Отключение Flash Player сломало железнодорожную сеть в Китае — положение временно спас пиратский софт

Дорогой оленин, расскажи мне, это правда, что Dell и HPE были созданы под российские госструктуры? Или ты, как обычно, несешь какую-то всратую дичь?

Товарищ, Делл и HP - это поставщики железа, не готовых систем под ключ.

Дорогой мой, Dell и HPE - это поставщики огроменнейшего количества всего, включая и готовые решения.

Только не пытайся выразить, что вот эту систему управления поездами смастерили в HP. Если они что-то и поставляют, то не того уровня.

А зачем их переписывать то?

Что плохого в UI на Flash? Если это скаченный swf с левого сайта, то, безусловно, неподдерживаемый плеер является проблемой. Если это доверенный локально запущенный swf, то вектора атаки по сути дела и нет.

Интересно, сколько эта система будет работать?

Сколько-угодно. А с чего бы было не так? Если речь про локальную доверенную систему без доступа в Интернету и без обновлений.

Максимум может быть проблема 2038 года, но она фиксится переводом часов.

Вообще-то проблема возникла из-за специфического решения Adobe заложить тайм-бомбу в свой софт. Не закладывать тайм-бомбу ничего не стоило (в отличии от дальнейшей поддержки), но им зачем-то захотелось это сделать. Все кому надо скачали старую версию и проблем не знают, но поступок всё равно некрасивый.

Вообще, если речь идёт о доверенном swf, то поддерживается флеш плеер или нет не особо важно.

Максимум может быть проблема 2038 года, но она фиксится переводом часов.

Э-э-э-э. А подробнее можно? Как можно перевести часы, которые не могут быть переведены?

В BIOS. Или вообще батарейку на материнке выдернуть.

В BIOS.

И щто дальше ? Запускать BIOS и пялиться в неё? Товарищ, но задача, которую предполагалось решать - несколько другая.

Или вообще батарейку на материнке выдернуть.

Э-э-э, погоди, а зачем её выдёргивать? От этого time_t перестанет быть 32-х битным? Не думаю.

Нормальные продукты после EOL просто не получают апдейты, а не превращаются в тыкву. Это только Adobe захотелось специально потратить человекочасы и вставить в продукт таймбомбу. Могли бы просто перестать обновлять или максимум удалить с сайта ссылку на скачивание, если очень надо.

Факап случился не из-за взлома через уязвимость и скорее всего и не случился бы никогда, если система офлайновая.

Идея в том, чтобы каждые 10 лет переводить часы на 10 лет назад. Разумеется, больше нельзя будет адекватно пользоваться календарём, но для многого ПО точные дата и время не нужны. Если это какая-нибудь система управления станком ЧПУ, то она одинаково хорошо будет резать сталь вне зависимости от того, насколько год в календаре ОС совпадает с годом на улице.

Во времена пика популярности Flash-а, все альтернативы были ещё хуже. HTML5, History API, Canvas и т. д. не существовало, а JS тормозил ничуть не меньше, потому что V8 тоже ещё не появился. Очень легко рассуждать о ненужности флеша в современных реалиях, когда браузеры проделали огромную работу по добавлению фич.

Разве что можно было написать нативное приложение на плюсах, но там текст тоже копироваться не будет, если специально не заморочиться, зато возрастает стоимость разработки и риски получить какой-нибудь Buffer overflow выше, чем даже на флеше совсем с отрезанными обновлениями.

Идея в том, чтобы каждые 10 лет переводить часы на 10 лет назад.

Товарищ, это дерьмовая идея.

Разумеется, больше нельзя будет адекватно пользоваться календарём

Календарь - это щто такое вообще? Бумага с голыми ж#пами на стене штоле ? Товарищ, дело не в календаре, а в том, что управляющая система абсолютно завязана на время. У любого события, управляющего, либо информационного, есть атрибут время. И если со временем что-то не так, событие не пройдёт. Совсем не пройдёт, товарищ. Скажет система поезду тормозить, а поезд скажет «да этот приказ был 10 лет назад, фигня какая-то». Типо того, ага.

Нормальные продукты после EOL просто не получают апдейты, а не превращаются в тыкву. Это только Adobe захотелось специально потратить человекочасы и вставить в продукт таймбомбу. Могли бы просто перестать обновлять или максимум удалить с сайта ссылку на скачивание, если очень надо.

Могли бы, да. Вообще, вырубать купленные продукты - так себе затея, но от Adobe уже чего угодно можно ожидать. Тем более, что они, ЕМНИП, предупреждали, что вырубят принудительно.

Факап случился не из-за взлома через уязвимость и скорее всего и не случился бы никогда, если система офлайновая.

Факап случился из-за того, что никто не следил за новостями по продуктам, от которых зависит сервис, в первую очередь.

Для данного случая не подойдет, у китайцев сломалась система организации движения поездов. Она довольно сильно завязана на точное время и даты :)

Разве что можно было написать нативное приложение на плюсах, но там текст тоже копироваться не будет, если специально не заморочиться

Будет.

Не нормально тайм-бомбу вставлять. Можно было просто прекратить выпускать апдейты и удалить ссылки на скачивание.

никто не следил за новостями по продуктам, от которых зависит сервис, в первую очередь.

А кто должен был следить, по-твоему? Тётка-кассир? Мужык-стрелочник? Директор РЖД? Dell? Твои варианты?

Я привёл пример со станком ЧПУ, где это вообще будет не важно. С поездами тоже можно что-то придумать. Всё зависит от бизнес-логики системы, в какой момент и как именно можно устроить прыжок во времени, чтобы ничего не сломалось. Можно раз в 10 лет выгадывать окно 5 минут, когда ни один поезд никуда не едет и устраивать полный сброс системы тогда и т. д.

Суть в том, что это будет дешевле, чем переписывать всё с нуля.

КМК, выше я уже ответил, что думаю по этому поводу.

Специально обученный человек. Обычно это кто-то из эксплуатантов системы. Кроме того, вендора имеют привычку рассылать эти сведения свои заказчикам и партнерам.

Можно раз в 10 лет выгадывать окно 5 минут, когда ни один поезд никуда не едет

Нельзя. И за 5 минут такие системы не «перегружаются».

и устраивать полный сброс системы

И на перронах на табло ты будешь 10 лет назад рисовать ? Не солидно, товарищ. Люди смеяться будут.

Товарищ, нет никаких специально обученных людей. Если люди с конкретными должностями, конкретными обязанностями. РЖД - ЭКСПЛУТИРУЕТ систему. Щто-то не работает? Гарантийный срок истёк? Он истёк уже на этапе внедрения. Поддержка есть? Есть, у зама директора, он сэкономленные от покупки поддержки деньги в Австралии обосновался. Всё, никто не виноват, так должно быть. Иди, Вася, устраняй. Неисправность.

но им зачем-то захотелось это сделать.

Ликвидация использования продукта или если это невозможно или слишком опасно по отдаче обычная практика производителей проприетарного софта.

Сладенький, расскажи мне, при чем тут РЖД? РЖД гоняет поезда в Даляне, или ты, как обычно, несешь херню, даже не пытаясь разобраться в том, что происходит?

Весь остальной твой поток бреда, я комментировать не хочу, извини. У меня весьма ограниченный ресурс реагирования на необоснованные заявления.

Товарищ, нет никаких специально обученных людей. Если люди с конкретными должностями, конкретными обязанностями. РЖД - ЭКСПЛУТИРУЕТ систему.

Это только показывает порочность практики когда конечный пользователь не имеет контроля за разработкой и поддержкой продукта.

Кто тут про РЖД вспомнил? Недавно их знатно бонбили на хабре. Хороший пример российского управстроя.

Ты тоже несешь херню. Не нужно, по большей части, конечному пользователю этим заниматься. Конечному пользователю нужно с помощью какого-то софтваре заниматься основным видом деятельности.

Во певых ты и сам оговариваешся что "по большей части", а значит есть и "по меньшейчасти", где это пользователю необходимо.

И что-то мне подсказывает что система управления железной дорогой как раз и является одним из случаев "по меньшей части".

Во вторых пользователю действительно не надо самому разрабатывать продукт, а надо только обеспечить свой личный контроль за правом организовывать разработку и сопровождение используемого ПО, для чего либо забирать себе все права на используемое ПО либо требовать поставки ПО под пермессивными или копилефт лицензиями, но не как не соглашаться на его лицензирование по EULA и NDA эти права ограничивающие или просто недающие.

Проприетарщина не должна использоваться не только в важных системах, но вообще лежать в основе каких либо проектов.

Во певых ты и сам оговариваешся что «по большей части», а значит есть и «по меньшейчасти», где это пользователю необходимо.

В меньше части это не необходимость, а печальная обязанность.

И что-то мне подсказывает что система управления железной дорогой как раз и является одним из случаев «по меньшей части».

Вот ни разу не очевидно. Мне что-то подсказывает, что софтваре по управлению дорогой идет вместе с хардваре, которое крутит стрелочные переводы и делает другую железнодорожную магию

Во вторых пользователю действительно не надо самому разрабатывать продукт, а надо только обеспечить свой личный контроль за правом организовывать разработку и сопровождение используемого ПО, для чего либо забирать себе все права на используемое ПО либо требовать поставки ПО под пермессивными или копилефт лицензиями, но не как не соглашаться на его лицензирование по EULA и NDA эти права ограничивающие или просто недающие.

Объясни мне, нахера заниматься этой мастурбацией компании, которая, раз уж мы в этой теме, организует движение поездов? Её задача - сделать так, что бы поезда двигались по расписанию. Всё. Пилить софтваре ей не нужно. Какая там лицензия внизу - ей тоже забить.

Максимум, что нужно - это соблюдение SLA по поддержке.

Проприетарщина не должна использоваться не только в важных системах, но вообще лежать в основе каких либо проектов.

Бла-бла-бла.

А главное - случилось это ВНЕЗАПНО.

Админы реально ступили. Вполне могли и 32-й флеш оставить работающим.

Will Flash Player still work after the EOL Date?

Adobe blocked Flash content from running in Flash Player beginning January 12, 2021 to help secure users’ systems.

This can be overridden by using the domain-level allow list functionality available in Adobe’s latest release of Flash Player. Any use of the domain-level allow list after the EOL Date is strongly discouraged, will not be supported by Adobe, and is entirely at the user’s own risk. Please see the Flash Player Administration guide (see ‘Enterprise Enablement’ section) for details.

А зачем их переписывать то?

Возможно, чтобы не было вот таких вот казусов.

Что плохого в UI на Flash?

Ничего плохого, кроме, собственно, UI на Flash. Я играл во множество флеш-игр и пользовался многими программами на флеше. Хорошего интерфейса я не видел нигде. Отсутствие каких-либо тем (или, хотя бы, мимикрии под систему – на любой ОС флеш смотрится чужеродно), отсутствие внятного focus chain, не выделяющийся текст и лютые тормоза. Вишенкой на торте закрытые исходники, убогий скриптовый язык и лютый лок на Adobe.

Возможно, чтобы не было вот таких вот казусов.

Ну так возможно, что будут другие казусы. Кто поручится, что их не будет? Никто.

Ну так возможно, что будут другие казусы.

Возможно, если написать решение, не зависящее от мутной корпорации, оно внезапно не накроется медным тазом?

Как я уже говорил выше, не получится. На чём будет писаться интерфейс, решает синдикат поставщиков ПО для Industrial. Дальше, отлаженная машина начинает продвигать это решение через конференции, ВУЗ-ы, соцсети. Сопротивляться невозможно, приходит с конференции заряженный босс, и всё. Ты либо идёшь учить QT и интернет вещей, либо идёшь нахрен.

тогда вопрос почему админы не читают ченжлогов

Ты поди читаешь ченджлоги ко всему говну пакетов, установленных у тебя на компе ?

Конечно же если я скачал скрипт для бэкапа по крону (cp -r /var/www/html /backup/) - я должен каждый месяц читать ченджлоги на cp, на cron, на bash, иначе не админ, ке-ке-ке.

Проприетарщина не должна использоваться не только в важных системах, но вообще лежать в основе каких либо проектов.

Если бы ты менеджерил важные системы, ты бы понял, что так оно не работает. Ты просто судишь с позиции красноглазика (она верна, но лишь для красноглазика).

Начнем с самого начала: ты ответственный за жизненно-важную систему, при чем финансируется она не тобой, а извне. Например бюджетом, ололо.

Перед тобой поставили задачу - светофор должен моргать.

Ты ищешь решение, которое тебе придется обосновать перед вышестоящими. Неважно, инвесторами или бюджетными комиссиями. Важно, что твои «опенсорсы» там никто не поймет и даже слушать не станут, поскольку оперируют бюджетами и целесообразностью, а не внутрикомповыми терминами. Единственный гарантированный способ ввести опенсорс в мигание светофора - выбить финансирование на собственный штат программистов.

Если получится - ура, ты пилишь софт по своим стандартам и хотелкам, хоть на баше, хоть на флеше, хоть на го - ты становишься ответственным, вплоть до ответственности через УК.

Если не получится, тогда тебе придется искать стороннюю компанию. Метод поиска зависит от вышестоящих. В случае с ЖД (который пока еще государственный или около того), тебе придется объявлять тендер на программу для мигания светофора (и именно так, а не «написание программы»), а дальнейшее уже зависит не от тебя. Если добазаришься с выигравшими тендер Рогами и Копытами, чтобы они писали на C++ и дали исходники - здорово. Но вышестоящих по-прежнему будет интересовать не исходники, не попенсорс, а работающий светофор, поэтому если Рога и Копыта откажутся давать исходники софта - тебе ничего не останется кроме как согласиться, либо получить по шапке.

Кстати в тендере можно указать, чтобы управление светофором было написано на определенном языке, и с определенными условиями (передачей исходников), но как правило этот тендер будешь писать не ты, а профильное министерство. Увы.

А теперь представь себе, что 20 лет назад, ТЫ, как директор, затребовал финансирование отдела программистов, которые написали программу для светофора на … asm. С исходниками конечно. Все работало отлично, исходники пылились на дискете, бинарничек работал, и тут вуаля, новое железо, старые инструкции каза болду. Светофор не работает. И у тебя есть ДВА ДНЯ, чтобы его починить. Смузихлебы Asm’а не знают. 20 лет назад никто не предполагал что Asm в будущем будет неработоспособен. А разбираться в этом сегодня займет пару месяцев, потому что те программисты уже давно на пенсии или в лучшем мире (ты ведь помнишь как НАСА искало программера то ли на Коболе, то ли на чем то подобном, это было не так давно). Что тебе дадут твои ИСХОДНИКИ, кроме маячещего впереди пативена или увольнения ?

Ты поди читаешь ченджлоги ко всему говну пакетов

У меня не так много проприетарного говна (от которого можно ждать бомб), но да, для него читаю.

Открытый же софт, обычно обновляется и хотя бы поверхностно проверяется сначала на тесте.

И это при том, что у меня нет доступа к объектам такой важности как ЖД.

Ну и не ченжлоги, а новости хотя бы можно же читать? У меня флешплеер последний раз был лет 12 назад, но что он вот-вот всё я был в курсе.