История изменений
Исправление quiet_readonly, (текущая версия) :
пользователю вообще-то покласть на качество пакетов
Еще раз повторю - я рад за пользователей, которые наплевательски к этому относятся. Ради безопасности иногда приходится кое-чем жертвовать.
Стоило бы процитировать с продолжением:
пользователю вообще-то покласть на качество пакетов, если под качеством пакетов подразумевается лишь соответствие большинства из них дистрибутивным гайдлайнам «пишите rpmspec так, а не эдак».
Пользователю нужны не шашечки, ему ехать. И если говорить о десктопном линуксе, то здесь безопасность означает только одно - сохранение пользовательских данных. Каким образом дистрибутивные гайдлайны борются за это? Может они проверяют, умеет ли софтина сохранять установленный пользователем размер колонок таблицы между запусками? Нет. Может они проверяют, использует ли программа автосохранение данных в своём хранилище и восстановит ли она их после креша? Нет. Они заботятся ни о чём, о том чтобы сделанные другими людьми (из РедХета, скажем) исправления безопасности в системной библиотеке достигли программы, в которой эта уязвимость не проявляется. Программы, которая вообще не работает с данными из сети через небезопасную библиотеку и не имеет прав рута при всех вариантах использования.
Но раз такое дело, и о безопасности ментейнеры героически заботятся, то надо писать на их поделках крупными буквами - «абсолютно не для десктопа, используйте на серверах».
Если же для десктопа, то я не пойму - что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети? И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?
Исходная версия quiet_readonly, :
пользователю вообще-то покласть на качество пакетов
Еще раз повторю - я рад за пользователей, которые наплевательски к этому относятся. Ради безопасности иногда приходится кое-чем жертвовать.
Стоило бы процитировать с продолжением:
пользователю вообще-то покласть на качество пакетов, если под качеством пакетов подразумевается лишь соответствие большинства из них дистрибутивным гайдлайнам «пишите rpmspec так, а не эдак».
Пользователю нужны не шашечки, ему ехать. И если говорить о десктопном линуксе, то здесь безопасность означает только одно - сохранение пользовательских данных. Каким образом дистрибутивные гайдлайны борются за это? Может они проверяют, умеет ли софтина сохранять установленный пользователем размер колонок таблицы между запусками? Нет. Может они проверяют, использует ли программа автосохранение данных в своём хранилище и восстановит ли она их после креша? Нет. Они заботятся ни о чём, о том чтобы сделанные другими людьми (из РедХета, скажем) исправления безопасности в системной библиотеке достигли программы, в которой эта уязвимость не проявляется. Программы, которая вообще не работает с данными из сети через небезопасную библиотеку и не имеет прав рута в любом качестве.
Но раз такое дело, и о безопасности ментейнеры героически заботятся, то надо писать на их поделках крупными буквами - «абсолютно не для десктопа, используйте на серверах».
Если же для десктопа, то я не пойму - что там небезопасного в статически вкомпиленном декодере mp3, читающем музычку с диска, а не из сети? И почему именно гентушники/слаковцы/авторы ещё одного стопятидесятого дистра считают, что именно они смогут вовремя наложить нужные патчи, а не редхет + дебиан?