LINUX.ORG.RU

Крутая дискуссия


0

0

Недавно пошла очень мощная дискуссия на LKML по поводу создания security only mailing list'a для ядра. Высказываются разные мнения по поводу "открытости" подобной рассылки, а также целесообоазности её создания. Довольно интересное чтиво, особенно радуют высказывания некоторых участников.
Alan Cox:
"Given that base 2.6 kernels are shipped by Linus with known unfixed security holes anyone trying to use them really should be doing some careful thinking. In truth no 2.6 released kernel is suitable for anything but beta testing until you add a few patches anyway.

2.6.9 for example went out with known holes and broken AX.25 (known). 2.6.10 went out with the known holes mostly fixed but memory corrupting bugs, AX.25 still broken and the wrong fix applied for the smb holes so SMB doesn't work on it".

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: Re: Крутая дискуссия от orb

Re: Крутая дискуссия

Мне показалось что Алан сильно наезжает на Линуса почти в каждом посте - между ними конфликт ? или это их нормальный стиль общения ?

anonymous ()

Re: Крутая дискуссия

Т.е. ядро выходит заведомо с непофиксенными дырами, лишь бы успеть туда включить новые функциональные фичи?

Если Алан говорит правду, то простите за оффтопик, но это же значит, что уже скатились до чисто майкрософтовского подхода.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Если Алан говорит правду, то простите за оффтопик, но это же

> значит, что уже скатились до чисто майкрософтовского подхода.

А откуда Вы знаете, как подходят к разработке программисты майкрософта? Откуда информация? Или это просто Вам так кажется?

l0gin ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

Что значит "включить фичи?". Ерунда какая-то. Для коммерческой компании это имеет смысл: "о, у нас есть это, а у конкурентов нет!". Для ядра смысла гнаться за фичей нет.

Как я понял из чтения по ссылке, Линус из принципа не читает vendor-sec. (и вероятно правильно делает.)

anonymous ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

Программисты мелкософта? Они вообще никак не подходят, потому что они пишут, что им говорят.

А говорят "trusted computing", "DRM" :))

[надеюсь посетители LOR знакомы с этими зверями]

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Программисты мелкософта? Они вообще никак не подходят,

> потому что они пишут, что им говорят.

Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

l0gin ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

Мне лень искать, два-три дня назад было интервью Билла Гейтса, проскакивало по всем новостям.

Ну вот он и ляпнул, что вместо софта, в котором нет багов, мы будем делать "trusted computing". Звучало это типа "..that's why we beleive that Trusted Computing is important".

На slashdot'е уже новая идиотская шутка появилась, которая стабильно становится +5 Funny, звучит так "But is it digitaly signed?!".

В общем, что говорит БГ, то и пишут его программисты.

Достаточно надежный источник?

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> В общем, что говорит БГ, то и пишут его программисты.

Вывод необоснован

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

про трастворт компьютинг они еще до эпидемии бластера свистели. это у них с балмером вроде пионерской походной песенки.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Мне лень искать, два-три дня назад было интервью Билла Гейтса

> Достаточно надежный источник?

Нет.

l0gin ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

Шо ты прицепился?!
Шоб ты так жил как они пишут програмы!

Мне знакомый рассказывал (он работает на мелкософт, живёт в штатах)
как там пишут программы: и дёт самоё крутое распределение задачи, "100" человек раюотают над программой, каждый реализует что-то очень маленькое и ему в этой жизни на всё другое наплевать, всю эту пое%ень собирает главный поц!

Попробуй в штатах убедить баклана-программиста мелкософта (ну и других конечно компаний), шо надо думать не только как забацать своё задание, но и о глобальных проблемах думать, а им плевать, в трудовом договоре
это не указано, а еслишо, то и в суд можно ... прибыльно это очень!

И не хер трындеть о приуменьшаемой всеми никсоидами тупости винды!
Посмотрите историю!!! и сделайте выводы!
отбросте все нелицензионные версии винды!
Один только вклад никсов в образование/самообразование чего стоит!!!

>Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

Шо ты хочешь???
Почитай их книгу "Безопасное программирование" или как там? подзабыл!
Там ещё цитата БГ на ней!
Там всё написано!
И книга толковая, то сама их (МС) система - говно!

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

Алан говорит правду, как линуксойдам не печально. Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

orb ()
Ответ на: Re: Крутая дискуссия от orb

Re: Крутая дискуссия

Конечно правильно говорит!!!

Надо шота делать!

Однозначно!

anonymous ()
Ответ на: Re: Крутая дискуссия от orb

Re: Крутая дискуссия

>Алан говорит правду, как линуксойдам не печально. Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

На самом деле, уже бы давно кучу бабок у народа напопрошайничал, а тут приходится латать дырявый линакс :)

chucha ★★★☆ ()

Re: Крутая дискуссия

А кстати, о дистрибных ядрах. Знает тут кто-нибудь, есть ли принципиальные отличия ядер FC от SuSE. А то есть один частично открытый (чтобы им провалиться) драйвер, который под SuSE фурычит на ура, а под FC разваливается либо сразу, либо под нагрузкой. Те фиксы, которые SuSE непосредственно для этой подсистемы внесла, я уже посмотрел, дело не в них. Осталось просмотреть остальные 35M патчей.

Но может, кто знает какое глобальное отличие, которое я упустил? Devfs тут тоже не причем.

alt-x ★★★★★ ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Шо ты прицепился?!

Хочу знать источник сведений, которые мне предоставляют.

> Мне знакомый рассказывал

> Посмотрите историю!!! и сделайте выводы!

> Почитай их книгу "Безопасное программирование" или как > там? подзабыл!

Всё ещё недостаточно достоверный источник. Так *откуда* сведения о том, как пишут программы в Microsoft?

l0gin ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

Хрен, с ним, с оффтопиком. Но кажется в ядре действительно так? Надо включать поддержку новых ФС, нового железа и т.д., при этом можно выпускать ядро не проверив как следует security и даже с заведомо неисправленными дырками? А инфу о них придерживать на время?

anonymous ()
Ответ на: Re: Крутая дискуссия от alt-x

Re: Крутая дискуссия

>сть ли принципиальные отличия ядер FC от SuSE

Отличия довольно значительны - конкретно, нужно смотреть ветку aa на кенл.орг; Я раньше следил за этим ( для версий 2.4.x ) - теперь нет, так что конкретно где и что, сказать немогу (VM - точно).

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

>можно выпускать ядро не проверив как следует security и даже с заведомо неисправленными дырками?

Что тут удивительного, когда ядра с кенл.орг даже не всегда собираются? Причем очень часто просто из за незаэкспортеных символов - т.е. после включения патчей в ядро, никто даже не пытается проветить соберется оно или нет с полным конфигом!

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

(продолжение)

Вот поэтому люди уходят на бзд и соляру. Мало того, что для каждого дистра нужны свои особенные драйверы, проблемы с безопасностью и бардак уже достал - кому фан а кому от этого фану тиэс.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

>100" человек раюотают над программой, каждый реализует что-то очень маленькое и ему в этой жизни на всё другое наплевать, всю эту пое%ень собирает главный поц!

Не скажу насчет того, насколько главный тот, который собирает, но тот, кто делает проект - т.е. программист или группа программистов - они действительно главные. Есть архитектор, есть кодер - один делает проект, другой по бумажке с напильником. Это называется промышленный подход. Каждый работает в меру способностей и квалификации. И это есть гуд.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Есть архитектор, есть кодер - один делает проект, другой по бумажке с напильником.

А в итоге кодер переписывает то, что делал архитектор, двойная работа получается.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

>Отличия довольно значительны - конкретно, нужно смотреть ветку aa на кенл.орг

Это интересно. Что, Сусешники используют -аа ветку? Что-то я не вижу явного патча -аа, в их srpm'e. Откуда это известно? Может так было только для старых дистрибах на 2.4 ядрах?

alt-x ★★★★★ ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

>А в итоге кодер переписывает то, что делал архитектор, двойная >работа получается.

Да - и это есть гуд.

anonymous ()
Ответ на: Re: Крутая дискуссия от chucha

Re: Крутая дискуссия

>Ну так Andrea Arcangeli в SUSE не зря работает наверное :)

Работать-то он там работает, но вот над чем? ;-) Если сравнивать сусешные патчи с тем, что в ftp://ftp.kernel.org/pub/linux/kernel/people/andrea/patches/v2.6 , то совпадает только один, размером 13к. А если смотреть на ftp://ftp.kernel.org/pub/linux/kernel/people/andrea/kernels/v2.6/ , то там вообще последнее ядро 2.6.5, а в сусе, все-таки 2.6.8.

alt-x ★★★★★ ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

>Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

Например, вот отсюда:

http://weblogs.asp.net/oldnewthing/archive/2003/12/23/45481.aspx

http://weblogs.asp.net/oldnewthing/archive/2003/10/15/55296.aspx

Познавательные рассказы о том, как в MS добиваются совместимости ОС со старым софтом.

jackill ★★★★★ ()
Ответ на: Re: Крутая дискуссия от alt-x

Re: Крутая дискуссия

>Но может, кто знает какое глобальное отличие, которое я упустил?

По патчам посмотри. У fc3 это ac + bk +exec-shield + selinux и куча еще всего. Оно сильно отличается.

jackill ★★★★★ ()

Re: Крутая дискуссия

м-да .... обидно ... но тем не мене ея всегда говорил - что пока не появится 2.7.* - то смысла ставить 2.6.* на что то серьёзное нету :(

antiputainperdant ()
Ответ на: Re: Крутая дискуссия от jackill

Re: Крутая дискуссия

>По патчам посмотри. У fc3 это ac + bk +exec-shield + selinux и куча еще всего.

Угу, спасибо. Мне только сегодня пришла мысль попробовать, как оно себя ведет с ванильным ядром. Как оказалось - прекрасно себя ведет, то есть, я зря ковырялся в СуСЕ, это не они починили, это федоровцы что-то поломали... Мля, это еще несколько десятков мегов патчей перерывать...

alt-x ★★★★★ ()
Ответ на: Re: Крутая дискуссия от dn2010

Re: Крутая дискуссия

> http://www.joelonsoftware.com

Это довольно интересная чья-то домашняя страница, без сомнение. Осталось только ответить на вопрос. Так *откуда* сведения о том, как пишут программы в Microsoft?

l0gin ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

> Это довольно интересная чья-то домашняя страница, без сомнение. Осталось только ответить на вопрос. Так *откуда* сведения о том, как пишут программы в Microsoft?

Мля... достал... От верблюда!

Ты дятел? или куда?

anonymous ()
Ответ на: Re: Крутая дискуссия от orb

Re: Крутая дискуссия

> Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

С какого фига ему о чём-то жалеть? Он под линуксом подписку о невыезде
не давал ;) Коммитит патчи изредка во freebsd. Глянь хорошенько.

annonymous ★★ ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

Joel Spolsky работал в Майкрософт несколько лет и был одним из разработчиков Excel. (VBA)

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Мля... достал... От верблюда!

Всё ясно. Бабки на скамеечке насплетничали, а ты и рад дальше всем трезвонить. Одно слово - дятел.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Мля... достал... От верблюда!

> Ты дятел? или куда?

Всё ясно. С этого и надо было начинать :) А то программисты... в майкрософт... :-)

l0gin ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

Повторяю то, что анонимус написал: Joel Spolsky работал в Майкрософт несколько лет.

PS: от себя могу добавить, что все крупные корпорации одинаковы. PPS: в каких из них я работал - рассказать не могу из-за NDA.

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Joel Spolsky работал в Майкрософт несколько лет

Знакомые, которые пишут VTune говорят похожие вещи.

fAX ★★ ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> PPS: в каких из них я работал - рассказать не могу из-за NDA.

Ну, тебя же не просят рассказать, ЧТО ты там писал! ;) Неужто всё НАСТОЛЬКО серьёзно? ;)

fAX ★★ ()
Ответ на: Re: Крутая дискуссия от fAX

Re: Крутая дискуссия

Зависит от NDA.. Некоторые разве что не кровью подписывать приходится :).

McGray ★★ ()

Re: Крутая дискуссия

вот что меня бесит на ЛОРе, так это такие идиоты как ЛОГИН!
если выкинуть из трэда жалкие потуги апдолбаного детсадовца на попытку до%#аться до столба, на котором даже фонаря нет, то ну куда намного приятнее все это читать!
а так блин через постинг блевать тянет :о(

anonymous ()
Ответ на: Re: Крутая дискуссия от anonymous

Re: Крутая дискуссия

> Что значит "включить фичи?". Ерунда какая-то. Для коммерческой компании это имеет смысл: "о, у нас есть это, а у конкурентов нет!". Для ядра смысла гнаться за фичей нет.

Еще как есть. 2.6 -- это же мэйнстрим, который сконцентрировал в себе основную массу разработчиков. А основной массе разработчиков, судя по результатам, гораздо *интереснее* разрабатывать новые фичи, чем ковыряться в имеющемся коде и отлавливать баги. И это самый главный *смысл* погони за фичей.

Думаете, зря здесь стали появляться BSD-шники и ехидно намекать про несколько иной подход к качеству кода, принятый в BSD, благодаря которому некоторые линуксоиды зовут *BSD тухлятинкой и позапрошлым веком по сравнению с распрекрасным и суперфичным линуксом?

lapic ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

>Это довольно интересная чья-то домашняя страница, без сомнение. Осталось только ответить на вопрос. Так *откуда* сведения о том, как пишут программы в Microsoft?

Мляяяя.

Этот чувак работал в Микрософт. Писал Excel 4 и 5. В 5 придумал макросы.

А если ты по флейму пробежишь, то увидишь еще две ссылки на блоги разработчиков - увидишь как они добивались совместимости программ (кстати, данные подтверждаются кусками утекшего sp1 для w2k).

Если ты не в состоянии прочитать информацию, просто помолчи и послушай что тебе говорят.

jackill ★★★★★ ()
Ответ на: Re: Крутая дискуссия от lapic

Re: Крутая дискуссия

>А основной массе разработчиков, судя по результатам, гораздо *интереснее* разрабатывать новые фичи, чем ковыряться в имеющемся коде и отлавливать баги.

Линус же сказал - дистростроители, патчите ядра сами.

В той же fedora или gentoo патчи на дырки есть, причем раньше, чем в основном ядре появляются.

jackill ★★★★★ ()
Ответ на: Re: Крутая дискуссия от lapic

Re: Крутая дискуссия

Кстати :) http://www.linux.opennet.ru/base/bsd/index.html http://www.linux.opennet.ru/base/linux/index.html оцените, сколько страниц с уязвимостями в каждом из каталогов :) это примерно с 1998 года ;) даже если то, что с линуксом разделить на 3...никуда кароче не гадицца :-/

Burmuley ()
Ответ на: Re: Крутая дискуссия от l0gin

Re: Крутая дискуссия

2 l0gin (*) (03.02.2005 23:07:14)
Настырный, уважаю :)
На самом деле в Microsoft в подавляющем большинстве слуаев используют MSF. В принципе, умному достаточно, дальше поможет Google :)
Приведу только один прямой линк
http://www.microsoft.com/technet/itsolutions/msf/default.mspx
Крайне рекомендую почитать.
Тем, кто не понимает, зачем оно надо, отвечу - оно вам не надо :)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.