Отечественные эксперты: opensource - решето!

А если ещё программы с закрытым исходным кодом проанализировать, то вообще только повеситься останется.

А если ещё программы с закрытым исходным кодом проанализировать, то вообще только повеситься останется.

Дык никак, он же закрыт.

возьми да исправь, какие проблемы?

или они считают что им должны, а open source значит бесплатно?

орки с понятиями, лять.

а патчи они пришлют, или будут только языком молоть?

Можно подумать Zhbert что ты никогда крякнутую винду не использовал.

Можно подумать Zhbert что ты никогда крякнутую винду не использовал.

И как ты посмотришь в код крякнутой винды?

они считают что им должны, а open source значит бесплатно

Да.

Пишут, что зарепортили хотя бы.

По словам представителя компании, ее технические специалисты направили результаты исследования в сообщество пользователей и разработчиков открытого ПО.

да никак меня стошнит от него, я же иносказательно, говорят на рутрекере выложили исходный код винды какие то фрагменты, можешь смотреть сколько угодно.

Пишут, что зарепортили хотя бы.

Интересно только кому. Чтобы только проверить, не врут ли.

Ты про black box testing не слышал?

Ты выздоровел?

не чувствую вкусов и запахов, кроме слишком ярких, как апельсин (пожалуй, кроме апельсинов вообще ничего не чувствую).

кашель. сильная потливость. и быстрая утомляемость, пол дня похожу по дому и спать хочу. сильная одышка, до магазина дойду и задыхаюсь, воздуха нехватает.

в остальном чувствую себя нормально. домашние дела могу поделать. могу на улицу выйти, в маске, чтобы холодный воздух не хватать.

не знаю когда это всё пройдёт.

Блин. Хочу быть таким вот аналитегом в крупной компании: можно нести адовую херню (вроде того что я делаю на этом форуме каждый день) и ещё получать за это деньги.

не знаю когда это всё пройдёт.

Нескоро, по крайней мере вспоминая свою пневмонию после гриппа лет пять назад. Повреждение легких штука крайне неприятная, а ещё хуже - это в холодную погоду подцепить ещё чего-нибудь легочное сразу после перенесенного короновируса. Я бы вообще крайне не рекомендовал сейчас перенапрягаться.

Дядь, а ты знаешь, чем солары занимаются?

Тот же вопрос. Ты точно уверен, что знаешь, что такое РТ-Солар, и чем они зарабатывают?

Krita, Search Everything, Libre Office, Brave Browser и RetroArch

ОЧЕНЬ странный набор софта, и никаких данных найденных уязвимостях. Надо сам отчет смотреть. Но сильно сомневаюсь, что там что-то интересное нашли.

главное что они-то эксперты, а я просто дядя с форума.

Так в Opensource человек, который пишет, потенциально знает, что кто-то читать будет. А там, где люди знают, что никто никогда их код не увидит, обычно самый трэш по принципу «хоть как-то бы работало». По себе знаю :)

Это самое важное. Мне вот сразу эксперт по компьютерной игре Дока-2 вспоминается!

до магазина дойду и задыхаюсь

Надеюсь, ты не коронованный до него ходишь?

я в маске. и окружающие тоже в масках (нет).

То есть ты коронованный ходишь в магазин?

Совсем другое дело закрытый софт: security through obscurity. А самих уязвимостей там может ещё больше быть.

да

Никогда такого не было и вот опять, а в закрытом ПО нету дыр, т.к. исходников нет и поэтому код не видно. !

Наиболее слабые результаты показал эмулятор видеоигр RetroArch (0,8 балла из пяти возможных), у программы больше всего критических уязвимостей — 24.

Зачем им понадобился эмулятор видеоигр на машине с конфиденциальными данными?

Хотел тебя сначала дурачком назвать, но потом задумался. Это, конечно, неправильно, я считаю, но не мне тебя судить.

а что тут судить? если у тебя есть жена, которая может позаботиться о тебе на время болезни, то мне такая роскошь не позволительна. выживаю как могу.

Ну вот поэтому и не стал.

Дима Казаков в чате изобразил фейспалм на заявление, что в крите есть «пустые ключи шифрования, пустые пароли или конфиденциальные данные».

Нет отчёта — нет фиксов.

Разработчикам о «критических уязвимостях» до публикации не сказали — моветон.

Фу такими быть.

А про падения при сохранении файлов и просто так он тоже изобразил фейспалм?

Разработчикам о «критических уязвимостях» до публикации не сказали — моветон.

Добро пожаловать в русское ИБ, бессмысленное и беспощадное.

Если у тебя есть багрепорты, могу подсказать адрес трекера.

И в чем они эксперты, зайка?

Багрепорты не у меня, а у пользователей виндовой версии. Две недели уговариваю их отправить логи разработчикам, ну или хотя бы показать их мне. Но виндовые пользователи говорят, что им проще csp pro на следующей распродаже купить, чем с опенсорцем пердолиться.

Звиздёж. В пресс-релизе упоминается GIMP. У нас от них багрепортов нет.

В CVE тоже пусто: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=gimp

RetroArch

Более важную, кровеносную программу опенсорса найти сложно. И вообще, как-то же надо продавить необходимость возврата на винду.

Дык никак, он же закрыт.

Как будтно в закрытых никогда не находили узвимостей. Если уметь, можно и закрытые анализировать. Вот только лицензии обычно это прямо запрещают делать.

Для десктопных программ вроде Krita, какие вообще могут быть уязвимости? На ум приходит только если баг из-за которого они исполнят код, внедренный в изображение. Емнип что-то такое уже однажды давно было. Но вряд ли сейчас.

Там всё смешнее. Цитирую Диму:

В том-то и дело, что у нас паролей в принципе никаких нет. Ни на файлы, никуда. Единственное, к чему можно придраться, это к загружаемым пользователем скриптам на питоне. Ну и в теории можно придраться к шейдерам на seexpr.

Хоят в пересказе РБК декларируется:

Критические уязвимости — пустые ключи шифрования, пустые пароли или конфиденциальные данные, размещенные в самом исходном коде, «Ростелеком-Солар» обнаружил в пяти из десяти проанализированных программ: Krita, Search Everything, Libre Office, Brave Browser и RetroArch.

А что это за мода посреди текста статьи пихать ссылки на другие статьи? Я пока читал чуть не блеванул.

А на что ссылаются в самой статье? А то я не нашел, только настроение испортил из-за их ублюдошного сайта.

я думаю это контора по выводу денег из полугосудартсвенного ростелекома, не угадал?

Я тоже не нашел. Походу какой-то наброс против Open Source.

так она тоже заразной будет в таком случае и ей тоже нельзя в магазин :)

надо в суд подать на пацанчега от имени гимпа, за ущерб деловой репутации

или конфиденциальные данные, размещенные в самом исходном коде,

Кстати, интересно что вот тут они имеют в виду. Как бы не оказалось, что такое на что нормальный человек и не подумает даже.

Так могут называть захардкоженые пароли, но как это могло попасть в десктопый софт - вопрос.