forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ уязвимостей в Android-приложениях с открытыми сетевым..."
Отправлено пох, 30-Апр-17 00:20

> Такое ощущение, что некоторые "умники" считают, что в гугле и AOSP работают полные
> идиоты.
не полные, но мягко говоря, альтернативно одаренные. Банальная индусятина. Умные там были, но сейчас уже все поразбежались или загнаны в мертвые проекты, занимающиеся непойми чем.
> Это не так и потому как проблема не решена до сих пор
проблема не решена потому, что ее никто не дал команду решать (а некому, в менеджменте вменяемых не осталось) - тогда могли и специалиста нанять или сманить из соседнего отдела. Работнички гугля занимаются исключительно затыканием дыр по мере утыкания в них носом.
И решить ее можно только глобально, на уровне архитектуры. То, что она изначально была полным дерьмом вообще без управления пользователем - как раз и говорит об уровне тех, кто этот жабский шлак спроектировал.
Похоже, они действительно думали только об одном - как бы поганый юзверь не заблокировал отправку своих личных данных и показ себе ненужно-баннеров, и не понаставил себе чего-нибудь в обход гуглестора, не заплатив (гуглю, плевать на авторов). И вот в эту сторону и направили все усилия.
Мысль что данные может тырить не только гугль - в индусские головы просто не пришла.
Мысль о том что безопасность нужно начинать строить с модели угроз - тоже.
Получите тот хлам, который мы и имеем сейчас.
> Оболочку над файрволлом можно стырить из любого спец. дистрибутива
мне не нужна "оболочка из любого дистрибутива", я умею пользоваться шеллом. Мне нужен нормальный дальвик-апи. Не требующий рутования устройства, даже временного. Умеющий спросить разрешения в момент попытки открытия сокета (винда умеет, двенадцать лет как, так что не рассказывайте мне сказки что никак невозможно) или превентивно (опять таки через апи - программа вполне может попросить файрвол заранее спросить у пользователя разрешения - заметьте, спрашивать должен именно файрвол, иначе кто-то начнет это делать без спросу)
Дождемся мы чего-нибудь подобного в ближайшие пару лет? Полагаю, нет. Вместо этого будет стройная система костылей и подпорок- вот типа предлагаемого разбиения права создавать сокеты на два - отдельно для listen, отдельно для connect. Добавляющая только видимость безопасности и видимость контроля пользователю.

Исходное сообщение
"Анализ уязвимостей в Android-приложениях с открытыми сетевым..." Отправлено пох, 30-Апр-17 00:20
> Такое ощущение, что некоторые "умники" считают, что в гугле и AOSP работают полные > идиоты. не полные, но мягко говоря, альтернативно одаренные. Банальная индусятина. Умные там были, но сейчас уже все поразбежались или загнаны в мертвые проекты, занимающиеся непойми чем. > Это не так и потому как проблема не решена до сих пор проблема не решена потому, что ее никто не дал команду решать (а некому, в менеджменте вменяемых не осталось) - тогда могли и специалиста нанять или сманить из соседнего отдела. Работнички гугля занимаются исключительно затыканием дыр по мере утыкания в них носом. И решить ее можно только глобально, на уровне архитектуры. То, что она изначально была полным дерьмом вообще без управления пользователем - как раз и говорит об уровне тех, кто этот жабский шлак спроектировал. Похоже, они действительно думали только об одном - как бы поганый юзверь не заблокировал отправку своих личных данных и показ себе ненужно-баннеров, и не понаставил себе чего-нибудь в обход гуглестора, не заплатив (гуглю, плевать на авторов). И вот в эту сторону и направили все усилия. Мысль что данные может тырить не только гугль - в индусские головы просто не пришла. Мысль о том что безопасность нужно начинать строить с модели угроз - тоже. Получите тот хлам, который мы и имеем сейчас. > Оболочку над файрволлом можно стырить из любого спец. дистрибутива мне не нужна "оболочка из любого дистрибутива", я умею пользоваться шеллом. Мне нужен нормальный дальвик-апи. Не требующий рутования устройства, даже временного. Умеющий спросить разрешения в момент попытки открытия сокета (винда умеет, двенадцать лет как, так что не рассказывайте мне сказки что никак невозможно) или превентивно (опять таки через апи - программа вполне может попросить файрвол заранее спросить у пользователя разрешения - заметьте, спрашивать должен именно файрвол, иначе кто-то начнет это делать без спросу) Дождемся мы чего-нибудь подобного в ближайшие пару лет? Полагаю, нет. Вместо этого будет стройная система костылей и подпорок- вот типа предлагаемого разбиения права создавать сокеты на два - отдельно для listen, отдельно для connect. Добавляющая только видимость безопасности и видимость контроля пользователю.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Такое ощущение, что некоторые "умники" считают, что в гугле и AOSP работают полные 
>> идиоты.

> не полные, но мягко говоря, альтернативно одаренные. Банальная индусятина. Умные там были, 
> но сейчас уже все поразбежались или загнаны в мертвые проекты, занимающиеся 
> непойми чем.

>> Это не так и потому как проблема не решена до сих пор

> проблема не решена потому, что ее никто не дал команду решать (а 
> некому, в менеджменте вменяемых не осталось) - тогда могли и специалиста 
> нанять или сманить из соседнего отдела. Работнички гугля занимаются исключительно затыканием 
> дыр по мере утыкания в них носом.
> И решить ее можно только глобально, на уровне архитектуры. То, что она 
> изначально была полным дерьмом вообще без управления пользователем - как раз 
> и говорит об уровне тех, кто этот жабский шлак спроектировал.
> Похоже, они действительно думали только об одном - как бы поганый юзверь 
> не заблокировал отправку своих личных данных и показ себе ненужно-баннеров, и 
> не понаставил себе чего-нибудь в обход гуглестора, не заплатив (гуглю, плевать 
> на авторов). И вот в эту сторону и направили все усилия. 
 
> Мысль что данные может тырить не только гугль - в индусские головы 
> просто не пришла.
> Мысль о том что безопасность нужно начинать строить с модели угроз - 
> тоже.

> Получите тот хлам, который мы и имеем сейчас.

>> Оболочку над файрволлом можно стырить из любого спец. дистрибутива

> мне не нужна "оболочка из любого дистрибутива", я умею пользоваться шеллом. Мне 
> нужен нормальный дальвик-апи. Не требующий рутования устройства, даже временного. Умеющий 
> спросить разрешения в момент попытки открытия сокета (винда умеет, двенадцать лет 
> как, так что не рассказывайте мне сказки что никак невозможно) или 
> превентивно (опять таки через апи - программа вполне может попросить файрвол 
> заранее спросить у пользователя разрешения - заметьте, спрашивать должен именно файрвол, 
> иначе кто-то начнет это делать без спросу)

> Дождемся мы чего-нибудь подобного в ближайшие пару лет? Полагаю, нет. Вместо этого 
> будет стройная система костылей и подпорок- вот типа предлагаемого разбиения права 
> создавать сокеты на два - отдельно для listen, отдельно для connect. 
> Добавляющая только видимость безопасности и видимость контроля пользователю.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру