Угу, и злое ядро проверяет насколько носитель ro и пытается на него для профилактики пописать.

Смешного мало. Теперь нужно просматривать все патчи :(

С моим познанием английского и помощью гугл-транслейта я это прочел как "не надо выделять ошибки безопасности в особую категорию, всё это ошибки".

> Смешного мало. Теперь нужно просматривать все патчи :(

А почему мнение Линуса кого-то интересует? Разве заинтересованные лица не могут совместными усилиями постить аннотированный changelog?

> А почему мнение Линуса кого-то интересует?

Как бы это так сказать, помягче... То, что неинтересно лично Линусу, никогда не попадало (и не попадёт) в mainline. Несмотря на технические преимущества (см. PaX, grsecurity, RSBAC, reiser4).

> Разве заинтересованные лица не могут совместными усилиями постить аннотированный changelog?

Это будет fork. А всё из-за того, что каким-то [censored] чудо-хацкерам трудно написать в NULL|(invalid pointer) dereference, и хотя бы на минутку задуматься о последствиях...

Линус в своем репертуаре:)

Позиция Линуса ясна:

"In either case it's just stupid to mark them. I don't want to do it, because I don't want to perpetuate the myth of "security fixes" as a separate thing from "plain regular bug fixes".

They're all fixes. They're all important. As are new features, for that matter."

Но мне почему-то кажется, что в данном вопросе он ошибается.

> С моим познанием английского и помощью гугл-транслейта я это прочел как "не надо выделять ошибки безопасности в особую категорию, всё это ошибки".

Примерно так (хотя там весь тред читать надо). Народ жалуется, что только за последний месяц было исправлено с десяток ошибок, под которые на раз пишется local root exploit. А Линус всё равно не считает нужным указывать, что патч исправляет ошибку, связанную с безопасностью, и шлёт всех лесом. Дескать, нате вам, юзвери, новое -stable, и обновляйтесь. А что, почему, и как -- не вашего ума дело.

> They're all fixes. They're all important. As are new features, for that matter."

Плевать на новые фичи. Они нужны одиноким юношам, которые не понимают, что деньги надо тратить не на то, чтоб кормить Интёлъ и Nvidiё.

imho, free soft - каждый делает, то что нравится. Если кому-то нужно или хочется заниматься security fixes, флаг ему в руки.

Кто-то путает свободу и безответственность...

Мало Вам виндовозных ботнетов, хотите ещё, чтоб Linux'овые появились?

> Если кому-то нужно или хочется заниматься security fixes, флаг ему в руки.

Линус же не сказал, что отказывается принимать патчи для устранения проблем безопасности. Просто он расставил приоритеты. Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

Если каждый начнет сам для себя заниматься исправлением уязвимостей в безопасности, получится черт знает что. Централизация здесь необходима.

> Мало Вам виндовозных ботнетов, хотите ещё, чтоб Linux'овые появились?

У тебя начинается ФГМ. Сходи в отпуск, проспись, сходи в кино (на выбор).

> Линус же не сказал, что отказывается принимать патчи для устранения проблем безопасности. Просто он расставил приоритеты. Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

да, в большинстве случаев это как минимум так... я, например, предпочту драйвера с дырой, чем никаких драйверов.

> Если каждый начнет сам для себя заниматься исправлением уязвимостей в безопасности, получится черт знает что. Централизация здесь необходима.

необходима - централизуйте... создавайте центр...

> Оказывается, что по его мнению у уязвимостей и новых фич одинаковый приоритет :)

Правильно одинаковый самый высший приоритет.

Пока гром не грянет, мужик не перекрестится.

> я, например, предпочту драйвера с дырой, чем никаких драйверов.

$SUBJ.

> я, например, предпочту драйвера с дырой, чем никаких драйверов.

Сколько же ОСей уже испоганили (и сколько ещё испоганят) из-за таких "беззаботных" юзверей!

Кстати я тут подумал. Раз Линус заделался сейчас в маркетойды, то надо рассматривать этот его шаг с позиции маркетинга.

Так вот. Кто не видел get-the-fuckt бояна в котором столбик «количество багов в линукс» превышало аналогичный для винды в 10 раз, а количество критических багов было выше, чем общее количество багов в винде?

Так что выделять особо security-патчи для ядра и правда не стоит. На этом будет строить говно-PR M$. И чем больше багов исправят, тем удачнее будет говно-PR.

> Раз Линус заделался сейчас в маркетойды,

... то Linux можно закапывать рядом с могилой NT.

> Так что выделять особо security-патчи для ядра и правда не стоит.

Ага, да, как же иначе бедные (анти)вирусописатели кормиться-то будут?

> На этом будет строить говно-PR M$.

Во-первых, собака лает -- караван идёт. А во-вторых, пусть строят. Любой PR, благодаря которому люди узнают о существовании Linux, -- это хорошо.

>> Раз Линус заделался сейчас в маркетойды,

> ... то Linux можно закапывать рядом с могилой NT.

ПО или распространено или мертво.

Как-то так...

>I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that nothing else matters to them.

какой толстый тролль! надо его на лор позвать на курсы тонкого троллинга.

Жутики. Надеюсь они как-то все-таки девелопинг ядра устаканят. А сейчас для сборки ядра под сервер выкидываем как и раньше все лишнее нах. Это, конечно, не спасет от дыр в менеджере памяти или загручике elf, но от кучи реальных и потенциальных дыр в кривых драйверах вполне.

> А сейчас для сборки ядра под сервер
под домашний сервер если только

Ну почему же? config в редхадовском ядре (src.rpm) поменять на свой и пересобрать. Если реально нужно пуленепробиваемое ядро, тогда rhel4, а не пять. Его, имхо, можно сравнить по стабильности с 4 веткой freebsd. С той разницей, что оно поддерживается пока еще. Насколько я смотрел, все громкие баги в ближайшем прошлом шли мимо, то есть после этого ядра ( на основе 2.6.9. )

Линус прав.

Помимо дыр, позволяющих перехват управления, опасны также и баги, из-за которых может произойти потеря данных или остановка системы. Чтобы вводить понятие "security bug", нужно сделать классификацию ошибок, понять, какие из них опаснее и т. д. Неочевидно, чего от этого будет больше: внимания разработчиков к опасным ошибкам или внимание к ним же хакеров и PR-отделов разработчиков других ОС.