А может кто-нибудь проверить — есть ли и в исходниках для *nix похожая функция ngx_linux_check_filename?
На хабре есть isysoev — возможно он что-нибудь прокомментирует?
А еще свой твиттер, в который она будет отправлять ощущения от очередной жертвы.
«Сегодня сожгла два ноута Asus и телевизор Samsung. Скучно. #воткнименя #usb220»
Нет, если уж Anti — так это флешка, которая будучи воткнутой в порт после USBKiller, оживляет ноут обратно! Вот это будет хит!
Брать будут еще охотнее ;-)
Google отказывается теперь
* http://techcrunch.com/2015/10/06/google-denies-motor-trends-claim-that-android-auto-collects-key-automotive-data/
* http://lenta.ru/news/2015/10/07/androidautodenial/
Про авиакомпании — это очень верно, больная мозоль :)
Ок, теперь я понял что вы имели в виду — что тарификация «поштучно» смысла не имеет. В общем-то да, это такой же ход для оправдания каких-то взиманий денег с клиентов.
Можно еще вспомнить тарифы на роуминг и попытаться выяснить их реальную себестоимость по отношению к обычным звонкам.
Не совсем понял к чему вы это. Пропроционально стоить они никогда не будут хотя бы по той простой причине что в стоимость (например, того же проезда в метро) закладывается еще и, например, зарплата машинистов и их начальников, затраты на оборудование, его страховку и его обслуживание, риски, да и еще куча факторов. Затраты на электричество здесь будут не так велики.
То же самое и по отношению к мобильной связи. Попробуйте посчитать, пусть даже с ошибкой в миллион раз, — сколько стоит оператору сама пересылка вашей смс, например, внутри сети (без учета амортизационных расходов). Да, практически, нисколько. Число настолько мало, что только потратив силы на написание дробных нулей в нем — вы затратите в разы больше энергии :)
Сразу не повезло не только вам, но и китайцам. Причину в статье объяснили — она чисто техническая. Уже была новость несколько лет назад, что некоторые, не сильно разбирающиеся, граждане решили, что их права ущемляют.
Можно еще подать в суд на Unicode, что они больше места занимают чем ASCII.
Да не хуже — именно так обычно все и делают, еще добавляют иконку WinRAR и вперед. Вы все правильно описали, у меня такой же вопрос сразу возник.
Видимо, просто рассказывается о возможной разновидности атак, когда, например, антивирус распознал самораспаковывающийся архив как архив и полез проверять содержимое, а текст комментария к архиву проигнорировал. Именно к этому привлекается внимание.
Можно пытаться распаковывать exe-архивы правым кликом — извлечь (если открывать папку в WinRAR или 7zip или чем там еще пользуются). Тогда вы можете избежать случайного запуска исполняемого кода. Я не знаю будет ли тогда показываться этот текст (очень возможно что будет) и будет ли работать уязвимость.
Пожалуйста, давайте не будем превращать все в троллинг. Мне правда хочется все обсудить серьезно. Тэги мне скоро уже нельзя будет использовать, видимо, а запятые — ну что ж делать, виноват.
А про рандомные пакеты — мне кажется уже не раз обсуждалось что каждый устанавливамый пакет никто не просматривает сам. История с Bumblebee это доказала без меня.
Единственный аргумент который я слышу — «мне удобнее работать под рутом и заходить под ним». Мне хочется выяснить есть ли еще какие-то, чтобы говорить о безопасности, раз уж пошла об этом тема.
Я не призываю отключать рута совсем. И 'работать под рутом' — я совершенно не имел в виду что вы у себя на лаптопе под ним браузер запускаете, это все понятно.
Но, например, объясните мне в чем я неправ вот в такой гипотетической ситуации:
* я скачиваю какой-то пакет из интернета, что-то в нем запускаю (у себя локально, не под рутом)
* внезапно этот пакет оказывается слегка вредоносным (причина не важна — но, допустим, источник, который раньше был доверенным — оказался скомпрометирован и код был изменен).
* этот пакет идет и вытаскивает все мои ключи из ~/.ssh — они же для чтения текущему пользователю доступны?
* с этими ключами он каким-то образом пытается подключиться к некому серверу и оказывается что они у него прописаны для root.
В итоге он имеет сразу все права.
Напротив — если ключи прописаны у некоего юзера loginuser — то, даже если к нему удастся подключиться, то для повышения привилегий нужно будет выполнить тот же нелюбимый вами sudo, а для него уже нужен пароль. Это дополнительный уровень и пароль вместе с ключами утянуть не так просто.
Ну есть в sudo уязвимости, но они, в общем-то, везде есть. А идея была задумана именно для повышения привилегий только когда это необходимо.
Почему вы не согласны с этой моделью? Только потому что вам удобно?
На хабре есть isysoev — возможно он что-нибудь прокомментирует?
«Сегодня сожгла два ноута Asus и телевизор Samsung. Скучно. #воткнименя #usb220»
Брать будут еще охотнее ;-)
* http://techcrunch.com/2015/10/06/google-denies-motor-trends-claim-that-android-auto-collects-key-automotive-data/
* http://lenta.ru/news/2015/10/07/androidautodenial/
Ок, теперь я понял что вы имели в виду — что тарификация «поштучно» смысла не имеет. В общем-то да, это такой же ход для оправдания каких-то взиманий денег с клиентов.
Можно еще вспомнить тарифы на роуминг и попытаться выяснить их реальную себестоимость по отношению к обычным звонкам.
То же самое и по отношению к мобильной связи. Попробуйте посчитать, пусть даже с ошибкой в миллион раз, — сколько стоит оператору сама пересылка вашей смс, например, внутри сети (без учета амортизационных расходов). Да, практически, нисколько. Число настолько мало, что только потратив силы на написание дробных нулей в нем — вы затратите в разы больше энергии :)
Можно еще подать в суд на Unicode, что они больше места занимают чем ASCII.
Видимо, просто рассказывается о возможной разновидности атак, когда, например, антивирус распознал самораспаковывающийся архив как архив и полез проверять содержимое, а текст комментария к архиву проигнорировал. Именно к этому привлекается внимание.
Можно пытаться распаковывать exe-архивы правым кликом — извлечь (если открывать папку в WinRAR или 7zip или чем там еще пользуются). Тогда вы можете избежать случайного запуска исполняемого кода. Я не знаю будет ли тогда показываться этот текст (очень возможно что будет) и будет ли работать уязвимость.
По мне — так очень многословно, пока читаешь — забываешь к чему он это говорит.
Если эта статья была попыткой объяснить термины гуманитариям — мне кажется, что она провалится.
Если технарям — то им такой язык не подойдет.
А про рандомные пакеты — мне кажется уже не раз обсуждалось что каждый устанавливамый пакет никто не просматривает сам. История с Bumblebee это доказала без меня.
Единственный аргумент который я слышу — «мне удобнее работать под рутом и заходить под ним». Мне хочется выяснить есть ли еще какие-то, чтобы говорить о безопасности, раз уж пошла об этом тема.
Но, например, объясните мне в чем я неправ вот в такой гипотетической ситуации:
* я скачиваю какой-то пакет из интернета, что-то в нем запускаю (у себя локально, не под рутом)
* внезапно этот пакет оказывается слегка вредоносным (причина не важна — но, допустим, источник, который раньше был доверенным — оказался скомпрометирован и код был изменен).
* этот пакет идет и вытаскивает все мои ключи из ~/.ssh — они же для чтения текущему пользователю доступны?
* с этими ключами он каким-то образом пытается подключиться к некому серверу и оказывается что они у него прописаны для root.
В итоге он имеет сразу все права.
Напротив — если ключи прописаны у некоего юзера loginuser — то, даже если к нему удастся подключиться, то для повышения привилегий нужно будет выполнить тот же нелюбимый вами sudo, а для него уже нужен пароль. Это дополнительный уровень и пароль вместе с ключами утянуть не так просто.
Ну есть в sudo уязвимости, но они, в общем-то, везде есть. А идея была задумана именно для повышения привилегий только когда это необходимо.
Почему вы не согласны с этой моделью? Только потому что вам удобно?