Проект FreeBSD опубликовал (http://lists.freebsd.org/pipermail/freebsd-announce/2012-Nov...) уведомление об обнаружении следов взлома двух серверов, участвующих в распространении портов и пакеджей. Инцидент зафиксирован 11 ноября, но следы взлома указывают на то, что злоумышленники получили контроль над системой 19 сентября. Целостность всех портов и пакеджей, загруженных с серверов проекта, в том числе с зеркал и через svn.freebsd.org, c 19 сентября по 11 ноября не гарантируется. Несмотря на отсутствие прямых свидетельств подмены контента, пользователям, обновлявшим или устанавливавшим в указанный период порты или пакеджи, рекомендовано (http://www.freebsd.org/news/2012-compromise.html#impact) оценить целесообразность переустановки своих систем с нуля.
После выявления следов проникновения злоумышленников проблемные серверы, а также большая часть связанных с ними серверов инфраструктуры, сразу были отключены от сети для проведения анализа. Анализ целосности репозиториев, исходных текстов, портов и пакеджей не выявил модификации контента. Тем не менее, нет гарантии, что подобные модификации имели место до момента выявления атаки и проведения анализа. Случаев вредоносной активности на системах пользователей, устанавливавших порты в период нахождения серверов под контролем злоумышленников, не выявлено. Есть подозрение, что взлом был совершён с целью атаки на содержимое ожидаемого в эти дни релиза FreeBSD 9.1.
Для предотвращения подобных инцидентов в будущем разработчики FreeBSD предприняли ряд мер по увеличению безопасности серверов. Также в ближайшее время планируется провести отключение устаревших сервисов, таких как cvsup.
URL: http://lists.freebsd.org/pipermail/freebsd-announce/2012-Nov...
Новость: http://www.opennet.ru/opennews/art.shtml?num=35357
Linux сейчас FreeBSD, что за мудачье этим занимается ломали бы Винду!
> Linux сейчас FreeBSDПростите, в каком смысле?
Он с пунктуацией не знаком.
Расшифрую:
Linux, сейчас FreeBSD
Зато автор новости "дружит" с русским языком, судя по выдуманному им слову "пакедж" ;)
> Linux, сейчас FreeBSDLinux сейчас, FreeBSD
казнить нельзя помиловать
в плане монолитности ядра
>ломали бы Винду!Не спортивно
> Не спортивноТем не менее, сайты MS ломали многократно. Просто в (N+1)й раз это уже боян и публике неинтересно. Последним помнится какому-то бразильскому сайту досталось, хотя помнится хаксоры и на главной отмечались.
не итересно.
> Linux сейчас FreeBSD, что за мудачье этим занимается ломали бы Винду!На то и щука, чтоб карась не дремал.
> Linux сейчас FreeBSDПацаны вообще ребята...
а я уже месяца 2 не могу открыть сайт http://torrents.freebsd.org
никто не знает почему этот сайт не работает?
всем всё равно, наверно
http://pkgbeta.freebsd.org/
не ?
не, то был официальный торрент-трекер FreeBSD
Правильный адрес http://torrents.freebsd.org:8080
Но от сейчас недоступен. Возможно, проводят аудит.
> Возможно, проводят аудит.Два месяца :) как раз с момента взлома? :)
Возможно, я неправ, но, по-моему, никакого взлома нет, а есть попытка оправдать существенную деградацию работы портов в последнее время, также очередную задержку релиза.Неужели мне одному непонятно, что как можно, убив снапшоты и стейбл, все-равно тормозить с релизом.
Даже если бы взлома и не было, его надо было придумать...
Это во многом обусловлено миграцией кластера в новый дата-центр (и попутным апгрейдом систем, установленных на его серверах). Плюс теперь еще выяснилась ситуация с утечкой ключа.
> Это во многом обусловлено миграцией кластера в новый дата-центрЭто который принадлежит Apple?
> есть попытка оправдать существенную деградациюПеред кем??? Уж не перед тобой ли?)
тебе нечего сказать? Переходишь на личности?Ок. Давно пробовал собрать гном 2 из портов?
Это так, один пример. А так - регулярно приходили разные патчи, которые не собирались вообще, а некоторые по нескольку раз подряд.
Это как понимать? Типа, на, отЪстаньте, моя патч сделало, не колыхай мене нихто.
Это печально.
Я подозреваю, что source based ну никак не для тебя. Ничего личного.
опять переход на личности и никакой конкретики.У меня, как раз, гном 2 работает. Но чтоб этим, кто портом гнома 2 занимается, так икалось, сколько я их тараканов давил по дороге
Конкретики нет и у тебя. Только какие-то проблемы, которые были только у тебя, причем не факт, что они ни есть причина твоих действий.
Так пишешь, что у меня стойкое ощущение, что гнома 2 ты давно не собирал.Если вообще собирал.
Ладно, неважно.
Главное, чтобы запустили subj поскорее
> Так пишешь, что у меня стойкое ощущение, что гнома 2 ты давно
> не собирал.
> Если вообще собирал.
> Ладно, неважно.
> Главное, чтобы запустили subj поскореевы лучше номера pr-ов своих скажите и вопросов к вам не будет.
> Но чтоб этим, кто портом гнома 2 занимается, так икалось, сколько я их тараканов давил по дорогеМаркус занят третьим Гномом. Взял бы, да помог, чем вонять.
> Ок. Давно пробовал собрать гном 2 из портов?На прошлой неделе. Все собралось
> Давно пробовал собрать гном 2 из портов?Месяц назад пробовал собрать GNOME2 из портов. Всё необходимое мне собралось. Переход с Xfce4 не выявил каких-либо конкретных недостатков. Но мне не нравится в GNOME2 то, что окна запускаемых приложений всегда появляются в левом верхнем угле экрана. Тогда как в Xfce4 окна появляются под курсором мыши или в области экрана, в которой находится курсор мыши — очень тонко настраивается этот важный момент юзабилити современного WM.
> окна запускаемых приложений всегда появляются в левом верхнем угле экрана.Левый верхний уголь экрана слишком чёрный?
PS: соболезную.
Любая система по своему дырявая, FreeBSD не исключение.
> Любая система по своему дырявая, FreeBSD не исключение.Только некоторые ОС (Debian, Ubuntu, RHEL, SUSE) закрывают дыры своевременно, а некоторые (FreeBSD, Gentoo, Windows, Slackware) - с опозданием на год-два, да и то не все.
ты новость прочел? ключ скорее всего увели у одного из разрабов, при чем тут надежность системы?
Так, к слову пришлось.
Ведь разработчики-то наверняка виндой пользуются (достаточно посмотреть мейл-агенты в рассылке).
"Ведь разработчики-то наверняка виндой пользуются (достаточно посмотреть мейл-агенты в рассылке)."
А вот посмотрита, заодно скажете как вам это удалось.По факту же в самом девелоперской из FreeBSD рассылок (developers@):grep User-Agent * > /tmp/agents.txt
cat /tmp/agents.txt| wc -l
4214
cat /tmp/agents.txt| grep -i Win | wc -l
359Этот лист интересен тем, что там пишут только те люди, у одного из которых спионерили SSH ключ. Анонимы, они как всегда такие анонимы...
>Этот лист интересен тем, что там пишут только те люди, у одного из которых спионерили SSH ключ.возможно(!!!) спионерили.
возможно.>Анонимы, они как всегда такие анонимы...
Клапауций как всегда такой клапауций
Не "возможно", а точно, даже известно у кого, но ананимам этого знать, очевидно, не положено. Вот и приходится бедным теоретизировать, выдавая на гора идеально круглые мыслишки из вакуума. Привет коню передавайте.В один из ваших фактоидов вас уже ткнули носом. Бег по граблям - это ваше всё?
в какой именно?>Не "возможно", а точно, даже известно у кого, но ананимам этого знать, очевидно, не положено.
видимо так.
ибо по сабжу только «наиболее вероятной».
и отрицать это может только психически больной человек. вы именно такой?
> в какой именно?"Ведь разработчики-то наверняка виндой пользуются (достаточно посмотреть мейл-агенты в рассылке)."
Если говорить о разработчиках, то есть тех, через кого были взломаны две машины в клустере, то статистику по User-Agent вам привели привели из списка, куда пишут _только_ те самые разработчики. Цифры несколько не соответствуют вашиму заявлению. Второе, репрезентативной статистикой вы по оределению располагать не можете, потому как собственно разработчиком не являетесь, что однако не остановило вашу удивительную способность обобщать несуществующее. Возможно, для красного словца, возможно из-за до конца не преодолённого ещё желания кинуть какашкой в прохожего, но вы солгали.
>>Не "возможно", а точно, даже известно у кого, но ананимам этого знать, очевидно, не положено.
> видимо так.
> ибо по сабжу только «наиболее вероятной».
> и отрицать это может только психически больной человек. вы именно такой?А вам не приходило в голову, что существует информация не для всех? Не из вредности или особой закрытости, а из соображений простой этики? Ну не будет FreeBSD проект выставлять имена конкретных людей на потеху праздной публике. Однако, я считаю, что от подверждения того, какой канал был взломан во взломе думаю никому хуже не станет - и это был таки украденный SSH ключ без пароля. Желаете и далее расчёсывать паранойю - бог в помощь. Только тщательнее проверяйте источники, а то не ровен час это сделают за вас.
>> в какой именно?
>"Ведь разработчики-то наверняка виндой пользуются (достаточно посмотреть мейл-агенты в рассылке)."это не мой коммент, клалапуций. :D
разуй глаза.
>А вам не приходило в голову, что существует информация не для всех? Не из вредности или особой закрытости, а из соображений простой этики? Ну не будет FreeBSD проект выставлять имена конкретных людей на потеху праздной публике.между конкретным_именем и «наиболее_вероятной» есть существенная разница.
и вы реально производите впечатление психически больной человека.
Вопросы к аффтару новости, который с языком не дружит. В оригинале четко сказано, не "возможно", а "точно", и специально подчеркивается отсутствие проэксплуатированных уязвимостей.
>ты новость прочел? ключ скорее всего увели у одного из разрабов, при чем тут надежность системы?а меня радует эта «скорее всего».
очень профессионально.
интересно, на этом «скорее всего» или всё-таки проведут разбирательство (если смогут конечно).
> интересно, на этом «скорее всего» или всё-таки проведут разбирательство (если
> смогут конечно).смогут. и даже быстрее чем было с kernel.org, не переживай;-))
И в мыслях не было :DА вот попытки завуалировать сей факт — уже есть.
А это уже и в клозетсорсе надоело.Зыж
Вообще-то удачи, скорейшего разруливания и тд.
Только врать и изворачиваться не надо, как мс.
о, а вот и Онанимный Оналитег подтянулся. алё, виноградов, как там лига экстрасенсов?
>> Любая система по своему дырявая, FreeBSD не исключение.
> Только некоторые ОС (Debian, Ubuntu, RHEL, SUSE) закрывают дыры своевременно, а некоторые
> (FreeBSD, Gentoo, Windows, Slackware) - с опозданием на год-два, да и
> то не все.и есть примеры, правда?
дебиан? закрывает?
ага - например ту веселую тему связанную с иксами и волшебной последовательностью клавиш. Очень оперативно так закрыли, вгв.
//Только некоторые ОС (Debian, Ubuntu, RHEL, SUSE, Windows) закрывают дыры своевременно, а некоторые (FreeBSD, Gentoo, Slackware) - с опозданием на год-два, да и то не все.Fixed.
Не маскируйся, вендовсятнег. Венду - к вендам.
> Любая система по своему дырявая, FreeBSD не исключение.Только вон у ядерщиков когда взлом случился - GIT по крайней мере давал гарантии что никто никакого левака не вбросил при этом. А эти ваши CVS и SVN - поди там разберись, вкатили там задним числом чего или нет. В гите от такого дерево хэшей поедет и будет массовый конфликт, очень паливный. А в svn/cvs все намного интереснее для хаксоров.
>> Любая система по своему дырявая, FreeBSD не исключение.
> Только вон у ядерщиков когда взлом случился - GIT по крайней мере
> давал гарантии что никто никакого левака не вбросил при этом. А
> эти ваши CVS и SVN - поди там разберись, вкатили там
> задним числом чего или нет. В гите от такого дерево хэшей
> поедет и будет массовый конфликт, очень паливный. А в svn/cvs все
> намного интереснее для хаксоров.Автор rsyslog, помнится, объяснял, что дерево хешей - ни разу не защита, и что обойти это - легче легкого.
В rsyslog да, но не в git.
> и что обойти это - легче легкого.Только не в GIT: там это вызовет массовый облом в механике синхронизации между участникими и данная деятельность будет с помпой запалена. В сислоге с этим сложнее т.к. синхронизация - штука опциональная. Но для DVCS 100500 полных копий репы - норма жизни. И вот туда то задним числом не вбросишь, а когда деревья хэшей там и тут не совпали - это мягко говоря заметно.
Что бы что-то поменять в svn репозитории, надо иметь к нему доступ. Доступ к svn серверу ни кто не получал. А cvs в проекте сейчас используется только для экспорта из svn.
> Что бы что-то поменять в svn репозитории, надо иметь к нему доступ.Учитывая что до граждан 2 месяца (!!!) доползало что их поимели, я бы не очень рассчитывал на оперативное реагирование.
>> Что бы что-то поменять в svn репозитории, надо иметь к нему доступ.
> Учитывая что до граждан 2 месяца (!!!) доползало что их поимели, я
> бы не очень рассчитывал на оперативное реагирование.Это ты где увидел?
> Это ты где увидел?В сабжевой новости, как ни странно:
Инцидент зафиксирован 11 ноября, но следы взлома указывают на то, что злоумышленники получили контроль над системой 19 сентябряТут русским по желтому написано что на обнаружение взлома ушло почти 2 месяца.
> Любая система по своему дырявая, FreeBSD не исключение.Полностью согласен.
Дополнительно считаю, что "цена" взлома ОС OpenBSD, которая правильно настроена,
выше, чем у GNU/Linux и FreeBSD.
> Дополнительно считаю, что "цена" взлома ОС OpenBSD, которая правильно настроена, выше, чем у GNU/Linux и FreeBSD.... которые настроены неправильно.
В свою очередь, "цена" взлома ОС GNU/Linux и FreeBSD, которые правильно настроены, выше, чем у OpenBSD (настроенной неправильно).
Вот все-таки отлаженный релиз инжиниринг и хорошая организация - великое дело."Обосрался, а как головку держит"(С)
Молодцы, быстро в себя пришли.
ну, welcome to the club, чо. Саванну рутили? рутили, апач рутили, кернел.орг рутили, ну теперь и фрибсд отметились. я вот не помню, опенок рутили или нет? а то ведь Тео по этому поводу просто гоголем ходить будет.
> Вот все-таки отлаженный релиз инжиниринг и хорошая организация - великое дело.Замечательная организация. Ни вам проверки интегрити сорсов, ни распределенной VCS... сразу видно замечательный релиз инжиниринг.
> Замечательная организация. Ни вам проверки интегрити сорсов, ни распределенной VCS... сразу видно замечательный релиз инжиниринг.Все эти новомодные и нафиг ненужные плюшки - удел линуксятников.
Согласен, я лучше буду пользоваться плюшками пока вы лечите "это не нyжно". Конечно, окаменелый шит типа SVN намного лучше. При неизлечимом фанатизме головного мозга.
>> Вот все-таки отлаженный релиз инжиниринг и хорошая организация - великое дело.
> Замечательная организация. Ни вам проверки интегрити сорсов, ни распределенной VCS...
> сразу видно замечательный релиз инжиниринг.эээ напомните, интегрити сорсов - это когда Линус запарился ждать, пока кернел.орг поднимут и стал релизить сразу на гитхаб?
Заметь, это только ядро.
А фрибсд — это уже ОС. Но она никуда не торопится. К февральским разрулят?
> Заметь, это только ядро.
> А фрибсд — это уже ОС. Но она никуда не торопится. К
> февральским разрулят?разрулят? судя по анонсменту, уже. или вы традиционно по ссылкам не ходите?
> разрулят? судя по анонсменту, уже. или вы традиционно по ссылкам не ходите?А разбираться, что именно подменили и какой бэкдор куда засунули, не будут? Круто.
>> разрулят? судя по анонсменту, уже. или вы традиционно по ссылкам не ходите?
> А разбираться, что именно подменили и какой бэкдор куда засунули, не будут?
> Круто.вы реально не ходите по ссылкам. извините, если вам неинтересна тема, не стоит засирать людям инбокс.
http://www.freebsd.org/news/2012-compromise.html
>The compromise is believed to have occurred due to the leak of an SSH key from a developer who legitimately had access to the machines in question, and was not due to any vulnerability or code exploit within FreeBSD.ХА, разобрались.
is believed. угу.
бсдишнег на доверии.
> is believed. угу.Нормально. А пингвиноиды разобрались и какая именно хренота вломилась, и где она ключи брала, и чего она вообще делала, и как она права с лузера до рута заапгрейдила (баг в ядре). Вот это - нормальное расследование. И потом практика использования серкака была пересмотрена в сторону улучшения секурности. Вот это работа над ошибками. А вот это вот - кекекеке!
>> is believed. угу.
> Нормально. А пингвиноиды разобрались и какая именно хренота вломилась, и где она
> ключи брала, и чего она вообще делала, и как она права
> с лузера до рута заапгрейдила (баг в ядре). Вот это -
> нормальное расследование. И потом практика использования серкака была пересмотрена в сторону
> улучшения секурности. Вот это работа над ошибками. А вот это вот
> - кекекеке!дайте, плз, ссылочку на отчет, интересно почитать.
ссылка №5 под новостью.что-то ещё? памперсы поменять, кашку в бутылочку налить,…?
> ссылка №5 под новостью.
> что-то ещё? памперсы поменять, кашку в бутылочку налить,…?про уязвимость, через которую с юзера до рута поднялись я просмотрел?
Да
> про уязвимость, через которую с юзера до рута поднялись я просмотрел?Видимо. Двайте я вам вслух и с выражением почитаю. По михрюткиным тарифам.
>> is believed. угу.
> Нормально. А пингвиноиды разобрались и какая именно хренота вломилась, и где она
> ключи брала, и чего она вообще делала, и как она права
> с лузера до рута заапгрейдила (баг в ядре). Вот это -
> нормальное расследование. И потом практика использования серкака была пересмотрена в сторону
> улучшения секурности. Вот это работа над ошибками. А вот это вот
> - кекекеке!форенсик и восстановление сервиса это две разные вещи, если чо.
> форенсик и восстановление сервиса это две разные вещи, если чо.Вот только восстанавливать сервис без проведения анализа взлома - не самое умное на свете начинание. Хотя фрибсдшникам, известным своим щепетильным отношением к секурити такое простительно.
P.S. помнится был тут такой гражданин, paxuser. Он в свое время детально прошелся по технологиям усложнения взлома. Типа всяких SSP, NX-bit, random-адреса загрузки исполняемых, добавочные системы MAC/аудита, etc, etc. Из сравнения вытекало что даже "ламерская бyбyнта" защищена много лучше чем фряха. И даже дебиан с его некромансией - тоже. Отношение к секурити сразу видно: "есть 2 уровня безопасности: high и нехай".
>> форенсик и восстановление сервиса это две разные вещи, если чо.
> Вот только восстанавливать сервис без проведения анализа взлома - не самое умное
> на свете начинание. Хотя фрибсдшникам, известным своим щепетильным отношением к секурити
> такое простительно.зачем без анализа, почему без анализа? и о каком взломе речь? никто ничего не ломал, классический пример промуфлоненного ключа. машины, на которые был несанкционированный доступ, в оффлайне на форенсик, ключи отозваны, остальное - business as usual. потеря ключа - это не то чтобы бином ньютона, а вполне себе тривиальная ситуация.
> P.S. помнится был тут такой гражданин, paxuser. Он в свое время детально
> прошелся по технологиям усложнения взлома. Типа всяких SSP, NX-bit, random-адреса загрузки
> исполняемых, добавочные системы MAC/аудита, etc, etc. Из сравнения вытекало что даже
> "ламерская бyбyнта" защищена много лучше чем фряха. И даже дебиан с
> его некромансией - тоже. Отношение к секурити сразу видно: "есть 2
> уровня безопасности: high и нехай".это все замечательно, но никакого отношения к теме не имеет, т.к. _взлома_ не было. был вполне штатный доступ. алсо я больше прислушаюсь к словам коммитера, который работает вместе с Уотсоном в Кембридже над реальными проектами по безопасности, чем к выступлению на опеннете.
> зачем без анализа, почему без анализа?Наверное потому что я не вижу оного. "It is believed" - как-то хиловато для анализа. Если это описание деятельности автоматической хреноты - где название вредителя и описание того что оно делает?
> и о каком взломе речь? никто ничего не ломал,
А сабж с вами не согласен :)
> классический пример промуфлоненного ключа.
"It's believed" как-то не очень убедительно в качестве доказательств.
> машины, на которые был несанкционированный доступ, в оффлайне на форенсик, ключи отозваны,
Ну это логично хорошо и правильно.
> остальное - business as usual.
И что помешает повтору этой ситуации?
> потеря ключа - это не то чтобы бином ньютона, а вполне себе тривиальная ситуация.
Нет, извините, когда это делают разработчики - это НЕ тривиальная ситуация.
> это все замечательно, но никакого отношения к теме не имеет, т.к. _взлома_
> не было. был вполне штатный доступ.Нифига себе у некоторых понятия о "штатном доступе". Осталось еще добавить что хак инфраструктуры был запланировал и вообще, это учения :)
> алсо я больше прислушаюсь к словам коммитера, который работает вместе
> с Уотсоном в Кембридже над реальными проектами по безопасности, чем к выступлению на опеннете.Академики о безопасности? Это что-то типа сферической безопасности в вакууме?
> "It's believed" как-то не очень убедительно в качестве доказательств.Да пусть раскапывают себе спокойно, чего воду в ступе толочь-то?
> "It's believed" как-то не очень убедительно в качестве доказательств.господи, еще один настольный лоер решил казуистикой поупражняться. не убежден ты, да и черт с тобой.
>> машины, на которые был несанкционированный доступ, в оффлайне на форенсик, ключи отозваны,
> Ну это логично хорошо и правильно.
>> остальное - business as usual.
> И что помешает повтору этой ситуации?повторной потере ключа? ничего. впрочем, если вы в состоянии спроектировать систему, которая гарантирует невозможность угона SSH ключа у неконтролируемого юзера в неконтролируемом окружении, NSA, я думаю, будет очень заинтересована.
>> потеря ключа - это не то чтобы бином ньютона, а вполне себе тривиальная ситуация.
> Нет, извините, когда это делают разработчики - это НЕ тривиальная ситуация.это ожидаемая и тривиальная ситуация, к которой нормальный секьюрити офисер готов заранее.
>> это все замечательно, но никакого отношения к теме не имеет, т.к. _взлома_
>> не было. был вполне штатный доступ.
> Нифига себе у некоторых понятия о "штатном доступе". Осталось еще добавить что
> хак инфраструктуры был запланировал и вообще, это учения :)если вы в состоянии спроектировать систему, которая гарантированно определяет, когда SSH аутентификация по авторизованному ключу производится хакером, а когда легальным юзером - повторяю, свяжитесь с NSA, они с удовольствием такую систему купят.
>> алсо я больше прислушаюсь к словам коммитера, который работает вместе
>> с Уотсоном в Кембридже над реальными проектами по безопасности, чем к выступлению на опеннете.
> Академики о безопасности? Это что-то типа сферической безопасности в вакууме?погуглите кто такой Роберт Уотсон, что он делает в проекте FreeBSD и что он делает в Кембридже, и не ставьте себя в смешное положение такими высказываниями. Мне почему-то кажется, что вы - вот лично вы - не в состоянии похвастаться и десятой частью того, что сделал лично он, но мнение уже имеете.
а зачем?
вот этого достаточно —
>В качестве наиболее вероятной причины взлома, называется утечка SSH-ключей с машины одного из разработчиков.это у линуксоидов-параноиков что-где-когда, а у бздунов либерализм — приходи кто хочешь, бери что хочешь, оставляй что можешь.
>As a result of this event, a number of operational security changes are being made at the FreeBSD Project, in order to further improve our resilience to potential attacks. We plan, therefore, to more rapidly deprecate a number of legacy services, such as cvsup distribution of FreeBSD source, in favour of our more robust Subversion, freebsd-update, and portsnap models.ещё раз?
>a number of operational security changes are being made at the FreeBSD Project, in order to further improve our resilience to potential attacks.зыж
>или вы традиционно по ссылкам не ходите?по себе всё меряешь?
>>As a result of this event, a number of operational security changes are being made at the FreeBSD Project, in order to further improve our resilience to potential attacks. We plan, therefore, to more rapidly deprecate a number of legacy services, such as cvsup distribution of FreeBSD source, in favour of our more robust Subversion, freebsd-update, and portsnap models.
> ещё раз?
>>a number of operational security changes are being made at the FreeBSD Project, in order to further improve our resilience to potential attacks.
> зыж
>>или вы традиционно по ссылкам не ходите?
> по себе всё меряешь?вот эти все буквы чо означают? объясни, а то я тупой по случаю шаббата. нахера ты суешь эту копипасту и что это должно означать?
для тебя это означает только одно — тебе по ссылкам ходить в общем-то бесполезно.а для проекта фрибсд — ещё придётся разбираться кто, когда и по какой недоработке смог увести ключи. и вообще, ключи ли тут виноваты.
фраза «The compromise is believed to have occurred due to the leak of an SSH key» — это вообще первое что приходит в голову после обнаружения взлома.
по типу «а где ещё то может быть?»
вот только это подозрение ещё а) придётся доказать, б) перегенерить ВСЕ ключи, если(если!!!) это всё же они были приватезированы, в) сделать оргвыводы и перекрыть утечку в будущем (программеру по ушам надавать, взломщику по морде)а может случится и так — неизвестная уязвимость в очередном тривиальном аля-icmp-протоколе, позволяющая удалённо стэе-оверфлоу с готовым эксплоитом с емэйлом ссш-ключиков.
>[оверквотинг удален]
> какой недоработке смог увести ключи. и вообще, ключи ли тут виноваты.
> фраза «The compromise is believed to have occurred due to the leak
> of an SSH key» — это вообще первое что приходит в
> голову после обнаружения взлома.
> по типу «а где ещё то может быть?»
> вот только это подозрение ещё а) придётся доказать, б) перегенерить ВСЕ ключи,
> если(если!!!) это всё же они были приватезированы, в) сделать оргвыводы и
> перекрыть утечку в будущем (программеру по ушам надавать, взломщику по морде)
> а может случится и так — неизвестная уязвимость в очередном тривиальном аля-icmp-протоколе,
> позволяющая удалённо стэе-оверфлоу с готовым эксплоитом с емэйлом ссш-ключиков.Достоверно известно, что скомпрометированы были только две машины из кластера для сборки пакетов. На них не была еще запущенна новая система авторизации. Другие машины скомпрометированный не были. Это известно из проведенного аудита всех систем. Какие тут еще можно сделать выводы?
> Другие машины скомпрометированный не были. Это известно из проведенного аудита всех систем.А вот такого не было.
>> Другие машины скомпрометированный не были. Это известно из проведенного аудита всех систем.
> А вот такого не было.Представься пожалуйста.
>>> Другие машины скомпрометированный не были. Это известно из проведенного аудита всех систем.
>> А вот такого не было.
> Представься пожалуйста.Его величество Троль.
> Какие тут еще можно сделать выводы?Сейчас только один — механизм взлома пока не известен.
"As a result of this event, a number of operational security changes are being made at the FreeBSD Project ... more rapidly deprecate a number of legacy services, such as cvsup distribution of FreeBSD source, in favour of our more robust Subversion"интересно, сколько раз надо поломать этих слоупоков, чтобы они и svn выкинули в пользу какой-нибудь dvcs?
> in favour of our more robust Subversion"В этом месте должен быть тег sarcasm, однозначно.
> интересно, сколько раз надо поломать этих слоупоков, чтобы они и svn выкинули
> в пользу какой-нибудь dvcs?попробуй хотябы 1 (один) раз.
> запарился ждать, пока кернел.орг поднимутЗато те могли расследовать инцедент сколько им там надо, а не скорей-быстрей-тыр-пыр.
> поднимут и стал релизить сразу на гитхаб?
Да, он мог так сделать - DVCS же. Которая к тому же целостность сорца обеспечивает.
> Саванну рутили? рутили, апач рутили, кернел.орг рутили, ну теперь и фрибсд отметилисьгде там написано что рутили ?
>> Саванну рутили? рутили, апач рутили, кернел.орг рутили, ну теперь и фрибсд отметились
> где там написано что рутили ?В новости //К.О.
> Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.и где рутили ? на опеннете новость слишком короткая, сжали gzip'om
>> Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.
> и где рутили ? на опеннете новость слишком короткая, сжали gzip'omа кликать же по ссылкам рука устает.
> и где рутили ? на опеннете новость слишком короткая, сжали gzip'omСкорее, gripом - специальной утилитой для сжатия с потерями.
> я вот не помню, опенок рутили или нет? а то ведь Тео по этому поводу просто гоголем ходить будет.Если верить их офсайту (Only two remote holes in the default install, in a heck of a long time!), то там было как минимум две дыры на удаленного рута (прочие уязвимости они не считают). Так что вероятность немаленькая. Если, конечно, их сайт крутится на опенке, а не на линуксе.
>> я вот не помню, опенок рутили или нет? а то ведь Тео по этому поводу просто гоголем ходить будет.
> Если верить их офсайту (Only two remote holes in the default install,
> in a heck of a long time!), то там было как
> минимум две дыры на удаленного рута (прочие уязвимости они не считают).
> Так что вероятность немаленькая. Если, конечно, их сайт крутится на опенке,
> а не на линуксе.нене, дыра в дефолт инсталляции и подломанная инфраструктура проекта - разные вещи.
> нене, дыра в дефолт инсталляции и подломанная инфраструктура проекта - разные вещи.Да, это разные вещи. Но потенциально могут указывать на одну и ту же проблему.
>> нене, дыра в дефолт инсталляции и подломанная инфраструктура проекта - разные вещи.
> Да, это разные вещи. Но потенциально могут указывать на одну и ту
> же проблему.Потенциально - сколько угодно; но я имел в виду - были ли реальные случаи взлома или несанкционированного доступа в инфраструктуру проекта OpenBSD.
Пока, судя по всему, они единственно ще цнотливи та недоторкани.
> Пока, судя по всему, они единственно ще цнотливи та недоторкани.Знаете кто такой неуловимый Джо? :)
> Если, конечно, их сайт крутится на опенке, а не на линуксе.у них есть даже в FAQ ответ на этот вопрос. нет. там не линакс.
под чем - пускай это будет дом. заданием.
> под чем - пускай это будет дом. заданием.Домашние задания теперь у вас - проверить нет ли в системе бэкдоров :)
>> под чем - пускай это будет дом. заданием.
> Домашние задания теперь у вас - проверить нет ли в системе бэкдоров
> :)я доверяю Colin Percival`ю
в моих системах точно нет, не переживай, по крайней мере в связи с сабжевой новостью.;-)
> я доверяю Colin Percival`юА что, он лично весь код проштудировал? Крутой перец, чо.
>> я доверяю Colin Percival`ю
> А что, он лично весь код проштудировал? Крутой перец, чо.у него (и не только у него) есть мозг, в отличие от местных ананимных специалистов-гитолюбов. Именно наличие мозга и умение им пользоваться сдерживает людей от таких идиотских поступков как "код проштудировал" в случаях подобных данному.
>> я вот не помню, опенок рутили или нет? а то ведь Тео по этому поводу просто гоголем ходить будет.
> Если верить их офсайту (Only two remote holes in the default install,
> in a heck of a long time!), то там было как
> минимум две дыры на удаленного рута (прочие уязвимости они не считают).
> Так что вероятность немаленькая. Если, конечно, их сайт крутится на опенке,
> а не на линуксе.Их сайт спокон веку крутутся на дрвеней соляре, причем на неменее древней альфе - опенок
никогда не мог держать такие нагрузки
> я вот не помню, опенок рутили или нет?А мне вот запомнилось, когда openssh "рутили". Это когда стало "only one".
>> я вот не помню, опенок рутили или нет?
> А мне вот запомнилось, когда openssh "рутили". Это когда стало "only
> one".если честно, меня вот эти вот все 0-day эксплойты беспокоят меньше всего. ровно в пятницу случайно заглянул в тот угол своего хозяйства, в который еще ни разу не заглядывал, и там увидел настолько неординарное с точки зрения безопасности решение, оставленное предшественником (или его предшественником), что из отложенных мной кирпичей можно было перегородку в комнате построить. руководство, когда я пришел с вопросом "Это зачем же они его так крепят?" тоже весьма удивилось. хотя предшественник был весьма вменяемый. и такие перлы я вижу регулярно. главная беда не ошибки в коде, а ошибки в голове.
в данном случае все тоже начинают рассуждать о секурности/несекурности ОС и о плюсах/минусах различных CVS, и никто не спросит, почему систему сконфигурили так, что человек, которому нужен было всего лишь доступ к SVN, получил заодно шелл. или это неконфигурируемая фича SVN, что если туда доступаешься через svn+ssh, то обязательно шелл в системе имеешь? Сомневаюсь чо-та.
> главная беда не ошибки в коде, а ошибки в голове.Кто бы спорил, я не стану...
> никто не спросит, почему систему сконфигурили так, что человек, которому
> нужен было всего лишь доступ к SVN, получил заодно шелл.Ну так некоторые уже встали на эти грабли. А некоторые другие предпочли учиться на своих ошибках. Хотя чужие не так давно были.
> что человек, которому нужен было всего лишь доступ к SVN, получил
> заодно шеллдоступ на запись, я так понимаю? ну дык так часто делают, когда лень думать и надо было «уже вчера». с мыслью (причём вполне честной) «потом переделаю как надо». понятно, что никто уже ничего никогда не переделывает, и это остаётся в наследство.
Уродцы, что тут скажешь.
Лишь бы что-то ломануть...
Because we can!
> Лишь бы что-то ломануть...Некоторые понимают что их практики не фонтан только когда их ткнут пикой в ж...у. Очередной пример.
> Загруженные в процессе подготовки релиза FreeBSD 9.1 пакеджи были удалены и пересобраны..ээээ...
>>>пакеджи были удалены<<<
удалены -- ЩИТО?!
Что в этой фразе тебе непонятно?
Либо они встрепенуться, либо это должна быть предсметрная конвульсия.
без ь
> без ь...в слове "пакеджи" :)
собираю все их исходниковportupgrade -yDurfa
> собираю все их исходников
> portupgrade -yDurfaВерю, что у этой программы много ключей. А как это относится к топику?
portsnap я так понял больше никогда обновляться не будет ?
все рынулись в pkgNG ?
Или простой мейнтейнер портснапа ушел в запой.
в запой? если только с горя или уволили :)
> Или простой мейнтейнер портснапа ушел в запой.мейнтейнер портснапа cperciva, он же FSO, вероятно занят.
> portsnap я так понял больше никогда обновляться не будет ? все рынулись в pkgNG ?пока непонятно. Ждем-с
ну, portsnap и пробило...
Я сегодня смог успешно запустить обновление дерева портов через portsnap:# portsnap fetch update
Looking up portsnap.FreeBSD.org mirrors... 6 mirrors found.
Fetching snapshot tag from ec2-eu-west-1.portsnap.freebsd.org... done.
Fetching snapshot metadata... done.
Updating from Sun Nov 11 16:54:03 EET 2012 to Sun Nov 18 08:29:07 EET 2012.
Fetching 0 metadata patches. done.
Applying metadata patches... done.
Fetching 0 metadata files... done.
Fetching 24085 patches.....10....20....30....40....50....60....70....80....
> portsnap я так понял больше никогда обновляться не будет ?Будет.
> все рынулись в pkgNG ?
pngng никак не связано с portsnap
(задумчиво) а где же улюлюкающая толпа бсдоидов с воплями: «ваш линукс — решето, у вас главный сайт хакнули, ололо!»?
> у вас главный сайт хакнули, ололо!»?Что-то решетисты взлом обнаружили явно быстрее чем за 2 месяца. Пффф :)
По сей день ждём обещанный репорт кернелорга о деталях взлома
> По сей день ждём обещанный репорт кернелорга о деталях взломаПо сей день ждем когда всякие слоупоки и ретарды уже научатся пользоваться ссылками, особенно под тематической новостью. "Дла вас, Козлов, переходов понастроили!"
> Что-то решетисты взлом обнаружили явно быстрее чем за 2 месяца. Пффф :)security response != proactive security, вообще говоря.
> security response != proactive security, вообще говоря.Все так, но все-таки, "презренные лyноходы" засекли хак за 17 дней. Что говорит о квалификации оных и/или практиках администрирования с более хорошей стороны.
> Все так, но все-таки, "презренные лyноходы" засекли хак за 17 дней. Что говорит о квалификации оных и/или практиках администрирования с более хорошей стороны.Нет, к сожалению мало о чём говорит. Ну разве что о частоте коммитов конкретного разработчика, который пролюбил ключ. И о практиках администрирования лично на его машинке.
> «ваш линукс — решето,скажу свое мнение, мне както по экватору на линукс, и так проблем хватает и без него, я лучше полезное дело сделаю, чем буду всякую ерунду писать, что знаю и не знаю
Вы ошиблись вкладкой в браузере, вам на ЛОР
> Вы ошиблись вкладкой в браузере, вам на ЛОРНе-не, просто долг платежом красен. Отметились в новости о взломе кернелорга? А теперь ощутите все прелести на себе.
Чем нравятся открытые системы, что в случае возникновения угрозы безопасности, об этом, как правило, сразу сообщают.
Написано, что базовая система (то, что они делают сами) не затронута, а стороннее ПО (которое скачивают) можно как бы перепроверить на сайтах самих программ.
"пакеджей" - автор нерусь безграмотная
> "пакеджей" - автор нерусь безграмотнаяЛучше уж "нерусь" чем такой как вы.
Почитав комменты школоты, вбрасывающей про DVCS и Integrity Checks, вынужден признать, что либо никто не читает ссылок к новости, либо не знают английский язык. Для этих господ поясняю:1. Целостность SVN-репозиториев была проверена и подтверждена;
2. Наборы пакетов для существующих релизов, ISO-образы и пр. были проверены и сверены с копиями, хранящимися в другом месте. Кстати, каким образом DVCS к этому-то относится?
3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому проверить их целостность невозможно (и да, этому не помогла бы палочка-выручалочка DVCS). Поэтому они были удалены и будут пересобраны.Часть, содержащая буковки "CVS", относилась к тому, что механизмы экспорта из Subversion в CVS будут выключены раньше, чем планировалось. Они в любом случае были только для совместимости.
да не нервничай так, всё ок. когда все нормальные люди уже забыли про svn и начали использовать DVCS, в бсд наконец-то почти собралась дропнуть cvs. в принципе, степерь слоупочности можно приблизительно оценить и рассчитать, когда до бсдшников дойдёт, что DVCS — таки хорошо.а мы просто улыбаемся. slowpoke is so slow…
> когда до бсдшников дойдёт, что DVCS — таки хорошо.Лет через 10 они таки юзанут гит. А еще через 10 напишут аналог под расово верной лицензией. Урезанный, ясен хрен.
http://wiki.freebsd.org/GitWorkflow
Ну да, ну да, где-то сбоку и неофициально...Не я понимаю - писано Торвальдсом, лицензия не расово верная, ...
#include <stdbullshit.h>
> 1. Целостность SVN-репозиториев была проверена и подтверждена;Традиционным народным методом "it's beleived", как и расследование взлома? Ну или как вы проверяете и подтверждаете без задействования криптографии? Только не надо рассказывать что вы ударными темпами за сутки перечитали все сорцы.
> 2. Наборы пакетов для существующих релизов, ISO-образы и пр. были проверены и
> сверены с копиями, хранящимися в другом месте.А вот вам и ответ на мысль чем хороши DVCS. Только у вас оно получилось в первобытно-общинном стиле, как обычно.
> Кстати, каким образом DVCS к этому-то относится?
Не позволяют постороннему субъекту вбросить кусок сорца в середину ревизий, заныкав бэкдор среди легитимных изменений. Это вызовет развал механики синхронизации и будет суперпаливно. И проштудировать последние коммиты под микроскопом - не проблема. А вот проштудировать вообще все сорсы от и до - нереально.
> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому
> проверить их целостность невозможноИ опять благородный дон сам того не желая отрекламил DVCSы. Epic!
> были только для совместимости.
Осталось только понять чем SVN лучше CVSа. Вот чем DVCSы лучше, особенно нормально задизайненные, типа гита - оно понятно, да.
>> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому проверить их целостность невозможно
>И опять благородный дон сам того не желая отрекламил DVCSы. Epic!+100500
(и да, этому как раз помогла бы палочка-выручалочка DVCS)
> (и да, этому как раз помогла бы палочка-выручалочка DVCS)Одного не мог понять никогда... если угнали ключи с машины для ssh-доступа, почему не могут угнать ключи для цифровой подписи и чем тогда DVCS поможет особо яростным?
> DVCS поможет особо яростным?Поможет.
1) У всех желающих на руках есть полная независимая копия репов со всей историей. Всегда можно в темпе вальса отскрестись от асфальта с оной копии где угодно.2) Коммиты с момента взлома можно проверить с точностью до битика под микроскопом, их не сильно много.
3) А остальное заведомо подпихнуть не смогут, ибо хеши друг на друга завязаны и при попытке вклиниться в середину коммитов - отвалится вообще весь хвост с момента вклина т.к. все дерево хэшей - поплыло. Это вызовет неиллюзорные проблемы при синхронизации между учасотниками и будет мигом запалено.
Правда просто? У граждан кернелорг является всего лишь одним из 100500 равноправных репов и не имеет каких-то особых привилегий. Просто удобная точка синхронизации. Одна из 100500 возможных.
А в CVS/SVN/... нет никакой защиты от впихивания изменений в середину истории, задним числом, так что хакерь в принципе может эпически оттянуться, вдув куда-нибудь милый бэкдор и не особо то и палясь при этом. И есть дебилизм с центральным сервером, отлет которого в мир иной ставит р@ком весь процесс. Что не есть умно в большой распределенной команде, ага.
>У всех желающих на руках есть полная независимая копия репов со всей историей. Всегда можно в темпе вальса отскрестись от асфальта с оной копии где угодно.1. Как понимаю, копия у Васи из Запупинска - самая доверенная копия репозитария. Именно ей можно доверять.
2. Как понимаю, вы хотите хранить у себя копию репозитария исходных тексов FreeBSD?$ man svnsync
Когда закончите копировать, свисните. Назначим вас хранителем. А то в проекте FreeBSD бекапы делать не умеют.
>А остальное заведомо подпихнуть не смогут, ибо хеши друг на друга завязаны и при попытке вклиниться в середину коммитов
# cd /usr/src/.svn/
# strings wc.db | grep sha | head -2
$sha1$8b62f5d7ec1f4772bd5082fe5ce0cc1d207511a0N
$sha1$9adefef23decf7e24a33c514732f8eedfb054199Вы не поскажете, что это такие за странные сочетания - SHA?
> А в CVS/SVN/... нет никакой защиты от впихивания изменений в середину истории,
> задним числом, так что хакерь в принципе может эпически оттянуться, вдув
> куда-нибудь милый бэкдор и не особо то и палясь при этом.Ну раз вы так компетентно заявляете, то не напишете метод подстановки задним числом инкрементального изменения в базу данных репозитария SVN? ;)
>1. Как понимаю, копия у Васи из Запупинска - самая доверенная копия репозитария. Именно ей можно доверять.1. Думаю Вася из Запупинска доверяет ей гораздо больше, чем вашей.
2. Если «Вася из Запупинска» вдруг в рассылке поднимет вопрос «а вот тут у меня в файле таком-то, строка такая-то всё совсем другое», то старине «Хенку из Бигхилс» будет гораздо легче проверить у кого код изменён, у Васи или у Хэнка.
И не лопатить все сырцы за 30 лет.
>>1. Как понимаю, копия у Васи из Запупинска - самая доверенная копия репозитария. Именно ей можно доверять.
> 1. Думаю Вася из Запупинска доверяет ей гораздо больше, чем вашей.Не "моей". Рабочей группы проекта. К модели безопасности которого Вася, в общем-то, не имеет никакого отношения. Так, некая случайная еденица с непонятным статусом и доверенностью.
Вы знаете хоть что такое модель безопасности, модель рисков, угроз, управление рисками по проекту?
Конечно знаете - из предыдущей строки :)Или вы думаете, что участники проекта с 30-летней историей (наверное, проект старше вас), не сталкивались с угрозами потери кода или его несанкционированного изменения? :)
> 1. Как понимаю, копия у Васи из Запупинска - самая доверенная копия репозитария. Именно ей можно доверять.Ну вон в случае линуксоидов - доверяли дереву Торвальдса. Если у бсдшников нет разработчиков которым они доверяют - ну я не знаю, тогда наверное вы не должны такой системой пользоваться.
> 2. Как понимаю, вы хотите хранить у себя копию репозитария исходных тексов FreeBSD?
> $ man svnsyncСами копайтесь в своих ископаемых костылях. Я уже давно гитом пользуюсь как основной системой контроля версий.
> Когда закончите копировать, свисните. Назначим вас хранителем. А то в проекте FreeBSD
> бекапы делать не умеют.То-есть, вы готовы доверять какому-то анонимусу с опеннета? :)
> Вы не поскажете, что это такие за странные сочетания - SHA?
Сами по себе хэши еще не обеспечивают однозначную защиту от недостоверных изменений (кроме случая когда они подписями заверены и у получателя заранее есть заведомо верный ключ). Вот дерево из иерархии хэшей в определенных условиях (DVCS) - еще может. Из-за распределенности и равноправия участников. Тогда надо будет вбросить изменения вообще всем, только в этом случае участники процесса не заметят подвох. Что технически нереально. Но svn то централизованный - проблем с тем что у участников полная репа и она синхрится в том числе и мимо атакующего в таком случае нет.
> Ну раз вы так компетентно заявляете, то не напишете метод подстановки задним
> числом инкрементального изменения в базу данных репозитария SVN? ;)Я думаю что этим займутся при случае те кому оно нужнее.
>> Ну раз вы так компетентно заявляете, то не напишете метод подстановки задним
>> числом инкрементального изменения в базу данных репозитария SVN? ;)
> Я думаю что этим займутся при случае те кому оно нужнее.вот в след. раз лучше подумай, до того как писать в очередной раз заклинание "ААААА ТАМ МОЖНО ЗАНЫКАТЬ БЭКДОР!!!11"
если есть чем думать, конечно
>> 1. Как понимаю, копия у Васи из Запупинска - самая доверенная копия репозитария. Именно ей можно доверять.
> Ну вон в случае линуксоидов - доверяли дереву Торвальдса. Если у бсдшников
> нет разработчиков которым они доверяют - ну я не знаю...Не знаете. Понятия модели безопасности не для вас.
>> 2. Как понимаю, вы хотите хранить у себя копию репозитария исходных тексов FreeBSD?
>> $ man svnsync
> Сами копайтесь в своих ископаемых костылях. Я уже давно гитом пользуюсь как
> основной системой контроля версий.И как вы только cp & mv пользуетесь. Этим-то костылям уже 40 лет.
>> Когда закончите копировать, свисните. Назначим вас хранителем. А то в проекте FreeBSD
>> бекапы делать не умеют.
> То-есть, вы готовы доверять какому-то анонимусу с опеннета? :)Ну если вы намерены им оставаться, по каким-то причинам, то - нет.
>> Вы не поскажете, что это такие за странные сочетания - SHA?
> Но svn то централизованный - проблем с тем что у участников полная репа и она синхрится
> в том числе и мимо атакующего в таком случае нет.Как и модели DCVS в подавляющем большинстве случаев.
>> Ну раз вы так компетентно заявляете, то не напишете метод подстановки задним
>> числом инкрементального изменения в базу данных репозитария SVN? ;)
> Я думаю что этим займутся при случае те кому оно нужнее.Понятно. В глаза не видели.
> Не знаете. Понятия модели безопасности не для вас.Вау, сколько снобизма.
> И как вы только cp & mv пользуетесь. Этим-то костылям уже 40 лет.
Ну вот так вот и пользуюсь. В распределенной команде популярного проекта юзеж такого инструментария чреват тем что однажды в код кто-то втихушку закинет бэкдор, ибо лакомый кусочек. И если официально вкорячиваемые коммиты еще кто-то читает то вот изменения репы задним числом - уже можно и продолбать.
> Ну если вы намерены им оставаться, по каким-то причинам, то - нет.
Для таких как вы - пожалуй да. Просто потому что не планирую делать ничего полезного для *bsd. Правда не потому что г@внюк, а просто потому что они не обеспечивают того что надо мне и посему мне тотально неинтересны.
>> в том числе и мимо атакующего в таком случае нет.
> Как и модели DCVS в подавляющем большинстве случаев.Пардон, в схеме того же кернелорга нет никакого супердоверяемого центрального сервера чья система контроля версий могла бы иметь приоритет над остальными участниками. Есть некие общепризнанные "точки обмена траффиком" но это лишь "место встречи" а не "единственная непререкаемая ауторити". А в новых версиях код можно еще и подписывать gpg ключами, чтобы уж совсем хорошо. Все это в целом довольно хорошо поднимает планку для атакующего. Шансы все сделать правильно и без ошибок заметно сокращаются.
>> Я думаю что этим займутся при случае те кому оно нужнее.
> Понятно. В глаза не видели.У меня SVN все еще инсталлирован в системе ровно по 1 причине: некоторые некроманы его все никак не могут выбросить. Предпочитаемой или активно изучаемой VCS это не является и не будет являться уже никогда. К хорошему быстро привыкаешь и я как-то откровенно предпочитаю GIT.
>> Не знаете. Понятия модели безопасности не для вас.
> Вау, сколько снобизма.Опыта и знаний.
>> И как вы только cp & mv пользуетесь. Этим-то костылям уже 40 лет.
> Ну вот так вот и пользуюсь.Очень замечательно. Ричи рад за вас. Остальной текст не стоит обсуждения.
PS
Очень рекомендую найти хотя бы ISO/IEC 15288 и 12207, желательно в последней английской редакции.
Читать до понимания.
> отвалится вообще весь хвост с момента вклина т.к. все дерево хэшей - поплыло. Это вызовет неиллюзорные проблемы при синхронизации между учасотниками и будет мигом запалено.Классный способ досить гитовцев.
да хоть сто порций.
раз уж тебе дали право на коммит, то сами идиоты.
> да хоть сто порций.
> раз уж тебе дали право на коммит, то сами идиоты.С каких пор право записи в репозитарий стандартным сетевым протоколом - есть возможность несанкционированного доступа к базе репозитария в файловой системе?
Вы хоть понимаете что написали? Что любой c git-клиентом и с правом коммита может внести изменения задним числом в репозитарий. Молодца :)
> Вы хоть понимаете что написали? Что любой c git-клиентом и с правом
> коммита может внести изменения задним числом в репозитарий. Молодца :)Точно?
> Вы хоть понимаете что написали? Что любой c git-клиентом и с правом
> коммита может внести изменения задним числом в репозитарий.нельзя ли вот с этого места поподробней? да, историю можно подкорректировать. и git push --force никто не отменял. интересно, ты представляешь, что будет, когда остальные разработчики попытаются синхронизироваться с «поправленым» репозиторием?
>> Вы хоть понимаете что написали? Что любой c git-клиентом и с правом
>> коммита может внести изменения задним числом в репозитарий.
> нельзя ли вот с этого места поподробней? да, историю можно подкорректировать. и
> git push --force никто не отменял. интересно, ты представляешь, ...Умно. Перечитайте ветку и попробуйте подумать.
долго ты ответ сочинял. так ничего и не нагуглил за это время, видать, и решил «умно съехать». ну, едь, едь…
> долго ты ответ сочинял. так ничего и не нагуглил за это время,
> видать, и решил «умно съехать». ну, едь, едь…Нет. _Очень_ занят по проекту. Конец года. На эту нить наткнулся в мыльнице.
Еще вопросы и предложения по теме есть?
> Нет. _Очень_ занят по проекту. Конец года.Удачи!
>> Нет. _Очень_ занят по проекту. Конец года.
> Удачи!Спасибо, Михаил!
> Еще вопросы и предложения по теме есть?Так это вы их вроде обещали.
>> Еще вопросы и предложения по теме есть?
> Так это вы их вроде обещали.Нет.
> Классный способ досить гитовцев.Ну, попробуйте задосьте. Не забудьте рассказать как получилось. Я правда не совсем понимаю что является DoS-ом. То что с вами никто синкаться не станет? Ну да, несомненно, вы сами себя огородите от взаимодействия с остальными. Формально это конечно DoS, но это ж само-DoS, т.е. читерство :). Проще рубильник 220 вольт вырубить - еще убедительнее будет.
>>> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому проверить их целостность невозможно
>>И опять благородный дон сам того не желая отрекламил DVCSы. Epic!
> +100500
> (и да, этому как раз помогла бы палочка-выручалочка DVCS)Ужасающая неграмотность. Готовые пакеты не храняться в репозитарии системы контроля версий. В системе контроля версий храняться правила сборки и патчи. Норма проекта - компиляция пакетов с нужными тебе параметрами при использовании операционной системы на месте установки, что в значительной степени лишает смысла подставку патчей или вставки кода в готовые бинарные пакеты.
Вы берете результата проекта как есть, по цене доставки. Не нравиться - закачайте обратно.
Попытка прилепить dvcs к месту и не к месту, без понимания целей и методов инструмента - это такая модная штука у пацанов?
> Ужасающая неграмотность. Готовые пакеты не храняться
>> Ужасающая неграмотность. Готовые пакеты не храняться
> http://tsya.ru :(Идите в жопу, Михаил :)
Ну вот, я к Вам с багрепортом и патчгенератором, а Вы... :)
> http://tsya.ru :(Да, к вопросу о грамотности :)
>> 1. Целостность SVN-репозиториев была проверена и подтверждена;
> Традиционным народным методом "it's beleived", как и расследование взлома? Ну или как
> вы проверяете и подтверждаете без задействования криптографии? Только не надо рассказывать
> что вы ударными темпами за сутки перечитали все сорцы.Нет, ты реально не умеешь читать. Off-site копия можешь перевести? Или английский в школе не учили?
Сколько времени требуется, чтобы побайтово сравнить два дерева бинарных файлов?>> 2. Наборы пакетов для существующих релизов, ISO-образы и пр. были проверены и
>> сверены с копиями, хранящимися в другом месте.
> А вот вам и ответ на мысль чем хороши DVCS. Только у
> вас оно получилось в первобытно-общинном стиле, как обычно.
>> Кстати, каким образом DVCS к этому-то относится?
> Не позволяют постороннему субъекту вбросить кусок сорца в середину ревизий, заныкав бэкдор
> среди легитимных изменений. Это вызовет развал механики синхронизации и будет суперпаливно.
> И проштудировать последние коммиты под микроскопом - не проблема. А вот
> проштудировать вообще все сорсы от и до - нереально.Не, ну реально наркоман :-))) Не хранятся БИНАРНЫЕ ПАКЕТЫ в системе контроля версий, неужели это ТАК сложно для понимания???
>> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому
>> проверить их целостность невозможно
> И опять благородный дон сам того не желая отрекламил DVCSы. Epic!Туда же.
>> были только для совместимости.
> Осталось только понять чем SVN лучше CVSа. Вот чем DVCSы лучше, особенно
> нормально задизайненные, типа гита - оно понятно, да.Гугль в руки и вперёд, в сети достаточно материала про то, как было принято решение перехода именно на SVN.
> Гугль в руки и вперёд, в сети достаточно материала про то, как
> было принято решение перехода именно на SVN.как-как — как обычно. сначала сравнили и пришли к выводу, что гит лучше, а потом перешли на свн. отчасти мотивируя это тем, что куча разработчиков — тупые слоупоки, которые не смогут в гит. за пруфами сходишь сам.
самое главное забыл — у него лицензия кошерная.
они вон компилятор сменили, не смотря на потерю производительности в 30%, что уж тут про git говорить.
> самое главное забыл — у него лицензия кошерная. они вон компилятор сменили, не смотря на потерю производительности в 30%,вот такие пироги, да. главное помнить, причину, по которой сменили.
> что уж тут про git говорить.
это такой тонкий намёк, как фанатики относятся к бсдшникам? излишне. на опеннете тут это отношение наглядное. не удивляет желание бсдшников отмежеваться.
нормально тут к бсдшникам относятся. вон, vle, например — нормальный вменяемый человек. и отношение нормальное. а к мутантам типа изи, тигара, нагваля — и отношение соответствующее: их так забавно поддевать. в том числе и на тему «бсд — отстой!»
я не об отношении к конкретным людям. отношение к конкретным людям в 90% определяется их личными качествами.
> я не об отношении к конкретным людям.а саму по себе bsd особо и не трогают. её как раз пинают *в связи* с людьми. потому что это весело. как раз за то, что у людей понтов много, а подкрепить их особо нечем.
> Сколько времени требуется, чтобы побайтово сравнить два дерева бинарных файлов?Ну вот DVCS мало того что все это на автомате делает, так еще и более умным методом, так что вся история изменений синхрится, что удобно. Что как бонус используемая методика запалит попытки вклинить что либо задним числом.
> версий, неужели это ТАК сложно для понимания???
Да, кто-то реально наркоман - вообразить себе что я мог подумать что в svn впихали бинарные пакеты - это по наркомановски.
>> И опять благородный дон сам того не желая отрекламил DVCSы. Epic!
> Туда же.
> Гугль в руки и вперёд, в сети достаточно материала про то, как
> было принято решение перехода именно на SVN.Да я уж понял что "как обычно".
>> Сколько времени требуется, чтобы побайтово сравнить два дерева бинарных файлов?
> Ну вот DVCS мало того что все это на автомате делает, так
> еще и более умным методом, так что вся история изменений синхрится,
> что удобно. Что как бонус используемая методика запалит попытки вклинить что
> либо задним числом.DVCS сравнивает на автомате два дерева бинарных файлов? И синхрит историю изменений? К чему весь этот бред вообще???
И да, "что-либо" пишется через дефис. Иди уроки учить.>> версий, неужели это ТАК сложно для понимания???
> Да, кто-то реально наркоман - вообразить себе что я мог подумать что
> в svn впихали бинарные пакеты - это по наркомановски.Ну я не знаю, что ты там себе думаешь, тут половина форума анонимы, кто знает, что у них на уме. Среди анонимов есть и упоротые наркоманы, в этом у меня нет сомнений.
> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому проверить
> их целостность невозможно (и да, этому не помогла бы палочка-выручалочка DVCS).То есть о том, что использование DVCS практически равнозначно копиям в других местах, Вы не в курсе?
Unbelievable.
>> 3. Наборы пакетов для 9.1-RELEASE не имели копий в других местах, поэтому проверить
>> их целостность невозможно (и да, этому не помогла бы палочка-выручалочка DVCS).
> То есть о том, что использование DVCS практически равнозначно копиям в других
> местах, Вы не в курсе?
> Unbelievable.И что, это повод хранить бинарные пакеты в DVCS? :-) Миш, ну от тебя-то троллинга я ждал в последнюю очередь :)))
> И что, это повод хранить бинарные пакеты в DVCS? :-)А, _бинарные_ -- так их по зеркалам лучше, конечно.
Кстати, были задумки насчёт танца с rsync'ами, чтобы ловить рассинхронизацию уже "устоявшихся" файлов -- рисовали когда-то на салфетках с Игорем Грабиным, да так и не добили. Если вдруг кому интересно, можно попробовать вспомнить.
> Миш, ну от тебя-то троллинга я ждал в последнюю очередь :)))
Так и в мыслях не было -- встречно удивился, а прочёл как "наборы [исходных] пакетов", в смысле той дополнительной информации, по которой они из дистфайлов +/- патчей собираются.
Спасибо.
> И что, это повод хранить бинарные пакеты в DVCS? :-)Осталось только найти где я хоть звук издал про бинарники. Феноменально. Дон Кихот и его ветряные мельницы.
> Миш, ну от тебя-то троллинга я ждал в последнюю очередь :)))
Ну такого эпического Дона Кихота можно, наверное. Ибо очень смешная атака ветряной мельницы с бинарными ... эээ ... "пэкеджами" :)
>> И что, это повод хранить бинарные пакеты в DVCS? :-)
> Осталось только найти где я хоть звук издал про бинарники. Феноменально. Дон
> Кихот и его ветряные мельницы.Ты -- всего лишь жалкий аноним, тебе принадлежит половина реплик с этого форума, из них более половины -- бред школоты, не способной отличить проблемы VCS от проблем верификации бинарных пакетов. Так что обтекай :-)
>> Миш, ну от тебя-то троллинга я ждал в последнюю очередь :)))
> Ну такого эпического Дона Кихота можно, наверное. Ибо очень смешная атака ветряной
> мельницы с бинарными ... эээ ... "пэкеджами" :)Это вообще не распарсил :-)))
:(
на слешдоти пишут:http://it.slashdot.org/comments.pl?sid=3257875&cid=42017989
The security team and cluster admin has also been working very hard over the past few months to partition the FreeBSD cluster a lot better. If this attack had happened in a month or two, you wouldn't be hearing about it because nothing of value would have been compromised. The attack was against the legacy package building infrastructure, which is due to be retired soon. It was able to get access to more systems because it had the developers' home directories mounted (this isn't be the case with the new system, which is completely isolated). They're also rolling out the new audit logging daemon, which should mean that this sort of thing would be detected much sooner in the future.
We were lucky. The attackers seemed not to know what they'd found. There was an (apparently) automated scan for ssh keys (which have now all been revoked) and that's about it. They seemed to be trying to add the machine to a botnet, rather than to attack it directly. We believe that they got access via a compromised developer VM which had an ssh key that connected to the cluster (for doing svn+ssh commits), so it's possible that it was an entirely automated attack. They attempted to run a load of Linux admin commands and apparently gave up when they didn't work. As far as we can tell, they didn't actually modify anything (although, of course, the compromised machines are offline pending imaging for forensic analysis and clean reinstalls or replacement, just in case). The announcement tells you not to trust any of the things that we know that they could have touched, but it currently looks like there's a very low probability that they did touch anything. For example, they might have modified ports / base cvs, but the top of the tree is identical to the svn tree (which had off-site backups, and has had every recent commit manually audited) and so they'd have had to insert something bad and then remove it in a subsequent CVS version, and that seems unlikely. Verifying cvs is pretty hard, which is part of the reason why we're encouraging everyone to move to svn now.
мнэ это особенно понравилось: They attempted to run a load of Linux admin commands and apparently gave up when they didn't work.
ггг
Не могу понять чего все раскудахтались, я к примеру уже давно не ставлю софт из пакетов, а только из портов...
мы все очень рады за тебя. давно мечтали узнать, как именно ты ставишь софт — и вот оно, Свершилось!
> Не могу понять чего все раскудахтались, я к примеру уже давно не
> ставлю софт из пакетов, а только из портов...Я тоже только из сорцов собираю. Тем не менее, на днях заметил подозрительную активность среди системных приложений.
Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла нормально завершить, либо долго завершала работу.
В базовой системе FreeBSD 9.1-PRERELEASE из исходных текстов, полученных через CVS, не мог собраться загрузочный код с помощью системных GCC и Clang — не совпадал требуемый размер — похоже на неумелое внедрение бэкдора в том числе в загрузочный код.
http://www.opennet.ru/openforum/vsluhforumID3/87111.html?n#445
> Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла
> нормально завершить, либо долго завершала работу.Ну... так как насчет взять в руки сорс и дебаггер и воспользоваться плюсами наличия сорцов? :)
>> Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла
>> нормально завершить, либо долго завершала работу.
> Ну... так как насчет взять в руки сорс и дебаггер и воспользоваться плюсами наличия сорцов? :)C/С++ придумали идиоты для идиотов. Документация на этот "язык инопланетян" занимает несколько увесистых томов и то — до полноты картины очень далеко. Зачем я буду тратить часть своей жизни на изучение того, что мне не нужно? Вот, описание Pascal Вирт уместил на двух десятках страниц с БНФ описанием синтаксиса языка. http://www.standardpascal.org/iso7185.html — всё чётко и понятно.
Для C/C++ такое же сделать в принципе невозможно, так как есть множество недокументированных фич, нестандартных расширений, разнообразных препроцессоров местечковых определений и попытка применения идеологии LISP на C/C++. То есть налицо явная дислексия на уровне языка без всякого научного подхода. Чистая гуманитарщина! Как говорится, без чтения эпического эссе Кернигана и Ритчи и ответов на поставленные ими задачи во второй книжке не обойтись. Но это только первый этап эволюции и выползания на сушу, дальше — попытка залезть на дерево, попытка там обживиться, наконец, слезть с него и только потом можно думать о звёздах. :))
> не нужно? Вот, описание Pascal Вирт уместил на двух десятках страниц
> с БНФ описанием синтаксиса языка. http://www.standardpascal.org/iso7185.html —
> всё чётко и понятно.
> Как говорится, без чтения эпического эссе Кернигана и Ритчи и ответов
> на поставленные ими задачи во второй книжке не обойтись. Но этоя стесняюсь спросить, вы языки программирования по BNF нотации учите?
да вы жжоте, товарищ!
> я стесняюсь спросить, вы языки программирования по BNF нотации учите?Не учу, а изучаю, если есть в этом необходимость. По BNF в том числе.
> да вы жжоте, товарищ!
Я знаю.
>> я стесняюсь спросить, вы языки программирования по BNF нотации учите?
> Не учу, а изучаю, если есть в этом необходимость. По BNF в
> том числе.
>> да вы жжоте, товарищ!
> Я знаю.mikhruytka@homebox:~> wc c_bnf_grammar
222 787 6591 c_bnf_grammar
mikhruytka@homebox:~> wc pascal_bnf_grammar
215 945 6874 pascal_bnf_grammarнестыковочка, товарищ. паскаль на триста байт длиннее.
Это из-за бегин-эндов против {}.
:D
>C/С++ придумали идиоты для идиотов.Такое мог только идиот ляпнуть. Своим флудом ты позоришь программистов вообще и джавистов в частности.
>>C/С++ придумали идиоты для идиотов.
> Такое мог только идиот ляпнуть. Своим флудом ты позоришь программистов вообще и
> джавистов в частности.он не джавист, он фрибэсэдэоид, а про java он вспоминает когда нужно срочно тему поменять
Лолшто? Какие тома? Во FreeBSD количество кода на Си++ пересчитать на пальцах одной руки. Всё остальное голый Си, который достаточно простой и никаких томов не требует.
> C/С++ придумали идиоты для идиотов.Ох, то-есть ты пользуешься системой которая написана на яп от идиотов, для идиотов? Волшебно! И кто ты после этого? :)
>> C/С++ придумали идиоты для идиотов.
> Ох, то-есть ты пользуешься системой которая написана на яп от идиотов, для
> идиотов? Волшебно! И кто ты после этого? :)Мазохист? :)) На других компилируемых языках почему-то то, чем я пользуюсь, не пишут. Ну, или пишут для других платформ (Android, например).
C/С++ нужно законодательно запретить для написания приложений Рабочего стола. Оставить только для системы (ВМ) и кодеков. По возможности заменить модулой-3 (мечты-мечты). :)
изя, твои мечты настолько безграмотны и глупы, что ты можешь баллотироваться как минимум в депутаты.
> По возможности заменить модулой-3 (мечты-мечты). :)Можно поинтересоваться, сколько Вы на M3 уже наваяли околосистемного кода? Писал на M2 довольно долго и много, читал исходники JPI TopSpeed'овских библиотек (они их давали). Мечты нашёл весьма эээ... оригинальными.
>> По возможности заменить модулой-3 (мечты-мечты). :)
> Можно поинтересоваться, сколько Вы на M3 уже наваяли околосистемного кода?На Modula-3 я ни строчки не написал.
> Писал на M2 довольно долго и много, читал исходники JPI TopSpeed'овских библиотек
> (они их давали). Мечты нашёл весьма эээ... оригинальными.И в чём же их "оригинальность", позвольте поинтересоваться? На Oberon, рассказывали, какая-то электростанция управляется в Южной Америке и нормально.
> На Modula-3 я ни строчки не написал.Какая досада (ц)
> И в чём же их "оригинальность", позвольте поинтересоваться?
В том, что как минимум M2 -- язык неплохой, но весьма занудный (начиная с DEFINITION MODULE/IMPLEMENTATION MODULE) и заточенный под приложения, а вовсе не системный код (типизация строжайшая, с ассемблерными вставками особых удобств не наблюдал -- по крайней мере в библиотеке работы с текстовыми окнами из реализации J&P -- и похоже, что это тоже так и задумано).
> На Oberon, рассказывали, какая-то электростанция управляется в Южной Америке и нормально.
Oberon не встречался, да и задачи АСУП немножко отличаются от обыденных, насколько понимаю. Интересно, он у них прямо на железе ездит или поверх ещё чего-то?..
oberon хорош, на самом деле. ну, на нём же одноимённую ОС написали. местами несколько зануден для низкого уровня, но не более.точнее, oberon 2, а то oberon Вирт совсем уж минималистичным сделал.
component pascal, кстати, как идейный наследник oberon, весьма и весьма. тот же BlackBox Component Builder был бы обалденной средой… если бы его нормально допилили и сделали кроссплатформенным.
>> На Modula-3 я ни строчки не написал.
> Какая досада (ц)Как раз для мечты подходящее основание. :)
>> И в чём же их "оригинальность", позвольте поинтересоваться?
> В том, что как минимум M2 -- язык неплохой, но весьма занудный
> (начиная с DEFINITION MODULE/IMPLEMENTATION MODULE) и заточенный под приложения, а вовсе
> не системный код (типизация строжайшая, с ассемблерными вставками особых удобств не
> наблюдал -- по крайней мере в библиотеке работы с текстовыми окнами
> из реализации J&P -- и похоже, что это тоже так и
> задумано).Говорят, Modula-3 значительно отличается от своего предшественника своей практичностью.
>> На Oberon, рассказывали, какая-то электростанция управляется в Южной Америке и нормально.
> Oberon не встречался, да и задачи АСУП немножко отличаются от обыденных, насколько понимаю.А чего ещё от компов нужно? Пусть работают контроллерами тех задач, для которых поставлены — не больше и не меньше. ПО должно быть компактным и эффективным. А то понаписали универсальных библиотек на все случаи жизни и пытаются это всё запихнуть в коробочку, где оно "не пришей к собаке пятую ногу". Расхолаживает человека мнимая универсальность вычислительной техники, функции не по месту, "мёртвый код" и т.д.. Вон, из-за этой универсальности уже отказались от экспансии на другие планеты и космических исследований с непосредственным участием человека.
Я до сих пор не понимаю, зачем в сотовых телефонах нужна операционная система общего назначения, если достаточно специализированной.
> Интересно, он у них прямо на железе ездит или поверх ещё чего-то?..
Специализированная ОС, как бы.
>На Oberon, рассказывали, какая-то электростанция управляется в Южной Америке и нормально.не, там используется Component Pascal
>[оверквотинг удален]
>> ставлю софт из пакетов, а только из портов...
> Я тоже только из сорцов собираю. Тем не менее, на днях заметил
> подозрительную активность среди системных приложений.
> Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла
> нормально завершить, либо долго завершала работу.
> В базовой системе FreeBSD 9.1-PRERELEASE из исходных текстов, полученных через CVS, не
> мог собраться загрузочный код с помощью системных GCC и Clang —
> не совпадал требуемый размер — похоже на неумелое внедрение бэкдора в
> том числе в загрузочный код.
> http://www.opennet.ru/openforum/vsluhforumID3/87111.html?n#445изя, пока признаться что ты ушел в убунтоводы. ибо такой тупизм только от них наблюдал (и наблюдаю).
тебе в той ветке, кстати, ответили правильно, из-за чего это. Но ты видимо Очень Занятой Человек, для того чтобы читать эти их рассылки на каком-то там английском, тогда просто поверь тем парням которые там писали комменты.
Сам-то читал, хамоватое животное?
изя, смирись уже: даже бсдшники, которых природа обделила нормальным интеллектом, считают тебя тупым и не хотят с тобой знаться. изя, тебя же гнобят практически на всех форумах, где ты появляешься. напряги остатки мозга и задумайся: может, это не потому, что ты непризнаный гений и тебе все завидуют, а потому, что ты действительно дурак?
> Сам-то читал, хамоватое животное?я-то как раз читал. и ответы и рассылку.
а вот кто тут еще "хамоватое животное" вопрос большой. но, кмк, ты само спалилось. так что отвечу просто: возвращайся в бобруйсг.
>> Сам-то читал, хамоватое животное?
> я-то как раз читал. и ответы и рассылку.
> а вот кто тут еще "хамоватое животное" вопрос большой. но, кмк, ты
> само спалилось. так что отвечу просто: возвращайся в бобруйсг.а чочо там в рассылках кстати? я заглянул в freebsd-security но там только два вялых тредика "Все на портснап!" и "А давайте переедем на гит и нам будет щасте"
я что-то пропустил, где-то есть еще полезные обсуждения?
>>> Сам-то читал, хамоватое животное?
>> я-то как раз читал. и ответы и рассылку.
>> а вот кто тут еще "хамоватое животное" вопрос большой. но, кмк, ты
>> само спалилось. так что отвечу просто: возвращайся в бобруйсг.
> а чочо там в рассылках кстати? я заглянул в freebsd-security но там
> только два вялых тредика "Все на портснап!" и "А давайте переедем
> на гит и нам будет щасте"а про гит тот чувак что-то сильно много букав написал, мне влом читать было, отчасти из-за того что сильно дохера листов он в cc поставил, обычно это либо тупые троли типа arisu либо хомячки которым "я-то не юзаю вашу систему, но я вам расскажу что нужно и как нужно делать":)
> я что-то пропустил, где-то есть еще полезные обсуждения?речь о том что комп изи ПОХАЧЕЛИ крутые ХАКИРЫ. вон он выше писал "Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла нормально завершить, либо долго завершала работу."
"В базовой системе FreeBSD 9.1-PRERELEASE из исходных текстов, полученных через CVS, не мог собраться загрузочный код с помощью системных GCC и Clang — не совпадал требуемый размер — похоже на неумелое внедрение бэкдора в том числе в загрузочный код."
> "В базовой системе FreeBSD 9.1-PRERELEASE из исходных текстов, полученных через CVS, не
> мог собраться загрузочный код с помощью системных GCC и Clang —
> не совпадал требуемый размер — похоже на неумелое внедрение бэкдора в
> том числе в загрузочный код."аа, ясно. не, это не полезное обсуждение, это просто смешной камент.
"По окончании эксперимента подопытные мыши, принимавшие пиво, убили и съели самцов!!!"
Он, судя по размашистому коменту про Си, по-моему, просто из гостей вернулся в приподнятом настроении духа. Как писал граф Толстой, "И потом, господа офицеры только что поужинали!"
> Он, судя по размашистому коменту про Си, по-моему, просто из гостей вернулся
> в приподнятом настроении духа. Как писал граф Толстой, "И потом, господа
> офицеры только что поужинали!"... или товарищ Луговский был прав, изрекая "java is designed to be understandable by brain-damaged people.".
>> Он, судя по размашистому коменту про Си, по-моему, просто из гостей вернулся
>> в приподнятом настроении духа. Как писал граф Толстой, "И потом, господа
>> офицеры только что поужинали!"
> ... или товарищ Луговский был прав, изрекая "java is designed to be
> understandable by brain-damaged people.".Java вобрала в себя весь предыдущий опыт структурного и объектно-ориентированного программирования и поставила эту парадигму инженерного подхода и разработки программ во главу угла. Однако сверхвозможности языка программирования к абстрагированию предметной области в узком ключе ООП на практике приводят к громадному оверхеду и реализации ненужных, никогда не используемых фич, что мы и наблюдаем в большинстве Java-программ.
Да.
И она на 2 месте.
После флэша по дыркам.Хотя может и на 3-м. После дотнета.
Но мс так пиарит дотнет, что все данные дискредетированы.
> Java вобрала в себя весь предыдущий опыт структурного и объектно-ориентированного программированияЛолшто? Тупой примитивный язык, не то что не вобравший, а далеко не дотягивающий до того же Smalltalk. В котором, кстати, уже более десятилетия до того были виртуальные машины, которые жаба тупо сперла и распиарила как
> и поставила эту парадигму инженерного подхода и разработки программ во главу
> угла.Лолшто? Это язык, создававшийся для утилизации индусов-быдлокодеров, чтоб их хоть как-то можно было применить. Самолеты они как ниасиливали, так и ниасиливали, но вывоз мусора на камазах теперь хоть кто-то делает.
> Однако сверхвозможности языка программирования к абстрагированию предметной области
> в узком ключе ООП на практике приводят к громадному оверхеду и
> реализации ненужных, никогда не используемых фич, что мы и наблюдаем в
> большинстве Java-программ.If Java had true garbage collection, most programs would delete themselves upon execution (c)
чёрт, зачем ты умные вещи говоришь?
>[оверквотинг удален]
>> ставлю софт из пакетов, а только из портов...
> Я тоже только из сорцов собираю. Тем не менее, на днях заметил
> подозрительную активность среди системных приложений.
> Прикладные задачи частенько валились и оставляли после себя .core-файлы, система не могла
> нормально завершить, либо долго завершала работу.
> В базовой системе FreeBSD 9.1-PRERELEASE из исходных текстов, полученных через CVS, не
> мог собраться загрузочный код с помощью системных GCC и Clang —
> не совпадал требуемый размер — похоже на неумелое внедрение бэкдора в
> том числе в загрузочный код.
> http://www.opennet.ru/openforum/vsluhforumID3/87111.html?n#445аххха без этого камента тредик был бы неполноценным ящитаю.
Ну 9.1, у меня тоже регулярно не собирается, обновлюсь - соберется, еще раз обновлюсь- не соберется, уж очень активно его пилят...
да собирается там всё.
вот собирается или нет это уже отдельная песня, для примера pkgng ставил только через git: i386 собралось, а на AMD duron не собралось ((())), пришлось юзать portsnap и так ставить pkgng
Надеюсь сервера не на линуксе работали? А то из новости не совсем ясно.
Я правильно понимаю, что пользователи portsnap тоже под угрозой?
> Я правильно понимаю, что пользователи portsnap тоже под угрозой?каким боком portsnap к машинкам где крутился tinderbox и собирал пакеты?;)
тигар> нету там ничего полезного. тереть можно от первого комента где изя перфорс упомянул, сравнив его и ветку фри(-CURRENT).Ой, баран! Я и не думал их сравнивать.
В перфорсе freebsd.org лежат программные решения, которые не включены в -CURRENT. Публичные разработки, к примеру, geom raid5 на свой страх и риск можно было получить и заюзать в своей системе. Кто-то пользовался этой возможностью, кто-то нет — по причинам экспериментального характера, не связанным с мейнстримом и целевой поддержкой, ошибками сборки/работы в другой версии ОС и т.д..
Интересный эффект вызван упоминанием "perforce" у тебя в голове. Как-будто какой-то выключаетль включился и ты полез в Google искать что-то, не дочитав исходное сообщение. :)) Ну, баранам это простительно.
изенька, снизь температуру своих говен и признай что обосрался. а на тему животных я уже писал тебе, чтобы ты возвращался в бобруйсг.на всякий случай, вдруг тебя уже отпустило, цитата (твои слова): "Это perforce и -CURRENT активно пилят,"
если и сейчас не дошло то, о чем я тебе пишу, пожалуй, можешь не отвечать, ты уже показал себя.
что до geom_raid5 - он есть и в svn, если хватит мозгов - найдешь самостоятельно, что до "полез в Google" - тут ты сильно ошибаешься, я как-то и без этого поисковика и сайта который ты упомянул (лиссяра, лол) знаю что такое perforce, и где оно в .freebsd.org
Коллеги, если вдруг что ещё сочтёте лишним, поразмыслив -- сообщите.
Жалко, умирает проект. Да и линукс движется в том же направление. Хотя и то и другое барахло...
> Жалко, умирает проект. Да и линукс движется в том же направление. Хотя
> и то и другое барахло...Лучший камент форума :-D
> Жалко, умирает проект. Да и линукс движется в том же направление. Хотя
> и то и другое барахло...Вы знаете, мы все умрём. Со временем.
> Вы знаете, мы все умрём."Только ты раньше, а я позже" (с) Старицкий "За двумя зайцами"