[em]не скушными обоями[/em] все-таки надо слитно и через "ч" :) |
через "ш" вполне грамотно поспорь со мной |
не буду спорить, так и есть, но через "ч" более каноническая форма :) |
91-NOVIchok > мс их не коллекционирует а исправляет всё просто [url]http://bugtraq.ru/rsn/archive/2008/03/11.html[/url] "Microsoft призналась, что знала об уязвимости в Jet несколько лет" [url]http://www.newsproject.ru/microsoft_znala_o_kriticheskoy_uyazvimosti_internet_explorer_e8242.html[/url] "Представители компании заявили, что знали о «дыре» в системе безопасности браузера Internet Explorer с [b]сентября[/b] прошлого года. «Заплатку» собирались включить в [b]февральских[/b] пакет плановых обновлений." [url]http://uinc.ru/news/sn5156.html[/url] "Microsoft знала о наличии уязвимости WMF уже давно" [url]http://www.uinc.ru/news/sn7575.html[/url] "Microsoft знала об ANI-уязвимости ещё в декабре прошлого года" это только то что всплыло. Т.о. MS никак не ведет публично доступного списка багов, выводы о сравнении с открытым списком багов LO все желающие могу сделать сами. |
> А после сп1 почти все апдейты только по безопасности. все-таки я прав -- это вредительство. Кто-то специально делает ошибки, затрагивающие именно безопасность. |
124-lithium > Думаете, патчи - сами из воздуха появляются? Их мало того, что надо написать, что в больших проектах само по себе бывает нетривиальной задачей - когда нужно переписывать очень много строчек кода. Так их еще и надо протестировать с огромным количеством конфигураций железа и ПО, чтобы не получилась ситуация "одно лечат, а другое калечат". Представляете себе масштабы? Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете - чтобы по возможности задержать появление паблик эксплойтов до выхода патча. Где-то в интернете была презентация А. Бешкова по поводу выпуска патчей и Windows Update, должно гуглиться легко. |
[quote=economist;24881390]так как под Excel у меня есть таблицы по 6 млн. строк[/quote] Где-то читал, что в йокселе 2007 и 2010 ограничение по количеству строк в миллион с копейками, как удалось шесть впихнуть? |
МС хотя бы следит за безопасностью кода. Разработчики ЛО не занимаются этим никак, просто потому, что у них нет ни вменяемого секьюрити дивижн, ни вменяемой команды QA. |
106-economist >[em]Про Access я даже слышать не хочу, так как под Excel у меня есть таблицы по 6 млн. строк[/em] А фуры вы тоже "Жигулями" тягаете, или все же "Камаз" покупаете? |
126-system32 > Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете - чтобы по возможности задержать появление паблик эксплойтов до выхода патча. странно, я читаю в новостях о баге и уже готовлюсь через пару дней накатывать обновления. Но это у RH, а у MS почему-то уходят месяцы... И да (да, я телепат), после обновлений проблем не было ни разу. > Разработчики ЛО не занимаются этим никак, просто потому, что у них нет ни вменяемого секьюрити дивижн, ни вменяемой команды QA. хорошо все знать. |
[em]Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете[/em] вот это песня, гимн практически) иелкософт не чешется пока ебалом в унитаз не макнут как называлась дыра то ли сассер то ли бластер уже не припомню, но роды патча измерялись годами, и то пока код эксплоита у докладчика не скомуниздили, может быть до сих пор "код тестировали"))) рут решил поспорить с товдиром, это может быть интересным |
telnetd, samba, php-cgi (-s) - юниксоиды тоже чешуца долго =) |
132-droidman > где ты бродишь? матьперемать) про ipset подскажешь? а что не так с telnetd? кто его вообше использует? вот недавно на opennet была новость про уязвимость openssl yum -v info openssl Committime : Thu Apr 19 16:00:00 2012 Buildtime : Wed Apr 25 01:24:43 2012 тут все видно |
130-lithium>[em]хорошо все знать[/em] тут и знать нечего, у них на сайте список разработчиков опубликован, и кто есть ху тоже можно посмотреть. Выводы делать только вам (С). :) |
кстати, а кто ссылку из темы читал? только честно, я нет) |
у telnetd во фряхе недавно обнаружили наивесёлейшую уязвимость с эскалацией до рута) ipset через netlink общается с ядровым подмодулем iptables'а. Статистику снимать - либо писать свою прогу, либо юзать userspace-тулзу [em]ipset[/em] =) |
т.е. в /proc/ не отображает? |
таки нет |
от жешь презерватив..... ото я обыскался) |
а зачем те? чем вариант через команду ipset не нравица? |
все нравица просто шаблонное мышление, и всё) |
ресент хранит, почему бы и ipset не нарушать |
традицию в смысле |
если совсем честно, хотел посмотреть как выглялит хеш чего-нибудь) |
134-Flukostat > Выводы делать только вам интересно, какие выводы можно делать проводя параллели между совершенно различными стилями разработки? Померить одних мерками других? |
144-gloomymen > [url]http://burtleburtle.net/bob/hash/[/url] - на этих хэшах основан ipset. Осторожно, матан =) |
эх ладно хоть на 50% понимание есть, и то хорошо) |
gloomymen >,Flukostat >, не спорьте. в данном случае написание уместно и так и эдак. вон одна низкопробная попсовая группка написала пэстню "чумачечая весна" и ниче, пипл хавает. когда я впервые услышал этот шыдэвр... чуть ихтиандра не пустил от этой мерзости |
127-BigHarry > вы там-же, где про милион строк=ограничение, прочтите с какого перепоя это им пириснилось |
[em]у telnetd во фряхе недавно обнаружили наивесёлейшую уязвимость с эскалацией до рута)[/em] Ну это не столь важно. |
Связана ли быстрая публикация багов с появлением эксплойтов и, например, использующих их вирусов? - думается что нет. Равно как и вопли пользователей в случае с MS - не сильно ускоряют выход обновлений. ... Вообще говоря качество бизнес-продукта и безопасность почти тождественны. Приведу свой частный случай: За 15 лет соотношение машиночасов работы юзеров под MS Word и OO Writer составило примерно 1:1. Количество найденных макровирусов за это же время составило 10000:1. Если вспомнить жуткие DOC-эпидемии от того же Ethan.32 - то не было такого десктопа в 2000 году, на котором бы этой гадости не обнаруживалось. ... BigHarry - 6 млн строк на один лист Excel2007 2^20=>1млн. строк не влезут, но листов может быть много. Смежным диапазонам можно назначить один алиас, и тогда он будет восприниматься как одна таблица. ... Кроме того, в Excel и Calc есть однострочные формулы типа SQL.REQUEST, в которых задается строка подключения, запрос и еще неск. параметров, которые элементарно возвращают рекордсет, автоматически расширяют вычисляемые диапазоны и могут служить временной таблицей, скажем, для сводной диаграммы. И это безо всякого макропрограммирования, на уровне юзера все доступно. И потом, хранить строки можно в СУБД, но работать с ними из Excel, так как он удобнее для анализа данных чем любая другая программа стоимостью до 100 тыс. руб. (причины описаны в п. 118). ... system32 - опять же, первый раз слышу, что после 6 млн. строк нужно нечто монструозное. Раньше, до 2007 года, видимо, Excel начинали объявлять "жигулями" уже начиная со строк >65535... Вот ведь как все меняется... ... Скажу откровенно: так как задачи интеграции разных систем в реальной экономике РФ гораздо важнее и чаще реализуемы чем случаи "псевдо"комплексной автоматизации на основе Oracle/SAP - то правильно делают те, кто используют имеющийся простой инструмент на 90% (Excel), чем дорогой и через три года после первого платежа - на 10% (SAP). Потому что (как писалось выше применительно к костылям на СПО) уйдет разработчик - и хана всему сапу. ... alex419 - песня написана за целых 7(!) минут и таки-стала "Песней года". Успех объясним: мажорно, напевается, задорно. Конечно, гадость, лубок, "формат", но напевается... ... Впрочем, напеваются и некоторые российские исполнители на русском языке - к примеру, "Груня". Болгарские ученые по заказу EU в 2009-м провели одно занятное исследование по устойчивости национальных культур эффекту глобализации. Вывод: если в Сети, СМИ, театрах, концертных площадках звучит менее 60% музыки, имеющей национальные корни - этнос теряет "иммунитет" и "вымывается" чужой культурой, либо полным бескультурием (как, например, музыка и поведение "друзей" из к/ф "Бригада" итп). Ну Груня, Инна Желанная - это редкие самородки, без естевенного возобновления. И поэтому хорошую музыку нужно искать зарубежом. |
[em]Скажу откровенно: так как задачи интеграции разных систем в реальной экономике РФ гораздо важнее и чаще реализуемы чем случаи "псевдо"комплексной автоматизации на основе Oracle/SAP - то правильно делают те, кто используют имеющийся простой инструмент на 90% (Excel)...[/em] Скажи, а за 15 лет сколько машиночасов ты извел, на написания подобной бредятины? |
130-lithium >[em]странно, я читаю в новостях о баге и уже готовлюсь через пару дней накатывать обновления. Но это у RH, а у MS почему-то уходят месяцы...[/em] Потому что RH бывает только на серверах, и набор железа и ПО все же намного уже, чем у MS, который бывает и на серверах и на десктопах, с гигантским спектром ПО. И если RH достаточно потестить на паре-тройке конфигураций - то MS приходится проводить тысячи тестов, в противном случае получится, что после наката апдейта уязвимость исчезнет, но перестанет работать какой-нить хитрый принтер (как однажды уже было). 131-gloomymen >[em]как называлась дыра то ли сассер то ли бластер уже не припомню, но роды патча измерялись годами, и то пока код эксплоита у докладчика не скомуниздили, может быть до сих пор "код тестировали")))[/em] Про Sasser: [url]http://manual.mit.ru/index.php?option=com_content&task=view&id=52&Itemid=89[/url] [em]Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.[/em] Что там говорили про "годы"? ;) Для Kido aka Conficker патч тоже был доступен задолго до появления вируса. Большая часть эксплойтов, кстати, делается наоборот - путем реверсинга официальных патчей - чтобы посмотреть, что за дыру они закрывают и как ее можно поюзать. |
krotov - ссылку на реф внедрений Oracle/SAP давать? Видел я SAP на живом внедреже; в результате комплексной автоматизации - работа шла медленнее, отчеты генерировались часами вместо минут, а кол-во костылей в виде VBA/Delphi только увеличилось, просто стали отвечать за меньшие участки ввода данных. Плюс бюджет внедрения в 150 млн. руб. за 3 года 1998-2001 на 150 пользователей. За 3 года удалось ввести менее 1/3 функционала системы в эксплуатацию, до сих пор там: бухстатучет - в 1С, транспорт - в самописке, себестоимость - в Excel, уровень реализации MRPII - не без костылей. Бюджет к этому моменту мне неизвестен, но думаю до 300 млн. руб. дополз. Отрасль - нефтянка, Сибирь. В рефах они есть, но гордиться особо нечем. За это время добыча упала на 12%, разведка на 30%, выручка в ценах 2000-го - на 15%. Я не призываю делать все в Excel - но и палить из пушки по воробьям неэффективно. Разлетятся кто куда... ... А пишу я быстро, на форумы трачу максимум полчаса в день. В основном тихо читаю :-)) |
[em]до сих пор там: бухстатучет - в 1С, транспорт - в самописке, себестоимость - в Excel, уровень реализации MRPII - не без костылей[/em] Причем тут SAP? Тут, как писал выше, IT рукоблудителей, поганой метлой надо... после дилительного анального насилия. |
krotov - так может быть вы ответите - почему администрация Мюнхена смогла перейти на СПО (Linux+OO), а администрация Майкопа - нет, с позором закупив ППО (Windows+MSO) на сумму, эквивалентную трети(!) годовых налоговых поступлений в городской бюджет??? И при этом не постеснявшись запиариться... |
153-system32 > Потому что RH бывает только на серверах, [url]http://www.redhat.com/products/enterprise-linux/desktop/[/url] дальнейшие "мысли" обсуждать смысла не вижу, ибо они так же соответствуют действительности. (тут не могу удержаться): > случае получится, что после наката апдейта уязвимость исчезнет, но перестанет работать какой-нить хитрый принтер это называется "архитектура через жопу". > Большая часть эксплойтов, кстати, делается наоборот - путем реверсинга официальных патчей - чтобы посмотреть, что за дыру они закрывают и как ее можно поюзать. нашел за минуту: [url]http://www.securitylab.ru/news/286753.php[/url] "Эксперты института SANS заявляют, что ко всем «залатанным» позавчера уязвимостям, кроме как в Excel, существуют эксплойты. Минимум 3 уязвимости Word остаются незакрытыми, для их использования в арсенале хакеров также есть эксплойты." И про такое я читал не один раз. |
еще за минуту: [url]http://www.securitylab.ru/analytics/395926.php[/url] понравилась фраза "Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения." [url]http://www.securitylab.ru/analytics/382478.php[/url] "В период с 2006 по июль 2009 года было обнаружено 24 уязвимости нулевого дня. Из них 19 уязвимостей в продуктах Microsoft." [url]http://habrahabr.ru/search/?q=[/url][0-day]&target_type=posts это просто подборка про 0-day уязвимости. |
Отвечу для начала сам: видимо потому в Мюнхене взлетело, а в Майкопе нет - потому что верящих в то что "СПО иногда летает" - там больше. Наш форум - хорошее тому подтверждение. Любая неудача СПО выдается за тенденцию ("СПО не летает"). Любой же провал ППО - это "недостатки менеджмента, жмотье панов директоров и тупость персонала". Конечно, сетевики ваапщенипричем - они ведь тихо сидят в серверных, пьют пиво в свитерах и режутся в CS. Так было в Майкопе... |
[em]Мюнхене взлетело, а в Майкопе нет - потому что верящих в то что "СПО иногда летает" - там больше.[/em] Чё за бред? |
Текущее время: 13:56. Часовой пояс GMT +3. |