The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Локальные root-уязвимости в инструментарии управления пакетами Snap"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Локальные root-уязвимости в инструментарии управления пакетами Snap"  +1 +/
Сообщение от opennews (??), 18-Фев-22, 00:28 
Компания Qualys...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56717

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Локальные root-уязвимости в инструментарии управления пакета..."  –6 +/
Сообщение от Аноним (1), 18-Фев-22, 00:28 
Грустно осознавать, что линукс стал ре#етом.
Ответить | Правка | Наверх | Cообщить модератору

2. "Локальные root-уязвимости в инструментарии управления пакета..."  +7 +/
Сообщение от Анонн (?), 18-Фев-22, 00:31 
Always has been
Ответить | Правка | Наверх | Cообщить модератору

26. "Локальные root-уязвимости в инструментарии управления пакета..."  +5 +/
Сообщение от Аноним (26), 18-Фев-22, 06:51 
И это peшeтo раздувается с каждым годом..
Ответить | Правка | Наверх | Cообщить модератору

69. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Аноним (69), 18-Фев-22, 11:56 
Так и количество СПО растёт с каждым годом.

PS Хотя, да, количество проектов на JS растёт опережающими темпами.

Ответить | Правка | Наверх | Cообщить модератору

3. "Локальные root-уязвимости в инструментарии управления пакета..."  –18 +/
Сообщение от No Russian Keyboard (?), 18-Фев-22, 00:32 
It's always been like that.

Open Source being more secure just because ostensibly more eyes are on it is nothing more than a myth.

It's about a coding culture, monetary rewards and QA/QC.

All three are sorely missing in Open Source.

Sorry for English, too lazy to set up an English kbd layout.

// b.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Локальные root-уязвимости в инструментарии управления пакета..."  +7 +/
Сообщение от Аноним (1), 18-Фев-22, 00:44 
Позволю себе с Вами не согласиться.
Если мы проанализируем среднегодовые значения по зафиксированным cve, мы увидим бурный рост емнип года этак с 2005.
Причин этому конечно много, но доминантой полагаю является тренд на имплементацию корпоративных, монстроподобных решений. До этого все было вполне хорошо.

Что касается Ваших намеков о том, что в enterprise все хорошо, потому что деньги и qa... Вашими бы устами да в райский сад.

Культура производства - это скорее личные характеристики разработчика помноженные на навыки и опыт.

Ответить | Правка | Наверх | Cообщить модератору

11. "Локальные root-уязвимости в инструментарии управления пакета..."  +4 +/
Сообщение от Аноним (11), 18-Фев-22, 01:02 
Все проще, до 2005 года их практически не искали, потому что оно нафиг никому не вперлось.
А вот когда туда пошел ынтырпрайз и там появилось где можно заработать (взломы, кражи данных, просто dos на заказ), то и искать начали. И находили не только в новых кодах, а и в совсем окаменевшем г. И до сих пор находят.
Ответить | Правка | Наверх | Cообщить модератору

13. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 01:21 
В Вашей точке зрения есть рациональное зерно, на мой взгляд.
Однако давайте посмотрим на ситуацию под другой призмой.
Что мы подразумеваем под: никому нафиг не вперлось?
На десктопе линукс как был у энтузиастов, так и остался. Доля этих пользователей +- одинакова.
Произошел рост в серверном сегменте. Но за счет чего? За счет замещения freebsd. В freebsd кол-во найденных уязвимостей +- не меняется несмотря на перемены в доле рынка.
Безусловно они там есть. Полагаю, что если бы доля бсд вернулась к прежним значениям конечно их находили бы чаще. Но это экстраполяция (если бы...).
Сейчас мы имеем то, что в паблике сплоитов в 10ки раз больше под линукс. Таким образом мне лично спокойнее эксплуатировать ОС, под которую у скрипт киддисов меньше инструментов для баловства.
Ответить | Правка | Наверх | Cообщить модератору

28. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от ыы (?), 18-Фев-22, 07:17 
>За счет замещения freebsd.

Ну вот, а начинали вроде бы хорошо.. а тут такое...
Поешьте что нибудь... а то галлюцинации уже начались...

Ответить | Правка | Наверх | Cообщить модератору

104. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от Shodan (ok), 18-Фев-22, 15:45 
А почему freebsd а не скажем openbsd/netbsd/solaris/whatever else? :)
Ответить | Правка | Наверх | Cообщить модератору

110. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (110), 18-Фев-22, 19:23 
Потому что их к тому моменту, как корпоративный монстр начал пожирать *bsd, на рынке уже было около нуля.

Причем часть этих соплярисов заменили сперва именно фрей а не bug 12309

Ответить | Правка | Наверх | Cообщить модератору

118. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 20:45 
Ну потому что для апача ставить солярку и закупать санки далеко не всегда было нужно. Говоря о статистике, я аппелировал к веб сервеоам. Другой статистики просто не существует.
До 2005 г. в этом отношении фря абсолютно доминировала. Поднимите источники, если на слово не верите.
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

124. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Shodan76 (?), 19-Фев-22, 00:30 
> Ну потому что для апача ставить солярку и закупать санки далеко не
> всегда было нужно. Говоря о статистике, я аппелировал к веб сервеоам.
> Другой статистики просто не существует.
> До 2005 г. в этом отношении фря абсолютно доминировала. Поднимите источники, если
> на слово не верите.

Помню, сам сидел на #freebsd
. Какоето время была популярна восьмерка и только в узком  российском сегменте физиков-шизиков

Ответить | Правка | Наверх | Cообщить модератору

127. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 19-Фев-22, 10:05 
Вот помню времена, когда при российский "физиках-шизиках" "все работало нормально".
Потом физики ушли из российского сегмента и все сразу изменилось.
Я в ту пору пользовал дженту. Теперь вот фрибсди.
Ответить | Правка | Наверх | Cообщить модератору

119. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 20:47 
Благодарю Вас за беспокойство о содержании глюкозы в моем МНУ. Только что отужинал.
Что Вас конкретно не устроило в моем ответе?
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

128. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от ыы (?), 19-Фев-22, 13:06 
Статистика веб сервисов- в то время (да и сейчас) строилась по 4-м основным хостерам. Какую ОС выберет хостер- та и попадает в топ :)

К корпоративному сектору это не имеет никакого отношения.

