Mozilla в суде добивается раскрытия уязвимости, применённой в атаке ФБР на Tor Browser
http://www.opennet.ru/opennews/art.shtml?num=44408
впрочем остальное можно не читать, всё в в заголовке.

столлман с его опенсорс-религией плачет кровавыми слезами - ТАК идею ещё никто не опускал!
ФБР в восторге от такой возможности жестоко троллить МОФО - ну уязвимость в коде, вашем же, открытом,разбирайтесь сами что вы там накодили!

вобщем МОФО подписала себе приговор и уже не отмоется от такого позорища.

okkamas_knife
Что ха дешевый вброс? вы прекрасно знаете, что в коде бывают неочивидные штучки, иногда даже зависящие от особенностей архитектуры системы или железа.

И как это оправдывает подобный стыд?
Тестирование?Анализаторы кода? не, не слышали.
я ковырясь в мозилловском коде встречал штуки типа
var a=0;
if (a==1){...}else{...}
даже мне непрограммисту очевиден фэйл

и как такое попадает в релизы?
я бы еще понял еслиб мофо наняли какую нибудь контору для поиска и устанения дыр но обращаться с этим в ФБР да ещё и через суд?

Тут надо разбираться: о чем именно идет речь. Но читать 54-страничный опус MoFo - https://blog.mozilla.org/press/files/20 … 112016.pdf у меня, если честно, нет желания.

Как минимум, есть два-три описанных ранее случая - за разные годы. Две новости, как я понимаю, связаны между собою:

Так что в любом случае нужны подробности и их анализ.

Верно, братик, верно! ... Никаких FF - только Elinks, запускаемый в изолированной среде - QubeOS имени хорошей девочки Иоанны Рутковской. Или, на худой конец - в гипервизоре Xen.

... А ты, говоришь, все еще на виндах прозябаешь? (с) "Тогда мы идем к вам!"

а ты всё ещё веришь в то что создатели опенсорсовых ос разбираются в своём коде полностью и там нет дыр?
проприетарщина в этом смысле плюс т.к. искать уязвимость сложнее.

Не-не, не переводи стрелки на больного старого еврея!

"В рот мне ноги", как сказал бы RMS, прочитав подобное! См.: https://www.youtube.com/watch?v=I25UeVXrEHQ

P.S.

Если, как представители МоФо, целыми днями придумывать "рюшечки", "улучшения интерфейса", плюс - втыкать туда сторонние сервисы: проприетарные компоненты, видео-аудиозвонки, DRM и т.п. (лень даже перечислять), вместо того, чтобы заботиться о БЕЗОПАСНОСТИ браузера, то дыры однозначно ЕСТЬ и БУДУТ!

вот скажи ты лично в состоянии разобраться в коде ОС чтоб найти и залатать дыры?
врядли и 99.99% пользователей тоже.
а теперь посмотри на это со стороны черных шляп - в какой системе им проще найти дыру - той где только бинарники или той где еще имеется исходный код?
причем имея на руках исходники можно гораздо проще видеть все зависимости и обработчики входных данных чтоб составить например цепочку дейстий приводящих к уязвимости а наличие анализаторов кода делает эту задачу ещё более лёгкой.
так что с точки зрения юзера не готового ковыряться в системе на низком уровне проприетарщина даже лучше ибо затрудняет поиск дыр врагу.
-----
до кучи вот в фф постоянно находят и исправляют иногда дыры, ты видел хоть один сторонный форк где вносят исправления и латают дыры сами разрабы а не юзают мозилловские?
я - нет. все изменения как правило сводятся к выпиливанию чегото и изменению существующих настроек.

Я иногда по утрам открываю глаза, пью аспирин и с трудом вспоминаю, как меня зовут, а ты мне такие сложные вопросы задаешь - про чужой исходный код...

Этот вопрос и ответ на него подробно рассматриваются в программной статье одного хорошего мужика, старого хакера и столпа/основателя Open Source, Эрика Реймонда. Называется оно "Собор и базар":

Больше ничего прибавить не могу.

https://ru.wikipedia.org/wiki/Рэймонд,_Эрик
https://ru.wikipedia.org/wiki/Собор_и_Базар

только вот найти ошибку !== исправить ошибку
ну и до кучи куда смотрят те over9000 глаз если не видят уязвимость? или у ФБР глаз больше или смотрят в правильном направлении?
а сколько лет эти опенсорс глаза в упор не замечали хартблид?

сплошная теория и красивые фразы
чтоб ошибка была исправлена или хотябы известна сообществу должны сложиться несколько факторов
1 человек должен понимать чужой код причем не просто что он делает, а зачем, каким способом, каков должен быть результат,как он взаимодействует с другими компонентами.
2 у человека должно быть время силы и желание копаться в чужом коде с намерением найти ошибки
3 найдя ошибку он не должен поддаться соблазну получить за неё какието бонусы продав её злоумышленникам или эксплуатируя её сам.
а теперь подумай и прикинь какой шанс что такой человек найдется хотябы на миллион кодеров? воот.

Пару шекелей за рекламу обещала?

Насколько я помню одна из уязвимостей вообще аппаратная в RAM, когда многократное чтение одной ячейки приводит к изменению значения соседней.

Не для этого ввели эту защиту?

12-05-2016 16:02:56
Я к тому, что могла использоваться подобная уязвимость и программно её просто не найти.

а сколько лет эти опенсорс глаза в упор не замечали хартблид?

Два года.
Практика показывает, что если уязвимости ищут, то их находят. Либо ФБР, либо случайные люди. А если код проекта плох, а FF и особенно OpenSSL - это, к сожалению, примеры проектов с плохим кодом, то их находят много.

Можно ли считать новости "Обнаружена и исправлена уязвимость в проекте A, срочно обновитесь" именно таким случаем?

А как быть с известным случаем, когда одна компания из Редмонда реализовывала фэйковое шифрование для офисных документов?

Но скоро от старого как я понимаю мало что останется? API перепишут, движок сменят на Servo.

Ага. Я частенько встречал таких "хакеров". Вернее "ксакепов". Особенно в анонимных комментариях на на opennet, ну и на LOR'e. Круты до невозможности, только вот своими руками из них хрен кто чего в своей жизни сделал.

Зато проект QubeOS растет и развивается. И лично меня особо радует, что он основан на базе Red Hat.

Подумаешь, нашлись "герои в маминой кофте": "у-у, баба кодит, гы-гы! давай ее утроллим!"

P.S. Для тех, кто подсел на винды и чуток не в курсе:

https://en.wikipedia.org/wiki/Qubes_OS
https://en.wikipedia.org/wiki/Joanna_Rutkowska

К счастью, я ЗНАЮ такой глобальный пример, где успешно и самым чудесным образом совпадают все три условия (и даже больше). И он у меня постоянно перед глазами... Говоря опосредованно, он называется "мир GNU Linux". Это как раз та ситуация, когда миллионы энтузиастов и бессребренников: понимают "чужой код", успешно кооперируя с коллегами в его разработке (зачастую - говоря при этом на разных языках; не зная друг друга по имени и даже ни разу в жизни не видя друг друга); имеют силы и желание это делать; не ждут вознаграждения за свою работу... Ну и прочее.

Выражаясь высокопарным штилем, это "мир идеалистов". И он в любом случае не состоялся бы без RMS, Линуса Турвальдса, Эрика Реймонда, "космонавта" (Марка Шаттлворта) и прочих.

... А вот теперь, чтобы чуток потроллить, вернемся к нашим баранам.

Ответь, как на духу - сколько вирусов разработано и внедрено под винду? Насколько я понимаю, СОТНИ ТЫСЯЧ. И каждый из них, заметь(!) - внезапно "заточен" под какую-ту конкретную уязвимость в ПРОПРИЕТАРНОЙ (т.е. "закрытой") операционной системе, плюс - успешно ее эксплуатирует. А это значит, что в системе - сотни тысяч дыр, плюс - ежедневно открываются и эксплуатируются новые, несмотря на всю ее мнимую "безопасность" по причине закрытости исходных кодов.

А теперь ответь, сколько вирусов (причем из разряда "запусти меня сам - руками, но сначала, умоляю, дай мне права рута!") существует под Linux? Насколько я осведомлен (могу соврать) - около сотни... Или поменьше.

Есть разница? Воот!

А теперь скажи:

1. На какой операционной системе крутится подавляющее большинство веб-серверов в мире?

2. На какой операционной системе работает 99% (да-да!) мировых суперкомпьютеров из разряда "TOP-500"?  И задачки, которые выполняют эти суперкомпьютеры, отнюдь не детские! Это тебе не пасьянсик разложить или в фотошопе картинку отретушировать

3. На чем пашут гигантские погодные сервера, обрабатывающие дичайшее количество информации за один присест?

4. Какая именно операционная система используется в государственных и военных учреждениях?

5. Какая операционная система управляет (это просто пример, ничего личного) новейшим американским крейсером "Цумволт"?

И потом ответь: что(?) - все эти люди, т.е. проклятые буржуи и капиталисты - они идиоты, что ставят в таких ответственных и критичных местах GNU Linux? Так получается по твоей логике? Экономят, наверное, на "лицензионной винде"?

При этом (заметь!) - я ж человек добрый и НЕ задаю тебе попутно вопрос: а КАКАЯ ИМЕННО операционная система с ЗАКРЫТЫМИ исходными кодами, разрабатываемая одной фирмой из Редмонда, ПОЛНОСТЬЮ (в своем 10-м воплощении) сливает пользовательские данные: предпочтения, телеметрию, поисковую историю и даже, по слухам - данные с камеры и микрофона - на сервера производителя? Не спрашиваю... ибо долбаный стыд (и неохота тебя вводить в неловкое положение).

***

Вооот! (утроллю ведь)

Rosenfeld
Зачем писать очевидное? Мы Windows используем только за дополнительные проценты производительности от нормальных видеодрайверов.
Что касается не IT-шников, то первый вопрос: "Зачем оно мне, если работает медленнее и игры не идут??"
Вы: "Безопасно, не украдут!"
Вам: "Да я только вконтактик и фильмы смотрю! Иногда почту. Пусть крадут! Если что новый аккаунт заведу! А ничего секретного я не делаю! Пусть смотрят!"
В общем на этом спор кончается.

Не-не, я ж не вас сейчас троллю, а своего старого друга. Пусть ответит!

О! Я часто слышу именно такую формулировку. И специально для таких случаев всегда держу под рукою ссылку на одну известную теоретическую статью под интересным названием "Мне нечего скрывать!" ... Не поленитесь - почитайте ее, пожалуйста:

https://www.pgpru.com/biblioteka/statji/nothingtohide

Дополнительно по теме:

http://blognot.co/11002

только вот почемуто несмотря на этих энтузазистов дыры всё обнаруживаются и обнаруживаются
да и линупс пока на десктопах даже до четверти не дотягивает
какой ща самый популярный браузер? ага проприетарный хром.

если не учитывать андроед (яж знаю будут крики что это не линукс)
то ответ простой какова доля линуксов и какова доля винды? под что выгоднее пилить вируса(сейчас это коммерция)?
вот когда линукс займет такую же долю на десктопах тогда и сравним, а пока это неуловимый Джо.

ну и тебе напомнить откуда появилось словечко руткит?
насчет прав - погугли про эскалацию привилегий и выполнение произвольного кода и посмотри в багтрекерах сколько уязвимостей подобного типа было в линуксах и прочем опенсорсе, то что их активно не эксплуатировали заслуга лишь того что слишком мало систем чтоб ради этого возиться.
ну и простая логика вирусописателя - если человек платит за ось значит у него есть бабло которое можно отжать.
по этой же причине ща вирусописатели перекинулись на андроид..

и? тут лишь вопрос выбора инструментария под задачи.
если искомый функционал не реализован в операционке и софте под неё или железо не поддерживается ей то какой смысл ставить то?
и раз уж вопрос о проприетарщине то погугли про использование QNX. ога.

и рас уж зашел вопрос то сколько уже лет красноглазики кричат вендекапец - линукс растёт а чтото доля линукса на десктопах так и не добралась даже до 25%.
както не сходится.

Не-не-не, так нечестно! Ты сначала последовательно ответь на ВСЕ мои вопросы, а не закидывай меня новой информацией.

А то получается, что в этой дискуссии мы с тобою находимся в неравном положении: отвечать почему-то ты не хочешь, а упорно пытаешься "соскочить".

Вот когда ответишь, тогда я тебе напишу про "десктопы" и "долю Линукса", ага?

Прочитал. Однако статья скорее как аргумент к том, что человек имеет право скрывать что-то и это может иметь под собой основание.

То есть больше похоже как буд-то на суде спрашивают у обвиняемого: "Зачем вы зашифровали диск если невиновны?". И это его ответ.

Это обосновано. Однако я продолжу диалог, ответ обывателя на вашу ссылку:
"Ну и что все следят что ли? Ай, глупости! Пусть следят!"

Мне понятно, что время от времени наша фемида выбирает "козла отпущения" и судит за любое неосторожное слово или фото в сети очень строго.
Но какой шанс? Даже если вы каждый день постите свастику на гос. порталах, но под анонимным ником и через Tor? Думаю очень мал. Не говоря уж о наказании за личную переписку.
Да к тому же. Шанс того что вас собьёт машина намного выше.

Это баланс между тратой времени и безопасностью. Мне кажется (это моё личное мнение), что у вас перекос. Проще говоря: никому вы не нужны.

Нет. У вас неправильное представление и изначально неправильный посыл.

И там, и там речь идет о неотъемлемых человеческих ПРАВАХ на личную СВОБОДУ и ПРИВАТНОСТЬ: не потому, что он занят чем-то "секретным", а потому что это его ПРАВА - право на личную жизнь, на тайну переписки и т.п.

... Ну а если человеку глубоко плевать на свои собственные права, уж извините - ничем помочь не могу. Да и не человек это тогда вовсе... так... хомячок домашний.

Отлично! Тогда предложение конкретно к вам. Согласны ли вы добровольно установить у себя дома круглосуточно работающие веб-камеры и микрофоны (даже если вы "никому и не нужны")? Согласны ли вы опубликовать в открытом  доступе - прямо здесь, на форуме - свои паспортные данные, ФИО, номера кредитных карт, марку и номер машины, имена своих детей?

Вам нечего скрывать? Замечательно! Тогда будьте последовательны: опубликуйте! Это ж открытые данные и ничего в них секретного нет, правда ведь?

P.S. Попутно: признайтесь, если соседское окно расположено прямо напротив вашего, вы хотя бы иногда закрываете шторки? А входные двери держите закрытыми? А письма по обычной почте шлете в открытом виде или все-таки запечатываете в конвертик? По улице ходите голым или все же одеваетесь?   ... А почему? Ведь вам "нечего скрывать", верно?

(шучу-шучу)

P.S. Политические аспекты (тем более - нарушающие законодательство разных стран), уж извините, я принципиально не рассматриваю - мне они неинтересны. Меня привлекает сугубо техническая и теоретическая сторона вопроса.

ага, опенсорсный проприетарный хром

Выгоднее всего ломать серверы, на которых хранятся различные данные: один взлом - и куча аккаунтов у тебя в руках.

Если я не нужен, то такие предложения просто не поступят. Поэтому даже мой ответ "да" не приведет ни к каким последствиям.

Но если серьезно, я писал о другом.
Вы "ненужны" в какой-то степени. Да, вас могут наказать за матерную песенку вконтактике. Но вероятность этого низкая (если вы не будете делать плохое официально под своим именем или email).
И вот вы в течении 20 лет параноите. Тратите время, нервы. А в результате никто на вас внимания не обращает.

Итого: потерянное время. Когда можно было просто жить и пользоваться удобствами.

А это не я кстати так говорю. Это знакомые (и их мнение см. выше).
А лично я соблюдаю некий баланс, установленный на основе моего личного мнения.

trollface.jpg

ну вобщемто уже под тыщу если не считать андроидных коих тьма.

пруф пожалста! что КАЖДЫЙ вирус для винды юзает СВОЮ уязвимость.
а я потом ткну носом в кучи вирусов юзающих одни и теже дыры.

Снова соскочить пытаешься... Ты на вопросы-то ответишь наконец или нет? По пунктам.

Пруфа нет и не будет. Но ты, когда со мною дискутируешь, хотя бы следи за тем, что пишешь:

Допустим, я не прав по поводу "один вирус - одна уязвимость". Отлично!

... Но тогда (по ТВОИМ же словам) получается, что в виндах дело обстоит ЕЩЕ кошмарнее: сотни РАЗНЫХ вирусов, созданных, естественно, в разное время и независимо друг от друга, используют ОДНУ И ТУ ЖЕ конкретную дыру-уязвимость. А это, уж извини, свидетельствует о том, что такие дыры НЕ закрываются!

(опять тебя "сделал")

Похоже, у нас с вами разное мировоззрение и понимание окружающей действительности. Я вам пишу про ПРАВА и СВОБОДЫ любой личности, а вы все твердите "накажут". Кто вас так напугал-то, что вы боитесь "наказания"?

Разве я что-то выше писал о совершении каких-то противоправных действий, за которыми последует неизбежная расплата, и утверждал в качестве вывода, типа "ВОТ ПОЧЕМУ так важна приватность и анонимность"? Нет конечно!

Всё, о чем я говорю - это приоритет человеческих свобод и его права на приватность. И стремление к соблюдению и защите этих прав, уж поверьте мне на слово, отнюдь НЕ связано с нарушением какого-либо законодательства. И за это "не наказывают". Во-всяком случае - в свободных странах.

Вернусь обратно к уже сказанному. Ответьте - а вы считаете, что "параноите", когда завешиваете шторки в спальне? А когда запечатываете бумажное письмо в конверт?

И, кстати, вы так и не откликнулись на мою просьбу: будете ли здесь, на форуме, выкладывать свои ОТКРЫТЫЕ личные данные?

P.S. Для ознакомления:

нука покажи мне исходники гуглохрома? то что он на хромиуме основан не делает его опенсорсным

и что с этими данными делать и как потом прятаться?
если ты написал простейший вирусняк то пусть даже тыщу юзеров обул на деньги (поимев доступ к их счетам) то маловероятно что ктото будет сильно тебя искать а вот ломанув крупного игрока ты будешь иметь дело не только с органами но и со службой безопасности той конторы.  оно надо вирусописателю?

ну во первых не допустим а так и есть а во вторых это не не прав а соврамши!

и опять неверные выводы.
от чего зависит закрытие дыр? в первую очередь от того как обновляется юзер
это у линуксоидов привычка постоянно обновляться и копаться в кишочках а виндоюзеры просто работают,
многие уязвимости юзаемые вирусами собственно не являются уязвимостями в чистом виде - это особенности настроек которые делались для удобства пользователей и которые ессно начали юзать вирусописатели.
тут надо выбирать либо неудобства и защищённость либо удобства и возможность эксплуатации этих удобств в нехороших целях.
возьми те же макросы в офисе например. или скрипты в браузере.
а куча вирей использующих автозапус съёмных носителей?
я уж молчу про генераторы малвари с которыми любой школьник нагенерит сотни вирей.

ну и не дыры закрываются медленно а вирусы пишутся быстро потому что этонужно и выгодно а на линуксе ну кому он будет впаривать вируса?
ради интереса посмотри сколько успели заразить вири использующие настоящие уязвимости мсбласт и сассер - всего 300 000 машин. то бишь реально критические дыры латаются совсем быстро ну а менее критичные чуть медленне ибо патчи надо тестировать а не как с опенссл и его форками где до сих пор находять дыры, а уж сколько было случаев когда заплатка на скорую руку ломала другое...

не сделал а опять облажался.
только факты и логика тебе помогут.
и точные формулировки.

Третий раз ушел от прямых ответов. Ну что же, давай еще раз повторимся...

Именно! Факты. Поэтому все-таки скажи:

(а я пока пошел спать)

Так а уязвимости-то искать что мешает в открытом коде хромиума и эксплуатировать их против хрома?

Ну вот получил некто доступ к 1000000 почтовых ящиков - дальше думаем сами.

12-05-2016 22:00:51

А есть ли цель у бизнеса покарать взломщика? Вот, помнится, взломали Comodo, выпустили поддельные сертификаты для гугла, яху и ещё чего-то там. Что-то не было новости, что кого-то нашли.

12-05-2016 22:06:22

Ы?

http://www.cnet.com/news/msblast-epidemic-far-larger-than-believed/

P.S. Но mozilla таки всё, да.

никто но вопросто был проприетарен ли хром. а он проприетарен хотябы изза встроенного флэша.

ну всё зависит от суммы, опять же может и сообщали что когото нашли с бетонными тапочками на дне пруда..

у меня цифры из вики, фиг знает кому верить..я помню когда в контору сассер прилетел из почти тыщи машин штук 20 успели словить потом оперативно прикрыли его.
так что думаю и та и другая цифры неверны..

а зачем?
ты хочешь потратить моё время на поиск бесполезной информации?
или донести до меня эту информацию?
если второе то ответь сам и с пруфами, а если первое то поищи зелёных-голодных.

и скажи мне: машинный код это опенсорс? а ассемблер? а brainfuck? где грань между открытым и неоткрытым кодом?
напоминаю речь идет об ОТКРЫТОМ а не СВОБОДНОМ коде.

... Юлит, аки угорь на сковородке! Прямо любо-дорого смотреть, как человек мучается и изворачивается в поисках нового объяснения! Кстати, скоро буду создавать классную подборку из твоих перлов и выкладывать у себя в техблоге.

Этот полемический прием называется "включать дурачка": когда совсем прижмут к стенке неудобными вопросами (с очевидными ответами, признать которые - смерти подобно), начинается примерно следующее: "А? Что? Зачем? Ничего не знаю! Не слышал" и прочее...

Скажи, ты в самом деле живешь в глухой деревне без интернета и не читал, скажем, про исследования, из которых следует, что десятая винда ПОЛНОСТЬЮ сливает пользовательские данные? Или что на TOP-500 суперкомпьютеров установлен Linux и только он (за малой долей процента).

Я понимаю также (и всячески сочувствую) - тебе просто неудобно перед окружающими признать тот факт, что Linux ставится в самых ответственных и критичных местах, требующих надежности, стабильности и отказоустойчивости, например как CERN (пресловутый Большой коллайдер), военные объекты и т.п. (лень перечислять, см. выше), но вообще... так было бы честнее. И по-мужски. ... А?

Согласен. И это - естественный процесс работы над любой ОС или прикладным ПО, их непрерывного улучшения; причем - в полном соответствии с приведенным мною выше высказыванием Эрика Реймонда.

А вот ты - в полемическом запале опять себе противоречишь. И сам за собою не следишь. То из твоих слов следует, что дыры в линупс НЕ обнаруживаются годами, а то дыры все обнаруживаются и обнаруживаются. Общий смысл: куда ветер дует, так ты и трактуешь - как тебе в настоящий момент выгодно и удобно.

Но только ты учти, что твои слова читают участники форума. И когда они отслеживают твои метания в противоположные стороны, то доверие к подобным доводам резко падает. А поскольку я за тебя и твою репутацию искренне переживаю, то мне  неудобно это видеть, такие вот несовпадения.

А ответь (впрочем, я уже пошел по второму кругу) - а что, в винде дыры НЕ ОБНАРУЖИВАЮТСЯ? Я тебе уже привел пример про сотни тысяч вирусов под винду (взгляни на базы современных антивирусов!), эксплуатирующих массу уязвимостей. Этот факт ты стараешься не замечать? Не старайся играть на эмоциях, а просто трезво анализируй статистику, о которой я уже упоминал: количество заразы под винды и количество "вирусов" под Linux. Сравни. И сделай выводы: не для меня, а для себя самого.

И попутно не надо заявлять: "А вот когда Linux появится на десктопах ..., то тогда..." (см. на пару строчек ниже) - а просто живи сегодняшним днем и его реалиями. Так будет проще.

Это ОЧЕНЬ смешные доводы. Детские. Более того, этот аргумент совершенно не при деле. GNU Linux изначально "заточен" под абсолютно иной уровень пользователей и другие задачи (и я тебе привел выше много серьезных, критичных и сложных областей, где он используется).

Понимаешь, в чем  дело: одним людям надо порнуху посмотреть, в Warkraft погонять, да в "Фконтахтике" собачек-кошечек запостить. У других же людей (условно назовем их "взрослыми") - иная жизненная идеология, другие требования и другие, более серьезные и сложные задачи. Лет пятнадцать назад - это вообще была компьютерная элита. Ну и мозги у них работают не на потребительском уровне, а чуток по-иному.

Так что в спорах не надо приводить доводы про "миллионы" хомячков, которым нравится то-то. Гитлера в свое время всенародно избирали поголовным большинством (да и не только Гитлера; есть примеры и из новейшей истории) ... И что же - это довод?

Очередное детское доказательство.

Поразмысли хорошенько (исходя из твоей же логики): что выгоднее ломать и что принесет неизмеримо больший профит:

1) если ты "сломаешь" миллионы виндовых компьютеров у миллионов условных Вась Пупкиных (кстати, их и ломать-то не надо: машина с виндою - это дом с полностью открытыми входами, окнами т.п. - заходи и бери, что хочешь). Причем, что интересно - у Васи Пупкина и красть-то нечего, кроме "домашних фотосессий" его прыщавой малолетней одноклассницы и рефератов, скачанных из интернета. Вон, подними глаза чуть выше: другой участник форума открыто заявляет: "Мне скрывать нечего! Приходите в мои винды и забирайте всё, что хотите! Welcome!"

... Ну и где тут ты видишь "выгоду"? Открой глаза, осмотрись вокруг и подумай!

ИЛИ

2) если ты получишь доступ к серьезному ресурсу, как-то: крупный веб-сервер, ядерный центр, военный сервер, правительственное режимное учреждение, банковская сеть. И учти, что там-то (в уважающих себя организациях) винда точно не стоит... "Сбербанк" я здесь в пример не привожу - у них однозначно винда!

Ну так и что? Умеешь подсчитывать доходы? Теперь ответь - ГДЕ больше выгода от несанкционированного доступа? ... Вооот!

Так что и этот твой довод мы отметаем, как несостоятельный.

Так это тогда даже не "крэкерство" (термин "хакерство" в его изначальной трактовке здесь категорически неприменим!)... А так - ссыкливое крысятничество... по мелочам, причем у своих же. (с) "За это убивать надо". Это очень некрасивый момент.

Действительно. Тут ты абсолютно прав! И, самое главное - КАК он будет впаривать? "Дяденька, ну зайдите из под рута... Ну запустите меня вручную... я ж хороший и неопасный" Хоть одну правдивую фразу ты за сутки написал, хвалю. Но, полагаю, она у тебя случайно вырвалась.

P.S. Слушай, одно удовольствие с тобою общаться, право... Я-то боялся, что у тебя доводы посильнее будут, а у тебя пока что кроме двух заявлений: "Линупса нет на десктопах!!!" и "Там тоже есть дыры и страшные вирусы!" ничего и не прослеживается, своего и оригинального...

А я именно об этом и веду разговор. У меня нет желания защищать права и свободы на площадях или пропагандировать. Все кому это надо или сами выучат комп. сети, или попросят/наймут знающего человека. Пока свобода и анонимность в сети есть меня интересует исключительно практическая сторона - сокрытие только до такой степени, чтобы уменьшить вероятность нахождения. Я знаю, что есть COPM, но я сильно сомневаюсь, что его будут использовать для поиска анонимов. Если честно я сильно сомневаюсь, что ФСБ вообще способно кого-то найти через COPM, если конечно он не оппозиционер-политик.

Когда занавешиваю окна в спальне это другое. Это чтобы потенциальные воры не видели обстановку в квартире. И чтобы ушлые полицаи не выглядывали ничего подозрительного. Ну и чтобы всякие вуаеристы-извращенцы не пялились. Это не паранойя, а разумно.
С интернетом сейчас ситуация другая. Подглядывание требует больших усилий или работы в спец. службах. Причем работы на особых местах, в которых официально запрещено разглашать прочтённую бытовуху (да пусть смотря, главное чтобы никому не говорили - это та самая бытовая логика из моего диалога). Я когда общаюсь в соц. сетях всегда предполагаю, что это публичный чат и пишу всегда общими словами понятными только собеседнику (это очень легко).

Насчет писем я не паранойю, я знаю что их прочитают 3-и лица.

Нет. Это ТО ЖЕ самое. Сравните свой компьютер с домом; отследите такую аналогию. Если речь идет о винде, то вменяемый фаэрволл, антивирус и другие (совокупные!) комплексные меры безопасности не позволяют потенциальным ворам "видеть обстановку". И чтобы "полицаи" ничего "не выглядывали". И чтобы интернет-вуаеристы вам случайно веб-камеру не активировали - скрытно и в самый неподходящий момент.

Неужели вы не в состоянии провести хоть минимальные параллели?

... И да, кстати. Где ваши паспортные данные, ФИО, фото и прочая ОТКРЫТАЯ информация (см. выше), которую вам "незачем скрывать"? Мы ждем-с...

это ответ на твои тролльские вопросы в попытке заставить меня тратить впустую время чтоб аргументированно с фактами ответить а мне знаешь ли лень лопатить интернет в поисках фактов которые в рамках дисскуссии бессмысленны.
и таки не линуксом одним живы мэйнфреймы. как я уже писал выше выбор ОС в первую очередь идёт под задачи.
я тебя уже ткнул носом в QNX но ты в своей манере проигнорировал это.

и где противоречие?
часть дыр может не обнаруживаться годами, часть постоянно находят.
трактуешь тут ты игнорируя логику.

1 где я говорил что на винде дыры не обнаруживаются?
сам придумал - сам озвучил - сам с собой споришь?
2  а вот не надо упрощать.
вот две яблони, с одной сорвали 100 яблок и в 10 из них наши червяков, с другой сорвали 5 яблок и червяков не нашли
делать из этого вывод что на втором яблоки не червивые глупо.

вобщемто я тебе с самого начала указал на разницу в задачах и условиях использования.
и то что гдето используется конкретная ось и софт означает лишь то что они подходят к тем условиям.
где нужен реалтайм там юзаются ОС реального времени, где нужно удобство юзеру и простота юзают винду или макось
хотя да сейчас развелось дураков - фанатиков пытающихся использовать швейцарский мультитул с ложкой-вилкой-ножом-пилой-отверткой там где достаточно простой ложки.
надо выбирать инструмент под задачи а не приспосабливать существующий.
это как юзать FF+Simple Mail или терминал вместо почтового клиента.

вернись в реальный мир.
про электронные платежи слышал? про шифровальщики-вымогатели? не?
как думаешь что проще и безопасней заразить простым (простым в смысле доступным даже школьнику - да, сейчас можно купит себе вирус или сгенерить, рынок-с ) вирём тысячу юзеров, снять с каждого по копеечке и не париться.

а можно затратить массу усилий на взлом суперсервера где нет реального бабла а если и есть то стырить его будет совсем непросто + тебя начнут искать серьёзные люди с запахом могилы.
так что проще и выгоднее то?

ну и поясни мне глупому - вот взломал ты ядерный центр или военный сервер, как ты переведёшь своё виртуальное достижение в реальный бутерброд с икрой?

в случае с домашним компом васи пупкина всё просто - купить на его вебмани(в смыле любые электронные деньги) биткоинов и обналичив или напрямую купить то самое ведёрко икры и спокойно скушать его не прислушиваясь к шуршанию мешков для трупов за дверью.

зы мне становится скучно спорить с человеком игнорирующим логику,
пытающимся сравнивать зелёное с кубом или бензопилу с атомной бомбой и игнорирующим неудобные вопросы.

Ну т.е. что, не важно, открыт код или нет, главное, чтобы проприетарно было?

Ещё раз. У Comodo вообще не было мотивации _искать_ его.

А что можно сделать, например, имея сертификат *.paypal.com - хотя бы примерно понятно? Если дальнейшие действия взломщика непонятны, то так и скажи.

Я бы верил МС, но с учётом того, что они наверняка занижали цифры, дабы избежать паники.

13-05-2016 13:07:08
P.S. Ну и, кстати, про неуловимого Джо - это хороший и важный момент. С точки зрения безопасности действительно лучше пользоваться менее популярной системой именно потому, что она реже будет целью для атак. При одинаковом уровне технического совершенства статистически по количество потенциальных инцидентов безопаснее та, которую реже атакуют. Такой аспект было бы глупо игнорировать.

а что флэш уже опенсорс?

ну а я о чем?

что можно сделать это то понятно, но долго ли ты будешь жив после этого?
мотивация у ищущих будет хорошая.

именно.
много ли ща сканирующих сеть в поисках вин98?

собственно розенфельд так и не понял про впаривание линукс трояна, линукс-машину еще найти надо а винда вот она рядом и не одна.

Именно!

Конечно проигнорировал. Как и всякая проприетарная система - она вне зоны моих интересов.

Слышал. Не пользуюсь. Честно! Все плачу наличными. Если весь мир совершает глупость и сам(!) себя с упоением подвергает опасности быть ограбленными "в режиме онлайн", это еще не повод, чтобы я следовал вместе со всем остальным стадом, хоть это и "невероятно удобно". Любая электронная транзакция денежных средств опасна по своей сути и должна быть исключена... Если ты не знал, эта формулировка называется "постулат Розенфельда № 4".

Вот именно! Взломать любой суперсервер на базе Linux (а именно он там и стоит) - не то что "непросто", а весьма и весьма сложно. "Практически невозможно". А поскольку им владеют и управляют весьма серьезные (как ты сам утверждаешь) люди, которые отлично разбираются в безопасности и отдают себе отчет в применяемых средствах - вот почему там и установлен Linux - то это еще и чревато. Выражаясь иными словами - ссыкливо и страшно! (с) "Это тебе не мелочь по карманам тырить!"

Все закономерно - тут я с тобою и не спорю. Смотри, какая логическая цепочка: "Серьезные люди - серьезные задачи - серьезная ОС и ПО"... А для всего остального - есть винда

Вот почему (сразу предупреждаю) в предверие наступающего Шабата я сейчас уеду на сутки-двое на природу. Домашнее вино, шашлык и девки! Чего и тебе желаю!

Мне кажется, что кто-то путает понятия проприетарный и открытые исходники, считая их противоположными. Вот была такая пропритарная программа PGP - с полностью открытыми исходниками. Но проприетарная. Но с открытыми исходниками.

С чего это? Зачем его искать? Он даже у Comodo ничего не украл.

Раз уж ты заговорил о QNX и микроядрах, то специально для тебя (ты, наверное, и не слышал об этом вовсе):

https://ru.wikipedia.org/wiki/Спор_Тане … Торвальдса

именно что кажется.
тебя устроит такое закрытие вопроса проприетарен ли хром?

ну у комодо и красть особо нечего а вот у пейпала реальное бабло ... а это хорошая мотивация.

эмм а какая связь между серьёзными людьми и их выбором ос?
и таки и линукс сервера ломают.

вопрос то был не об этом а о том что когда есть резон чтото ломать это ломают.
всё зависит от соотношения профит/усилия (поиск жертвы,поиск уязвимости,собственная безопасность)
в случае с юзерами винды усилия минимальны, в случае линукс-юзеров возрастают затраты на поиск жертвы, а в случае с сервером затраты на собственную безопасность.
плюс взлом сервака не гарантирует что там окажется достойный профит.
это как рыбу ловить, сколько времени и сил затратишь чтоб поймать 10кг сома? и сколько чтоб наловить 10кг всяких окуней плотвы итд? в первом случае еще к тому же результат не гарантирован.
а брюхо набить можно и тем и другим.

Смешной вы.
А вот что безопаснее, проприетарый Хром или непроприетарный Хромиум?

Так и кто будет его искать? Пайпал или комодо? Комодо это нафиг не надо, Пайпалу в общем-то тоже - они чисты перед клиентами.

13-05-2016 15:21:19

Да, всё это также вносит свой вклад в то, что под линукс вирусов нет, т.е. статистически линукс безопаснее винды. Как что-то в этой части изменится - разбудите.

хромиум очевидно же,но не потому что он открытый а потому что в нём нет флэша и не так напичкан гугловскими плюшками.
и возвращаясь к вопросу
вот есть два корована какой из них тебе будет проще грабить тот о котором ты знаешь только то что разглядел в бинокль или тот про который у чебя есть информация о маршруте и графике движения,о его охране и её вооружении,о том в каких сундуках золото а в каких еда для погонщиков?
воот. тоже самое и с опенсорсом.

