| 1.1, Аноним (1), 11:29, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –13 +/– |
Читая оригинал, видятся сишные дыры по всем пунктам. В переводе как-то не так очевидно. Очень рад за опенбсд, но продолжу пользоваться редхатовским chrony. Главный вопрос, зачем столько реализаций одного и того же?
| | |
| |
| 2.3, Аноним (3), 11:43, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Главный вопрос, зачем столько реализаций одного и того же?
"В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код)." у редгадовского chrony, нет первичной оглядки еа обеспечение безопастности.
| | |
| |
| 3.4, Аноним (1), 11:52, 13/12/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Это пустые слова, ни о чём. Скорее там где больше корпоративных пользователей, там и меньше возможностей для ошибок, и они быстрее находятся.
Я бы не стал использовать ничего связанного с опенбсд все опенбсд, вед тамошние разработчики прямо заявляли, что ошибочное поведение их кода в прочих системах их не беспокоит.
| | |
| |
| 4.5, Аноним (5), 12:15, 13/12/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так посмотрите в код и сделайте выводы. Даже беглого взгляда достаточно, чтобы понять, где overengineering, а где разумный для обычного компьютера или небольшой сети набор функций.
| | |
| |
| 5.12, Аноним (12), 13:03, 13/12/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Даже беглого взгляда достаточно, чтобы понять, где overengineering, а где разумный для обычного компьютера или небольшой сети набор функций.
Дайте угадаю,
> В фоновом процессе ntpd в процессе загрузки реализована безопасная установка и получение значения времени, даже на системах без автономного питания таймера.
до еще вчера дня был overengineering, но сегодня внезапно перешел в "разумный набор функций".
Типичное оправдание для NIH-синдрома:
— Я тут сделал велосипед, но не сделал регулировку седла по высоте, потому что это вредная и ненужная фича"!!!1
…Two years later…
— Смотрите, я прикрутил регулировку седла по высоте! Но регулировка руля пока еще вредная и ненужная фича!!!1
| | |
| |
| 6.53, PereresusNeVlezaetBuggy (ok), 23:24, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
> Дайте угадаю,
>> В фоновом процессе ntpd в процессе загрузки реализована безопасная установка и получение значения времени, даже на системах без автономного питания таймера.
> до еще вчера дня был overengineering, но сегодня внезапно перешел в "разумный
> набор функций".
> Типичное оправдание для NIH-синдрома:
> — Я тут сделал велосипед, но не сделал регулировку седла по высоте,
> потому что это вредная и ненужная фича"!!!1
> …Two years later…
> — Смотрите, я прикрутил регулировку седла по высоте! Но регулировка руля пока
> еще вредная и ненужная фича!!!1
Ну, если по-вашему разнос функциональности по зонам ответственности и изоляция на уровне процессов — это overengineering, то даже и не знаю что сказать-то. Удачи вам в с реальным кодом.
А лучше всё-таки загляните в сорцы, прежде чем голословно что-то утверждать.
| | |
|
|
| 4.11, YMM (?), 13:01, 13/12/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Когда я ещё пытался использовать линукс в качестве десктопа, пользовался этой штукой на различных дистрах, проблем не было.
| | |
| |
| 5.51, edo (ok), 22:23, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
 А у меня были проблемы, периодически обнаруживал на каком-нибудь хосте убежавшее время. Сейчас использую chrony и проблем нет.
| | |
| |
| 6.57, YMM (?), 23:55, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>Сейчас использую chrony и проблем нет.
Ну и отличненько.
| | |
|
|
| |
| 5.15, Аноним (1), 13:56, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Т.е. ты не используешь OpenSSH?
Использую. Какой у меня выбор, putty? Клиент, допустим. Сервер lsh никуда не годится. А подождите, есть же dropbear, он повсюду! Я и забыл. Sftp не поддерживает, что ещё? Получается, можно и заменить при желании.
| | |
|
| |
| 5.20, Аноним (1), 15:19, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Наоборот же, мы отказываемся от дырявой опенбсдшной либрессл в пользу опенссл.
| | |
| 5.21, Аноним (1), 15:22, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Удачи отуазаться от OpenSSH и OpenSSL.
Опенсш предпочтительнее путти в качестве клиента, но дропбеар это не только сервер но и клиент. Я не использовал на клиенте если честно.
| | |
|
| 4.29, Аноним (29), 19:18, 13/12/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Я бы не стал использовать ничего связанного с опенбсд
Перестань использовать OpenSSH.
| | |
| 4.54, PereresusNeVlezaetBuggy (ok), 23:28, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Я бы не стал использовать ничего связанного с опенбсд все опенбсд,
Выкиньте из своей системы OpenSSH. Выкиньте NTP-сервер, т.к. он использует пришедший из OpenBSD adjtime(2). Выкиньте весь софт, использующий мерзкий getentropy(2). Не ходите в Интернет через роутеры, работающие на OpenBGPd. Да, и не ходите на сервера, управляемые тем же OpenSSH, тоже. Выкиньте софт, использующий snprintf(3) и strlcpy(3). Продолжать?
> вед
> тамошние разработчики прямо заявляли, что ошибочное поведение их кода в прочих
> системах их не беспокоит.
А если не выдирать слова из контекста, то жить не так интересно, ага.
| | |
|
| 3.10, Аноним (12), 12:57, 13/12/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> "В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код)."
Типичная лапша на уши от Тео и Ко. Как показали не очень давние новости, дыры там встречаются достаточно эпичные, просто работает эффект неуловимого Джо.
| | |
| |
| |
| 5.16, Аноним (1), 13:59, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я настолько разочаровался в этих базах CVE, что могу только горько усмехнуться, когда кто-то всерьёз в очередной раз что-то там сравнивает по ним. Клоунада чистой воды.
| | |
| |
| 6.17, Аноним (13), 14:10, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Научи нас, как правильно сравнивать, о великий гуру! Вот два проекта. Что делать, как понять, какой дырявее?
| | |
| |
| 7.18, Аноним (1), 14:16, 13/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Никак ты не сравнишь, это всё пустое. Там, где больше исправлений, там дыр потенциально меньше. Или же код совсем плох, можно посмотреть на критичность проблем. Однако, в популярный софт злоумышленники пропихивают свои бэкдоры, это обратная сторона, но есть вероятность, что заметят раньше. Принцип Неуловимого Джо работает до тех пор, пока ты, или используемое тобой ПО, кого-нибудь да не заинтересует.
| | |
| |
| |
| 9.26, Аноним (1), 18:54, 13/12/2020 [^] [^^] [^^^] [ответить] | +2 +/– | Число дыр величина плюс минус постоянная Там, где их не нашли, они остаются Вс... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.24, Sgt. Gram (?), 17:28, 13/12/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Читая оригинал, видятся сишные дыры
Сенсация! Срочно в номер! Сишные дыры умеют читать!
| | |
|
| |
| |
| 3.8, Аноним (12), 12:55, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Линус на эту тему выразился более метко, но менее политкорректно.
| | |
|
|
| 1.22, YMM (?), 16:25, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Везде, по возможности, использую OpenBSDишный софт. Изящно спроектированный, элементарный в настройке, супер стабильный и безопасный.
Безусловно, один из самых значимых проектов.
| | |
| 1.27, Аноним (-), 19:00, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>NTP без Network Time Security
ОС позиционирующая себя как защищенная не планирует переход на безопасный стандарт?
| | |
| |
| 2.33, анонимуслинус (?), 02:53, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
она не самая безопасная, она самая редкая и непроверенная. линь тоже был жутко безопасным, пока не стал популярен у корпораций)) единственная безопасность это другая платформа и небольшое её количество, вот тогда никто не полезет. например как были маки до перехода на интел. их было мало , хоть ось и была популярна, но она никому для взлома нафиг была не нужна и особенно руткиты под неё писать было оч неудобно. ну а как увеличили продажи вместе с интеллом, то и оказалось, что без антивиря жить не может как винда( ну почти), но там сильно упростили работы прав доступа, да и политика приложений на подобии флатпаков там уже давно.
| | |
| |
| 3.36, G0Dzilla (??), 07:33, 14/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
О, божечки! Я же 13 лет сижу без антивируса на маке!!! Видимо, у меня по всей системе одни вирусы да руткиты. Бида-бида!!!
| | |
|
|
| 1.30, Аноним (30), 22:14, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный для аудита код).
То есть никто аудитом не занимался. Как только займутся, сразу окажется, что там дыра на дыре, как это обычно в OpenBSD.
| | |
| |
| 2.32, Аноним (32), 00:29, 14/12/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Приведите пожалуйста примеры, чтобы я понимал о чём вы говорите. Пока что для меня ваша речь выглядит как наброс от неспециалиста.
| | |
| |
| |
| 4.48, Аноним (13), 21:31, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
> We thank Theo de Raadt and the OpenBSD developers for their incredibly
> quick response: they published patches for these vulnerabilities less
> than 40 hours after our initial contact.
Неплохо. Сразу видно, кто о безопасности действительно беспокоится.
| | |
|
|
|
| |
| 2.41, вынь любит вас во все девайсы (?), 14:16, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Там шляпа.
Какой-то открытый 80 порт.
Имя пользователя, которое они узнали телепатически.
Я так понял, они через php приложение утащили ключ пользователя.
Похоже, что это подготовленная машина для взлома для тренировки ЧСВ.
| | |
| 2.49, Аноним (13), 21:39, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Очередной кукарекаст, не умеющий то ли читать, то ли понимать прочитанное.
Это специально проделанная дыра. Там речь о каком-то конкурсе кулхацкеров. Специально поставили дырявый пхп-скрипт в преднамеренно криво настроенный апач, чтобы его ломали.
| | |
|
| 1.35, Аноним (34), 04:32, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
И тогда вопрос, а если не OpenBSD, то кто/что для безопасного headless шлюза?
Разве есть еще другие варианты?
| | |
| 1.44, Ivan_83 (ok), 23:32, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 chrony лучше.
Когда юзал сабж он не умел принудительно выставлять время, только плавные корректировки.
Если если часы уехали на пару дней и более оно будет целую вечность выправлять время, вместо того чтобы сразу выставить правильное время.
| | |
| |
| 2.50, Аноним (13), 21:45, 15/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Он обязан так делать по RFC. Впрочем, опция -s, позволяющая наплевать на RFC, в нём тоже есть (лень заниматься изысканиями, насколько давно).
| | |
| |
| 3.56, PereresusNeVlezaetBuggy (ok), 23:34, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Он обязан так делать по RFC. Впрочем, опция -s, позволяющая наплевать на
> RFC, в нём тоже есть (лень заниматься изысканиями, насколько давно).
Более того, эта опция без пяти минут выкинута в пользу более любопытного механизма constraints, позволяющего грубо выставить время на основании HTTPS-запроса к доверенному серверу. ХЗ, как там с этим у chrony, если честно.
| | |
| |
| |
| |
| 6.65, Ivan_83 (ok), 17:27, 16/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Имелось ввиду что часы могут быть сбиты на годы, и тогда валидация сертификата не пройдёт, тк он будет из будущего или прошлого.
| | |
|
|
| 4.64, Ivan_83 (ok), 17:27, 16/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не хочу я этот костыль.
В том плане что если потребуется секурность то я озабочусь доверенным источником времени, но делать чтобы он отдавал его по https - фигня полная.
| | |
| |
| 5.67, edo (ok), 18:31, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Справедливости ради, в общем случае доверенному источнику времени неоткуда взяться, так что хак с https может быть вполне оправдан.
> Имелось ввиду что часы могут быть сбиты на годы, и тогда валидация сертификата не пройдёт, тк он будет из будущего или прошлого.
Я думаю, что разработчики не глупее нас и в случае начальной установки времени по https отрывают проверку даты действия сертификата.
| | |
|
|
| |
| 4.68, edo (ok), 19:04, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я сейчас не помню деталей, руку на отсечение не дам, но вроде бы у меня openntpd переставал работать после некоторого (продолжительного) аптайма. Это было много лет назад, сейчас, возможно, проблемы пофиксили, но никакого желания проверять это у меня нет, chrony всем устраивает (сейчас глянул, в установленном виде он вдвое больше, но в абсолютных цифрах это пара сотен килобайт)
| | |
|
|
|
|
