![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
и в ответ ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
pargentum отсюда
Все, приехали, я окончательно рехнулся - микрософт защищаю. Вызывайте скорую. Но истина дороже.
Как вы представляете себе альтернативный процесс стандартизации джавы?
Например, как независимый от Sun комитет по Java. Типа W3C. Я понимаю, что Сану это нафиг не надо, ну тогда и нечего на микрософт наезжать. У микрософта - Win32 API, у Сана - Java API. Кто за что подержался, тот то и имеет. Причем у Микрософта, заметим, .net в своей виртуальной машинке поддерживает любые языки и Evil Empire работает в этом направлении. А у Сана все, что не ява - ересь, коей надо избегать, елико возможно.
По количеству известных бафер оверранов, например, IIS в далеком отрыве от всех известных коммерческих и некоммерческих продуктов.
К сожалению, ровно там же. Сановские и проч. продукты так же дырявы, а IRIX вообще в этом смысле напоминает (или напоминал, я с ним много лет уже не общался) решето, причем крупноячеистое. Что и понятно - для избавления от оверранов нужно прилагать серьезные усилия, причем уже на этапе проектирования, на каковые нет денег и времени. Или интереса, если говорить о бесплатном софте.
Например, чего надо было обкуриться, чтобы сделать систему, которая начинает поиск DLL с текущего каталога?
Того же, что курил один крупный производитель юникс-систем, встраивая в свою систему беспарольный дефолтовый логин с правами шелла. Вы думаете, похуизм в secuiry микрософт изобрел? Ага-ага...
Кстати, а протоколы, позволяющие любому подделывать identity любого другого, вам нравятся? А на них весь сегодняшний интернет построен. Don't talk to me about life...
Или почтовый клиент, который без вопросов начинает запускать любой аттачмент, похожий на исполняемый код?
Много лет назад примерно такая же глюка была, насколько я помню, в sendmail-е. Просто тогда сегодняшние писатели вирусов если и родились, то еще писали в памперсы.
Упустили - то, что это продукт, который скорее вреден, чем бесполезен - и компания, озабоченная конкурентоспособностью (т.е. нуждами потребителей) и вынужденная считаться со всякими там соображениями профессиональной этики не имеет ни права, ни возможности такое писать, не говоря уж о том, чтобы продавать за деньги
Не понял. С этого момента, pls, поподробнее. Во-первых, каким образом нужды потребителей отрицают наличие офисного софта, и на кой хер в таком случае эти потребители выбрасывают миллионы долларов за этот софт? Во-вторых, каким образом наличие офисного софта противоречит профессиональной этике. В третьих, что значит "компания не имеет права такое писать"? Что и кто имеет и нее имеет права писать? В четвертых, если это такое говно, на кой черт, интересно, Сан удочерил СтарОфис? Из мазохизма? И т.п. Короче, что-то я этого вашего тезиса насчет инфернальности офисного софта не понимаю. Не обьясните ли подробнее?
pargentum отсюдаВсе, приехали, я окончательно рехнулся - микрософт защищаю. Вызывайте скорую. Но истина дороже.
Как вы представляете себе альтернативный процесс стандартизации джавы?
Например, как независимый от Sun комитет по Java. Типа W3C. Я понимаю, что Сану это нафиг не надо, ну тогда и нечего на микрософт наезжать. У микрософта - Win32 API, у Сана - Java API. Кто за что подержался, тот то и имеет. Причем у Микрософта, заметим, .net в своей виртуальной машинке поддерживает любые языки и Evil Empire работает в этом направлении. А у Сана все, что не ява - ересь, коей надо избегать, елико возможно.
По количеству известных бафер оверранов, например, IIS в далеком отрыве от всех известных коммерческих и некоммерческих продуктов.
К сожалению, ровно там же. Сановские и проч. продукты так же дырявы, а IRIX вообще в этом смысле напоминает (или напоминал, я с ним много лет уже не общался) решето, причем крупноячеистое. Что и понятно - для избавления от оверранов нужно прилагать серьезные усилия, причем уже на этапе проектирования, на каковые нет денег и времени. Или интереса, если говорить о бесплатном софте.
Например, чего надо было обкуриться, чтобы сделать систему, которая начинает поиск DLL с текущего каталога?
Того же, что курил один крупный производитель юникс-систем, встраивая в свою систему беспарольный дефолтовый логин с правами шелла. Вы думаете, похуизм в secuiry микрософт изобрел? Ага-ага...
Кстати, а протоколы, позволяющие любому подделывать identity любого другого, вам нравятся? А на них весь сегодняшний интернет построен. Don't talk to me about life...
Или почтовый клиент, который без вопросов начинает запускать любой аттачмент, похожий на исполняемый код?
Много лет назад примерно такая же глюка была, насколько я помню, в sendmail-е. Просто тогда сегодняшние писатели вирусов если и родились, то еще писали в памперсы.
