| 0
- 28.04.2012 - 12:50
| http://open.cnews.ru/top/2012/04/28/...crosoft_487474 аплодируем товарищчи     | | |
| 121
- 04.05.2012 - 14:48
| не скушными обоями все-таки надо слитно и через "ч" :) | | |
| 122
- 04.05.2012 - 15:19
|
через "ш" вполне грамотно поспорь со мной | | |
| 123
- 04.05.2012 - 15:26
| не буду спорить, так и есть, но через "ч" более каноническая форма :) | | |
| Модератор 124
- 04.05.2012 - 17:10
|
91-NOVIchok > мс их не коллекционирует а исправляет всё просто http://bugtraq.ru/rsn/archive/2008/03/11.html "Microsoft призналась, что знала об уязвимости в Jet несколько лет" http://www.newsproject.ru/microsoft_...rer_e8242.html "Представители компании заявили, что знали о «дыре» в системе безопасности браузера Internet Explorer с сентября прошлого года. «Заплатку» собирались включить в февральских пакет плановых обновлений." http://uinc.ru/news/sn5156.html "Microsoft знала о наличии уязвимости WMF уже давно" http://www.uinc.ru/news/sn7575.html "Microsoft знала об ANI-уязвимости ещё в декабре прошлого года" это только то что всплыло. Т.о. MS никак не ведет публично доступного списка багов, выводы о сравнении с открытым списком багов LO все желающие могу сделать сами. | | |
| Модератор 125
- 04.05.2012 - 17:14
|
> А после сп1 почти все апдейты только по безопасности. все-таки я прав -- это вредительство. Кто-то специально делает ошибки, затрагивающие именно безопасность. | | |
| 126
- 04.05.2012 - 17:31
|
124-lithium > Думаете, патчи - сами из воздуха появляются? Их мало того, что надо написать, что в больших проектах само по себе бывает нетривиальной задачей - когда нужно переписывать очень много строчек кода. Так их еще и надо протестировать с огромным количеством конфигураций железа и ПО, чтобы не получилась ситуация "одно лечат, а другое калечат". Представляете себе масштабы? Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете - чтобы по возможности задержать появление паблик эксплойтов до выхода патча. Где-то в интернете была презентация А. Бешкова по поводу выпуска патчей и Windows Update, должно гуглиться легко. | | |
| 127
- 04.05.2012 - 17:31
| Цитата:
| | |
| 128
- 04.05.2012 - 17:32
| МС хотя бы следит за безопасностью кода. Разработчики ЛО не занимаются этим никак, просто потому, что у них нет ни вменяемого секьюрити дивижн, ни вменяемой команды QA. | | |
| 129
- 04.05.2012 - 17:34
|
106-economist >Про Access я даже слышать не хочу, так как под Excel у меня есть таблицы по 6 млн. строк А фуры вы тоже "Жигулями" тягаете, или все же "Камаз" покупаете? | | |
| Модератор 130
- 04.05.2012 - 18:08
|
126-system32 > Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете - чтобы по возможности задержать появление паблик эксплойтов до выхода патча. странно, я читаю в новостях о баге и уже готовлюсь через пару дней накатывать обновления. Но это у RH, а у MS почему-то уходят месяцы... И да (да, я телепат), после обновлений проблем не было ни разу. > Разработчики ЛО не занимаются этим никак, просто потому, что у них нет ни вменяемого секьюрити дивижн, ни вменяемой команды QA. хорошо все знать. | | |
| 131
- 04.05.2012 - 18:10
| Поэтому выпуск обновления может занимать месяцы, и поэтому MS держат узявимости в секрете вот это песня, гимн практически) иелкософт не чешется пока ебалом в унитаз не макнут как называлась дыра то ли сассер то ли бластер уже не припомню, но роды патча измерялись годами, и то пока код эксплоита у докладчика не скомуниздили, может быть до сих пор "код тестировали"))) рут решил поспорить с товдиром, это может быть интересным | | |
| 132
- 04.05.2012 - 18:13
| telnetd, samba, php-cgi (-s) - юниксоиды тоже чешуца долго =) | | |
| 133
- 04.05.2012 - 18:24
|
132-droidman > где ты бродишь? матьперемать) про ipset подскажешь? а что не так с telnetd? кто его вообше использует? вот недавно на opennet была новость про уязвимость openssl yum -v info openssl Committime : Thu Apr 19 16:00:00 2012 Buildtime : Wed Apr 25 01:24:43 2012 тут все видно | | |
| 134
- 04.05.2012 - 18:56
|
130-lithium>хорошо все знать тут и знать нечего, у них на сайте список разработчиков опубликован, и кто есть ху тоже можно посмотреть. Выводы делать только вам (С). :) | | |
| 135
- 04.05.2012 - 19:26
| кстати, а кто ссылку из темы читал? только честно, я нет) | | |
| 136
- 04.05.2012 - 20:17
|
у telnetd во фряхе недавно обнаружили наивесёлейшую уязвимость с эскалацией до рута) ipset через netlink общается с ядровым подмодулем iptables'а. Статистику снимать - либо писать свою прогу, либо юзать userspace-тулзу ipset =) | | |
| 137
- 04.05.2012 - 20:22
| т.е. в /proc/ не отображает? | | |
| 138
- 04.05.2012 - 20:26
| таки нет | | |
| 139
- 04.05.2012 - 20:27
|
от жешь презерватив..... ото я обыскался) | | |
| 140
- 04.05.2012 - 20:43
| а зачем те? чем вариант через команду ipset не нравица? | | |
| 141
- 04.05.2012 - 20:48
|
все нравица просто шаблонное мышление, и всё) | | |
| 142
- 04.05.2012 - 20:54
| ресент хранит, почему бы и ipset не нарушать | | |
| 143
- 04.05.2012 - 20:55
| традицию в смысле | | |
| 144
- 04.05.2012 - 21:02
| если совсем честно, хотел посмотреть как выглялит хеш чего-нибудь) | | |
| Модератор 145
- 04.05.2012 - 21:14
|
134-Flukostat > Выводы делать только вам интересно, какие выводы можно делать проводя параллели между совершенно различными стилями разработки? Померить одних мерками других? | | |
| 146
- 04.05.2012 - 21:19
| 144-gloomymen > http://burtleburtle.net/bob/hash/ - на этих хэшах основан ipset. Осторожно, матан =) | | |
| 147
- 04.05.2012 - 21:31
|
эх ладно хоть на 50% понимание есть, и то хорошо) | | |
| 148
- 04.05.2012 - 22:25
| gloomymen >,Flukostat >, не спорьте. в данном случае написание уместно и так и эдак. вон одна низкопробная попсовая группка написала пэстню "чумачечая весна" и ниче, пипл хавает. когда я впервые услышал этот шыдэвр... чуть ихтиандра не пустил от этой мерзости | | |
| 149
- 05.05.2012 - 06:18
| 127-BigHarry > вы там-же, где про милион строк=ограничение, прочтите с какого перепоя это им пириснилось | | |
| 150
- 05.05.2012 - 06:52
| у telnetd во фряхе недавно обнаружили наивесёлейшую уязвимость с эскалацией до рута) Ну это не столь важно. | | |
| 151
- 05.05.2012 - 09:46
|
Связана ли быстрая публикация багов с появлением эксплойтов и, например, использующих их вирусов? - думается что нет. Равно как и вопли пользователей в случае с MS - не сильно ускоряют выход обновлений. ... Вообще говоря качество бизнес-продукта и безопасность почти тождественны. Приведу свой частный случай: За 15 лет соотношение машиночасов работы юзеров под MS Word и OO Writer составило примерно 1:1. Количество найденных макровирусов за это же время составило 10000:1. Если вспомнить жуткие DOC-эпидемии от того же Ethan.32 - то не было такого десктопа в 2000 году, на котором бы этой гадости не обнаруживалось. ... BigHarry - 6 млн строк на один лист Excel2007 2^20=>1млн. строк не влезут, но листов может быть много. Смежным диапазонам можно назначить один алиас, и тогда он будет восприниматься как одна таблица. ... Кроме того, в Excel и Calc есть однострочные формулы типа SQL.REQUEST, в которых задается строка подключения, запрос и еще неск. параметров, которые элементарно возвращают рекордсет, автоматически расширяют вычисляемые диапазоны и могут служить временной таблицей, скажем, для сводной диаграммы. И это безо всякого макропрограммирования, на уровне юзера все доступно. И потом, хранить строки можно в СУБД, но работать с ними из Excel, так как он удобнее для анализа данных чем любая другая программа стоимостью до 100 тыс. руб. (причины описаны в п. 118). ... system32 - опять же, первый раз слышу, что после 6 млн. строк нужно нечто монструозное. Раньше, до 2007 года, видимо, Excel начинали объявлять "жигулями" уже начиная со строк >65535... Вот ведь как все меняется... ... Скажу откровенно: так как задачи интеграции разных систем в реальной экономике РФ гораздо важнее и чаще реализуемы чем случаи "псевдо"комплексной автоматизации на основе Oracle/SAP - то правильно делают те, кто используют имеющийся простой инструмент на 90% (Excel), чем дорогой и через три года после первого платежа - на 10% (SAP). Потому что (как писалось выше применительно к костылям на СПО) уйдет разработчик - и хана всему сапу. ... alex419 - песня написана за целых 7(!) минут и таки-стала "Песней года". Успех объясним: мажорно, напевается, задорно. Конечно, гадость, лубок, "формат", но напевается... ... Впрочем, напеваются и некоторые российские исполнители на русском языке - к примеру, "Груня". Болгарские ученые по заказу EU в 2009-м провели одно занятное исследование по устойчивости национальных культур эффекту глобализации. Вывод: если в Сети, СМИ, театрах, концертных площадках звучит менее 60% музыки, имеющей национальные корни - этнос теряет "иммунитет" и "вымывается" чужой культурой, либо полным бескультурием (как, например, музыка и поведение "друзей" из к/ф "Бригада" итп). Ну Груня, Инна Желанная - это редкие самородки, без естевенного возобновления. И поэтому хорошую музыку нужно искать зарубежом. | | |
| 152
- 05.05.2012 - 09:57
| Скажу откровенно: так как задачи интеграции разных систем в реальной экономике РФ гораздо важнее и чаще реализуемы чем случаи "псевдо"комплексной автоматизации на основе Oracle/SAP - то правильно делают те, кто используют имеющийся простой инструмент на 90% (Excel)... Скажи, а за 15 лет сколько машиночасов ты извел, на написания подобной бредятины? | | |
| 153
- 05.05.2012 - 10:39
|
130-lithium >странно, я читаю в новостях о баге и уже готовлюсь через пару дней накатывать обновления. Но это у RH, а у MS почему-то уходят месяцы... Потому что RH бывает только на серверах, и набор железа и ПО все же намного уже, чем у MS, который бывает и на серверах и на десктопах, с гигантским спектром ПО. И если RH достаточно потестить на паре-тройке конфигураций - то MS приходится проводить тысячи тестов, в противном случае получится, что после наката апдейта уязвимость исчезнет, но перестанет работать какой-нить хитрый принтер (как однажды уже было). 131-gloomymen >как называлась дыра то ли сассер то ли бластер уже не припомню, но роды патча измерялись годами, и то пока код эксплоита у докладчика не скомуниздили, может быть до сих пор "код тестировали"))) Про Sasser: http://manual.mit.ru/index.php?optio...d=52&Itemid=89 Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года. Что там говорили про "годы"? ;) Для Kido aka Conficker патч тоже был доступен задолго до появления вируса. Большая часть эксплойтов, кстати, делается наоборот - путем реверсинга официальных патчей - чтобы посмотреть, что за дыру они закрывают и как ее можно поюзать. | | |
| 154
- 05.05.2012 - 11:00
|
krotov - ссылку на реф внедрений Oracle/SAP давать? Видел я SAP на живом внедреже; в результате комплексной автоматизации - работа шла медленнее, отчеты генерировались часами вместо минут, а кол-во костылей в виде VBA/Delphi только увеличилось, просто стали отвечать за меньшие участки ввода данных. Плюс бюджет внедрения в 150 млн. руб. за 3 года 1998-2001 на 150 пользователей. За 3 года удалось ввести менее 1/3 функционала системы в эксплуатацию, до сих пор там: бухстатучет - в 1С, транспорт - в самописке, себестоимость - в Excel, уровень реализации MRPII - не без костылей. Бюджет к этому моменту мне неизвестен, но думаю до 300 млн. руб. дополз. Отрасль - нефтянка, Сибирь. В рефах они есть, но гордиться особо нечем. За это время добыча упала на 12%, разведка на 30%, выручка в ценах 2000-го - на 15%. Я не призываю делать все в Excel - но и палить из пушки по воробьям неэффективно. Разлетятся кто куда... ... А пишу я быстро, на форумы трачу максимум полчаса в день. В основном тихо читаю :-)) | | |
| 155
- 05.05.2012 - 11:31
| до сих пор там: бухстатучет - в 1С, транспорт - в самописке, себестоимость - в Excel, уровень реализации MRPII - не без костылей Причем тут SAP? Тут, как писал выше, IT рукоблудителей, поганой метлой надо... после дилительного анального насилия. | | |
| 156
- 05.05.2012 - 11:47
| krotov - так может быть вы ответите - почему администрация Мюнхена смогла перейти на СПО (Linux+OO), а администрация Майкопа - нет, с позором закупив ППО (Windows+MSO) на сумму, эквивалентную трети(!) годовых налоговых поступлений в городской бюджет??? И при этом не постеснявшись запиариться... | | |
| Модератор 157
- 05.05.2012 - 11:48
|
153-system32 > Потому что RH бывает только на серверах, http://www.redhat.com/products/enter...linux/desktop/ дальнейшие "мысли" обсуждать смысла не вижу, ибо они так же соответствуют действительности. (тут не могу удержаться): > случае получится, что после наката апдейта уязвимость исчезнет, но перестанет работать какой-нить хитрый принтер это называется "архитектура через жопу". > Большая часть эксплойтов, кстати, делается наоборот - путем реверсинга официальных патчей - чтобы посмотреть, что за дыру они закрывают и как ее можно поюзать. нашел за минуту: http://www.securitylab.ru/news/286753.php "Эксперты института SANS заявляют, что ко всем «залатанным» позавчера уязвимостям, кроме как в Excel, существуют эксплойты. Минимум 3 уязвимости Word остаются незакрытыми, для их использования в арсенале хакеров также есть эксплойты." И про такое я читал не один раз. | | |
| Модератор 158
- 05.05.2012 - 11:53
|
еще за минуту: http://www.securitylab.ru/analytics/395926.php понравилась фраза "Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения." http://www.securitylab.ru/analytics/382478.php "В период с 2006 по июль 2009 года было обнаружено 24 уязвимости нулевого дня. Из них 19 уязвимостей в продуктах Microsoft." http://habrahabr.ru/search/?q=[0-day]&target_type=posts это просто подборка про 0-day уязвимости. | | |
| 159
- 05.05.2012 - 11:55
| Отвечу для начала сам: видимо потому в Мюнхене взлетело, а в Майкопе нет - потому что верящих в то что "СПО иногда летает" - там больше. Наш форум - хорошее тому подтверждение. Любая неудача СПО выдается за тенденцию ("СПО не летает"). Любой же провал ППО - это "недостатки менеджмента, жмотье панов директоров и тупость персонала". Конечно, сетевики ваапщенипричем - они ведь тихо сидят в серверных, пьют пиво в свитерах и режутся в CS. Так было в Майкопе... | | |
| 160
- 05.05.2012 - 12:28
| Мюнхене взлетело, а в Майкопе нет - потому что верящих в то что "СПО иногда летает" - там больше. Чё за бред? | |
Интернет-форум Краснодарского края и Краснодара |
