The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Проект по продвижению в ядро Linux новых технологий активной..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от opennews (??) on 06-Ноя-15, 12:15 
Кэйс Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты ChromeOS, объявил (http://openwall.com/lists/kernel-hardening/2015/11/05/1) о создании проекта Kernel Self Protection Project (http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Pro...), в рамках которого планируется сформировать сообщество для развития и продвижения в основное ядро Linux технологий активной защиты, большинство из которых уже подготовлены в рамках проектов PaX (https://pax.grsecurity.net/) и Grsecurity (https://grsecurity.net/). Финансирование и ресурсы для проведения работ будут предоставлены организацией Linux Foundation и участниками программы  Core Infrastructure Initiative (https://www.opennet.ru/opennews/art.shtml?num=39635).


Создание нового проекта поможет обойти проблемы с неэффективным процессом (http://www.washingtonpost.com/sf/business/2015/11/05/net-of-.../) координации устранения уязвимостей в  ядре, которые исправляются наряду с обычными ошибками без уделения им дополнительного внимания и не приводя к формированию внеплановых релизов. В частности, в сообществе разработчиков ядра системный механизм выявления и устранения проблем на ранних стадиях, до момента когда злоумышленники получат доступ к информации о потенциальной уязвимости. Кроме того, отсутствует ответственный за безопасность ядра.


Позиция Линуса Торвальдса сводится к тому, что уязвимости исправляются  в рамках обычного цикла принятия исправлений, без дополнительного приоритета и привлечения внимания. Задача по оперативной доставке исправлений уязвимостей и выделению потенциальных проблем с безопасности из общего потока правок ложится на команды, занимающиеся поддержкой пакетов с ядром для дистрибутивов Linux.  Таким образом, информация об исправлениях, которые могут быть связаны с уязвимостями становится доступна одновременно и для злоумышленников и для команд по обеспечению безопасности дистрибутивов. Более того, жизненный цикл уязвимостей в ядре достаточно велик и проблемы могут всплывать лишь спустя годы после своего появления. Используя методы статического анализа и fuzzing-тестирования злоумышленники имеют возможность выявлять проблемы до их обнаружения и исправления разработчиками ядра.

В таких условиях привычная работа по обеспечению безопасности через оперативное исправление уязвимостей становится неэффективной. Уязвимость в ядре может свести на нет все механизмы контроля доступа и средства защиты, работающие на уровне пользователя. Включение в ядро активных механизмов защиты позволит затруднить проведение новых атак и блокировать эксплуатацию ещё неисправленных уязвимостей. Вместо противодействия конкретным уязвимостям гораздо выгоднее блокировать целые классы проблем, такие как переполнения стека, целочисленные переполнения, переполнения кучи, проблемы с форматированием строк, утечка указателей ядра и неинициализированные переменные.

Среди возможностей активной защиты, которые рассматриваются для добавления в первую очередь, отмечаются использование gcc-плагинов и патчей PAX_SIZE_OVERFLOW, PAX_REFCOUNT, PAX_USERCOPY, GRKERNSEC_KSTACKOVERFLOW, PAX_MEMORY_STACKLEA, PAX_CONSTIFY_PLUGIN, GRKERNSEC_HIDESYM, PAX_KERNEXEC  и PAX_MEMORY_UDEREF. Из желательных для блокирования методов эксплуатации выделяются определение размещения ядра в памяти, перезапись текста, перезапись указателей на функции, инициирования из ядра выполнения кода в пространстве пользователя и доступа к данным в пространстве пользователя.

URL: http://openwall.com/lists/kernel-hardening/2015/11/05/1
Новость: http://www.opennet.ru/opennews/art.shtml?num=43274

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект по продвижению в ядро Linux новых технологий активной..."  +15 +/
Сообщение от Аноним (??) on 06-Ноя-15, 12:15 
Лучшая защита — нападение. Ядро решительно пресекать потуги злоумышленника.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проект по продвижению в ядро Linux новых технологий активной..."  +13 +/
Сообщение от Аноним (??) on 06-Ноя-15, 12:25 
На самом деле - активная защита - это главная ошибка МС-ких дистростроителей (Windows делателей) в районе Vista.
Взять ту же WinXP - после SP3 там активна, по умолчанию, активная защита - в результате памяти жрет как конь (особенно дрова), проц грузится периодически под 100 на задачах, где ранее было всё тихо, а программы подлагивают при активном переключении (на SP2 без защиты - все отлично).
В Vista-е включили по умолчанию как результат - полный фейл. В 7-ке вначале дождались популяризации, а потом включили после SP1.
Активная защита нужна только если на это есть выделенные ресурсы (отдельное ядро + 25% памяти) сервера только под это дело. В реальности в ядре такого добра по умолчанию не надо, а в случае необходимости должно легко доставляться в виде молуоя при сборке (уже сейчас есть несколько решений).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Проект по продвижению в ядро Linux новых технологий активной..."  +7 +/
Сообщение от Аноним (??) on 06-Ноя-15, 12:37 
лучше бы кнопку запилили, вкл/выкл активной защиты)))
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

62. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от pavlinux (ok) on 07-Ноя-15, 03:09 
> Кроме того, не назначен ответственный за безопасность ядра.

Назначаю Кису Кука (Kees Cook) ответственным за безопасность ядра! Киса, ждём патчи!!!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

63. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от pavlinux (ok) on 07-Ноя-15, 03:10 
> Кроме того, не назначен ответственный за безопасность ядра.

Назначаю Кису Кука (Kees Cook) ответственным за безопасность ядра! Киса, ждём патчи!!!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от dmitrmax on 06-Ноя-15, 13:27 
А что такое активная защита в виндоус и как её отключить. Читал ченджлоги по SP1 для семерки, там никаких подробностей нету.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Проект по продвижению в ядро Linux новых технологий активной..."  –12 +/
Сообщение от fooser on 06-Ноя-15, 15:25 
меньше слушайте линуксоидов.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

45. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от ананим.orig on 06-Ноя-15, 21:27 
Да-да, слушайте эни-кеев.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

95. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от ананим.orig on 08-Ноя-15, 18:20 
зыж
а почему? потому что эни-кей не врёт.
он мало что знает, но в том малом, что знает — не врёт ☺
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

26. "Проект по продвижению в ядро Linux новых технологий активной..."  +4 +/
Сообщение от Аноним (??) on 06-Ноя-15, 17:15 
Активная защита:
1. Программная реализация DEP https://support.microsoft.com/ru-ru/kb/875352
2. Антивирус
3. Технологии защиты из IE (многие используются там, где не надо)

Этого мало? Есть ещё дофига всяких "фишек", чтобы недопустить доступа из другого приложения по нужному адресу (чтобы невозможно было рассчитать адрес выполнения, посмотрев на исходник exe файла к примеру).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Проект по продвижению в ядро Linux новых технологий активной..."  +10 +/
Сообщение от клоун on 06-Ноя-15, 18:18 
Мда...

Память для компьютера это просто набор адресов. Программа может сделать ошибочный переход и получить абы что. Вирус может записать себя по фиксированному адресу чтобы позднее передать управление. Есть программные (сегменты кода, данных и стека) и аппаратные (DEP) средства решения этой проблемы.

Если управляющие данные ОС находятся по фиксированному адресу, то злоумышленник знает куда ему нужно попасть. Сейчас ОС помещают код и данные в случайные блоки памяти, а иногда даже перемешивают их в процессе работы.

Раньше ОС инициализировала все дескрипторы, которые есть, а использовала столько, сколько нужно. Напр. всего в GDT 256 дескрипторов, а нужно только 8. Этим пользовались вирусы чтобы повысить свои привилегии, банально дописывая себя на пустое место, которое к тому же находилось по фиксированному адресу. Сейчас контроль за использованием дескрипторов значительно ужесточился.

Раньше в ОС для простоты создавали только 3 области памяти, каждая размером со всю доступную память: для кода, данных и стэка. Сейчас десятки областей, более строго контролируя чтобы они использовались по назначению.

Когда-то было принято при освобождении памяти просто помечать её свободной. Затем - очищать при выделении, чтобы вредоносная программа не получила доступа к данным прежней программы. Сейчас - очищать при освобождении.

Всё это, и десятки других технических решений, называют активной защитой ядра ОС от злонамеренных действий программ.

Антивирусы на уровне ядра не работают и к активной защите отношения не имеют.

Технологии защиты браузеров (песочницы, виртуализация и пр.) в ядре малоприменимы.

Основная идея мессаджа в изменении подхода к разработке ОС чтобы безопасность была на первом месте. Так, в случае обнаружения критичной ошибки раньше о ней делали новость, а исправляли в ближайшем плановом обновлении (или когда исправят). Сейчас же принято скрывать информацию о неисправленных ошибках до момента их исправления, уделять повышенное внимание исправлению ошибок (а не напр. новому функционалу), выпускать внеочередные патчи для критичных ошибок.

> Позиция Линуса Торвальдса сводится к тому, что уязвимости исправляются в рамках обычного цикла принятия исправлений, без дополнительного приоритета и привлечения внимания

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

38. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 06-Ноя-15, 19:23 
> Антивирусы на уровне ядра не работают и к активной защите отношения не имеют.

А как же реализована в антивирусе, например, защита собственных файлов и директорий?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

47. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от клоун on 06-Ноя-15, 21:56 
В ОС реализована многоуровневая система драйверов. Конкретно разделяют драйвера физических устройств (PDO) и драйвера-фильтры (FDO). Антивирус устанавливает множество FDO, фильтрующих данные, поступающие непосредственно от драйверов. Чем более серьёзный антивирус, тем более низкоуровневые драйверы он фильтрует.

Фильтрация подразумевает, что драйвер встаёт в стек драйверов, получает все запросы и ответы, при этом может изменять данные и по желанию передавать (или не передавать) управление вверх и вниз по стеку. Напр. когда поступает запрос на изменение файла, антивирус определяет что это его родные файлы и возвращает отказ.

К ядру ОС это не имеет никакого отношения.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от V_ctor on 06-Ноя-15, 23:43 
Только FDO функциональный драйвер на скок я понмю, а фильтр - FiDO. Во всяком случае у Они вроде так. Хотя давно было. Могу и напутать
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

59. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от Аноним (??) on 07-Ноя-15, 02:31 
Ага, а синий экран смерти плохой драйвер выдает. Не говорите глупостей - монолитное ядро позволяет драйверу устроить армагеддон
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

65. "Проект по продвижению в ядро Linux новых технологий активной..."  –6 +/
Сообщение от kai3341 (ok) on 07-Ноя-15, 09:47 
> монолитное ядро позволяет драйверу устроить армагеддон

Когда в последний раз Linux был монолитным?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

86. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от Аноним (??) on 08-Ноя-15, 15:06 
>> монолитное ядро позволяет драйверу устроить армагеддон
> Когда в последний раз Linux был монолитным?

С рождения.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

110. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от ананим.orig on 10-Ноя-15, 04:24 
>> Антивирусы на уровне ядра не работают и к активной защите отношения не имеют.
> А как же реализована в антивирусе, например, защита собственных файлов и директорий?

1. Файлы (и директории) находятся в файловой системе, к которой вполне имеется доступ из юзер-спейса при наличии соответсвующих полномочий. Которая (фс) может быть где угодно, а не только на блочном устройстве «C://», главное чтобы её можно было смонтировать.
(гуглите на тему «антивирус+ntfs+потоки», например http://habrahabr.ru/post/116506/)
2. Просматривать ФС на содержание зараженных файлов не достаточно, нужно ещё и проверять память УЖЕ запущенных на выполнение процесов (включая дрова), ПЛЮС мониторить события, происходящие в системе с подозрительной активностью — так называемая проактивная защита Пр. так https://xakep.ru/2014/12/12/events-monitoring/
3. Сабж же совсем о другом — НЕ выявлять, наблюдать за выполнением (и размножением) вирусов в системе, а внедрить в системе такие механизмы, «с помощью которых программам разрешается выполнять только те действия, которые необходимы, исходя из предоставляемой ими функциональности, но не более того». В идеале такую программу просто нельзя «заразить».
Ну вот как-то так. См. например https://ru.wikipedia.org/wiki/PaX, https://ru.wikipedia.org/wiki/Grsecurity
Да и вообще — Hardened Gentoo: описание http://habrahabr.ru/post/13094/
Т.е. это не «антивирус», это «иммунитет» (https://www.google.ru/search?q=%D0%B8%D0%...).

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

116. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 13-Ноя-15, 14:42 
>> Антивирусы на уровне ядра не работают и к активной защите отношения не имеют.
> А как же реализована в антивирусе, например, защита собственных файлов и директорий?

не слушайте его, просто автор не в теме.
плюс "антивирусы бывают разные". некоторые и помимо системных сервисов и драйверов нулевого кольца("уровня ядра", Карл !!) еще и на уровне, недосягаемом для ОС Вообще, работают. например McAffe - SMM/SMI юзает чтобы с буткитами/APT борроться.


Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

60. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 07-Ноя-15, 02:40 
DEP - это технология. Аппаратная ее реализация не понравилась мс и они сделали программную. Жестко она тормозит.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

67. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от dmitrmax on 07-Ноя-15, 13:18 
https://support.microsoft.com/ru-ru/kb/875352 - тут утверждается, если я правильно понял, что программная реализация используются там, где нет аппаратной. Откуда у вас сведения о том, что микрософту что-то там не понравилось?
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

111. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от ананим.orig on 10-Ноя-15, 04:32 
DEP — это всего-лишь предотвращение выполнения данных из области памяти, помеченной как «только для данных».
Сабж гораздо (ГОРАЗДО!) шире.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

100. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 09-Ноя-15, 04:30 
Не мог поверить, что это написал клоун. Очень полезный ответ.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Проект по продвижению в ядро Linux новых технологий активной..."  +6 +/
Сообщение от ананим.orig on 06-Ноя-15, 21:22 
Чушь это всё.
Х/з (уже х/з) из-за чего у мс в висте (но в частности из-за кривого компосайтинга с двойной буферизацией, новой кривой архитектуры драйвейров, например хэнгов нвидия, недоделанной mci https://ru.wikipedia.org/wiki/Message_Signaled_Interrupts — это что ещё помнится), но в линухе сабж имеет очень низкий оверхед.
Говорю как активно использующий харденед генту уже не один год, где всё это есть — https://wiki.gentoo.org/wiki/Hardened_Gentoo/ru
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

112. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от Максим (??) on 10-Ноя-15, 14:29 
Поставил себе Alpine Linux - там тоже PaX и grsec
Ничего не тормозит.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

104. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 09-Ноя-15, 16:00 
> На самом деле - активная защита - это главная ошибка МС-ких дистростроителей .... в результате памяти жрет как конь (особенно дрова), проц грузится периодически под 100 на задачах, где ранее было всё тихо, а программы подлагивают .....
> Активная защита нужна только если на это есть выделенные ресурсы (отдельное ядро > + 25% памяти) сервера только под это дело.

Лично пользуюсь проактивной защитой PAX+Grsec около 10 лет и скажу что та нагло лжёшь!

Вот пример дистров с проактивной защитой:
http://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/Linux/CD/D.../
http://alpinelinux.org/

Тормозов небудет если нормальная архитектура процессора и есть необходимые инструкции проца.

Пример NX bit и постраничная защита памяти процессором PAX_PAGEEXEC:
На архитектурах alpha, avr32, ia64, parisc, sparc, sparc64, x86_64 and i386
с аппаратной поддержкой non-executable bit падения производительности отсутствует.
На архитектуре ppc падение произхводительности почти незаметно.
На архитектуре Intel P4 core based CPUs падение производительности очень большое...
https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity...

В современных процессорах Intel, AMD, ARM много стандартных средств PAX+Grsec реализовано аппаратными инструкциями без падения производительности! Производители процов прислушиваются к мнению безопасников и охотно включают необходимые фичи в свои процы, а Тордвальс неприслушивается?!

> В реальности в ядре такого добра по умолчанию не надо, а в случае необходимости
> должно легко доставляться в виде молуоя при сборке (уже сейчас есть
> несколько решений).

Проактивная система безопасности необходима по умолчанию везде, кроме систем отвечающих за жизнь человека (медецина, авиация) и управляющих производством (атомные станции, ...) где её использовать нельзя по определению!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 06-Ноя-15, 17:48 
> Лучшая защита — нападение. Ядро решительно пресекать потуги злоумышленника.

Сваливаясь в панику при любой попытке сделать сискол.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Нанобот (ok) on 06-Ноя-15, 21:41 
>Лучшая защита — нападение. Ядро решительно пресекать потуги злоумышленника.

Предлагаю заменить системный вызов execve на unlink.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

105. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от alex (??) on 09-Ноя-15, 17:22 
Когда есть дыры в защите прошивок мам и эксплуатация SMM, это мало добавит приватности и защите.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от chinarulezzz (ok) on 06-Ноя-15, 12:23 
>Финансирование и ресурсы ...  предоставлены ... и участниками программы Core Infrastructure Initiative.
>В число участников инициативы вошли такие компании, как Google, Amazon, Microsoft, Intel, IBM, Cisco, Dell, Facebook, Fujitsu, NetApp, Rackspace и VMware

Google - раз. Кто еще? Это не засекреченная информация?))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от Andrey Mitrofanov on 06-Ноя-15, 12:36 
>>Финансирование и ресурсы ...  предоставлены ... и участниками программы Core Infrastructure Initiative.
>>В число участников инициативы вошли такие компании, как Google, Amazon, Microsoft, Intel, IBM, Cisco, Dell, Facebook, Fujitsu, NetApp, Rackspace и VMware
> Google - раз. Кто еще? Это не засекреченная информация?))

Майкрософт же, самый, са-а-а-амый!, большой друг безопасности линукса им.его фундейшена.

http://techrights.org/2015/10/27/sourceclear-and-microsoft/
http://techrights.org/2015/10/22/extend-freesw-with-microsof.../
http://techrights.org/2015/10/21/openssh-insecure-by-design-.../
http://techrights.org/2015/10/21/red-hat-and-black-duck/
http://techrights.org/2015/10/16/perception-of-windows-security/

http://techrights.org/category/security/

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Проект по продвижению в ядро Linux новых технологий активной..."  +10 +/
Сообщение от Andrey Mitrofanov on 06-Ноя-15, 14:09 
> http://techrights.org/2015/10/27/sourceclear-and-microsoft/

Отрывок, CC-BY-SA (c) 2015 Dr. Roy Schestowitz
Преревод, CC-BY-SA (c) 2015 Andrey Mitrofanov

Со всеми OpenLogic, Black Duck, Codenomicon и прочими связанными с Майкрософт (часто и созданными людьми из Майкрософт и/или руководимыми людьми из Майкрософт) компаниями, которые порочат СПО мы с уверенностью можем сказать, что SourceClear не станет исключением. Они обслуживают кампанию по отвлечению внимания от встроенной и намеренной небезопасности проприертарного ПО наподобие Windows, включая небезызвестную Vista 10,  закладки в которой - явное преуменьшение, в ней всё записывается и передаётся (полная удалённая слежка), даже без взлома или доступа через закладки.

Майкрософт не может производить безопасное ПО из-за "национальной безопасности", так что мириады закладок - одна из целей авторов. Что и позволяет Майкрософт поддерживать "особые отношения" с государством, вот только что она заключила контракт с печально известной компанией Taser [1].

И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки. Множестово броских заголовков оглашают окрестности каждый раз, когда ошибка безопасности обнаруживается в Андроиде (заметьте - только в последние несколько лет). Мы полагаем, это часть PR-кампании, в которой несомненно участвуют Майкрософт и её партнёры. И часто именно они штампуют имена и эмблемы, и сопутствующую негативную шумиху. █

---
With OpenLogic, Black Duck, Codenomicon and various other Microsoft-connected (often created by Microsoft people and/or managed by Microsoft people) firms that badmouth FOSS we sure expect SourceClear to be no exception. They serve to distract from the built-in and intentional insecurities of proprietary software such as Windows, including quite famously Vista 10 where back doors are an understatement because everything is recorded and broadcast (total remote surveillance), even without a breach or an access through the back doors.

Microsoft cannot produce secure code because ‘national security’, i.e. many back doors, are a design goal. It helps Microsoft establish a ‘special relationship’ with the state and in fact it just got a contract from a highly notorious company, Taser [1].

Here we are in 2013 onwards — a time when simple bugs in FOSS (a defect affecting one line or two) get all the limelight and receive names, logos etc. whereas Microsoft’s critical zero-day flaws hardly make the headlines. There are many high-impact headlines that make a huge deal of fuss every time a security bug is found in Android (again, just in recent years). We suppose it’s part of a PR campaign in which Microsoft and its partners evidently participate. They are often the ones who come up with the names, logos, and much of the accompanying negative publicity.

1. Microsoft Helping to Store Police Video From Taser Body Cameras
  http://nsnbc.me/2015/10/27/microsoft-helping-to-store-police.../

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

39. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от chinarulezzz (ok) on 06-Ноя-15, 20:03 
Спасибо за перевод. Интересный материал.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

117. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от freehck email(ok) on 02-Фев-17, 13:49 
Класс! Спасибо за качественный перевод, Андрей.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Проект по продвижению в ядро Linux новых технологий активной..."  –4 +/
Сообщение от Аноним (??) on 06-Ноя-15, 14:44 
может, хватит уже тут спамить г-ностатьями с сайта этого "доктора"? Опенсорсу нужны не "адвокаты", или как он там себя называет, а разработчики.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Andrey Mitrofanov on 06-Ноя-15, 14:46 
> может, хватит уже тут спамить г-ностатьями с сайта этого "доктора"? Опенсорсу нужны
> не "адвокаты", или как он там себя называет, а разработчики.

Почему меня должно волновать, чего там нужно тебе и другу твоему опенсорцу? И нет не хватит -- тебя только начало пробирать.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

55. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Ноя-15, 00:44 
> может, хватит уже тут спамить г-ностатьями с сайта этого "доктора"?
> Опенсорсу нужны не "адвокаты", или как он там себя называет, а разработчики.

Когда порочат труды разработчиков, одними трудами не отделаешься (мы это проходили на своей шкуре).  Ну и RTFM Advocacy HOWTO.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

3. "Проект по продвижению в ядро Linux новых технологий активной..."  +8 +/
Сообщение от Аноним (??) on 06-Ноя-15, 12:25 
вот так начинаются тормоза
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от IZh. on 06-Ноя-15, 13:09 
make menuconfig никто не отменял.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от РОСКОМУЗОР on 06-Ноя-15, 16:05 
Вот кому нужна "активная защита" пусть и е...ся с make-ми.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

80. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Led (ok) on 07-Ноя-15, 21:46 
> make menuconfig никто не отменял.

Твой же, systemd'фил, поттер и "отменил".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

96. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 08-Ноя-15, 18:21 
>> make menuconfig никто не отменял.
> Твой же, systemd'фил, поттер и "отменил".

В systemd? Есть use-флаги, соответствующие опциям configure. В ядре? Это ты спятил.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

99. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Led (ok) on 08-Ноя-15, 23:06 
>>> make menuconfig никто не отменял.
>> Твой же, systemd'фил, поттер и "отменил".
> В systemd? Есть use-флаги, соответствующие опциям configure. В ядре? Это ты спятил.

man cgroup, дурачок.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

7. "Проект по продвижению в ядро Linux новых технологий активной..."  +7 +/
Сообщение от Аноним (??) on 06-Ноя-15, 12:52 
Почему -rt живёт себе в отдельной ветке и не выделывается а этим обязательно надо в mainline? Тормоза-по-дефолту - не нужны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Анонимус_б6_выпуск_3 on 06-Ноя-15, 13:18 
-rt тихо ждет, пока откинется Линус, а вот тогдааааа...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

68. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Ноя-15, 14:37 
rt медленно вливается в основное ядро, по мере его готовности принимать такие патчи.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

9. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Аноним (??) on 06-Ноя-15, 13:10 
> Вместо противодействия конкретным уязвимостям гораздо выгоднее блокировать целые классы проблем

Феерическая глупость.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от Аноним (??) on 06-Ноя-15, 13:44 
Да, вместо того, чтобы сделать непроницаемые переборки лучше затыкивать постоянно появляющиеся течи тряпками, оторванными от штанов. Рашен-стайл - новое слово в информационной безопасности!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от p5n email(ok) on 06-Ноя-15, 14:20 
> вместо того, чтобы сделать непроницаемые переборки лучше затыкивать постоянно появляющиеся течи тряпками

За переборками - в hurd!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "Проект по продвижению в ядро Linux новых технологий активной..."  –2 +/
Сообщение от Аноним (??) on 06-Ноя-15, 17:46 
> За переборками - в hurd!

То есть, вас совсем не настораживает, что вместо ядра у вас оверинжиниренный монолитный мегаблоб с перераздутой функциональностью?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

32. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от p5n email(ok) on 06-Ноя-15, 17:56 
>> За переборками - в hurd!
> То есть, вас совсем не настораживает, что вместо ядра у вас оверинжиниренный
> монолитный мегаблоб с перераздутой функциональностью?

Может и настораживает, но он такой по дизайну. Все как бы в курсе, а на счёт блоба и перераздутой функциональности это ты что-то загнул.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

56. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 07-Ноя-15, 00:45 
> Да, вместо того, чтобы сделать непроницаемые переборки

...бишь как раз russian style...

> лучше затыкивать постоянно появляющиеся течи тряпками, оторванными от штанов.

...как это традиционно(tm) делает корпоративная америка.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

12. "Проект по продвижению в ядро Linux новых технологий активной..."  +11 +/
Сообщение от Нанобот (ok) on 06-Ноя-15, 13:40 
безопасникам важен сам процесс фапа на безопасность, в то время как для торвальдса безопасность - всего лишь один из аспектов разработки ядра. я бы не сказал, что кто-то из них неправ, просто они смотрят на вопрос с разных точек (лично мне ближе вторая)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Проект по продвижению в ядро Linux новых технологий активной..."  –3 +/
Сообщение от Andrey Mitrofanov on 06-Ноя-15, 14:41 
> безопасникам важен сам процесс фапа на безопасность, в то время как

Борцы за безопасность покажут вам, как Родину любить.
Они профессионалы, они этой борьбой на жизнь зарабатывают в отличие от вас, белоручек.
Гаррет, Кук, Морис уже встали во главе и подняли волну. Конец этому вашему дырявому линаксу. BlackDuck с Crearsource-ом многозначительно кивают.

http://mjg59.dreamwidth.org/38158.html

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от Аноним (??) on 06-Ноя-15, 14:49 
Протиратели штанов, которые никогда не сделают вам безопасно по причине зарабатывания денег!
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "Проект по продвижению в ядро Linux новых технологий активной..."  –2 +/
Сообщение от клоун on 06-Ноя-15, 18:30 
Вот недавно самолёт разбился. Красивый пример.

Одна авиакомпания (а/к) говорит: "Нам важны все аспекты", другая - "Безопасность и комфорт являются основными приоритетами нашей а/к", третья - "Мы сделаем всё для вашего удобства".

Пока самолёт не упал, разницы вроде как и нет. Но она есть.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

57. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Ноя-15, 00:48 
> Одна авиакомпания (а/к) говорит: "Нам важны все аспекты", другая - "Безопасность
> и комфорт являются основными приоритетами нашей а/к", третья - "Мы сделаем всё
> для вашего удобства".

При этом, скажем, в эль-аль не умеют сажать самолёты красиво, а шмякают об бетонку.  Да и летают не всюду, куда надо.

Ну и знаем мы тут одну "авиакомпанию", шестёрки которой постоянно норовят плеснуть солидолу на полосу перед бортами нормальных перевозчиков.

Призовая ссылка: http://mirror.yandex.ru/mirrors/ftp.linux.kiev.ua/mirrors/io.../

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

72. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Ноя-15, 14:49 
> безопасникам важен сам процесс фапа на безопасность, в то время как для торвальдса безопасность - всего лишь один из аспектов разработки ядра. я бы не сказал, что кто-то из них неправ, просто они смотрят на вопрос с разных точек (лично мне ближе вторая)

Ты же сам и ответил кто прав, ядро это не только безопасность.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от pavlinux (ok) on 06-Ноя-15, 14:37 
Гугля, пля, талант. Обвинять существующие, предлагая взамен несуществующие.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Проект по продвижению в ядро Linux новых технологий активной..."  –2 +/
Сообщение от Аноним (??) on 06-Ноя-15, 17:44 
> Обвинять существующие, предлагая взамен несуществующие.

Это называется "прогресс".
Если так не делать, то можно миллионы лет жить в пещерах и охотиться только с рогатиной.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

41. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от vi (ok) on 06-Ноя-15, 20:41 
>> Обвинять существующие, предлагая взамен несуществующие.
> Это называется "прогресс".
> Если так не делать, то можно миллионы лет жить в пещерах и
> охотиться только с рогатиной.

Вы готовы узать нам направление "прогресса"?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

61. "Проект по продвижению в ядро Linux новых технологий активной..."  +4 +/
Сообщение от pavlinux (ok) on 07-Ноя-15, 03:04 
>> Обвинять существующие, предлагая взамен несуществующие.
> Это называется "прогресс".
> Если так не делать, то можно миллионы лет жить в пещерах и охотиться только с рогатиной.

Прогресс это когда к палке привязал камень, и увидел, что оно эффективнее долбит,
а не собирать стаю и мечтать: "- вот если бы был такой материал, чтоб долбил и резал и не ломался,...
и даже название придумал - Сталь, вот было бы прекрасно..."  

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

74. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Нимано on 07-Ноя-15, 18:19 
Ну да, разведывать путь и конечную цель, сделать запасы, подготовиться – это все для ретроградов и старперов, которые не любят прогресса!

То ли дело отведать грибов и предложить сегодня же переселиться из давно обжитых пещер в светлое будущее!

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

27. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от Аноним (??) on 06-Ноя-15, 17:43 
> Grsecurity

Оно ж вроде недавно платным стало.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Аноним (??) on 06-Ноя-15, 18:02 
И как после этого root на Android получать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от Вася (??) on 06-Ноя-15, 18:51 
Не нужно пихать зондированный АНБ-шный кал в ядро, тем более по инициативе всяких гуглов и мс. Линус молодец, но насколько его хватит? Очень кому-то припекает, что в ядре Линукса нет зондов, и за 1%-ом десктопов и 80% серверов в мире нельзя удалённо следить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от Аноним (??) on 08-Ноя-15, 18:17 
Вась, лучше бы ты молчал. Очередная белка-истеричка(tm), которая Знает(tm), Как Нам Обустроить(tm) ядро. Почему не предлагаешь выкинуть из него SELinux, дитя NSA? Замечу, его туда Линус принял! Может быть, его уже давно не "хватает"?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

37. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Вася (??) on 06-Ноя-15, 18:59 
Пендосы просто помешались на анальном зондировании в последние 3 года. Практически любой проприетарный софт, начиная с 2012 года, стучит домой. Вот во времена Вин 98 даже проприетарщина была добрее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Проект по продвижению в ядро Linux новых технологий активной..."  +3 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Ноя-15, 14:46 
Это тебе сноуден напел несколько лет назад что за тобой следят, а проприетарное ПО ведёт себя так с начала 2000, как интернет достиг большого проникновения в массы, где-то примерно спустя несколько лет после бума интернет сервисов вроде icq и халявной почты.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

85. "Проект по продвижению в ядро Linux новых технологий активной..."  –2 +/
Сообщение от Qwerty (??) on 08-Ноя-15, 12:48 
>Практически любой проприетарный софт, начиная с 2012 года, стучит домой.

Весь? И что передает?

https://www.wireshark.org/
И фперед.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "Проект по продвижению в ядро Linux новых технологий активной..."  +9 +/
Сообщение от Зенитарка on 06-Ноя-15, 20:37 
"Более того, жизненный цикл уязвимостей в ядре достаточно велик и проблемы могут всплывать лишь спустя годы после своего появления.".

Прям Windows описал!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 08-Ноя-15, 15:09 
> "Более того, жизненный цикл уязвимостей в ядре достаточно велик и проблемы могут
> всплывать лишь спустя годы после своего появления.".
> Прям Windows описал!

Ты себя успокаиваешь?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аннонним on 06-Ноя-15, 21:06 
Насчет безопасности. Год назад слышал о дистрибутиве в котором по умолчанию абсолютно все пользовательские приложения запускаются  виртуальной машине. Напомните как называется, хочу глянуть допили его еще или нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Проект по продвижению в ядро Linux новых технологий активной..."  –3 +/
Сообщение от Аноним (??) on 06-Ноя-15, 21:22 
Rebecca Black Biber Xen

http://sourceforge.net/projects/rebeccablackos/

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 06-Ноя-15, 22:04 
Йоанна Рутковская? https://www.qubes-os.org/
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аннонним on 06-Ноя-15, 22:56 
Да оно! Начал качать, погоняю на вбокс, может и действительно стоит подумать о смене диста? Дебиан конечно безопасен, но судя по всему, этот Куб еще безопаснее. Что радует, судя по скринам там используются Кеды, моя любимая среда.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

54. "Проект по продвижению в ядро Linux новых технологий активной..."  +5 +/
Сообщение от Sluggard (ok) on 06-Ноя-15, 23:48 
Гонять на виртуалке дистр, который сам запускает софт в виртуалках (и имеет поэтому довольно нехилые системные требования) — это сильно.
Завидую твоему железу. )
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

50. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Аннонним on 06-Ноя-15, 22:59 
Единственное, что не радует, что основой там Федю взяли, а не Дебиан. Второе все лучше, как по мне. Но возможно все у них впереди и релизы на основе других дистов тоже будут.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

70. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Ноя-15, 14:43 
Оба гогно. Нет дистрибутива кроме генты.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

76. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Аноним (??) on 07-Ноя-15, 19:20 
Как счастливый гентоюзер, заявляю: нет, есть. А если не есть, то гнета - только один из сортов го8на. Довольно часто даже в Debian мейнтейнеры более оперативные. Это я о скорости появления ебилдов для свежих версий софта. Во многих случаях при version bump надо поправить несколько несущественнных строчек в ебилде либо скопировать ебилд, указав в названии нужню версию. Вот такая элементарщина может висеть в багтрекере открытой очень долго...
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

64. "Проект по продвижению в ядро Linux новых технологий активной..."  +2 +/
Сообщение от pavlinux (ok) on 07-Ноя-15, 03:59 
Знаете как начинается презентация на тему "Kernel Exploitation Via Uninitialized Stack"

Credentials
● Change your process's UID to 0

:)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Проект по продвижению в ядро Linux новых технологий активной..."  –4 +/
Сообщение от Аноним (??) on 07-Ноя-15, 12:59 
Почитал коменты и от души посмеялся. Несколько человек, ничего не смыслящих в сути предлагаемой технологии (и, судя по тексту, во многих других тоже), негодуют по каким-то не очень осмысленным поводам :) PaX и Grsecurity - это проекты с очень и очень длинной многолетней историей и техниками, множество раз доказавшими свою состоятельность и надёжность при весьма низком оверхеде системных ресурсов. То, что Grsec и PaX потенциально окажется в ядре на полных правах - отличная новость. Тот, кто не понимает что к чему, всегда может отключить соответствующие опции (как он сейчас это делает с SELinux). Использую патчи GrSec+PaX в продакшене не первый год и кроме некоторого неудобства интеграции с CentOS не могу назвать каких-то замеченных недостатков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от cmp (ok) on 07-Ноя-15, 19:17 
да,да, мы не будем парится с тупыми ошибками с выходом за границы блока памяти и сделаем высокоуровневый язык избавленный от низкоуровневых проблем, ну подумаешь 10-15% производительности.

ну сделали они тьму языков, и че, стало безопаснее?

Кол-во идиотов кладущих на безопасность, есть константа, и с любыми технологиями кол-во дрявых хостов будет константой, пока selinux можно отключить, пока всякую дрянь не вбили гвоздями в ядро, это пролемой не является, но когда это случится, это будет проблемой для тех, кто способен настроить бесопасные системы без этой не очевидной дряни. И Линус в мудрости своей, абсолютно прав, баг - есть баг, не имеет значения к каким последствиям он приводит, иначе выходит, что монолитное ядро это одна большая проблема.

Поэтому, либо радуемся тому, что есть, либо валим на бсд, винду или колибри.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

77. "Проект по продвижению в ядро Linux новых технологий активной..."  +1 +/
Сообщение от pavlinux (ok) on 07-Ноя-15, 19:54 
> Почитал коменты и от души посмеялся. Несколько человек, ничего не смыслящих в

Я так ваще ржу, - Анонимный вакуум критикует...  

> Использую патчи GrSec+PaX в продакшене не первый год и кроме некоторого неудобства

Ссылки, отчёты, логи, статистика?  

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

79. "Проект по продвижению в ядро Linux новых технологий активной..."  –2 +/
Сообщение от Аноним (??) on 07-Ноя-15, 20:13 
> Анонимный вакуум критикует...

Какое же у тебя самомнение раздутое, оказывается...

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

109. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Ordu email(ok) on 10-Ноя-15, 01:53 
Рядом с вакуумом раздувается всё что угодно, стремясь заполнить этот вакуум.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

118. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от pavlinux (ok) on 17-Окт-17, 05:57 
>> Анонимный вакуум критикует...
> Какое же у тебя самомнение раздутое, оказывается...

Ну чо лошопед, где твой Pax+Grsec?

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

97. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от klim (??) on 08-Ноя-15, 20:15 
>То, что Grsec и PaX потенциально окажется в ядре на полных правах
> - отличная новость. Тот, кто не понимает что к чему,
> всегда может отключить соответствующие опции
> (как он сейчас это делает с SELinux).

А после отключения, пересобирать мир не придется?

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

69. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 07-Ноя-15, 14:41 
> Вместо противодействия конкретным уязвимостям гораздо выгоднее блокировать целые классы проблем, такие как переполнения стека...

Что-то они не договаривают... Что это всё даёт адский оверхед и работает при том вероятностно. С PaX и GrSec при некоторых видах нагрузок происходит заметный провал в производительности, с ними не рабет весь софт и для всего этого нужна поддержка компилятора которым собирается юзерспейсное ПО.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от 123 (??) on 07-Ноя-15, 19:59 
с pax еще да, а чего с grsec?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

84. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Добрый on 08-Ноя-15, 00:01 
Кто не договаривает? Команда Grsecurity никогда не пыталась включить свои наработки в mainline. Это сомнительная инициатива отдельных людей, к проекту прямого отношения не имеющих.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

83. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним email(??) on 07-Ноя-15, 23:55 
"..в сообществе разработчиков ядра отсутствует системный механизм выявления и устранения проблем на ранних стадиях.."

СИСТЕМНЫЙ, на ранних стадиях

Как много в одном слове. Не могу не согласиться.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от Аноним (??) on 08-Ноя-15, 15:11 
> "..в сообществе разработчиков ядра отсутствует системный механизм выявления и устранения
> проблем на ранних стадиях.."
> СИСТЕМНЫЙ, на ранних стадиях
> Как много в одном слове. Не могу не согласиться.

Дааааа, это называется "Ранний запуск защиты от вредоносных программ". С разморозкой! :)

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

92. "Проект по продвижению в ядро Linux новых технологий активной..."  +/
Сообщение от prokoudine email(??) on 08-Ноя-15, 15:44 
Kees Cook, кроме прочего, в прошлом -- активный участник небезызвестного проекта Inkscape :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

115. "Проект по продвижению в ядро Linux новых технологий активной..."  –1 +/
Сообщение от Ващенаглухо (ok) on 12-Ноя-15, 12:36 
GrSec+PaX ну наконец то, одобряю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру