The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Планы по усилению механизма защиты W^X в OpenBSD

29.05.2019 03:10

Тео Де Раадт поделился планами по усилению механизма защиты памяти W^X (Write XOR Execute). Суть мехнизма в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека и активен в OpenBSD по умолчанию.

С начала работ над W^X было понятно, что это долгая дорога, так как существует значительное количество приложений, использующих JIT. Реализации JIT можно разделить на три категории:

  • Переключающие память между W и X состояниями, смиряясь со "стоимостью" системного вызова mprotect.
  • Создающие псевдонимы между парой W и X отображений одной и той же памяти.
  • Наиболее "грязный" вариант - требующие модели памяти W|X, допускающей одновременное осуществление записи и исполнения.

В настоящее время стало значительно меньше программ, использующих третий вариант и больше использующих первый и второй. Тем не менее, так как было необходимо запускать и программы с W|X JIT (главным образом, Chromium и Iridum), была добавлена опция монтирования файловой системы "wxallowed", которая позволяла использовать память одновременно и для записи и для исполнения, в случае, если исполняемый ELF-файл отмечен маркером "wxneeded", а сами приложения дополнительно защищались, используя механизмы pledge и unveil для ограничения списка используемых системных вызовов и доступных для приложения частей файловой системы соответственно.

Для дальнейшего усложнения эксплуатации уязвимостей в подобных приложениях предложено дополнение механизма MAP_STACK, которое проверяет, выполняется ли системный вызов из доступной для записи страницы памяти. Если страница доступна для записи, процесс принудительно завершается. Таким образом, злоумышленник не сможет использовать системные вызовы и будет вынужден пытаться найти нужные гаджеты в реализации JIT или даже выполнять более трудную работу по обнаружению заглушек системных вызовов непосредственно внутри случайно связанного libc.

Процессы Chrome/Iridium и так достаточно надёжно защищены при помощи pledge и unveil, но лишение возможности использовать, например, системный вызов write(2), очевидно, имеет некоторое преимущество, так как создаёт атакующему дополнительные сложности. Впрочем, сложности могут возникнуть и в том случае, если реализация JIT использует нативные системные вызовы из W|X памяти. Однако, есть основания надеяться, что с подобным не придётся столкнуться, так как ABI неоднократно менялось, но никто никогда не сообщал о проблемах. Изменения уже доступны в регулярных снапшотах ветки OpenBSD-Сurrent, все заинтересованные приглашаются к тестированию.

Отдельного комментария со стороны Тео заслужили связанные новости про появление в Chrome/Iridium режима JITless. С его точки зрения, это приемлемо для некоторых моделей использования, однако, вероятно, не для всех, так как в данном режиме очевидно возрастёт нагрузка на процессор. Сейчас Chrome в основном будет работать, если отключить "wxallowed" для /usr/local, хотя и вероятны проблемы с некоторыми расширениями (в пример приводится ghostery). Так или иначе, Тео надеется, что полноценная работа в JITless-режиме будет доведена до полностью рабочего состояния в ближайшее время.

  1. Главная ссылка к новости (https://marc.info/?l=openbsd-t...)
  2. OpenNews: В OpenBSD-CURRENT добавлена утилита sysupgrade для автоматического обновления
  3. OpenNews: Выпуск OpenBSD 6.5
  4. OpenNews: В состав OpenBSD-Current добавлен механизм защиты RETGUARD
  5. OpenNews: В OpenBSD предложен новый системный вызов unveil() для изоляции ФС
  6. OpenNews: В OpenBSD добавлен код программного отключения SMT (HyperThreading)
Автор новости: Дон Ягон
Тип: Обобщение
Ключевые слова: openbsd, jit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (109) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, IdeaFix (ok), 08:06, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    А каков кейс использования Chromium и OpenBSD на одной машине? Не, я тоже слышал про чувака с OpenBSD на нетбуке (или это NetBSD было?), да и разрабы наверное имеют такую связку для попробовать, но кто еще?:)

    Или там какой-то хитрый кейс использования headless Chromium?

     
     
  • 2.2, Аноним (2), 08:08, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что, иксы на бсдях уже не работают?
     
     
  • 3.4, IdeaFix (ok), 08:19, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Это вопрос из серии про троллейбус из булки хлеба Но в целом да, не работают Н... текст свёрнут, показать
     
     
  • 4.7, djehve (?), 08:38, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Плохо искал. В репах netbsd firefox есть.
     
  • 4.10, Аноним (10), 08:43, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://pkgsrc.se/www/firefox
    http://pkgsrc.se/www/firefox36
    http://pkgsrc.se/www/firefox45
    http://pkgsrc.se/www/firefox52
    http://pkgsrc.se/www/firefox60
     
  • 4.11, ssh (ok), 08:54, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Но в целом да, не работают. Недавно, я имел забавный, растягивающий шаблон челендж... правда с нетбсд.

    Не знаю как оно там на платформах отличных от x86/64, но на упомянутых нет никаких проблем с X, chromium или youtube. Использую каждый рабочий день и в дороге, thinkpad x220.

     
  • 4.21, Совершенно другой аноним (?), 10:19, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы не пытались сообщать о проблемах, например, в рассылки разработчиков Всё-так... текст свёрнут, показать
     
     
  • 5.23, Аноним (23), 11:59, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы не плохо написали, но увлеклись дефисами. Почините, пожалуйста.
     
  • 4.22, Аноним (22), 10:25, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +14 +/
    У меня собралось немного архитектур в металле:
    1. ГАЗ-66
    2. УАЗ-452
    3. МТЗ-80
    4. ТГА-200

    1. В первом случае получаем - ой, чёрт, колготки порвала.
    2. Во втором - ой, да у тебя бензина в левом баке нет, переключись на правый, езжай на заправку и залей левый бак.
    3. Меняй прицеп. Просто меняй прицеп. Под МТЗ-80 много прицепов, вот и меняй.
    4. Ну, и на сладкое... хммм... да у тебя грузоподъёмность почти нормальная... всё равно, 60 км/ч и пассажир в кузове.
    Челлендж был - покатать девчонку по городу.

     
  • 4.24, анонн (?), 12:10, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но в целом да, не работают. Недавно, я имел забавный, растягивающий шаблон челендж... правда с нетбсд.
    > правда с нетбсд.

    Здравствуй попа, это палец!
    Кстати, как там бубунта работает?

     
  • 4.25, grsec (ok), 12:42, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно, ведь файлы локализации нужны всем, а браузер к ним не нужен никому.

    Ты сделал мой день, спасибо тебе).

     
  • 4.27, Аноним (27), 13:29, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Думать 8212 это хорошо А вот говорить, что вы думаете, когда вы не думаете, ... текст свёрнут, показать
     
     
  • 5.30, Дон Ягон (?), 14:48, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > добавление флага wxallowed для /usr/local (туда ставятся установленные пакеты)

    wxallowed на /usr/local выставляется по-умолчанию, так что этот пункт лишний.

     
  • 4.33, Дон Ягон (?), 15:05, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что-то мне подсказывает что под open ситуация не сильно далеко ушла даже на x86 :)

    За другие архитектуры говорить не могу (впрочем, скоро смогу про macppc), но на x86 с иксами в OpenBSD нет фатальных проблем. А если у тебя видеокарта от AMD или Intel, у тебя даже аппаратная акселерация видео будет работать. И 3D.

     
  • 3.66, Аноним (66), 14:56, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Бсди очень разные.Если на фре с производительностью,поддержкой нового оборудования и хардварного ускорения графики всё боле-менее терпимо и иксы там  не вызывают недоумения,то браузер в опёнке уже указывает на некие психические расстройства их использующего.
     
     
  • 4.101, Дон Ягон (?), 00:26, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сильно впереди OpenBSD фря в этом плане только в плане поддержки карточек NVIDIA... текст свёрнут, показать
     
     
  • 5.103, Дон Ягон (?), 00:33, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, конкретно сейчас, насчёт свежайших драйверов для AMD я возможно обманываю. Vega, ЕМНИП пока только через efifb работала. Конкретно это лучше перепроверить.
     
     
  • 6.104, Дон Ягон (?), 00:37, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    http://openbsd-archive.7691.n7.nabble.com/Lenovo-w-AMD-Ryzen-CPU-td367494.htm

    Хотя тут чуть ли не Тео обещает, что всё то ли есть, то ли скоро будет. В общем, если хочется не набросить, а разобраться, я подсказал, где искать.

     
  • 6.105, Дон Ещёкакойгон (?), 00:40, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Впрочем, конкретно сейчас, насчёт свежайших драйверов для AMD я возможно обманываю. Vega,
    > ЕМНИП пока только через efifb работала. Конкретно это лучше перепроверить.

    Да-да, апу на веге работает?)Встройки последних интелов?Вайфай сравним?Блютус?Виртуализацию?Файловые системы?)Какой там паритет,ты о чём)И в стрекозу откуда драйвера портируют расскажи)

     
     
  • 7.107, Дон Ягон (ok), 00:50, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Через efifb - точно Портирован ли нормальный драйвер - точно не могу сказать, с... текст свёрнут, показать
     
  • 2.5, crypt (ok), 08:22, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > А каков кейс использования Chromium и OpenBSD на одной машине?

    А каков кейс использования OpenBSD даже на одной машине вообще? роутер-студента-админа-самоучки-маленькой-лавочки? Усиления безопасности через уменьшение функционала дает о себе знать. o shi... даже базовый функционал любой ОС общего назначения - хранение файлов настолько ограничен! снапшотов нет, а это даже на NTFS уже больше десятилетия.

    OpenBSD - отличная вещь, но это лабораторный проект для тестов и обкатки технологий.

     
     
  • 3.8, djehve (?), 08:39, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Openbsd используют на банкоматах в сша.
     
     
  • 4.14, crypt (ok), 09:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    в банкоматах и фридос используют
     
     
  • 5.19, djehve (?), 09:33, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    И к чему это было? Не в тему вообще. Ты писал, что openbsd лабораторный проект, я опроверг.
     
     
  • 6.41, crypt (ok), 21:34, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да ничего ты не опроверг. просто нашел исключение из правила. если бы на _всех_ банкоматах в сша использоваль _только_ эта ОС. а так это из серии узкого использования упомянутого выше. васечка установил в своем колхозе.
     
     
  • 7.50, Дон Ягон (?), 22:27, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > да ничего ты не опроверг. просто нашел исключение из правила. если бы
    > на _всех_ банкоматах в сша использоваль _только_ эта ОС. а так
    > это из серии узкого использования упомянутого выше. васечка установил в своем
    > колхозе.

    Ну вообще-то он опроверг. Что никак не отменяет того, что OpenBSD, в числе прочего, и полигон для обкатки технологий.

     
  • 2.20, Аноним (20), 10:11, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А каков кейс использования Chromium и Linux на одной машине? Не, я тоже слышал про чувака с Linux на нетбуке (или это Hurd был?), да и разрабы наверное имеют такую связку для попробовать, но кто еще?:)

    Или там какой-то хитрый кейс использования headless Chromium?

     

  • 1.3, Аноним (3), 08:14, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ха, у меня,кстати, тоже OpenBSD стоит и на нетбуке тоже (Lenovo IdeaPad 9S) ))). Нормально работает.
     
     
  • 2.6, crypt (ok), 08:26, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    это всего лишь значит, что ты не работаешь. тебе хоть дос можно ставить. тоже будет "нормально".
     
     
  • 3.9, Аноним (9), 08:42, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не работает админом. Если он журналист какой-нибудь, то ему ляптопа с openbsd хватит.
     
     
  • 4.13, crypt (ok), 09:02, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    глупость в треде. вай-фай.
     
     
  • 5.18, djehve (?), 09:31, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что с ним не так? Я нашёл драйвер даже для своего нового ноутбука.
     
     
  • 6.44, crypt (ok), 21:42, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    мир ограничивается только твоим ноутбуком. спасибо, что подписались под "глупость в треде".
     
  • 5.28, Ананимус (?), 14:11, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что "вай-фай"? Макбучные работают, huawei работает, lenovo работает.
     
     
  • 6.43, crypt (ok), 21:40, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    несмотря на фанатик пост, там список поддерживаемых чипов такой маленький, что я не видел еще ни разу, чтобы это работало из коробки. у задр0тов с опеннета? да, конечно. у журналиста? через ifconfig? ну эт нужно быть полным ди6илом.
     
     
  • 7.49, Дон Ягон (?), 22:24, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > там список поддерживаемых чипов такой маленький, что я не видел еще ни разу, чтобы это работало из коробки.

    Если ты видел список, может быть у тебя появилось хотя бы предположение, какой нужно выбрать чип, чтобы работало из коробки? Млин, даже журналисты обычно не настолько тугие.

    > да, конечно. у журналиста? через ifconfig? ну эт нужно быть полным ди6илом.

    Могу себе представить журналиста с OpenBSD на ноуте только в том случае, если ему его туда поставил друг айтишник. И не из-за вайфая вовсе. Но ты продолжай, всем всё равно понятно, что ты зацепился за удобный для тебя аргумент (за который ты успел предъявить отнюдь не только тому, кто его озвучил).

    Ну и да, был когда-то такой журнал - "Какир", так вот, там были авторы с OpenBSD на ноуте.
    Упс?

     
     
  • 8.56, crypt (ok), 22:38, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    пойми меня правильно я список видел и мог бы запустить, но я не 3адрот из ну р... текст свёрнут, показать
     
     
  • 9.58, Дон Ягон (?), 22:43, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да понял я тебя прекрасно OpenBSD - говно, потому что не как в линукс Или н... текст свёрнут, показать
     
     
  • 10.60, crypt (ok), 23:11, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    во-первых, я уже несколько раз написал, что хорошо отношусь к OpenBSD во-вторых... текст свёрнут, показать
     
     
  • 11.61, Дон Ягон (?), 23:22, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нашёл, чем меряться Тем более, что я, хоть вот убей, не помню, с какого года я ... текст свёрнут, показать
     
  • 7.65, анонн (?), 13:36, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >  что я не видел еще ни разу, чтобы это работало из коробки.

    А суслика ты видел? А то тут друг-зоолог спрашивает, волнуется.

    > задр0тов с опеннета? да, конечно. у журналиста? через ifconfig? ну эт
    > нужно быть полным ди6илом.

    Ну, у тебя и во фре "ничего не работает толком".
    Чего стоит только "настройки репозиториев не принимют порт в URL при включенном SRV".

     
  • 5.31, Дон Ягон (?), 14:50, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вай-фай

    В стандарты до n включительно умеет. Более того - wpa-psk там из коробки, настраивается средствами ОС, через ifconfig. Офигенно удобно.

     
     
  • 6.42, crypt (ok), 21:38, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    журналист будет через ifconfig поднимать вайфай? дурррак ты.
     
     
  • 7.47, Дон Ягон (?), 22:14, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > журналист будет через ifconfig поднимать вайфай? дурррак ты.

    Журналист не будет использовать ни *BSD, ни Linux. Будет винду или макос. Чё сказать-то хотел?
    В том числе, когда написал "вайфай" выше по треду.

     
     
  • 8.51, crypt (ok), 22:28, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я хотел сказать, что ты не шаришь и пишешь тупые коменты я-то пишу, потому что ... текст свёрнут, показать
     
     
  • 9.54, Дон Ягон (?), 22:35, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обоснуй, балабол Это совсем не повод писать тупые каменты Не использую NM даже... текст свёрнут, показать
     
     
  • 10.57, crypt (ok), 22:42, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я-я-я да не про задр0т0в речь, а про журналистов, например, см выше ... текст свёрнут, показать
     
     
  • 11.59, Дон Ягон (?), 22:45, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да с какой стати Я про них не начинал, для начала И почему меня вообще должны ... текст свёрнут, показать
     
  • 7.64, Аноним (64), 03:37, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ifconfig не сложнее текстового редактора.
     
  • 4.16, ssh (ok), 09:10, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не работает админом.

    Админы они разные. Какие конкретно админ не может решать с лэптопа с OpenBSD?

     
     
  • 5.26, Аноним (26), 13:25, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие конкретно админ не может решать с лэптопа с OpenBSD?

    Возможно, он не может сделать на OpenBSD.

     
     
  • 6.35, ssh (ok), 15:29, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Какие конкретно админ не может решать с лэптопа с OpenBSD?
    > Возможно, он не может сделать на OpenBSD.

    Вы видимо из тех, кто искренне считает себя центром компании и источником искромётного юмора, в действительности ими не являясь. Сожалею.

     
  • 5.29, Ананимус (?), 14:12, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Собрать докер-образ на ляптопе.
     
     
  • 6.34, ssh (ok), 15:28, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Собрать докер-образ на ляптопе.

    Согласен, но зачем это делать локально?

     
  • 6.36, Дон Ягон (?), 15:57, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот будет весело, если чудо-разработчики дрокера сломают что-то и твоя локальная версия станет в чём-то несовместима с той, что в проде.
    Хотя как надо не любить себя и свою компанию, чтобы использовать дрокер в продакшене - это отдельный и очень большой вопрос.
     
  • 4.32, Дон Ягон (?), 14:53, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Работаю админом, использую OpenBSD на ноуте. Что я делаю не так?
     
     
  • 5.37, Аноним (26), 16:04, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что я делаю не так?

    Используешь *BSD на ноуте.

     
     
  • 6.38, Дон Ягон (?), 16:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что? Всё, что мне нужно работает.
     
     
  • 7.67, Аноним (66), 15:09, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Говори уж правду : всё,что НЕ работает тебе по определению НЕ нужно,даже если на самом деле это не так.Фанатизм,это шоры,натянутые добровольно.
     
     
  • 8.70, Дон Ягон (?), 15:37, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Говорю правду всё что МНЕ нужно - работает По работе ещё бывает нужны проприет... текст свёрнут, показать
     
     
  • 9.74, Дон Ягон (?), 16:53, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Уточню на всякий, чтобы не было лишних вопросов Речь, в основном, о telegram-de... текст свёрнут, показать
     
  • 9.75, Аноним (66), 17:03, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну,то есть линуксулятор тео выкинул из опенбсди и это правильно,но при этом ты д... текст свёрнут, показать
     
     
  • 10.77, Дон Ягон (?), 17:16, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он всё равно скорее не работал, чем работал Вообще, я наверное мог бы теперь из... текст свёрнут, показать
     
     
  • 11.78, Аноним (66), 18:31, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Фанатизм,это твоё всепоглащающее стремление обелить руководство опёнка,которое р... текст свёрнут, показать
     
     
  • 12.83, Дон Ягон (?), 19:03, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я никого не обеляю, я констатирую то, что руководства опёнка, в отличие от руков... текст свёрнут, показать
     
     
  • 13.86, Аноним (66), 19:34, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я бы очень удивился,если бы ты писал с опёнка По моим наблюдениям,все опеннетов... текст свёрнут, показать
     
     
  • 14.87, Дон Ягон (?), 19:56, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Господи, я даже не смел надеяться, что тебя будет так легко спровоцировать Всё ... текст свёрнут, показать
     
     
  • 15.89, Дон Ягон (?), 20:11, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Уточню, раз я тут уже всё равно начал про свою работу Для админских задач мне х... текст свёрнут, показать
     
  • 12.84, анонн (?), 19:04, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не двоемыслие, это инония проприетарная подстилочка использует Свободный... текст свёрнут, показать
     
  • 8.72, ssh (ok), 16:36, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Верно подмечено, а еще признаками фанатизма является нетерпимость к инакомыслию,... текст свёрнут, показать
     
     
  • 9.76, Аноним (66), 17:05, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Фанатизм не присущ како-то одной группе людей Этот недуг поражаетсамые разные со... текст свёрнут, показать
     
     
  • 10.98, ssh (ok), 23:16, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Верно, но я нигде и не утверждал обратного ... текст свёрнут, показать
     
  • 6.39, анонн (?), 18:55, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> Что я делаю не так?
    > Используешь *BSD на ноуте.

    А нужно, как современный линуксоид, нахваливать пингвина, башить "БЗДи" и использовать десяточку с WSL?

    https://insights.stackoverflow.com/survey/2018
    > Most Loved
    > Linux 76.5%

    теперь смотрим IDE:
    > Most Popular Development Environments
    > Visual Studio Code 34.9%
    > Visual Studio  34.3%

    А теперь ОС:
    > Developers' Primary Operating Systems
    > Windows 49.9%
    > MacOS 26.7%

    Что-то мне подсказывает, что анонимы опеннета тут не сильно отличается. И только в новостях о любой БСД почти все комментаторы как один, вдруг оказываются линуксоидами с 25летним стажем, помогавшими еще студенту Линусу тестировать и исправлять версию 0.1.

     
     
  • 7.62, ssh (ok), 23:23, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И только в новостях о любой БСД почти все комментаторы как один, вдруг
    > оказываются линуксоидами с 25летним стажем, помогавшими еще студенту Линусу тестировать
    > и исправлять версию 0.1.

    Согласен. OpenBSD -- проект ничего не требующий от Linux-сообщества, в любом посте на OpenNet получает основную часть негатива от пользователей Linux или называющих себя таковыми.

    Казалось бы, не нравится -- не пользуйся, проходи мимо, игнорируй.

     
  • 5.45, crypt (ok), 21:47, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Работаю админом, использую OpenBSD на ноуте. Что я делаю не так?

    тупые комменты по треду оставляешь. см. выше. а в остальном все ок. я бы сам использовал, если бы она хоть где-то делала то, что мне нужно по работе.

     
     
  • 6.46, uncrypt (?), 22:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > я бы сам использовал, если бы она хоть где-то делала то, что мне нужно по работе.

    Увы, но картошку фри насыпать и колу подавать она пока не научилась.
    Но вот проигрывать аудиозапись «Свободная касса» давно умеет! Пользуйся на здоровье!

     
     
  • 7.52, crypt (ok), 22:31, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    ну эт тебе, кроме картошки и колы, ничего не надо.

     
  • 6.48, Дон Ягон (?), 22:17, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Работаю админом, использую OpenBSD на ноуте. Что я делаю не так?
    > тупые комменты по треду оставляешь. см. выше.

    У тебя так сильно бомбануло от того, что тебе указали на твою непросвещённость в вопросе?

    > а в остальном все ок.

    Ой, спасибо за признание. До этого сообщения, был уверен, что что-то не ок.

    > я бы сам использовал, если бы она хоть где-то делала то, что мне нужно по работе.

    Всем трэдом рыдаем над судьбой злодейкой, которая не даёт тебе работу, на которой ты смог бы использовать OpenBSD.

     
     
  • 7.53, crypt (ok), 22:33, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    зевнул. ну я выше там уже разбил, кажется, твою мечту, что мол линукс и бзд где-то рядом. а задрачиваться со своим ноутбуком и постить комменты на оппеннете никому законом не запретишь.
     
     
  • 8.55, Дон Ягон (?), 22:36, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хахаха Линукс и винда где-то рядом ... текст свёрнут, показать
     
  • 8.63, Ананнимас (?), 01:55, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    сколько там PS4 юзеров тото и оно А как гугель допилит свои фукусии с котлинам... текст свёрнут, показать
     
     
  • 9.69, Аноним (66), 15:15, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В пс4 не опёнок ... текст свёрнут, показать
     
     
  • 10.71, ssh (ok), 16:26, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это очевидно, как и то, что речь шла о всех bsd системах ... текст свёрнут, показать
     
     
  • 11.79, Аноним (66), 18:39, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все бсд очень разные и общего у фри,которая послужила основой для оси пс4 с опён... текст свёрнут, показать
     
     
  • 12.97, ssh (ok), 23:14, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто-то случайно нажал кнопку Вызов капитана очевидности ... текст свёрнут, показать
     

  • 1.12, Нанобот (ok), 08:59, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >проверяет, выполняется ли системный вызов из доступной для записи страницы памяти

    на первый взгляд это вообще не будет работать, т.к. код, сгенерированый jit, скорее всего будет вызывать libc, а libc уже будет вызывать ядро, и ограничение на W^X будет соблюдено. если же анализировать весь стек на наличие фреймов W|X - это ненадёжно, да и слишком накладно

     
     
  • 2.15, Аноним (15), 09:10, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Атакующий не знает, где libc, из-за aslr и вынужден таскать свою.
     
     
  • 3.17, Нанобот (ok), 09:28, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Атакующий не знает, где libc, из-за aslr и вынужден таскать свою.

    в принципе да, тогда это  имеет смысл

     
  • 3.109, КО (?), 00:05, 03/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В статье же написано - атакующий не знает, но JIT знает и любезно подставит. :)
     

  • 1.40, Аноним (40), 19:27, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачетный ник у автора новости
     
  • 1.68, Аноним (66), 15:11, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь опенбсди будет тормозить ещё больше?
     
     
  • 2.73, ssh (ok), 16:38, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь опенбсди будет тормозить ещё больше?

    Не хнычь, твою убунточку или рачик это не затронет. :D

     
     
  • 3.80, Аноним (66), 18:42, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так я же за пользователей опёнка переживаю,им же и так пользоваться на чём-нибудь отличном от роутера давно невозможно.
     
     
  • 4.85, Дон Ягон (?), 19:06, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Так я же за пользователей опёнка переживаю,им же и так пользоваться на чём-нибудь отличном от роутера давно невозможно.

    https://www.google.com/search?q=openbsd+desktop

    можешь не благодарить.

     
     
  • 5.90, Аноним (66), 20:53, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Следи за руками)

    https://www.google.com/search?q=freedos+desktop

    Я же про использование писал) Установить для потыкать и KolibriOS можно,ты ж не путай.

     
     
  • 6.91, Дон Ягон (?), 21:00, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Следи за руками)
    > https://www.google.com/search?q=freedos+desktop
    > Я же про использование писал) Установить для потыкать и KolibriOS можно,ты ж не путай.

    Ничего не могу сказать про использование FreeDOS как десктопа.
    Не знаю, скриншот что ли сделать?
    Правда ума не приложу, на что ты там будешь смотреть: у меня что в OpenBSD, что в Linux один набор программ, один и тот же i3wm, тот же firefox, тот же mpv, ncmpcpp и так далее.

     
     
  • 7.92, Аноним (66), 21:11, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Был бы один набор программ, ты бы использовал что-то одно.)Скрины твоего десктопа мне без надобности - что они могут доказать?Производительность?Количество пакетов?Популярность оси?Всё на что способен опен на десктопе,так это огнелис с тормозами,да текстовый редактор и ума это оспаривать хватает только у тебя.)А теперь тормозов станет ещё больше,а софта возможно,ещё меньше.Если исходить из тезиса,что ось которую не используют,не подвержена и уязвимостям,то товарищи всё правильно делают.)
     
     
  • 8.93, Дон Ягон (?), 21:28, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я уже писал выше про проприетарное ПО собранное под linux Это единственная для ... текст свёрнут, показать
     
     
  • 9.94, Аноним (66), 22:57, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ахах,пробежись по теме,посчитай количество своих постов Кто тут пропаганду то ра... текст свёрнут, показать
     
     
  • 10.95, ssh (ok), 23:11, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так мы в обороне, ваши необоснованные утверждения нельзя оставлять без ответа Р... текст свёрнут, показать
     
  • 10.100, Дон Ягон (?), 00:17, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну я ещё и автор этой темы, ага Ключевое слово пропаганду , а не разводит Я... текст свёрнут, показать
     
  • 4.96, ssh (ok), 23:13, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Так я же за пользователей опёнка переживаю,им же и так пользоваться на
    > чём-нибудь отличном от роутера давно невозможно.

    Оу, не трать ресурс. Они знали на что шли, у них всё хорошо!

     

  • 1.88, Аноним (-), 20:01, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    буратино ты сдесь? ау!
     
     
  • 2.99, буратина (?), 23:45, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    чё тебе, артемон?
     
  • 2.102, Дон Ягон (?), 00:33, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я за него.
     
     
  • 3.106, Дон Ягон (?), 00:40, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хехе, пора регаться. Это писал не я.

    // Настоящий Ягон Дон

     
     
  • 4.108, Andrey Mitrofanov_N0 (?), 10:46, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Хехе, пора регаться. Это писал не я.
    > // Настоящий Ягон Дон

    К нам на болоцце пожаловала сама... Версия Следствия.

    [I]"" По версии следствия, Богатов разместил два сообщения на форуме SysAdmins.ru под псевдонимом «Айрат Баширов», в которых содержались призывы к радикальным действиям на акциях протеста 2 апреля в ... ""

     

  • 1.110, Anonim (??), 10:37, 10/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    JIT - зло которое надо искоренять.

    Правильная реализация W^X:

    - changing the executable status of memory pages that were
       not originally created as executable,
    - making read-only executable pages writable again,
    - creating executable pages from anonymous memory,
    - making read-only-after-relocations (RELRO) data pages writable again.

    https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configu

    А Тэо проснулся, опёнок теперь вири сожрут. Нельзя менять с W на X, ибо пропадает цель W^X: дать ГАРАНТИИ неизменности исполняемого кода необходимые для гарантий безопасности.

     
  • 1.111, Anonim (??), 10:39, 10/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Имеется в ввиду что ядро ОС должно запрещать:

    - changing the executable status of memory pages that were not originally created as executable,
    - making read-only executable pages writable again,
    - creating executable pages from anonymous memory,
    - making read-only-after-relocations (RELRO) data pages writable again.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру