LINUX.ORG.RU

Линус нарочно скрывает «дырки» в ядре?


0

0

Набрёл на очень интересное обсуждение на LKML:

http://lkml.org/lkml/2008/7/14/449

Линус выдал следующий перл (см. http://lkml.org/lkml/2008/7/15/648 )

> I expressly told you that security bugs should not be marked as such, because bugs are bugs.

Чего это у них там в Америке растёт-то? Сначала RMS какую-то чепуху молол про пустые пароли, теперь вот Линус...

★★★

Re: Линус нарочно скрывает "дырки" в ядре?

Угу, и злое ядро проверяет насколько носитель ro и пытается на него для профилактики пописать.

sin_a ★★★★★ ()
Ответ на: Re: Линус нарочно скрывает от Dselect

Re: Линус нарочно скрывает

С моим познанием английского и помощью гугл-транслейта я это прочел как "не надо выделять ошибки безопасности в особую категорию, всё это ошибки".

sin_a ★★★★★ ()
Ответ на: Re: Линус нарочно скрывает от Dselect

Re: Линус нарочно скрывает

> Смешного мало. Теперь нужно просматривать все патчи :(

А почему мнение Линуса кого-то интересует? Разве заинтересованные лица не могут совместными усилиями постить аннотированный changelog?

gods-little-toy ★★★ ()
Ответ на: Re: Линус нарочно скрывает от gods-little-toy

Re: Линус нарочно скрывает

> А почему мнение Линуса кого-то интересует?

Как бы это так сказать, помягче... То, что неинтересно лично Линусу, никогда не попадало (и не попадёт) в mainline. Несмотря на технические преимущества (см. PaX, grsecurity, RSBAC, reiser4).

> Разве заинтересованные лица не могут совместными усилиями постить аннотированный changelog?

Это будет fork. А всё из-за того, что каким-то [censored] чудо-хацкерам трудно написать в NULL|(invalid pointer) dereference, и хотя бы на минутку задуматься о последствиях...

Dselect ★★★ ()

Re: Линус нарочно скрывает "дырки" в ядре?

Линус в своем репертуаре:)

Demon37 ★★★★ ()

Re: Линус нарочно скрывает "дырки" в ядре?

Позиция Линуса ясна:

"In either case it's just stupid to mark them. I don't want to do it, because I don't want to perpetuate the myth of "security fixes" as a separate thing from "plain regular bug fixes".

They're all fixes. They're all important. As are new features, for that matter."

Но мне почему-то кажется, что в данном вопросе он ошибается.

Demon37 ★★★★ ()
Ответ на: Re: Линус нарочно скрывает от sin_a

Re: Линус нарочно скрывает

> С моим познанием английского и помощью гугл-транслейта я это прочел как "не надо выделять ошибки безопасности в особую категорию, всё это ошибки".

Примерно так (хотя там весь тред читать надо). Народ жалуется, что только за последний месяц было исправлено с десяток ошибок, под которые на раз пишется local root exploit. А Линус всё равно не считает нужным указывать, что патч исправляет ошибку, связанную с безопасностью, и шлёт всех лесом. Дескать, нате вам, юзвери, новое -stable, и обновляйтесь. А что, почему, и как -- не вашего ума дело.

Dselect ★★★ ()
Ответ на: Re: Линус нарочно скрывает "дырки" в ядре? от Demon37

Re: Линус нарочно скрывает

> They're all fixes. They're all important. As are new features, for that matter."

Плевать на новые фичи. Они нужны одиноким юношам, которые не понимают, что деньги надо тратить не на то, чтоб кормить Интёлъ и Nvidiё.

Dselect ★★★ ()

Re: Линус нарочно скрывает "дырки" в ядре?

> Если кому-то нужно или хочется заниматься security fixes, флаг ему в руки.

Линус же не сказал, что отказывается принимать патчи для устранения проблем безопасности. Просто он расставил приоритеты. Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

Если каждый начнет сам для себя заниматься исправлением уязвимостей в безопасности, получится черт знает что. Централизация здесь необходима.

Demon37 ★★★★ ()

Re: Кто-то путает свободу и безответственность...

> Мало Вам виндовозных ботнетов, хотите ещё, чтоб Linux'овые появились?

У тебя начинается ФГМ. Сходи в отпуск, проспись, сходи в кино (на выбор).

anonymous ()
Ответ на: Re: Линус нарочно скрывает "дырки" в ядре? от Demon37

Re: Линус нарочно скрывает "дырки" в ядре?

> Линус же не сказал, что отказывается принимать патчи для устранения проблем безопасности. Просто он расставил приоритеты. Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

да, в большинстве случаев это как минимум так... я, например, предпочту драйвера с дырой, чем никаких драйверов.

> Если каждый начнет сам для себя заниматься исправлением уязвимостей в безопасности, получится черт знает что. Централизация здесь необходима.

необходима - централизуйте... создавайте центр...

gods-little-toy ★★★ ()
Ответ на: Re: Линус нарочно скрывает "дырки" в ядре? от Demon37

Re: Линус нарочно скрывает "дырки" в ядре?

> Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

Правильно одинаковый самый высший приоритет.

anonymous ()
Ответ на: Re: Линус нарочно скрывает "дырки" в ядре? от gods-little-toy

Re: Линус нарочно скрывает "дырки" в ядре?

> я, например, предпочту драйвера с дырой, чем никаких драйверов.

Сколько же ОСей уже испоганили (и сколько ещё испоганят) из-за таких "беззаботных" юзверей!

Dselect ★★★ ()

Re: Линус нарочно скрывает "дырки" в ядре?

Кстати я тут подумал. Раз Линус заделался сейчас в маркетойды, то надо рассматривать этот его шаг с позиции маркетинга.

Так вот. Кто не видел get-the-fuckt бояна в котором столбик «количество багов в линукс» превышало аналогичный для винды в 10 раз, а количество критических багов было выше, чем общее количество багов в винде?

Так что выделять особо security-патчи для ядра и правда не стоит. На этом будет строить говно-PR M$. И чем больше багов исправят, тем удачнее будет говно-PR.

anonymous ()
Ответ на: Re: Линус нарочно скрывает "дырки" в ядре? от anonymous

Re: Линус нарочно скрывает

> Раз Линус заделался сейчас в маркетойды,

... то Linux можно закапывать рядом с могилой NT.

> Так что выделять особо security-патчи для ядра и правда не стоит.

Ага, да, как же иначе бедные (анти)вирусописатели кормиться-то будут?

> На этом будет строить говно-PR M$.

Во-первых, собака лает -- караван идёт. А во-вторых, пусть строят. Любой PR, благодаря которому люди узнают о существовании Linux, -- это хорошо.

Dselect ★★★ ()
Ответ на: Re: Линус нарочно скрывает от Dselect

Re: Линус нарочно скрывает

>> Раз Линус заделался сейчас в маркетойды,

> ... то Linux можно закапывать рядом с могилой NT.

ПО или распространено или мертво.

Как-то так...

sin_a ★★★★★ ()

Re: Линус нарочно скрывает "дырки" в ядре?

>I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.

какой толстый тролль! надо его на лор позвать на курсы тонкого троллинга.

anonymous ()
Ответ на: Re: Линус нарочно скрывает от Dselect

Re: Линус нарочно скрывает

Жутики. Надеюсь они как-то все-таки девелопинг ядра устаканят. А сейчас для сборки ядра под сервер выкидываем как и раньше все лишнее нах. Это, конечно, не спасет от дыр в менеджере памяти или загручике elf, но от кучи реальных и потенциальных дыр в кривых драйверах вполне.

Valmont ★★★ ()
Ответ на: Re: Линус нарочно скрывает от pawnhearts

Re: Линус нарочно скрывает

Ну почему же? config в редхадовском ядре (src.rpm) поменять на свой и пересобрать. Если реально нужно пуленепробиваемое ядро, тогда rhel4, а не пять. Его, имхо, можно сравнить по стабильности с 4 веткой freebsd. С той разницей, что оно поддерживается пока еще. Насколько я смотрел, все громкие баги в ближайшем прошлом шли мимо, то есть после этого ядра ( на основе 2.6.9. )

Valmont ★★★ ()

Линус прав.

Помимо дыр, позволяющих перехват управления, опасны также и баги, из-за которых может произойти потеря данных или остановка системы. Чтобы вводить понятие "security bug", нужно сделать классификацию ошибок, понять, какие из них опаснее и т. д. Неочевидно, чего от этого будет больше: внимания разработчиков к опасным ошибкам или внимание к ним же хакеров и PR-отделов разработчиков других ОС.

array ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.