У меня другая аналогия. Стало известно, что с июня этого года у всех банкнот сменится дизайн, но при этом банкноты текущего образца продолжат свое обращение не меньше года, а если их когда-нибудь решат изъять, то их просто запретят выдавать, но принимать будут все обязаны как минимум до конца срока жизни новых банкнот. Но вам все равно: раз есть новые, работодатель должен вам выдавать в кассе только новые, иначе тьфу на этого работодателя, лучше найти нового, который только новыми будет выплачивать.
Это тоже не до конца правильная аналогия, не придумал как в ней обыграть то, что какие-то DNS-серверы действительно перестанут работать, но остальное отражает вроде неплохо.
который у Яндекса — «ничего страшного, потом поправим, время есть».
Итогом работы над безопасностью должна быть безопасность, а не зелёный знак. Hearthbleed думаю был залатан с максимально возможной быстротой. А просто обновлять dns-сервер ради обновления, если текущая версия поддерживает всё что нужно — это не заниматься сейчас какой-то более важной штукой. Всему своё время, причину спешить с обнаруженными "уязвимостями" я так и не увидел.
Но прочитав описание двух обнаруженных ошибок мы приходим к тому, что нарушение dns-серверов Яндекса в том, что они считают запрос корректным и возвращают SOA-запись даже если передать заведомо неверную версию протокола или опции edns. Чтобы от этого появился вред, нужно чтобы в мире действительно появились edns1 и edns1opt, и ответ SOA-записью интерпретировался бы запрашивающим как-то крайне плохо.
И мне всё ещё не видится это чем-то из разряда "ааа, срочно фиксить". Я снова упустил какой-то нюанс?
Там нет указаний на конкретные DNS-стандарты, которые не поддерживаются DNS-сервером, поэтому уровень угрозы неизвестен. Всё ещё не вижу повода быстро-быстро реагировать.
Жёлтый означает же, 1 февраля ничего не отвалится, но всё равно dns-сервер староват. Что тогда в вашем обращении в поддержку такого, что реагировать на него нужно быстрее обычного регламента?
«Однако после 1 февраля сервер не будет больше использовать старый формат запроса — он будет спрашивать только один раз»
Если этот конкретный рекурсивный сервер будет обновлён до версии, вышедшей 1 февраля или позднее. Так что некий неизвестный запас времени для реакции будет и после 1 февраля.
Хочу услышать комментарий экспертного сообщества, норм ли это и как обстоят дела в других странах.
Что именно нормально ли? Система телефонной связи построена так, что номер — уникальный идентификатор. Номера исчерпаемы, за каждый выделенный пул оператор сколько-то платит, и в итоге ему не выгодно держать номер годами за неактивным абонентом.
Так же есть международная связь, поэтому нельзя просто сказать "ок, +7 закончился, переходим на +9. Хотя может дополнительный международный префикс и легко получить, не знаю. Пожалуй, можно ещё увеличить разрядность номеров в уже существующем префиксе, но и это вряд ли просто.
Вопрос скорее в том, почему не все мессенджеры это учитывают, а со стороны операторов в целом мне всё понятно.
Про каждый смартфон Google на момент релиза сразу известна дата, до которой будут выходить обновления (включая мажорные) и, если не ошибаюсь, дата, до которой будут выходить обновления безопасности. Вам тоже стоит так делать.
Ну если они забьют на поддержку меня, как пользователя, то придётся в каждом посте alexeystar упоминать об этом случае, чтобы потенциальные клиенты были в курсе того, как происходит отработка замечаний. :)
Но в какой-то момент может установиться расширение, которое просигнализирует в Mozilla, захотели ли вы делиться статистикой или нет, и возможности разрешить или запретить расширению отослать эту информацию у вас не будет.
Если бы подобный сбор данных проводился через добавление кода, собирающего требуемую телеметрию в основной репозиторий, где он был бы виден всему сообществу и энтузиастам, проходил бы весь жизненный цикл от Aurora до stable, неверное вопросов было бы меньше или как минимум задать их становилось возможно до того, как код выкатится на пользователей stable.
А в текущем варианте у Mozilla есть механизм, который позволяет в любой момент установить в браузер любое дополнение, которое может делать что угодно, код дополнения не проходит публичный аудит и у пользователя нет возможности отказаться от его запуска: в текущем случае даже если удалить дополнение, это ничего не изменит, ведь данные уже отосланы. Если у Mozilla есть так же возможность и удалять дополнения, то и вовсе можно поворачивать что-то так, чтобы никто не заметил. Или например точечно установить кому-то инструментарий для слежки, мало ли.
Ах да, а ещё кто-то может угнать данные для входа в сервис, который отдает команды браузерам, и установить какое-нибудь свое расширение, утягивающее номера карт или что-то подобное.
Жилось бы куда спокойнее, если бы у Mozilla максимум балла бы возможность удаленно менять только дефолтные значения флагов.
Ну на самом деле на их прошлогоднем устройстве для этого нужно только скачать архив со сторонней читалкой и скопировать файлы из него на устройство. Никаких шаманств с разблокировкой и т.д.
Пользуясь случаем напоминаю о боли, которую ваша поддержка не хочет замечать, а меж тем срок поддержки устройства когда-нибудь закончится и вы тем более на это забьёте.
PocketBook 631 Plus — устройство с ИК-сенсорами нажатия. И всё бы ничего, если бы у вас не был неотключаемый жест машстабирования двумя пальцами, действующий не только на картинках, но и на обычных книжных страницах. ИК-сенсоры реагируют на что угодно, не только на пальцы, и слишком легко случайно сбить размер шрифта. Это засетно раздражает. Если бы жест был отключаемым, жить было бы куда проще. Ну или если бы была возможность зафиксировать размер шрифта так, чтобы менять его можно было бы только через настройки.
Но вопрос же был в том, как у давнишнего устройства экран оказался лучше, чем у премиальной модели двухгодичной, вроде как, давности. А вы извернулись и вырулили на сравнение с актуальными моделями.
Ну так аналогия-то у вас фиговая.
У меня другая аналогия. Стало известно, что с июня этого года у всех банкнот сменится дизайн, но при этом банкноты текущего образца продолжат свое обращение не меньше года, а если их когда-нибудь решат изъять, то их просто запретят выдавать, но принимать будут все обязаны как минимум до конца срока жизни новых банкнот. Но вам все равно: раз есть новые, работодатель должен вам выдавать в кассе только новые, иначе тьфу на этого работодателя, лучше найти нового, который только новыми будет выплачивать.
Это тоже не до конца правильная аналогия, не придумал как в ней обыграть то, что какие-то DNS-серверы действительно перестанут работать, но остальное отражает вроде неплохо.
А вот 6 ответ — это обидно было. А как же
Итогом работы над безопасностью должна быть безопасность, а не зелёный знак. Hearthbleed думаю был залатан с максимально возможной быстротой. А просто обновлять dns-сервер ради обновления, если текущая версия поддерживает всё что нужно — это не заниматься сейчас какой-то более важной штукой. Всему своё время, причину спешить с обнаруженными "уязвимостями" я так и не увидел.
Напоминаю, этот тред начался с вашего сообщения, которое содержало следующие слова:
Собственно, я вроде бы вам доказал, что эта "уязвимость" не из тех, которая не может подождать эти 3 дня. Она и 10 прождёт, если нужно.
Меняйте DNS сколько хотите, конечно. Но мотивация в этот раз была ошибочна.
Но прочитав описание двух обнаруженных ошибок мы приходим к тому, что нарушение dns-серверов Яндекса в том, что они считают запрос корректным и возвращают SOA-запись даже если передать заведомо неверную версию протокола или опции edns. Чтобы от этого появился вред, нужно чтобы в мире действительно появились edns1 и edns1opt, и ответ SOA-записью интерпретировался бы запрашивающим как-то крайне плохо.
И мне всё ещё не видится это чем-то из разряда "ааа, срочно фиксить". Я снова упустил какой-то нюанс?
Там нет указаний на конкретные DNS-стандарты, которые не поддерживаются DNS-сервером, поэтому уровень угрозы неизвестен. Всё ещё не вижу повода быстро-быстро реагировать.
Жёлтый означает же, 1 февраля ничего не отвалится, но всё равно dns-сервер староват. Что тогда в вашем обращении в поддержку такого, что реагировать на него нужно быстрее обычного регламента?
Если этот конкретный рекурсивный сервер будет обновлён до версии, вышедшей 1 февраля или позднее. Так что некий неизвестный запас времени для реакции будет и после 1 февраля.
Что именно нормально ли? Система телефонной связи построена так, что номер — уникальный идентификатор. Номера исчерпаемы, за каждый выделенный пул оператор сколько-то платит, и в итоге ему не выгодно держать номер годами за неактивным абонентом.
Так же есть международная связь, поэтому нельзя просто сказать "ок, +7 закончился, переходим на +9. Хотя может дополнительный международный префикс и легко получить, не знаю. Пожалуй, можно ещё увеличить разрядность номеров в уже существующем префиксе, но и это вряд ли просто.
Вопрос скорее в том, почему не все мессенджеры это учитывают, а со стороны операторов в целом мне всё понятно.
https://support.google.com/nexus/answer/4457705?hl=en
Про каждый смартфон Google на момент релиза сразу известна дата, до которой будут выходить обновления (включая мажорные) и, если не ошибаюсь, дата, до которой будут выходить обновления безопасности. Вам тоже стоит так делать.
Ну если они забьют на поддержку меня, как пользователя, то придётся в каждом посте alexeystar упоминать об этом случае, чтобы потенциальные клиенты были в курсе того, как происходит отработка замечаний. :)
Как там, отреагировали?
О, мой дом почти попал на скриншот :)
Но в какой-то момент может установиться расширение, которое просигнализирует в Mozilla, захотели ли вы делиться статистикой или нет, и возможности разрешить или запретить расширению отослать эту информацию у вас не будет.
Если бы подобный сбор данных проводился через добавление кода, собирающего требуемую телеметрию в основной репозиторий, где он был бы виден всему сообществу и энтузиастам, проходил бы весь жизненный цикл от Aurora до stable, неверное вопросов было бы меньше или как минимум задать их становилось возможно до того, как код выкатится на пользователей stable.
А в текущем варианте у Mozilla есть механизм, который позволяет в любой момент установить в браузер любое дополнение, которое может делать что угодно, код дополнения не проходит публичный аудит и у пользователя нет возможности отказаться от его запуска: в текущем случае даже если удалить дополнение, это ничего не изменит, ведь данные уже отосланы. Если у Mozilla есть так же возможность и удалять дополнения, то и вовсе можно поворачивать что-то так, чтобы никто не заметил. Или например точечно установить кому-то инструментарий для слежки, мало ли.
Ах да, а ещё кто-то может угнать данные для входа в сервис, который отдает команды браузерам, и установить какое-нибудь свое расширение, утягивающее номера карт или что-то подобное.
Жилось бы куда спокойнее, если бы у Mozilla максимум балла бы возможность удаленно менять только дефолтные значения флагов.
Не моя, а Bedal. Мне только уход от вопроса не понравился. Этот ответ уже прямее :)
Ну на самом деле на их прошлогоднем устройстве для этого нужно только скачать архив со сторонней читалкой и скопировать файлы из него на устройство. Никаких шаманств с разблокировкой и т.д.
Пользуясь случаем напоминаю о боли, которую ваша поддержка не хочет замечать, а меж тем срок поддержки устройства когда-нибудь закончится и вы тем более на это забьёте.
PocketBook 631 Plus — устройство с ИК-сенсорами нажатия. И всё бы ничего, если бы у вас не был неотключаемый жест машстабирования двумя пальцами, действующий не только на картинках, но и на обычных книжных страницах. ИК-сенсоры реагируют на что угодно, не только на пальцы, и слишком легко случайно сбить размер шрифта. Это засетно раздражает. Если бы жест был отключаемым, жить было бы куда проще. Ну или если бы была возможность зафиксировать размер шрифта так, чтобы менять его можно было бы только через настройки.
Но вопрос же был в том, как у давнишнего устройства экран оказался лучше, чем у премиальной модели двухгодичной, вроде как, давности. А вы извернулись и вырулили на сравнение с актуальными моделями.