Tisk

Prosíme přihlašte se nebo zaregistrujte.
1 hodina 1 den 1 týden 1 měsíc nastálo
Přihlašte se svým uživatelským jménem a heslem.

[Behemot]

Behemot: zdrojaky mate k dispozici, chybu si snadno muzete najit/opravit(u m$ se nekterych oprav ani nedockate), Arch neni vhodny pro produkci...

Si děláte prdel, nebo ano? Objevilo se jakýsi cosi, co začlo být protlačovaný hore dolem a ne, zdrojáky k tomu nebyly, do oficiálního vypuštění infa vo chybách to bylo všechno zašitý. je to sice trochu extrémní případ, ale je to tak.

A v enterprise nejpoužívanější Red Hat je z velké části uzavřenej.

[hh]

Pane Behemote, prosím méně vulgarit a více faktů. Chcete-li diskutovat o white-hat ethics, responsible disclosure modelu atp., gaychat to jistě snese, ale zahájit frontální útok na Linux poukazem na „jakýsi cosi“, to je dost málo i na zdejší nikterak vysokou laťku.

[Behemot]

Žádnej frontální útok nedělám, debatovat můžeme maximálně o tom, v čem je kterej systém na prd víc nebo míň.

Spíš tu je zase pár *nix fanatiků že všechno ostatní je zlo a *nix je sluníčkovej a transparentní a úplně bezva. Ne, není. Stačí jeden případ k vyvrácení tvrzení s obecnou platností; a ten nastal začátkem roku.

[hh]

Výborně, tak už stačí jen maličkost, a to „jakýsi cosi ze začátku roku protlačovaný horem dolem“ specifikovat, ať máme kompletní ten jeden protipříklad vyvracející nějakou tezi. No a když u toho budete, tak zkuste upřesnit i tu tezi, kterou vlastně vyvracíte. Protože co tvrdil fu, tedy že k Linuxu jsou k dispozici zdrojové kódy (lhostejno, zda Linuxem je myšlen jen kernel či společný základ distribucí) patrně nevyvrátíte, a u výroku typu *nix je sluníčkovej, transparentní a bezva zase nelze definovat boolovskou pravdivostní hodnotu.

[Behemot]

Kód samotnej sice zveřejněn byl, ale v poněkud nestandardní podobě.

First of all, as @grsecurity points out, some comments in the code have been redacted, and additionally the main documentation file describing the work is presently missing entirely from the Linux source tree.

https://sweetness.hmmz.org/2018-01-01-the-mysterious-case-of-the-linux-page-table.html

Pandořina skříňka byla už otevřena a těžko to někdo nacpe zpátky. Po tomdle už bude možný čekat všechno, při správném ospravedlnění.

Ostatně - nezajímám se o *nix nějak aktivně, třeba je to urban legend, ale co sem slyšel, že se do jádra dostalo za věci…a jak…tak mi to nezní jako o moc menší bordel na kolečkách proti jiným systémům.

[solaris]

Ten článek na LWM je z prosince, Meltdown byl zveřejněn v lednu. Ano, po jistou dobu bylo na zveřejňování podrobností o té chybě uvaleno embargo, aby se producenti software (kernelů, operačních systémů) mohli připravit na vydání oprav a zároveň aby se minimalizovala šance, že ta chyba začne začne být zneužívána. Dělá se to tak standardně: https://en.wikipedia.org/wiki/Responsible_disclosure.

[hh]

Kód samotnej sice zveřejněn byl, ale v poněkud nestandardní podobě. [...] Pandořina skříňka byla už otevřena a těžko to někdo nacpe zpátky. Po tomdle už bude možný čekat všechno, při správném ospravedlnění.

Tušil jsem, že „jakýsi cosi“ by mohlo být Meltdown/Spectre, ale tuto hypotézu jsem ve své naivitě zavrhl, protože jsem u vás předpokládal elementární informační gramotnost. Něco si o tom najděte, jsou toho na internetu tuny (včetně celé disclosure strategie), každopádně v kontextu zdejší debaty

* šlo o chyby hardware (CPU), největší máslo má na hlavě Intel (především za následné mlžení)
* nijak to nesouvisí s Linuxem, nutnost chyby obejít či minimalizovat jejich zneužitelnost do opravy na úrovni microcode se týkala všech OS, otevřených i uzavřených
* celý postup od objevení do plného zveřejnění se odehrál podle principů responsible disclosure - jistě by se na tom zpětně dalo lecos kritizovat, např. zda bylo nutné to držet pod pokličkou 7 měsíců, ale z hlediska rozměrů celého průšvihu, počtu zainteresovaných vendorů atd. šlo o bezprecedentní událost, která bude ještě dlouho analyzována a snad z toho vzejde i poučení, jak na podobný problém v budoucnu reagovat efektivněji, nicméně zatím není známo, že by tam došlo k vyloženému selhání toho druhu, že by někdo před full disclosure informace o zranitelnosti monetizoval, využil v konkurenčním boji atp.
* šum ohledně Linuxového jádra, na který jste odkazoval jako na otevřenou pandořinu skříňku, ve skutečnosti ukazuje na pozitiva otevřeného vývoje - do hlavní linie jádra bylo ještě před full disclosure včleněno KPTI, což byla věc již nějaký čas známá, jen nebylo ihned vysvětleno, proč je urychleně začleněna - že to vyvolalo rozruch je známkou toho, že veřejná kontrola funguje

Ostatně - nezajímám se o *nix nějak aktivně, třeba je to urban legend, ale co sem slyšel, že se do jádra dostalo za věci…a jak…tak mi to nezní jako o moc menší bordel na kolečkách proti jiným systémům.

Teoreticky má otevřený i uzavřený model z hlediska bezpečnosti své výhody i nevýhody. Je samozřejmě velká obava, že se do kódu typu Linux kernelu (či podobně exponovaných projektů typu standardních knihoven, kryptografických knihoven a nástrojů, rozšířených runtime prostředí) cíleně dostane sofistikovaná bezpečnostní chyba maskovaná jako součást opravy, nové vlastnosti atp. (kterou někdo maintainerovi v rámci otevřeného vývoje podstrčí). O tomto principiálním problému se ví a jsou známy a nadále rozvíjeny i metody, jak s tímto rizikem pracovat. Není to žádná selanka, ale rozhodně ani bordel na kolečkách. Mám tu smůlu, že jsem v rámci své práce viděl pod drakonickým NDA poměrně hluboko do vývoje některých masově využívaných uzavřených systémů a mám z toho dodnes noční můry ...

[Behemot]

S ohledem na to, co tam (údajně) dodnes existuje bych teda o kontrole moc nemluvil.

Že se něco dělo a někdo naprosto proti všem zvyklostem začal do jádra z nepříliš jasných pohnutek cpát něco, o čem se přetím všichni shodli, že je to zbytečnej bordel a balast…a že vlastně dost dobře ani nemusí proti tomu, proti čemu by mohl bejt, vůbec fungovat…no jestli vám to přijde v pohodě a že to funguje…až příště zase potajmu doletí nějakej nevysvětlenej balast s odůvodněním, že bylo strašně důležitý to nezveřejňovat (ale zároveň to musí hned všichni implementovat) protože pro jejich vlastní dobro, tak se připomenu.

Nepopírám, že spousta proprietárních řešení stojí za kokot. Když si ale nalijeme čistýho vína, že před rozšířením drojda byly nejrozšířenějším OS zase další lehký *nixový distribuce v kdejakejch blackvoxech typu routery, přehrávače…a to je balast taky příšernej…stejně jako droid je katastrofa, tak přece nemůžete za střízliva tvrdit, jak je to strašně lepší…kdepak, softwéry jsou pěknej bordel, ať je to co je to. Proto taky radši dělám se železem

[hh]

No tak hlavně že máte jasno, akorát tedy nerozumím, že vás to s názorem, jak úplně všechno stojí za kokot, vůbec vzrušuje.

Mám-li zůstat konkrétní, tak KPTI, jehož merge do kernelu měl dle vás něco (co vlastně?) dokazovat, se ukázalo navzdory některým předchozím názorům jako ne až tak zbytečné či balast, pohnutky začlenění vyšly krátce poté najevo, a načasování informování bylo součástí řízeného disclosure té hw chyby.

Kdo byl paranoidní, tak to používat nemusel (ostatně do oficiálních distribucí se to dostalo až se zveřejněním), mohl si to sám (nechat) zauditovat, nebo pojal-li podezření, že to je součástí nějakého spiknutí iluminátů, tak všechno vypnout, spálit a odebrat se do jeskyně.

[vvvvvv]

To, že jsou někde staré verze *nixu není problém *nixu jako takového, ale výrobce (a někdy částečně i uživatele).

Výrobce nebude zadarmo (z jeho pohledu) opravovat EOL produkty a běžný uživatel často ani netuší, že pro jeho zařízení existuje nový (případně alternativní) software.

Autor tohoto postu je spokojeným uživatelem OpenWrt/LEDE, ArchLinuxu, Open/LibreELECu, Androidu a ne moc spokojeným uživatelem WebOSu a v jeho domácnosti je linuxový kernel ten nejběžnější.

[swenak]

Snad nevadí, že to postuju z Windows, ale k tématu:)

https://dotekomanie.cz/2018/05/facebooku-a-googlu-gdpr/

[Behemot]

je linuxový kernel ten nejběžnější.

*nixový jádro je nejběžnější úplně všude, od začátku nasazování všech black-boxů až navěky (teda, jo, chvíli tam mohly bejt věci jako Netware, RISC OS apod.). Zajímavý ovšem, že všem v žaludku tak leží vokna, když *nixu je všude nejvíc, a i když je tak úchvatnej, nikomu to nebrání si nahackovat co se mu zlíbí, akorát včera sem zahlíd jak nějakej červ nabral půl milionů domácích routerů a dělal všechno možný včetně routování botnetů. Přitom víc, než vokna, ze všeho vykrádá už jenom jabčák.

Mě to právě nevzrušuje právě proto, že sem si to osahal všechno, ale žasnu, jak se pořád *nixofilové maj potřeba srát do ostatních 

[hh]

Mě to právě nevzrušuje právě proto, že sem si to osahal všechno, ale žasnu, jak se pořád *nixofilové maj potřeba srát do ostatních 

Ano, pánové medved a fu si zde poněkud zbytečně a hlavně mimo téma kopli do Windows. Jestli tomu říkáte „srát se do ostatních“, tak by mě zajímalo, jak nazýváte to, co svými příspěvky (nejen) na tomto fóru činíte vy sám.