Упустили - то, что это продукт, который скорее вреден, чем бесполезен - и компания, озабоченная конкурентоспособностью (т.е. нуждами потребителей) и вынужденная считаться со всякими там соображениями профессиональной этики не имеет ни права, ни возможности такое писать, не говоря уж о том, чтобы продавать за деньги
Не понял. С этого момента, pls, поподробнее. Во-первых, каким образом нужды потребителей отрицают наличие офисного софта, и на кой хер в таком случае эти потребители выбрасывают миллионы долларов за этот софт? Во-вторых, каким образом наличие офисного софта противоречит профессиональной этике. В третьих, что значит "компания не имеет права такое писать"? Что и кто имеет и нее имеет права писать? В четвертых, если это такое говно, на кой черт, интересно, Сан удочерил СтарОфис? Из мазохизма? И т.п. Короче, что-то я этого вашего тезиса насчет инфернальности офисного софта не понимаю. Не обьясните ли подробнее?
no subject
Àé-àé. Íåïðàâäî÷êà âàøà.
http://www.ciac.org/ciac/bulletins/a-14.shtml
òîêà íå ãîâîðèòå ìíå, ÷òî ýòî "ïðîáëåìà êîíôèãóðàöèè", ëàäíî? :) Äûðêà, ïîçâîëÿþùàÿ â äåôîëòíîé êîíôèãóðàöèè âñêðûòü àäìèíèñòðàòèâíûé äîñòóï - ýòî íå "ïðîáëåìà êîíôèãóðàöèè".
ÿ íåìíîæêî ôèãåþ ñ âåøåãî äèñêóðñà, ãîñïîäà.
ïoëüçîâàòåëü åãî èìååò âîçìîæíîñòü (à åñëè îí íå îëèãîôðåíè÷åñêàÿ îðåõîâàÿ ñîíÿ, òî óæå òàê è ñäåëàë) ïîñòàâèòü íà ìåñòî sendmail'à ÷òî-íèáóäü êóäà áîëåå âìåíÿåìîå, è âî ìíîãèõ ñëó÷àÿõ äàæå óñïåøíî ïðèòâîðÿþùååñÿ sendmail'îì íà óðîâíå êîìàíä è ôëàãîâ.
à òåïåðü äàâàéòå ïîñìîòðèì êàê âû çàìåíÿåòå MS Word èëè ÿäðî âèíäóçû íà ÷òî-íèáóäü ñ ìåíüøèì êîëè÷åñòâîì äûðîê áåç ïðîáëåì äëÿ ïîëüçîâàòåëåé.
ýòî ÿ ê òîìó, ÷òî ïðîáëåìà ìèêðîñîôòà íå ñòîëüêî â êà÷åñòâå ñîôòâåðà (îíî åù¸ íè÷åãî, ìîãëî áûòü íåôèãîâî õóæå -- ìû-òî ìîæåì ñåáå ïðåäñòàâèòü, òàêèå æå ñîñèñêè âàðèì, äà?), ñêîëüêî â íàïëåâàòåëüñòâå íà ñòàíäàðòû. òî åñòü, ýòî ïðîáëåìà ïîëüçîâàòåëåé -- èáî íåôèãà áûòü èäèîòàìè è ëåçòü â ýòó ïåòëþ ïî ñâîåé äîáðîé, ïóñòü è ñëàáîóìíîé, âîëå.
ýòî ÿ íå ê òîìó ÷òî ÿ òèïà áîëüøîé ôàíàò, òàì, òîãî æå Unix'à. all software sucks, è ïðî÷àÿ. ïðîñòî: âûøå êà÷åñòâî äèñêóðñà, ïëîòíèêè.
Re: ÿ íåìíîæêî ôèãåþ ñ âåøåãî äèñêóðñà, ãîñïîäà.
Èëè êòî-òî äðóãîé ê ñòàíäàðòàì áîëüøåå óâàæåíèå ïðîÿâëÿåò? Âîí ó íàñ AOL åñòü, âëàäåþùèé êðóïíåéøèìè ñèñòåìàìè Instant Messaging - ãäå îïèñàíèå ïðîòîêîëà? Ãäå îòêðûòûé ñòàíäàðò? Àãà, â Êàðàãàíäå. À êîãäà Ìèêðîñîôò ñäåëàåò ñâîé ñòàíäàðò - íà÷íóò âîïèòü "ìîíîïîëèçàöèÿ ðûíêà".
À íàñ÷åò êà÷åñòâà äèñêóðñà - íó åñëè òåìà áûëà çàäàíà 'ìèêðîñîôò - óëüòèìàòèâíûé èñòî÷íèê âñåãî ãîâíà âî âñåëåííîé', òàê êàêîå êà÷åñòâî âû îæèäàëè? Íó íå óëüòèìàòèâíûé îíè èñòî÷íèê, ýòîãî ãîâíà ó íàñ òóò öåëàÿ Äîëèíà Ãåéçåðîâ, âîò ÿ î òîì è ãîâîðèë, â ïðèíöèïå. ß ê Evil Empire àáñîëþòíî íèêàêîé ëþáâè íå èñïûòûâàþ, îäíàêî åå peers íè÷åì íå ëó÷øå, ïðîñòî ìåíåå óäà÷ëèâû è óñïåøíû.
Re: ÿ íåìíîæêî ôèãåþ ñ âåøåãî äèñêóðñà, ãîñïîäà.
ïèñàë-ïèñàë îòâåò, à ïîòîì ïîíÿë ÷òî äëèííî ïîëó÷àåòñÿ.
òàê ÷òî âîò.
no subject
È âû ïûòàåòåñü ïîäìåíèòü òåìó. Äà, îøèáêà ñåðüåçíàÿ (áûëà 10 ëåò íàçàä). Íî ÿ ãîâîðèë îá óðîâíå îøèáêè (òèïà, ÷óòü ëè íå âû æå ïèñàëè êëàññèôèêàöèþ áàãîâ - code not to requirement, etc), íà êàêîì óðîâíå æèçíåííîãî öèêëà ïðîåêòà îíà áûëà ñäåëàíà - íà ýòàïå äåïëîéìåíòà (îøèáêà â êîíôèãóðàöèè), íà ýòàïå êîäèðîâàíèÿ (áîëüøèíñòâî áóôåð îâåððàíîâ), íà ýòàïå ïðîåêòèðîâàíèÿ, íà ýòàïå ñáîðà ñïåöèôèêàöèé, íà ýòàïå inception íàêîíåö. ×åì íà áîëåå ðàííåì ýòàïå ñäåëàíà îøèáêà, òåì äîðîæåå åå èñïðàâëåíèå, íåñ ïà? Òàê âîò, âû ñîïîñòàâëÿåòå îøèáêè ðàçíûõ óðîâíåé, ïóñòü è ñîïîñòàâèìûå ïî ïîñëåäñòâèÿì ïîêà îíè íå èñïðàâëåíû, íî íåñîïîñòàâèìûå ïî ñòîèìîñòè èñïðàâëåíèÿ.
Äûðêà, ïîçâîëÿþùàÿ âñêðûòü àäìèíèñòðàòèâíûé äîñòóï, ïðè âñåé åå ñåðüåçíîñòè, âïîëíå ìîæåò áûòü ïðîáëåìîé êîíôèãóðàöèè. È, åñëè ïîñìîòðåòü òîò æå CERT, íàâñêèäêó ó "íîðìàëüíûõ" ñèñòåì - þíèêñîâ, íàïðèìåð - ðàñïðåäåëåíèå îøèáîê ïî ýòàïàì (îòâëåêàÿñü îò èõ îïàñíîñòè) òèïà ïàðåòîâñêîãî: íàèáîëüøåå êîëè÷åñòâî ñîñòàâëÿþò îøèáêè êîíôèãóðàöèè, ñóùåñòâåííî ìåíüøå îøèáîê êîäèðîâàíèÿ (íî òîæå åñòü, êîíå÷íî) è î÷åíü ìàëî îøèáîê ïðîåêòèðîâàíèÿ (ïîíÿòíî, ÷òî ïðè ñòîëü ìàëîì êîëè÷åñòâå òî÷åê âûÿñíÿòü êîýôôèöèåíò áûëî áû íåñåðüåçíî, íî òåì íå ìåíåå). Ó Ìèêðîñîôòà îøèáêè ðàñïðåäåëåíû ïî ýòàïàì ãîðàçäî áîëåå ðàâíîìåðíî, ýòî è âûçûâàåò ó ìåíÿ ýìîöèîíàëüíóþ ðåàêöèþ.
Ðåøåíèå âñòàâèòü ôèëüòð ñ uudecode, ñêîðåå âñåãî, áûëî ïðèíÿòî óæå íà ýòàïå äåïëîéìåíòà è ïîòîìó èñïðàâëÿåòñÿ áåç îñîáûõ ïðîáëåì. Ðåøåíèå çàõàðäêîäèòü ïîðÿäîê ïîèñêà DLL (è ñàì ýòîò ïîðÿäîê) ñêîðåå âñåãî áûëî ïðèíÿòî íà ýòàïå ïðîåêòèðîâàíèÿ (î÷åíü äàâíî è íå ìèêðîñîôòîì, êñòàòè, ýòî òÿæêîå íàñëåäèå CP/M, óäèâèòåëüíî ñêîðåå òî, ÷òî äâàäöàòü ïÿòü ëåò íà ýòî ìàëî êòî îáðàùàë âíèìàíèÿ). Ðåøåíèå, ÷òî îôèñíûé ïðîäóêò ìîæåò áûòü õðåíîâûì òåêñòîâûì ðåäàêòîðîì, ïîòîìó ÷òî ãëàâíàÿ åãî öåëü - ïå÷àòàòü áóìàæêè òàê, ÷òîáû îíè íå áûëè ïîõîæè íà òèïè÷íóþ êîìïüþòåðíóþ ðàñïå÷àòêó (öåëü ïîëó÷èòü êà÷åñòâåííóþ àâòîìàòè÷åñêóþ èëè äàæå ìåõàíèçèðîâàííóþ âåðñòêó íå áûëà äîñòèãíóòà è, ïî âèäèìîìó, äàæå è íå ñòàâèëàñü) - ýòî îøèáêà ýòàïà inception, òî åñòü ãëóáæå áûâàþò òîëüêî îøèáêè â ÄÍÊ àðõèòåêòîðà.
no subject
×òî êàñàåòñÿ îñòàëüíûõ òåì - ñîãëàñåí, âîðä äåéñòâèòåëüíî åñòü äîâîëüíî õðåíîâûé èíñòðóìåíò àâòîìàòèçàöèè îôèñà, òî÷íåå - îí åñòü, ñêàæåì, 10% îò òîãî, ÷òî íóæíî äëÿ ðåàëüíîé àâòîìàòèçàöèè, è òîëüêî 10% åãî ôóíêöèé ýòîìó ïîñâÿùåíû. Íî íà ñàìîì äåëå, ïåðñîíàëüíàÿ ëè ýòî âèíà ìèêðîñîôòà? ×òî ìåøàåò õîòü áû è íà òîé æå ïëàòôîðìå ìèêðîñîôòà ñäåëàòü íîðìàëüíóþ ñèñòåìó àâòîìàòèçàöèè? Ïëàòôîðìà, êîíå÷íî, ãîâíî - íî íàì ëè ïðèâûêàòü ñòðîèòü èç ãîâíà? Ó÷èòûâàÿ, ÷òî àëüòåðíàòèâû-òî, ðåàëüíî, è íåòó...
Îíè, êñòàòè, è åñòü, ÿ íåñêîëüêî âèäåë - òàê âîò, ïî ñðàâíåíèþ ñ íèìè ìèêðîñîôò ïèøåò ïðîñòî èäåàëüíûå ïðîãðàììû, ïîòîìó ÷òî òåðìèí 'ãëþêàëî êîðÿâîå' ÿâëÿåòñÿ ëèøü áëåäíûì ïîäîáèåì íàñîòÿùåãî óðîäñòâà ýòèõ ñèñòåì. Ïîòîìó ÷òî ìèêðîñîôò çà òàêîå ðàçíåñëè áû âäðåáåçãè ïî êî÷êàì, à ýòè ïðîäóêòû â ÏÖ-Ìàãàçèíå íå ðàññìàòðèâàþò, è áåäíûå ñåêðåòàðøè è âäåñÿòåðî áåäíûå ñèñàäìèíû ìó÷àþòñÿ ñ èìè áåç ïîìîùè âñåñèëüíîé ïðåññû... Çàòî ñòîÿò ýòè ïðîäóêòû íà ïîðÿäîê-äâà áîëüøå îôèñà...
no subject
Òàêîå âïå÷àòëåíèå, ÷òî âñå ðàññóæäåíèå ïðî ýòàïû ïðîåêòèðîâàíèÿ è ðàñïðåäåëåíèå îøèáîê ïî íèì âû ëèáî íå ïðî÷ëè, ëèáî ñîâåðøåííî íå ïîíÿëè.
>Òîãäà èç-çà îäíîãî Ìîððèñà øóìó íà äåñÿòü ëåò áûëî, à òåïåðü ýòè Ìîððèñû íà êàæäîì óãëó...
Âîò âîò âîò, è
À òåïåðü ìîððèñû íà êàæäîì óãëó, ïîòîìó ÷òî â àðõèòåêòîðû è â àäìèíèñòðàòîðû ïðèøëî ïîêîëåíèå ïåïñè, êîòîðîå êíèæåê íå ÷èòàåò èç ïðèíöèïà è íå ìîæåò ó÷èòüñÿ äàæå íà ñâîèõ ñîáñòâåííûõ îøèáêàõ â ñèëó áèîõèìè÷åñêèõ àíîìàëèé â ìîçãó.
no subject
È ïðîèñõîäèëî, è ïðîèñõîäèò. Ïîñëåäíèé ÷åðâÿê, ïîëçàâøèé ÷åðåç wu-ftpd, áûë, êàæåòñÿ, ãîä íàçàä (ramen). È ñîëÿðèñîâñêèå ÷åðâÿêè (statd, åñëè ÿ ïðàâèëüíî ïîìíþ) òîæå èìåëèñü. È ñ bind áûëà òà æå èñòîðèÿ. À ìàëûé public exposure îáüÿñíÿåòñÿ ñëåäóþùèìè ïðè÷èíàìè:
1. Þíèêñ-ñðåäû î÷åíü ãåòåðîãåííû, ïîä êàæäóþ íàäî ïèñàòü ñâîåãî ÷åðâÿêà, ñîîòâ. àðåàë êàæäîãî ÷åðâÿêà è åãî ýôôåêò ñèëüíî ñîêðàùàþòñÿ
2.  þíèêñå èç-çà ãîðàçäî áîëåå ñòðîãîãî ðàçäåëåíèÿ ïðàâ äîñòóïà ïðàêòè÷åñêè íå ðàáîòàþò 'òðîÿíñêèå' ñõåìû - à 90% 'èíòåðíåòîâñêèõ âèðóñîâ' íà äåëå, êîíå÷íî æå, íå âèðóñû, à 'òðîÿíû'. Ïðàêòè÷åñêè 99% îóòëóêîâñêèõ 'âèðóñîâ' èìåííî òàêîâû.
3. Þíèêñîâûå ÷åðâÿêè ñïåöèàëèçèðóþòñÿ â îñíîâíîì íà çàõâàòå êîíòðîëÿ íàä ñèñòåìîé, è áåç îñóùåñòâëåíèÿ ýòîãî êîíòðîëÿ âíåøíèì ëèöîì ïðàêòè÷åñêè íåçàìåòíû. Ïðè îñóùåñòâëåíèè - âñïîìíèì íàøóìåâøèå DOS-àòàêè íà Yahoo è ò.ï. Âèíäîâûå æå ÷åðâÿêè ïîðòÿò äîêóìåíòû, ðàññûëàþò ïèñüìà è âîîáùå îñòàâëÿþò æóòêóþ êó÷ó ñëåäîâ.
4. Âèíäîâûå ÷åðâÿêè ãîðàçäî ïðîùå äëÿ îïèñàíèÿ è ãîðàçäî çàìåòíåå ïðè ðàñïðîñòðàíåíèè (ñì ï.2), ÷åì þíèêñîâûå. Íà ÷òî ñêîðåå ñðåàãèðóþò è ÷òî ñêîðåå çàìåòÿò - ÷òî íà 100 êîìïüþòåðàõ â rack-å ïîÿâèëñÿ íîâûé àäìèíèñòðàòèâíûé ëîãèí èëè ÷òî êàæäûé èç 1000 äåñêòîïîâ ïîñëàë íà÷àëüñòâó ïî 20 ìåéëîâ? È ÷òî ïðîùå îáüÿñíèòü æóðíàëèñòó?
5. Last, but not least - áîëüøèíñòâî þíèêñ-ñèñòåì ê ýïîõå àêòèâíîãî âèðóñîïèñàòåëüñòâà è ïðèõîäó â ñåòü òèíåéäæåðîâ ñ èçáûòêîì âðåìåíè è íåäîñòàòêîì âîñïèòàíèÿ óæå áûëè äîñòàòî÷íî "îáêàòàíû". Windows íå áûë. Ðåçóëüòàò íàëèöî. ×åãî, âïðî÷åì, è ñëåäîâàëî îæèäàòü.
no subject
Íó è ýòî, êîíå÷íî, òîæå èãðàåò ñâîþ ðîëü.
>2.  þíèêñå èç-çà ãîðàçäî áîëåå ñòðîãîãî ðàçäåëåíèÿ ïðàâ äîñòóïà ïðàêòè÷åñêè íå ðàáîòàþò 'òðîÿíñêèå' ñõåìû
Ñîáñòâåííî, âû ñàìè ïîäòâåðæäàåòå òî, î ÷åì ÿ âàì âåñü òðåä ïûòàþñü âòîëêîâàòü - ÷òî áàãè è êîñÿêè, áåçóñëîâíî, åñòü ó âñåõ, îòëè÷èå æå Ìèêðîñîôòà îò âñåõ îñòàëüíûõ èìåííî â òîì, ÷òî ó íåãî êîëè÷åñòâî áàãîâ è êîñÿêîâ ïåðåøëî â êà÷åñòâî.
> âñïîìíèì íàøóìåâøèå DOS-àòàêè íà Yahoo
Âû ðàçíèöó ìåæäó DOS-àòàêîé è ÷åðâåì ïîíèìàåòå?
>ê ýïîõå àêòèâíîãî âèðóñîïèñàòåëüñòâà è ïðèõîäó â ñåòü òèíåéäæåðîâ ñ èçáûòêîì âðåìåíè è íåäîñòàòêîì âîñïèòàíèÿ óæå áûëè äîñòàòî÷íî "îáêàòàíû"
Òðàäèöèè âèðóñîïèñàòåëüñòâà íå ïðåðûâàëèñü ìèíèìóì ñ íà÷àëà 80õ, âî âñÿêîì ñëó÷àå Ìîððèñ áûë äàëåêî íå ïåðâûì è íå ïîñëåäíèì.
Íó, íåáîëüøîé ïåðåðûâ áûë, êîãäà êóëüòóðà âèðóñîïèñàòåëåé íå ñðàçó ïðèñïîñîáèëàñü ê ðåàëèÿì ìèðà Win32 (ïîñëå îáèëÿ ÄÎÑîâûõ âèðóñîâ ïîä Win95 íàñ ïîðàäîâàëè òîëüêî ×åðíîáûëåì).
Ïðîáëåìà âèíäîâ íå â òîì, ÷òî îíè íå îáêàòàíû, à â òîì, ÷òî ïðè èõ ðàçðàáîòêå áûëî âîïèþùèì îáðàçîì íàñðàíî íà îïûò âñåõ ïðåäøåñòâåííèêîâ è ïðîñòîé çäðàâûé ñìûñë, ïîýòîìó îáêàòêîé èõ äî ïðèåìëåìûõ êîíäèöèé äîâåñòè, ïî âèäèìîìó, íåâîçìîæíî.
no subject
Ìèêðîñîôò òóò íå ïðè ÷åì. Ìèêðîñîôò ïîñàäèë èäèîòà çà êîìïüþòåð. Èäèîò, âèäÿ êíîïêó "íàæìè çäåñü, ÷òîáû óâèäåòü ãîëóþ áàáó", íàæèìàåò - è ïîëó÷àåò òðîÿíà. Êàê ìèêðîñîôò íå ïàðüñÿ, íàäî ëèáî âûãîíÿòü èäèîòà èç-çà êîìïüþòåðà, ëèáî ðàçðåøàòü åìó íàæèìàòü êíîïêó, ñî âñåìè ñîîòâ. ðåçóëüòàòàìè. Áîëüøèíñòâî ðåøåíèé ýòîé ïðîáëåìû - ïàëëèàòèâû, õîòÿ íåêîòîðûå ïîëåçíûå ïàëëèàòèâû ìèêðîñîôòó íå ìåøàëî áû îñâîèòü.
Âû ðàçíèöó ìåæäó DOS-àòàêîé è ÷åðâåì ïîíèìàåòå?
Îê, ÿ äóìàë, ÷òî âû ñàìè ñìîæåòå çàïîëíèòü âûïóùåííûé øàã â ëîãè÷åñêîé öåïî÷êå. Íå ïîëó÷èëîñü. Îáüÿñíÿþ: äëÿ îðãàíèçàöèè ìàñøòàáíîé DOS-àòòàêè (ïî îäíîìó èç ìåòîäîâ) íóæíî áîëüøîå êîëè÷åñòâî ïîäêîíòðîëüíûõ êîìïüþòåðîâ, æåëàòåëüíî ðàñïðåäåëåííûõ. Èçâåñòíî íåñêîëüêî þíèêñîâûõ ÷åðâÿêîâ, îäíîé èç ôóíêöèé êîòîðûé ÿâëÿåòñÿ ïîäãîòîâêà áàçû äëÿ ðàñïðåäåëåííîé DOS-àòòàêè íà îïðåäåëåííûé óçåë. Ïðåäïîëàãàåòñÿ, ÷òî íåêîòîðûå èçâåñòíûå DOS-àòòàêè áûëè âûïîëíåíû èìåííî ýòèì ìåòîäîì. Àãà?
Ïðîáëåìà âèíäîâ íå â òîì, ÷òî îíè íå îáêàòàíû, à â òîì, ÷òî ïðè èõ ðàçðàáîòêå áûëî âîïèþùèì îáðàçîì íàñðàíî íà îïûò âñåõ ïðåäøåñòâåííèêîâ è ïðîñòîé çäðàâûé ñìûñë, ïîýòîìó îáêàòêîé èõ äî ïðèåìëåìûõ êîíäèöèé äîâåñòè, ïî âèäèìîìó, íåâîçìîæíî.
ß íå âèæó, ÷åì âèíäû â ïëàíå, ñêàæåì, òåõ æå ÷åðâÿêîâ ïðèíöèïèàëüíî õóæå þíèêñîâ.È òàì è òàì åñòü ñåðâèñû, êîòîðûå ïðè ïåðâîì æå buffer overflow ïîçâîëÿþò äîñòóï ê ëáîé àäìèíèñòðàòèâíîé ôóíêöèè. È òàì, è òàì, ýòè ñåðâèñû óñòàíîâëåíû by default è ÿâëÿþòñÿ ÷àñòüþ ñèñòåìû. ×òî æå äî òðîÿíîâ - ñì. âûøå. Òðîÿíû åñòü ÷åëîâå÷åñêèé ôàêòîð, è íå âèíà ìèêðîñîôòà, ÷òî îíè äåëàþò ñèñòåìû, êîòîðûå íðàâÿòñÿ èäèîòàì...
no subject
Èäèîòû, êîíå÷íî, òîæå èãðàþò ñâîþ ðîëü, íî òîò æå ìèêðîñîôò ñîçíàòåëüíî ñîçäàë ðÿä ñèòóàöèé (íàïðèìåð, àóòëóêîâñêèé èëè ýêñïëîðåðîâñêèé ïðåâüþ), êîãäà òðîÿí ïîëó÷àåòñÿ áåç âñÿêèõ íàæàòèé êíîïêè, ïîòîìó ÷òî êíîïêà çà ïîëüçîâàòåëÿ (äàæå íå îáÿçàòåëüíî èäèîòà!) íàæèìàåòñÿ íåÿâíî, äà åùå òàê, ÷òî åå è íå âûêëþ÷èøü. È âûðóáàíèå ýòîãî - âîâñå íå ïàëëèàòèâ, à ïåðâîî÷åðåäíàÿ è íåîáõîäèìàÿ ìåðà.
Òàêæå, âñÿ÷åñêèå ìåðû ïî óâåëè÷åíèþ "àêòèâíîñòè êîíòåíòà", òàêèå, êàê ActiveX èëè õðàíèìûå ìàêðîñû âîðäà è ýêñåëÿ, ÿâëÿþòñÿ ðàññàäíèêàìè òðîÿíîâ by design, è îòêàç îò íèõ òàêæå íè â êîåì ñëó÷àå íå ÿâëÿåòñÿ ïàëëèàòèâîì.
>Ïðåäïîëàãàåòñÿ, ÷òî íåêîòîðûå èçâåñòíûå DOS-àòòàêè áûëè âûïîëíåíû èìåííî ýòèì ìåòîäîì. Àãà?
Ñîãëàñèòåñü, ÷òî âûäâèãàòü ïðåäïîëîæåíèÿ (äàæå îñíîâàííûå íà äîâîëüíî óáåäèòåëüíûõ äîâîäàõ) ïðîòèâ ôàêòîâ íå ñîâñåì êîððåêòíî?
>ß íå âèæó, ÷åì âèíäû â ïëàíå, ñêàæåì, òåõ æå ÷åðâÿêîâ ïðèíöèïèàëüíî õóæå þíèêñîâ.
ß íå õî÷ó ïîâòîðÿòü âñå ïî âòîðîìó êðóãó. Ïðàâèëüíî ëè ÿ ïîíèìàþ, ÷òî âû íå âèäèòå òîãî, ÷òî äâóìÿ ïîñòàìè ðàíüøå îòêðûòûì òåêñòîì ïðèçíàâàëè ñàìè?
no subject
Ýòî èñïðàâÿò, è äîâîëüíî ëåãêî. Äîñòàòî÷íî à) íå ïîêàçûâàòü íåèçâåñòíûå òèïû ÷åðåç ïðåâüþ á) åñëè â èçâåñòíîì òèïå åñòü âîçìîæíîñòü çàïóñêà ÷åãî-ëèáî, áëîêèðîâàòü òàêóþ âîçìîæíîñòü â ïðåâüþ. Òî, ÷òî ïðåüâþ áûë ñäåëàí ñàìûì äóðàöêèì èç âîçìîæíûõ ìåòîäîâ - ñëåäñòâèå ñòðåìëåíèÿ âûïóñòèòü ïðîäóêò ïîáûñòðåå. Ïî÷èíÿò. Êîíöåïöèÿ ïðåâüþ âïîëíå ïîçâîëÿåò ñäåëàòü åãî áåçîïàñíûì.
Òî æå, êñòàòè, îòíîñèòñÿ è ê ìàêðîñàì, äîñòàòî÷íî à) îòìåíèòü àâòîçàïóñê íàïðî÷ü, è á) îãðàíè÷èòü äîñòóï ê âíåøíèì ôóíêöèÿì (90% îíè è òàê íàôèã íå íóæíû)
×òî æå êàñàåòñÿ 'àêòèâíîãî êîíòåíòà' - îïÿòü æå, ïðîñòîãî êîíòðîëÿ äîñòóïà âïîëíå äîñòàòî÷íî. Åñëè ÷åëîâåê íàæèìàåò 'ðàçðåøèòü' íà ëþáîé çàïðîñ, òî îí è ïðîãðàììêó ñãðóçèò è çàïóñòèò, è îòñóòñòâèå ActiveX åìó íå ïîìåøàåò. Îïÿòü æå óñèëåíèå êîíòðîëÿ äîñòóïà ÿâëÿåòñÿ ïîëåçíûì ïàëëèàòèâîì, íî ïðîáëåìû îòíþäü íå ðåøèò.
Ñîãëàñèòåñü, ÷òî âûäâèãàòü ïðåäïîëîæåíèÿ (äàæå îñíîâàííûå íà äîâîëüíî óáåäèòåëüíûõ äîâîäàõ) ïðîòèâ ôàêòîâ íå ñîâñåì êîððåêòíî?
Ôàêò, ÷òî òàêèå ÷åðâÿêè èìåþòñÿ è áûëè çàìå÷åíû in the wild. Ôàêò, ÷òî ôóíêöèîíàëüíîñòü äëÿ DOS-àòàê â íèõ âñòðîåíà. Ôàêò, ÷òî DOS-àòàêè áûëè. Ê ñîæàëåíèþ, ôàêòè÷åñêîé áàçû ïî îïðåäåëåííîé ñâÿçè êîíêðåòíîé àòàêè ñ êîíêðåòíûì ÷åðâÿêîì ó ìåíÿ íåò - äëÿ ýòîãî íóæíî íåõèëîå ðàññëåäîâàíèå ñèëàìè ïîáîëüøå ìîèõ, äà, âèäèìî, è ïîáîëüøå ñîâðåìåííûõ ñèë ïîëèöèè, ò.ê. ëèöà, àòàêîâàâøèå yahoo, íàïðèìåð, äî ñèõ ïîð, êàê ÿ ïîíèìàþ, íå íàéäåíû.
Ïðàâèëüíî ëè ÿ ïîíèìàþ, ÷òî âû íå âèäèòå òîãî, ÷òî äâóìÿ ïîñòàìè ðàíüøå îòêðûòûì òåêñòîì ïðèçíàâàëè ñàìè?
ß ïðèçíàë ñóùåñòâîâàíèå îäíîé äûðêè, êîòîðàÿ äåéñòâèòåëüíî íåñêîëüêî îáëåã÷àåò ðàñïðîñòðàíåíèå îäíîãî ÷åðâÿêà. Íó è ÷òî?  þíèêñå, íàïðèìåð, NFS èìååòñÿ, ñ êîòîðîãî ìîæíî ïîèìåòü íåìåðÿíî âåñåëüÿ. So what? Ïðèíöèïèàëüíûõ îòëè÷èé â ýòîì (â îòëè÷èå îò òðîÿíîâ, ñêàæåì) ÿ íå âèæó.
no subject
Èñïðàâÿò - áóäåì ðàçãîâàðèâàòü. Èç ñêàçàííîãî íèæå ïîíÿòíî, ÷òî ýòî âîâñå íå ëåãêî. Êðîìå òîãî, ñèòóàöèé, êîãäà ìèêðîñîôò äåñÿòèëåòèÿìè (áåç øóòîê) íå èñïðàâëÿë âîïèþùèå è äåéñòâèòåëüíî íåñëîæíî èñïðàâëÿåìûå âåùè, èñòîðèÿ çíàåò íåìàëî.
>Äîñòàòî÷íî à) íå ïîêàçûâàòü íåèçâåñòíûå òèïû ÷åðåç ïðåâüþ á) åñëè â èçâåñòíîì òèïå åñòü âîçìîæíîñòü çàïóñêà ÷åãî-ëèáî, áëîêèðîâàòü òàêóþ âîçìîæíîñòü â ïðåâüþ.
Ïðîñòèòå, êàê âû ïîêàæåòå ÷òî áû òî íè áûëî (äàæå plain text), íå ïîäãðóçèâ íè îäíîé DLL? Àñü? Âîò òî-òî. :)
>à) îòìåíèòü àâòîçàïóñê íàïðî÷ü
Ãû ãû. Ïîñëå ýòîãî ëþáîé âíóòðèêîðïîðàòèâíûé øàáëîí äîêóìåíòà ðàáîòàòü ïåðåñòàåò. Âîò ðàäîñòü-òî.
>á) îãðàíè÷èòü äîñòóï ê âíåøíèì ôóíêöèÿì (90% îíè è òàê íàôèã íå íóæíû)
Íó äà, ñäåëàòü äëÿ ìàêðîñà ÷òî-òî âðîäå àïïëåòîâñêîãî ñýíäáîêñà. Ýòî æ äóìàòü íóæíî... :) Òàê èëè èíà÷å - ðåäèçàéí ëîãèêè íåñëàáûé. Ê ÷åìó âñå è âîçâðàùàåòñÿ - ÷òî îøèáêà íà óðîâíå äèçàéíà èëè äàæå ñïåöèôèêàöèé ïðèëîæåíèÿ, è íå ìîæåò áûòü èñïðàâëåíà ïðîñòî.
>ß ïðèçíàë ñóùåñòâîâàíèå îäíîé äûðêè, êîòîðàÿ äåéñòâèòåëüíî íåñêîëüêî îáëåã÷àåò ðàñïðîñòðàíåíèå îäíîãî ÷åðâÿêà.
Íó, òàê óæ ñîâñåì íåõîðîøî. Ñíà÷àëà âû ïðèçíàåòå ôàêòû, ïîòîì íà÷èíàåòå äîêàçûâàòü, ÷òî ýòîò ôàêò âîâñå íå ñòîëü çíà÷èì, êàê óòâåðæäàþ ÿ. Òîãäà äàâàéòå ñðàçó è ñîãëàñèìñÿ, ÷òî ñïîðèì ìû íå î ôàêòàõ (â êîòîðûõ â öåëîì ñîãëàñíû), à îá èõ îòíîñèòåëüíîé çíà÷èìîñòè, ÷òî ãîðàçäî òîíüøå è òðåáóåò ñîâñåì äðóãîãî óðîâíÿ è òèïà àðãóìåíòàöèè.
no subject