Russian Qt Forum
Ноябрь 11, 2024, 00:50 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
 
  Начало   Форум  WIKI (Вики)FAQ Помощь Поиск Войти Регистрация  

Страниц: 1 ... 22 23 [24] 25 26 ... 51   Вниз
  Печать  
Автор Тема: В чем убогость винды?  (Прочитано 361965 раз)
Old
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 4350



Просмотр профиля
« Ответ #345 : Май 08, 2016, 16:06 »

нет зависимостей ни от чего.
Это вы о чем? Улыбающийся

не существует никаких внешних организаций,
которые проводят аудит кода гостайны.
Вы так думаете потому, что вы и в этом вопросе не специалист. Улыбающийся
http://www.mstandard.ru/certification/

да, есть  сертифицированные системы, дающий гарантии и имеющие все необходимые для этого технические средства.
и майкрософт предоставляет услуги по их выдаче и обслуживанию.
Только верится ему с трудом. Улыбающийся
Зная что все их системы сплошь состоят из уязвимостей и шпионского софта. Улыбающийся
Записан
Old
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 4350



Просмотр профиля
« Ответ #346 : Май 08, 2016, 16:09 »

дибил.
Понял, не буду больше вас отвлекать.

А для не дибилов, повторю: микрософт не предоставляет исходные коды своих систем для аудита. Никому. Поэтому, только идиот может использовать их системы в ответственных местах. А случай на иранской АЭС это отлично демонстрирует.
« Последнее редактирование: Май 08, 2016, 16:21 от Old » Записан
kuzulis
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2812


Просмотр профиля
« Ответ #347 : Май 08, 2016, 16:46 »

Цитировать
А случай на иранской АЭС это отлично демонстрирует.

ЕМНИП, там речь шла об атаке на скаду WinCC...

То-же самое было бы если бы там была другая скада (кстати, Вы знаете промышленные скады на Linux? Подмигивающий Я - нет ) или другая ОС.

Например, на многих объектах стоит QNX, но они тоже не предоставляют исходников и никто не делает аудит кода... Но, оно же как-то работает... и никто не кричит "караул"  Подмигивающий

Хочу сказать, что даже если бы использовался Linux на "особо важных" объектах - то это бы не спасло объект в любом случае если на него планировалась бы атака - это все "мифы от дядюшки Олда" ...

UPD: Да и никто у нас (да и думаю - и у них) не делает аудит кода - это все миф, откаты и прочее... это все хорошо на бумаге, все эти госты и прочее.. но в реальности все прозаичнее.

UPD2: Люди, не ругайтесь.. тем более, в праздничные дни. Улыбающийся
« Последнее редактирование: Май 08, 2016, 16:54 от kuzulis » Записан

ArchLinux x86_64 / Win10 64 bit
Old
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 4350



Просмотр профиля
« Ответ #348 : Май 08, 2016, 17:00 »

ЕМНИП, там речь шла об атаке на скаду WinCC...
Не совсем так. Проникновения были через уязвимости венды, а вот полезная нагрузка умела работать в скадах.

То-же самое было бы если бы там была другая скада (кстати, Вы знаете промышленные скады на Linux? Подмигивающий Я - нет ) или другая ОС.
Аудит кода полезней для нахождения шпионских закладок, чем для поиска уязвимостей. Т.е. быть уверенным, что ничего не утекает.

Например, на многих объектах стоит QNX, но они тоже не предоставляют исходников и никто не делает аудит кода... Но, оно же как-то работает... и никто не кричит "караул"  Подмигивающий
Пока гром не грянет...

Хочу сказать, что даже если бы использовался Linux на "особо важных" объектах - то это бы не спасло объект в любом случае если на него планировалась бы атака - это все "мифы от дядюшки Олда" ...
По вашей логике, можно и пароли не ставит и доступ на объекты не ограничивать. Если бы захотели, то все равно пролезли. Улыбающийся
Здесь цель максимально это затруднить.

UPD: Да и никто у нас (да и думаю - и у них) не делает аудит кода - это все миф, откаты и прочее...
Ошибаетесь. Особенно за последние годы все сильно изменилось.
« Последнее редактирование: Май 08, 2016, 17:07 от Old » Записан
kuzulis
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2812


Просмотр профиля
« Ответ #349 : Май 08, 2016, 17:16 »

Цитировать
Аудит кода полезней для нахождения шпионских закладок

Да хоть сто-пицот аудитов, но закладочки-то "опаньки" в CPU (везде интель да амд-шечка), и аудит не поможет. Подмигивающий

Цитировать
Т.е. быть уверенным, что ничего не утекает.

Закрываем фаервольчиком порты, отключаем езернет, отключаем USB и все в шоколаде - никаких утечечек Подмигивающий

Цитировать
Пока гром не грянет...

Да тут всего предугадать невозможно. Атакующий всегда на шаг впереди, ИМХО.

Цитировать
По вашей логике, можно и пароли не ставит и доступ на объекты не ограничивать. Если бы захотели, то все равно пролезли. Улыбающийся
Здесь цель максимально это затруднить.

Не, ну это понятно. Но я-бы все-же так не расхваливал Linux - там тоже много всего находят (решето) и не фиксят или находят и используют в своих целях тихонечко-так.

Цитировать
Ошибаетесь. Особенно за последние годы все сильно изменилось.

Наврятли.
Записан

ArchLinux x86_64 / Win10 64 bit
kuzulis
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2812


Просмотр профиля
« Ответ #350 : Май 08, 2016, 17:22 »

И могу придумать даже "обратный" негативный юз-кейс/сценарий при использовании открытого кода и аудита...

К примеру, ну отправили сорцы какой-то софтины на аудит - там сказали "все путем"... Ну ок, живем.. радуемся.. какое-то время...
А потом, какие-нить редиски (от-туда откуда мы все знаем), взяли и получили эти сорцы ... тоже проанализировали и.. опаньки-  нашли лазейку..
Написали эксплойт и они в дамках..

А вот - если бы это была софтинка с "закрытым" кодом.. то подобрать эксплойт - только реверс-инжинириггом.. Улыбающийся

Записан

ArchLinux x86_64 / Win10 64 bit
Bepec
Гость
« Ответ #351 : Май 08, 2016, 17:41 »

Да, технология черного ящика пока самая лучшая защита. Когда всё на виду - найти уязвимость реально. Я краем уха слышал о программке для аудита кода для обнаружения уязвимостей. Вот только она их находит не для того, чтоб их закрыть Улыбающийся

Повторюсь - любая система имеющая двустороннюю связь - уязвима. Да хоть 100500 линуксов поставьте, всё равно пролезут, проберутся и взломают.
Вот вы гарантируете, что ваш кубунту в стандартной комплектации не шпионит? 100% гарантии дадите?
Записан
Old
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 4350



Просмотр профиля
« Ответ #352 : Май 08, 2016, 17:57 »

Да хоть сто-пицот аудитов, но закладочки-то "опаньки" в CPU (везде интель да амд-шечка), и аудит не поможет. Подмигивающий
Вот поэтому сейчас усиленными темпами допиливается все что уже есть своего и разрабатывают новое: cpu и микроконтроллеры.

Закрываем фаервольчиком порты, отключаем езернет, отключаем USB и все в шоколаде - никаких утечечек Подмигивающий
Это самый идеальный вариант, только девочки из альфабанка только пасьянчики смогут разбирать. Улыбающийся

Не, ну это понятно. Но я-бы все-же так не расхваливал Linux - там тоже много всего находят (решето) и не фиксят или находят и используют в своих целях тихонечко-так.
Но у вас хотя-бы есть шанс тоже ее найти и исправить. Улыбающийся
Записан
Old
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 4350



Просмотр профиля
« Ответ #353 : Май 08, 2016, 18:02 »

А вот - если бы это была софтинка с "закрытым" кодом.. то подобрать эксплойт - только реверс-инжинириггом.. Улыбающийся
Как показывает история и сайт http://bdu.fstec.ru/vul в закрытом ПО находят уязвимости гораздо больше, чем в открытом. Улыбающийся
Записан
Bepec
Гость
« Ответ #354 : Май 08, 2016, 18:06 »

Как показывает история, уязвимости в открытом ПО просто не раздуваются. Ибо ответственности никакой, денег за него не платили, ничего содрать в судебном порядке не получится Улыбающийся
Самый простой вариант - добавляется закладка в скомпиленные установщики linux. При этом в репозиториях код без неё. И как вы узнаете, что за вами не шпионят в свежескачанной кубунте?

PS прошёл по ссылке, не вижу фильтра - ПО с открытым и ПО с закрытым софтом. Как сравнить уязвимости закрытого, не имея уязвимостей открытого? или я просто кнопочки не вижу.

update: Сравнил linux и Windows. 51 против 187.
А теперь сравниваем в % пользователей:
78% пользователей Windows
5% линукс.
187/78 = 0,4
51/5 = 10,2
   0,4% уязвимостей на 100% пользователей. (Windows)
   10,2% уязвимостей на 100% пользователей. (Linux)
Где больше?  

PS не пытайтесь подменить понятия. По сравнению с Windows - linux это малочисленная группа. Соответственно сравнивать надо в % соотношению по количеству пользователей/использований, а не в прямом сравнении.
« Последнее редактирование: Май 08, 2016, 18:16 от Bepec » Записан
Racheengel
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2679


Я работал с дискетам 5.25 :(


Просмотр профиля
« Ответ #355 : Май 08, 2016, 18:38 »

дибил.
Понял, не буду больше вас отвлекать.

Дык слился уже трололо. Не придавайте значения Улыбающийся

Ясное дело, что закупка той или иной оси банком ничего общего с "безопасностью" не имеет.
Просто в одном банке смогли впарить винду на уровне высшего начальства, в другом - линукс с платным саппортом.
Другое дело, когда речь об узкой специализации и специальном софте.
На производстве, например, часто используется Windows Embedded.
Дело тоже не в "безопасности" - просто существуют определенные коммерческие решения под конкретную платформу.
Записан

What is the 11 in the C++11? It’s the number of feet they glued to C++ trying to obtain a better octopus.

COVID не волк, в лес не уйдёт
Bepec
Гость
« Ответ #356 : Май 08, 2016, 19:21 »

Причём в большинстве организаций так же думают и об оборудовании Веселый
Лично я слышал такой разговор:
Цитировать
- Мб linux поставим на машине, нафига мы Windows покупаем?
- А драйверы для принтеров ты сам писать будешь?(имеются в виду китайские широкоформатные принтеры с встроенными сканерами, несколько штук от разных производителей. На дисках дрова только под xp, но спокойно работают на семерке)
- Да ну нафиг этот linux, давайте ещё лицензий на винду купим.
Записан
Racheengel
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 2679


Я работал с дискетам 5.25 :(


Просмотр профиля
« Ответ #357 : Май 08, 2016, 19:36 »

Причём в большинстве организаций так же думают и об оборудовании Веселый

Ну так организации обычно "сидят" на том, что нужно непосредственно для работы.
У нас тоже так.
Есть спрос-софт-железо под винду - работаем с виндой.
Появился заказчик с линухом - работаем с линухом.
(если конечно это не госконторы, где все решается на уровне откатов).
Конечно, и у корпораций бывают исключения - если маркетологи впарят какую-нибудь TDD-систему там верхнему начальству,
или какую-нибудь косую, но страшно дорогую тулзу - то в итоге страдает вся фирма.
Но если это средняя фирма "на самообеспечении", то такой фокус обычно не прокатывает.

Записан

What is the 11 in the C++11? It’s the number of feet they glued to C++ trying to obtain a better octopus.

COVID не волк, в лес не уйдёт
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #358 : Май 08, 2016, 20:11 »

и как успехи?
покажите мне, как вы делаете обход каталогов?
как у вас с использованием c++1y?

успехи есть
а что там с обходом каталогов? (давно не обходил)
использую с++11 и mingw
Записан
qate
Супер
******
Offline Offline

Сообщений: 1177


Просмотр профиля
« Ответ #359 : Май 08, 2016, 20:14 »

резюмируя:
халявный линукс - это только для фриков.
серьёзным людям нужны не халява, а надежность.

в этом опусе видно что халявным линуксом не прикрыть свой зад
а любая дыра, но с бумажкой, хорошо его прикрывает
Записан
Страниц: 1 ... 22 23 [24] 25 26 ... 51   Вверх
  Печать  
 
Перейти в:  


Страница сгенерирована за 0.074 секунд. Запросов: 23.