LINUX.ORG.RU

Сколько уязвимостей тaит «блоатизм»

 , , , ,


0

2

Комрады, хочу обсудить такую тему. Не секрет что чем более сложный код тем больше там потенциальных ошибок, уязвимостей и прочего. Это справедливо для разных критичных частей системы типа ядра, инита и прочего. Но что насчет рабочего окружения? Насколько много потенциальных уязвимостей которые реально можно удаленно эксплуатировать против пользователя в окружениях (гнум, кеды, крыса и прочие)? Является ли оправданным использование минимального окружения (вм) и простых терминальных программ, если они конечно удовлетворяют потребности, как мера повышения безопасности рабочего места? Что вы думаете?

Ответ на: комментарий от Deleted

да ты че :)

ладно мы еще немножко подождем, когда профессия погромист станет совсем за миску риса. килотонны говнокода прилагаются. Каста шаманов оптимизаторов уже давно разобрана корпами, остальные не нужны.

anonymous ()
Ответ на: комментарий от anonymous

Не, ну можно было, конечно, насильно удерживать компьютеры и софт на том убогом уровне, что был в 70-80-е годы, чтобы пользоваться ими могли только красноглазые пердоли. Зато академическая чистота, стройность, малое потребление ресурсов - вприсядку наяривать можно.

Deleted ()
Ответ на: комментарий от anonymous

Проблема не в зарплатах. А в том, что индустрия загнала сама себя куда-то не туда. Представь, так бы самолёты делали. Или автомобили. Или медицина. Пришел такой: ой, доктор у меня простуда. А тебе выписали гормональные таблетки (которые заодно снижают температуру, допстим).

anonymous ()
Ответ на: комментарий от anonymous

Если под качеством ты подразумеваешь надёжность (а наверное так и есть, потому что качество ПО в общем только растёт), то сложная сущность в принципе не может быть столь же надёжной, как простая. Теория вероятностей тебе в помощь.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Ты споришь «абы переговорить», а не чтобы попытаться человеку что-то реально объяснить или понять самому. Наверное, это называется словом демагогия.

anonymous ()

Смотря какая безопасность тебе нужна. Закладок от товарища майора любой страны, скорее всего, не будет, если только не в коде библиотек, связанных с криптографией. А вот банальных ошибок любой софт содержит множество, ведь многие разрабы даже предупреждения компилятора игнорируют, не говоря уже о проведении тестирования и использования статических анализаторов

XMs ★★★★★ ()
Ответ на: комментарий от Deleted

Речь о том, что усложение в айти идёт непропорционально прогрессу. Это первое. А второе, что усложнения вовсе не означает линейное снижение надежности. А в айти оно стало даже более чем линейным. Не замечать этого - надо быть упоротым.

anonymous ()
Ответ на: комментарий от anonymous

Т.е. ты можешь пороть любую хрень, а когда собеседник высказывает сомнения в ней или просит объяснить, каким образом ты к ней пришёл - ты прячешься за обвинениями в демагогии? Ничо так, в духе SJW-визглятиков.

Deleted ()

Потенциально блоб это не только узкоспециализированная прошивка для обеспечения логики работы например аппаратного декодирования видео. Эту часть наверняка запрещено открывать для закрытых стандартов видео. Но для VP9 или AV1 код можно было бы открыть без проблема. Чаще блоб это тот же линукс и часть из них взламывали - например драйверы wifi. Уязвимость сплошная учитывая древность ядер, используемых в прошивках. Это как те же древние роутеры - их миллионы дырявых выброшенных производителями из числа поддерживаемых в актуальном состоянии. WM использовать очень даже хорошо и полезно в том числе для повышения скорости и стабильности работы системы. Обычно WM сочетается с панелью, программой назначения клавиш (sxhkd), чтобы не заниматься их назначением в каждом WM/рабочем столе. Поглядеть сколько критических ошибок было найдено во Fluxbox или любом другом, и станет ясно, что они намного безопаснее. Ударяться в минимализм не обязательно. Просто файловый менеджер обычно прибит гвоздями к какому-нибудь рабочему столу. Это не касается SpaceFM или терминальных файловых менеджеров таких как nnn, ranger. Для Sway есть программа назначения фона рабочего стола Azote, но не факт, что его во все дистрибутивы завезли. Так что проблемы создаются из-за того, что разработчики рабочих столов прибивают гвоздями файл менеджеры к тулкитам вроде gtk, qt и своим библиотекам. Иначе ничто не мешало бы поставлять рабочие столы на основе WM. Уязвимостей везде хватает из-за этих привязок. Так что лучше собирать конструктор самостоятельно и без блобов. Поэтому разработчики Sway показали средний палец блобам от нвидии. Проблема еще состоит в насильно проталкиваемых программах от ред хата. Особенная опасность это системд и пульсаудио. Им помогают в перетаскивании мозилловцы, перестав выкладывать фаерфокс, скомпилированный с поддержкой alsa и jack. Так что проблемы тут в навязывании баговых программ, которые живут своей жизнью. Безопаснее и быстрее использовать openrc/runit для запуска системы и alsa/jack для вывода звука, а также открытый драйвер radeon/amdgpu для видео и сетевые/wifi карты, которые работают без блобов. Стабильность они тоже повышают. Проблема людей, выбирающих дистрибутив сводится к тому, что они полагаются на разработчиков, которые полагаются на команды, собирающие рабочие столы, которые собираются с использованием тулкитов. Слишком неочевиден для новичков весь этот бред. Ни одного падения Fluxbox я не видел. Новичкам даже не скажут, что им дурят мозги производители жирных рабочих столов, системд, пульсаудио.

anonymous ()

Является ли оправданным использование минимального окружения (вм) и простых терминальных программ, если они конечно удовлетворяют потребности, как мера повышения безопасности рабочего места? Что вы думаете?

Очевидно что чем из меньшего кол-ва кода состоит система тем меньше поверхность атаки, а уж за что этот код отвечает - дело десятое. Есть смешные примеры когда комп взламывали через. . . антивирус или статья на хабре буквально пару дней назад - взлом через ARM TrustZone - защитный модуль который как раз и должен предотвращать такие вещи)

BLOBster ★★ ()

повышения безопасности рабочего места

Не имеет смысла: насколько мне известно, в x11 любое окно может слушать клавиатурные события любого другого окна, например, терминала с sudo или любой gtk/qt обёртки над sudo… если только они не запущены отдельно от основной x11-сессии (wayland?). Но в минимальном окружении они не будут запущены отдельно.

Начни с векторов атаки, а?

x3al ★★★★★ ()
Ответ на: комментарий от Deleted

А я о том же. Дырки в софте могут не мешать безопасности.

Нет, тут правильнее будет сказать, что сертификация никак не связана с безопасностью.

anonymous ()

Простое правило гласит: чем больше плазма шкаф, тем громче падает. В контексте ПО это означает, что чем больше кода, тем выше вероятность это самое ПО сломать. Замечали, что GNOME, KDE и прочие наборы программ системы «шаровары» «DE» у людей падают регулярно, часто именно из-за того, что проекты большие, и баги выловить на порядок сложнее. Бэкдоры, кстати, встроить при таком подходе куда легче, помните об этом.

Является ли оправданным использование минимального окружения (вм) и простых терминальных программ, если они конечно удовлетворяют потребности, как мера повышения безопасности рабочего места?

Если как мера предотвращения «падений» — безусловно. О шпионаже всяких «мигокопрораций» думать не надо: во-первых, среднестатистический пользователь «линуксов» — как неуловимый Джо, то есть никому нафиг не сдался, а во-вторых, как говорил пан «иммолейт импрувд», вероятность слива «инфы» преступниками или же корпорациями «крайне мала». Ибо в придачу к статусу «неуловимого Джо» идёт маленький потребительский рынок, плюс вой нешуточный поднимется, это не любители «оффтопика», которые к нему так привыкли, что всё стерпят (справедливости ради, Microsoft о зондах хотя бы предупреждает). Дяди-линуксоиды просто возьмут и уйдут...

Что-то меня понесло. Пойду морковки поем.

Korchevatel ★★★★ ()
Ответ на: комментарий от anonymous

тут правильнее будет сказать, что сертификация никак не связана с безопасностью

Смотря какая цель у говорящего такое. Если потешить своё ЧСВ - то наверное да.

Deleted ()
Ответ на: комментарий от Cogniter

Уже давали список, твой ответ был что то типа такого: «А вы знаете ОС лучше?!». Ну в общем то я скорее к тому что не идеал, а не к тому что астра ужасна.

insw ()
Последнее исправление: insw (всего исправлений: 1)
Ответ на: комментарий от anonymous

Зачем ты с ним споришь? Наш казах копирайтер уже в треды про плюсы против раста залазит со своим авторитетным мнением. Достойная замена шаману.

anonymous ()
Ответ на: комментарий от anonymous

Эту часть наверняка запрещено открывать для закрытых стандартов видео.

Зачастую эти IP делаются сторонними фирмами (для AMD например TrueAudio и UVD - это блоки от Tensilica) и там юридические дебри с аутсорсом.

devl547 ★★★★★ ()
Ответ на: комментарий от anonymous

И да, агрессивных аттенш-вхор просто игнорь. Ну, серьезно. Ты же не смотришь по телеку выступления с Мизулиной или Жириновским? А тут примерно то же самое. ИРЛ же: поступай пожёстче :-)

anonymous ()

Про стоимость недоверия

Является ли оправданным

Любая попытка обеспечить безопасность(или вообще что угодно, кроме комфорта или эффективности) гарантирует потери ресурсов «в борьбе за это». Отказ от «борьбы» всего лишь увеличивает ожидание потерь.

Т.ч. часто всё сводится к вопросу «насколько ты боишься жить?».

DonkeyHot ★★★★★ ()
Ответ на: комментарий от Deleted

В Astra Linux, сертифицированном ФСБ, используется графическая среда на базе KDE, а не красноглазые WM. Как пример.

Как недавно выяснилось: https://www.linux.org.ru/forum/security/15308457?cid=15394293 это очень плохой пример.

Они не только KDE со скриптами с JIT используют но также сЫстемдЫ! И в куче этого дерьма хранятся тайны нашей Родины!

А мандаьный контроль доступа, защищающий гостайну РФ, в Астра Линукс доверяют писать только штатным сотрудникам АНБ. 8-)

Лет 10 назад слал свое резюме в Астру, хорошо что не пошол к ним…

Сегодняшний KDE-5 - рассадник вирусов в GNU/Linux.

anonymous ()

Насколько много потенциальных уязвимостей которые реально можно удаленно эксплуатировать против пользователя в окружениях (гнум, кеды, крыса и прочие)?

Сколько угодно

Является ли оправданным использование минимального окружения (вм) и простых терминальных программ, если они конечно удовлетворяют потребности, как мера повышения безопасности рабочего места?

Нет

Что вы думаете?

ТС набивает скор. Язабан.

xDShot ★★★★★ ()