Ви не увійшли. Будь ласка, увійдіть або зареєструйтесь.
Ласкаво просимо вас на україномовний форум з програмування, веб-дизайну, SEO та всього пов'язаного з інтернетом та комп'ютерами.
Будемо вдячні, якщо ви поділитись посиланням на Replace.org.ua на інших ресурсах.
Для того щоб створювати теми та надсилати повідомлення вам потрібно Зареєструватись.
Український форум програмістів → Обговорення → Windows vs Linux - питання безпеки
Сторінки Попередня 1 … 4 5 6 7 8 Наступна
Для відправлення відповіді ви повинні увійти або зареєструватися
але системи, які не служать SCTP з'єднань не є вразливими.
Цілком погоджуюся, бо коли я написав про вразливість в мережевому стеці протоколу SCTP я гадав що це буде зрозуміло. Цікаво коли розробники протують Witcher 2 на NetBSD, бо портування самого NetBSD йде швидко, а от з софтом, я гадаю, все гірше. Чого по-вашому Valve обрала платформою Linux, а не QNX, NetBSD чи FreeDOS?
Чого по-вашому Valve обрала платформою Linux, а не QNX, NetBSD чи FreeDOS?
не знаю чого, мені не цакаво, це їх вибір, Valve спочатку вибрала Ubuntu, а потім почала робити свою зборку, це їх вибір, я їх не осуджую. Одним словом Valve вибрала Linux, Sony - FreeBSD, мені від цього не холодно і не жарко. Навіть того що коммьюнити менеджер Canonical- Jono Bacon, не грає в steam, а грає в Battlefield 4 на PS4.
Я вже писав, що PS4 є в продажі, а консолей Valve я не бачу, хоча там щось презентували, а лиш для ПК.
Цікаво коли розробники протують Witcher 2 на NetBSD
може після цих нюансів з лінукс зроблять висновок, зроблять заявку, побачимо, я не розробник гри Witcher 2, напишемо особистий лист і хай напишуть відповідь - коли буду чи не буде.
а от з софтом, я гадаю, все гірше.
все що є то в pkgsrc, + багато тестів в pkgsrc-wip які потім попадають в основну гілку. Зараз там 15510 пакетів.
Чесно, я такий радий що найшов ОС в якій немає ігрів, бо треба мені працювати, а не гратись, в мене з FreeBSD один профіт, з NetBSD інший, але це так своє.
Чого по-вашому Valve обрала платформою Linux, а не QNX, NetBSD чи FreeDOS?
не знаю чого, мені не цакаво, це їх вибір, Valve спочатку вибрала Ubuntu, а потім почала робити свою зборку, це їх вибір, я їх не осуджую. Одним словом Valve вибрала Linux, Sony - FreeBSD, мені від цього не холодно і не жарко. Навіть того що коммьюнити менеджер Canonical- Jono Bacon, не грає в steam, а грає в Battlefield 4 на PS4.
Я вже писав, що PS4 є в продажі, а консолей Valve я не бачу, хоча там щось презентували, а лиш для ПК.Цікаво коли розробники протують Witcher 2 на NetBSD
може після цих нюансів з лінукс зроблять висновок, зроблять заявку, побачимо, я не розробник гри Witcher 2, напишемо особистий лист і хай напишуть відповідь - коли буду чи не буде.
а от з софтом, я гадаю, все гірше.
все що є то в pkgsrc, + багато тестів в pkgsrc-wip які потім попадають в основну гілку. Зараз там 15510 пакетів.
Чесно, я такий радий що найшов ОС в якій немає ігрів, бо треба мені працювати, а не гратись, в мене з FreeBSD один профіт, з NetBSD інший, але це так своє.
Лишень 15510 пакетів? 
Лишень 15510 пакетів?
згадую, давню новину коли вийшов лінкс дістрібутив для графіки і відео, там було лише 15 пакетів в списку 
це не так як в дебіані moo пакет для кількості
Лишень 15510 пакетів?
згадую, давню новину коли вийшов лінкс дістрібутив для графіки і відео, там було лише 15 пакетів в списку
це не так як в дебіані moo пакет для кількості
Ти ще кам'яну добу згадай і спита чому під час неї не було Linux 
Ти ще кам'яну добу згадай
згадав коли компи були як динозаври, то дійсно лінкса і в згадці не було, а в навчальному закладі Берклі уже кодили BSD на той час 
Хтось може видади статистику про кількість незакритих вразливостей у останньому стабільному ярі цієї чи іншої системи?
Я думаю це конкретна мірялка хто круче у безпечі аніж у кого більше пакетів)
Хтось може видади статистику про кількість незакритих вразливостей у останньому стабільному ярі цієї чи іншої системи?
Я думаю це конкретна мірялка хто круче у безпечі аніж у кого більше пакетів)
Кількість помилок залежить також від розміру ядра. Але також чим менше ядро тим критичніші помилки. Тобто тут немає однозначності. Краще порівнювати розвиток механізмів безпеки і підтримку, але з останнім теж важко, бо у лінукса то коливається в залежності від дистрибутива.
Моє бачення таке: якщо у тебе дистрибутив і в ньому 100 помилок це хріново відповідно до дистрибутива у якому 50 помилок
Звісно не однозначно коли там у одному 100 в іншому 98 це майже однаково.
Але якщо є система і у ній більше серйозних дир не закрито, відповідно це дуже і дуже погано не залежності від того скільки рядків коду.
Моє бачення таке: якщо у тебе дистрибутив і в ньому 100 помилок це хріново відповідно до дистрибутива у якому 50 помилок
Звісно не однозначно коли там у одному 100 в іншому 98 це майже однаково.
Але якщо є система і у ній більше серйозних дир не закрито, відповідно це дуже і дуже погано не залежності від того скільки рядків коду.
Чим більше ядро системи, тим більший функціонал на нього покладений і тим різноманітніше може бути рівень критичності помилок, одні дуже впливають на безпеку, інші лише за виняткових умов. Відповідно перші становлять велику небезпеку і потребують негайного виправлення, а інші потребують виправлення але час не так сильно тисне. Якщо ядро менше, то функціонал менший і помилки у ньому критичніші. Також важливо час який минає від знаходження тієї чи іншої помилки і критичність її. Якщо помилка ставить в небезпеку всю систему то важливість на скільки швидко її виправлять є дуже суттєво, а якщо через помилку не працюють якісь функції відеокарти Radeon то це не так критично, але на день довше почекати можна. Кожна помилка має вагу і треба за вагомістю їх оцінювати.
Відносно критичності помилок - як вони впливають на систему, я згідний
А кількість функціоналу і розмір ядра не мають значення.
p.s. Якщо помилка дозволяє видалити всі файли системи нема різниці кількість рядків коду системи)
Хтось може видади статистику про кількість незакритих вразливостей у останньому стабільному ярі цієї чи іншої системи?
всі помилки, вразливості, то їх усувають, хоч в Windows, Linux, *BSD.
Друге питання, як усунути вразливості які зараз не відомі, ярий тому приклад BIND і вразливість глобальну хакери знайшли 2001 року, а розробники її дізнались через декілька років. Є такі що на руткітах заробляють гроші.
Яб не сказав, що в дістрібутівах лінукса швидше виправляють помилки, в ядрі виправлять, але чи увійде патч в ваш дистрибутив і коли ? Чи є там людина яка займається безпекою дистрибутиву ?
От для прикладу, В ядрі лінукс 0-day вразливість переведу і коротко процитую
Проблему ускладнює те, що помилка існувала впродовж останніх 2-3 років і присутній у всіх ядрах, починаючи з 2.6.37 і включає 3.8.8 (ядра 3.9.x проблемі не схильні).
...
Патч з усуненням проблеми був прийнятий до складу ядра 3.8.9 в квітні, без повідомлення про те, що він пов'язаний з усуненням уразливості. У дистрибутивах вразливість поки залишається невиправленої. Статус виходу виправлень для популярних систем можна відстежити на наступних сторінках: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Ubuntu, Debian.
От ще приклад про вразливість в лінуксі
Уразливість виявив Juri Aedla, який в приватному порядку повідомив розробників ядра Linux. На жаль, зміни в Git-репозиторії ядра були внесені поспіхом, що дозволило створити експлоїти на основі аналізу змін ще до появи оновлень з виправленням проблеми в дистрибутивах. На момент публікації цієї новини уразливість була виправлена в дистрибутивах ALT Linux. За неофіційною інформацією, оновлення для Red Hat і Ubuntu планувалося випустити завтра, але в ситуації появи експлоїта в публічному доступі, процес випуску оновлень буде форсований і, можливо, вони вийдуть вже сьогодні.
декілька дистрибутивів зробили патч, а інші ?
Зазвичай про вразливість ніхто не пишу відкрито, такі питання обговорюються таємно, випускають патч і а ж тоді оголошують, а буває, уже пропатчено як декілька місяців, і а ж тоді новину пишуть.
Якщо зайти на сайт FreeBSD то там є бюлетені безпеки, можна підписатися на RSS, далі як в системах з відкритим кодом можна дивитись зміни в коді, чи був виправлений файл, чи ні.
Як я уже писав, ОС з сепер безпекою не існує, це міф, навіть що б там не говорили "Я користуюсь своїм дистрибутивом і він не має вразливостей, все захищено"
Хтось може видади статистику про кількість незакритих вразливостей у останньому стабільному ярі цієї чи іншої системи?
всі помилки, вразливості, то їх усувають, хоч в Windows, Linux, *BSD.
Друге питання, як усунути вразливості які зараз не відомі, ярий тому приклад BIND і вразливість глобальну хакери знайшли 2001 року, а розробники її дізнались через декілька років. Є такі що на руткітах заробляють гроші.
Яб не сказав, що в дістрібутівах лінукса швидше виправляють помилки, в ядрі виправлять, але чи увійде патч в ваш дистрибутив і коли ? Чи є там людина яка займається безпекою дистрибутиву ?
От для прикладу, В ядрі лінукс 0-day вразливість переведу і коротко процитуюПроблему ускладнює те, що помилка існувала впродовж останніх 2-3 років і присутній у всіх ядрах, починаючи з 2.6.37 і включає 3.8.8 (ядра 3.9.x проблемі не схильні).
...
Патч з усуненням проблеми був прийнятий до складу ядра 3.8.9 в квітні, без повідомлення про те, що він пов'язаний з усуненням уразливості. У дистрибутивах вразливість поки залишається невиправленої. Статус виходу виправлень для популярних систем можна відстежити на наступних сторінках: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Ubuntu, Debian.От ще приклад про вразливість в лінуксі
Уразливість виявив Juri Aedla, який в приватному порядку повідомив розробників ядра Linux. На жаль, зміни в Git-репозиторії ядра були внесені поспіхом, що дозволило створити експлоїти на основі аналізу змін ще до появи оновлень з виправленням проблеми в дистрибутивах. На момент публікації цієї новини уразливість була виправлена в дистрибутивах ALT Linux. За неофіційною інформацією, оновлення для Red Hat і Ubuntu планувалося випустити завтра, але в ситуації появи експлоїта в публічному доступі, процес випуску оновлень буде форсований і, можливо, вони вийдуть вже сьогодні.
декілька дистрибутивів зробили патч, а інші ?
Зазвичай про вразливість ніхто не пишу відкрито, такі питання обговорюються таємно, випускають патч і а ж тоді оголошують, а буває, уже пропатчено як декілька місяців, і а ж тоді новину пишуть.
Якщо зайти на сайт FreeBSD то там є бюлетені безпеки, можна підписатися на RSS, далі як в системах з відкритим кодом можна дивитись зміни в коді, чи був виправлений файл, чи ні.
Як я уже писав, ОС з сепер безпекою не існує, це міф, навіть що б там не говорили "Я користуюсь своїм дистрибутивом і він не має вразливостей, все захищено"
Ну останній приклад то брехливий піар AltLinux, бо не раз бачив такі статті і пости, а як з'ясовувалося у мене оновлення з усунення цих багів стояли ще за тиждень до зазначеної дати, але на Ubuntu ще не було оновлення. Ті моменти коли Ubuntu чогось пригальмовує AltLinux строчить таку ахінею що вони супер герої, а всі лузери. Взагалі Fedora оновлення критичні для безпеки викладає швидко, але дійсно багато дистрибутивів у цьому якісь загальмовані. Щодо підписок по безпеці, то вони є, правда їх забагато, немає якоїсь спільної, тому часто губишся в них.
Щодо усування помилок у Windows можна посперечатися, бо наприклад нещодавно Google та IBM оголосили війну Microsoft, бо остання бувала по три і більше років ігнорила інфу про помилки а іноді навіть методи їх усунення (свого не маю і на ваш х** покладу). Тож не плутай грішне з праведним.
Щодо усування помилок у Windows можна посперечатися
там і сперечатися немає шо, я наприклад не знаю як там організована робота, відкритого коду немає, але читав як cmd хотіли удосконалити якась група, то написали PowerShell, бо немає доступу до коду cmd. Хоча можна і сперечатися, швидше за все це проблема з серверними системами, якими не володіє Microsoft, це типу "а в мене все працює" є таке явище у програмістів.
але читав як cmd хотіли удосконалити якась група,
cmd проектувався як гівно, і навіть студент зможе його переписати наново. Навіть в давні часи для дос-сумісних ОС існував REXX, який був повноцінною скриптовою мовою і кажна програма могла додавати власні команди в цю мову!!! Але споживач захотів жерти дегенеративне гівно, а IBM затулила очі на лайножерів, тому її OS/2 використовувалася лише в корпоративному секторі.
cmd проектувався як гівно, і навіть студент зможе його переписати наново.
CMD в тому вигляді, як є тепер, ніким не проектувався взагалі. Початково це був примітивний інтерпритатор команд з мінімальними алгоритмічними засобами. Далі з нього намагалися зробити щось круте, зберігаючи при цьому сумісність із попередніми версіями й уникаючи схожості з bash — вийшло щось безсистемне й важковідтворюване. Зрештою, майкрософт забив на cmd й почав розробляти PowerShell.
cmd проектувався як гівно, і навіть студент зможе його переписати наново.
CMD в тому вигляді, як є тепер, ніким не проектувався взагалі. Початково це був примітивний інтерпритатор команд з мінімальними алгоритмічними засобами. Далі з нього намагалися зробити щось круте, зберігаючи при цьому сумісність із попередніми версіями й уникаючи схожості з bash — вийшло щось безсистемне й важковідтворюване. Зрештою, майкрософт забив на cmd й почав розробляти PowerShell.
І його чекає доля CMD..
Скоріше його чекає забуття. Бо "споживачі" будуть до кінця їсти cmd.exe великими ароматними шматками.
Бо споживачам у більшості випадків вистачає функціоналу на рівні command.com. Меганаворочені засоби назразок cmd'шного for практично ніде не використовуються (бачу цю штуку переважно у власноруч написаних батниках — навіть не пригадую, де ще). Думаю, додаткові фічі PowerShell будуть «використовуватись» так само — користувач обиратиме PowerShell як «кращий» засіб, уявлення не маючи, кращий чим.
Ніхто не хоче обговорити захищеність яблучних операційок? Я чув що їхня екосистема досить захищена.