вот именно что статистически. 
а розенфельд считает что вообще.

Первый конечно. 99% таких караванов вообще неохраняемые. И сейфы у них бывают деревянные, окрашенные под металл (кстати, за разглашение этой информации могут и засудить!). А у второго охрана, маршрут стабильный, процесс отлаженный, сейфы бронированные - и всё это описано самими караванщиками.

Нет, братик, Розенфельд, вслед за тобою, считает, что "Mozilla фсё" Ибо, как гласит его "Постулат № 5": "С увеличением степени интеграции растет количество отказов".

P.S.

ну и кто слил то?

то есть ты только что признал что сейчас линукс безопаснее винды только потому что он менее распространён.
а как дысал! как дысал!

Тебе б в современные СМИ куда-нибудь трудоустроиться. Ну или (на худой конец) - в МИД. Цены б тебе там не было!

Товарищи, ваш спор, как мне кажется, сошёл с рельсов
Можно мне, юзеру вида "неразумный", спросить одну вещь ?
Как я понял ФБР нашло нечто и молчит. MoCo "выразило озабоченность" и эту шнягу найти не может. ФБР ничтоже сумняшеся читает прошения MoCo и кушает попкорн.
А сам факт наличия уязвимости (не любой, а именно той которая была использована) вообще подтверждён хоть как-то ?

А то ихний диалог напоминает
— Ты дурак !
— Нет ты !

Спасибо. Извините что вклинился.

Так чей-то паровозик скопытился с ветки однозначно быстро; например, когда стал выдавать из трубы вместо дыма перлы типа "виндоюзеры просто работают".

А все подробности - здесь: https://blog.mozilla.org/press/files/20 … 112016.pdf ... Если, конечно, осилите.

Coroner
а неважно была уязвимость или нет, просто сам факт обращения мофо к фбр подрывает религиозные основы опенсорса,от чего у некоторых адептов кое-где припекло.
всё ж просто вот вы шумите про то что опенсорс безопаснее потому что открыт и миллиарды глаз найдут уязвимость если она есть, ну мы своим скромным количеством проэксплуатировали уязвимость, теперь шаг за вами либо найдите её либо докажите что это не ваша уязвимость, код то открытый и миллиарды глаз,да.
и тут эти миллиарды глаз расписываются в собственной беспомощности.

собственно тоже самое в конце концов сделал и Rosenfeld (см.№44) пытаясь доказать мне что его линукс безопаснее потому что открытый, хотя я его за язык не тянул когда он начал бухтеть на проприетарный виндовс.

Rosenfeld
хоть после драки кулаками не машут но мне всётаки интересно шатать устои верующих, вдруг ктото и перестанет слепо верить и всётаки обратится к логике и фактам, а посему вопрос
как известно код на любом языке в т.ч. даже на асссемблере не может быть выполнен процессором непосредственно требуя наличия прослойки то бишь интерпретатора\компилятора, соответственно поясни мне
где гарантия что интерпретатор\компилятор выдаст машинный код выполняющий только то что написал программист не более не менее?
тебе напомнить про уязвимость где память в результате оптимизаций компилятором не очищалась и в ней оставались критичные данные?
а кто гарантирует что также не "оптимизируется" проверка входных данных и не создаётся дырка bufferoverflow?
и только не надо насчёт опенсорсности компилятора - ведь его тоже надо скомпилировать. по хорошему он должен писаться сразу в машинном коде чтоб исключить возможность внедрения чегото постороннего. логично же? но ведь такого нет.

ну и насчёт опенсорсности и безопасности несколько пинков
1 как насчет проприетарного кода и бэкдоров в железе ?
2 сама концепция безопасности опенсорса строится на вере что люди белые и пушистые
один человек проверить весть код лично не в состоянии, а значит полагается на других, и где гарантия что ктото достаточно знающий найдя уязвимость не будет её исправлять, а продаст её тем же фбр?
где гарантия что знающий человек так построит код, что там появится бэкдор, который остальные в силу некомпетентности либо не найдут либо найдут очень нескоро (уже было такое и не раз).?

может до тебя всётаки дойдёт что опенсорс никоим образом не безопасней проприетарщины, единственое положительное его качество это относительная лёгкость внесения изменений в программу юзером для подстройки под свои нужды.

Ну не миллиарды, а MoCo. Я думаю, эту дырку рано или поздно найдут.

Я думаю, примерно так же как и насчёт поиска бэкдоров в закрытом коде - а, кстати, как с этим?

вопрос был про то что какой толк в плане безопасности от опенсорса если он выполняется на железе с бэкдорами.
а что до поиска
закрытый код
- надо очень хорошо разбираться хотябы в асме
- сложнее искать зависимости чтоб выстроить цепочку
+ объём кода меньше
опенсорс
- объём кода больше
+ достаточно знать язык не особо хорошо..
+ можно юзать всякие анализаторы кода
+ проще с зависимостями
-----
вот собственно разница но
анализируя опенсорс ты можешь искать и в исходнике и в бинарниках
а в закрытом у тебя только бинарник.
так что для атакующего опенсорс предпочтительней ибо поле для поиска больше.
но естественно на первом месте стоит мотивация - какой  смысл ломать то чем пользуется полтора юзера?

ну и бэкдоры и прочее находят  в любом софте.

видимо кто то действительно напугал