Что опять же доказывает сильную уязвимость сетевых технологий и того что с этим связанно. Если локально еще как-то можно балансировать закидывая систему selinuxом, kvm, то простая ошибка не в алгоритме, а просто в реализации openssl компрометирует все данные. Так что уж лучше контейнерами передавать критические данные.

// Мысли в слух.

А кто там пускал трех метровую струю, что открытый код мониторят миллионы глаз и такое невозможно впринципи?

Эту струю в каком году пускали? Не в том ли, когда исходники ядра содержали всего пару десятков тысяч строк?

Почему никто не заметил, что Бегемот неправильно написал фамилию Тио?

http://en.wikipedia.org/wiki/Theo_de_Raadt

Подозреваю, что никто из оставивших здесь комменты не занимается Опенком...

всё верно
nvidia.ko собирается из исходников, всегда.

>Фкурсе что в RHEL тонна прог и драйверов пропиетарных?

Сказочники - такие сказочники

>Ага типичный пример лицемерия лидеров GPL движения.

Ты ещё один дурачок на ЛОРе, который не знает, что на Linux (в смысле ядро) - не чисто GPL, а «GPL с оговорками»?

> Быстро и решительно исходники nvidia.ko фстудию!
А ты скачай и расковыряй инсталлер нвидии. Там вроде есть.

в OCF используются только открытые алгоритмы. если в отрытом алгоритме есть бекдор, то это не специфическая для Опена ошибка.

> Подозреваю, что никто из оставивших здесь комменты не занимается Опенком...

никто, из отписавшихся здесь и занимающихся Опеном, не читает здесь новости об Опене, а читает tech@

де факто, дебианщики мало того, что пропускают дыры, так они еще и свои добавляют.

Однако линукс чуть больше, чем дебиан.

>По его оценкам грамотный, подготовленный злоумышленник, внедрившийся в комманду разработчиков, например GPG, может внедрить уязвимость, которая полностью позволит раскрывать весь шифрованный траффик и остаться незамеченной в течении по крайней мере двух лет. В случае обнаружения, уязвимость будет выглядеть как ошибка, а не злонамеренный код.

это верно, но вопрос в альтернативах? Да, открытые исходники не панацея. Необходимо, но вполне может оказаться недостаточным.

А альтернативы, In My Hamster Opinion, тривиальны, стоимость реализации атаки на верно настроенную систему крайне велика по сравнению с простой расшифровкой «нужного» канала, так что тем кто передает по сетям критические данные никогда не стоит полагаться, что vpn или ipsec непогрешимы, а к примеру криптовать в контейнеры.

Был как-то разговор, что мол, СВР и прочим гос. организациям нужно что-то более защищенное в долгосрочной перспективе, дольше чем 20 лет.
То есть, сегодня перехваченные дампы кажутся не факторизуемыми, а через пару лет глядь, а там бага была в реализации, и опа. А секретность документов может быть актуальной и 50 лет и больше.

А вообще, если я б полагался на ipsec по части защиты критичных данных и на openbsd с их «всего 2 дырки за n лет» то уж лучше встретить такое в темном лесу, чем прочитать такую новость.

> Так что уж лучше контейнерами передавать критические данные

Какая разница, где уязвимость - библиотеке шифрования для твоих «контейнеров» или в ipsec? Никакой.

> Код WRK можно скомпилить и он говорят, даже работает. Да, это только ядро, конечною

а исходники msvc проверяются? оттуда достаточно просто насожать весьма интересных бэкдоров

К.О. как бы намекает, что одновременное существование дырок в ipsec, gnupg, truecrypt, etc. обратно пропорционально количеству используемых систем шифрования.

> Ты ещё один дурачок на ЛОРе, который не знает, что на Linux (в смысле ядро) - не чисто GPL, а «GPL с оговорками»?

рекветирую ссылку на официальные «оговорки»

посмотрим, кто тут дурачок

после некоторых усилий это можно будет собрать и gcc, думаю %))

> К.О. как бы намекает, что одновременное существование дырок в ipsec, gnupg, truecrypt, etc. обратно пропорционально количеству используемых систем шифрования.

К.О. намекает, что наличие бэкдоров прямопропорционально количеству людей, добавляющих бэкдоры. Если взять 100 программ, использующих библиотеку либРандом для генерации рандомных данных с бэкдором - то что ты ни делай, но получить вероятность компреметированности данных 1/100 заместо у тебя не выйдет.

>В системах с малой пользовательской базой, не имеющих производных opensource-проектов (а проприетарщики могут и не делиться результатами аудита, тихонько закрыв дыру только у себя), к которым относятся практически все нынешние *BSD-системы, с «внешним» аудитом все очень печально.

Точно так же пропраетарщики могут обнаружить дыру в GPL коде, тихонько прикрыть ее у себя и не делиться результатами аудита.

(«у себя» означает внутри своей организации или организации-заказчика, имеющей доступ к исходникам; фантастический случай исправления бэкдора в BSD-коде, продаваемом без открытия исходников, рассматривать не будем)

Так что тут GPL и LGPL *ничем* не лучше BSD. Скорее хуже, т.к. у BSD пользовательская база шире.

> после некоторых усилий это можно будет собрать и gcc, думаю %))

флаг тебе в руки и барабан на шею :-)

> Регулярно критикуемые иксы - отличный пример работы bsd-like лицензии. В свое время почти каждый вендор коммерческого юникса выпускал свою проприетарную версию иксов со своим набором вкусных фич, а их открытые аналоги пилили студенты по ночам. В результате сообщество получило уродливый протокол, изнемогающий под грудой костылей.

а у коммерческих вендоров костылей не было чтоли?

и список «вкусных фич» в студию

> И вообще продукты под GPL это лицемерие в чистом виде. Требуйте что бы нвидия и ати открыли код своих драйверов. Судитесь. Чё вы. Ваши(?) же права нарушают.

s/продукты/ядро линукс/

и кстати Линус сказал, что подать в суд за нарушение GPL может *каждый* из коммиттеров, сделавший патч в ядро под этой лицензией

но че-то никто не судится...

>Поверь, если найдут закладки, то МС будет не до судов за клевету. Они просто обанкротятся.

гы-гы

ФСБ просто научится использовать те закладки, что найдет. А до открытия исходников и зАвидно было.

* им зАвидно было.

а что, забыли уже MICE?

http://www.grc.com/wmf/wmf.htm упыри, винда протроянена по самые гланды. и никакой аудит этого дела не ведется, ибо по РД ищут не трояны в первую очередь, а отклонения от заявленной модели системы защиты.

> и кстати Линус сказал, что подать в суд за нарушение GPL может *каждый* из коммиттеров, сделавший патч в ядро под этой лицензией

А из польозвателей, что-ли, не может? Или, может быть, он про другое говорил, про авторские права, например?

>(«у себя» означает внутри своей организации или организации-заказчика, имеющей доступ к исходникам; фантастический случай исправления бэкдора в BSD-коде, продаваемом без открытия исходников, рассматривать не будем)

Вариант с исправлением бекдора в проприетарном продукте на основе BSD-кода весьма вероятен. Думаю, разработчики из juniper, apple и microsoft не зря едят свой хлеб.

Так что тут GPL и LGPL *ничем* не лучше BSD.

Ну, если подтасовать факты и сделать пару грубых логических ошибок, то да. А без этого — нет.

Скорее хуже, т.к. у BSD пользовательская база шире.

Ну это уже полная ерунда. Пользовательская база *BSD-систем по сравнению с линухом — кот наплакал. Люди не хотят использовать системы, которые практически не развиваются, и это вполне понятно.

Или вы маководов и виндузятников к пользователям BSD относите? А толку от них, если они в сорцы заглянуть не могут?

>и делаешь выводы на основе новости на лоре

На основе заявления лидера разработки проекта.
// Да, иногда я бываю не Ъ и хожу по ссылкам.

так вот аудит кода как-раз является основной практикой в опене, на нее тратится очень много ресурсов. можешь погуглить доклады Тео на эту тему. каждый коммит должен получить не меньше двух аппрувов (часто - больше).

Я тоже так думал. Но если бы это работало в реальности, у Тео даже не возникло бы мысли делать такое заявление.

что-то я ни на одной встрече опенбсдшников не видел никого с другой ОС кроме Опена.

Специально на встречу хайкуводов я бы на свой ноут тоже хайку поставил бы :)
Мое имхо — *BSD системы в их современном виде не готовы для десктопа. Особенно все печально с драйверами на десктопные свистелки типа вайфая и блютуса. Я вовсе не осуждаю бсдшников за использование винды, я просто констатирую факт: бэкдоры в их продукции их самих лично не затронут. В отличие от Линуса.

короче, перестань брызгать слюной и 4.2чить, некрасиво

Я не брызгаю слюной, я печалюсь. До этой истории я считал опенок наиболее интересным и самобытным из *BSD проектов. Теперь в этом списке осталась только стрекоза.

> Как думаете, посоны, сколько Линус бэкдоров запузырил в ядро за американский паспорт?

selinux от АНБ

Это «шапка» сделала? Или ты тупой? Или я?

Ты не только тупой (я бы сказал о твоих умственных способностях - «дебил»), но и кретин к тому же. Так что можешь выдыхать.

>Куда страшнее за код SELinux, не думаю, что RedHat не пошло на сотрудничество с ФБР, скорее они - за.

АНБ же

>Ты не только тупой (я бы сказал о твоих умственных способностях - «дебил»), но и кретин к тому же. Так что можешь выдыхать.

Наверное, я полнейший идиот, если на мои реплики отвечают таким странным образом: сначала пишут какую-то левую хрень, не относящуюся к теме беседы, затем без видимых причин начинают ругаться с пеной у рта.

Если я правильно понимаю, то по правилам OpenBSD эти бекдоры относятся к «несчитающимся».

эти бекдоры пока еще никто не нашел.

> На основе заявления лидера разработки проекта.

Я тоже так думал. Но если бы это работало в реальности, у Тео даже не возникло бы мысли делать такое заявление.

все в недоумении, никто не понимает, почему Тео это сделал. Разве что от гипертрофированной честности.
Тем более что скорее всего это просто клевета. Рекомендую полностью ознакомиться с дискуссией в tech@ и блоге Джейсона (http://obfuscurity.com/)

Специально на встречу хайкуводов я бы на свой ноут тоже хайку поставил бы :)

Так и быть, пусть модераторы разгласят мой УА :)
нет, серьезно, народ использует.

Мое имхо — *BSD системы в их современном виде не готовы для десктопа. Особенно все печально с драйверами на десктопные свистелки типа вайфая и блютуса. Я вовсе не осуждаю бсдшников за использование винды, я просто констатирую факт: бэкдоры в их продукции их самих лично не затронут. В отличие от Линуса.

единственное, что не рабоает на моем ноутбуке под управлением Опена - это софт, написаный для Линукса. железо работает все. е6410, со смарткард ридером, сканером отпечатков пальцев и 3г карточкой.

Мое имхо — *BSD системы в их современном виде не готовы для десктопа. Особенно все печально с драйверами на десктопные свистелки типа вайфая и блютуса.

http://www.openbsd.org/faq/faq1.html#Desktop

> единственное, что не рабоает на моем ноутбуке под управлением Опена - это софт, написаный для Линукса. железо работает все. е6410, со смарткард ридером, сканером отпечатков пальцев и 3г карточкой.

плюс во FreeBSD работает линуксулатор [i386], который эмулирует системные вызовы линукса;
плюс лучшая поддержка NDIS-драйверов;
плюс лучший модульный файервол;
плюс унифицированная модульная подсистема хранения данных, которую пытаются сымитировать пернатые друзья;
и т.д., и т.д., и т.д.

Похоже, nnz нужно засчитать пук в лужу. ;)

Очень, кстати, интересно: что там в *BSD с йотой и 4G делается?

perprocess namespaces в *BSD уже есть ??? :)

ладно ладно :)

http://en.wikipedia.org/wiki/Comparison_of_open_source_operating_systems

Вот тут уже всё написали :)

>Стал бы Линус сидеть на своей федоре, если бы знал, что любой сотрудник спецслужб с соответствующим доступом может получить доступ к его компу? Или он каждый раз пересобирает ядро для себя, накладывая антибэкдор-патчи? :D

Ему это сделать несложно. А может вообще он лично ядрышко с закладками для Красношапки и пишет по договоренности, потому и на Федоре обкатывает.

> плюс во FreeBSD работает линуксулатор [i386], который эмулирует системные вызовы линукса;

....

оды поскипаны

....

у Фри есть один огромный минус - они как сорока, тянут все блестящее говно в систему. и если у линукса по причине большого количества разработчиков это говно хотя бы похоже на конфетку, хотя бы через N релизов, то во Фре оно так говном и остается. и это касается и подсистемы хранения данных, и джейлов, и даже этого невероятно угребищного линуксулатора (кто бы сомневался). и вмварь на нем все равно не идет, так ведь?

> Очень, кстати, интересно: что там в *BSD с йотой и 4G делается?

не имею ни малейшего понятия, в России не бываю. спросите в русской рассылке.

О, по ссылке увидел, что Linux уже имеет полноценную поддержку ZFS. Как успехи с его загрузкой с неё? :))

Ну откуда у вас, опят, такая ненависть к Фри?

Во всяком случае наш линуксулатор поддерживает выполнение линуксового флэша и различных проприетарных блобов без задержек в системе.

Что-то из VMWare есть в коллекции портов: выбирай.

> Что-то из VMWare есть в коллекции портов: выбирай.

это все гостевые тулзы.

Ну откуда у вас, опят, такая ненависть к Фри?

негативный опыт. причем, периодически впечатления обновляются. хотя, последний раз это было года два назад.

это не ненависть, просто я убежден, что нет ни одной сферы, где бы фря предоставляла нечто значительно превосходящее конкуретнов, а вот наоборот - этого полно. ну и мне критически не нравится подход к разработке. смотреть на ваши патчи к пф'у без слез нельзя.

Ээ, а что, оно чисто русское что ли?

> Вариант с исправлением бекдора в проприетарном продукте на основе BSD-кода весьма вероятен. Думаю, разработчики из juniper, apple и microsoft не зря едят свой хлеб.

дооо, особенно разработчики из apple

картина маслом: АНБ вставило закладки в BSD-код, а разработчики из apple и microsoft их убрали и продают это с закрытыми исходниками :-)

Ну, если подтасовать факты и сделать пару грубых логических ошибок, то да.

Молодец, самокритично.

Ну это уже полная ерунда. Пользовательская база *BSD-систем по сравнению с линухом — кот наплакал.

Речь шла о пользовательской базе не *BSD-систем, а BSD-кода в целом.