Почему вы доверяете бинарным репозиториям?

Хорошая стеганография тоже использует такие преобразования, что атакующий даже зная, какой софт был использован, не может доказать наличие актуальных вложенных данных без знания ключа. Именно поэтому банальным кодированием данных в младших битах лучше не заниматься, кроме как с целью изучения простейших методом стеганографии.

насколько у него жирные репы

Немногим больше аура. Вроде как самый большой.

-ПОТОМУ ЧТО СВОБОДА.

Есть некий порог терпимости, когда человек терпит происходящие непотребности со стороны закладок и их операторов, а потом наступает момент, когда он начинает искать альтернативы, если сам самостоятельно не в состоянии удалить закладки.

Вот если оператор закладок Шиндоуз решит перекрыть тебе кислород, то тебе ничего не останется, кроме как распрощаться с этой проприетарной системой и в лучшем случае довольствоваться WINE.

А если такое произойдет в одном из дистрибутивов Linux, то есть выбор еще из десятков вариантов, среди которых есть особо щепетильные к свободе типа GUIX. И вероятность, что закладку не выпилят из GUIX после жалобы с пруфами намного ниже, чем в если бы тоже самое случилось в RedHat.

Причем перейти из одного дистрибутива Linux в другой намного проще, чем из одной оси в другую, особенно из несвободной в относительно более свободную, например из Windows в Linux/BSD. Это и другой набор приложений, форматов файлов, привычки пользователя к рабочей среде и т.п.

про reproducible builds хоть слышал?

Чтобы поверить в отсутствие закладок в ПО необходимо убедиться в отсутствии закладок в железе, а у нас железо проприетарное.

Чтобы поверить в отсутствие закладок в ПО необходимо убедиться в отсутствии закладок в железе, а у нас железо проприетарное.

Хотя бы из того, что есть в наличии: Libreboot, ARMv7 BBB, 80486, P1-P3 в какой-то мере?

Кто-то уже может позволить себе и Talos POWER и RISC-V?

И что там про Apple G3 OpenFirmware? х.з.

Закладки на уровне сорсов могут выявить люди, которые их читают. В бинарный дистриб легче добавить закладку. Именно поэтому генту всеми правдами и неправдами пытаются выдавить из рынка. Именно поэтому там нет релизов и бинарные кэши 1.5 десятилетия не делались

Закладки на уровне сорсов могут выявить люди, которые их читают.

Все таки IMHO поиск закладок в сорцах должен быть автоматизирован как-то, типа линтеров + АИ, обученного на уже ранее найденных человеками закладках.

Чтобы не тратить human resource на повторный анализ уже когда-то найденного в т.ч. в лайтовых модификациях.

Например, в Libre Kernel обфусцированные блобы выпиливаются скриптами.

https://en.wikipedia.org/wiki/Linux-libre

Yep

/me усиленно пытается найти в розничных магазинах что-то из перечисленного

Нет уверенности. Просто если в MS Windows закладки есть совершенно точно

+1. слепая вера! как еще иначе не будучи религиозным, я бы смог прорабоать в айти почти 20 лет=)

Эм, почему вера? Факт слежки за пользователями винды не скрывается.

я в первую очередь об опенсорсе, но и у видны свечку не держал. как скайп сканирует диск - видел, а у винды там все зашифровано.

Так я и не говорю, что СПО точно не шпионит. Просто винда и скайп этим уж точно занимаются. Так что СПО предпочтительнее.

да, согласен, согласен я) тебя слово «вера» озадачило. я имел ввиду вцелом, во что человек верит без своего личного опыта.

меня больше интересует кому вообще доверяете, и давно ли ты кушал?

Все таки IMHO поиск закладок в сорцах должен быть автоматизирован как-то, типа линтеров + АИ, обученного на уже ранее найденных человеками закладках.

Человеки пишут вири, антивири продолжают пропускать новые вири... Это я про автоматизацию.

Не имею ни малейшего понятия, какого размера у него бинарный кеш.

не доверяем.

точно так же, как не доверяем запускать конпеляцию без fakeroot.

ну дальше всё равно всё на свой страх и риск т.к. сам лично код не проверяю.

а вы знали что творицца в серверном сегменте? там вообще блоб на блобе да блобом погоняет, все сервера поставляются с фирмварью, вшитыми ОС, они же инструменты управления рейд-массивами, настройкой сервера и т.д. и т.п. и самая мякотка, что сервера, предполагают отправку ололо-анонимной статистики своему вендору.

https://www.voglea.com/2021-10-04-085420_3440x1440_scrot.png

т.е. все ваши попытки оградиться от проприетарщины, сборе информации лично о вас, конпелянии опенсорца и тыды, — разбиваются о первого же хост провайдера, который использует серверы HP в своих дата-центрах.

поэтому постарайтесь расслабиться и получать удовольствие.

Можно расширить вопрос. Почему вы вообще доверяете opensource приложениям? Вы смотрите исходный код у каждой используемой программы с целью выявления закладок и уязвимостей?

Тебе пора самоколоноскопию осваивать. Вдруг в тебе уже есть закладки, а врачи в сговоре.

Да всем насрать.

voltmod

Повторяемость сборки знаешь что такое?

И что же это?

А какая разница, на бинарной дистрибуции я сижу или на сорцовой?

Я все равно физически не могу провести аудит всего используемого кода и вынужден доверять неизвестно кому.

А какая разница, на бинарной дистрибуции я сижу или на сорцовой?

Мне тоже кажется, что разницы нет. Но бинарный удобнее, особенно на пром серверах, при условии доверенного источника бинарей.

Главное, чтобы была возможность сверить аутентичность сорца, из которого собран бинарник. А это в полной мере на 100%, насколько я понимаю, на данный момент пока возможно только в GUIX?

так это шо, там конпелять надо? буэ

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла?

Тем, что тот же debian это прежде всего люди и у каждого пакета есть ответственный с именем и фамилией. А кто стоит за бинарной программой в выньды или за сервисом гугла никто не знает. Это и вселяет некоторую надежду, что в том же debian сознательных закладок нет.

Вдруг в тебе уже есть закладки, а врачи в сговоре.

Да, в нас уже есть чип. Прививкой «БЦЖ» он вгоняется, от того и шрам такой поголовно у всех остаётся. Моя задача мантрами его «переварить».

P.S. Испугал козла капустой... :D

Есть некий порог терпимости, когда человек терпит происходящие непотребности со стороны закладок и их операторов

Судя по тому какое количество багов и ДЫР находится в открытом софте - об этих твоих непотребностях даже не знают.

Что значит «могут быть»? Они там 100% есть, вопрос в объёме и наглости поставщиков закладок. А так же в сложности замены компонента на доверенный или более-доверенный.

Судя по тому какое количество багов и ДЫР находится в открытом софте - об этих твоих непотребностях даже не знают.

Ты смешал нечаянные дыры и специальные закладки, хотя часть дыр вероятно может являться закладками.

Хочешь сказать, что в непроверенных проприетарных системах нечаянных дыр меньше?

Сколько remote дыр было найдено в OpenBSD и OmniOS за последние 10-20 лет? И сколько в Windows? Хотя бы с поправкой на популярность в процентном выражении.

Боюсь, что в Windows в бесконечное количество раз больше.

Мы и не доверяем.

Нет, в том и прелесть.

Закладки в том или ином виде есть везде. И сборка тут вообще не при чём. Закладки идут на уровне обычных уязвимостей, которые NSA находит быстрей остальных.

Сколько remote дыр было найдено в OpenBSD и OmniOS за последние 10-20 лет? И сколько в Windows? Хотя бы с поправкой на популярность в процентном выражении.

Боюсь, что в Windows в бесконечное количество раз больше.

Неуловимый_Джо.jpg

Вопрос не в количестве дыр\закладок, а в методах их нахождения третьими лицами.

В случае с закрытым ПО, дыра\закладка может быть найдена только эмпирическим путем, и поскольку об этот эмпирический путь споткнутся все, то эта дыра\закладка будет сразу же известна, а значит и исправлена. Ну или внесена в errata, пофигу.

Если по-простому, то дыру в Винде ты найдешь только случайно, и только тыкая мышкой в живую Винду. А поскольку в данном случае у тебя и у всей планеты возможности одинаковы - то остальная планета так же найдет эту дыру в процессе мышкования.

В случае с открытым ПО, дыра\закладка может быть найдена глазастым специалистом, просматривающим код программы, при чем ему даже пользоваться этой программой не обязательно. Ну там например какой-нибудь буфер размера int сбрасывается в 23:59:59, но при установке в последний момент даты на 23:30:00, переполняется и дает рут-доступ. А ты такой сидишь на своей Центоси на клиентском сервере, и не можешь понять, как хакер получает рута: может через sshd, может через httpd, может через systemd, хз, ведь в логах все чисто.

И подобная дыра\закладка вероятнее всего найдется ОДНИМ глазастым специалистом, который в зависимости от цвета этики может репортнуть о ней, а может и начать зарабатывать миллионы, хакая серваки на планете, до тех пор пока второй белый (нет, не цветом кожи, а убеждениями) специалист не найдет эту дыру.

Так что как минимум, в этом плане шансы у открытого и закрытого ПО равны, а как максимум, дыру в открытом софте найти действительно проще, вопрос только в том кто ее найдет - ты, или злоумышленник.

Если по-простому, то дыру в Винде ты найдешь только случайно, и только тыкая мышкой в живую Винду. А поскольку в данном случае у тебя и у всей планеты возможности одинаковы - то остальная планета так же найдет эту дыру в процессе мышкования.

У тебя вероятно приступ троллинга в надежде на то, что мы в худшем случае сочтем это за когнитивные искажения и незнание о существовании специалистов разной степени квалификации в поиске дыр, пентестеры там всякие, реверс инженеры и т.д. и т.п.

Так что как минимум, в этом плане шансы у открытого и закрытого ПО равны, а как максимум, дыру в открытом софте найти действительно проще, вопрос только в том кто ее найдет - ты, или злоумышленник.

Не иначе такой твой вывод можно использовать для написания нескольких PhD работ?

Ждём, когда изобретут метод шифрования, которым можно будет надёжно пользоваться на бумажке.

У тебя вероятно приступ троллинга в надежде на то, что мы в худшем случае сочтем это за когнитивные искажения и незнание о существовании специалистов разной степени квалификации в поиске дыр, пентестеры там всякие, реверс инженеры и т.д. и т.п.

И ?

Не иначе такой твой вывод можно использовать для написания нескольких PhD работ?

CVE list в открытом доступе, там все написано без меня. Не благодари.

Ждём, когда изобретут метод шифрования, которым можно будет надёжно пользоваться на бумажке.

А толку ? В каждом уважающем себя радиоэлектронном магазине, продается высокотехнологичное устройство для дешифровки данных шифрованных любым актуальным на сегодняшний день шифром.

Для тех, кто не доверяет таким устройствам

А толку ? В каждом уважающем себя радиоэлектронном магазине, продается высокотехнологичное устройство для дешифровки данных шифрованных любым актуальным на сегодняшний день шифром.

Кнопка вызова вооруженной охраны?

Для тех, кто не доверяет таким устройствам

Устройство показывает практически 100% эффективность во взломе паролей и зашифрованных разделов.

Ты по паяльник? Там нет никаких 100% даже близко.

Это надо в квотезы!!!

Напомни мне, пожалуйста, сколько лет был поломан генератор случайных чисел в пакете OpenSSL в Debian, что привело к предсказуемости всех генерируемых им ключей. И какую ответственность понес мейнтейнер этого пакета, который своими debian-specific патчами этот генератор поломал.

Напомни сломали ли что-нить или кого-нить через это мегадыру? «предсказуемости всех генерируемых им ключей» там была чисто теоретическая возможность.

Вы слишком быстро перекинулись с персональной ответственности мейнтейнера за его пакет и за софт им упакованный на чисто теоретическую возможность эксплуатации того, что он в дистрибутив завез. Ну, подумаешь, что человек не имеющий необходимых компетенций лезет в чужой код делая предсказуемыми значения генератора случайных чисел на основе которых генерируются все закрытые ключи значительно снижая время брутфорса. Никого же не поломали, а значит не было, правильно?

Так я вас не про технические аспекты той истории спросил, а какие последствия для этого мейнтейнера тогда были? Если я правильно помню - никаких.

А кто стоит за бинарной программой в выньды или за сервисом гугла никто не знает.

В том и дело, что за ним стоит не васян, который ни за что не отвечает, а огромная корпорация чей бизнес зависит от этой бинарной программы или сервиса. При этом внутри коммерческой компании есть конкретные сотрудники и начальники, которые имеют персональную ответственность за этот бинарник или сервис, т.е. люди действительно отвечают своей зарплатой, должностью и карьерой, в отличии от тех, чей пример вы привели.

В том и дело, что за ним стоит не васян, который ни за что не отвечает, а огромная корпорация чей бизнес зависит от этой бинарной программы или сервиса.

Я работаю с продуктами и сервисами гигантской компании и кой какую поднаготную знаю. Никто ни за что не отвечает - ответственность размазана так, что даже чиновникам и не снилась. Лично для себя я доверяю чувакам из дебиан и объяснил почему. Ну а вы вольны доверять кому вам вздумается микрософту, яблоку, пейсбуку и т.п. братии. Да и мы можем вспомнить хрестоматийный пример ie в 200ные - продукт самой большой софтовой корпорации, с сотнями миллионов пользователей и с перманентными дырами это как-то переплёвывает гипотетические проблемы debian.

Я это и имел ввиду, что «рыночек» все порешает и тогда в 2000х с IE и в любой момент порешает сейчас: крупная софтовая корпорация отвечает сама перед собой миллиардной капитализацией. Выпуск некачественной продукта или «плохого» бинарника в составе продукта будет стоить условный миллиард и доли рынка, которая отойдет конкуренту.

В оппозиции им свободные и некоммерческие проекты вроде Debian с неоплачиваемыми разработчиками, которые занимаются этим по фану. однако при беглом экскурсе в историю оказывается, что в этих проектов нет ресурсов не только на security аудит исходников софта, который они доставляют в основных репозиториях, а даже нет ресурсов на аудит дистрибутив-специфичных патчей, которые местные мейнтейнры наклепали.

Все можно свести к простой аналогии - вы бы легли под нож хирургу с дипломом, который официально на фуллтайме работает в больнице, или некому волонтеру, который только после смены. Опять таки это не значит, что один никогда не ошибается, а другой ошибается всегда - это значит, что они имеют разную систему мотивации и разную ответственность. В случае с волонтером - я пришел, я помог, я - молодец, а этого в каких-то критичных вещах все же мало.