![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
и в ответ ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
pargentum отсюда
Все, приехали, я окончательно рехнулся - микрософт защищаю. Вызывайте скорую. Но истина дороже.
Как вы представляете себе альтернативный процесс стандартизации джавы?
Например, как независимый от Sun комитет по Java. Типа W3C. Я понимаю, что Сану это нафиг не надо, ну тогда и нечего на микрософт наезжать. У микрософта - Win32 API, у Сана - Java API. Кто за что подержался, тот то и имеет. Причем у Микрософта, заметим, .net в своей виртуальной машинке поддерживает любые языки и Evil Empire работает в этом направлении. А у Сана все, что не ява - ересь, коей надо избегать, елико возможно.
По количеству известных бафер оверранов, например, IIS в далеком отрыве от всех известных коммерческих и некоммерческих продуктов.
К сожалению, ровно там же. Сановские и проч. продукты так же дырявы, а IRIX вообще в этом смысле напоминает (или напоминал, я с ним много лет уже не общался) решето, причем крупноячеистое. Что и понятно - для избавления от оверранов нужно прилагать серьезные усилия, причем уже на этапе проектирования, на каковые нет денег и времени. Или интереса, если говорить о бесплатном софте.
Например, чего надо было обкуриться, чтобы сделать систему, которая начинает поиск DLL с текущего каталога?
Того же, что курил один крупный производитель юникс-систем, встраивая в свою систему беспарольный дефолтовый логин с правами шелла. Вы думаете, похуизм в secuiry микрософт изобрел? Ага-ага...
Кстати, а протоколы, позволяющие любому подделывать identity любого другого, вам нравятся? А на них весь сегодняшний интернет построен. Don't talk to me about life...
Или почтовый клиент, который без вопросов начинает запускать любой аттачмент, похожий на исполняемый код?
Много лет назад примерно такая же глюка была, насколько я помню, в sendmail-е. Просто тогда сегодняшние писатели вирусов если и родились, то еще писали в памперсы.
Упустили - то, что это продукт, который скорее вреден, чем бесполезен - и компания, озабоченная конкурентоспособностью (т.е. нуждами потребителей) и вынужденная считаться со всякими там соображениями профессиональной этики не имеет ни права, ни возможности такое писать, не говоря уж о том, чтобы продавать за деньги
Не понял. С этого момента, pls, поподробнее. Во-первых, каким образом нужды потребителей отрицают наличие офисного софта, и на кой хер в таком случае эти потребители выбрасывают миллионы долларов за этот софт? Во-вторых, каким образом наличие офисного софта противоречит профессиональной этике. В третьих, что значит "компания не имеет права такое писать"? Что и кто имеет и нее имеет права писать? В четвертых, если это такое говно, на кой черт, интересно, Сан удочерил СтарОфис? Из мазохизма? И т.п. Короче, что-то я этого вашего тезиса насчет инфернальности офисного софта не понимаю. Не обьясните ли подробнее?
pargentum отсюдаВсе, приехали, я окончательно рехнулся - микрософт защищаю. Вызывайте скорую. Но истина дороже.
Как вы представляете себе альтернативный процесс стандартизации джавы?
Например, как независимый от Sun комитет по Java. Типа W3C. Я понимаю, что Сану это нафиг не надо, ну тогда и нечего на микрософт наезжать. У микрософта - Win32 API, у Сана - Java API. Кто за что подержался, тот то и имеет. Причем у Микрософта, заметим, .net в своей виртуальной машинке поддерживает любые языки и Evil Empire работает в этом направлении. А у Сана все, что не ява - ересь, коей надо избегать, елико возможно.
По количеству известных бафер оверранов, например, IIS в далеком отрыве от всех известных коммерческих и некоммерческих продуктов.
К сожалению, ровно там же. Сановские и проч. продукты так же дырявы, а IRIX вообще в этом смысле напоминает (или напоминал, я с ним много лет уже не общался) решето, причем крупноячеистое. Что и понятно - для избавления от оверранов нужно прилагать серьезные усилия, причем уже на этапе проектирования, на каковые нет денег и времени. Или интереса, если говорить о бесплатном софте.
Например, чего надо было обкуриться, чтобы сделать систему, которая начинает поиск DLL с текущего каталога?
Того же, что курил один крупный производитель юникс-систем, встраивая в свою систему беспарольный дефолтовый логин с правами шелла. Вы думаете, похуизм в secuiry микрософт изобрел? Ага-ага...
Кстати, а протоколы, позволяющие любому подделывать identity любого другого, вам нравятся? А на них весь сегодняшний интернет построен. Don't talk to me about life...
Или почтовый клиент, который без вопросов начинает запускать любой аттачмент, похожий на исполняемый код?
Много лет назад примерно такая же глюка была, насколько я помню, в sendmail-е. Просто тогда сегодняшние писатели вирусов если и родились, то еще писали в памперсы.
Упустили - то, что это продукт, который скорее вреден, чем бесполезен - и компания, озабоченная конкурентоспособностью (т.е. нуждами потребителей) и вынужденная считаться со всякими там соображениями профессиональной этики не имеет ни права, ни возможности такое писать, не говоря уж о том, чтобы продавать за деньги
Не понял. С этого момента, pls, поподробнее. Во-первых, каким образом нужды потребителей отрицают наличие офисного софта, и на кой хер в таком случае эти потребители выбрасывают миллионы долларов за этот софт? Во-вторых, каким образом наличие офисного софта противоречит профессиональной этике. В третьих, что значит "компания не имеет права такое писать"? Что и кто имеет и нее имеет права писать? В четвертых, если это такое говно, на кой черт, интересно, Сан удочерил СтарОфис? Из мазохизма? И т.п. Короче, что-то я этого вашего тезиса насчет инфернальности офисного софта не понимаю. Не обьясните ли подробнее?
no subject
Íó è ýòî, êîíå÷íî, òîæå èãðàåò ñâîþ ðîëü.
>2.  þíèêñå èç-çà ãîðàçäî áîëåå ñòðîãîãî ðàçäåëåíèÿ ïðàâ äîñòóïà ïðàêòè÷åñêè íå ðàáîòàþò 'òðîÿíñêèå' ñõåìû
Ñîáñòâåííî, âû ñàìè ïîäòâåðæäàåòå òî, î ÷åì ÿ âàì âåñü òðåä ïûòàþñü âòîëêîâàòü - ÷òî áàãè è êîñÿêè, áåçóñëîâíî, åñòü ó âñåõ, îòëè÷èå æå Ìèêðîñîôòà îò âñåõ îñòàëüíûõ èìåííî â òîì, ÷òî ó íåãî êîëè÷åñòâî áàãîâ è êîñÿêîâ ïåðåøëî â êà÷åñòâî.
> âñïîìíèì íàøóìåâøèå DOS-àòàêè íà Yahoo
Âû ðàçíèöó ìåæäó DOS-àòàêîé è ÷åðâåì ïîíèìàåòå?
>ê ýïîõå àêòèâíîãî âèðóñîïèñàòåëüñòâà è ïðèõîäó â ñåòü òèíåéäæåðîâ ñ èçáûòêîì âðåìåíè è íåäîñòàòêîì âîñïèòàíèÿ óæå áûëè äîñòàòî÷íî "îáêàòàíû"
Òðàäèöèè âèðóñîïèñàòåëüñòâà íå ïðåðûâàëèñü ìèíèìóì ñ íà÷àëà 80õ, âî âñÿêîì ñëó÷àå Ìîððèñ áûë äàëåêî íå ïåðâûì è íå ïîñëåäíèì.
Íó, íåáîëüøîé ïåðåðûâ áûë, êîãäà êóëüòóðà âèðóñîïèñàòåëåé íå ñðàçó ïðèñïîñîáèëàñü ê ðåàëèÿì ìèðà Win32 (ïîñëå îáèëÿ ÄÎÑîâûõ âèðóñîâ ïîä Win95 íàñ ïîðàäîâàëè òîëüêî ×åðíîáûëåì).
Ïðîáëåìà âèíäîâ íå â òîì, ÷òî îíè íå îáêàòàíû, à â òîì, ÷òî ïðè èõ ðàçðàáîòêå áûëî âîïèþùèì îáðàçîì íàñðàíî íà îïûò âñåõ ïðåäøåñòâåííèêîâ è ïðîñòîé çäðàâûé ñìûñë, ïîýòîìó îáêàòêîé èõ äî ïðèåìëåìûõ êîíäèöèé äîâåñòè, ïî âèäèìîìó, íåâîçìîæíî.
no subject
Ìèêðîñîôò òóò íå ïðè ÷åì. Ìèêðîñîôò ïîñàäèë èäèîòà çà êîìïüþòåð. Èäèîò, âèäÿ êíîïêó "íàæìè çäåñü, ÷òîáû óâèäåòü ãîëóþ áàáó", íàæèìàåò - è ïîëó÷àåò òðîÿíà. Êàê ìèêðîñîôò íå ïàðüñÿ, íàäî ëèáî âûãîíÿòü èäèîòà èç-çà êîìïüþòåðà, ëèáî ðàçðåøàòü åìó íàæèìàòü êíîïêó, ñî âñåìè ñîîòâ. ðåçóëüòàòàìè. Áîëüøèíñòâî ðåøåíèé ýòîé ïðîáëåìû - ïàëëèàòèâû, õîòÿ íåêîòîðûå ïîëåçíûå ïàëëèàòèâû ìèêðîñîôòó íå ìåøàëî áû îñâîèòü.
Âû ðàçíèöó ìåæäó DOS-àòàêîé è ÷åðâåì ïîíèìàåòå?
Îê, ÿ äóìàë, ÷òî âû ñàìè ñìîæåòå çàïîëíèòü âûïóùåííûé øàã â ëîãè÷åñêîé öåïî÷êå. Íå ïîëó÷èëîñü. Îáüÿñíÿþ: äëÿ îðãàíèçàöèè ìàñøòàáíîé DOS-àòòàêè (ïî îäíîìó èç ìåòîäîâ) íóæíî áîëüøîå êîëè÷åñòâî ïîäêîíòðîëüíûõ êîìïüþòåðîâ, æåëàòåëüíî ðàñïðåäåëåííûõ. Èçâåñòíî íåñêîëüêî þíèêñîâûõ ÷åðâÿêîâ, îäíîé èç ôóíêöèé êîòîðûé ÿâëÿåòñÿ ïîäãîòîâêà áàçû äëÿ ðàñïðåäåëåííîé DOS-àòòàêè íà îïðåäåëåííûé óçåë. Ïðåäïîëàãàåòñÿ, ÷òî íåêîòîðûå èçâåñòíûå DOS-àòòàêè áûëè âûïîëíåíû èìåííî ýòèì ìåòîäîì. Àãà?
Ïðîáëåìà âèíäîâ íå â òîì, ÷òî îíè íå îáêàòàíû, à â òîì, ÷òî ïðè èõ ðàçðàáîòêå áûëî âîïèþùèì îáðàçîì íàñðàíî íà îïûò âñåõ ïðåäøåñòâåííèêîâ è ïðîñòîé çäðàâûé ñìûñë, ïîýòîìó îáêàòêîé èõ äî ïðèåìëåìûõ êîíäèöèé äîâåñòè, ïî âèäèìîìó, íåâîçìîæíî.
ß íå âèæó, ÷åì âèíäû â ïëàíå, ñêàæåì, òåõ æå ÷åðâÿêîâ ïðèíöèïèàëüíî õóæå þíèêñîâ.È òàì è òàì åñòü ñåðâèñû, êîòîðûå ïðè ïåðâîì æå buffer overflow ïîçâîëÿþò äîñòóï ê ëáîé àäìèíèñòðàòèâíîé ôóíêöèè. È òàì, è òàì, ýòè ñåðâèñû óñòàíîâëåíû by default è ÿâëÿþòñÿ ÷àñòüþ ñèñòåìû. ×òî æå äî òðîÿíîâ - ñì. âûøå. Òðîÿíû åñòü ÷åëîâå÷åñêèé ôàêòîð, è íå âèíà ìèêðîñîôòà, ÷òî îíè äåëàþò ñèñòåìû, êîòîðûå íðàâÿòñÿ èäèîòàì...
no subject
Èäèîòû, êîíå÷íî, òîæå èãðàþò ñâîþ ðîëü, íî òîò æå ìèêðîñîôò ñîçíàòåëüíî ñîçäàë ðÿä ñèòóàöèé (íàïðèìåð, àóòëóêîâñêèé èëè ýêñïëîðåðîâñêèé ïðåâüþ), êîãäà òðîÿí ïîëó÷àåòñÿ áåç âñÿêèõ íàæàòèé êíîïêè, ïîòîìó ÷òî êíîïêà çà ïîëüçîâàòåëÿ (äàæå íå îáÿçàòåëüíî èäèîòà!) íàæèìàåòñÿ íåÿâíî, äà åùå òàê, ÷òî åå è íå âûêëþ÷èøü. È âûðóáàíèå ýòîãî - âîâñå íå ïàëëèàòèâ, à ïåðâîî÷åðåäíàÿ è íåîáõîäèìàÿ ìåðà.
Òàêæå, âñÿ÷åñêèå ìåðû ïî óâåëè÷åíèþ "àêòèâíîñòè êîíòåíòà", òàêèå, êàê ActiveX èëè õðàíèìûå ìàêðîñû âîðäà è ýêñåëÿ, ÿâëÿþòñÿ ðàññàäíèêàìè òðîÿíîâ by design, è îòêàç îò íèõ òàêæå íè â êîåì ñëó÷àå íå ÿâëÿåòñÿ ïàëëèàòèâîì.
>Ïðåäïîëàãàåòñÿ, ÷òî íåêîòîðûå èçâåñòíûå DOS-àòòàêè áûëè âûïîëíåíû èìåííî ýòèì ìåòîäîì. Àãà?
Ñîãëàñèòåñü, ÷òî âûäâèãàòü ïðåäïîëîæåíèÿ (äàæå îñíîâàííûå íà äîâîëüíî óáåäèòåëüíûõ äîâîäàõ) ïðîòèâ ôàêòîâ íå ñîâñåì êîððåêòíî?
>ß íå âèæó, ÷åì âèíäû â ïëàíå, ñêàæåì, òåõ æå ÷åðâÿêîâ ïðèíöèïèàëüíî õóæå þíèêñîâ.
ß íå õî÷ó ïîâòîðÿòü âñå ïî âòîðîìó êðóãó. Ïðàâèëüíî ëè ÿ ïîíèìàþ, ÷òî âû íå âèäèòå òîãî, ÷òî äâóìÿ ïîñòàìè ðàíüøå îòêðûòûì òåêñòîì ïðèçíàâàëè ñàìè?
no subject
Ýòî èñïðàâÿò, è äîâîëüíî ëåãêî. Äîñòàòî÷íî à) íå ïîêàçûâàòü íåèçâåñòíûå òèïû ÷åðåç ïðåâüþ á) åñëè â èçâåñòíîì òèïå åñòü âîçìîæíîñòü çàïóñêà ÷åãî-ëèáî, áëîêèðîâàòü òàêóþ âîçìîæíîñòü â ïðåâüþ. Òî, ÷òî ïðåüâþ áûë ñäåëàí ñàìûì äóðàöêèì èç âîçìîæíûõ ìåòîäîâ - ñëåäñòâèå ñòðåìëåíèÿ âûïóñòèòü ïðîäóêò ïîáûñòðåå. Ïî÷èíÿò. Êîíöåïöèÿ ïðåâüþ âïîëíå ïîçâîëÿåò ñäåëàòü åãî áåçîïàñíûì.
Òî æå, êñòàòè, îòíîñèòñÿ è ê ìàêðîñàì, äîñòàòî÷íî à) îòìåíèòü àâòîçàïóñê íàïðî÷ü, è á) îãðàíè÷èòü äîñòóï ê âíåøíèì ôóíêöèÿì (90% îíè è òàê íàôèã íå íóæíû)
×òî æå êàñàåòñÿ 'àêòèâíîãî êîíòåíòà' - îïÿòü æå, ïðîñòîãî êîíòðîëÿ äîñòóïà âïîëíå äîñòàòî÷íî. Åñëè ÷åëîâåê íàæèìàåò 'ðàçðåøèòü' íà ëþáîé çàïðîñ, òî îí è ïðîãðàììêó ñãðóçèò è çàïóñòèò, è îòñóòñòâèå ActiveX åìó íå ïîìåøàåò. Îïÿòü æå óñèëåíèå êîíòðîëÿ äîñòóïà ÿâëÿåòñÿ ïîëåçíûì ïàëëèàòèâîì, íî ïðîáëåìû îòíþäü íå ðåøèò.
Ñîãëàñèòåñü, ÷òî âûäâèãàòü ïðåäïîëîæåíèÿ (äàæå îñíîâàííûå íà äîâîëüíî óáåäèòåëüíûõ äîâîäàõ) ïðîòèâ ôàêòîâ íå ñîâñåì êîððåêòíî?
Ôàêò, ÷òî òàêèå ÷åðâÿêè èìåþòñÿ è áûëè çàìå÷åíû in the wild. Ôàêò, ÷òî ôóíêöèîíàëüíîñòü äëÿ DOS-àòàê â íèõ âñòðîåíà. Ôàêò, ÷òî DOS-àòàêè áûëè. Ê ñîæàëåíèþ, ôàêòè÷åñêîé áàçû ïî îïðåäåëåííîé ñâÿçè êîíêðåòíîé àòàêè ñ êîíêðåòíûì ÷åðâÿêîì ó ìåíÿ íåò - äëÿ ýòîãî íóæíî íåõèëîå ðàññëåäîâàíèå ñèëàìè ïîáîëüøå ìîèõ, äà, âèäèìî, è ïîáîëüøå ñîâðåìåííûõ ñèë ïîëèöèè, ò.ê. ëèöà, àòàêîâàâøèå yahoo, íàïðèìåð, äî ñèõ ïîð, êàê ÿ ïîíèìàþ, íå íàéäåíû.
Ïðàâèëüíî ëè ÿ ïîíèìàþ, ÷òî âû íå âèäèòå òîãî, ÷òî äâóìÿ ïîñòàìè ðàíüøå îòêðûòûì òåêñòîì ïðèçíàâàëè ñàìè?
ß ïðèçíàë ñóùåñòâîâàíèå îäíîé äûðêè, êîòîðàÿ äåéñòâèòåëüíî íåñêîëüêî îáëåã÷àåò ðàñïðîñòðàíåíèå îäíîãî ÷åðâÿêà. Íó è ÷òî?  þíèêñå, íàïðèìåð, NFS èìååòñÿ, ñ êîòîðîãî ìîæíî ïîèìåòü íåìåðÿíî âåñåëüÿ. So what? Ïðèíöèïèàëüíûõ îòëè÷èé â ýòîì (â îòëè÷èå îò òðîÿíîâ, ñêàæåì) ÿ íå âèæó.
no subject
Èñïðàâÿò - áóäåì ðàçãîâàðèâàòü. Èç ñêàçàííîãî íèæå ïîíÿòíî, ÷òî ýòî âîâñå íå ëåãêî. Êðîìå òîãî, ñèòóàöèé, êîãäà ìèêðîñîôò äåñÿòèëåòèÿìè (áåç øóòîê) íå èñïðàâëÿë âîïèþùèå è äåéñòâèòåëüíî íåñëîæíî èñïðàâëÿåìûå âåùè, èñòîðèÿ çíàåò íåìàëî.
>Äîñòàòî÷íî à) íå ïîêàçûâàòü íåèçâåñòíûå òèïû ÷åðåç ïðåâüþ á) åñëè â èçâåñòíîì òèïå åñòü âîçìîæíîñòü çàïóñêà ÷åãî-ëèáî, áëîêèðîâàòü òàêóþ âîçìîæíîñòü â ïðåâüþ.
Ïðîñòèòå, êàê âû ïîêàæåòå ÷òî áû òî íè áûëî (äàæå plain text), íå ïîäãðóçèâ íè îäíîé DLL? Àñü? Âîò òî-òî. :)
>à) îòìåíèòü àâòîçàïóñê íàïðî÷ü
Ãû ãû. Ïîñëå ýòîãî ëþáîé âíóòðèêîðïîðàòèâíûé øàáëîí äîêóìåíòà ðàáîòàòü ïåðåñòàåò. Âîò ðàäîñòü-òî.
>á) îãðàíè÷èòü äîñòóï ê âíåøíèì ôóíêöèÿì (90% îíè è òàê íàôèã íå íóæíû)
Íó äà, ñäåëàòü äëÿ ìàêðîñà ÷òî-òî âðîäå àïïëåòîâñêîãî ñýíäáîêñà. Ýòî æ äóìàòü íóæíî... :) Òàê èëè èíà÷å - ðåäèçàéí ëîãèêè íåñëàáûé. Ê ÷åìó âñå è âîçâðàùàåòñÿ - ÷òî îøèáêà íà óðîâíå äèçàéíà èëè äàæå ñïåöèôèêàöèé ïðèëîæåíèÿ, è íå ìîæåò áûòü èñïðàâëåíà ïðîñòî.
>ß ïðèçíàë ñóùåñòâîâàíèå îäíîé äûðêè, êîòîðàÿ äåéñòâèòåëüíî íåñêîëüêî îáëåã÷àåò ðàñïðîñòðàíåíèå îäíîãî ÷åðâÿêà.
Íó, òàê óæ ñîâñåì íåõîðîøî. Ñíà÷àëà âû ïðèçíàåòå ôàêòû, ïîòîì íà÷èíàåòå äîêàçûâàòü, ÷òî ýòîò ôàêò âîâñå íå ñòîëü çíà÷èì, êàê óòâåðæäàþ ÿ. Òîãäà äàâàéòå ñðàçó è ñîãëàñèìñÿ, ÷òî ñïîðèì ìû íå î ôàêòàõ (â êîòîðûõ â öåëîì ñîãëàñíû), à îá èõ îòíîñèòåëüíîé çíà÷èìîñòè, ÷òî ãîðàçäî òîíüøå è òðåáóåò ñîâñåì äðóãîãî óðîâíÿ è òèïà àðãóìåíòàöèè.
no subject