В корпоративном секторе была винда, линукс и "настоящий" юникс (чпуксы аиксы солярки). Ибо энтерпрайз. Ибо контракты на поддержку. У фри таковых никогда небыло нет и не  будет (один полуживой не в счет по сути).

Увлеченность BSD наблюдалась в сфере веб исключительно в постсоветском пространстве.
И да, статистики и топов было в то время полно.И фря в них занимала свое законное место - возле плинтуса...
Исключение - рамблер и яндекс выбрали фрю (потому что разработчик известный был свой), и поэтому по эту сторону забора была популярна BSD. Но опять же, к корпоративному сектору это не имеет никакого значения.

Ответить | Правка | Наверх | Cообщить модератору

132. "Локальные root-уязвимости в инструментарии управления пакета..."  –2 +/
Сообщение от Аноним (1), 19-Фев-22, 14:58 
>Статистика веб сервисов- в то время (да и сейчас) строилась по 4-м основным хостерам. Какую ОС выберет хостер- та и попадает в топ :)

Моя логика проста. Веб сервисы - это что? Инторнет. Значит ос, которая обслуживает запросы веб сервера учитываем в статистике.
Хостер - это бизнес.
Корп сектор сайты тоже ради бизнеса применял/и пока еще применяет.

>К корпоративному сектору это не имеет никакого отношения

Корп сектор - понятие растяжимое. Кто трафик шеститонниками разруливал, кто жуниперами, а кто и бсдами...
Повторюсь, я изначально говорил о вебе.

>В корпоративном секторе была винда, линукс и "настоящий" юникс (чпуксы аиксы солярки). Ибо энтерпрайз. Ибо контракты на поддержку. У фри таковых никогда небыло нет и не  будет (один полуживой не в счет по сути).

Почему была? Ничего особо и не изменилось.

Зы. За четверть века стажа ни разу не прибегал к поддержке.

>Увлеченность BSD наблюдалась в сфере веб исключительно в постсоветском пространстве.

Правда? А если статик каунтеры какие посмотрим? Разве только евразийский контингент?

> да, статистики и топов было в то время полно. Фрия в них занимала свое законное место - возле плинтуса...

В вебе? Статистику в студию, или Вы лжец, сударь.

Так же прошу пояснить, Вы места прописываете исходя из своего личного положения в стратификационной иерархии? Или просто голословно?

>Но опять же, к корпоративному сектору это не имеет никакого значения.

Прошу пояснить, что такое корп сектор. Входит в него кто? Смб, например входит?

Ответить | Правка | Наверх | Cообщить модератору

109. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (110), 18-Фев-22, 19:21 
> За счет замещения freebsd.

вообще-то сперва сопляриса и hpux (ни разу не было жалко, поверьте)
bsd доели последними.

> мне лично спокойнее эксплуатировать ОС, под которую у скрипт киддисов меньше инструментов для
> баловства.

Это 2019ю, поди? Да, мне тоже, но пока на 16й застрял. Лицензия, с-ка, дорого :-( Вроде только-только с 12го уродца сползли, и на тебе, опять плати.


Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

120. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 20:58 
>вообще-то сперва сопляриса и hpux (ни разу не было жалко, поверьте)

bsd доели последними.

Согласен. я рассматривал период не от начала времен, а с начала нулевых. И не сервера общего назначения, а веб. (Извиняюсь за то, что не уточнил, прыгаю с ветки прр файрфокс. Посмотрел, уточнение было там. Мои пардоны).

Солярку на спарцовских санях застал. Ничего плохого сказать не могу. С hpux вроде не доводилось. Трехбуквенные мейнфреймы застал.

>Это 2019ю, поди? Да, мне тоже, но пока на 16й застрял. Лицензия, с-ка, дорого :-( Вроде только-только с 12го уродца сползли, и на тебе, опять плати.

Приобретайте лицензию с возможностью апгрейда. Не помню как эта опция называется, давно закупками не занимался. Коллеги подскажут.
Если мне нужен ад, да я поставлю вынь и не стану заморачиваться с самбой+выньбынд.
Если же реальная альтернатива есть, я применю фрю. Если нужен перфоманс бд, пингвина. Вощраст уже не тот, решаем задачи с применением оптимального инструмента.
Но лично мне, уже лет 5 импонирует бсдя. После внедрениях всех эти сигрупс и прочего. Да, я люблю бсд:)

Ответить | Правка | Наверх | Cообщить модератору

140. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Ангним (?), 19-Фев-22, 17:06 
> проанализируем
> емнип

Анализ уровня опеннет.

Покажи цифры и источники, или балабол.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

141. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 19-Фев-22, 17:22 
>Анализ уровня опеннет

Сказать то что хотели?

>Покажи цифры и источники, или балабол.

Показываю.
Цифры
https://ru.m.wikipedia.org/wiki/Цифры

Источники
http://library.mephi.ru/icb2/glav2.html

Вы прежде мысли формулировать научитесь, иначе недалеким человеком прослыть можно.

Ответить | Правка | Наверх | Cообщить модератору

4. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Skullnetemail (ok), 18-Фев-22, 00:39 
Причет тут линукс и убунтовские поделки?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Аноним (1), 18-Фев-22, 00:50 
Так в этих псевдо секурных песочницах всего два поделия: от каноникала да от шапки. Емнип. Я эти сорта вообще не трогаю. Вроде еще appimage был. Не знаю, живо ли оно. Сейчас ведь от корпораций и вендоров только самое классное, модное и современное...
Ответить | Правка | Наверх | Cообщить модератору

21. "Локальные root-уязвимости в инструментарии управления пакета..."  +4 +/
Сообщение от _hide_ (ok), 18-Фев-22, 04:15 
Ну appimage в это плане более трезвое решение.
Как тормозит Хромиум в snap-е на arm -- это то, с чего должно начинаться знакомство с snap-ом. А с Flatpak-ом знакомится нужно параллельно с наборами для скрипткидсов под его пакеты.
Ответить | Правка | Наверх | Cообщить модератору

71. "Локальные root-уязвимости в инструментарии управления пакета..."  +3 +/
Сообщение от Аноним (69), 18-Фев-22, 12:00 
>Вроде еще appimage был.

AppImage себя не позиционирует как секурная песочница, просто как самодостаточный пакет.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

116. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от FSA (??), 18-Фев-22, 20:31 
> Так в этих псевдо секурных песочницах всего два поделия: от каноникала да от шапки.

Так шапка не пихает flatpak в свои дистрибутивы как замену своим rpm. Очень надеюсь и не будет. А snap пихается от того, что некоторые deb пакеты в Ubuntu ставят snap, до рекомендаций ставить не через deb пакет, а через snap того же certbot на сервере. Сами зайдите и посмотрите как предлагают ставить. А между тем есть нормальные deb пакеты.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Анонн (?), 18-Фев-22, 00:50 
При том что разница невелика. Что дыры в "убунтовских поделках", что 0-day в ядре линукса.
И там, и так решeто, разница только в blast radius.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 01:00 
Согласен с Вами. Скорбно, но факт. И чем дальше в лес...
Ну ничего, согласно стратегии верховного: rust спасет ситуацию! В том числе за счет привлечения разработчиков более "высокого" уровня. В смысле которые все отдают на откуп вирт машине.
Ответить | Правка | Наверх | Cообщить модератору

12. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Анонн (?), 18-Фев-22, 01:18 
При чем тут раст?
Существует объективная проблема - погромисты пишут говнокод. И кол-во CVE, которые обсуждают в соседней теме, прекрасный этому пример. Причем не какой-то чувак, который пишет очередную "три-в-ряд", а систему на которой половина интернетов и не только крутится. И не нужно кивать что у соседей ситуация не лучше - мой сервак не на винде.

А вот как решать эту проблему - большой вопрос. Может больше ресурсов на ревью и тестирование? Может на автоматизированные системы (анализаторы, фаззеры)? Больше ресурсов в обучение? В средства разработки (более "безопасное" подмножество си)?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

15. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 01:33 
Совершенно верно! Rust сам по себе здесь не причем. Все дело в том, что большинство современных кадров не могут/не умеют/ не хотят... не хватает знаний/умений/фундаментальности образования/мышления. Потому и пытаются заткнуть эту брешь как могут. В контексте оффтопика раст в ядро воткнуть.

Решать проблему? Проблема эта в головах. Пусть на меня пожалуйста не обижаются молодые люди. Я никого не хочу обидеть. Все сказанное происходит не только в ИТ, но абсолютно во всех сферах. Решения проблемы в текущей парадигме системы образования/воспитания/системе ценностной я лично не вижу. Пробовал все доступные методы. Из 10 одно попадание, но при очень больших затратах. В парадигме бизнес задач - это нерентабельно.
Про инвестиции в будущее итд - это все понятно, но зарабатывать нужно и сегодня. А с подгузниками бегать родители должны были. (Утрирую).

Ответить | Правка | Наверх | Cообщить модератору

107. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Степан (?), 18-Фев-22, 18:54 
Почему такой акцент на возрасте? Как будто в старом коде багов не хватает?
Ответить | Правка | Наверх | Cообщить модератору

121. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 21:00 
Из практики. Наболело. У всех прошу прощения.
Баги были, есть и будут есть. Вопрос только в том, как их исправлять!
Ответить | Правка | Наверх | Cообщить модератору

53. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Аноним (53), 18-Фев-22, 10:41 
"Существует объективная проблема - "установившийся политико-экономический режим на планете не позволяет части землян не вырастать особенно вороватыми? 😎
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

113. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (113), 18-Фев-22, 20:01 
Надо, наконец, начать грузить кодеров за их уязвимости. Запорол? Повлекло за собой фин потери? Плати! В следующий раз будут сто раз думать как писать
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

114. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (113), 18-Фев-22, 20:03 
Почему если у вас сантехник в квартире кран поцарапал - вы с него деньги вычитаете, а с кодера нет? Опять таки это форсирует компании нанимать более квалифицированные кадры
Ответить | Правка | Наверх | Cообщить модератору

122. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 21:04 
Тут какой момент, если фин потери - это уже косяк тим лида и ПМа.

сейчас народ избалованный, за котегов по 800к в мес привыкли иметь. Просто уйдут в другую команду и будут косячить там.

Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

135. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (113), 19-Фев-22, 15:37 
Ну вот и собрать со всех ответственных, согласно мере ответственности. А уйдут - кто их возьмет если у них будет в резюме написано "привлекался за нанесение ущерба в особо крупном размере". Максимум уйдут на работу где ущерба не предусмотрено, а там им и место. К тому же надо ввести административную ответственность, как, собственно, в любом деле. Профессии уже достаточно лет что бы перестать ее идеализировать
Ответить | Правка | Наверх | Cообщить модератору

142. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 19-Фев-22, 19:51 
Приходит "эффективный менеджЫр", внедряет проект "искаропки" и быстренько сваливает, пока все не вскрылось и не всплыли подводные камни. В резюме имеет отметку, дескать внедрял супер-пупер модную фичу.

За субсидиарную фин ответственность я обеими руками за!

Ответить | Правка | Наверх | Cообщить модератору

143. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (113), 19-Фев-22, 21:44 
Эффективный менеджер не может уязвимости плодить как грибы, такое только модерн-кодерс могут
Ответить | Правка | Наверх | Cообщить модератору

144. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 19-Фев-22, 22:02 
Еще как может, когда на бедолаг сваливает по 3-4 проекта одновременно и сроки обозначает совершенно неприемлимые. Прежде всего всегда стоит разобраться в первопричине. Или кодер рукопоп, или менеджер совсем берега перепутал. Бывают конечно разные комбинации, но тем не менее не всегда прямая аина кодера.
Хотя про модерновых кодеров, я снова согласен. Но фор грейт джастис, всегда нужно причину досконально понять, прежде чем карать!:)
Ответить | Правка | Наверх | Cообщить модератору

33. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Анонимканамбеуан (?), 18-Фев-22, 08:50 
снап не линукс )
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от An (??), 18-Фев-22, 10:20 
Linux это ядро , а не всякие дырявые снапы.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Локальные root-уязвимости в инструментарии управления пакета..."  +11 +/
Сообщение от keydon (ok), 18-Фев-22, 00:56 
Имхо от снапа больше проблем чем пользы
Ответить | Правка | Наверх | Cообщить модератору

9. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (9), 18-Фев-22, 01:00 
Был же AppImage, но нет, давайте его переизобретем.
Ответить | Правка | Наверх | Cообщить модератору

38. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (38), 18-Фев-22, 09:47 
Это разные вещи. У appimage отсутствует дедубликация библиотек. Все в куче у каждого образа.
Ответить | Правка | Наверх | Cообщить модератору

45. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 10:14 
> Все в куче у каждого образа.

не обязательно

Ответить | Правка | Наверх | Cообщить модератору

60. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (60), 18-Фев-22, 11:16 
Просветите, как?
Ответить | Правка | Наверх | Cообщить модератору

63. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (45), 18-Фев-22, 11:35 
https://www.linux.org.ru/forum/general/14283520
Ответить | Правка | Наверх | Cообщить модератору

14. "Локальные root-уязвимости в инструментарии управления пакета..."  +3 +/
Сообщение от Аноним (14), 18-Фев-22, 01:24 
А при чём тут Линукс и ядро в комментах если новость о Снап в Бубунте? Мало ли что у них в дефолте на Ubuntu Desktop по умолчанию. Это не как с polkit на той неделе что пробивает все сразу.
Ответить | Правка | Наверх | Cообщить модератору

16. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от Аноним (1), 18-Фев-22, 01:41 
Да уже рябит в глазах от зеродеев в линуксе и окружении настолько, что все это стало как-то буднично. Это не есть хорошо.

Глобально если, то при том, что вновь отход от kiss и вновь ошибки. Хотя на минуточку это песочница и должна бы защищать от подобных вещей.

Ответить | Правка | Наверх | Cообщить модератору

43. "Локальные root-уязвимости в инструментарии управления пакета..."  –2 +/
Сообщение от Аноним (43), 18-Фев-22, 10:02 
Потому что уязвимость вызвана by design работой стандартных механизмов линукса - hard link и temporary dir.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

96. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (96), 18-Фев-22, 15:08 
Ага, ещё suid забыл, там тоже можно стать root.

Уязвимость вызвана некорректным использованием стандартных механизмов, а не ими самими.

Ответить | Правка | Наверх | Cообщить модератору

17. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от Аноним (-), 18-Фев-22, 01:55 
Давайте, расскажите нам ещё что-нибудь про безопасный Rust.
Ответить | Правка | Наверх | Cообщить модератору

22. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Ordu (ok), 18-Фев-22, 04:44 
Не, лучше вы расскажите нам что-нибудь про продуманность UNIX APIs.
Ответить | Правка | Наверх | Cообщить модератору

72. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (69), 18-Фев-22, 12:07 
А что, уже есть/стандартизирована LibStdRust?
Ответить | Правка | Наверх | Cообщить модератору

97. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (96), 18-Фев-22, 15:09 
С UNIX API всё в порядке.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

123. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Ordu (ok), 18-Фев-22, 23:57 
> С UNIX API всё в порядке.

Ага. Вот тебе ссылочка на безопасное создание директории, которым заткнули дыру с тем race-condition в новости:

https://github.com/snapcore/snapd/commit/f3f669d720ed8b0bcb7...

Если API, приводящий к необходимости писать такое -- это "в порядке", то что тогда по-твоему будет "не в порядке"?

Ответить | Правка | Наверх | Cообщить модератору

129. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Самокатофил (?), 19-Фев-22, 13:08 
растаманам уже Unix API мешает xD
Ответить | Правка | Наверх | Cообщить модератору

130. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Ordu (ok), 19-Фев-22, 14:23 
> растаманам уже Unix API мешает xD

Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться на неё, не создав дыры с эскалацией привилегий.

Ответить | Правка | Наверх | Cообщить модератору

131. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Самокатофил (?), 19-Фев-22, 14:27 
>> растаманам уже Unix API мешает xD
> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
> на неё, не создав дыры с эскалацией привилегий.

Где снап на расте? Почему вы опять языками вместо кода работаете?

Ответить | Правка | Наверх | Cообщить модератору

134. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Ordu (ok), 19-Фев-22, 15:26 
>>> растаманам уже Unix API мешает xD
>> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
>> на неё, не создав дыры с эскалацией привилегий.
> Где снап на расте? Почему вы опять языками вместо кода работаете?

Зачем мне снап, у меня cargo есть.

Ответить | Правка | Наверх | Cообщить модератору

137. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Самокатофил (?), 19-Фев-22, 15:53 
>>>> растаманам уже Unix API мешает xD
>>> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
>>> на неё, не создав дыры с эскалацией привилегий.
>> Где снап на расте? Почему вы опять языками вместо кода работаете?
> Зачем мне снап, у меня cargo есть.

Точно. Никак не привыкну что растаманам приложения не нужны.

Ответить | Правка | Наверх | Cообщить модератору

18. "Локальные root-уязвимости в инструментарии управления пакета..."  +3 +/
Сообщение от Аноним (18), 18-Фев-22, 02:37 
>> создание эксплоита оказалось нетривиальной задачей, так как утилита snap-confine написана на языке Go с использованием приёмов безопасного программирования, имеет защиту на основе профилей AppArmor, производит фильтрацию системных вызовов на основе механизма seccomp и применяет для изоляции пространство имён для монтирования

И не спасло)

Ответить | Правка | Наверх | Cообщить модератору

98. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (96), 18-Фев-22, 15:11 
А должно было? Если приложение само выдаёт права root то механизмы защиты тут не при чём.
Ответить | Правка | Наверх | Cообщить модератору

20. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Sherry Birkin (?), 18-Фев-22, 03:46 
джино? нет
Ответить | Правка | Наверх | Cообщить модератору

23. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от mcpidor (?), 18-Фев-22, 06:02 
Понятно,Не нужно устанавливать snapd и ubuntu
Ответить | Правка | Наверх | Cообщить модератору

24. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от devkornev (ok), 18-Фев-22, 06:42 
надеюсь от снап откажутся в итоге, как в свое время от unity.
Ответить | Правка | Наверх | Cообщить модератору

32. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (32), 18-Фев-22, 08:33 
От юнити зря отказались, это и похоронило десктопную убунту превратив во что имеем.
Ответить | Правка | Наверх | Cообщить модератору

35. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (35), 18-Фев-22, 09:15 
В чем разница между Юнити в Убунте и Гном в Убунте. Я ещё застал Юнити и не могу найти отличий.
Ответить | Правка | Наверх | Cообщить модератору

39. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (38), 18-Фев-22, 09:48 
По субъективным ощущениям, Unity быстрее работала на старом железе.
Ответить | Правка | Наверх | Cообщить модератору

64. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 11:37 
> похоронило десктопную убунту

Преждевременное заявление. Деривативы с Xfce анониму нравятся.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

47. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (45), 18-Фев-22, 10:20 
> надеюсь от снап откажутся в итоге

Можно это сделать прямо сейчас.

systemctl stop snapd
systemctl disable snapd
apt purge snapd
rm -rf ~/snap
rm -rf /var/snap /var/lib/snapd /var/cache/snapd /usr/lib/snapd

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

83. "Локальные root-уязвимости в инструментарии управления пакета..."  –2 +/
Сообщение от . (?), 18-Фев-22, 12:58 
Ну и сиди теперь без Браузера или с устаревшей на год версией если в совсем старой бубунте. Потому что собирать его в операционной системе, а не в снапе с единственно-верными версиями всех библиотек со всего интернета - увы, уже немодно. Гугль не собирается в этом помогать.

Ответить | Правка | Наверх | Cообщить модератору

84. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от th3m3 (ok), 18-Фев-22, 13:19 
Firefox можно просто скачать и запускать из архива. Без всяких снапов, он даже обновляться сам будет. Или подключить PPA и тоже жить без всяких снап. Так что, не надо нам ту навязывать всякую ересь.
Ответить | Правка | Наверх | Cообщить модератору

87. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 13:22 
Firefox прекрасно работает и обновляется в Xubuntu безо всяких снапов.
Ответить | Правка | Наверх | Cообщить модератору

93. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от th3m3 (ok), 18-Фев-22, 14:22 
Подтверждаю.
Ответить | Правка | Наверх | Cообщить модератору

85. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 13:20 
Чо это? Яндекс Браузер прекрасно работает в Xubuntu. Кроме шуток.
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

94. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (94), 18-Фев-22, 14:43 
Яндекс.Товарищ Майор тоже прекрасно работает
Ответить | Правка | Наверх | Cообщить модератору

99. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (96), 18-Фев-22, 15:14 
> единственно-верными версиями всех библиотек со всего интернета - увы, уже немодно. Гугль не собирается в этом помогать.

Можно собрать и поставить библиотеки в home, или если сборка совсем уж кривая то в chroot/docker.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

25. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (26), 18-Фев-22, 06:48 
В линуксе проблема - распыление. Распыление на всё что можно. Страдает безопасность.
Но взять к примеру тот же веб-браузер:
над ним трясуться и всё равно peшeтo.
Ответить | Правка | Наверх | Cообщить модератору

29. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от ыы (?), 18-Фев-22, 07:24 
"Обнаружение" уязвимостей в браузере -часть стратегии по принуждению к обновлению и навязыванию ненужной пользователю функциональности. Пользователи склонны ценить больше экономичность чем ненужный функционал и необновлять браузер ради фейковых "преимуществ" новой версии. Поэтому разработчик- бац - и обнаруживает 0-дэй уязвимость... каждый раз когда ему надо впендюрить новую телеметрию юзеру лопоухому...

Если бы задача стояла иначе - действительно исключить уязвимости- то стратегия была бы иной. Не добавлять сомнительных функций. Улучшать код. Сокращать потребление ресурсов.
Но такими вещами занимаются только энтузиасты... потому что за это не платят... И все эти фонды ,все эти общестенные организации с многомилионными бэджетами пилящие бабло таких целей перед собой не ставят.

Ответить | Правка | Наверх | Cообщить модератору

50. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (26), 18-Фев-22, 10:24 
Давно уже понятно, что простой файловый браузер прогрессивнее веб.. во всяком случае потому что он использует системные программы, а это всё же высокая производительность.
Ответить | Правка | Наверх | Cообщить модератору

100. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (96), 18-Фев-22, 15:17 
> новую телеметрию

Количество именно телеметрии от авторов бразуера в каждой новой версии не увеличивается. Если конечно вы не имеете ввиду под телеметрией новые web технологии, тогда да, согласен.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

111. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (110), 18-Фев-22, 19:27 
Куда еще-то увеличивать? Каждое твое движение мышкой и каждая кнопка на клавиатуре записываются и передаются.

Доступа к камере они делают вид что у них типа пока нет, он только для веб-странички после сильно специального разрешения.

Нет-нет-нет, сами они на тебя не смотрят, не подумай.

Ответить | Правка | Наверх | Cообщить модератору

30. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Aarnonemail (?), 18-Фев-22, 07:36 
тся
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

49. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 10:22 
Да нет, они именно

> трясуться

Ответить | Правка | Наверх | Cообщить модератору

73. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (69), 18-Фев-22, 12:11 
Это такая неопределённая форма глагола.
Ответить | Правка | Наверх | Cообщить модератору

145. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 19-Фев-22, 22:08 
Простите, что вмешиваюсь, я просто мимо проходил. Так-то нас вроде учили пользоваться проверочной формой: "что делают". Если ь знака нет, то и нет.
Но сейчас конечно можеь уже инноваторы и поменяли чего, в великом и могучем...
Ответить | Правка | Наверх | Cообщить модератору

46. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (45), 18-Фев-22, 10:16 
> В линуксе проблема - распыление. Распыление на всё что можно. Страдает безопасность.

Точно. В офтопике всё на достижение единой цели. И безопасность не страдает.

Сами-то верите?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

74. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (69), 18-Фев-22, 12:14 
На достижение цели собрать как можно больше телеметрии. Зато безопасность пользователя под конр...не страдает, да.
Ответить | Правка | Наверх | Cообщить модератору

27. "Локальные root-уязвимости в инструментарии управления пакета..."  +6 +/
Сообщение от Аноним (27), 18-Фев-22, 06:53 
Не ясен плач. Обнаружили, исправили - стало ещё лучше. Поздравили друг друга, разошлись.
Ответить | Правка | Наверх | Cообщить модератору

65. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 11:38 
Единственный толковый комментарий, а не шуршание туалетной бумагой.
Ответить | Правка | Наверх | Cообщить модератору

76. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (35), 18-Фев-22, 12:24 
у, разойтись я тут же согласился. И разошелся, конечно, и расходился.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

31. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (32), 18-Фев-22, 08:32 
Забавны конечно рассуждения о квалификации и качестве образования разработчиков от анонимов чей максимум наверняка баш скрипты для мелкой автоматизации, копипаст конфигов nginx или типовых yaml для кубера, да опакечивание готовых программ.
Сам не эксперт но рассуждать о том как плохо пишут сложные системы даже не смотря в их сорцы это таки да уровень рунета.
Ответить | Правка | Наверх | Cообщить модератору

36. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Аноним (1), 18-Фев-22, 09:36 
Это Вы обо мне, надо полагать.
Ну что же, давайте с Вами немного попробуем проанализировать, раз самостоятельно не получилось.

>от анонимов чей максимум наверняка баш скрипты
>Сам не эксперт но рассуждать о том как плохо пишут сложные системы даже не смотря в их сорцы это таки да уровень рунета.

Для того чтобы быть дегустатором не обязательно быть поваром. Автогонщиком - автопроизводителем итд. Хотя автогонщик в автомобилях разбирается и умеет их использовать.
Понимаете логику?

Так же и здесь. Дабы понимать уровень и глубину падения качества ПО, достаточно его эксплуатировать и иметь представление о происходящем в отрасли.
То что Вы описали в Вашей интерпретации - это спектр задач админа. Кто если не админ знает насколько часто падает софт, как часто в нем находят дыры итд.

Дорогой коллега, Вы не следуете своей собственной логике.


Ответить | Правка | Наверх | Cообщить модератору

37. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Иван Иванович (?), 18-Фев-22, 09:42 
2 чая этому Анониму.
Ответить | Правка | Наверх | Cообщить модератору

41. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от 1 (??), 18-Фев-22, 09:53 
>Так же и здесь. Дабы понимать уровень и глубину падения качества ПО, достаточно его эксплуатировать

Ну, во-первых, "качество" это абстрактный конь в вакууме, а не универсальная, количественно-измеряемая метрика кмк (например, по критерию "работа с драйверами железа да и модулями ядра в целом" ядро линукс мне __лично__ кажется архаичным, "некачественным" продуктом, но найдутся тысячи аргументов против такой оценки, которые вроде бы даже и не без смысла).

Во-вторых, автолюбитель может и должен давать свою __субъективную__ оценку продукта - автомобиля, но не будучи инженером имеющим представление о проектировании и производстве автомобилей, адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянии. Вот с ПО ровно тоже самое.
А про админов написал потому что тут в лучшем случае они и обитают, но не тех админов что коммитят в ядро фряхи, а продвинутых пользователей готового ПО (не умаляю, впрочем, их заслуг и способностей).

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

54. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от 6ap (?), 18-Фев-22, 10:44 
Поддерживаю. OpenNET - больше про использование и администрирование открытого ПО. Поэтому и рассуждения на уровне нравиться/ненравиться. А портала про разработку открытого ПО как такового нет. Там было бы наоборот - низкая квалификация админов/devops не позволяет прочитать документацию и сделать всё корректно, а не как макаки - тяп-ляп. Да и дело собственно не в рунет, это человеческое.
Ответить | Правка | Наверх | Cообщить модератору

112. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 19:46 
>Поэтому и рассуждения на уровне нравиться/ненравиться

Вроде обсуждаем на уровне: работает/не работает. Глючит/не глючит. 10 хотфиксов на один баг итд.

>низкая квалификация админов/devops не позволяет прочитать документацию и сделать всё корректно, а не как макаки - тяп-ляп

Собственно здесь соглашусь. Низкая квалификация технических пейсателей не позволяет написать нормальный ман. По стандартам. Низкая квалификация админов, врачей, учителей...

>Да и дело собственно не в рунет, это человеческое.

Дело я думаю в воспитании, ценностях, егэ/зно вот это все.

Ответить | Правка | Наверх | Cообщить модератору

57. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от ыы (?), 18-Фев-22, 11:04 
>адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянии

Человек будучи не специалистом в производстве автомобиля, вполне квалифицированно может понять и адекватно дать оценку щелям в кузове,  криво закрученным шурупам, стеклу с трещинами, отсутствию дополнительной защиты на порогах...

И по совокупности наблюдений, даже будучи не специалистом в производстве авто - можеет вполне адекватно прийти к выводу что этот конкретный автомобиль сделали бездарные рукожопы - начиная от разработчиков и заканчивая слесарями...

То же самое и в ПО.. ненадо быть разработчиком чтобы словить крэшдамп...или узнать что ПО насквозь дырявое...
И оценка квалификации разработчиков будет совершенно адекватная..

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

61. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (60), 18-Фев-22, 11:20 
Аналогия некорректная, как и у анонима выше. Вы пытаетесь критиковать не готовый продукт (машину или программу), а его производственные линии (написание кода). Не инженер не разберётся в тонкостях этих процессов.
Ответить | Правка | Наверх | Cообщить модератору

77. "Локальные root-уязвимости в инструментарии управления пакета..."  +2 +/
Сообщение от Иван Иванович (?), 18-Фев-22, 12:25 
Напротив, довольно логическое сравнение. Вы же, напротив, пытаетесь отделить конечный результат труда (автомобиль, программу) от знаний, опыта, инструментов, техпроцессов, используемых программистами, архитекторами, аналитиками (читай сборщиками, конструкторами, инженерами, эффективными менеджерами, прости господи). Если Вы покупаете хлеб, свежий с виду, а придя домой обнаруживаете, что из его мякоти можно лепить лошадок, то разве у Вас недостаточно способностей определить, что что-то в производстве не так и Вас попросту обманули? Конечно, определить, на каком этапе кто-то не придерживаеться технологии (по причине экономии на качестве муки, количестве воды, соли или просто - тяп-ляп и в продакшн)- трудно, если не пройти самому цепочку от закупки муки и прочего до выпуска на линии конечного продукта (имея на руках технологические карты, рецепты и прочее). Нынешние ИТ - это то самое пресловутое тяп-ляп и в продакшн: ну и что, что будет дольше запускаться, ну и что, что софт пожирает больше памяти - она же ведь "дешёвая", ну и что, что утечки памяти, жор на накопителе места, как не в себя, уязвимости, промежуточные слои над слоями и слоями погоняют - зато масса высокоплачиваемых специалистов на любой чих с заоблачными зарплатами: девопсы, дизайнеры, программисты, аналитики, архитекторы, тим-лиды, а инженеров по качеству и отделов тестирования-то - видимо-невидимо... И что в результате? А ничего, просто ничего: квадратное, тормозящее, нечто напичканное телеметрией, неитуитивное нечто.

"В софте все всрато и становится еще всратее"
https://habr.com/ru/post/596517/

Ответить | Правка | Наверх | Cообщить модератору

80. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (35), 18-Фев-22, 12:35 
Качество автомобиля способен оценить владелец и автослесарь из автомастерской. Люди которые занимаются эксплуатацией и ремонтом автомобиля. Но нас почему то пытаются убедить в том что люди которые занимаются эксплуатацией и ремонтом ПО не способны оценить его качество.
Ответить | Правка | Наверх | Cообщить модератору

105. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (1), 18-Фев-22, 18:23 
Иван Иванович, благодарю Вас за развернутый ответ. Был вынужден отлучиться и не мог принять участие в дискуссии. Согласен по всем пунктам.
Про чай, админы, как известно, шоколадки не пьют! Ну, будем!:)

Добавлю только одно:

>Нынешние ИТ - это то самое пресловутое тяп-ляп и в продакшн

И нынешняя медицина, ППС. Etc.
Давеча на узи нашли случайно полип желчного. Направили срочно на операцию. Благо сходил мрт сделал, ничего не обнаружено.
Гастроэнтерологи не знают какой орган вырабатывает глюкозу (10год выпуска сеченовки) итд. итп. Примеров устрашающее множество.

Я все думаю, что же будет когда "удаленщики" придут. Те кто сейчас на дистантном обучении. И ведь нам в старости придется к ним обращаться...

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

117. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 20:40 
Иван Иванович, снимаю шляпу. Рад осознавать, что есть еще люди не утратившие рациональность и здравый смысл!
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

79. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (35), 18-Фев-22, 12:30 
Продукт - ПО могут и должны оценивать потребители - админы. Разработчики продукта не в состоянии адекватно оценить качество своего продукта.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

102. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (96), 18-Фев-22, 15:24 
Архаичный не значит плохой, это не синонимы.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

115. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (1), 18-Фев-22, 20:11 
Отвечаю Вам и коллеге 5.61, Аноним (60), 11:20, так как суть ответа одна.

В абстрактность метрики качества вдаваться не буду, очень емкая тема. Начиная в принципе с определения качества метрик :)

>Во-вторых, автолюбитель может и должен давать свою __субъективную__ оценку продукта - автомобиля, но не будучи инженером имеющим представление о проектировании и производстве автомобилей, адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянии. Вот с ПО ровно тоже самое.

Ну что же. Давайте разберем на конкретном примере автомобиля уаз патриот 2019 м.г.
В данном автомобиле с рестайлингом был установлен новый передний мост с поворотными кулаками открытого типа. Данная модернизация была произведена на основании отзывов пользователей для улучшения курсовой устойчивости автомобиля при прямолинейном движении а так же для уменьшения радиуса поворота. Аналогичная конструкция мостов ДАНА успешно применялась более 30 лет на а/м гранд чероки и ленд ровер не вызывая проблем.
На уазе же при пробегах до 15 тыс. км (Особенно при активном преодолении дорог без твердых покрытий, а иначе зачем уаз нужен) конструкция разгерметизируется, вызывая повреждения на сумму 70к руб.
Оценив масштаб бедствия автомобилисты сами разработали и внедрили кит, исправляющий данный фатальный недостаток.

Могут ли эти люди "адекватно оценить квалификацию людей причастных к производству оного"? Думаю вполне.
Более того, решение отправлено на завод, тем самым: " будучи инженером имеющим представление о проектировании и производстве автомобилей".

Аналогично и про админов. Хотфиксы кто ставит? Багрепорты кто ваяет? (Формализует девелоперам).
Админ не может оценить куртуазность алгоритмов, использование паттернов. (Емли он сам не программист). Но как раз качество, как результат труда, он оценивает даже более, чем простые юзеры. Так как обслуживает бэкграунд.
Такие дела.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

136. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (113), 19-Фев-22, 15:51 
Зачем вводить какие-то абстрактные критерии когда есть совершенно простой "потеряли бабки из-за ошибки программиста". Уверен в какой-то момент истории с электриками была такая же проблема, но ничего - разобрались как оценить качество и ущерб
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

78. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (35), 18-Фев-22, 12:26 
В общем тебе уже объяснили, что качество ПО оценивают как раз те кто это ПО эксплуатирует, а именно админы. Девопсы и родились от туда чтобы разработчиков и админов подружить и заставить ПО работать как надо.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

95. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от Аноним (94), 18-Фев-22, 14:44 
кубер и yaml уже лишние в этом списке, тут ретрограды даже докер не признают
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

101. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (96), 18-Фев-22, 15:22 
> даже не смотря в их сорцы

Я смотрел сорцы, более того, ошибки связанные с состоянием гонки с качеством исходного кода мало связаны, можно иметь качественный код, написанный по всем правилам, и не понимать что между проверкой владельца файла и его открытием файл может быть пересоздан. Это очевидная проблема обучения автора и его опыта разработки.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

106. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от john_erohin (?), 18-Фев-22, 18:35 
> чей максимум наверняка баш скрипты

мой максимум вообще sh-скрипты.
но я почему-то не стесняюсь вызывать mktemp для
получения непредсказуемых имен файлов.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

147. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (147), 22-Фев-22, 19:58 
Скажите, музыку по вашему оценивать имеет право только музыкант?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

40. "Локальные root-уязвимости в инструментарии управления пакета..."  –2 +/
Сообщение от Аноним (43), 18-Фев-22, 09:51 
Ссылки в ФС, гонка за временные папки. Уже оскомину набило. Из года в год.
И главное ничего с этим не пытаются делать.
Ответить | Правка | Наверх | Cообщить модератору

55. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (55), 18-Фев-22, 10:49 
Ну так сделай, будь первым, покажи лохам кто тут папка!
Ответить | Правка | Наверх | Cообщить модератору

103. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (96), 18-Фев-22, 15:34 
O_TMPFILE 10 лет назад придумали, просто кто-то не обучается.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

44. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от InuYasha (??), 18-Фев-22, 10:08 
- What time is it?
- I don't know..
- Time to unpimp the linux!
* kernel panic *
- Oh, snap!
(кто вспомнил эту рекламу, зачёт автоматом)
Ответить | Правка | Наверх | Cообщить модератору

51. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (51), 18-Фев-22, 10:36 
Помню только, что хромой выдает страницу "Oh, snap!" когда что-то идет не так.
Ответить | Правка | Наверх | Cообщить модератору

52. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от kusb (?), 18-Фев-22, 10:40 
Зачем snapd работает от root если работает?
Ответить | Правка | Наверх | Cообщить модератору

58. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним12345 (?), 18-Фев-22, 11:06 
Вот именно
Ответить | Правка | Наверх | Cообщить модератору

56. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (56), 18-Фев-22, 10:59 
Xubuntu. В том году выпил snap из системы. Вчера обновлял пакеты, смотрю - snapd обновляется. Хочу его сразу удалить, а там какие-то файлы ядра в придачу хотят тоже выйти из зала. После перезагрузки, слава Патрику, удалялся только snap. Но каким-то чудом, эта срань проникла в систему опять.
Ответить | Правка | Наверх | Cообщить модератору

59. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от Аноним12345 (?), 18-Фев-22, 11:07 
Удалить снап ?
Ты в своем уме ?
Ответить | Правка | Наверх | Cообщить модератору

62. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (62), 18-Фев-22, 11:30 
Почитай про debian preferences и просто заблокируй snapd
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

66. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 11:40 
Выше написано, как удалить. Ничего не появляется. Аналогично поступаем с облаком (в серверной версии). Вообще не нужно опасаться удалять ненужное.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

67. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (67), 18-Фев-22, 11:41 
Или можно поставить дистрибутив без снапа. Так можно жить, я ни разу в своей жизни не запускал софт из снапа.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

88. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 13:25 
Поставил 20. Там снапы. Выпилил. Всё работало и без них. Но вернулся в 18. По другой причине. На 20 забили некоторые производители прикладного ПО, необходимого лично мне. Поэтому ждем 22. Посмотреть.
Ответить | Правка | Наверх | Cообщить модератору

126. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (126), 19-Фев-22, 08:56 
Поставь минт. Те же 20, но без снапа.
Ответить | Правка | Наверх | Cообщить модератору

138. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (138), 19-Фев-22, 16:34 
К сожалению... Проблемы с glibc и qt. Не хотелось бы вместо развития приложения заниматься его постоянным переписыванием.
Ответить | Правка | Наверх | Cообщить модератору

75. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от Аноним (69), 18-Фев-22, 12:17 
>В том году выпил snap из системы.

Пожалуй, за это стоит ещё раз выпить.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

82. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от user90 (?), 18-Фев-22, 12:48 
Дык а что именно распространяется в снапах? Какой-нибудь ненужный полупродакшен код? Такая дистрибуция уже попахивает.. ;)  
Ответить | Правка | Наверх | Cообщить модератору

86. "Локальные root-уязвимости в инструментарии управления пакета..."  +1 +/
Сообщение от TormoZilla (?), 18-Фев-22, 13:20 
Chrome
Ответить | Правка | Наверх | Cообщить модератору

89. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (45), 18-Фев-22, 13:27 
С чего это вдруг? Только deb и rpm предлагаются.
Ответить | Правка | Наверх | Cообщить модератору

90. "Локальные root-уязвимости в инструментарии управления пакета..."  –1 +/
Сообщение от user90 (?), 18-Фев-22, 13:27 
Значит угадал)
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

91. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от 6ap (ok), 18-Фев-22, 13:37 
> Дык а что именно распространяется в снапах? Какой-нибудь ненужный полупродакшен код? Такая
> дистрибуция уже попахивает.. ;)

Ну смысл в том, чтобы в дистрибутивах распространялось только системное ПО, для разработчиков и рабочий стол. А прикладные приложения (обозреватели, офис, рисовалки, IDE) устанавливались как самодостаточные приложения. С таким раскладом и Debian, с его древним софтом, можно как основу ставить.

Правда опять лебедь рак и щука: snap, flatpack, appimage.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

92. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от user90 (?), 18-Фев-22, 13:51 
> С таким раскладом и Debian, с его древним софтом, можно как основу ставить.

.. а нужные штуки собрать самому из исходников на гитхабе, почему-то делаю так :)

Ответить | Правка | Наверх | Cообщить модератору

125. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (125), 19-Фев-22, 00:51 
В 20.04 - Chromium только в снапах. В 22.04 обещают и Firefox туда же послать.
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

139. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (138), 19-Фев-22, 16:40 
И ладно. На службе - Яндекс. Дома тоже поставил. Немного навязчивый он, но очень быстрый.
Ответить | Правка | Наверх | Cообщить модератору

146. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (-), 21-Фев-22, 13:21 
Спасибо за рекламу, товарищ майор!
Ответить | Правка | Наверх | Cообщить модератору

133. "Локальные root-уязвимости в инструментарии управления пакета..."  +/
Сообщение от Аноним (133), 19-Фев-22, 15:01 
В https://linuxmint.com/ выпилили Снэп. Что большое достоинство.
А вот в этом - https://linuxmint.com/download_lmde.php - ещё и на Дебиан уйти попробовали.

Рекомендую. Есть нюансы, но удалось отойти от зряшных выдумок.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру