forum.opennet.ru

Составление сообщения

Исходное сообщение

"Отчёт о развитии системного менеджера systemd"
Отправлено develop7, 10-Май-12 14:43

>> почему, использовать. только выкладывать исправления критических багов одновременно с релизом исправлений.
> Это вы сейчас знаете, что этот коммит является *полным* исправлением уязвимости. Потому что вам добрые дяди об этом рассказали в DSA.
Я и не спорю. И в восемнадцатый раз вам повторяю — это вам и мне нужны DSA. А людям, которые на дырках в ПО зубы съели, DSA не нужны — они сами в состоянии их писать, но предпочитают иметь профит с эксплуатации.
> А тогда - это был просто коммит.  Часть промежуточной работы мейнтейнера, которую он мог обсуждать еще далее в рассылках, которая вполне могла бы и не быть реальным исправлением проблемы.
Если бы я зарабатывал на жизнь эксплуатацией дырок, я с удовольствием бы ревьюил ВСЕ коммиты в популярные сервисы популярных дистрибутивов.
И что, блин, значит «могла бы быть»? Он программист или где? Вы программист или где?
> Что, теперь на ушко только шептаться мейнтейнерам?
если честно, мне пофиг, что будут делать maintainerы. но выкладывать фикс критической баги за неделю до релиза пакетов с фиксом — фейл.
>> пруф?
> Для детишек, по-русски, со всеми интригами, скандалами и расследованиями (комментарии):
> http://vitus-wagner.livejournal.com/279779.html
Для фанбоев, по-английски, со ссылками и прочим — http://www.gergely.risko.hu/debian-dsa1571.en.html
А вот тот самый тред в рассылке openssl: http://marc.info/?l=openssl-dev&m=114652287210110&w=2
> What I currently see as best option is to actually comment out those 2 lines of code.
> But *I have no idea* what effect this really has on the RNG.
Ну так разберись. *Сначала*.
> The only effect I see is that the pool might receive less entropy.
Я был неправ, он догадывался.
> But on the other hand, I'm not even sure how much entropy some unitialised data has.
Но потестить, как именно комментирование повлияет на энтропию, по всей видимости, не хватило квалификации.
> If it helps *with debugging*, I'm in favor of removing them. (However the last time I checked, valgrind reported *thousands of bogus* error messages. Has that situation gotten better?)
Что как бы намекает, что вызов MD_Update следовало завернуть в лучшем случае в #infdef DEBUG … #endif, а не комментить.
Не говоря уже о том, что его никто не просил править варнинги valgrind. Не говоря о том, что патчам, фиксящим варнинги, место в первую очередь в апстриме, а не в debian.
>> Допустим, я знаю из DSA. Но black hats DSA не нужны — они прекрасно ориентируются в исходниках Openssh без помощи Security Team.
> Повторяю, и что?  Теперь мейнтейнерам промежуточными результатами обмениваться между собой только передавая CD с кодом через банковские ечейки?
Я уже сказал, что. Думать головой.
> Опять вы перепутали ежа с ужом - и кто в этом виноват? Те, кто не хочет чтобы black hats смотрели на их прекрасный код - делают пропиетарное ПО.
Возможно, вы не в курсе, но это не сильно помогает, знаете ли.

Исходное сообщение
"Отчёт о развитии системного менеджера systemd" Отправлено develop7, 10-Май-12 14:43
>> почему, использовать. только выкладывать исправления критических багов одновременно с релизом исправлений. > Это вы сейчас знаете, что этот коммит является полным исправлением уязвимости. Потому что вам добрые дяди об этом рассказали в DSA. Я и не спорю. И в восемнадцатый раз вам повторяю — это вам и мне нужны DSA. А людям, которые на дырках в ПО зубы съели, DSA не нужны — они сами в состоянии их писать, но предпочитают иметь профит с эксплуатации. > А тогда - это был просто коммит. Часть промежуточной работы мейнтейнера, которую он мог обсуждать еще далее в рассылках, которая вполне могла бы и не быть реальным исправлением проблемы. Если бы я зарабатывал на жизнь эксплуатацией дырок, я с удовольствием бы ревьюил ВСЕ коммиты в популярные сервисы популярных дистрибутивов. И что, блин, значит «могла бы быть»? Он программист или где? Вы программист или где? > Что, теперь на ушко только шептаться мейнтейнерам? если честно, мне пофиг, что будут делать maintainerы. но выкладывать фикс критической баги за неделю до релиза пакетов с фиксом — фейл. >> пруф? > Для детишек, по-русски, со всеми интригами, скандалами и расследованиями (комментарии): > http://vitus-wagner.livejournal.com/279779.html Для фанбоев, по-английски, со ссылками и прочим — http://www.gergely.risko.hu/debian-dsa1571.en.html А вот тот самый тред в рассылке openssl: http://marc.info/?l=openssl-dev&m=114652287210110&w=2 > What I currently see as best option is to actually comment out those 2 lines of code. > But I have no idea what effect this really has on the RNG. Ну так разберись. Сначала. > The only effect I see is that the pool might receive less entropy. Я был неправ, он догадывался. > But on the other hand, I'm not even sure how much entropy some unitialised data has. Но потестить, как именно комментирование повлияет на энтропию, по всей видимости, не хватило квалификации. > If it helps with debugging, I'm in favor of removing them. (However the last time I checked, valgrind reported thousands of bogus error messages. Has that situation gotten better?) Что как бы намекает, что вызов MD_Update следовало завернуть в лучшем случае в #infdef DEBUG … #endif, а не комментить. Не говоря уже о том, что его никто не просил править варнинги valgrind. Не говоря о том, что патчам, фиксящим варнинги, место в первую очередь в апстриме, а не в debian. >> Допустим, я знаю из DSA. Но black hats DSA не нужны — они прекрасно ориентируются в исходниках Openssh без помощи Security Team. > Повторяю, и что? Теперь мейнтейнерам промежуточными результатами обмениваться между собой только передавая CD с кодом через банковские ечейки? Я уже сказал, что. Думать головой. > Опять вы перепутали ежа с ужом - и кто в этом виноват? Те, кто не хочет чтобы black hats смотрели на их прекрасный код - делают пропиетарное ПО. Возможно, вы не в курсе, но это не сильно помогает, знаете ли.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> почему, использовать. только выкладывать исправления критических багов одновременно с релизом исправлений. >> Это вы сейчас знаете, что этот коммит является полным исправлением уязвимости. Потому что вам добрые дяди об этом рассказали в DSA. > Я и не спорю. И в восемнадцатый раз вам повторяю — это > вам и мне нужны DSA. А людям, которые на дырках в > ПО зубы съели, DSA не нужны — они сами в состоянии > их писать, но предпочитают иметь профит с эксплуатации. >> А тогда - это был просто коммит. Часть промежуточной работы мейнтейнера, которую он мог обсуждать еще далее в рассылках, которая вполне могла бы и не быть реальным исправлением проблемы. > Если бы я зарабатывал на жизнь эксплуатацией дырок, я с удовольствием бы > ревьюил ВСЕ коммиты в популярные сервисы популярных дистрибутивов. > И что, блин, значит «могла бы быть»? Он программист или где? Вы > программист или где? >> Что, теперь на ушко только шептаться мейнтейнерам? > если честно, мне пофиг, что будут делать maintainerы. но выкладывать фикс критической > баги за неделю до релиза пакетов с фиксом — фейл. >>> пруф? >> Для детишек, по-русски, со всеми интригами, скандалами и расследованиями (комментарии): >> http://vitus-wagner.livejournal.com/279779.html > Для фанбоев, по-английски, со ссылками и прочим — http://www.gergely.risko.hu/debian-dsa1571.en.html > А вот тот самый тред в рассылке openssl: http://marc.info/?l=openssl-dev&m=114652287210110&w=2 >> What I currently see as best option is to actually comment out those 2 lines of code. >> But I have no idea what effect this really has on the RNG. > Ну так разберись. Сначала. >> The only effect I see is that the pool might receive less entropy. > Я был неправ, он догадывался. >> But on the other hand, I'm not even sure how much entropy some unitialised data has. > Но потестить, как именно комментирование повлияет на энтропию, по всей видимости, не > хватило квалификации. >> If it helps with debugging, I'm in favor of removing them. (However the last time I checked, valgrind reported thousands of bogus error messages. Has that situation gotten better?) > Что как бы намекает, что вызов MD_Update следовало завернуть в лучшем случае > в #infdef DEBUG … #endif, а не комментить. > Не говоря уже о том, что его никто не просил править варнинги > valgrind. Не говоря о том, что патчам, фиксящим варнинги, место в > первую очередь в апстриме, а не в debian. >>> Допустим, я знаю из DSA. Но black hats DSA не нужны — они прекрасно ориентируются в исходниках Openssh без помощи Security Team. >> Повторяю, и что? Теперь мейнтейнерам промежуточными результатами обмениваться между собой только передавая CD с кодом через банковские ечейки? > Я уже сказал, что. Думать головой. >> Опять вы перепутали ежа с ужом - и кто в этом виноват? Те, кто не хочет чтобы black hats смотрели на их прекрасный код - делают пропиетарное ПО. > Возможно, вы не в курсе, но это не сильно помогает, знаете ли.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру