаются профессионалы, а не абстрактное сообщество.
Рассказывать о том что за Clamav стоит такое же сообщество не стоит, ибо уровень профессионализмы этих людей на порядки выше чем уровень среднего потребителя Windows или Linux на которых вы так уповаете.
Чуда с повышением уровня среднего члена сообщества скорее всего не случится.
Рассказывать о том что за Clamav стоит такое же сообщество не стоит, ибо уровень профессионализмы этих людей на порядки выше чем уровень среднего потребителя Windows или Linux на которых вы так уповаете.
Чуда с повышением уровня среднего члена сообщества скорее всего не случится.
> А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
Ох, сколько же в них было найдено дыр за все эти годы, уже и не счесть.
Ох, сколько же в них было найдено дыр за все эти годы, уже и не счесть.
Обоснуйте фактами или можно считать что вы не в теме.
Загуглить по ключивым словам сами сможете, да и прекратите делать вид, что вы не в курсе.
Вирусы, эксплуатирующие уязвимости в них, мне в своё время приходилось как гонять в виртуальной машине, так и получать на флешках.
Вирусы, эксплуатирующие уязвимости в них, мне в своё время приходилось как гонять в виртуальной машине, так и получать на флешках.
Обход UAC: www.exploit-db.com/exploits/15609/
Обход DEP и ASLR, используя технологию JIT Spray: www.exploit-db.com/exploits/14514/
www.exploit-db.com/exploits/14599/
Точно такую же атаку применяли, чтобы взломать IE8 и Firefox:
исследование.
Обход DEP и ASLR, используя технологию JIT Spray: www.exploit-db.com/exploits/14514/
www.exploit-db.com/exploits/14599/
Точно такую же атаку применяли, чтобы взломать IE8 и Firefox:
исследование.
И, кстати, ASLR распространяется только системные программы и библиотеки. Чтобы включить для всей системы нужно править реестр.
Также ознакомьтесь: www.symantec.com/avcenter/reference/Address_Space_Layout_Randomization.pdf
Также ознакомьтесь: www.symantec.com/avcenter/reference/Address_Space_Layout_Randomization.pdf
> А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
Ага, теперь под Windows можно и без антивируса, а Linux'у, при наличии схожих систем защиты (даже более широких, на мой взгляд), вы предрекаете кучу атак и необходимость иметь антивирус?
Возникает противоречие и видится некая предвзятость.
Ага, теперь под Windows можно и без антивируса, а Linux'у, при наличии схожих систем защиты (даже более широких, на мой взгляд), вы предрекаете кучу атак и необходимость иметь антивирус?
Возникает противоречие и видится некая предвзятость.
Видимо вы читаете через строчку. Еще раз объясняю любая система в поставке без специальных средств безопасности уязвима. Та система которая сейчас не подвергается атакам уязвима в будущем вдвойне ибо на исследование и тестирование ее систем безопасности реальными угрозами не тратится таких усилий какие тратятся в других системах. Более того ложное чувство неуязвимости будет толкать пользователей таких псевдозащищенных ОС на разные глупые поступки потому что они думают что правила безопасности не для них. Посему вал успешных атак на Linux неизбежен.
Ваш взгляд на широту системы защиты Linux не подтвержден ничем. Боюсь предположить что мы в вашем лице столкнулись с анонимным аналитиком безопасности.
Список ваших публикация на хабре наводит на такие мысли
inflame.habrahabr.ru/blog/
Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.
Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.
Ваш взгляд на широту системы защиты Linux не подтвержден ничем. Боюсь предположить что мы в вашем лице столкнулись с анонимным аналитиком безопасности.
Список ваших публикация на хабре наводит на такие мысли
inflame.habrahabr.ru/blog/
Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.
Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.
Я уже кидал ссылку, на которую вы ничего не смогли ответить: wiki.ubuntu.com/Security/Features. С каждым новым релизом дистрибутива количество возможностей обеспечения безопасности только увеличивается. Как минимум это говорит о том, что разработчики уже заботятся о безопасности системы. Так в чём же безопасность Ubuntu уступает Windows? Хотя бы приведите аналогичный список возможностей безопасности Windows — сравним.
> Более того ложное чувство неуязвимости будет толкать пользователей таких псевдозащищенных ОС на разные глупые поступки потому что они думают что правила безопасности не для них.
Может быть это проблема в пользователях, а не в ОС? Linux наоборот приучает ставить софт только из доверенных источников (репозиториев). А чтобы запустить скачанный бинарник, нужно сначала поставить бит выполнения. Как-то неудобно получается заразить свою систему, да?
> Ваш взгляд на широту системы защиты Linux не подтвержден ничем.
См. ссылку выше.
> Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.
Что не так с никнеймом? На что намекает та история? Якобы на мою некомпетентность? А свидетельства вашей компетентности в вопросах безопасности можете предоставить? И, вообще, как связано то, что меня поймали, с моими познаниями в области безопасности операционных систем? Вы ведь даже подробностей той истории не знаете. Так что не надо на личности переходить, а пишите по существу вопроса.
> Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.
Вот вы любите просить ссылки на всякие исследования, и в то же время ваши слова на счёт будущего Linux — это не более чем ваши догадки. Я тоже считаю ваши ничем не подкреплённые заявления не более чем пророчествами.
> Более того ложное чувство неуязвимости будет толкать пользователей таких псевдозащищенных ОС на разные глупые поступки потому что они думают что правила безопасности не для них.
Может быть это проблема в пользователях, а не в ОС? Linux наоборот приучает ставить софт только из доверенных источников (репозиториев). А чтобы запустить скачанный бинарник, нужно сначала поставить бит выполнения. Как-то неудобно получается заразить свою систему, да?
> Ваш взгляд на широту системы защиты Linux не подтвержден ничем.
См. ссылку выше.
> Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.
Что не так с никнеймом? На что намекает та история? Якобы на мою некомпетентность? А свидетельства вашей компетентности в вопросах безопасности можете предоставить? И, вообще, как связано то, что меня поймали, с моими познаниями в области безопасности операционных систем? Вы ведь даже подробностей той истории не знаете. Так что не надо на личности переходить, а пишите по существу вопроса.
> Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.
Вот вы любите просить ссылки на всякие исследования, и в то же время ваши слова на счёт будущего Linux — это не более чем ваши догадки. Я тоже считаю ваши ничем не подкреплённые заявления не более чем пророчествами.
> А чтобы запустить скачанный бинарник
Справедливости ради следует отметить, что (для примера) кодеки скачать бесплатно без смс могут поставляться в виде deb-а, который большинство поставит даже не подумав.
Справедливости ради следует отметить, что (для примера) кодеки скачать бесплатно без смс могут поставляться в виде deb-а, который большинство поставит даже не подумав.
И даже то, что некоторые технологии защиты появились раньше в Linux, чем в Windows вам тоже не о чём не говорит. В пример — ASLR и работа из ограниченного пользователя по умолчанию. Интересно, зачем разработчики этим занимаются, если, как вы говорите, никакой угрозы пока нет?
> В тоже время вся ваша защита это лишь ненужность атакующему.
Вы действительно считаете, что ненужность атакующему — это вся защита Linux'а? Ну даже если это так, то пользователь всё равно остаётся в выигрыше, потому что никакие винлокеры ему не грозят.
> Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.
Интересно, каким образом, если, например, в той же Убунте по умолчанию все порты закрыты.
Вы действительно считаете, что ненужность атакующему — это вся защита Linux'а? Ну даже если это так, то пользователь всё равно остаётся в выигрыше, потому что никакие винлокеры ему не грозят.
> Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.
Интересно, каким образом, если, например, в той же Убунте по умолчанию все порты закрыты.
Как я уже писал винлокеры не грозят Linux только временно и расцвет взлома Linux еще впереди. Для умного человека это уже повод задуматься и перестать надеяться на неуязвимость голой системы с закрытыми файерволом портами. Как минимум нужен антивирус.
В Windows Vista и более новых ОС порты тоже закрыты по умолчанию и UAC применяется повсеместно. А еще есть DEP и ASLR. Опираясь на ваши посылки это должны быть мегабезапасные системы.
В Windows Vista и более новых ОС порты тоже закрыты по умолчанию и UAC применяется повсеместно. А еще есть DEP и ASLR. Опираясь на ваши посылки это должны быть мегабезапасные системы.
> Для умного человека это уже повод задуматься и перестать надеяться на неуязвимость голой системы с закрытыми файерволом портами. Как минимум нужен антивирус.
wiki.ubuntu.com/Security/Features (я бы не сказал, что система голая, механизмов защиты предостаточно). Ну а вообще на никсах другие подходы к обеспечению безопасности. Например, установка софта из репозиториев + централизованное обновление всего софта, а не только самой ОС.
wiki.ubuntu.com/Security/Features (я бы не сказал, что система голая, механизмов защиты предостаточно). Ну а вообще на никсах другие подходы к обеспечению безопасности. Например, установка софта из репозиториев + централизованное обновление всего софта, а не только самой ОС.
Вы меня очень порадовали.
Мне ли не знать как все работает в *nix. :)
На моих статьях не одно поколение Linux молодежи выросло. Сходите что ли на Opennet ознакомьтесь. :)
Мне ли не знать как все работает в *nix. :)
На моих статьях не одно поколение Linux молодежи выросло. Сходите что ли на Opennet ознакомьтесь. :)
Если вы всё знаете, то о какой голой системе идёт речь?
Ну и что за цирк в таком случае вы тут устроили?
Это не цирк а всего лишь ответы на ваши возмущенные возгласы. Весь этот театр раздули вы.
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3616438#comment_3614747
А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.
Знание слабых мест и преимуществ тех или иных систем не означает что я их фанатично люблю. Это позволяет мне трезво судить о них. Эмоциональная отстраненность от инструмента с котором работаешь это первый признак профессионала.
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3616438#comment_3614747
А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.
Знание слабых мест и преимуществ тех или иных систем не означает что я их фанатично люблю. Это позволяет мне трезво судить о них. Эмоциональная отстраненность от инструмента с котором работаешь это первый признак профессионала.
> Эмоциональная отстраненность от инструмента с котором работаешь это первый признак профессионала.
Вы скромны, как всегда.
> Это не цирк а всего лишь ответы на ваши возмущенные возгласы.
Возмущённые? Правда что ли?
> Весь этот театр раздули вы.
Обратите внимание на то, что по сути этого утверждения ещё никто ничего не возразил. Разве что WizardBox сделал скромную попытку, но она провалилась. С чего бы это вдруг, а?
> А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.
Да вы рыцарь, не меньше! И много мифов, в разговоре со мной вот тут habrahabr.ru/blogs/infosecurity/112801/#comment_3615440 вы рассеяли?
Вы скромны, как всегда.
> Это не цирк а всего лишь ответы на ваши возмущенные возгласы.
Возмущённые? Правда что ли?
> Весь этот театр раздули вы.
Обратите внимание на то, что по сути этого утверждения ещё никто ничего не возразил. Разве что WizardBox сделал скромную попытку, но она провалилась. С чего бы это вдруг, а?
> А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.
Да вы рыцарь, не меньше! И много мифов, в разговоре со мной вот тут habrahabr.ru/blogs/infosecurity/112801/#comment_3615440 вы рассеяли?
> Значит вы согласны с тем, что linux более надёжная система, чем windows?
Не согласен. Если бы Linux был безопаснее Windows то Redhat не взломали бы и не распространяли бы через его сеть пакеты с троянским OpenSSH
www.pcworld.com/businesscenter/article/150212/hackers_crack_into_red_hat.html
In the Red Hat compromise, the intruder was able to sign a small number of OpenSSH packages relating to Red Hat Enterprise Linux 4 (i386 and x86_64 architectures only) and Red Hat Enterprise Linux 5 (x86_64 architecture only).
As a precaution, Red Hat released an updated version of those packages, a list of tampered packages and a script to check if any of the packages are installed on a user's system.
А теперь внимание вопрос. Припомните чтобы кто то сломал Windows Update?
Этот пример показывает что даже профессионалы работающие в Redhat не способны защитить свои системы это показательно.
Не согласен. Если бы Linux был безопаснее Windows то Redhat не взломали бы и не распространяли бы через его сеть пакеты с троянским OpenSSH
www.pcworld.com/businesscenter/article/150212/hackers_crack_into_red_hat.html
In the Red Hat compromise, the intruder was able to sign a small number of OpenSSH packages relating to Red Hat Enterprise Linux 4 (i386 and x86_64 architectures only) and Red Hat Enterprise Linux 5 (x86_64 architecture only).
As a precaution, Red Hat released an updated version of those packages, a list of tampered packages and a script to check if any of the packages are installed on a user's system.
А теперь внимание вопрос. Припомните чтобы кто то сломал Windows Update?
Этот пример показывает что даже профессионалы работающие в Redhat не способны защитить свои системы это показательно.
Вообще-то здесь тред про скорость устранения уязвимостей, если вы не заметили.
Как я уже писал скорость выпуска обновлений зависит от того скольких пользователей вы заденете своим обновлением.
В случае Linux это менее 1% а в случае Windows в районе 90%.
marketshare.hitslink.com/operating-system-market-share.aspx?qprid=8
Это означает что обновления приходится тестировать тщательнее, на большем наборе ПК и прикладного софта. Значит на это уходит больше времени.
Надеюсь эта мысль вам понятна? Или предпочитаете чтобы я снова перефразировал и донес ее более очевидными путями?
В случае Linux это менее 1% а в случае Windows в районе 90%.
marketshare.hitslink.com/operating-system-market-share.aspx?qprid=8
Это означает что обновления приходится тестировать тщательнее, на большем наборе ПК и прикладного софта. Значит на это уходит больше времени.
Надеюсь эта мысль вам понятна? Или предпочитаете чтобы я снова перефразировал и донес ее более очевидными путями?
> В случае Linux это менее 1%
Ну ежели считать Андроид Линуксом и верить гуглотрендам
www.google.ru/trends?q=android,+windows&ctab=0&geo=all&date=all&sort=0
То поболе 1% будет. А на сайты типа marketshare наверное с мобилок реже выходят, там и iOS сильно ниже по числу, чем mac OS. А вроде как по продажам должно быть наоборот
www.google.ru/trends?q=android,+windows&ctab=0&geo=all&date=all&sort=0
То поболе 1% будет. А на сайты типа marketshare наверное с мобилок реже выходят, там и iOS сильно ниже по числу, чем mac OS. А вроде как по продажам должно быть наоборот
Не согласен с вами по поводу Android. Очень сомневаюсь что нативный зловредный код написаный для Ubuntu удастся легко запустить на Android без переписывания.
Это означает что для потенциального злоумышленника ниша целевых Linux систем не только расщиряется, но и еще сильнее сегментируется.
Это означает что код надо портировать на большее количество платформ и тратить дополнительное время.
Впрочем и для Android стали уже писать трояны. bit.ly/hvIFnU
Это означает что для потенциального злоумышленника ниша целевых Linux систем не только расщиряется, но и еще сильнее сегментируется.
Это означает что код надо портировать на большее количество платформ и тратить дополнительное время.
Впрочем и для Android стали уже писать трояны. bit.ly/hvIFnU
Внизу там вполне нормальный posix, есть даже busybox.
Posix это прекрасно. А теперь покажите как мне как запустить приложение написанное под RedHat на Android без портирования, перекомпиляции и прочих танцев с бубном.
Начнём с того, что в Android у нас Bionic — библиотека стандартных функций, несовместимая с libc и не являющаяся на 100% POSIX совместимой
Прошу прощения, сообщение отправилось преждевременно.
> В случае Linux это менее 1%
> Это означает что обновления приходится тестировать тщательнее
В случае Linux это, как минимум, большая часть Интернет-серверов, не говоря уже о других задачах.
> на большем наборе ПК и прикладного софта
Этот этап выполняется мейнтерами и энтузиастами, устанавливающими тестовые обновления.
> В случае Linux это менее 1%
> Это означает что обновления приходится тестировать тщательнее
В случае Linux это, как минимум, большая часть Интернет-серверов, не говоря уже о других задачах.
> на большем наборе ПК и прикладного софта
Этот этап выполняется мейнтерами и энтузиастами, устанавливающими тестовые обновления.
На серверах обычно используется ограниченный набор ПО. И комбинаций ОС + ПО в серверных инсталляциях заведомо меньше чем в случае если обновляется рабочая станция.
Ваш посыл о том что в Интернет *nix больше чем Microsoft обоснован, но сервера обслуживающие Интернет лишь малая часть серверов установленных на предприятиях этой планеты.
По прошлогоднему отчету IDC получается что Linux занимает не более 21% серверов в тоже время Microsoft в районе 79%.
Так что снова получаем что обновления от Microsoft нужно тестировать на существенно большем наборе комбинаций оборудования, ПО и ОС.
А если учесть еще и количество рабочих станций под управлением разные версий от Microsoft, то сравнивать объемы тестирования становится смешно.
Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС? У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
Ваш посыл о том что в Интернет *nix больше чем Microsoft обоснован, но сервера обслуживающие Интернет лишь малая часть серверов установленных на предприятиях этой планеты.
По прошлогоднему отчету IDC получается что Linux занимает не более 21% серверов в тоже время Microsoft в районе 79%.
Так что снова получаем что обновления от Microsoft нужно тестировать на существенно большем наборе комбинаций оборудования, ПО и ОС.
А если учесть еще и количество рабочих станций под управлением разные версий от Microsoft, то сравнивать объемы тестирования становится смешно.
Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС? У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
> По прошлогоднему отчету IDC
Вы разве не в знали, что IDC составляет отчёты из материала заказчика, и точку зрения IDC эти отчёты не отражают? Кто там исследование заказывал?
> Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС?
А что, Microsoft владеет? :)
> У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
Ну вы в курсе, что дистрибутивы и сроки поддержки бывают различные, да?
Вы разве не в знали, что IDC составляет отчёты из материала заказчика, и точку зрения IDC эти отчёты не отражают? Кто там исследование заказывал?
> Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС?
А что, Microsoft владеет? :)
> У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
Ну вы в курсе, что дистрибутивы и сроки поддержки бывают различные, да?
Вы разве не в знали, что IDC составляет отчёты из материала заказчика, и точку зрения IDC эти отчёты не отражают?
А где пруфлинк?
Да пожалуйста, берем любое их исследование
www.webplaneta.de/articles.php?article=1514
Где оно преуспело?
www.linux-foundation.org/weblogs/amanda/2007/10/31/our-response-to-microsofts-misleading-idc-numbers/
Большая статья о подтасовке фактов.
nastroisam.ru/idc-microsoft-pora-bit-trevogu-spo-nastupaet/
Интересно девки пляшут. Где тут независимость?
IDC — это карманная тяфкалка Мелкософта. Скандалы! Интриги! Расследования!
www.webplaneta.de/articles.php?article=1514
Где оно преуспело?
www.linux-foundation.org/weblogs/amanda/2007/10/31/our-response-to-microsofts-misleading-idc-numbers/
Большая статья о подтасовке фактов.
nastroisam.ru/idc-microsoft-pora-bit-trevogu-spo-nastupaet/
Интересно девки пляшут. Где тут независимость?
IDC — это карманная тяфкалка Мелкософта. Скандалы! Интриги! Расследования!
Отчет IDC о котором я говорил создавался по данным о продажах оборудования крупнейших вендоров таких как HP, Dell, Futjitsu.
Они сообщали сколько серверов и с какими предустановленными ОС продано. Это же отчет используется для подсчета прибыли и подается в налоговую. С налоговой обычно шутки плохо заканчиваются.
Понятно что кругом подтасовки и заговор с целью занизить количество мифических внедрений Linux. :)
Вот именно что сроки разные. И только у коммерческих вендоров вроде Novel и Redhat есть обязательства по поддержке. Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет. И через год после его выпуска вам просто посеветуют перейти на новую версию.
Они сообщали сколько серверов и с какими предустановленными ОС продано. Это же отчет используется для подсчета прибыли и подается в налоговую. С налоговой обычно шутки плохо заканчиваются.
Понятно что кругом подтасовки и заговор с целью занизить количество мифических внедрений Linux. :)
Вот именно что сроки разные. И только у коммерческих вендоров вроде Novel и Redhat есть обязательства по поддержке. Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет. И через год после его выпуска вам просто посеветуют перейти на новую версию.
> Отчет IDC
habrahabr.ru/blogs/infosecurity/112801/#comment_3615681
> продано
Во-во :)
> Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет.
Мужики из Wikipedia какого-то ляда Убунту на сервера взгромоздили. Они, наверное, не разбираются. Или просто вы не в курсе, что даже у Ubuntu есть LTS?
habrahabr.ru/blogs/infosecurity/112801/#comment_3615681
> продано
Во-во :)
> Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет.
Мужики из Wikipedia какого-то ляда Убунту на сервера взгромоздили. Они, наверное, не разбираются. Или просто вы не в курсе, что даже у Ubuntu есть LTS?
Меня всегда прикалывала эта подмена понятий. Обычно сервера то продают без ОСи и потом ставят туда нужный Линукс и только в случае с виндой продают сразу с предустановленной системой.
Всё достаточно посчитать вместо числа установок число продаж и числа вообще другие будут
Всё достаточно посчитать вместо числа установок число продаж и числа вообще другие будут
Redhat, Suse или Oracle Enterprise Linux никак в OEM не продаются. А люди из Linux вендоров и не знают что у них все так плохо. :)
Почитайте что ли официальную точку зрения о том как партнеры Redhat продают пачками сервера с предустановленым RHEL.
www.redhat.com/partners/oem/
Понятно что самосбор созданный дядюшкой Ляо и сыновьями в тысячи раз превышает масштабы продаж крупных вендоров. :)
Почитайте что ли официальную точку зрения о том как партнеры Redhat продают пачками сервера с предустановленым RHEL.
www.redhat.com/partners/oem/
Понятно что самосбор созданный дядюшкой Ляо и сыновьями в тысячи раз превышает масштабы продаж крупных вендоров. :)
> дядюшкой Ляо
Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.
Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.
Google продает свои сервера или у него масштабы поставок которые соотносимы с крупными вендорами вроде HP, Dell, IBM?
В планетарном масштабе датаценты Google это малые цифры.
Почитайте отчет того какие объемы серверов выпускаются ежегодно крупными вендорами
www.idc.com/about/viewpressrelease.jsp?containerId=prUS22467210§ionId=null&elementId=null&pageType=SYNOPSIS
В планетарном масштабе датаценты Google это малые цифры.
Почитайте отчет того какие объемы серверов выпускаются ежегодно крупными вендорами
www.idc.com/about/viewpressrelease.jsp?containerId=prUS22467210§ionId=null&elementId=null&pageType=SYNOPSIS
Вы таки чем читаете? Где я писал про количество серверов у Google? Вы вообще поняли, о чём этот комментарий?
Вот ваш комментарий
> Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.
Я ответил вам что количество серверов самостоятельно собираемых Google в масштабах рынка ничтожно. Так же сказал что крупные вендоры продают боксовых сервов в десятки раз больше. Отсюда следует посыл что их статистика верна.
Она показывает что среди серверов с предустановленной ОС лидируест Windows с большим отрывом. Что не так?
При этом сервера без установленной ОС вендоры стараются не продавать т.к это негативно влияет на их маржу.
Это означает что серверов без ОС продается в разы меньше чем серверов с ОС.
> Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.
Я ответил вам что количество серверов самостоятельно собираемых Google в масштабах рынка ничтожно. Так же сказал что крупные вендоры продают боксовых сервов в десятки раз больше. Отсюда следует посыл что их статистика верна.
Она показывает что среди серверов с предустановленной ОС лидируест Windows с большим отрывом. Что не так?
При этом сервера без установленной ОС вендоры стараются не продавать т.к это негативно влияет на их маржу.
Это означает что серверов без ОС продается в разы меньше чем серверов с ОС.
Ясно, не поняли.
> Вы вообще поняли, о чём этот комментарий?
> Вы вообще поняли, о чём этот комментарий?
Так разъясните. А то какое обсуждение с вами не затею в этом треде так везде вас не понимают.
Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?
А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)
Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)
Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?
А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)
Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)
> Так разъясните.
Хинт: какая часть вашего сообщение процитирована здесь? habrahabr.ru/blogs/infosecurity/112801/#comment_3617986
> Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?
> А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)
> Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)
Эко дивно вас прёт-то! Процитированная часть так же наглядно демонстрирует, что вы беседуете с каким-то выдуманным человеком у вас в голове.
Хинт: какая часть вашего сообщение процитирована здесь? habrahabr.ru/blogs/infosecurity/112801/#comment_3617986
> Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?
> А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)
> Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)
Эко дивно вас прёт-то! Процитированная часть так же наглядно демонстрирует, что вы беседуете с каким-то выдуманным человеком у вас в голове.
Про то что такое у Ubuntu LTS я таки знаю.
То что гики из Wikipedia поставили себе на сервер какую либо ОС не является доказательством чего либо.
Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.
Люди из Wikipedia специалисты в безопасности? А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
То что гики из Wikipedia поставили себе на сервер какую либо ОС не является доказательством чего либо.
Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.
Люди из Wikipedia специалисты в безопасности? А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
> То что гики из Wikipedia поставили себе на сервер какую либо ОС не является доказательством чего либо.
А в Google, верно, тоже гики? А в CERN? А в… продолжать? Вы ведь сами прекрасно знаете, где используется Linux. Или нет?
> Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.
Предположим. А с чем? Буду рад услышать ваше мнение :)
> А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
Если бы она им была нужна, то им её продали максимум за 8 долларов, а скорее всего ещё дешевле, либо бесплатно (за такой-то пиар!)
А в Google, верно, тоже гики? А в CERN? А в… продолжать? Вы ведь сами прекрасно знаете, где используется Linux. Или нет?
> Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.
Предположим. А с чем? Буду рад услышать ваше мнение :)
> А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
Если бы она им была нужна, то им её продали максимум за 8 долларов, а скорее всего ещё дешевле, либо бесплатно (за такой-то пиар!)
По поводу выбора ОС для Google. Здесь все очевидно, как захватывать мир если у тебя нет своей ОС с которой можно делать все что угодно?
Возможно для вас это будет сюрпризом, но в CERN вообще то используется очень много Windows систем. И более того они используются для обслуживания большого адронного коллайдера. Для защиты этих систем будет использоваться антивирус Microsoft Forefront.
blogs.technet.com/b/abeshkov/archive/2009/09/13/3280797.aspx
Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?
По поводу возможного пиара если бы Wikipedia воспользовалась Windows Server. У Microsoft очень жесткая политика в отношении правил таких акций. Мы не можем давать скидки кому бы то ни было. Так что Wikipeadia пришлось бы покупать ОС на общих основаниях. Какой бы ни был потенциальный исход у такого пиара никто не стал бы рисковать попасть под потенциальные судебные разбирательства. Цена на Windows для всех коммерческих организаций одна и та же.
Возможно для вас это будет сюрпризом, но в CERN вообще то используется очень много Windows систем. И более того они используются для обслуживания большого адронного коллайдера. Для защиты этих систем будет использоваться антивирус Microsoft Forefront.
blogs.technet.com/b/abeshkov/archive/2009/09/13/3280797.aspx
Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?
По поводу возможного пиара если бы Wikipedia воспользовалась Windows Server. У Microsoft очень жесткая политика в отношении правил таких акций. Мы не можем давать скидки кому бы то ни было. Так что Wikipeadia пришлось бы покупать ОС на общих основаниях. Какой бы ни был потенциальный исход у такого пиара никто не стал бы рисковать попасть под потенциальные судебные разбирательства. Цена на Windows для всех коммерческих организаций одна и та же.
> По поводу выбора ОС для Google. Здесь все очевидно, как захватывать мир если у тебя нет своей ОС с которой можно делать все что угодно?
Вы сейчас про Gubuntu, Chrome OS, Android или их сервера?
> Возможно для вас это будет сюрпризом
Нет, не будет, как для вас не будет сюрпризом CERN-овский Scientific Linux.
> И более того они используются для обслуживания большого адронного коллайдера.
Ссылка на источник есть? Неужели они поставили KDE на Windows?
> Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?
Скажите, если все эти примеры ничего не доказывают, то почему же мы имеем то, что имеем? (Превосходство Windows только на десктопах.)
> Мы не можем
А кто вы? :)
> А может у них банально нет денег на серверную ОС от Microsoft
Поинтересуйтесь, сколько пожертвований они собрали последний раз. Поинтересуйтесь количеством серверов у них. Посчитайте. Всё ещё думаете, что не хватило бы?
Вы сейчас про Gubuntu, Chrome OS, Android или их сервера?
> Возможно для вас это будет сюрпризом
Нет, не будет, как для вас не будет сюрпризом CERN-овский Scientific Linux.
> И более того они используются для обслуживания большого адронного коллайдера.
Ссылка на источник есть? Неужели они поставили KDE на Windows?
> Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?
Скажите, если все эти примеры ничего не доказывают, то почему же мы имеем то, что имеем? (Превосходство Windows только на десктопах.)
> Мы не можем
А кто вы? :)
> А может у них банально нет денег на серверную ОС от Microsoft
Поинтересуйтесь, сколько пожертвований они собрали последний раз. Поинтересуйтесь количеством серверов у них. Посчитайте. Всё ещё думаете, что не хватило бы?
cerncourier.com/cws/article/cnl/39599
Это вам ссылка про Windows и Forefront в CERN.
То что там может использоваться Linux для каких то задач меня ни коим образом не волнует. Этим примером вы ничего не доказывает ибо в CERN бок о бок работает множество ОС.
Выяснять почему Wikipedia не использует Windows и много ли им пожертвовали в прошлый раз не моя задача. Не имею привычку считать деньги в чужих карманах.
На нас узоров нет и цветы не растут, посему мы как компания можем кому то не нравится. Не приглянулись Wikipedia — не беда.
Я надеюсь вы понимаете что очень часто выбор технологической платформы диктуется политическими, религиозными и прочими причинами не относящимися к реальной эффективности. Посему мне лично все равно какую платформу используют гики из Wikipedia.
Важно только одно что Windows продолжает быть доминирующей платформой. Возможно это доказывает его универсальность. :)
www.google.ru/url?sa=t&source=web&cd=1&sqi=2&ved=0CCoQFjAA&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FUsage_share_of_operating_systems&ei=qqNITb2NEZHsOfTvvJME&usg=AFQjCNEa9BBNGrJAs2oxJgB58qyYRDrCnA
Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
Это вам ссылка про Windows и Forefront в CERN.
То что там может использоваться Linux для каких то задач меня ни коим образом не волнует. Этим примером вы ничего не доказывает ибо в CERN бок о бок работает множество ОС.
Выяснять почему Wikipedia не использует Windows и много ли им пожертвовали в прошлый раз не моя задача. Не имею привычку считать деньги в чужих карманах.
На нас узоров нет и цветы не растут, посему мы как компания можем кому то не нравится. Не приглянулись Wikipedia — не беда.
Я надеюсь вы понимаете что очень часто выбор технологической платформы диктуется политическими, религиозными и прочими причинами не относящимися к реальной эффективности. Посему мне лично все равно какую платформу используют гики из Wikipedia.
Важно только одно что Windows продолжает быть доминирующей платформой. Возможно это доказывает его универсальность. :)
www.google.ru/url?sa=t&source=web&cd=1&sqi=2&ved=0CCoQFjAA&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FUsage_share_of_operating_systems&ei=qqNITb2NEZHsOfTvvJME&usg=AFQjCNEa9BBNGrJAs2oxJgB58qyYRDrCnA
Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
> Это вам ссылка
Где там про Forefront в центре управления? Кстати, вы ещё писали про вирусы в репозиториях, тоже тыкая ссылками, не прочитав текста по ним. Что, опять, да?
> и много ли им пожертвовали в прошлый раз
В прошлый раз шесть миллионов, в этот — шестнадцать.
> Не имею привычку считать деньги в чужих карманах.
Не идиотничайте, они сами распространяют эту информацию.
> Я надеюсь вы понимаете
По вашим двум последним комментариям я понимаю что вы беседуйте с выдуманным собеседником, а не со мной.
> Важно только одно что Windows продолжает быть доминирующей платформой.
На десктопах.
> Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
Где там про Forefront в центре управления? Кстати, вы ещё писали про вирусы в репозиториях, тоже тыкая ссылками, не прочитав текста по ним. Что, опять, да?
> и много ли им пожертвовали в прошлый раз
В прошлый раз шесть миллионов, в этот — шестнадцать.
> Не имею привычку считать деньги в чужих карманах.
Не идиотничайте, они сами распространяют эту информацию.
> Я надеюсь вы понимаете
По вашим двум последним комментариям я понимаю что вы беседуйте с выдуманным собеседником, а не со мной.
> Важно только одно что Windows продолжает быть доминирующей платформой.
На десктопах.
> Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
Ещё разок:
> Отчет IDC
habrahabr.ru/blogs/infosecurity/112801/#comment_3615681
> Отчет IDC
habrahabr.ru/blogs/infosecurity/112801/#comment_3615681
А он бесполезен против социальной инженерии. Да и Андроиды не сказал бы что прямо уж так ломают и что там прямо таки вири живут. Хотя конечно попадается софт с троянами, но такие истории и в Линуксе бывают.
Есть пара успешных вирей, которые ssh брутят, копируют свои сырцы в /tmp, компилятся и дальше идут развлекаться. Такие же есть для роутеров, но там уже причина в ошибке в ДНК некоторых производителей роутеров.
Есть пара успешных вирей, которые ssh брутят, копируют свои сырцы в /tmp, компилятся и дальше идут развлекаться. Такие же есть для роутеров, но там уже причина в ошибке в ДНК некоторых производителей роутеров.
UFO just landed and posted this here
ну Bliss например. Хотя он был полностью опенсорсным по духу, даже лицензия у него была GPL, мало того, он потом патчил дырку, через которую влезал в систему, но в свое время он очень много машинок заразил.
Про роутерный вирус даже на хабре было, но я его названия не запомнил.
А вообще google slapper или scalper
Но последнее время как-то совсем тихо стало :)
Про роутерный вирус даже на хабре было, но я его названия не запомнил.
А вообще google slapper или scalper
Но последнее время как-то совсем тихо стало :)
www.gzt.ru/topnews/hitech/-v-mobiljnyh-telefonah-android-zavelisj-virusy-/311641.html
Результаты исследования показали, что каждая пятая программа таит угрозу безопасности. При установке они получают доступ к конфиденциальным данным на телефоне (электронная переписка, SMS-сообщения), а также возможность самостоятельно блокировать телефон, совершать звонки без согласия пользователей или записывать телефонные переговоры.
Результаты исследования показали, что каждая пятая программа таит угрозу безопасности. При установке они получают доступ к конфиденциальным данным на телефоне (электронная переписка, SMS-сообщения), а также возможность самостоятельно блокировать телефон, совершать звонки без согласия пользователей или записывать телефонные переговоры.
А нечего было маркет в помойку превращать и отказываться от стандартных линуксовых репозиториев. И вообще в данном случае это ошибки не в безопасности операционки, а ошибка в прокладке между креслом и компом.
Тут гугл пошел на поводу у этих личностей и в итоге они получили свое счастье.
Тут гугл пошел на поводу у этих личностей и в итоге они получили свое счастье.
Ok. Проблема только в пользователях, действиях Google и том, что они сделали в Android.
>Для вашей ОС Linux пока что не пишут вирусов не потому что она супербезопасная, а потому что ее экономически не выгодно атаковать.
И что, вы думаете, что этим аргументом убьёте кого-то наповал и он сразу всё бросит и перейдёт на Виндовс?
Для конечного пользователя безопасность — это не количество дырок в системе и не скорость их закрытия. Безопасность — это вероятность, к которой данного конкретного пользователя «поимеют» в тот или иной промежуток времени. Вот и всё. На этот показатель, безусловно, влияет и количество дырок, и скорость их закрытия, но на него также влияет как раз та самая распространённость, о которой вы говорите, и малая распространённость, разумеется, играет в плюс.
На количество дыр мне плевать. Однако мне не плевать на то, что сегодня, в 2011 году, вероятность поимения лично меня, пользующегося линуксом, намного ниже вероятности поимения меня же, пользующегося виндовсом. И это — всё, что меня интересует.
Разговоры «а вот будет у линукса 5% — тогда и будет вам пиндец» лишены какого-либо смысла напрочь, т.к. вы берёте на себя смелость изменять один из влияющих факторов (распространённость), удобно оставляя оставшиеся факторы без изменений, хотя на самом деле понятия не имеете, каковы они будут тогда, «когда линукса будет 5%», а потому просто фантазируете на пустом месте.
И что, вы думаете, что этим аргументом убьёте кого-то наповал и он сразу всё бросит и перейдёт на Виндовс?
Для конечного пользователя безопасность — это не количество дырок в системе и не скорость их закрытия. Безопасность — это вероятность, к которой данного конкретного пользователя «поимеют» в тот или иной промежуток времени. Вот и всё. На этот показатель, безусловно, влияет и количество дырок, и скорость их закрытия, но на него также влияет как раз та самая распространённость, о которой вы говорите, и малая распространённость, разумеется, играет в плюс.
На количество дыр мне плевать. Однако мне не плевать на то, что сегодня, в 2011 году, вероятность поимения лично меня, пользующегося линуксом, намного ниже вероятности поимения меня же, пользующегося виндовсом. И это — всё, что меня интересует.
Разговоры «а вот будет у линукса 5% — тогда и будет вам пиндец» лишены какого-либо смысла напрочь, т.к. вы берёте на себя смелость изменять один из влияющих факторов (распространённость), удобно оставляя оставшиеся факторы без изменений, хотя на самом деле понятия не имеете, каковы они будут тогда, «когда линукса будет 5%», а потому просто фантазируете на пустом месте.
Я не ставил задачи заставить кого то перейти с Linux на Windows. Я лишь стараюсь убедиться что адепты Linux не будут рассказывать заведомо нереальные веши о непробиваемости Linux. Не надо убеждать всех что Linux панацея. Нет панацеи.
Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка. Я так считаю потому что с приобритением популярности от основного костяка дистрибутивов отколется еще пачка. Уже сейчас дистрибутивов в районе 300. Где набрать столько экспертов по безопасности которые будут во всем этом многобразии копаться?
Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка. Я так считаю потому что с приобритением популярности от основного костяка дистрибутивов отколется еще пачка. Уже сейчас дистрибутивов в районе 300. Где набрать столько экспертов по безопасности которые будут во всем этом многобразии копаться?
>Не надо убеждать всех что Linux панацея. Нет панацеи.
Панацеи нет. Есть просто более безопасная система и менее безопасная система. В данный момент времени более безопасной системой является Linux (моё определение безопасности см. выше).
>Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка.
Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является ванильное ядро) конечного пользователя не касается никак.
>Уже сейчас дистрибутивов в районе 300.
Да хоть 3000. Зачем вы апеллируете к этому совершенно бесполезному числу, если и без меня знаете, что где-то примерно 99% пользователей Linux формируются пользователями хорошо если десятком дистров. Ubuntu, Suse, Fedora, Arch, Debian, Gentoo, Mandriva, CentOS,… а дальше у меня уже фантазия заканчивается. Если я упустил какой-то популярный дистр, то прошу прощения у его пользователей. В списке осталось ещё 2 вакантных места, добавьте сами :)
Ну и какая разница, сколько дистров формирует оставшийся процент, 290 или 2990?
Панацеи нет. Есть просто более безопасная система и менее безопасная система. В данный момент времени более безопасной системой является Linux (моё определение безопасности см. выше).
>Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка.
Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является ванильное ядро) конечного пользователя не касается никак.
>Уже сейчас дистрибутивов в районе 300.
Да хоть 3000. Зачем вы апеллируете к этому совершенно бесполезному числу, если и без меня знаете, что где-то примерно 99% пользователей Linux формируются пользователями хорошо если десятком дистров. Ubuntu, Suse, Fedora, Arch, Debian, Gentoo, Mandriva, CentOS,… а дальше у меня уже фантазия заканчивается. Если я упустил какой-то популярный дистр, то прошу прощения у его пользователей. В списке осталось ещё 2 вакантных места, добавьте сами :)
Ну и какая разница, сколько дистров формирует оставшийся процент, 290 или 2990?
> Если продукты RedHat в чём-то уступают продуктам Microsoft, никто из RedHat в здравом уме об этом не напишет.
И наоборот, не забывайте.
И наоборот, не забывайте.
Поэтому я читаю материалы всех сторон, а не отбрасываю мнение одной из сторон, агрументируя это тем, что комнания имеет плохую репутацию.
Как вы считаете, почему нет более свежей статистики? habrahabr.ru/blogs/infosecurity/112801/#comment_3615176
Почему нет залихватских отчётов IDC, и других аналитиков, не несущих ответственности за свои отчёты, составленные по данным заказчика? Где Get The Facts 2.0? Или это потому, что блог Джеффа два года уже молчит, а собрать новую статистику больше неоткуда?
Почему нет залихватских отчётов IDC, и других аналитиков, не несущих ответственности за свои отчёты, составленные по данным заказчика? Где Get The Facts 2.0? Или это потому, что блог Джеффа два года уже молчит, а собрать новую статистику больше неоткуда?
Покажите статистику Вы, где Linux показана более безопасной ОС. Вам надо верить наслово? А слово в защиту MS не принимается, если это статистика не собрана лично Линусом Торвальдсом пять минут назад?
Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
> Покажите статистику Вы, где Linux показана более безопасной ОС. Вам надо верить наслово?
Когда вы пишите «С времён XP всё с безопасностью стало лучше», мне тоже верить вам на слово? :)
> Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)
Когда вы пишите «С времён XP всё с безопасностью стало лучше», мне тоже верить вам на слово? :)
> Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)
>>Когда вы пишите «С времён XP всё с безопасностью стало лучше», мне тоже верить вам на слово? :)
Нет. Первая попавшаяся ссылка в Google:
www.windowsitpro.com/article/interoperability/microsoft-issues-one-year-vulnerability-report-for-windows-vista.aspx
Сравниваем XP и более поздние версии: Vista had 36 fixed vulnerabilities. This compared to 65 for Windows XP.
А вот у Вас ни одно заявление АБСОЛЮТНО ничем не подкрепляется.
>>Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)
У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день. Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.
Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
Нет. Первая попавшаяся ссылка в Google:
www.windowsitpro.com/article/interoperability/microsoft-issues-one-year-vulnerability-report-for-windows-vista.aspx
Сравниваем XP и более поздние версии: Vista had 36 fixed vulnerabilities. This compared to 65 for Windows XP.
А вот у Вас ни одно заявление АБСОЛЮТНО ничем не подкрепляется.
>>Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)
У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день. Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.
Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
> А вот у Вас ни одно заявление АБСОЛЮТНО ничем не подкрепляется.
> Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
Вы про то, что в начале, или про всё? Если второе, то поосторожнее на виражах, потому что сейчас вы лжёте.
> У Microsoft нет и быть не может статистики,
Вы противоречите своим же собственным сообщениям: habrahabr.ru/blogs/infosecurity/112801/#comment_3615212
> что в других ОС уязвимости закрываются за день.
> Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.
Первые три ссылки по соответствующему запросу: (Вот вам ну никак было открыть новую вкладку с Гуглом, да?)
habrahabr.ru/blogs/linux/74284/
habrahabr.ru/blogs/ubuntu/98691/
habrahabr.ru/blogs/personal/67118/
Остальное ищите сами. А что у нас обычно в случае с Microsoft? Ну да вы и сами знаете…
> Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
Вы про то, что в начале, или про всё? Если второе, то поосторожнее на виражах, потому что сейчас вы лжёте.
> У Microsoft нет и быть не может статистики,
Вы противоречите своим же собственным сообщениям: habrahabr.ru/blogs/infosecurity/112801/#comment_3615212
> что в других ОС уязвимости закрываются за день.
> Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.
Первые три ссылки по соответствующему запросу: (Вот вам ну никак было открыть новую вкладку с Гуглом, да?)
habrahabr.ru/blogs/linux/74284/
habrahabr.ru/blogs/ubuntu/98691/
habrahabr.ru/blogs/personal/67118/
Остальное ищите сами. А что у нас обычно в случае с Microsoft? Ну да вы и сами знаете…
>>Вот вам ну никак было открыть новую вкладку с Гуглом, да?
Ok. Все подтверждения моих слов ищите в Google. Открывайте вкладку сами и ищите. Это просто.
>>У Microsoft нет и быть не может статистики
У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.
Чувствуете разницу? Не вообще статистики, а статистики подтверждаующей Ваши слова. Потому, что такой статистики в нашей вселенной быть в принципе не может.
>>Первые три ссылки по соответствующему запросу
Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.
Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?
Ok. Все подтверждения моих слов ищите в Google. Открывайте вкладку сами и ищите. Это просто.
>>У Microsoft нет и быть не может статистики
У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.
Чувствуете разницу? Не вообще статистики, а статистики подтверждаующей Ваши слова. Потому, что такой статистики в нашей вселенной быть в принципе не может.
>>Первые три ссылки по соответствующему запросу
Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.
Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?
> Ok. Все подтверждения моих слов ищите в Google.
Вы же сами написали, что «Не нашёл красивого графика за более поздний год». Зачем мне что-то гуглить?
> У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.
> Чувствуете разницу?
Чувствую. Пахнет проблемами с логикой у этой формулировки. Вы уж или крест снимите, или трусы наденьте. Откуда она вообще у вас взялась?
> Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.
Я вам ссылки на первые вылезшие в Гугле. С остальными 100500 вы можете ознакомиться там же, но подозреваю, что в целом картина будет такая же: habrahabr.ru/blogs/infosecurity/112801/#comment_3615938
В случае с Windows общая картина известна (в первую очередь вам же).
В случае Linux:
> Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?
habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
Вы же сами написали, что «Не нашёл красивого графика за более поздний год». Зачем мне что-то гуглить?
> У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.
> Чувствуете разницу?
Чувствую. Пахнет проблемами с логикой у этой формулировки. Вы уж или крест снимите, или трусы наденьте. Откуда она вообще у вас взялась?
> Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.
Я вам ссылки на первые вылезшие в Гугле. С остальными 100500 вы можете ознакомиться там же, но подозреваю, что в целом картина будет такая же: habrahabr.ru/blogs/infosecurity/112801/#comment_3615938
В случае с Windows общая картина известна (в первую очередь вам же).
В случае Linux:
> Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?
habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
>>habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
Вы ответили:
«Вы внимательно читали мои сообщения?»
Вместо этого было бы проще написать «да» или «нет».
Так есть ли открытые уязвимости или нет?
Вы ответили:
«Вы внимательно читали мои сообщения?»
Вместо этого было бы проще написать «да» или «нет».
Так есть ли открытые уязвимости или нет?
> Вы ответили:
> «Вы внимательно читали мои сообщения?»
Задайтесь вопросом, а почему я так ответил на то сообщение :)
> Вместо этого было бы проще написать «да» или «нет».
Вместо этого было бы проще спросить у того, кто высказал вам утверждение, истинность которого вы выясняете у меня.
> «Вы внимательно читали мои сообщения?»
Задайтесь вопросом, а почему я так ответил на то сообщение :)
> Вместо этого было бы проще написать «да» или «нет».
Вместо этого было бы проще спросить у того, кто высказал вам утверждение, истинность которого вы выясняете у меня.
>>Задайтесь вопросом, а почему я так ответил на то сообщение :)
Потому, что Вы хотите всех запутать, вместо того, чтобы обосновать свой мнение, в итоге оказавшись правым там, где правым не являетесь.
Потому, что Вы хотите всех запутать, вместо того, чтобы обосновать свой мнение, в итоге оказавшись правым там, где правым не являетесь.
> Потому, что Вы хотите всех запутать
Я без понятия, что вы себе там напридумывали.
> в итоге оказавшись правым там, где правым не являетесь
xkcd.com/386/
Я без понятия, что вы себе там напридумывали.
> в итоге оказавшись правым там, где правым не являетесь
xkcd.com/386/
И кстати, три ссылки, говорите:
http://www.oszone.net/13317/Linux
Как оказалось, уязвимость появилась в ядре еще в 2008 году. Крупные корпорации уже направили просьбу разработчикам дистрибутива RHEL устранить проблему, но они пока этого не сделали. Разнообразные модифицированные версии эксплоита до сих пор являются работоспособными.
Анонимы 4chan обнаружили 0day уязвимость в ядре Linux
Рассказали журналистам, что в ходе последних атак они использовали 0day уязвимость в ядре Linux. По словам хакеров подробности уязвимости будут отправлены Линусу Торвальдсу, но до публикации патча группа будет использовать свой эксплоит для взлома сайтов своих противников. Так же до официального исправления никакого разглашения информации о 0day уязвимости всем остальным заинтересованным не будет.
И да, самое быстрое:
http://www.anti-malware.ru/news/2010-10-22/3161
Она была обнаружена еще 13 октября; 19 числа того же месяца было выпущено обновление, исправляющее выявленную ошибку.
http://www.oszone.net/13317/Linux
Как оказалось, уязвимость появилась в ядре еще в 2008 году. Крупные корпорации уже направили просьбу разработчикам дистрибутива RHEL устранить проблему, но они пока этого не сделали. Разнообразные модифицированные версии эксплоита до сих пор являются работоспособными.
Анонимы 4chan обнаружили 0day уязвимость в ядре Linux
Рассказали журналистам, что в ходе последних атак они использовали 0day уязвимость в ядре Linux. По словам хакеров подробности уязвимости будут отправлены Линусу Торвальдсу, но до публикации патча группа будет использовать свой эксплоит для взлома сайтов своих противников. Так же до официального исправления никакого разглашения информации о 0day уязвимости всем остальным заинтересованным не будет.
И да, самое быстрое:
http://www.anti-malware.ru/news/2010-10-22/3161
Она была обнаружена еще 13 октября; 19 числа того же месяца было выпущено обновление, исправляющее выявленную ошибку.
> www.oszone.net/13317/Linux
Патч был готов за четыре дня до публикации статьи.
> Анонимы 4chan обнаружили
ОБС.
> www.anti-malware.ru/news/2010-10-22/3161
«This does not work on most domains confined by SELinux»
Первая попытка провалилось. Гуглите дальше.
Патч был готов за четыре дня до публикации статьи.
> Анонимы 4chan обнаружили
ОБС.
> www.anti-malware.ru/news/2010-10-22/3161
«This does not work on most domains confined by SELinux»
Первая попытка провалилось. Гуглите дальше.
Нет, лучше Вы гуглите.
Ответьте на конкретный вопрос: «В Linux сейчас нет ни одной не закрытой ошиби безопасности», так? Да или нет?
Ответьте на конкретный вопрос: «В Linux сейчас нет ни одной не закрытой ошиби безопасности», так? Да или нет?
> «В Linux сейчас нет ни одной не закрытой ошиби безопасности»
Откуда цитата?
И, да, вам сюда: habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
Откуда цитата?
И, да, вам сюда: habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
Берём Windows 7 — 7 непатченных уязвимости
Берём Ubuntu Linux 10.10 — 0 непатченных уязвимости
Что не так?
Берём Ubuntu Linux 10.10 — 0 непатченных уязвимости
Что не так?
Что не так:
1. По ссылкам только те уязвимости, которые нашла/посоветовала компания Secunia(Secunia advisories), а не все уязвимости вообше.
2. Вы берёте только Ubuntu, а вот в самом по себе ядере (Linux Kernel 2.6.x) 12 непатченных уязвимостей. Притом, что Windows 7 это не только ядро и там 7, а Linux Kernel только ядро и там 12.
1. По ссылкам только те уязвимости, которые нашла/посоветовала компания Secunia(Secunia advisories), а не все уязвимости вообше.
2. Вы берёте только Ubuntu, а вот в самом по себе ядере (Linux Kernel 2.6.x) 12 непатченных уязвимостей. Притом, что Windows 7 это не только ядро и там 7, а Linux Kernel только ядро и там 12.
Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical? Иначе бы уязвимость касалась и Ubuntu, а она не касается и в списки не входит. Так что не надо ля-ля.
А тот аргумент, что это не все уязвимости вообще, а только от Secunia?
Вы почитайте что они пишут про статистику:
Вы почитайте что они пишут про статистику:
secunia.com/advisories/product/32688/?task=statistics_2011
PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another.
Это не статистика для сравнивания продуктов.
A direct and fair comparison of unpatched issues for e.g. Microsoft Windows and Linux distributions is therefore NOT possible using the aggregated Secunia statistics.
С помощью данной статистики не следует сравнивать незакрытые уязвимости в Windows и Linux листрибутивах. Это невозможно.
PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another.
Это не статистика для сравнивания продуктов.
A direct and fair comparison of unpatched issues for e.g. Microsoft Windows and Linux distributions is therefore NOT possible using the aggregated Secunia statistics.
С помощью данной статистики не следует сравнивать незакрытые уязвимости в Windows и Linux листрибутивах. Это невозможно.
Плевать, что они пишут. На торрентах тоже пишут: выкладываем винду для ознакомления. Но всем как обычно
Безусловно. Тогда будет 100500 у Windows 7 и 1 у Ubuntu 10.10
Вам плевать, что авторы отчёта пишут о своей методике? Авторы ещё аргументируют, почему они так пишут. Почитайте.
Почему бы Вам в таком случае просто цифры с потолка не брать, скажем в Linux 0 уязвимостей, а в Windows — 42 согласно цифрам с потолка. Ну или 100500, Вы близки.
Вы говорите
>>Так что не надо ля-ля.
А сами берёте цифры с потолка, ну ли строите прогнозы с потолка. Используя статистику, которая покрывает только уязвимости от одной компании, которая говорит, что методика подсчёта не позволяет сравнивать Linux и Windows.
Спорить с Вами тоже бесполезно. Спасибо.
Почему бы Вам в таком случае просто цифры с потолка не брать, скажем в Linux 0 уязвимостей, а в Windows — 42 согласно цифрам с потолка. Ну или 100500, Вы близки.
Вы говорите
>>Так что не надо ля-ля.
А сами берёте цифры с потолка, ну ли строите прогнозы с потолка. Используя статистику, которая покрывает только уязвимости от одной компании, которая говорит, что методика подсчёта не позволяет сравнивать Linux и Windows.
Спорить с Вами тоже бесполезно. Спасибо.
Я какую-то херню пишу. Прошу простить, вчера не в себе был.
Касательно самих уязвимостей по градациям тогда.
В MS Winows 7 (голой системе) уязвимости незакрытые с уровнем Highly critical, тогда как в ядре Linux они на два уровня ниже по серьёзности. Это тоже показатель, кроме количества.
В MS Winows 7 (голой системе) уязвимости незакрытые с уровнем Highly critical, тогда как в ядре Linux они на два уровня ниже по серьёзности. Это тоже показатель, кроме количества.
Вы знаете, к Microsoft можно предъявить 1000000 претензий. И я не очень хочу тут за все аспекты безопасности операционных систем отвечать. Там столько нюансов и подводных камней. Если мы что-то обсудим, всегда найдётся ещё что-то. А потом ещё…
К чему этот спор?
Вы хотите доказать, что Linux более защищённая ОС? Для этого надо делать полноценное исследование, которое займёт не один месяц. В Колличество уязвимостей в конкретный момент времени — не совсем точный показатель. К комментариях на Хабре ни я, ни Вы такое исследование точно сделать не сможем.
Кстати, голый Windows включает в том числе браузер. А ядро в разы меньше.
И в Linux и в Windows есть современные механизмы безопасности. Обе операционные системы на данный момент достаточно защищённые. Но и существенного приемущества в вопросах безопасности ни у кого нет.
К чему этот спор?
Вы хотите доказать, что Linux более защищённая ОС? Для этого надо делать полноценное исследование, которое займёт не один месяц. В Колличество уязвимостей в конкретный момент времени — не совсем точный показатель. К комментариях на Хабре ни я, ни Вы такое исследование точно сделать не сможем.
Кстати, голый Windows включает в том числе браузер. А ядро в разы меньше.
И в Linux и в Windows есть современные механизмы безопасности. Обе операционные системы на данный момент достаточно защищённые. Но и существенного приемущества в вопросах безопасности ни у кого нет.
Проблема в том, что в руках дилетанта, по умолчанию, Windows будет менее защищённой. Так как компоненты, поставляемые по умолчанию, требуют серьёзной настройки. Защитник Windows антивирусом не является, а только антишпионским ПО с сомнительной степенью детектирования. Брандамауэр штатный убог, в Windows XP он воистину кошмарен, в Виста получше, в Семёрке он чудесен, но требует куда большей настройки, чем штатный фаерволл многих дистрибутивов Linux. UAC невероятно эффективен и огромный рывок в безопасности, но всё летит псу под хвост из-за отсутствия штатного антивируса. Да, есть опциональный MSE, есть напоминалка о необходимости установления этого самого антивирусного ПО, но чего нет, того нет.
Что касается «голого» Windows, то у IE самого есть пачка отдельных открытых уязвимостей, кои не фиксятся с 2007 года.
Что касается «голого» Windows, то у IE самого есть пачка отдельных открытых уязвимостей, кои не фиксятся с 2007 года.
Интересно, кто минусует моё сообщение, читают, что пишет Secunia?
>>Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical?
Уверен.
secunia.com/advisories/product/32688/?task=statistics
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Secunia отслеживает только ошибки безопасности, пофиксенные вендором продукта, не относящиеся к продуктам других вендоров.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
>>Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical?
Уверен.
secunia.com/advisories/product/32688/?task=statistics
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Secunia отслеживает только ошибки безопасности, пофиксенные вендором продукта, не относящиеся к продуктам других вендоров.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
> Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
А почему тогда здесь secunia.com/advisories/product/32688/?task=advisories_2010 в том числе и апдейты, закрывающие дыры в ядре? Пример: secunia.com/advisories/41881/
А почему тогда здесь secunia.com/advisories/product/32688/?task=advisories_2010 в том числе и апдейты, закрывающие дыры в ядре? Пример: secunia.com/advisories/41881/
Потому, что это Vendor Patch производства Canonical. Вы меня упрекали в нерелевантности моей статистики, а тут защищаете что-то, служащее совсем другим целям, по мнению авторов этого чего-то.
Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Просто прочитайте пару абзацев текста, там всё весьма однозначно, а не стройте догадки.
Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Просто прочитайте пару абзацев текста, там всё весьма однозначно, а не стройте догадки.
> Потому, что это Vendor Patch производства Canonical.
> Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Так с точки зрения конечного пользователя, может он пострадать от этих уязвимостей, или нет?
> Вы меня упрекали в нерелевантности моей статистики
Вам сюда: habrahabr.ru/blogs/infosecurity/112801/#comment_3617124
> А в Linux дистрибутивах полно продуктов других вендоров.
> Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
Ok, давайте сюда сплоит для последней обновлённой Шапки, Бунты, Мандривы или Сюси.
> Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Так с точки зрения конечного пользователя, может он пострадать от этих уязвимостей, или нет?
> Вы меня упрекали в нерелевантности моей статистики
Вам сюда: habrahabr.ru/blogs/infosecurity/112801/#comment_3617124
> А в Linux дистрибутивах полно продуктов других вендоров.
> Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
Ok, давайте сюда сплоит для последней обновлённой Шапки, Бунты, Мандривы или Сюси.
>Вы берёте только Ubuntu, а вот в самом по себе ядере (Linux Kernel 2.6.x) 12 непатченных уязвимостей. Притом, что Windows 7 это не только ядро и там 7, а Linux Kernel только ядро и там 12.
Пипец логика. Какая кому нахрен разница (кроме любителей троллинга, разумеется), сколько уязвимостей в ванильном сферическом ядре, если в том ядре, которое входит в конкретный дистрибутив, эти уязвимости закрыты?
Я уже молчу про то, что Windows7 — это голая система, а Ubuntu Linux — ещё и хренова туча софта в придачу.
Пипец логика. Какая кому нахрен разница (кроме любителей троллинга, разумеется), сколько уязвимостей в ванильном сферическом ядре, если в том ядре, которое входит в конкретный дистрибутив, эти уязвимости закрыты?
Я уже молчу про то, что Windows7 — это голая система, а Ubuntu Linux — ещё и хренова туча софта в придачу.
Вы читали, мой другой комментарий?
habrahabr.ru/blogs/infosecurity/112801/#comment_3616876
Люди, сделавшие статистику, на которую тут ссылаются пишут, что сравнивать безопасность Linux и Windows по этой статистике некорректно. Всё точка.
Люди, сделавшие статистику, на которую тут ссылаются пишут, что сравнивать безопасность Linux и Windows по этой статистике некорректно. Всё точка.
Сравнивать безопасность по отчёту от SecurityLab от 2006 года ещё более некорректно, но вам это почему-то не помешало :)
Разница в том, что в случае отчёта Secunia авторы отчёта говорят о том для чего отчёт можно использовать, а для чего нет. Причём пишут это большими буквами.
Было утверждение:
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3617146#comment_3614993
В Linux патчи безопасности «Обычно выпускают в день обнаружения или максимум на следующий.». Я привёл отчёт, который это опровергает. Почему более некорректно? Даже, если время устранения багов в Linux в 10 раз меньше, чем показано в отчёте, до одного дня в среднем будет очень-очень далеко.
Было утверждение:
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3617146#comment_3614993
В Linux патчи безопасности «Обычно выпускают в день обнаружения или максимум на следующий.». Я привёл отчёт, который это опровергает. Почему более некорректно? Даже, если время устранения багов в Linux в 10 раз меньше, чем показано в отчёте, до одного дня в среднем будет очень-очень далеко.
>Я привёл отчёт, который это опровергает.
Я сильно подозреваю, что утверждение «патчи обычно выпускают в день обнаружения» касалось настоящего времени (плюс более-менее обозримое прошлое), поэтому отчёт за 2006 год ну никак не может его опровергать :)
Впрочем, справедливости ради нужно заметить, что подтверждения тому утверждению я тоже не видел.
Я сильно подозреваю, что утверждение «патчи обычно выпускают в день обнаружения» касалось настоящего времени (плюс более-менее обозримое прошлое), поэтому отчёт за 2006 год ну никак не может его опровергать :)
Впрочем, справедливости ради нужно заметить, что подтверждения тому утверждению я тоже не видел.
>>ну никак не может его опровергать
Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.
Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
То, что в Linux устраняется за один день работает по следующему сценарию:
— Разработчик ядра находит уязвимость
— Исправляет её
— Публикует о ней информацию
Или
— Хакер назодит уязвимость
— Сообщает разработчикам ядра
— Всё исправляется
— Информация публикуется
Таким способом очень легко можно многое «за день» исправить
Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.
Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
То, что в Linux устраняется за один день работает по следующему сценарию:
— Разработчик ядра находит уязвимость
— Исправляет её
— Публикует о ней информацию
Или
— Хакер назодит уязвимость
— Сообщает разработчикам ядра
— Всё исправляется
— Информация публикуется
Таким способом очень легко можно многое «за день» исправить
Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
>Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.
Вы знаете, если читать комментарии оппонента до конца, то можно открыть для себя много интересного. Например, что о «принятии на веру» речи ну никак не идёт и что я тоже был бы очень не против увидеть подтверждение утверждению об исправлении за 1 день.
>Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
Я серьёзно считаю, что данные пятилетней давности не могут служить ни подтверждением, ни опровержением для текущей ситуации. А гадание на кофейной гуще — не мой конёк.
>То, что в Linux устраняется за один день работает по следующему сценарию:
…
Таким способом очень легко можно многое «за день» исправить
Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение. Какое может быть объяснение у того, что не существует? Или таки существует, м? ;)
>— Разработчик ядра находит уязвимость
>— Исправляет её
Вопрос из зала: это какой-то запатентованный сценарий и разработчикам Виндовса строго-настрого запрещено ему следовать? Вроде нет. Так может они тоже ему следуют? Значит, однодневные фиксы в Винде тоже есть? Ну так а почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
>Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
Когда вы говорите «фактически» — вы готовы подкрепить этот «факт» ссылкой?
А то сейчас ваше утверждение ничем не отличается от «Младенцам, не проходящим отбор, оставляют жизнь. Фактически все ныне живущие христиане — это те, кто был отсеян злобным ZOG-ом и не подошёл по качеству крови для непосредственного употребления».
Вы знаете, если читать комментарии оппонента до конца, то можно открыть для себя много интересного. Например, что о «принятии на веру» речи ну никак не идёт и что я тоже был бы очень не против увидеть подтверждение утверждению об исправлении за 1 день.
>Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
Я серьёзно считаю, что данные пятилетней давности не могут служить ни подтверждением, ни опровержением для текущей ситуации. А гадание на кофейной гуще — не мой конёк.
>То, что в Linux устраняется за один день работает по следующему сценарию:
…
Таким способом очень легко можно многое «за день» исправить
Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение. Какое может быть объяснение у того, что не существует? Или таки существует, м? ;)
>— Разработчик ядра находит уязвимость
>— Исправляет её
Вопрос из зала: это какой-то запатентованный сценарий и разработчикам Виндовса строго-настрого запрещено ему следовать? Вроде нет. Так может они тоже ему следуют? Значит, однодневные фиксы в Винде тоже есть? Ну так а почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
>Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
Когда вы говорите «фактически» — вы готовы подкрепить этот «факт» ссылкой?
А то сейчас ваше утверждение ничем не отличается от «Младенцам, не проходящим отбор, оставляют жизнь. Фактически все ныне живущие христиане — это те, кто был отсеян злобным ZOG-ом и не подошёл по качеству крови для непосредственного употребления».
О чём мы спорим???
>>Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение.
>>почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
Утверждение было, что почти все фиксы однодневные. Это не так.
Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
>>Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение.
>>почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
Утверждение было, что почти все фиксы однодневные. Это не так.
Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
>О чём мы спорим???
Лично я (в этой ветке) — о том, что:
а) уязвимости ванильного ядра пользователя не касаются — он использует дистрибутивное ядро.
б) сравнивать безопасность нынешних систем по отчёту 5-летней давности — некорректно
в) что однодневные фиксы возможны как для Линукса, так и для Виндовса, поэтому не нужно пытаться «упрекать» Линукс в этом. Если же разработчики Виндовса не поступают по тому же сценарию, то это характеризует их далеко не с лучшей стороны.
>Утверждение было, что почти все фиксы однодневные.
Скажите, вот вы уже не в первый раз переиначиваете слова оппонента — вы это делаете случайно или намеренно?
Я почему спрашиваю — потому что не видел слов «почти все» в изначальном утверждении.
>Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Некоторые фиксы Винды КАЖУТСЯ быстрыми. Между быть и казаться разница есть. Будете спорить?
>Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
Я этим зарабатываю себе на хлеб с маянезиком.
Лично я (в этой ветке) — о том, что:
а) уязвимости ванильного ядра пользователя не касаются — он использует дистрибутивное ядро.
б) сравнивать безопасность нынешних систем по отчёту 5-летней давности — некорректно
в) что однодневные фиксы возможны как для Линукса, так и для Виндовса, поэтому не нужно пытаться «упрекать» Линукс в этом. Если же разработчики Виндовса не поступают по тому же сценарию, то это характеризует их далеко не с лучшей стороны.
>Утверждение было, что почти все фиксы однодневные.
Скажите, вот вы уже не в первый раз переиначиваете слова оппонента — вы это делаете случайно или намеренно?
Я почему спрашиваю — потому что не видел слов «почти все» в изначальном утверждении.
>Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Некоторые фиксы Винды КАЖУТСЯ быстрыми. Между быть и казаться разница есть. Будете спорить?
>Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
Я этим зарабатываю себе на хлеб с маянезиком.
А это касается пользователей?
И ещё раз. НЕТ, не в ванильном ядре:
habrahabr.ru/blogs/infosecurity/112801/#comment_3618665
И ещё раз. НЕТ, не в ванильном ядре:
habrahabr.ru/blogs/infosecurity/112801/#comment_3618665
>А это касается пользователей?
Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
Конечно, баг в Thunderbird касается пользователей Ubuntu, но не касается пользователей Windows.
Конечно, баги в Blender-е — это баг Ubuntu.
Конечно, баги в Вордпрессе — это баги Ubuntu.
Вы хоть сами читаете то, что кидаете? :) Или просто увидели многабукаф и решили, что это будет офигенным аргументом?
«gnome-screensaver never activated after inhibiting» — А-А-А, УЯЗВИМОСТЬ!!!
«epiphany (webkit) doesn't clearly warn about invalid SSL certificates» — А-А-А, ДЫРЯВАЯ УБУНТА!!!
Пипец на выезде…
>И ещё раз. НЕТ, не в ванильном ядре:
И ещё раз. ДА, в ванильном ядре.
habrahabr.ru/blogs/infosecurity/112801/#comment_3618751
Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
Конечно, баг в Thunderbird касается пользователей Ubuntu, но не касается пользователей Windows.
Конечно, баги в Blender-е — это баг Ubuntu.
Конечно, баги в Вордпрессе — это баги Ubuntu.
Вы хоть сами читаете то, что кидаете? :) Или просто увидели многабукаф и решили, что это будет офигенным аргументом?
«gnome-screensaver never activated after inhibiting» — А-А-А, УЯЗВИМОСТЬ!!!
«epiphany (webkit) doesn't clearly warn about invalid SSL certificates» — А-А-А, ДЫРЯВАЯ УБУНТА!!!
Пипец на выезде…
>И ещё раз. НЕТ, не в ванильном ядре:
И ещё раз. ДА, в ванильном ядре.
habrahabr.ru/blogs/infosecurity/112801/#comment_3618751
>>habrahabr.ru/blogs/infosecurity/112801/#comment_3618751
Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.
>>Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
>>Вы хоть сами читаете то, что кидаете? :)
А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально? Это не честно. Это прямой обман. Например, там много где в правой колонке linux (Ubuntu ...)
Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.
>>Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
>>Вы хоть сами читаете то, что кидаете? :)
А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально? Это не честно. Это прямой обман. Например, там много где в правой колонке linux (Ubuntu ...)
>Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.
Secunia в качестве линка на «продукт» недвусмысленно ссылается на ubuntu.com. Это вам в качетстве намёка на то, что считать «продуктом».
Сходить по линку и прочитать, какой продукт распространяет и поддерживает Canonical — осилите?
>А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально?
Извините, но вы бредите. Я ничего не «брал», я лишь указал вам на то, что в споре об уязвимостях одной конкретной ОСи (Ubuntu Linux) вываливать список багов (не уязвимостей!), найденных в хрЕновой туче дистров (плюс в кроссплатформенном прикладном софте)… «Это не честно. Это прямой обман».
Secunia в качестве линка на «продукт» недвусмысленно ссылается на ubuntu.com. Это вам в качетстве намёка на то, что считать «продуктом».
Сходить по линку и прочитать, какой продукт распространяет и поддерживает Canonical — осилите?
>А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально?
Извините, но вы бредите. Я ничего не «брал», я лишь указал вам на то, что в споре об уязвимостях одной конкретной ОСи (Ubuntu Linux) вываливать список багов (не уязвимостей!), найденных в хрЕновой туче дистров (плюс в кроссплатформенном прикладном софте)… «Это не честно. Это прямой обман».
Итак, Вы утверждаете, что в Ubuntu 10.10 нет ни одной не закрытой уязвимости? Да?
>Итак, Вы утверждаете, что в Ubuntu 10.10 нет ни одной не закрытой уязвимости? Да?
Нет, вам это приснилось.
Нет, вам это приснилось.
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3618973#comment_3617143
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
Это мне тоже приснилось?
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
Это мне тоже приснилось?
Мда… у вас не просто серьёзные, а серьёзнейшие проблемы с пониманием написанного (в частности, с чувством контекста).
Вас не насторожил тот факт, что тот человек, в беседе с кем мной было написано это сообщение (на заметку: он куда более компетентен в предмете вопроса, чем вы), не заострил на этом внимание? А знаете, почему он этого не сделал? Потому что он понял контекст, и он понял, что эта фраза не означает буквально, что «я утверждаю, что в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости». А всё потому что он знает, что а) «официально поддерживаемая часть дистрибутива» != «весь дистрибутив»; б) «нет уязвимостей, перечисленных на Secunia» != «нет уязвимостей»; и в) (самое главное!) эта моя фраза была написана буквальной калькой с его высказывания, и её единственным предназначением было указать на несостоятельность его аргумента «исходя из моего опыта я не верю». И он это прекрасно понял. Вот только вы не поняли.
Вас не насторожил тот факт, что тот человек, в беседе с кем мной было написано это сообщение (на заметку: он куда более компетентен в предмете вопроса, чем вы), не заострил на этом внимание? А знаете, почему он этого не сделал? Потому что он понял контекст, и он понял, что эта фраза не означает буквально, что «я утверждаю, что в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости». А всё потому что он знает, что а) «официально поддерживаемая часть дистрибутива» != «весь дистрибутив»; б) «нет уязвимостей, перечисленных на Secunia» != «нет уязвимостей»; и в) (самое главное!) эта моя фраза была написана буквальной калькой с его высказывания, и её единственным предназначением было указать на несостоятельность его аргумента «исходя из моего опыта я не верю». И он это прекрасно понял. Вот только вы не поняли.
abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
>>Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является >>ванильное ядро) конечного пользователя не касается никак.
У вас серьёзнейшие проблемы придумыванием глупых отмазок. Вы неспособны признать даже то, что написали то, что написали. С Вами разговаривать больше не о чем, вообще не о чем.
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
>>Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является >>ванильное ядро) конечного пользователя не касается никак.
У вас серьёзнейшие проблемы придумыванием глупых отмазок. Вы неспособны признать даже то, что написали то, что написали. С Вами разговаривать больше не о чем, вообще не о чем.
>abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.
Спасибо, я в курсе.
>У вас серьёзнейшие проблемы придумыванием глупых отмазок.
Вы правы, у меня с этим серьёзнейшие проблемы. Поэтому я этим и не занимаюсь.
>Вы неспособны признать даже то, что написали то, что написали.
Я мало того, что «признал то, что написал то, что написал» — я ещё и подробно разжевал «то, что я написал, для тех, кто не понял, что же именно я написал». Если же мне придётся «разжёвывать то, как я разжевал то, что я написал» — то тут я пас.
>С Вами разговаривать больше не о чем, вообще не о чем.
Так я о том и говорю. Для того, чтобы со мной о чём-то разговаривать, нужно иметь хотя бы отдалённое представление о предмете разговора.
Интересно получается, однако: с хабраюзером abeshkov нам нашлось о чём поговорить (причём мы друг друга поняли и быстро пришли к консенсусу), а вот с вами — «не о чем, вообще не о чем».
Хотя чего это я? К одному консенсусу мы с вами таки пришли: мы оба согласны, что нам не о чем с вами разговаривать %)
Спасибо, я в курсе.
>У вас серьёзнейшие проблемы придумыванием глупых отмазок.
Вы правы, у меня с этим серьёзнейшие проблемы. Поэтому я этим и не занимаюсь.
>Вы неспособны признать даже то, что написали то, что написали.
Я мало того, что «признал то, что написал то, что написал» — я ещё и подробно разжевал «то, что я написал, для тех, кто не понял, что же именно я написал». Если же мне придётся «разжёвывать то, как я разжевал то, что я написал» — то тут я пас.
>С Вами разговаривать больше не о чем, вообще не о чем.
Так я о том и говорю. Для того, чтобы со мной о чём-то разговаривать, нужно иметь хотя бы отдалённое представление о предмете разговора.
Интересно получается, однако: с хабраюзером abeshkov нам нашлось о чём поговорить (причём мы друг друга поняли и быстро пришли к консенсусу), а вот с вами — «не о чем, вообще не о чем».
Хотя чего это я? К одному консенсусу мы с вами таки пришли: мы оба согласны, что нам не о чем с вами разговаривать %)
Кстати, ваша ложь в твиттере тоже не делает вам чести:
«На Хабре люди искренне верят, что в Ubuntu нет ни одной не закрытой уязвимости.»
«Так почему мне доказывают, что нет абсолютно ни одной не закрытой уязвимости, а за возражения карму минусуют?»
Кто тут «искренне верит, что нет ни одной незакрытой уязвимости»? Кто вам «доказывает, что нет абсолютно ни одной не закрытой уязвимости»?
Судя по тому, что твиты появились 2 часа назад, а за это время вы в данном топике общались только со мной, вы имеете в виду именно меня. Следовательно вы нагло и откровенно ВРЁТЕ.
Насчёт кармы, кстати, тоже врёте: она как была 25 баллов 3 часа назад (я ознакомился с профилем как раз перед уходом из дома), так и осталась на том же уровне сейчас.
Однако если вы сейчас не извинитесь за своё враньё (и тут, и в твиттере), то я сделаю вам одолжение и обращу в правду хотя бы одно из ваших высказываний: действительно опущу вам карму :)
Хотя дело тут даже не в дурацком и ничего не значащем минусе. Если вам нравится жить бесчестным мудаком, нагло перевирающим события, то это ваше неотъемлемое право, которое у вас никто отнят не сможет.
«На Хабре люди искренне верят, что в Ubuntu нет ни одной не закрытой уязвимости.»
«Так почему мне доказывают, что нет абсолютно ни одной не закрытой уязвимости, а за возражения карму минусуют?»
Кто тут «искренне верит, что нет ни одной незакрытой уязвимости»? Кто вам «доказывает, что нет абсолютно ни одной не закрытой уязвимости»?
Судя по тому, что твиты появились 2 часа назад, а за это время вы в данном топике общались только со мной, вы имеете в виду именно меня. Следовательно вы нагло и откровенно ВРЁТЕ.
Насчёт кармы, кстати, тоже врёте: она как была 25 баллов 3 часа назад (я ознакомился с профилем как раз перед уходом из дома), так и осталась на том же уровне сейчас.
Однако если вы сейчас не извинитесь за своё враньё (и тут, и в твиттере), то я сделаю вам одолжение и обращу в правду хотя бы одно из ваших высказываний: действительно опущу вам карму :)
Хотя дело тут даже не в дурацком и ничего не значащем минусе. Если вам нравится жить бесчестным мудаком, нагло перевирающим события, то это ваше неотъемлемое право, которое у вас никто отнят не сможет.
Спасибо за изучение моего твиттера. За данный топик у меня было 3 плюса в карму и 8 минусов. Трёхчасовой отрезок — не показатель.
И да, простите, но Вашу фразу
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе. То, что Вы знаете, что это не так, это очень хорошо.
И да, простите, но Вашу фразу
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе. То, что Вы знаете, что это не так, это очень хорошо.
>Спасибо за изучение моего твиттера.
Не за что — он транслируется в ваш хабрапрофиль.
>Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе.
Я вам ясным русским языком объяснил, КАК нужно понимать эту фразу, В КАКОМ контексте она была сказана и ДЛЯ ЧЕГО она была сказана именно так. Могу ещё на английском объяснить, но я не уверен, что результат будет лучше.
В общем, я правильно понимаю, что извинений не будет?
Не за что — он транслируется в ваш хабрапрофиль.
>Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе.
Я вам ясным русским языком объяснил, КАК нужно понимать эту фразу, В КАКОМ контексте она была сказана и ДЛЯ ЧЕГО она была сказана именно так. Могу ещё на английском объяснить, но я не уверен, что результат будет лучше.
В общем, я правильно понимаю, что извинений не будет?
> abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.
Можно поподробнее?
Можно поподробнее?
Понимаете, какая ситуация. МС уже неоднократно в своих сравнениях своих продуктов с другими вели себя откровенно нечестно. Взять те же тесты css3 в последнем IE9. Или поддержку SVG. Ну там же откровенная подтасовка. Берутся не все свойства, а в основном те, которые поддерживаются ИЕ и проводится сравнение. Ну это же просто непорядочно.
И если бы такое было только один раз.
Извините, с некоторых пор аналитике от МС я не верю. И не я в этом виноват.
И если бы такое было только один раз.
Извините, с некоторых пор аналитике от МС я не верю. И не я в этом виноват.
Вы позволили убедить себя, что это подтасовка. А то, что в ACID тестах всегда брали те тесты, которые хуже проходит IE, значение не имеет? А то, что в ACID тестах, некоторые тесты не соответствуют стандарту вообще, это ничего?
Про SVG в ACID, кстати, позиция Mozilla.
en.wikipedia.org/wiki/Acid3
Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores
en.wikipedia.org/wiki/Acid3
Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores
samples.msdn.microsoft.com/ietestcenter/
То, что находится по ссылке выше претендует на исследование, но таковым не является. Это называется пыль в глаза, маркетинг.
Ага, а MS выбирали такие вещи, которые позарез как нужны. Посмотрите список тестов, что ли. Вы видели вообще что там есть в IE9, чего нет в других браузерах? Прямо такое всё шибко востребованное, да? Я вот там не вижу ничего такого.
Они по каким-то только им ведомым приоритетам выбрали нечто, реализовали, и теперь сравнивают только то, что реализовали с тем, что есть (чего нет) в других браузерах.
Извините, это подтасовка. Это всё равно, что сравнить две машины, выбрав только те параметры, по которым ваша лучше. Видели сравнение iPhone с древней монохромной нокией? Это из той же серии.
Это стандартная стратегия МС, сейчас просто лень поднимать все эти случаи, но на моей памяти их полно, в самых разных областях. К тому же, никому не секрет как МС ведут подковёрную игру, например, с производителями железа, и на какие штрафы залетают за нечестную конкуренцию.
И, если вернуться к табличке с которой всё и началось, вы тоже занимаетесь подменой понятий. Разговор шел о скорости исправления критических уязвимостей, а вы о времени жизни уязвимости (включая период до обнаружения), при этом, относительно Windows этот период исчисляется с момента признания МС этой уязвимости а не с момента её появления в системе.
Очередная пыль в глаза и подмена понятий. Тут даже говорить не о чем.
То, что находится по ссылке выше претендует на исследование, но таковым не является. Это называется пыль в глаза, маркетинг.
Ага, а MS выбирали такие вещи, которые позарез как нужны. Посмотрите список тестов, что ли. Вы видели вообще что там есть в IE9, чего нет в других браузерах? Прямо такое всё шибко востребованное, да? Я вот там не вижу ничего такого.
Они по каким-то только им ведомым приоритетам выбрали нечто, реализовали, и теперь сравнивают только то, что реализовали с тем, что есть (чего нет) в других браузерах.
Извините, это подтасовка. Это всё равно, что сравнить две машины, выбрав только те параметры, по которым ваша лучше. Видели сравнение iPhone с древней монохромной нокией? Это из той же серии.
Это стандартная стратегия МС, сейчас просто лень поднимать все эти случаи, но на моей памяти их полно, в самых разных областях. К тому же, никому не секрет как МС ведут подковёрную игру, например, с производителями железа, и на какие штрафы залетают за нечестную конкуренцию.
И, если вернуться к табличке с которой всё и началось, вы тоже занимаетесь подменой понятий. Разговор шел о скорости исправления критических уязвимостей, а вы о времени жизни уязвимости (включая период до обнаружения), при этом, относительно Windows этот период исчисляется с момента признания МС этой уязвимости а не с момента её появления в системе.
Очередная пыль в глаза и подмена понятий. Тут даже говорить не о чем.
А я хоть слово говорил про ACID? Вы снова сравниваете не с тем.
Вы говорили:
>>Взять те же тесты css3 в последнем IE9. Или поддержку SVG. Ну там же откровенная подтасовка.
Я утверждаю, что со слов Alex Limi (Mozilla UX lead), некая компания реализует в своём браузере никому не нужную фигню, чтобы прости тесты, входящие в ACID 3, но не имеющие отношение к реальной жизни. По сути искуственно завышая свои результаты.
Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores.
en.wikipedia.org/wiki/Acid3
И это компания не Microsoft, это в том числе Google. Теперь Вы как честный человек, должны перестать верить Google. Так как в противном случае это будут двойные стандарты.
Также Вы пишете:
>>Берутся не все свойства, а в основном те, которые поддерживаются ИЕ и проводится сравнение. Ну это же просто >>непорядочно.
ACID тесты составлены похожим образом. Берутся не все свойства, а те, где IE показывает себя хуже и проводится тест.
Разработчиков ACID теста, Вы теперь тоже, как честный человек, считаете непорядочными?
>>Взять те же тесты css3 в последнем IE9. Или поддержку SVG. Ну там же откровенная подтасовка.
Я утверждаю, что со слов Alex Limi (Mozilla UX lead), некая компания реализует в своём браузере никому не нужную фигню, чтобы прости тесты, входящие в ACID 3, но не имеющие отношение к реальной жизни. По сути искуственно завышая свои результаты.
Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores.
en.wikipedia.org/wiki/Acid3
И это компания не Microsoft, это в том числе Google. Теперь Вы как честный человек, должны перестать верить Google. Так как в противном случае это будут двойные стандарты.
Также Вы пишете:
>>Берутся не все свойства, а в основном те, которые поддерживаются ИЕ и проводится сравнение. Ну это же просто >>непорядочно.
ACID тесты составлены похожим образом. Берутся не все свойства, а те, где IE показывает себя хуже и проводится тест.
Разработчиков ACID теста, Вы теперь тоже, как честный человек, считаете непорядочными?
Итого, согласно графикам наиболее надежная ось 2006 года — Хр, а Солярис — друшлак :))) Интересно, кто в здравом уме в это поверит. Просто цикл тестов на декстоп и сервер — разный.
Поэтому, кстати, между Вин и Эпл разница небольшая.
Статистика такая статистика.
Поэтому, кстати, между Вин и Эпл разница небольшая.
Статистика такая статистика.
Понимаете, за каждой установкой Solaris стоит высокооплачиваемый системный администратор. Solaris редко торчит наружу вне корпоративной сети. Уязвимости в Solaris ищут в сотни раз меньше народу и.т.д.
Тем более на графике не колличество уязвимостей, а время из устранения.
Как Вы правильно заметили, десктоп и серверный рынок — очень разные. Если поставить Solaris на десктоп и им бы вдруг стало пользоваться 90% пользователей, то да, это был бы друшлак.
Тем более на графике не колличество уязвимостей, а время из устранения.
Как Вы правильно заметили, десктоп и серверный рынок — очень разные. Если поставить Solaris на десктоп и им бы вдруг стало пользоваться 90% пользователей, то да, это был бы друшлак.
>На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.
Чисто в виде уточнения: что именно понимается под «операционной системой» в случае MS Windows и в случае Novell Enterprise Linux и Red Hat Enterprise Linux? Какой набор компонент учитывался при подсчёте?
Не хотите же вы сказать, что сравнивалась голая система в первом случае и полные дистрибутивы во втором и третьем случаях, ведь правда?
Чисто в виде уточнения: что именно понимается под «операционной системой» в случае MS Windows и в случае Novell Enterprise Linux и Red Hat Enterprise Linux? Какой набор компонент учитывался при подсчёте?
Не хотите же вы сказать, что сравнивалась голая система в первом случае и полные дистрибутивы во втором и третьем случаях, ведь правда?
>патч уже выпущен
А 12309 так и не закрыт.
А 12309 так и не закрыт.
Когда другие ОС дойдут до такой доли рынка с сотнями миллионов пользователей и смогут поддерживать огромный парк разнообразного оборудования, тогда посмотрим сколько времени будет длиться тестирование патчей.
Нужно понимать что выпуск обновления без должного тестирования с высокой вероятностью может привести к отказу сторонних приложений и возможно самой ОС.
Нужно понимать что выпуск обновления без должного тестирования с высокой вероятностью может привести к отказу сторонних приложений и возможно самой ОС.
Линукс давно с железом нормально дружит, вообще-то. Исключение — принтеры, но HPшные поддерживаются на ура, а эпсоновские после танцев с бубном. Собственно, у меня под убунтой встроенный 3G-модем завести намного легче оказалось (сразу увиделись 3 ttyACM-девайса), чем под виндой (там достаточно кривая утилита работы с ACPI + сам девайс как модем в системе появляется только после запуска другой софтины, а в какой-то момент она его перестала видеть, и я остался без модема). А база пользователей — вопрос времени.
Вот смотрите, команда
Команда glibc может внести изменения, ломающе работу десятков программа, п потом сказать, что всё так и надо. Microsoft позволить сябе такое не может.
www.linux.org.ru/news/linux-general/5545961
Изменение поведения функции memcpy() в реализации glibc для x86_64 (для ia-32 ничего не изменилось) привело к странным ошибкам во многих программах. Например, искажению звука при проигрывании.
Проблема в том, что memcpy для перекрывающихся участков памяти теперь работает некорректно (как в общем-то и должно быть согласно документации). Но, как выяснилось, авторы многих проектов документацию не читали.
Несмотря на появление в обсуждении Линуса Торвальдса, у которого также появились проблемы со звуком в некоторых программах на его компьютере, ошибка была закрыта по причине «not a bug». В сообщении #38 Линус предлагает способ обхода этой проблемы.
www.linux.org.ru/news/linux-general/5545961
Изменение поведения функции memcpy() в реализации glibc для x86_64 (для ia-32 ничего не изменилось) привело к странным ошибкам во многих программах. Например, искажению звука при проигрывании.
Проблема в том, что memcpy для перекрывающихся участков памяти теперь работает некорректно (как в общем-то и должно быть согласно документации). Но, как выяснилось, авторы многих проектов документацию не читали.
Несмотря на появление в обсуждении Линуса Торвальдса, у которого также появились проблемы со звуком в некоторых программах на его компьютере, ошибка была закрыта по причине «not a bug». В сообщении #38 Линус предлагает способ обхода этой проблемы.
UFO just landed and posted this here
Вы хотите, чтобы после обновления glibc Ваша система, ну, скажем, биллинга, приёма платежей, ну или даже сайт, перестал работать потому, что его «аннигилируют»? Я не против. Но мне хочется, чтобы таких сюрпризов не было.
Какая система более глючная, как Вы выразились. Та, где функции работают предсказуемо, или где всё может в любой момент измениться?
В данном конкретном случае повоедение glibc на мой взгляд было правильныйм. Но разработчики думали иначе и никого не спросили.
А вот если в Windows X не заработает программа от Windows X-1, то толпы людей будут орать на то, какой плохой Microsoft.
Какая система более глючная, как Вы выразились. Та, где функции работают предсказуемо, или где всё может в любой момент измениться?
В данном конкретном случае повоедение glibc на мой взгляд было правильныйм. Но разработчики думали иначе и никого не спросили.
А вот если в Windows X не заработает программа от Windows X-1, то толпы людей будут орать на то, какой плохой Microsoft.
Вы в системе биллинга используете вызовы glibc?
А что, нет? Не напрямую же. Скажем, пишите Вы на Python. Python вызывает glibc.
Вот от изменения в glibc постадала Flash программа, написанная на ActionScript. Разработчик, писавший данную программу про glibc мог даже не знать.
Вот от изменения в glibc постадала Flash программа, написанная на ActionScript. Разработчик, писавший данную программу про glibc мог даже не знать.
Когда у glibc меняется поведение(что очень редко), затрагиваемое ПО адаптируется, иначе оно никогда не попадёт в серьёзный дистрибутив.
Нормальные люди не будут ставить федору в продакшн(ошибка проявилась только там).
А то что ошибка в флеше вылезла у кого-то дома в его нестабильном дистрибутиве — проблема пользователя.
Нормальные люди не будут ставить федору в продакшн(ошибка проявилась только там).
А то что ошибка в флеше вылезла у кого-то дома в его нестабильном дистрибутиве — проблема пользователя.
UFO just landed and posted this here
Знаете, Вы почти правы. Только я бы не приплетал бы сюда экологию. В ядре много можно чего исправить, не ломая совместимость, как и в компиляторе.
Знаю, что это unix-way, но я бы добавил новую функцию, для быстрого копирования. Не элегантно, лучшее решение быть должно. Но текущее решение явно не лучшее.
Знаю, что это unix-way, но я бы добавил новую функцию, для быстрого копирования. Не элегантно, лучшее решение быть должно. Но текущее решение явно не лучшее.
Когда Linux будет поддерживать все что поддерживает Windows тогда можно будет говорить о нормальной дружбе с оборудованием.
Коллеги использующие Linux уже не имеют нужды боряться с Nvidia или ATI за выпуск правильных драйверов? И нет рекомендаций покупать то или иное оборудование потому что оно работает под Linux?
А тем временем я просто использую все это оборудование под Windows без каких либо плясок с бубном.
Впрочем вы сами себе противоречите. Как обычно декларируется поддержка всего кроме оборудования вендора Х. Вместо Х подставляем название по вкусу. Понятно ведь что нормальным пользователям вендор Х не нужен. :)
Коллеги использующие Linux уже не имеют нужды боряться с Nvidia или ATI за выпуск правильных драйверов? И нет рекомендаций покупать то или иное оборудование потому что оно работает под Linux?
А тем временем я просто использую все это оборудование под Windows без каких либо плясок с бубном.
Впрочем вы сами себе противоречите. Как обычно декларируется поддержка всего кроме оборудования вендора Х. Вместо Х подставляем название по вкусу. Понятно ведь что нормальным пользователям вендор Х не нужен. :)
UFO just landed and posted this here
> Коллеги использующие Linux уже не имеют нужды боряться с Nvidia или ATI за выпуск правильных драйверов?
Это как?
> Как обычно декларируется поддержка всего кроме оборудования вендора Х.
Скажите, а 100% драйверов, которые пишут для Windows, беспроблемные и сверх-стабильные? Нет, очевидно. В различных категориях железа у кого-то из производителей ситуация с драйверами лучше, а у кого-то хуже. Аналогично и в Linux.
Это как?
> Как обычно декларируется поддержка всего кроме оборудования вендора Х.
Скажите, а 100% драйверов, которые пишут для Windows, беспроблемные и сверх-стабильные? Нет, очевидно. В различных категориях железа у кого-то из производителей ситуация с драйверами лучше, а у кого-то хуже. Аналогично и в Linux.
UFO just landed and posted this here
Солидарен. Правильный ответ не «Не открывайте эти файлы», а «Не открывайте эти файлы в IE». Но MS корпоративная гордость не позволила так сказать.
«Не открывайте IE вообще»
А MHTML где ещё открывается?
Вообще статья неточно пишет. На сайте Микрософт приводятся более мягкие варианты решения (смотрите Mitigating Factors and Suggested Actions): запретить выполнение скриптов во всех MHTML-файлах (не запрещая файлы в целом), разрулить это на уровне «зон безопасности IE» и т. д. Не вижу, откуда взялась инфа «отказаться от открытия таких файлов». Ну и написано, что над патчем активно работают.
Вообще статья неточно пишет. На сайте Микрософт приводятся более мягкие варианты решения (смотрите Mitigating Factors and Suggested Actions): запретить выполнение скриптов во всех MHTML-файлах (не запрещая файлы в целом), разрулить это на уровне «зон безопасности IE» и т. д. Не вижу, откуда взялась инфа «отказаться от открытия таких файлов». Ну и написано, что над патчем активно работают.
Opera кажется еще может открывать, только криво как-то. Например отчеты everest можно сохранять в mhtml. Довольно удобно, но возможны проблемы.
Честно говоря, для меня загадка, почему так происходит. Формат описан в RFC 12 лет назад. Он не какой-то там убито-проприетарный или завязанный на какие-то там COM/OLE. Ну да, это не официальный стандарт W3C, ну и что? Почему его до сих пор не поддержали все браузеры, я не понимаю.
Честно говоря, для меня загадка, почему так происходит. Формат описан в RFC 12 лет назад. Он не какой-то там убито-проприетарный или завязанный на какие-то там COM/OLE. Ну да, это не официальный стандарт W3C, ну и что? Почему его до сих пор не поддержали все браузеры, я не понимаю.
Желтый хабр уже не торт
Интересно, уязвимости подвержены все версии IE или только <9?
Большинство уязвимостей обнаруживается, когда пользователь работает не совсем так, как задумано или он идиот.
Это баги. А уязвимости специально ищутся всякими нехорошими людьми, которые потом за эту информацию получают очень даже неплохие деньги
Не всегда. Поделюсь своим опытом. Когда моему соседу с правами гостя на моём компе удалось стать администратором (чисто случайно, я наблюдал), то это баг или уязвимость?
А можно узнать, как он это сделал? :)
Ввёл пароль, который на стикере приклеенном к монитору был написан?:)
Или спросив «А какой тут пароль?» потянулся к паяльнику?
Стикеров и паяльников обнаружено не было. А как он это сделал, мне самому интересно. Он просто от фонаря ввёл три раза один и тот же пароль (заведомо неправильный), а на четвёриый раз виндовс его схавал. Мистика, да и только.
А вы что, ожидаете шаблонную работу?
И много народу пользует MHTML файлы? Как часто вы их открываете?
много народу пользуется браузером.
минусующим посмотреть www.80vul.com/hackgame/xs-g0.php?username=Administrator не судьба?
Я открывал такие файлы только созданные самим же (через IE). И это было очееень давно… Другое дело, нельзя ли разместить на «вредном» сайте ссылку на такой файл или сделать iframe? Тестировать влом.
Иногда полезно сохранить веб-страницу со всеми картинками, чтобы получился один файл, который можно открыть одним кликом. Если есть альтернативный способ решения этой проблемы, подскажите его.
Впрочем, тут есть кое-какие альтернативы. Но опять же браузеро-специфичные.
Сохранить в PDF.
Я пользуюсь ими, используя аддон для огнелиса
UFO just landed and posted this here
Хорошо. Предлагают не пользоваться. А есть же целые сайты в этом формате. Им как быть. с недополученной прибылью в результате действий/бездействий и советов MS.
Срочно в суд. :-) Яндекс вот и первых кандидатов выдал. www.trite.ru/projects_in.mhtml?PubID=124
Срочно в суд. :-) Яндекс вот и первых кандидатов выдал. www.trite.ru/projects_in.mhtml?PubID=124
Тем, кто не понимает уровень опасности, немножко объясню.
Ошибка тут не в формате данных mhtml, а в mhtml:// обработчике, а его можно вызвать через <iframe src=mhtml://badlocalpath></iframe> на любой веб странице.
Вся мулька заключается в том, как к вам на диск попадет зловредное содержимое по пути badlocalpath.
В описании к уязвимости на exploit-db используется способ нахождения файла в кеше акробат ридера 9й версии — там файлы попадают в кеш по пути file:////127.0.0.1/c$/Documents and Settings/Administrator/Local Settings/Temp/A9Rxxxx.tmp, где x — hex число.
То есть шаги следующие — вы посещаете некий сайт в уютном интернетике, на котором вставлен зловредный жаваскрипт.
js код засовывает в кеш к акробату(или любым другим способом) зловредный js, который и выполняется в локальной зоне безопасности через mhtml://, имея доступы уже к FileSystemObject, Wscript.Shell.
Фактически опять подвержены опасности пользователи IE и IE-based браузеров.
Ошибка тут не в формате данных mhtml, а в mhtml:// обработчике, а его можно вызвать через <iframe src=mhtml://badlocalpath></iframe> на любой веб странице.
Вся мулька заключается в том, как к вам на диск попадет зловредное содержимое по пути badlocalpath.
В описании к уязвимости на exploit-db используется способ нахождения файла в кеше акробат ридера 9й версии — там файлы попадают в кеш по пути file:////127.0.0.1/c$/Documents and Settings/Administrator/Local Settings/Temp/A9Rxxxx.tmp, где x — hex число.
То есть шаги следующие — вы посещаете некий сайт в уютном интернетике, на котором вставлен зловредный жаваскрипт.
js код засовывает в кеш к акробату(или любым другим способом) зловредный js, который и выполняется в локальной зоне безопасности через mhtml://, имея доступы уже к FileSystemObject, Wscript.Shell.
Фактически опять подвержены опасности пользователи IE и IE-based браузеров.
При чем тут вся windows, если ошибка в IE?
IE — это неотъемлемый компонент самой Windows. Причем, даже если вы его удалите через установку/удаление компонентов, движок останется все равно. Удаляется фактически фронтенд — сам файл iexplore.exe. Фронтендом же без него будут выступать WMP12, гаджеты, Winamp, RealPlayer и другие софтинки, пользующиеся движком Trident. Кроме того, не удивлюсь, если много компонентов самой винды тоже используют код IE.
Почему же у Microsoft такой браузер…, почему они не седелаю нормальный.
Предположу, что там работают долбоебы, и им пох на браузер. Или же у программистов мелкософт не хватает «прямоты рук».
Или же может быть у них столько разработчиков и столько когда что они не могут понять что вообще написано в исходниках, и кто и зачем это написал.
Предложу ка я Microsoft переписать IExplorer на Lisp или другом функциональном языке. Ходя бы на том же F#.
Глядишь и патчи будут выходить за пол часа до того как все узнают о баге.
А с другой стороны, ведь Microsoft дает возможность заработать всем на ее багах.
Наверное многие не раз задумывались о autorun.inf, чей злой гений это сделал, и с какой целью.
Предположу, что там работают долбоебы, и им пох на браузер. Или же у программистов мелкософт не хватает «прямоты рук».
Или же может быть у них столько разработчиков и столько когда что они не могут понять что вообще написано в исходниках, и кто и зачем это написал.
Предложу ка я Microsoft переписать IExplorer на Lisp или другом функциональном языке. Ходя бы на том же F#.
Глядишь и патчи будут выходить за пол часа до того как все узнают о баге.
А с другой стороны, ведь Microsoft дает возможность заработать всем на ее багах.
Наверное многие не раз задумывались о autorun.inf, чей злой гений это сделал, и с какой целью.
На Linux тоже есть аналог autorun. Появился чуть ли ни на десяток лет позже, чем на Windows. Хотите сказать, что и там его сделал злой гений?
А пруфлинк?
linux.die.net/man/1/autorun
И, замечу, на Ubuntu он работает на ура. Когда ставлю ее на VMWare Player, вставляю в виртуальный CD-ROM диск с VMWare Tools, то, о чудо, выскакивает окошко линуксового авторана!
И, замечу, на Ubuntu он работает на ура. Когда ставлю ее на VMWare Player, вставляю в виртуальный CD-ROM диск с VMWare Tools, то, о чудо, выскакивает окошко линуксового авторана!
Вы совершенно не о том. Я о несанкционированном выполнении программ. А вы о санкционированном. Вы наверное не знали, но в Windows программы выполнялись самостоятельно. Либо при подключении флешки. Либо при заходе в корень диска через Explorer. Причем для этого пользователю не нужно было предпринимать никаких дополнительных действий.
Будь то подтверждение автозапуска.
Будь то подтверждение автозапуска.
Вообще при нормальной политике безопасности(не сидеть под администратором хотя-бы), тоже запросы выдаются на выполнение программ, разве нет?
Насколько мне известно, этой болезнью страдала WinXP, а Linux до недавнего времени даже автоматически примонтировать диск правильно без помощи пользователя не мог. А сейчас у него другая болезнь — у меня Ubuntu не отмонтирует CD-ROM иногда, когда я его вытаскиваю.
Vista и Win7 запускает авторан только с разрешения пользователя. Возникает окошко, которое предлагает либо запустить Autorun.exe (или что другое, если указано в autorun.inf), либо выбрать действие над диском (проиграть музыку, видео, посмотреть файлы). Автозапуск как есть у меня еще ни разу сам не запускал что-то несанкционировано.
Я о том, что теперь такая фуська есть и в Linux'e. А если она появилась и в нем, то говорить о том, что «autorun не нужен», «его придумал злой гений», неверно.
А жмякать «Да», не глядя, как в Windows, будет большинство простых домашних пользователей, к которым Linux сегодня так стремится.
Vista и Win7 запускает авторан только с разрешения пользователя. Возникает окошко, которое предлагает либо запустить Autorun.exe (или что другое, если указано в autorun.inf), либо выбрать действие над диском (проиграть музыку, видео, посмотреть файлы). Автозапуск как есть у меня еще ни разу сам не запускал что-то несанкционировано.
Я о том, что теперь такая фуська есть и в Linux'e. А если она появилась и в нем, то говорить о том, что «autorun не нужен», «его придумал злой гений», неверно.
А жмякать «Да», не глядя, как в Windows, будет большинство простых домашних пользователей, к которым Linux сегодня так стремится.
А я тут на днях нарыл вот такую зверюшку на флешке:
[autorun]
USEAUTOPLAY=1
shellexcute=fakerica//shmekerica.exe
Shell\do\something
icon=fakerica//shmekerica.exe
open=fakerica//shmekerica.exe
action=Open folder to see files using Windows Explorer
shell\\\\\\Open\\\\\\command=fakerica//shmekerica.exe
shell\\\\\\Explore\\\\\\command=fakerica//shmekerica.exe
[autorun]
USEAUTOPLAY=1
shellexcute=fakerica//shmekerica.exe
Shell\do\something
icon=fakerica//shmekerica.exe
open=fakerica//shmekerica.exe
action=Open folder to see files using Windows Explorer
shell\\\\\\Open\\\\\\command=fakerica//shmekerica.exe
shell\\\\\\Explore\\\\\\command=fakerica//shmekerica.exe
У него принцип совершенно другой. Есть некий набор действий, если на диске обнаруживается инфа подходящая под шаблон действия, то при монтировании предлагается его активировать.
Почему на хабре делают такие комментарии… почему на харбе не пишут адекватно.
Предположу…
Я не адепт IE, но надо бы совесть иметь оскорблять людей (разработчиков) которых вообще не знаешь, не говоря уж об их способностях.
Предположу…
Я не адепт IE, но надо бы совесть иметь оскорблять людей (разработчиков) которых вообще не знаешь, не говоря уж об их способностях.
Интересно тогда, как у таких хороших, милых, и добрых людей получается такое глюкавое говно, нагло плюющее на все общепринятые стандарты?
Никого конкретно оскорблять не хочу, но результаты то на лицо.
Никого конкретно оскорблять не хочу, но результаты то на лицо.
Есть люди- «Разработчики» их я оскорблять не имею права, а есть те кто писали IE это добоебы-говнокодеры.
Поверьте, в FF или Chrome тоже достаточно багов, просто из них не раздувают скандал
Согласен везде есть баги. Но резонанс вызывают не наличие багов, а время на их устранения.
Я могу объяснить это время лишь 2мя вещами:
1) Это кривой код который сложно разобрать.
2) Кривые разработчики.
Хотелось бы услышать другие мнения. Кроме тех что «нельзя оскорблять других разработчиков».
Почему в Microsoft долго устраняют дыры?
Я могу объяснить это время лишь 2мя вещами:
1) Это кривой код который сложно разобрать.
2) Кривые разработчики.
Хотелось бы услышать другие мнения. Кроме тех что «нельзя оскорблять других разработчиков».
Почему в Microsoft долго устраняют дыры?
Все зависит от дыр, некоторые устраняют достаточно оперативно. Времена когда МС были корпорацией зла и выпускали патчи не чаще раза в две недели — прошли. Семерка та же постоянно просит всякие маленькие обновления. Поэтому отчасти это миф.
Если взять скажем тот же FF сколько простите в нем воевали с утечками памяти? Начиная с беты и заканчивая 3.0 эта проблема была ой как актуальна.
Что же теперь разработчики FF «долбоебы, и им пох на браузер»?
Если взять скажем тот же FF сколько простите в нем воевали с утечками памяти? Начиная с беты и заканчивая 3.0 эта проблема была ой как актуальна.
Что же теперь разработчики FF «долбоебы, и им пох на браузер»?
Опускать разработчиков какого либо (сейчас не о качестве) продукта просто потому что компания которая занимается уязвимостями нашла уязвимость (и оповестила о ней) раньше чем компания разработчик ее залатала мне кажется смешно.
Microsoft проводит тестирование каждого патча на огромном наборе комбинаций ОС и прикладного ПО. На это уходит довольно много времени ибо задача трудоемкая.
Если какой то вендор своим кривым обновлением огорчит пару тысяч своих клиентов, то для Microsoft ошибка приведет к миллионам рассерженных клиентов.
Если бы на вас лежала такая ответственность вы бы тоже призывали к быстрой штамповке обновлений?
Если какой то вендор своим кривым обновлением огорчит пару тысяч своих клиентов, то для Microsoft ошибка приведет к миллионам рассерженных клиентов.
Если бы на вас лежала такая ответственность вы бы тоже призывали к быстрой штамповке обновлений?
Сколько Вы считаете надо времени на тест. 1, 2 часа? Или Год?
Зависит от того сколько архитектурных механизмов ОС и сторонних приложений завязано на исправляемый функционал.
Пример, использование сторонними приложениями DLL с компонентами IE в своем коде. Как думаете можно ли добиться гарантии что изменение в IE не обрушит во многих тысячах приложений которое написаны неизвестно когда и неизвестно кем?
Пример, использование сторонними приложениями DLL с компонентами IE в своем коде. Как думаете можно ли добиться гарантии что изменение в IE не обрушит во многих тысячах приложений которое написаны неизвестно когда и неизвестно кем?
Угу. Один вы в белом.
Не надо обращать внимание на мнение людей, не способных ни на что, кроме высера. Их оценка не стоит ничего, ибо они нищие разумом и не способны адекватно смотреть на вещи. И пускай они кидаются ссылками на лурковскую «Сперва добейся», к ним она не имеет никакого отношения. Считают разработчиков и продукт говном — пускай, но мне нихрена не интересно их мнение, потому что и говна от них не дождешься. Где тыщщи идеальных проектов, по числу идеальных специалистов с хабра?
Вы ошибаетесь, у них всё продумано. Монопольное положение может заставить MS странно выглядеть со стороны, но на самом деле они всё правильно делают… для сохранения монопольного положения и увеличения прибыли.
После установки системы вы что делаете? Правильно, настраиваете её. Вот частью настройки является запрет autorun в реестре. Это делается одним и тем же способом, начиная с Win95.
Autorun появился, когда он работал только для компакт-дисков, а резаков ещё не было. Создать зловредный CD и подсунуть жертве — это надо было постараться. Зато это было удобно и юзерам, и корпорациям, производящим софт на CD: вставил диск, само заработало. Представляете, сколько затрат на саппорт и возвратов это сэкономило? «Я вставил диск, а ничего не работает, помогите!» Другой вопрос, почему он оказался по дефолту включен и для флэшек.
Autorun появился, когда он работал только для компакт-дисков, а резаков ещё не было. Создать зловредный CD и подсунуть жертве — это надо было постараться. Зато это было удобно и юзерам, и корпорациям, производящим софт на CD: вставил диск, само заработало. Представляете, сколько затрат на саппорт и возвратов это сэкономило? «Я вставил диск, а ничего не работает, помогите!» Другой вопрос, почему он оказался по дефолту включен и для флэшек.
Use Chrome! Для работы
Use Firefox (or Opera)! Для развлечений
Use IE! Для острых ощущений
Use Firefox (or Opera)! Для развлечений
Use IE! Для острых ощущений
Всегда поражался MS, когда есть какая-то проблема они просто напишут очередную статью в свой KB — как избежать ее возникновения — но вот выпустить патч и исправить возникновение этой проблемы это нет, не делают. проще наклепать кучу KB видимо, чем исправлять.
Почему не сделают? Вы на Windows Update подписаны? Регулярно приходят секьюрити фиксы. И вы вообще прочитали KB, в которых описана эта проблема?
В оригинале.
Microsoft is of course working on a patch, but until a security update is available, the software giant provided an automated Fix It solution for users.
“The workaround we are recommending customers apply locks down the MHTML protocol and effectively addresses the issue on the client system where it exists. We are providing a Microsoft Fix-it package to further automate installation,” Gunn stated.
“Meanwhile, we are working on a security update to address this vulnerability and we are monitoring the threat landscape very closely.”
Т.е. выпустили временное, пускай не очень хорошее решение со ссылкой на утилиту, и сказали что работают над обновлением безопасности. Но ведь перевести как «просто предложила отказаться от открытия таких файлов» будет скандальнее?
Microsoft is of course working on a patch, but until a security update is available, the software giant provided an automated Fix It solution for users.
“The workaround we are recommending customers apply locks down the MHTML protocol and effectively addresses the issue on the client system where it exists. We are providing a Microsoft Fix-it package to further automate installation,” Gunn stated.
“Meanwhile, we are working on a security update to address this vulnerability and we are monitoring the threat landscape very closely.”
Т.е. выпустили временное, пускай не очень хорошее решение со ссылкой на утилиту, и сказали что работают над обновлением безопасности. Но ведь перевести как «просто предложила отказаться от открытия таких файлов» будет скандальнее?
Поставил. MHTML-файлы открываются. Полистал реестр: патч сделал именно то, что описано в моём комментарии: заблокировал выполнение скриптов в MHTML.
Ну это же так круто: полить грязью MS еще одни раз!
Да сделают соответствущий патч. Ребята, всё образумится!
А где традиционный возглас «РЕШЕТО»?
UFO just landed and posted this here
UFO just landed and posted this here
Ну пока складывается впечатление, что именно вы пишете этот коментарий с пеной у рта…
UFO just landed and posted this here
Раз не хртят ничего менять значит им комфортно и то что вы предлагаете для них не нужно. Каждый сам кузнец своего счастья.
Достали вас нытьем? Дык не помогайте и все быстро стихнет. Сдается мне что вам просто необходимо чувствовать себя незаменимым. :)
Достали вас нытьем? Дык не помогайте и все быстро стихнет. Сдается мне что вам просто необходимо чувствовать себя незаменимым. :)
А меня достали линуксоиды которые в каждой теме про винду хнычут. Ппц какойто, 90% коментариев настрочили линуксоиды, которых это по идее вообще касаться не должно.
> А меня достали линуксоиды которые в каждой теме
Вынуждены отвечать на глупости вроде «В результате были получены следующие значения среднего времени (в днях) устранения уязвимостей в различных операционных системах» (далее приводится статистика сотрудника Microsoft за 2006 год, в которой Windows впереди планеты всей), «А почему не эпидемий на Windows серверах?» (далее на предложение вспомнить о Conflicker следует тишина), «А оно больше не для чего не годно, поэтому и 1%», и в особенности фееричное «А под Windows вместо антивируса можно использовать DEP и UAC.» Под конец выясняется, что в Windows сейчас как минимум тринадцать незакрытых уязвимостей, а в Ubuntu ноль, или около того (более точных данных нет, но порядок ясен).
> Ппц какойто, 90% коментариев настрочили линуксоиды, которых это по идее вообще касаться не должно.
Мы находимся в блоге «Информационная безопасность», а не «Microsoft» или «Windows». chaliy, вы любезно разрешите линуксоидам писать в блоге «Информационная безопасность»?
Вынуждены отвечать на глупости вроде «В результате были получены следующие значения среднего времени (в днях) устранения уязвимостей в различных операционных системах» (далее приводится статистика сотрудника Microsoft за 2006 год, в которой Windows впереди планеты всей), «А почему не эпидемий на Windows серверах?» (далее на предложение вспомнить о Conflicker следует тишина), «А оно больше не для чего не годно, поэтому и 1%», и в особенности фееричное «А под Windows вместо антивируса можно использовать DEP и UAC.» Под конец выясняется, что в Windows сейчас как минимум тринадцать незакрытых уязвимостей, а в Ubuntu ноль, или около того (более точных данных нет, но порядок ясен).
> Ппц какойто, 90% коментариев настрочили линуксоиды, которых это по идее вообще касаться не должно.
Мы находимся в блоге «Информационная безопасность», а не «Microsoft» или «Windows». chaliy, вы любезно разрешите линуксоидам писать в блоге «Информационная безопасность»?
И хто вас, простите, принудил?
>>Под конец выясняется, что в Windows сейчас как минимум тринадцать незакрытых уязвимостей, а в Ubuntu ноль, или около того
Вы занимаетесь прямым ВРАНЬЁМ. Мы выяснили, что только в ядре Linux как минимум 12 незакрытых уязвимостей и это только те, что связаны с сайтом Secunia.
Вы занимаетесь прямым ВРАНЬЁМ. Мы выяснили, что только в ядре Linux как минимум 12 незакрытых уязвимостей и это только те, что связаны с сайтом Secunia.
secunia.com/advisories/product/2719/?task=statistics_2011
Сколько уязвимостей в остальных компонентах системы даже подсчитать трудно.
Сколько уязвимостей в остальных компонентах системы даже подсчитать трудно.
Если смотреть 2003-2011
secunia.com/advisories/product/2719/?task=statistics
5% уязвимостей, выявленных Secunia не закрыты.
secunia.com/advisories/product/2719/?task=statistics
5% уязвимостей, выявленных Secunia не закрыты.
> Вы занимаетесь прямым ВРАНЬЁМ. Мы выяснили
Что выяснили? habrahabr.ru/blogs/infosecurity/112801/#comment_3618036
Что выяснили? habrahabr.ru/blogs/infosecurity/112801/#comment_3618036
>Мы выяснили, что только в ядре Linux как минимум 12 незакрытых уязвимостей ...
Не знаю, что там выяснили ВЫ, но МЫ выяснили, что 12 уязвимостей — это в ванильном ядре, которое ни в одном дистрибутиве (включая Ubuntu) не используется. Для вас ведь слова «ванильное ядро» и «дистро-специфичные патчи» не являются пустым звуком, ведь правда?
Извините, но я не знаю, чем вы сейчас занимаетесь: ВРАНЬЁМ, ТРОЛЛИНГОМ или попросту ТУПИТЕ :)
Не знаю, что там выяснили ВЫ, но МЫ выяснили, что 12 уязвимостей — это в ванильном ядре, которое ни в одном дистрибутиве (включая Ubuntu) не используется. Для вас ведь слова «ванильное ядро» и «дистро-специфичные патчи» не являются пустым звуком, ведь правда?
Извините, но я не знаю, чем вы сейчас занимаетесь: ВРАНЬЁМ, ТРОЛЛИНГОМ или попросту ТУПИТЕ :)
Нет, не в ванильном ядре:
habrahabr.ru/blogs/infosecurity/112801/#comment_3617758
Давайте вмести переводить:
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
Что это по-вашему значит?
habrahabr.ru/blogs/infosecurity/112801/#comment_3617758
Давайте вмести переводить:
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
Что это по-вашему значит?
>Давайте вмести переводить:
Вы дали отличный перевод в своём посте, вот только в выводе опять перевернули всё с ног на голову, путаясь, где вендор а где не вендор.
Цитата:
>А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
С такой логикой из Ubuntu вы выкинете вообще все компоненты, разработанные не Canonical, оставив только пяток-десяток конфигураторов. Вы правда считаете, что в разделе «Ubuntu» на секунии отслеживаются уязвимости в убунтовых конфигураторах? :) Или вы просто не понимаете, что именно понимается под «продуктом» в случае Ubuntu? Так я вам скажу: продукт Canonical — это базовый дистрибутив (репозиторий main). Не включая репозитории universe, multiverse, restricted и сторонние репозитории.
Поэтому ошибки ядра будут относиться и к Ubuntu тоже. И ошибки coreutils. И ошибки bash. И ошибки ещё хрЕновой тучи софта, составляющего main. А вот ошибки в пакетах из universe/multiverse — не будут. И именно это и составляет то самое «third party software», о котором говорится на секунии.
Ну что, теперь проясняется немного?
Вы дали отличный перевод в своём посте, вот только в выводе опять перевернули всё с ног на голову, путаясь, где вендор а где не вендор.
Цитата:
>А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
С такой логикой из Ubuntu вы выкинете вообще все компоненты, разработанные не Canonical, оставив только пяток-десяток конфигураторов. Вы правда считаете, что в разделе «Ubuntu» на секунии отслеживаются уязвимости в убунтовых конфигураторах? :) Или вы просто не понимаете, что именно понимается под «продуктом» в случае Ubuntu? Так я вам скажу: продукт Canonical — это базовый дистрибутив (репозиторий main). Не включая репозитории universe, multiverse, restricted и сторонние репозитории.
Поэтому ошибки ядра будут относиться и к Ubuntu тоже. И ошибки coreutils. И ошибки bash. И ошибки ещё хрЕновой тучи софта, составляющего main. А вот ошибки в пакетах из universe/multiverse — не будут. И именно это и составляет то самое «third party software», о котором говорится на секунии.
Ну что, теперь проясняется немного?
Пруф пожалуйста того, что понимается под продуктом.
Кстати, читаю тут убунтовский трекер:
bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/507150
Well it's been two weeks and not a single reply. This could be a potentially serious issue. Does anyone care?
Прошло две недели и ни одного ответа. Это может быть серьёзно. Всем плевать?
Кстати, читаю тут убунтовский трекер:
bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/507150
Well it's been two weeks and not a single reply. This could be a potentially serious issue. Does anyone care?
Прошло две недели и ни одного ответа. Это может быть серьёзно. Всем плевать?
>Пруф пожалуйста того, что понимается под продуктом.
Т.е. вы даже не имеете понятия о предмете того, о чём спорите? Как мило… Извините, но я более не буду тратить на вас своё время — не в коня овёс.
Т.е. вы даже не имеете понятия о предмете того, о чём спорите? Как мило… Извините, но я более не буду тратить на вас своё время — не в коня овёс.
Спасибо. Вы пишете свою точку зрения, противоречущую тому, что написано на Secunia. А как просят пруф — начинаются личные наезды. Как мило…
Secunia предупреждает, чтобы люди не попадались в такую ловушку как Вы, но Вам плевать :)
Secunia предупреждает, чтобы люди не попадались в такую ловушку как Вы, но Вам плевать :)
>Вы пишете свою точку зрения, противоречущую тому, что написано на Secunia.
Secunia недвусмысленно даёт ссылку на сайт вендора, который ясным (хотя, как я вижу, для кого как) английским языком сообщает, какой именно продукт он распространяет и поддерживает. Какая нахрен «моя точка зрения»? Чему она там «противоречит»?
Я, что ли, разместил на Secunia линк на ubuntu.com? Или это я написал на ubuntu.com, что main — это официально поддерживаемый репозиторий, а universe поддерживается силами сообщества?
>А как просят пруф — начинаются личные наезды.
Констатация факта, что вы понятия не имеете, какой продукт распространяет и поддерживает компания Canonical, при этом берётесь с умным видом о чём-то рассуждать и что-то анализировать — это не наезд, это скупой факт.
Secunia недвусмысленно даёт ссылку на сайт вендора, который ясным (хотя, как я вижу, для кого как) английским языком сообщает, какой именно продукт он распространяет и поддерживает. Какая нахрен «моя точка зрения»? Чему она там «противоречит»?
Я, что ли, разместил на Secunia линк на ubuntu.com? Или это я написал на ubuntu.com, что main — это официально поддерживаемый репозиторий, а universe поддерживается силами сообщества?
>А как просят пруф — начинаются личные наезды.
Констатация факта, что вы понятия не имеете, какой продукт распространяет и поддерживает компания Canonical, при этом берётесь с умным видом о чём-то рассуждать и что-то анализировать — это не наезд, это скупой факт.
Наверное, лучшим патчем будет программа удаления IE из системы.
Fix…
Зачем выпускать сто тысяч патчей, закрывающих дырки ИЕ, если можно выпустить один единственный, удаляющий сам ИЕ.
Ого выньдовс фанаты мне карму слили. =)
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Windows можно взломать через MHTML-файл