> Приложениями Гугла, ага. От которых нельзя отказаться, если хочешь Гугл Плэй.
Я правда не понимаю в чем тут проблема? Магазин идет с доп. сервисами, потому-что это и есть Complete Service Google Play — законченное решение от Гугл для смартфонов. Никто не заставляет производителей производить самртфоны только по Google Play, они могут и CyanogenOS взять, только вот, что-то не ставят. А теперь подумайте сами, вы предлагаете решение под своим брендом и отвечаете за его работоспособность, а потом приходят всякие яндексы на готовое и хотят ничего не сделав по-сути бабки рубить. А почему они на Эппл не подали в суд? Почему свой аппстор решили не проталкивать в айфон?
У вас/производителей есть выбор — ставьте aosp/cyanogen/YadexOS и не потейте адреналином, только вот как-то все не очень-то стремятся это делать. Задайтесь вопросом — почему Яндекс не может договориться с производителями, чтобы свое решение поставить? Да потому-что не надо это никому. Очередной Яндекс.Бар. Вот они и пытаются влезть туда со своей какашкой, где люди долго и с трудом готовили город-сад.
Я был на севере на базе подводных лодок, так там до сих пор ЕС ЭВМ не только в рабочем состоянии находятся, но и в реально используемом. С некоторых подлодок ДО СИХ ПОР снимают данные по кабелю с ногу толщиной, который по всему пирсу тянется до ИВЦ, а сохраняется это все на магнитных дисках, пласты которых сейчас можно встретить только в самодельных антеннах.
Так что работает это уже 30-40 лет и еще 100 проработает, если будут спирт для протирки выделять.
Сначала подумал, что новость поменяли, с них станется — сначала обещали 16 ноября открыть, теперь на декабрь перекинули, однако посмотрел у себя в сохраненных — действительно 3 декабря. Куда смотрел и о чем думал — не понятно.
Благодарю за указание неточности — исправил.
sql/password.c in Oracle MySQL 5.1.x before 5.1.63, 5.5.x before 5.5.24, and 5.6.x before 5.6.6, and MariaDB 5.1.x before 5.1.62, 5.2.x before 5.2.12, 5.3.x before 5.3.6, and 5.5.x before 5.5.23, when running in certain environments with certain implementations of the memcmp function, allows remote attackers to bypass authentication by repeatedly authenticating with the same incorrect password, which eventually causes a token comparison to succeed due to an improperly-checked return value.
Ммм… Ara Open Modules? Если можно будет производить только отдельные модули вместо всего телефона в целом, то это гораздо проще и описать и другим понять. Очень подозреваю что опенсорс не только в мире исходников применим, но и в мире железа. Даже тут, когда-то, читал про опенсорс процессор. Так будут и опенсорс модули для Ары появляться.
Я примерно так себе и представлял. А вот эта самая SoC может содержать в себе закладки, которые не отображены в прошивке? Под GSM-ресивером, я понимал, конечно-же модем. Я не из области микроэлектроники — могу путать термины. Так вот, может-ли оператор послать «specially crafted signal», который минует все прошивки, включит микрофон и будет транслировать все обратно на БС? Может вообще такое быть?
Кстати, Вы правы, если-бы прошивки, даже доступные по НДА были с закладками, об этом стало-бы известно благодаря какому-нибудь Сноудену от телекома. Ну или анонимно после увольнения или в «мемуарах» типа «однажды я работал в компании и вот они фигачили закладки всюду куда возможно».
Мне казалось закладки не в главную прошивку пихают, где ее все найти смогут, а в прошивку(или прямо в железо) чипов подсистем, например в GSM-ресивер, куда можно передать необходимую инфу через нормальный driver-api. Я ошибаюсь, подскажите?
Была у меня года 3-4 назад такая мысль — сделать криптофон. Поизучал, посмотрел, и пришел к выводу, что сделать нормальное шифрование можно только через сеть (а-ля VoIP через ZRTP), а вот с обычным, родным кодеком, это геморрой жуткий и скорость очень низкая, что сильно будет влиять на качество голоса. Это про голос, а не менее важно — защита самого телефона. От форензики, например. Для этого надо запускать операционку смартфона, как минимум, через гипервизор + железо устойчивое к снятию дампов + грамотно реализованное шифрование с хранением ключей в регистрах, а не памяти. Параллельно можно (и нужно) запускать 2 операционки — одна реальная, другая для отвода глаз и вход в нее с экраан блокировки с секреткой делать, типа перед нажатием на кнопку «разблокировать» надо тапнуть по какой-нибудь динамически меняющейся области. Вобщем тут можно придумывать и наворачивать бесконечно, вопрос в уровне паранойи.
Но сейчас, все-же, имхо миру нужен не криптофон для «черных делишек»(потому-что именно для них он станет использоваться в первую очередь, как ни обидно, а не для обеспечения приватности гиков), а нормальный open-phone, с ОС, софтом и открытыми драйверами под коммерческое оборудование. Это в идеале. И я очень надеюсь, что с выходом Project Ara(или аналога) это станет наконец-то возможным — собрать свой open-phone. Так что я бы смотрел в эту сторону. И уже обладая всем этим, можно делать форк криптофона.
Тем, что надо прописывать ВСЕ исходники со всеми подключаемыми либами. Все как в make, но вот ни о каком автодополнении и прочих сладостях CLion и думать не приходится, пока все это не опишешь в конфиге. И по маске добавить нельзя. Вот честно, искал решение и не нашел, все уверяют, что надо четко каждый файл прописывать. А на больших проектах, где 100500 файлов, типа squid, для того чтобы чтото поправить, надо с нуля сборку написать. Ну это разве нормально?!
А Вы код ядра пробовали в CLion открыть и что-нибудь попытаться написать новое? И завязка на CMake имхо сильно сковывает, когда куча проектов на обычном gnu make.
Благодарю за материал, очень познавательно, закинул в мемориз ;)
Но у меня есть вопросы:
1. Почему многие сервисы реализуют регистрацию и доступ через OAuth только для нескольких провайдеров (как правило g+ и fb)? Неужели нет стандарта, который упростит добавление подобных возможностей к себе на сайт «одним кликом»?
2. (вытекает из первого) Почему до сих пор не реализована возможность регистрации и доступа к сервисам через кастомных провайдеров OAuth? Например, у меня есть почта, свой блог, свое «облако» (тот-же ownCloud, например) и я не пользуюсь fb и g+. Я ведь мог бы поднять у себя, на своем домене такого провайдера и в SRV записях прописать свой сервер авторизации(СА). А сайт, на котором я регистрируюсь, исходя из домена, который я указал, ломится на мой СА и получает регистрационные данные с него так, как он это делает в случае с g+? Неужели это никому не нужно?
Я правда не понимаю в чем тут проблема? Магазин идет с доп. сервисами, потому-что это и есть Complete Service Google Play — законченное решение от Гугл для смартфонов. Никто не заставляет производителей производить самртфоны только по Google Play, они могут и CyanogenOS взять, только вот, что-то не ставят. А теперь подумайте сами, вы предлагаете решение под своим брендом и отвечаете за его работоспособность, а потом приходят всякие яндексы на готовое и хотят ничего не сделав по-сути бабки рубить. А почему они на Эппл не подали в суд? Почему свой аппстор решили не проталкивать в айфон?
У вас/производителей есть выбор — ставьте aosp/cyanogen/YadexOS и не потейте адреналином, только вот как-то все не очень-то стремятся это делать. Задайтесь вопросом — почему Яндекс не может договориться с производителями, чтобы свое решение поставить? Да потому-что не надо это никому. Очередной Яндекс.Бар. Вот они и пытаются влезть туда со своей какашкой, где люди долго и с трудом готовили город-сад.
Так что работает это уже 30-40 лет и еще 100 проработает, если будут спирт для протирки выделять.
Благодарю за указание неточности — исправил.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2122
Кстати, Вы правы, если-бы прошивки, даже доступные по НДА были с закладками, об этом стало-бы известно благодаря какому-нибудь Сноудену от телекома. Ну или анонимно после увольнения или в «мемуарах» типа «однажды я работал в компании и вот они фигачили закладки всюду куда возможно».
Но сейчас, все-же, имхо миру нужен не криптофон для «черных делишек»(потому-что именно для них он станет использоваться в первую очередь, как ни обидно, а не для обеспечения приватности гиков), а нормальный open-phone, с ОС, софтом и открытыми драйверами под коммерческое оборудование. Это в идеале. И я очень надеюсь, что с выходом Project Ara(или аналога) это станет наконец-то возможным — собрать свой open-phone. Так что я бы смотрел в эту сторону. И уже обладая всем этим, можно делать форк криптофона.
Но у меня есть вопросы:
1. Почему многие сервисы реализуют регистрацию и доступ через OAuth только для нескольких провайдеров (как правило g+ и fb)? Неужели нет стандарта, который упростит добавление подобных возможностей к себе на сайт «одним кликом»?
2. (вытекает из первого) Почему до сих пор не реализована возможность регистрации и доступа к сервисам через кастомных провайдеров OAuth? Например, у меня есть почта, свой блог, свое «облако» (тот-же ownCloud, например) и я не пользуюсь fb и g+. Я ведь мог бы поднять у себя, на своем домене такого провайдера и в SRV записях прописать свой сервер авторизации(СА). А сайт, на котором я регистрируюсь, исходя из домена, который я указал, ломится на мой СА и получает регистрационные данные с него так, как он это делает в случае с g+? Неужели это никому не нужно?