LINUX.ORG.RU

Леннарт Поттеринг удостоен премии Pwnie Awards 2017

 , , , ,


7

3

На церемонии, ежегодно проходящей в рамках конференции Black Hat USA в Лас–Вегасе, объявлены победители премии Pwnie Awards 2017, присуждаемой за выдающиеся достижения либо провалы в области компьютерной безопасности.

В категории «Самая дурацкая реакция разработчика» (Lamest Vendor Response) премии удостоен Леннарт Поттеринг за реакцию на ошибки в systemd и отказ документировать уязвимости, получившие индекс CVE: 5998 (новость), 6225, 6214, 5144, 6237 (обсуждение в Talks).

>>> Подробности



Проверено: jollheef ()
Ответ на: комментарий от h578b1bde

На самом деле Ульрих Дреппер прав оказался - он просто убрал недокументированное поведение, которым пользовались криворукие, создав проблему только для криворуких. Но ситуация по отношению к нему действительно нехорошо выглядела.

Quasar ★★★★★ ()
Ответ на: комментарий от borisych

а чего вы разработчикам Xorg/KDE свою ненависть не выплескиваете?

Это они привязали logind к systemd?

это же openrc не имеет аналога nspawn.

Конечно не имеет, нахрена он _там_ нужен?

Или Поттеринг должен должен был о всех системах инициализации позаботиться?

Нет, просто не привязывать к своему иниту то, что от инита вообще никак зависеть не должно.

templarrr ★★★★★ ()
Ответ на: комментарий от bread

systemd - это не идеологическая диверсия против UNIX Way. Это побочный эффект. systemd - это в первую очередь проприетаризация линукса. Сам проект по духу проприетарный насквозь.

Quasar ★★★★★ ()
Ответ на: комментарий от templarrr

Это они привязали logind к systemd?

Они привязали KDE к logind, у вас же от этого попаболь, не так ли?

Нет, просто не привязывать к своему иниту то, что от инита вообще никак зависеть не должно.

До systemd в linux вообще управления сессиями толком не было, по какой такой причине Леннарт должен был отдельный проект пилить?

borisych ★★★★★ ()
Ответ на: комментарий от borisych

создаете PR

.. и идете туда, куда Леннарт пошлет, ведь ему совершенно плевать на всех, кто не хочет использовать хотя бы одно из его великолепнейших поделий.

templarrr ★★★★★ ()
Ответ на: комментарий от templarrr

От того, что я начну пилить какой-то код, высокопоставленный разрабочик RH поменяет свой подход к проектированию ПО?

в чем у вас суть претензии-то? RH - коммерческая компания, у нее в уставе первой целью указано получение прибыли, а не помощь сирым и убогим. Сотрудники которые сидят на зп в коммерческой компании должны преследовать интересы этой компании, а не какой-то другой. То что разработчики других дистростроителей суть импотенты - это не проблема RH, это проблема дистростроителей.

borisych ★★★★★ ()
Ответ на: комментарий от alpha

Видишь ли ты уже тут наверное пятый по счету в этом треде кто реагирует на слова «ожидаемая поломка» падением в обморок.

Я не отрицаю, что могу что-то не знать. Могу ошибаться в суждениях.

Чтобы этого не происходило надо читать не слова, а предложения целиком. Желательно даже несколько подряд. И даже попытаться понять их смысл.

Вот я и хочу понять, что это такое:

Вообще говоря багом называется ситуация когда приложение ведет себя не так как было задумано разработчиком.

Откуда это определение?
Прошу дать мне точное определение bug, и тогда в зависимости от ответа, можно продолжить диалог или нет.

hx6A2E ()
Ответ на: комментарий от Quasar

systemd - это в первую очередь проприетаризация линукса.

Да. Я не вижу больше смысла в использовании линукссистемдос где бы то ни было. Нестабильное проприетарное говно без всякой ответственности.

bread ()
Ответ на: комментарий от templarrr

.. и идете туда, куда Леннарт пошлет, ведь ему совершенно плевать на всех, кто не хочет использовать хотя бы одно из его великолепнейших поделий.

пруфы-то будут? Я вот читаю дискуссии к PR на гитхабе, так там Леннарт вообще няшкой выглядет: блюдет обратную совместимость с ядрами двухлетней давности, для конфигураций тоже обратную совместимость блюдет, всяким тролям вполне нормально отвечает. А тут его почему-то все как вселенское зло выставляют.

borisych ★★★★★ ()
Ответ на: комментарий от borisych

а чего вы разработчикам Xorg/KDE свою ненависть не выплескиваете? Они привязали KDE к logind, у вас же от этого попаболь, не так ли?

А сразу-то я и не заметил. У тебя уже KDE стал входить в состав иксов? Компетентненький ты наш!

До systemd в linux вообще управления сессиями толком не было

И че?

по какой такой причине Леннарт должен был отдельный проект пилить?

Лучше скажи по какой такой причине он кучу разрозненных утилит в один комбайн засунул?

templarrr ★★★★★ ()
Ответ на: комментарий от borisych

Как много ты видел PR, которые не правят баги/восстанавливают обратную совместимость/etc, а меняют принятые Леннартом решения в дизайне systemd? Какая была реакция?

templarrr ★★★★★ ()
Ответ на: комментарий от templarrr

Лучше скажи по какой такой причине он кучу разрозненных утилит в один комбайн засунул?

а по какой причине в GCC засунули поддержки кучу разрозненных языков? А по какой причине в ядро засунули кучу разрозненных драйверов? Я по какой причине в emacs засунули кучу всего кроме текстового редактора?

borisych ★★★★★ ()
Ответ на: комментарий от templarrr

Как много ты видел PR, которые не правят баги/восстанавливают обратную совместимость/etc, а меняют принятые Леннартом решения в дизайне systemd? Какая была реакция?

Демагогией заниматься не следует, я попросил привести пример где он нормальный PR (а не такой: https://github.com/systemd/systemd/pull/6453) отшил.

borisych ★★★★★ ()
Ответ на: комментарий от hx6A2E

Откуда это определение?

От меня лично.

Прошу дать мне точное определение bug

Палаты мер и весов для багов у нас нет. Свое максимально точное по-моему определение я сформулировала.

alpha ★★★★★ ()
Ответ на: комментарий от templarrr

Привязка к одному логгеру (хоть и умеющему проксировать логи дальше)

Только на локальный syslog. По tcp/udp сочли ненужным, как я уже писал на предыдущей паре страниц.

AS ★★★★★ ()
Ответ на: комментарий от borisych

а по какой причине в GCC засунули поддержки кучу разрозненных языков? А по какой причине
в ядро засунули кучу разрозненных драйверов? Я по какой причине в emacs засунули
кучу всего кроме текстового редактора?

Это лишь показывает твою полную безграмотность в вопросе. Про ядро я тут уже объяснил, а всё остальное ну никак не является системообразующим ПО, оно всё прикладное. И там совсем другие требования к надёжности.

AS ★★★★★ ()
Ответ на: комментарий от alpha

От меня лично.

Это несерьёзно.

Палаты мер и весов для багов у нас нет.

Палаты мер и весов может быть и нет, но вот что есть.
Я ссылаюсь на международный стандарт ISO/IEC/IEEE под номером 24765, от 15 декабря 2010 года, «Systems and software engineering — Vocabulary»
Если судить по этой ссылке, то он имеет статус Active - Approved.

Что мы видим:

3.1122
fault
1. a manifestation of an error in software. 2. an incorrect step, process, or data definition in a computer program. 3. a defect in a hardware device or component. Syn: bug
NOTE: A fault, if encountered, may cause a failure.

Первое. Видишь ли ты здесь «было задумано разработчиком»?
Второе. Подпадает ли под это определение, по твоему, эта ситуация.

hx6A2E ()
Ответ на: комментарий от AS

«сочли ненужным отправку логов по tcp» или «нет возможности назначить в journal.conf в качестве точки выхода remote rsyslog сервер» - это по-твоему одно и то же?

Пишешь в лучших традициях серого маркетинга, каждую фразу надо сверять с первоисточниками, и каждую исправлять.

дискуссия 3-х летней давности

http://systemd-devel.freedesktop.narkive.com/qzNJp36N/journald-syslog-forwarding

средства для работы с логами по сети

https://www.freedesktop.org/software/systemd/man/systemd-journal-remote.html

https://www.freedesktop.org/software/systemd/man/systemd-journal-gatewayd.html#

вместо того чтобы распространять вранье надо было пойти в пользовательскую рассылку и задать вопросы о современном положении и дел и о том что ещё делается/планируется в этом направлении

alpha ★★★★★ ()
Ответ на: комментарий от hx6A2E

Это несерьёзно.

С чего бы это.

Первое. Видишь ли ты здесь «было задумано разработчиком»?

ты дал определение в котором написано «баг - это ошибка»

Теперь подумай, что такое ошибка.

Второе. Подпадает ли под это определение, по твоему, эта ситуация.

я на это уже ответила, не один раз

Отбрасывание невалидных директив в конфигурационных файлах - не ошибка, а задуманное поведение. Так делают очень многие сервисы, включая saltstack, git и т.п.

Можно обсуждать выбор разных линий поведения с точки зрения User Experience для такого случая для этого конкретного сервиса. Что и было сделано.

alpha ★★★★★ ()
Ответ на: комментарий от alpha

надо было пойти в пользовательскую рассылку

Зачем она мне нужна ? Я должен в каждой дерьморассылке теперь регистрироваться ради ненужного ? Поттеринг уже всё сказал в том баге. Я уже тут писал, какой должен быть ответ: будет/не будет/подумаем. Всё.

Тем более, глядя на приведённую тобой ссылку journald-syslog-forwarding. Где результат того обсуждения в плане syslog ?

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

конечно, тебе не нужно решать проблемы, ты занят распространением вранья на ЛОРе

тем более, глядя на приведённую тобой ссылку journald-syslog-forwarding. Где он в плане syslog ?

я занимаюсь чтением чужих логов, рассылок и документации вслух только по большим праздникам и за большое спасибо

найми нормального спеца который сможет тебе архитектуру логирования построить, и он за пару дней разберется, а о том в чем не разобрался сможет спросить у тех у кого следует, а не у случайных людей на случайных форумах

alpha ★★★★★ ()
Ответ на: комментарий от alpha

С чего бы это.

Тут многие на ЛОРе думают что Леннарт — дурак. Это же тоже «От меня лично». Но ты не торопишься с ними соглашаться?

Теперь подумай, что такое ошибка.

Не разводи демагогию со своими «туго с соображением», «теперь подумай» и прочими нечёткими ответами вида «ты же сам всё прекрасно понимаешь». Есть что сказать — говори. Приводи определения и опровергай мои.

задуманное поведение

Приведи цитату из документации или официальных источников (до 29 июня), где об этом сказано.

Что и было сделано

В конечном итоге был сделан патч, который исправляет, как ты говоришь «задуманное поведение».

hx6A2E ()
Последнее исправление: hx6A2E (всего исправлений: 1)
Ответ на: комментарий от hx6A2E

Не разводи демагогию

Ты принес определение в котором написано «bug: 1. error, 2. incorrect step 3. defect»

Ты считаешь это определением? Объясни каким образом оно что-то определяет.

Приведи цитату из документации или официальных источников (до 29 июня), где об этом сказано.

задуманное != задокументированное

В конечном итоге был сделан патч, который исправляет, как ты говоришь «задуманное поведение»

не исправляет, а _меняет_

Да, в процессе работы можно поменять задуманное. Это не больно.

alpha ★★★★★ ()
Ответ на: комментарий от alpha

Так что, повышение привилегий для юзера с циферки у поттеров таки задуманное поведение? Вот это палево. А что там еще у вас припасено? Бэкдоры, трояны, следящие закладки в ассортименте?

bread ()
Ответ на: комментарий от alpha

и документации вслух только по большим праздникам и за большое спасибо

То есть, просто в защиту Поттернига никак ? :-) Всего одна ссылка ведь как настроить remote syslog. Причем как накостылить через локальный syslog - это не надо, это очевидно.

найми нормального спеца который сможет тебе архитектуру логирования построить

Она у меня выстроена уже лет 15 как, не меньше. На сотни коммутаторов, десятки маршрутизаторов и серверов. Предлагаешь мне всё переделать из-за того, что кто-то на remote syslog забил ? :-)

AS ★★★★★ ()
Ответ на: комментарий от bread

А что там еще у вас припасено?

Там что угодно может быть. Вместо того, чтобы проигнорировать весь юнит с ошибкой, игнорировать только ошибочные строки и пытаться запуститься - это фэйл эпичный, но далеко не первый.

AS ★★★★★ ()
Ответ на: комментарий от alpha

Ты считаешь это определением? Объясни каким образом оно что-то определяет.

В отличии от тебя, я стараюсь не «считать», не высказивать свое имхо, а придерживаться стандарта. Цитирую:

This International Standard was prepared to collect and standardize terminology.

Ты принес определение
каким образом оно что-то определяет

Если ты думаешь, что он ничего не определяет, зачем говоришь, что это определение?

задуманное != задокументированное

Достойно 8)

не исправляет, а _меняет_

Предоставь доказательства своего утверждения.

hx6A2E ()
Ответ на: комментарий от hx6A2E

Если ты думаешь, что он ничего не определяет, зачем говоришь, что это определение?

последняя попытка:

_ты_ принес цитату, так?

ты принес цитату которая дает определение термина «баг», так?

приведенная тобой цитата определяет термин «баг» словом «ошибка», так?

Тебе не кажется что чтобы пользоваться этим определением термина, надо понять, что такое ошибка?

alpha ★★★★★ ()
Ответ на: комментарий от AS

Я тебе предлагаю не говорить вранья.

Неумение ставить и решать задачи. не умение пользоваться рассылками проектов и т.п. - это твое личное дело, а вот распространение вранья задевает окружающих.

Мне нет никакого дела ни до rsyslog, ни до твоего кластера, но ты принес пример, чтобы показать вопиющий случай поведения разработчиков systemd, который при поверхностной проверке оказался полной чушью.

Ты можешь сколько угодно разглагольствовать на тему RH всё купил или systemd - это комбайн, с этим бессмысленно даже вступать в дискуссию. Но верифицируемые технические факты перевирать мерзко.

alpha ★★★★★ ()
Последнее исправление: alpha (всего исправлений: 1)
Ответ на: комментарий от AS

Там что угодно может быть. Вместо того, чтобы проигнорировать весь юнит с ошибкой, игнорировать только ошибочные строки и пытаться запуститься - это фэйл эпичный, но далеко не первый.

таки комментарии Леннарта надо читать вслух :) Еще раз: systemd блюдет обратную совместимость со старыми конфигурациями, одно из решений заключается в том, что синтаксически неверные директивы в юнитах игнорируются, а не фейлятся сами юниты, хейтеры же в противном случае на говно изойдут, будут писать: я тут в одном месте опечатался и порушил систему - Поттеринг виноват

borisych ★★★★★ ()
Ответ на: комментарий от AS

Я понимаю, фанатам systemd сложно понять элементарные вещи, связанные с надёжностью работы серверных ОС.

есть компания RH, которая только тем и занимается, что разрабатывает серверную OC, у ребят из этой компании systemd по какой-то причине боли в заднем проходе не вызывает, а даже наоборот - они в него еще и деньги вкладывают. С вашей же точки зрения получается, что Леннарт сам по себе все архитектурные решения принимает и ни с кем их не обсуждает, ага.

borisych ★★★★★ ()
Ответ на: комментарий от alpha

_ты_ принес цитату, так?

Да.

ты принес цитату которая дает определение термина «баг», так?

Не совсем, в документе говорится о «fault» и там же написано «Syn: bug».

приведенная тобой цитата определяет термин «баг» словом «ошибка», так?

Нет, ты вырвала слово, там чётко написано: «a manifestation of an error in software».

Тебе не кажется что чтобы пользоваться этим определением термина, надо понять, что такое ошибка?

Я же тебя попросил, чётко опровергнуть с приведением опредления «ошибки» и аргументацией, но ты этого не сделала. И снова начинаешь вилять.

hx6A2E ()
Последнее исправление: hx6A2E (всего исправлений: 1)
Ответ на: комментарий от hx6A2E

Нельзя пытаться опревергать то, что не определено.

сойдемся на том что bug - это «manifestation of an error in software»

что такое manfestation of an error in a software? Как его отличить от чего бы то ни было другого?

alpha ★★★★★ ()
Ответ на: комментарий от borisych

я тут в одном месте опечатался и порушил систему - Поттеринг виноват

Вот такого хейтера я с удовольствием макну его тупым рылом в дерьмо. открывать фактические уязвимости ради обратной совместимости еще дерьмовее чем не давать обратную совместимость вообще и просто в документации к в мажорной версии описать все изменения. Ой, блин, у этого хипстера с си наперевес нету же мажорных версий, вот засада...

mandala ★★★ ()
Ответ на: комментарий от borisych

есть компания RH, которая только тем и занимается, что разрабатывает серверную OC, у ребят из этой компании systemd по какой-то причине боли в заднем проходе не вызывает

Так это ж они всем суют паяльник в задницу. Нужен высокий уровень эмпатии, чтобы самим боль прочувствовать. Поганым коммерсам такое не свойственно. А про Пётю ты прав, это публичный клоун и громоотвод. Настоящие упыри засели в совете директоров.

bread ()
Ответ на: комментарий от alpha

чтобы показать вопиющий случай поведения разработчиков systemd,
который при поверхностной проверке оказался полной чушью.

От твоего мнения случай не перестал быть вопиющим, увы и ах. Был вполне конкретный FR, от него просто отмахнулись. Это - факт неоспоримый.

верифицируемые технические факты перевирать мерзко.

Именно так. Чем ты и занимаешься.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)