BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2009/08/04.html

Локальное повышение привилегий в ядрах всех Линуксов
dl // 14.08.09 02:08
Если точнее, затрагивает все ядра 2.4 и 2.6, восходя аж к 2001 году.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/08/04.html]
Связано с тем, что ряд функций ядра, наподобие sock_sendpage, не занимается проверкой полученного указателя на NULL, полагаясь на то, что соответствующие указатели будут корректно проинициализированы в обертках - таких как sock_no_sendpage. Однако в случае с sock_sendpage ошибка в макросе SOCKOPS_WRAP все же может привести к передаче в функцию нулевого указателя. Что и приводит к возможности внедрения кода, выполняющегося с правами ядра - достаточно положить его в нулевую страницу памяти. Патч уже доступен.

Замечу, что сама возможность подобного лихого обращения с нулевыми указателями в современной ОС вызывает некоторое недоумение - к примеру, в архитектуре Win32/64 подобные плюхи принципиально невозможны по причине блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).

Источник: cr0 blog    
теги: linux, retro  |  предложить новость  |  обсудить  |  все отзывы (24) [9312]
назад «  » вперед

аналогичные материалы
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
50 лет Ethernet // 22.05.23 18:51
Линуксовый ботнет, распространяющийся с помощью краденых ssh-ключей // 19.06.22 00:37
50 лет электронной почте // 02.10.21 00:00
Очередной юбилей Linux // 25.08.21 14:56
HP закрыла 16-летнюю уязвимость в драйверах принтеров // 20.07.21 15:14
Microsoft начинает тестирование Linux GUI-приложений под Windows // 21.04.21 21:21
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

В linux это тоже невозможно. 14.08.09 17:19  
Автор: aLEXt <Alex Trusty> Статус: Member
<"чистая" ссылка>
Если факты противоречат религиозным убеждениям, то ну их нафиг эти факты 14.08.09 20:41  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
goto securityfocus, secunia, etc.
Поиск по линуксу выдает практически ровно в 10 раз больше всяческих предупреждений безопасности, чем по винде.
но ведь тут каким-то образом проявилось 14.08.09 17:50  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Причем не просто с вылетом, как это было бы при запрете доступа, а именно с escalation. Опять же и патч Линус зачем-то выпустил.
Решето! Винда и то в таких местах продуманей. 14.08.09 12:20  
Автор: &nbsp; Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да, но там этих мест больше. 15.08.09 07:42  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
В плане обеспечения безопасности сначала - снижение количества сущностей, а уж потом - обеспечение надежности оставшихся. Дверь, которой нет - не взломают, и в замурованное окно - не залезут.
Надо же. Ты еще и в линупсе искперт. 15.08.09 07:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> В плане обеспечения безопасности сначала - снижение
> количества сущностей, а уж потом - обеспечение надежности
> оставшихся. Дверь, которой нет - не взломают, и в
> замурованное окно - не залезут.
И еще в методологии разработки ПО. Ты мой кумир
Я эксперт по маразму. 15.08.09 10:40  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Для того, чтобы лечить от маразма музыканта или летчика не надо быть экспертом ни в музыке ни в авиации. Достаточно быть экспертом по маразму.

Неужели вы не видите, что мы создали цивилизацию с надежностью карточного домика? Переизбыток сущностей и взаимосвязей между ними сделал отказоустойчивость практически нулевой, а диагностику причин отказа - практически не возможной. Какая разница - Линух или Мастдай, причина ненадежности одна. Линух лучше тем, что у него ГУЙ и прочие прибамбасы не интегрированы в ядро и могут быть откручены (Тока, кто же их откручивает-то!), а хуже - неудобством настройки для неграмотного юзверя. Почему я и предпочитаю безгуёвый Юникс в качестве серверной платформы, что он проще всего. Кстати, вот и банки, то же, Солярочку предпочитают. К чему бы это?

Избыточный Мастдай был бы вполне допустим в качестве чисто-пользовательской рабочей станции, если бы его разработчики не заморачивались вопросами безопасности, а только устойчивости системы, а всю безопасность делегировали специализированным внешним устройствам и системам. Но попытка скрестить ужа с ежом приводит к тому, что юзверь просто путается во всех "безопасных" наворотах и делает еще хуже себе и другим. Впрочем, и Пингвины страдают тем же...
Купи Windows Server Core и получай удовольствие от... 15.08.09 12:45  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
> Для того, чтобы лечить от маразма музыканта или летчика не
> надо быть экспертом ни в музыке ни в авиации. Достаточно
> быть экспертом по маразму.
>
> Неужели вы не видите, что мы создали цивилизацию с
> надежностью карточного домика? Переизбыток сущностей и
> взаимосвязей между ними сделал отказоустойчивость
> практически нулевой, а диагностику причин отказа -
> практически не возможной. Какая разница - Линух или
> Мастдай, причина ненадежности одна. Линух лучше тем, что у
> него ГУЙ и прочие прибамбасы не интегрированы в ядро и
> могут быть откручены (Тока, кто же их откручивает-то!), а
> хуже - неудобством настройки для неграмотного юзверя.

Купи Windows Server Core и получай удовольствие от отсутствия ГУЯ! :))
Если сможешь...

> Почему я и предпочитаю безгуёвый Юникс в качестве серверной
> платформы, что он проще всего. Кстати, вот и банки, то же,
> Солярочку предпочитают. К чему бы это?

Что ты понимаешь под словом "проще"? Проще для пользователя, который должен хотябы знать о существовании команды man? :))
Ты не перестаешь меня удивлять.

> Избыточный Мастдай был бы вполне допустим в качестве
> чисто-пользовательской рабочей станции, если бы его
> разработчики не заморачивались вопросами безопасности, а
> только устойчивости системы, а всю безопасность
> делегировали специализированным внешним устройствам и
> системам.

Как же ты себе это представляешь?

> Но попытка скрестить ужа с ежом приводит к тому,
> что юзверь просто путается во всех "безопасных" наворотах и
> делает еще хуже себе и другим. Впрочем, и Пингвины страдают
> тем же...

Например?
Действительно, зачем просто и дешево, если можно дорого и... 15.08.09 13:41  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>

> Купи Windows Server Core и получай удовольствие от
> отсутствия ГУЯ! :))
> Если сможешь...

Действительно, зачем просто и дешево, если можно дорого и сложно? Для этого, вообще-то есть совершенно бесплатная ФРЯ.

> Что ты понимаешь под словом "проще"? Проще для
> пользователя, который должен хотябы знать о существовании
> команды man? :))

Пользователь и безопасность - вещи не совместимые. Безопасным может только недопущение пользователя в открытую сеть и защита его от этой самой сети профессионалом. Я еще ни разу не встречал юзверя, сидящего в открытом Интернете, на компе которого не паслось бы целое стадо вирей и адварей. Безопасность тождественна профессионализму. И - только.

> > только устойчивости системы, а всю безопасность
> > делегировали специализированным внешним устройствам и
> > системам.

Я уже сказал, как: как минимум, Циска в качестве файрвола, настроенная спецом, естесственно. Прокся на Юниксе, Кэш Энджайн, Пикс. Для хранения данных - Сторадж, типа Симметрикса, на крайняк - встраиваемый РЭИД, при условии, естессно, что система с прогами и данные - на разных дисках.

> Пингвины
> страдают
> > тем же...
>
> Например?

Чего например? Вся Сеть знает, что 90% взломов - следствие кривых рук админа. Но тут, как я уже сказал, ест только 2 средства защиты - знания и аккуратность. Остальное - утопия и развод.
"Просто и дешево" ? Хорошая шутка!!! :) [upd] 16.08.09 16:48  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 16.08.09 17:02  Количество правок: 2
<"чистая" ссылка>
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.

"Просто и дешево" ? Хорошая шутка!!! :)
Давай-ка посчитаем, сколько нужно времени и знаний, чтобы поставить и сконфигурировать на FreeBSD хотябы следующие службы: AD, DNS(AD itegrated), SMB
по сравнению с тем же набором в Windows Server 2008? Я уж не говорю про сервер обновлений, распространение политик безопасности, конфигурирование X'ов и пр...
И как ты думаешь, где эти службы будут стабильнее работать?

> > Что ты понимаешь под словом "проще"? Проще для
> > пользователя, который должен хотябы знать о
> существовании
> > команды man? :))
>
> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом.

Странное понимаение безопасности.
Ты понятия не имеешь о том, что безопасность всей локальной сети определяется не безопасностью перимерта, а безопасностью самого слабого узла сети.

> Я еще ни разу не встречал юзверя, сидящего
> в открытом Интернете, на компе которого не
> паслось бы целое стадо вирей и адварей.

Зато я встречал. Сам таким пользователям софт настраивал. И если эти пользователи следовали моим рекомендациям, то проблем с вирусами не возникало.

> Безопасность тождественна профессионализму.
> И - только.

Конечно! И в первую очередь тождественна профессионализму разработчиков.

> Я уже сказал, как: как минимум, Циска в качестве файрвола,
> настроенная спецом, естесственно.

А как максимум? :)

> Прокся на Юниксе, КэшЭнджайн, Пикс.
> Для хранения данных - Сторадж, типа
> Симметрикса, на крайняк - встраиваемый РЭИД, при условии,
> естессно, что система с прогами и данные - на разных
> дисках.

Ага! А еще загрузка рабочих станций по сети для "экономии средств на ЖД", оптика по всему офису с коммутатором Cisco... Так?!
Посчитай конечную стоимость и доступность этого решения для сегмента малого и среднего бизнеса.

> > Пингвины
> > страдают
> > > тем же...
> >
> > Например?
>
> Чего например? Вся Сеть знает, что 90% взломов - следствие
> кривых рук админа. Но тут, как я уже сказал, ест только 2
> средства защиты - знания и аккуратность. Остальное - утопия
> и развод.

Ошибаешься! По статистике, б`ольшая часть взломов, следствие ошибочного выбора набора ПО и использования непропатченного ПО.
При наличии знаний - одинаково. Без наличия знаний - нех... 16.08.09 19:19  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> "Просто и дешево" ? Хорошая шутка!!! :)
> Давай-ка посчитаем, сколько нужно времени и знаний, чтобы
> поставить и сконфигурировать на FreeBSD хотябы следующие
> службы: AD, DNS(AD itegrated), SMB

При наличии знаний - одинаково. Без наличия знаний - нех. лезть.

> по сравнению с тем же набором в Windows Server 2008? Я уж
> не говорю про сервер обновлений, распространение политик
> безопасности, конфигурирование X'ов и пр...
> И как ты думаешь, где эти службы будут стабильнее работать?

А зачем им, вообще работать? Обновления ламеры должны получать из рук админа. За файрволом в корпоративной сети все "политики" дожны рулиться Каталистами С ВЛанами, маршрутизацией и фильтрацией между подсетками. Если же фирма девелоперская, то там все "сами с усами", а всякие среды разработки, типа Симатика, например, вынуждают городить внутри группы такие политики, которые не совместимы ни с чем и ни с кем (тока-что этой дряни накушался до бровей). Так, что вся эта централизация ничего, кроме гимороя не даст.

> Странное понимаение безопасности.
> Ты понятия не имеешь о том, что безопасность всей локальной
> сети определяется не безопасностью перимерта, а
> безопасностью самого слабого узла сети.

Самый слабый узел сети - мозги идиота, а их - не запатчишь. Так, что, либо периметр и кусачие админы, либо - привязка юзверя к порту свича и фильтрация. Естессно, всякий прямой обмен между станциями должен быт запрещен - только общий файл-сервер и все результаты работы - только на нем.

>
> > Я еще ни разу не встречал юзверя, сидящего
> > в открытом Интернете, на компе которого не
> > паслось бы целое стадо вирей и адварей.
>
> Зато я встречал. Сам таким пользователям софт настраивал. И
> если эти пользователи следовали моим рекомендациям, то
> проблем с вирусами не возникало.

Знаешь, это уже не юзверь, если он рекомендациям следует и, главное, знает, как им следовать.

> > Безопасность тождественна профессионализму.
> > И - только.
>
> Конечно! И в первую очередь тождественна профессионализму
> разработчиков.

Только потребителя. Иначе, ограничения, встроенные в систему будут противоречить Правам Человека. Вообще, дожен быть принцип: Каждое юридическое/физическое лицо в сети само и только само ответственно за свою безопасность. Всякая централизованная безопасность либо - невозможна, либо - насильственна. В фирме насильственная безопасность правомерна, а дома - и не допустима и не возможна.

>
> > Я уже сказал, как: как минимум, Циска в качестве
> файрвола,
> > настроенная спецом, естесственно.
>
> А как максимум? :)

Как максимум - сети с ответственной инфой, вообще, в Инет не пускать. А для работы и чтобы себе всякие "дырочки" в Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так модемы из дома не тащит и друзьям там Инет не раздает тока ленивый и совсем тупой), Ставить отдельные компы в Сети: скачал, записал на флешку, предъявил админу.
>
> > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > Для хранения данных - Сторадж, типа
> > Симметрикса, на крайняк - встраиваемый РЭИД, при
> условии,
> > естессно, что система с прогами и данные - на разных
> > дисках.
>
> Ага! А еще загрузка рабочих станций по сети для "экономии
> средств на ЖД", оптика по всему офису с коммутатором
> Cisco... Так?!

Если нужна скорость и безопасность, то только так. Кстати, Симметрикс, для которого я некогда писал компаненты оптимизатора трафика и размещения данных, на полном серьезе доказывает, что централизованный сторадж с бездисковыми станциями экономически эффективнее.

> Посчитай конечную стоимость и доступность этого решения для
> сегмента малого и среднего бизнеса.

Нашему малому бизнесу никакая безопасностьне доступна ни - по уму, ни - по деньгам

> Ошибаешься! По статистике, б`ольшая часть взломов,
> следствие ошибочного выбора набора ПО и использования
> непропатченного ПО.

А что это, если не глупость и неаккуратность?!
Ну конечно! :)) 16.08.09 22:52  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:41  Количество правок: 1
<"чистая" ссылка>
> > "Просто и дешево" ? Хорошая шутка!!! :)
> > Давай-ка посчитаем, сколько нужно времени и знаний,
> чтобы
> > поставить и сконфигурировать на FreeBSD хотябы
> следующие
> > службы: AD, DNS(AD itegrated), SMB
>
> При наличии знаний - одинаково. Без наличия знаний - нех.
> лезть.

Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.

Все еще "одинаково"?

> > по сравнению с тем же набором в Windows Server 2008? Я
> уж
> > не говорю про сервер обновлений, распространение
> политик
> > безопасности, конфигурирование X'ов и пр...
> > И как ты думаешь, где эти службы будут стабильнее
> работать?
>
> А зачем им, вообще работать? Обновления ламеры должны
> получать из рук админа.

Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.

> За файрволом в корпоративной сети все "политики"
> дожны рулиться Каталистами С ВЛанами,
> маршрутизацией и фильтрацией между подсетками.

Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.

> Если же фирма девелоперская, то там все "сами с усами",
> а всякие среды разработки, типа Симатика, например,
> вынуждают городить внутри группы такие политики,
> которые не совместимы ни с чем и ни с кем (тока-что
> этой дряни накушался до бровей). Так, что вся эта
> централизация ничего, кроме гимороя не даст.

Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".

> > Странное понимаение безопасности.
> > Ты понятия не имеешь о том, что безопасность всей
> локальной
> > сети определяется не безопасностью перимерта, а
> > безопасностью самого слабого узла сети.
>
> Самый слабый узел сети - мозги идиота, а их - не запатчишь.
> Так, что, либо периметр и кусачие админы, либо - привязка
> юзверя к порту свича и фильтрация. Естессно, всякий прямой
> обмен между станциями должен быт запрещен - только общий
> файл-сервер и все результаты работы - только на нем.

Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?

> > > Я еще ни разу не встречал юзверя, сидящего
> > > в открытом Интернете, на компе которого не
> > > паслось бы целое стадо вирей и адварей.
> >
> > Зато я встречал. Сам таким пользователям софт
> настраивал. И
> > если эти пользователи следовали моим рекомендациям, то
> > проблем с вирусами не возникало.
>
> Знаешь, это уже не юзверь, если он рекомендациям следует и,
> главное, знает, как им следовать.

А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.

Ты в тайге совсем одичал. ;)

> > > Безопасность тождественна профессионализму.
> > > И - только.
> >
> > Конечно! И в первую очередь тождественна
> профессионализму
> > разработчиков.
>
> Только потребителя. Иначе, ограничения, встроенные в
> систему будут противоречить Правам Человека. Вообще, дожен
> быть принцип: Каждое юридическое/физическое лицо в сети
> само и только само ответственно за свою безопасность.
> Всякая централизованная безопасность либо - невозможна,
> либо - насильственна. В фирме насильственная безопасность
> правомерна, а дома - и не допустима и не возможна.

Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.

> Как максимум - сети с ответственной инфой, вообще, в Инет
> не пускать. А для работы и чтобы себе всякие "дырочки" в
> Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так
> модемы из дома не тащит и друзьям там Инет не раздает тока
> ленивый и совсем тупой), Ставить отдельные компы в Сети:
> скачал, записал на флешку, предъявил админу.

На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.

> > > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > > Для хранения данных - Сторадж, типа
> > > Симметрикса, на крайняк - встраиваемый РЭИД, при
> > условии,
> > > естессно, что система с прогами и данные - на
> разных
> > > дисках.
> >
> > Ага! А еще загрузка рабочих станций по сети для
> "экономии
> > средств на ЖД", оптика по всему офису с коммутатором
> > Cisco... Так?!
>
> Если нужна скорость и безопасность, то только так. Кстати,
> Симметрикс, для которого я некогда писал компаненты
> оптимизатора трафика и размещения данных, на полном серьезе
> доказывает, что централизованный сторадж с бездисковыми
> станциями экономически эффективнее.

Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...

> > Посчитай конечную стоимость и доступность этого
> решения для
> > сегмента малого и среднего бизнеса.
>
> Нашему малому бизнесу никакая безопасностьне доступна ни -
> по уму, ни - по деньгам

С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?

> > Ошибаешься! По статистике, б`ольшая часть взломов,
> > следствие ошибочного выбора набора ПО и использования
> > непропатченного ПО.
>
> А что это, если не глупость и неаккуратность?!

Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
Так я уже 5й год - не админ. А когда админю - написал... 17.08.09 05:35  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> Ну конечно! :))
> Ты на вскидку даже не вспомнишь как называется дистрибутив
> подобия AD для *nix систем - в инете будешь лопатить.

Так я уже 5й год - не админ. А когда админю - написал типовую схему, а от нее - тока конкретные вариации. В древности люди БЭСМ на АСМе кодили и - ничего, быстро: понаписали готовых процедур на все случаи жизни и из них лепили.

> > А зачем им, вообще работать?

Вот именно, работать, а не фигней страдать. Чего ему обновлять, если кроме 1Ски ему на рабочем месте ничего не положено? Разнообразный софт юзают тока кодеры или НИИ, но там безопасность либо такая:
> > За файрволом в корпоративной сети все "политики"
> > дожны рулиться Каталистами С ВЛанами,
> > маршрутизацией и фильтрацией между подсетками.
Либо - никакая.

> Ты очень узко понимаешь определение "политика" - забываешь
> про политики безопасности и доступа к ресурсам локальной
> сети: (почтовые, файловые, БД службы, службы удаленного
> доступа),

Это все решается на конкретных серверах. Например, группы формируются, как ВЛаны, обмен между ними - через файл-сервер.

политики паролей, аудита, настройки и
> разрешения/запреты запуска программ и служб на рабочих
> станциях и т.д.

Ненужных програм на рабочих станциях быть не должно, средств занести их туда - то же.

>
> > Если же фирма девелоперская, то там все "сами с
> усами",
> > а всякие среды разработки, типа Симатика, например,
> > вынуждают городить внутри группы такие политики,
> > которые не совместимы ни с чем и ни с кем (тока-что
> > этой дряни накушался до бровей). Так, что вся эта
> > централизация ничего, кроме гимороя не даст.
>
> Смысл политик как раз в централизованном автоматическом
> распространении на узлы локальной сети, в противном случае,
> теряется сам смысл поняти "политика". Проблемы
> несовместимости ПО, мало коррелируются с "политикой".

Так я и говорю, что поскоку фирмовый софт противоречит друг-другу, это не получится!

> Никакой периметр не спасет от атаки изнутри, или подсадки
> через инет обозреватель вредоносного кода.

Это - чисто админстративная проблема. Досмотр, пломбирование портов и драйвов, штрафы, увольнение, суд.

> Сколько стоит управляемый коммутратор, ограничивающий обмен
> между портами, против неуправляемого? Бюджетное решение?

Есть чего скрывать - найдутся и деньги на это. Нет денег - значит инфа не стоит безопасности. Если директор хочет сэкономить на этом, вариант один - самому стать спецом по безопасности и держать все на своем компе.

> А кто? Системный администратор?

Какая разница, как называется зверь, главное - редкий.

> Не вижу большой разницы между домашним и корпоративным
> пользователем, тем более, что при современном развитии
> технологий граница "корпоративный-домашний" размывается все
> больше и больше.

Домашнему пользователю нельза говорить "низзя", корпоративному - нужно.


> Ты в тайге совсем одичал. ;)

Тут осознание безопасности очень четкое: сам не позаботился - живым не вернулся. А детей одних в лес не пускают.

> На ЖД, как и во многих гос.корпорациях, нормальные
> корпоративные политики либо отсутствуют, либо принципиально
> не исполняются никем, как раз по причине кумовства. Для
> нормальных организаций корпоративные политики запрещают
> отношения "начальник-подчиненный" для родственников.

И где-ж это такие "нормальные" есть? И эффективны ли они?

> Можешь представить расчет экономической целесообразности и
> сроках окупаемости (с учетом стоимости эксплуатации)
> данного решения для 10, 20, 30 рабочих станций в локальной
> сети? Сильно сомневаюсь...

А заплатить мне за это $1000, этак, можешь? Базар-базаром, а работа - тока за деньги.

> С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?

Я знаком с хозяевами. Ни один хозяин не согласится с ограничениями, налагаемыми посторонним лицом: "Как же так, я порнуху качать не буду?".

> Глупо и неаккуратно использовать нелицензионное
> ПО и таким образом ограничивать его безопасность.

Да? А кто мне докажет, что в сем ПО нет закладок? ФСБ? И попутно еще пару туда засунет? Нет, ради моей безопасности - тока опенсорс!
Просто и дешево, лол 16.08.09 07:49  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Действительно, зачем просто и дешево, если можно дорого и
> сложно? Для этого, вообще-то есть совершенно бесплатная
> ФРЯ.
Фря кстати, чуть получше линупса (хотя тяжелое позиксовое наследие дает о себе знать), но все равно "Линукс бесплатен только для тех, чье время бесплатно". До некоторой степени это относится и к фре

> Пользователь и безопасность - вещи не совместимые.
> Безопасным может только недопущение пользователя в открытую
> сеть и защита его от этой самой сети профессионалом. Я еще
> ни разу не встречал юзверя, сидящего в открытом Интернете,
> на компе которого не паслось бы целое стадо вирей и
> адварей. Безопасность тождественна профессионализму. И -
> только.
Я встречал. В подавляющем большинстве случаев достаточно регулярных апдейтов (то есть дефолтные настройки). Если еще и антивирус стоит да файрвол включен, да UAC...
Ну разве что иксперт. Потому как на эксперта не тянешь вообще. Ни в одном вопросе, который я "имел счастье" с тобой обсуждать 15.08.09 10:48  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 15.08.09 13:12  Количество правок: 1
<"чистая" ссылка>
"Пацаны во дворе сказали, дриста - говно, @$а". И если школьники, которые несут неаргументированную чушь еще могут повзрослеть, то для тебя уже все слишком поздно.
Причем здесь пацаны? 15.08.09 14:08  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Если уж у меня нет потребности переходить на Дристу, я, даже, вообразить не могу, зачем мне это может понадобиться, то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку постабильней, чем 2к, зато в штатном "ламерском" варианте это сплошное тормозило. Кто не знает, как отключить восстановление системы, тот удавится нах. Ну что не грамотному юзверю может дать Дриста, кроме гимороя с освоением новой системы? Другую цветовую гамму на столе и менюхи не там, где он привык?

Ты пойми - всякое потребление идет от потребности! А все потребности и ХР удовлетворяет полностью.

А повод для злости уменя, между прочим, чисто шкурный: Дриста, Нет и Шарп сделали меня безработным. Теперь мне надо потратить уйму времени и средств не изучение глубоко мне омерзительных и, при этом, абсолютно бесполезных вещей, хотя я вполне в состоянии удовлетворить все мыслимые запросы любого заказчика на обычном С++, но он, видите ли, "вышел из моды"!
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два... 16.08.09 04:00  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Если уж у меня нет потребности переходить на Дристу, я,
> даже, вообразить не могу, зачем мне это может понадобиться,
Подожди, ты ж не знаешь ни той ни другой. У тебя есть два варианта:
1. Положиться на мнение более грамотных товарищей и поставить таки новую ВЕРСИЮ той же ОС.
2. Оставаться на чем угодно - хоть на линупсе - но воздержаться от оценочных суждений по вопросам, в которых ты не разбираешься.

> то у ламеров - и подавно. Ну, ладно - ХР, вроде бы, чуточку
> постабильней, чем 2к, зато в штатном "ламерском" варианте
> это сплошное тормозило.
2к в штатном "ламерском" варианте просто не запускало две трети игрушек. XP была МЕДЛЕННЕЕ тукея (тукей медленнее 98-й, а 98-я медленее DOS-а) но при этом нормально запускала все игрушки, и была нормально

> Кто не знает, как отключить восстановление системы, тот удавится нах.
О, "твики" пошли. Ну расскажи зачем же отключать восстановление системы :-)

> Ну что неграмотному юзверю может дать Дриста, кроме гимороя с
> освоением новой системы? Другую цветовую гамму на столе и
> менюхи не там, где он привык?
UAC/UIPI? Новый NDIS с WFP (процентов 80 виденных мной багчеков на юзерских машинах были вызваны упавшим файрволом или антивирусом)? UMDF (остальные 20 - упавшим видеодрайвером)? KTM (напрямую пользователь от этого выиграть не может, но к примеру можно начать инсталляцию в транзакции и в случае ошибки начисто откатить все изменения)? И еще десятки других фич, от которых пользователь получает профит либо напрямую, либо косвенно - через обеспечение более удобных интерфейсов для программистов, которые пишут под эту платформу и соответственно дают на выходе более качественный код.

Но раз пацаны тебе говорят говно, значит говно - хули

> Ты пойми - всякое потребление идет от потребности! А все
> потребности и ХР удовлетворяет полностью.
Да я знаю, что для тебя любые технологии моложе 15 лет - происки сатаны. Переубеждать тебя я не хочу, но был бы весьма признателен, если бы ты держал свое профанское мнение при себе.

> А повод для злости уменя, между прочим, чисто шкурный:
> Дриста, Нет и Шарп сделали меня безработным. Теперь мне
> надо потратить уйму времени и средств не изучение глубоко
А почему они не сделали безработным меня? Может попробуешь поискать причину еще раз?

> мне омерзительных и, при этом, абсолютно бесполезных вещей,
> хотя я вполне в состоянии удовлетворить все мыслимые
> запросы любого заказчика на обычном С++, но он, видите ли,
> "вышел из моды"!
Из моды, говоришь? http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
На плюсах можно писать хорошо, но для этого таки надо уметь это делать.
Восторгов по поводу .net я не разделяю, но настроен по поводу него гораздо менее скептически, чем несколько лет назад. Я бы с удовольствием писал на чем нибудь типа схемы, и оптимизировал боттлнеки вручную на C++/C/asm. Если бы этой самой схемы была такой же полноты class library и такой же уровень внедрения как у шарпа. Шарп же мне особо не дает преимуществ перед плюсами, но при этом таки тормозит (что бы там ни утверждали евангелисты). Только поэтому я на нем и не пишу, а не по каким то религиозным мотивам.
Спец должен быть грамотным, и тогда его никто не будет нагибать -- вон, Amirul сидит на Ц/Цпп под вендой, и никто его на шарп пересаживать не собираиццо ;) 15.08.09 16:11  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Я его компетентность не оспариваю 15.08.09 18:22  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Тока, у него немного больше возможностей для выбора.
А, кроме того, возможности для выбора в результате появления всяких новых ненужностей, все равно, сильно сократились. Потребитель туп, он требует не того, что нужно и достаточно, а того, что модно. И хрен ему что докажешь - кто платит, тот и заказывает музыку. Всеми этими "новомодностями" самим же себе дорогу перекрываем. Вместо опытных и квалифицированных кодеров вперед пролазят молокососы, едва освоившие новомодную фигню, но хорошо научившиеся вешать клиенту лапшу. Еще немного, и придется, и правда, сваливать на Линух...
Сваливать на линух? Да скатертью дорога 16.08.09 04:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Там как раз некомпетентная воинственность в почете
Ну, уж... Чего-чего, а ламеров вокруг Линукса куда меньше, потому они и заметны 16.08.09 04:38  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Другое дело, что я не только кодер, но и юзер, причем, я сильно не горю желанием осваивать какую-нить новую "кривизну" вместо той, к которой я уже привык после того, как потратил на ее освоение 10 лет, а ни АКАДа, ни Земакса ни Фотошопа там нет...
Срсли? Поставил убунту и экспа автоматом удваивается 16.08.09 07:52  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
http://www.h-online.com/open/FSF-launch-GNU-Generation--/news/113992
Приглашают школьников 13-18 лет побыдлокодить для ГНУ.
А под МД кому не лень не быдлокодит? 16.08.09 08:20  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Для того, чтобы @$унту поставить, все таки нужно некоторое количество мозгов и решимости...
О, да! @$унту отличное решение для рядового пользователя!!! :) 16.08.09 16:55  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.08.09 00:13  Количество правок: 1
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach