LINUX.ORG.RU

Крутая дискуссия


0

0

Недавно пошла очень мощная дискуссия на LKML по поводу создания security only mailing list'a для ядра. Высказываются разные мнения по поводу "открытости" подобной рассылки, а также целесообоазности её создания. Довольно интересное чтиво, особенно радуют высказывания некоторых участников.
Alan Cox:
"Given that base 2.6 kernels are shipped by Linus with known unfixed security holes anyone trying to use them really should be doing some careful thinking. In truth no 2.6 released kernel is suitable for anything but beta testing until you add a few patches anyway.

2.6.9 for example went out with known holes and broken AX.25 (known). 2.6.10 went out with the known holes mostly fixed but memory corrupting bugs, AX.25 still broken and the wrong fix applied for the smb holes so SMB doesn't work on it".

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от orb

Мне показалось что Алан сильно наезжает на Линуса почти в каждом посте - между ними конфликт ? или это их нормальный стиль общения ?

anonymous
()

Т.е. ядро выходит заведомо с непофиксенными дырами, лишь бы успеть туда включить новые функциональные фичи?

Если Алан говорит правду, то простите за оффтопик, но это же значит, что уже скатились до чисто майкрософтовского подхода.

anonymous
()
Ответ на: комментарий от anonymous

> Если Алан говорит правду, то простите за оффтопик, но это же

> значит, что уже скатились до чисто майкрософтовского подхода.

А откуда Вы знаете, как подходят к разработке программисты майкрософта? Откуда информация? Или это просто Вам так кажется?

l0gin
()
Ответ на: комментарий от anonymous

Что значит "включить фичи?". Ерунда какая-то. Для коммерческой компании это имеет смысл: "о, у нас есть это, а у конкурентов нет!". Для ядра смысла гнаться за фичей нет.

Как я понял из чтения по ссылке, Линус из принципа не читает vendor-sec. (и вероятно правильно делает.)

anonymous
()
Ответ на: комментарий от l0gin

Программисты мелкософта? Они вообще никак не подходят, потому что они пишут, что им говорят.

А говорят "trusted computing", "DRM" :))

[надеюсь посетители LOR знакомы с этими зверями]

anonymous
()
Ответ на: комментарий от anonymous

> Программисты мелкософта? Они вообще никак не подходят,

> потому что они пишут, что им говорят.

Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

l0gin
()
Ответ на: комментарий от l0gin

Мне лень искать, два-три дня назад было интервью Билла Гейтса, проскакивало по всем новостям.

Ну вот он и ляпнул, что вместо софта, в котором нет багов, мы будем делать "trusted computing". Звучало это типа "..that's why we beleive that Trusted Computing is important".

На slashdot'е уже новая идиотская шутка появилась, которая стабильно становится +5 Funny, звучит так "But is it digitaly signed?!".

В общем, что говорит БГ, то и пишут его программисты.

Достаточно надежный источник?

anonymous
()
Ответ на: комментарий от anonymous

> В общем, что говорит БГ, то и пишут его программисты.

Вывод необоснован

anonymous
()
Ответ на: комментарий от anonymous

про трастворт компьютинг они еще до эпидемии бластера свистели. это у них с балмером вроде пионерской походной песенки.

anonymous
()
Ответ на: комментарий от anonymous

> Мне лень искать, два-три дня назад было интервью Билла Гейтса

> Достаточно надежный источник?

Нет.

l0gin
()
Ответ на: комментарий от l0gin

Шо ты прицепился?!
Шоб ты так жил как они пишут програмы!

Мне знакомый рассказывал (он работает на мелкософт, живёт в штатах)
как там пишут программы: и дёт самоё крутое распределение задачи, "100" человек раюотают над программой, каждый реализует что-то очень маленькое и ему в этой жизни на всё другое наплевать, всю эту пое%ень собирает главный поц!

Попробуй в штатах убедить баклана-программиста мелкософта (ну и других конечно компаний), шо надо думать не только как забацать своё задание, но и о глобальных проблемах думать, а им плевать, в трудовом договоре
это не указано, а еслишо, то и в суд можно ... прибыльно это очень!

И не хер трындеть о приуменьшаемой всеми никсоидами тупости винды!
Посмотрите историю!!! и сделайте выводы!
отбросте все нелицензионные версии винды!
Один только вклад никсов в образование/самообразование чего стоит!!!

>Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

Шо ты хочешь???
Почитай их книгу "Безопасное программирование" или как там? подзабыл!
Там ещё цитата БГ на ней!
Там всё написано!
И книга толковая, то сама их (МС) система - говно!

anonymous
()
Ответ на: комментарий от anonymous

Алан говорит правду, как линуксойдам не печально. Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

orb
()
Ответ на: комментарий от orb

Конечно правильно говорит!!!

Надо шота делать!

Однозначно!

anonymous
()
Ответ на: комментарий от orb

>Алан говорит правду, как линуксойдам не печально. Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

На самом деле, уже бы давно кучу бабок у народа напопрошайничал, а тут приходится латать дырявый линакс :)

chucha ★★★☆
()

А кстати, о дистрибных ядрах. Знает тут кто-нибудь, есть ли принципиальные отличия ядер FC от SuSE. А то есть один частично открытый (чтобы им провалиться) драйвер, который под SuSE фурычит на ура, а под FC разваливается либо сразу, либо под нагрузкой. Те фиксы, которые SuSE непосредственно для этой подсистемы внесла, я уже посмотрел, дело не в них. Осталось просмотреть остальные 35M патчей.

Но может, кто знает какое глобальное отличие, которое я упустил? Devfs тут тоже не причем.

alt-x ★★★★★
()
Ответ на: комментарий от anonymous

> Шо ты прицепился?!

Хочу знать источник сведений, которые мне предоставляют.

> Мне знакомый рассказывал

> Посмотрите историю!!! и сделайте выводы!

> Почитай их книгу "Безопасное программирование" или как > там? подзабыл!

Всё ещё недостаточно достоверный источник. Так *откуда* сведения о том, как пишут программы в Microsoft?

l0gin
()
Ответ на: комментарий от anonymous

Хрен, с ним, с оффтопиком. Но кажется в ядре действительно так? Надо включать поддержку новых ФС, нового железа и т.д., при этом можно выпускать ядро не проверив как следует security и даже с заведомо неисправленными дырками? А инфу о них придерживать на время?

anonymous
()
Ответ на: комментарий от alt-x

>сть ли принципиальные отличия ядер FC от SuSE

Отличия довольно значительны - конкретно, нужно смотреть ветку aa на кенл.орг; Я раньше следил за этим ( для версий 2.4.x ) - теперь нет, так что конкретно где и что, сказать немогу (VM - точно).

anonymous
()
Ответ на: комментарий от anonymous

>можно выпускать ядро не проверив как следует security и даже с заведомо неисправленными дырками?

Что тут удивительного, когда ядра с кенл.орг даже не всегда собираются? Причем очень часто просто из за незаэкспортеных символов - т.е. после включения патчей в ядро, никто даже не пытается проветить соберется оно или нет с полным конфигом!

anonymous
()
Ответ на: комментарий от anonymous

(продолжение)

Вот поэтому люди уходят на бзд и соляру. Мало того, что для каждого дистра нужны свои особенные драйверы, проблемы с безопасностью и бардак уже достал - кому фан а кому от этого фану тиэс.

anonymous
()
Ответ на: комментарий от anonymous

>100" человек раюотают над программой, каждый реализует что-то очень маленькое и ему в этой жизни на всё другое наплевать, всю эту пое%ень собирает главный поц!

Не скажу насчет того, насколько главный тот, который собирает, но тот, кто делает проект - т.е. программист или группа программистов - они действительно главные. Есть архитектор, есть кодер - один делает проект, другой по бумажке с напильником. Это называется промышленный подход. Каждый работает в меру способностей и квалификации. И это есть гуд.

anonymous
()
Ответ на: комментарий от anonymous

> Есть архитектор, есть кодер - один делает проект, другой по бумажке с напильником.

А в итоге кодер переписывает то, что делал архитектор, двойная работа получается.

anonymous
()
Ответ на: комментарий от anonymous

>Отличия довольно значительны - конкретно, нужно смотреть ветку aa на кенл.орг

Это интересно. Что, Сусешники используют -аа ветку? Что-то я не вижу явного патча -аа, в их srpm'e. Откуда это известно? Может так было только для старых дистрибах на 2.4 ядрах?

alt-x ★★★★★
()
Ответ на: комментарий от anonymous

>А в итоге кодер переписывает то, что делал архитектор, двойная >работа получается.

Да - и это есть гуд.

anonymous
()
Ответ на: комментарий от chucha

>Ну так Andrea Arcangeli в SUSE не зря работает наверное :)

Работать-то он там работает, но вот над чем? ;-) Если сравнивать сусешные патчи с тем, что в ftp://ftp.kernel.org/pub/linux/kernel/people/andrea/patches/v2.6 , то совпадает только один, размером 13к. А если смотреть на ftp://ftp.kernel.org/pub/linux/kernel/people/andrea/kernels/v2.6/ , то там вообще последнее ядро 2.6.5, а в сусе, все-таки 2.6.8.

alt-x ★★★★★
()
Ответ на: комментарий от l0gin

>Я уже слышал, *что* они делают. Но никак не добьюсь от вас, *откуда* эта информация?

Например, вот отсюда:

http://weblogs.asp.net/oldnewthing/archive/2003/12/23/45481.aspx

http://weblogs.asp.net/oldnewthing/archive/2003/10/15/55296.aspx

Познавательные рассказы о том, как в MS добиваются совместимости ОС со старым софтом.

jackill ★★★★★
()
Ответ на: комментарий от alt-x

>Но может, кто знает какое глобальное отличие, которое я упустил?

По патчам посмотри. У fc3 это ac + bk +exec-shield + selinux и куча еще всего. Оно сильно отличается.

jackill ★★★★★
()

м-да .... обидно ... но тем не мене ея всегда говорил - что пока не появится 2.7.* - то смысла ставить 2.6.* на что то серьёзное нету :(

antiputainperdant
()
Ответ на: комментарий от jackill

>По патчам посмотри. У fc3 это ac + bk +exec-shield + selinux и куча еще всего.

Угу, спасибо. Мне только сегодня пришла мысль попробовать, как оно себя ведет с ванильным ядром. Как оказалось - прекрасно себя ведет, то есть, я зря ковырялся в СуСЕ, это не они починили, это федоровцы что-то поломали... Мля, это еще несколько десятков мегов патчей перерывать...

alt-x ★★★★★
()
Ответ на: комментарий от l0gin

> Это довольно интересная чья-то домашняя страница, без сомнение. Осталось только ответить на вопрос. Так *откуда* сведения о том, как пишут программы в Microsoft?

Мля... достал... От верблюда!

Ты дятел? или куда?

anonymous
()
Ответ на: комментарий от orb

> Скорее всего он жалеет о том что в свое время нужно было стать коммитером bsd :-)

С какого фига ему о чём-то жалеть? Он под линуксом подписку о невыезде
не давал ;) Коммитит патчи изредка во freebsd. Глянь хорошенько.

annonymous ★★
()
Ответ на: комментарий от l0gin

Joel Spolsky работал в Майкрософт несколько лет и был одним из разработчиков Excel. (VBA)

anonymous
()
Ответ на: комментарий от anonymous

> Мля... достал... От верблюда!

Всё ясно. Бабки на скамеечке насплетничали, а ты и рад дальше всем трезвонить. Одно слово - дятел.

anonymous
()
Ответ на: комментарий от anonymous

> Мля... достал... От верблюда!

> Ты дятел? или куда?

Всё ясно. С этого и надо было начинать :) А то программисты... в майкрософт... :-)

l0gin
()
Ответ на: комментарий от l0gin

Повторяю то, что анонимус написал: Joel Spolsky работал в Майкрософт несколько лет.

PS: от себя могу добавить, что все крупные корпорации одинаковы. PPS: в каких из них я работал - рассказать не могу из-за NDA.

anonymous
()
Ответ на: комментарий от anonymous

> Joel Spolsky работал в Майкрософт несколько лет

Знакомые, которые пишут VTune говорят похожие вещи.

fAX ★★
()
Ответ на: комментарий от anonymous

> PPS: в каких из них я работал - рассказать не могу из-за NDA.

Ну, тебя же не просят рассказать, ЧТО ты там писал! ;) Неужто всё НАСТОЛЬКО серьёзно? ;)

fAX ★★
()
Ответ на: комментарий от fAX

Зависит от NDA.. Некоторые разве что не кровью подписывать приходится :).

McGray ★★
()

вот что меня бесит на ЛОРе, так это такие идиоты как ЛОГИН!
если выкинуть из трэда жалкие потуги апдолбаного детсадовца на попытку до%#аться до столба, на котором даже фонаря нет, то ну куда намного приятнее все это читать!
а так блин через постинг блевать тянет :о(

anonymous
()
Ответ на: комментарий от anonymous

> Что значит "включить фичи?". Ерунда какая-то. Для коммерческой компании это имеет смысл: "о, у нас есть это, а у конкурентов нет!". Для ядра смысла гнаться за фичей нет.

Еще как есть. 2.6 -- это же мэйнстрим, который сконцентрировал в себе основную массу разработчиков. А основной массе разработчиков, судя по результатам, гораздо *интереснее* разрабатывать новые фичи, чем ковыряться в имеющемся коде и отлавливать баги. И это самый главный *смысл* погони за фичей.

Думаете, зря здесь стали появляться BSD-шники и ехидно намекать про несколько иной подход к качеству кода, принятый в BSD, благодаря которому некоторые линуксоиды зовут *BSD тухлятинкой и позапрошлым веком по сравнению с распрекрасным и суперфичным линуксом?

lapic
()
Ответ на: комментарий от l0gin

>Это довольно интересная чья-то домашняя страница, без сомнение. Осталось только ответить на вопрос. Так *откуда* сведения о том, как пишут программы в Microsoft?

Мляяяя.

Этот чувак работал в Микрософт. Писал Excel 4 и 5. В 5 придумал макросы.

А если ты по флейму пробежишь, то увидишь еще две ссылки на блоги разработчиков - увидишь как они добивались совместимости программ (кстати, данные подтверждаются кусками утекшего sp1 для w2k).

Если ты не в состоянии прочитать информацию, просто помолчи и послушай что тебе говорят.

jackill ★★★★★
()
Ответ на: комментарий от lapic

>А основной массе разработчиков, судя по результатам, гораздо *интереснее* разрабатывать новые фичи, чем ковыряться в имеющемся коде и отлавливать баги.

Линус же сказал - дистростроители, патчите ядра сами.

В той же fedora или gentoo патчи на дырки есть, причем раньше, чем в основном ядре появляются.

jackill ★★★★★
()
Ответ на: комментарий от lapic

Кстати :) http://www.linux.opennet.ru/base/bsd/index.html http://www.linux.opennet.ru/base/linux/index.html оцените, сколько страниц с уязвимостями в каждом из каталогов :) это примерно с 1998 года ;) даже если то, что с линуксом разделить на 3...никуда кароче не гадицца :-/

Burmuley
()
Ответ на: комментарий от l0gin

2 l0gin (*) (03.02.2005 23:07:14)
Настырный, уважаю :)
На самом деле в Microsoft в подавляющем большинстве слуаев используют MSF. В принципе, умному достаточно, дальше поможет Google :)
Приведу только один прямой линк
http://www.microsoft.com/technet/itsolutions/msf/default.mspx
Крайне рекомендую почитать.
Тем, кто не понимает, зачем оно надо, отвечу - оно вам не надо :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.