Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.
В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.
===
Перевожу на русский. Что произошло.
Линукс пишут типа всем миром, любой может прислать исправления в проект. В команде разработки сидят специальные люди, которые проверяют и тестируют исправления от таких вот анонимусов. И вот, два васяна прислали патчи с заранее встроенными уязвимостями, и они мало того, что не были найдены, а были приняты и отправлены в продакшн, об этих уязвимостях команде разработчиков сообщили сами васяны. Т.е. уязвимости так и не были найдены.
В ответ разработчики встали в позу обиженок и анально огородились.
Реальность линукса, ув. друзья, представляет собой горький катаклизм. Внезапно выяснилось, что любой васян может отправить в ядро любые бэкдоры и уязвимости, и они прокатывают. То есть хваленая безопасность линукса, как бы контролируемая сообществом, это лживый миф. А сколько таких бэкдоров и уязвимостей уже есть в ядре?
Неужели всё так и было задумано с самого начала?
Возникает интересный вопрос о реальных выгодоприобретателях этого бардака... Открытого и бесплатного линукса.
Комментарии
Ну не может быть (насколько я знаю) у простого пользователя прав на чтение диска. Только на чтение файлов на диске. Нету там каталога /dev как в юниксах.
Вы зря применяете опыт посикс на винду, эти системы выросли из прямо противоположных идей (универсальная ОС для личного компьютера у винды и конструктор спец. ОС для корпоративной машины - у посикс). Лучше, возьмите в команду админа, который знает винду., ну или какой-никакой курс по администрированию пройдите.
Что касается доступа. то винда ограничивает доступ на объекты. Диск - это такой же объект, и да, к нему тоже можно ограничить доступ. Откройте свойства диска и переключитетьсь в закладку "Безопасность", там все будет.
Именно в нём и есть проблемы с поиском библиотек и нефункционирующим IDE.
Я не силен в посиксу в винде, но проблема с библиотеками выглядит либо как ненастроеные права, либо как пропущенные пути в настройках для поиска.
По IDE который гуй? А х сервер какой?. Народ советует VcXsrv Windows X Server
Так они там утрамбованы в хаскелевскую систему установки. Сейчас попробую воспроизвести
https://github.com/leksah/leksah
Из msys2. Который устанавливается через Haskell stack.
про мсыс2 вообще ничего не скажу, сами хаскели рекомендуюб шоколати. Указанная IDE уже имеет сборку под винду. что мешает ее использовать?
Одним словом все это странно для меня, почему именно такое решение и в чем именно затык. Боюсь я тут мало чем помогу.
Рекомендуют https://docs.haskellstack.org/en/stable/README/.
А в leksah второй строчкой после ghc предлагают ставить msys2.
Где? Я не нашёл.
Затык выглядит так:
При том, что в C:\Users\Monk\AppData\Local\Programs\stack\x86_64-windows\msys2-20200903\mingw64\bin файл libcairo-gobject-2.dll есть и gtk-demo запускается.
По шоколадке увидел тут: https://www.haskell.org/platform/windows.html про мсыс ничего не сказано.
Под винду видел старые наверно сборки: http://www.leksah.org/packages/
По ошибке, региональные настройки какие? случаем не Россия?
Смотрю все в пользовательском каталоге лежит? А что в нормальные каталоги не вынесли?
Нашёл решение по ошибке: оказалось надо zlib1.dll скопировать из msys2 в ghc (как они это нашли?).
Теперь новая беда: в Gtk-demo tree-view падает при начале редактирования ячейки. В общем, как-то в линуксе всё это меньше глючило.
То, что глучит в режиме эмуляции - это не удивительно, писать переносимые решения уже давно никого не учат. Но возникает вопрос, а что мешает нативно хаскель запускать в WSL? Вроде как давно уже все работает там. Или планируется писать именно под винду на нем? Тогда почему VS не использовать?
В WSL нет графики.
Планируется под винду. Сейчас переносимое пишу на Racket. Haskell имеет гораздо больше полезных библиотек (потому что на нём больше пишут). Но GUI под винду регулярно ломают. В версии 8.8.2 вообще компилятор поломали.
Мне не столько IDE нужен, сколько GUI в скомпилированной программе. А его нет. Когда-то был wx, но на нынешней версии ghc уже не собирается. Компиляция и запуcк leksah'а показывали,что GUI более-менее работает. Примерно 3 года, как забили на винду.
И по остальным языкам программирования схожая ситуация: rust, go, даже python. В линуксе всё просто работает. В винде надо сначала поплясать вокруг. Что-то переносимое можно писать только на C++, Java, С# или Racket.
Так VcXsrv Windows X Server, как раз и добавляет графику для WSL:
https://sourceforge.net/p/vcxsrv/wiki/Home/
https://habr.com/ru/post/412633/
https://www.comss.ru/page.php?id=5609
Благодарю! Поковыряю. Хотя вроде скоро штатно будет: https://www.theverge.com/2021/4/21/22396018/microsoft-windows-10-linux-g...
Я не силен в посиксу в винде, но проблема с библиотеками выглядит либо как ненастроеные права, либо как пропущенные пути в настройках для поиска.
По IDE который гуй? А х сервер какой?. Народ советует VcXsrv Windows X Server
> Это наследие "безинтернетного мира".
Для XP ? не помню про Win2000 (которая на мой взгляд была "лучшей Windows", во всяком случае лучше хрюши), но XP умела драйвера скачивать из репозитория.
Не все производители железок опакечивали свои драйвера в репозиторий, и недавно Майкрософт выкинула из репозитория все обновления (в том числе и свои) для XP/2003 и может быть других старых систем. Но это и с Линуксами то же самое.
Я говорил про то и другое от 2010 года.
Это Вы уж самостоятельно что-то домыслили про 2001 год.
Тогда не подскажете версию драйверпака, который Вы использовали в 2010 году на WinXP?, Знаю, не подскажете, потому что такового нет. И если винда без сервиспаков, то у Ваc был набор драйверов от 2001 года. И даже сейчас, он не изменился, хотя сейчас 2020 год и в линупсах он обновляется для 64 битных версий для новых версий и в 10ке тоже обновляется.
Точно не подскажу, но думаю, что это был SP2. Хотя и SP3 тоже может быть.
Винда была не лицензионная.
А Вы -- с электроникой тоже знакомы? Знаете, что такое CH340G и FT232RL?
В любом случае, набор драйверов в винде был устаревший. по сравнению с убунтой, поэтому странно ,что Вы ожидали увидать там драйвера на это устройство.
С электроникой я на Вы. но в принципе, что это за звери знаю (комы никогда не нравились, почемуто, я с центрониксами дело имел, было время), видать программатором простым пользуетесь.
8 апреля 2014 года прекращена поддержка операционной системы Windows XP — спустя 12 лет после ее выхода.
Откуда взялся именно 2001 год?
Прозрачно-закономерно-тенденциозный намёк на то, что в угоду *продажам* новых версий ОС майкросовт не демонстрировал активности в деле обновления базы драйверов своей лучшей ОС.
Windows Vista была выпущена 30 января 2007 года.(Извиняюсь за викиссылку)
Но всё равно не 2001 год. Или я про какое-то поделие от мелкомягких не знаю?
Спасибо за уточнение.
Но судить по одним только датам оффициальных выпусков не вполне корректно.
Пользователя нужно психологически подготовить, дать ему смириться с запланированной (корпорастами) тратой.
Что, опять же, не претендует на целостное описание лоскута из ткани бытия.
Вы действительно не понимаете?
Смотрите. все очень просто, в виндовс есть встроеный набор драйверов, который идет с дистрибутивом. Хроюша вышла в прод в конце 2001 года, соответственно база драйверов на основную версию относится именно к 2001 году. Даже если сегодня ее использовать, то новых драйверов там не появится ни завтра, ни даже в 2012 году они автоматически туда не добавлялись. Даже если включить поиск в виндовс апдейте. то туда, на 2010 год попадали только критические обновления на уже существующие в базе драйвера. Последний апдейт винды был в 2008 году, то есть, если стоял SP3, тогда считайте, что у вас база, обновленная в 2008 году в лучшем случае, не более того.
Если же готовить про убунту. то именно эти устройства появились в базе драйверов в 11 году, самое раннее, а скорее всего именно в 12м. Более того, изначально этот чип вышел вроде в 2005 году. То есть убунту его дабавила в базу спустя почти 7 лет., хотя драйвера были изначально для ядер с версии 2.4., но для даже для вин 98 они тоже существуют. Так что не вижу тут никакого преимущества линупсов,вообще и убунты в частности, кроме тормознутости последней ).
достаточно ему про _NSAKEY напомнить
Напомните уж, будьте добры ) особенно с пояснениями, как, что и куда при этом передается и попадает. При этом очень хотелось бы узнать, у Вас есть смартфон или нет? Ну вы поняли ))
OpenMoko — наше фсио!
А почему Вас это так сильно раздражает?
А реклама Виндовс Вас не раздражает? А почему?
Ложь - мать всех преступлений. И то ,что я указал, это не "реклама", это обычная ложь, которую идиоты с горящими глазами разносят как заразу.
Реклама винды? Вот честно, даже не помню, когда последний раз ее видел, или слышал. Наверно она существует, но "почему-то" набросов про "лучший линупс" на каждом углу. как.... после схода снега )
ваще:
Ну вроде как многие получали вышку (С),===многих приговорили к высшей мере наказания- расстрелу. (из СССР) далее по тексту...
-- Шеф! У нас дыра в безопасности.
-- Ну слава богу! Хоть что-то у нас в безопасности!
Дыра! Дыра! Линукс -- решето!!! Капуец. Мы все умрём! -- Что за паника такая?
Что, с того, что проскочила уязвимость? Что, от этого Линукс стал хуже что ли? Прям весь-весь? Прям в одночасье всё сломалось и всё завирусилось. Чо за истерика?
Ну обнаружили канал проникновения. Молодцы! Сделали соответствующие выводы и идём дальше.
Вот, прежде чем нагнетать, лучше прикиньте на практике... Наверняка у каждого более-менее ИТ-шника есть в окржении и Линукс-пользователи, и Виндовс-пользователи. Просто сравните по факту использования Линукса и Виндовска -- у каких пользователей какие обычно проблемы возникают. Как часто возникают? Вот и делайте выводы по качеству этих ОС на основе практического использования, а не на страшилках.
Наверное, защита должна быть комплексной.
Внешний периметр, к примеру pfSense,
НАС - FreeNAS/XigmaNAS
Сервера по профилю - Linux/Windows
Рабочие станции по решению конкретных задач - Linux/Windows.
Антивирусы опять же...
А, главное, напугать юзеров, по сайтам не лазить, левую почту не открывать, иначе всё восстановление
за ваш счёт!
Да-да, конечно.
Для фрюниксов антивирус — предмет первейшей необходимости.
Я винду имел в виду!
KolibriOS бы допилили наши, было бы занимательно и замечательно. Парк ПО для колибри никакой, но сама оська весьма интересная имхо :) Еще со времен БеОСа слежу (беось еще на диске покупал, лежит до сих пор). И насколько опять же помню, на колибри для РЖД сделали то, с чем на QNX не совладали.
п.с. если что - я в курсе, что беось не наши писали. Но калибри наши ребята делают. Ставил на несколько машинок - запускается за пару секунд (что не удивительно), работает.
Офис, ПДФ и браузер бы туда... Хватило бы большинству домохозяек :) А если еще графпакет какой-нибудь и что-то типа нотепад+ - так и вовсе бы красота была.
TinyPad, Table, uPDF, WebView, NetSurf
Я наверное не совсем внятно мысль изложил. Оно не только быть в наличии должно, но и совместимость иметь (с мс офисом, опенофисом, чтобы браузер умел современную вёрстку понимать и т.п.). Чтобы можно было мигрировать (тем кто хочет) и работать (тем, кого принудят) со старыми собственными файлами хотя бы (да и в тех же контактиках посидеть).
Когда я смотрел последний раз колибри (несколько лет назад) там с этим было туговастенько. Но сама ось мне очень нравится. Собственно, мне и беось нравилась. Правда беось целый компакт занимает у меня (с кучей всякого), а колибри на дискету 1.44 умещается в минималке (но с граф режимом и всякими сапёрами)
Угу. 1 МБ операционная система, 130МБ офис, ещё сотню браузер. И чем оно тогда по итогу от Linux/FreeBSD отличаться будет?
Вы зайдите на их форум, почитайте.
Вся ОС, включая графический рабочий стол, написана на Ассемблере, оттого такие малые размеры и скорость работы.
Если напишут офис, то он займёт метров 50 со всеми прибабахами, браузер, точнее "ядро" браузера уже есть и работает, допишут интерпретатор явы, метров 10-20. Даже если раздуют до 200 МБ то это не сравнить с 2,5 ГБ для Вин ХР, 12 ГБ Для Вин 7 только чистой системы без приложений или 8 ГБ АльтЛинукс со всеми примочками.
Не оттого, что на Ассемблере, а оттого, что забили на совместимость. POSIX нет, X Protocol нет, SMP нет.
Если без совместимости, то он есть. А если нужен совместимый, то придётся написать всё то же самое, что уже есть (формулы, скрипты, весь вагон стилей, ...) и это не будет 50 мегабайт.
Опять вопрос совместимости. Интерпретатор явы требует переделать всю структуру вывода страницы (нужно держать в памяти весь XML DOM) и по объёму будет не менее, чем V8. Либо будет поддерживать только подмножество JS и тормозить на крупных программах (как сейчас в NetSurf).
Если их все переписать на ассемблере, будет немногим меньше.
Неплохая ОСь. Специфичная. Юзал. Понравилась, но применения не нашлось.
Там FAT32, что "есть не гуд", а вообще система прикольная, пробовал. Со всеми приложениями и играми - чуть больше 30MB и скорость дикая.
А в чём здесь ваше авторство и где ссылка на оригинал?
Фтопку!
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
Всё есть в исходниках - проверяйте сами на бэкдоры, нечего надеяться, что это будут делать другие.
С линуксом у меня проблем безопасности не было, в отличие от винды с вирусами.
"Винда дырявая!", "Линукс -- решето!" -- это всё домыслы и инсинуации.
А есть практика. Практика показывает истинное положение дел.
Мало ли кто и что говорит! Слова ничего не значат.
Смотрите, что реально происходит и делайте выводы.
Поправьте, если не прав:
В мире на компах:
Окна=97%
Остальное=3%
О какой буре в стакане воды идет речь?
а ну да, ну да..А поговорить...
Приведу слова коллеги: "Видовс на сервер? Да это как размахивать опасной бритвой возле гениталий. С закрытыми глазами..."
По поводу войны за "дрова".
У меня установлен АльтЛинукс 9, в инет выхожу через USB-модем. Могу взять модем любого производителя, вставить свою карточку и запустить уже существующее соединение.
В Виндовсе такое без дополнительных телодвижений не сделать. Там на каждый девайс свои драйвера и свой дашборд, в общем настоящий "менингит геморрроя"
Ну ноль помножили на ноль, так что ничего страшного не произошло, любая система из коробки ничего такого в плане безопасности не предоставляет.
Страницы