Вот сама новость.
Это что ж получается, что мантра, которую десятилетиями бубнят – ну, про то, что “доступность исходного кода равняется его безопасности”, опять оказалась враньём и исключительно методом завлечения туповатых школьников в СПО-секту
Ведь исходники-то открыты – их непрерывно эффективно анализируют миллионы полупрозрачных могучих икспертов, молниеносно находя все баги и уязвимости.
На этой мантре, про “Раз открыто, то безопасно”, столько денег ведь сделано – особенно квартирными ворами и другими мат.заинтересованными лицами.
А тут – программе 10 лет, и тут ВНЕЗАПНО выяснилось, что она по разному шифрует под разными ОС, чего она в принципе делать-то не должна. И всегда так шифровала. И – что ключевое! – некие иксперты хотят денег за свой личный анализ кода по тайным методологиям.
Ну, а как же абсолютная бесплатность и идеальность открытого кода, ведь его ежесекундно анализируют миллионы икспертов, притом за бесплатно, ведь СПО, community, линукс-парады, совместное пение гимнов и прочее
Это что ж получается, что старшеклассник Василий, скачавший себе на комп исходники неизвестной ему технологии X, не становится автоматически экспертом и по данной технологии, и по её эффективному применению И ему даже придётся скидываться на то, чтобы кто-то этот код проверил Вот те раз.
Ну, а когда этот код анонимные иксперты проверят по тайной методологии, и скажут, например, что всё ОК – это ведь сразу сильно всё изменит, точно Ведь им точно-точно можно доверять – по крайней мере, пока не возникнет вторая группа икспертов, которые постулируют такую же задачу, как и первые – что есть, мол, подозрения, что…
Прекрасная схема монетизации, я считаю.
Целевая аудитория в комментариях к новости тоже не подкачала
Видите, как всё просто решается. Оказывается, факт наличия возможности ручной сборки из исходников автоматически решает все вопросы с безопасностью! Видимо, компилятор уязвимости вычищает, там надо только ключик правильный поставить. Все проблемы с безопасностью решаются, надо всего лишь с сайта, где лежат и исходники, и бинарник, скачать исходники и скомпилировать. Вот это методология безопасной СПО-разработки, вот это я понимаю, не фигня какая-нибудь типа SDL.
Главное в СПО – это веровать и Услужать идее. Если что – есть пачка мантр, они спасут, и круговая порука среди подобных. Это и есть настоящая работа в IT – Веровать, Услужать и читать заклинания. Остальное – мерзкая прюпрюритарщина, которую придумали дураки-взрослые, потому что фишку не секут.
Это, конечно, реклама Truecrypt.
Читать правду про Эсминец на Linux
Это что ж получается, что мантра, которую десятилетиями бубнят – ну, про то, что “доступность исходного кода равняется его безопасности”, опять оказалась враньём и исключительно методом завлечения туповатых школьников в СПО-секту
Ведь исходники-то открыты – их непрерывно эффективно анализируют миллионы полупрозрачных могучих икспертов, молниеносно находя все баги и уязвимости.
На этой мантре, про “Раз открыто, то безопасно”, столько денег ведь сделано – особенно квартирными ворами и другими мат.заинтересованными лицами.
А тут – программе 10 лет, и тут ВНЕЗАПНО выяснилось, что она по разному шифрует под разными ОС, чего она в принципе делать-то не должна. И всегда так шифровала. И – что ключевое! – некие иксперты хотят денег за свой личный анализ кода по тайным методологиям.
Ну, а как же абсолютная бесплатность и идеальность открытого кода, ведь его ежесекундно анализируют миллионы икспертов, притом за бесплатно, ведь СПО, community, линукс-парады, совместное пение гимнов и прочее
Это что ж получается, что старшеклассник Василий, скачавший себе на комп исходники неизвестной ему технологии X, не становится автоматически экспертом и по данной технологии, и по её эффективному применению И ему даже придётся скидываться на то, чтобы кто-то этот код проверил Вот те раз.
Ну, а когда этот код анонимные иксперты проверят по тайной методологии, и скажут, например, что всё ОК – это ведь сразу сильно всё изменит, точно Ведь им точно-точно можно доверять – по крайней мере, пока не возникнет вторая группа икспертов, которые постулируют такую же задачу, как и первые – что есть, мол, подозрения, что…
Прекрасная схема монетизации, я считаю.
Целевая аудитория в комментариях к новости тоже не подкачала
автору сабжа всего-навсего нужно перестать выкладывать бинарные сборки, собирайтесь из исходников сами
Видите, как всё просто решается. Оказывается, факт наличия возможности ручной сборки из исходников автоматически решает все вопросы с безопасностью! Видимо, компилятор уязвимости вычищает, там надо только ключик правильный поставить. Все проблемы с безопасностью решаются, надо всего лишь с сайта, где лежат и исходники, и бинарник, скачать исходники и скомпилировать. Вот это методология безопасной СПО-разработки, вот это я понимаю, не фигня какая-нибудь типа SDL.
Главное в СПО – это веровать и Услужать идее. Если что – есть пачка мантр, они спасут, и круговая порука среди подобных. Это и есть настоящая работа в IT – Веровать, Услужать и читать заклинания. Остальное – мерзкая прюпрюритарщина, которую придумали дураки-взрослые, потому что фишку не секут.
Это, конечно, реклама Truecrypt.
Читать правду про Эсминец на Linux
Последнее изменение:
Luca, 22.10.2013
13:18
Комментарии38
0 0
совершенно правильный аргумент: свободное ПО гораздо безопаснее проприетарного.И в чем же совершенство данного агрумента Да и агрумента ли Мне так кажется, что это не более чем предположение людей сидящих по ту сторону баррикады. Так сказать положительные и вдохновляющие отзывы о собственном болоте.
0 0
Зайдите на сайт и внесите пожертвование! Не обязательно деньгами, хотя это лучше всего. Если Вы - профессионал/эксперт/любитель в области защиты информации, подумайте о том, чтобы уделить нам некоторое время, чтобы помочь обнаружить баги в ПО!Ага, ага:
На сегодняшний день группа исследователей собрала в этих целях более $36 тысяч.
1. Объявляем какое-нибудь СПО кривым.
2. Предлагаем пожертвовать на исследование этого CПО.
3.
4. PROFIT!
Но больше всего мне понравилось вот это:
Важно также, что кроме аудита безопасности авторы инициативы намерены провести юридический анализ открытой лицензии TrueCrypt v3.0, из-за особенностей которой программу не смогли добавить в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora.
-1 0
свободное ПО гораздо безопаснее проприетарного.
На ка вот тебе, Павлик )))
"В процессе изучения содержимого прошивки маршрутизатора D-Link DIR-100 один из исследователей безопасности выявил наличие скрытого входа, позволяющего получить доступ с правами администратора без ввода пароля, передав при обращении к web-интерфейсу специальную строку идентификации браузера (User-Agent: "xmlset_roodkcableoj28840ybtide"). Более того, в реализации web-интерфейса из состава прошивки была выявлена уязвимость, позволяющая не только войти в web-интерфейс, но и выполнить произвольные команды в системе (прошивки D-Link основаны на Linux).
Изучение прошивок для других устройств показало, что проблема скорее всего также затрагивает модели D-Link DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240, DIR-615 и построенные на той же платформе маршрутизаторы Planex BRL-04UR и BRL-04CW. Дальнейший разбор показал, что бэкдор используется системной утилитой /bin/xmlsetc для автоматического изменения некоторых параметров через web-интерфейс, например, в процессе переконфигурации динамического DNS." http://www.opennet.ru/opennews/art.shtmlnum=38196
Идите уж на хуй со своим спо ))) И грёбаным бизапасным, априори, люлексом ))) Напомню лишний раз, для наташ и прочих жертв локалхоста ))) D-Link DIR100 производился уже хуй знает сколько лет назад ))) И только сейчас.....)))
На тебе ещё, на закуску : "Крейг Хеффнер (Craig Heffner), на днях выявивший наличие инженерного входа в некоторые маршрутизаторы D-Link, опубликовал новые сведения о наличии бэкдора в беспроводных маршрутизаторах Tenda и Medialink, выявленных после анализа содержимого прошивки. Бэкдор интегрирован в процесс httpd, основанный на коде http-сервера GoAhead, и даёт возможность выполнить любой код путём отправки специально оформленного UDP-пакета на порт 7329.
Активирующий бэкдор пакет начинается с ключевого слова w302r_mfg, после которого можно указать любую команду, которая будет выполнена на устройстве с правами суперпользователя. В частности, можно запустить демон с сервисом telnet и получить доступ к shell без пароля. Запросы на UDP-порт 7329 не принимаются с WAN-интерфейса, т.е. совершение атаки возможно только из локальной или беспроводной сети. Бэкдор присутствует в нескольких десятках моделей беспроводных маршрутизаторов, выпускаемых под брендами Tenda и Medialink. "
Если до тебя, неофита и поп-певца, по совместительству, во славу ЧМО (спо), не дошло из пруфов, то в выделеном жирным чёрным по белому сказано, что не святые для долбоёбов павликов СОРЦЫ, а явно указано содержимое ПРОШИВКИ )))
А теперь найди хотя бы упоминание про паганый проприентарный насквозь зюхель ))) Певец ты наш, сраному поделию и святаму ЧМО (спо) )))
--
Walking In My Shoes
edited:
logmein, 22.10.2013
12:12
0 0
На ка вот тебе, Павлик )))Эк прихватило... Когда отпустит, попей водички. Потом покажи мне, мил человек, исходники прошивки D-Link DIR-100. И лицензию на нее, заодно. Только не очень напрягайся, а то опять пена пойдет.
"В процессе изучения содержимого прошивки маршрутизатора D-Link DIR-100 один из исследователей безопасности выявил наличие скрытого входа [...] И грёбаным бизапасным, априори, люлексом [...] А теперь найди хотя бы упоминание про паганый проприентарный насквозь зюхель ))) Певец ты наш, сраному поделию и святаму ЧМО (спо) )))
0 0
Ага, ага:Ну, дык, никто ж не говорит, что вокруг СПО не может быть жуликов. А что касается этой истории - можно было бы и забить, кабы не 28 миллионов загрузок. Кому надо, тот пусть платит.
На сегодняшний день группа исследователей собрала в этих целях более $36 тысяч.
1. Объявляем какое-нибудь СПО кривым.
2. Предлагаем пожертвовать на исследование этого CПО.
3.
4. PROFIT!
0 0
А теперь найди хотя бы упоминание про паганый проприентарный насквозь зюхель )))Да, впрочем, вот, пожалуйста.
А хошь сам гугли "zyxel backdoor"
;))) Не переживай, всё нормально будет, поправляйся!
0 0
А хошь сам гугли "zyxel backdoor"В ZynOS 4 ещё не нашли ни одной уязвимости, так-то.
--
Мы все знаем, что линукс потрясающий… Он выполняет бесконечные циклы за 5 секунд. (с) Линус Торвальдс
0 0
В ZynOS 4 ещё не нашли ни одной уязвимости, так-то.Zyxel перешла на Linux, начиная с Keenetic.
What is ZLD
"
ZLD is ZyXEL Linux Distribution. It is the Linux based platform abbsorted free and open source software on our routers that delivers network services and applications. It is designed in a modular fashion so it is easy for developers to add new features."
В общем, мне жаль, ребята, но... :)))
0 0
В Truecrypt могут быть закладкиСупер... а могут и не быть, да
Эксперты подчеркивают, что несмотря на отсутствие признаков компрометации используемых в программе методов шифрования, а также на тот факт, что Truecrypt является открытым проектом, многие эксперты относятся к нему с подозрением.Путин может быть женщиной, несмотря на "отсутствие признаков компрометации".
"Путин баба, ололо!" (с) LinExp
0 0
Zyxel перешла на Linux, начиная с KeeneticZyxel не прошивает ZynOS на все свои устройства, это так. ZLD у них уже давно имеется. Но вся линейка Prestige идёт с ZynOS. А то, что ты запостил про уязвимость в прошивке от Zyxel - это ZLD и есть, если не ошибаюсь. Так что сам себя закопал! :) Можешь посмотреть, кстати, на какие устройства устанавливается ZLD.
--
Мы все знаем, что линукс потрясающий… Он выполняет бесконечные циклы за 5 секунд. (с) Линус Торвальдс
0 0
Потом покажи мне, мил человек, исходники прошивки D-Link DIR-100. И лицензию на нее, заодно.
Хе-хе!!! Я знал, я знал!!! ))) Между тем поделиё защищено антилопой гну и ниипацца конторкой FSF у которой, по аффтаритетному мнению окончательно ёбнутых павликов, "длинные руки" ))) Чош тогда ваш полудурок Штульман не защищает права антилопы гну и святое саопчество, заклеймив позором паганый дэлинк и навесив на него ниипацца епитимью ))) Ведь он, сцуко, пользуется лучезарным святым йадром, под погонялой люликс и ебал по нотам всё ваше колхозное стадо павликов, поющих пестняки по всем углам тырнета ))) Бэкдуры, падла, в лоно ЧМО (спо) не возвращает и нагло смеётся над павликами )))
Т.е. попутно, внезапно! выясняется, что ваша филькина грамота, жопаэль, вместе с "защитой" аффтаритетной конторки FSF банальная фикция ))) Всем похуй на ваши колхозные "права"!!! ))) И вы тут, чего то ещё усираетесь, насколько "хороша" ваша филькина грамота, жопаэль с козлячьей мордой )))
--
Walking In My Shoes
edited:
logmein, 22.10.2013
14:49
0 0
logmein, ты упорот или проспись.
0 0
А что ))) Не нравится ))) Это жизнь такая, детка ))) А не трямканье про беспонтовую жопаэль с козлячьей мордой антилопы гну, в эльфийском лесу, в землянке ))) Угадайте, чтобы сделала контора, у которой дэлинки спиздили софт под EULA ))) Так что подмойтесь и курите бамбук в сторонке ))) Жуйте кактусы бэкдуры от дэлинка и других косоглазых производителей на лучезарном святом йадре и мечтйте дальше про бизапаснасть и бабло от святага ЧМО (спо) )))
--
Walking In My Shoes
edited:
logmein, 22.10.2013
16:02
0 0
logmein, узбагойся, вот тебе сорцы DIR100 http://tsd.dlink.com.tw/downloads2008detail.asp
Пля, web 2.0... Кароч вверху выбирай и качай
Пля, web 2.0... Кароч вверху выбирай и качай
0 0
ЫЫЫ!!! Ещё лучше!!! ))) Блять, с 2006 года!!! дыра висит ))) Мильоны павликов, перед сном и святым ЧМО проверяют священую жопаэль и дэлинков, аха )))
Молодцы, хуле !!! Пиздоболы-затейники ))) Зато пиздеть могут часами, как ксендзы в "Золотом телёнке" Козлевича охмуряли ))) Как заебись в ЧМО (спо) и какие они шписиалисты ниипацца в рот )))
Молодцы, хуле !!! Пиздоболы-затейники ))) Зато пиздеть могут часами, как ксендзы в "Золотом телёнке" Козлевича охмуряли ))) Как заебись в ЧМО (спо) и какие они шписиалисты ниипацца в рот )))
--
Walking In My Shoes
0 0
logmein, давай я не буду доламывать твою и так ушатанную психику рассказами о том, что безопасность, построенная на принципе "черного ящика" - миф. Живи в своем выдуманном мире дальше.
0 0
0 0
Пля, web 2.0... Кароч вверху выбирай и качай
А нетути уже DIR100, да ((( Правда на DIR120 и все другие, перечисленые в статье есть ))) То то теперь мильоны павликов занюхнут жопаэльку и аж закондобятся ))) ЫЫЫ!!! )))
--
Walking In My Shoes
0 0
А нетути уже DIR100, да ((( Правда на DIR120 и все другие, перечисленые в статье есть ))) То то теперь мильоны павликов занюхнут жопаэльку и аж закондобятся ))) ЫЫЫ!!! )))Кто-то этот поток символов смог распарсить
0 0
logmein, давай я не буду доламывать твою и так ушатанную психику рассказами о том, что безопасность, построенная на принципе "черного ящика" - миф. Живи в своем выдуманном мире дальше.
Я то, по сравнению с вами, нашими меньшИми четвероногими друзьями, совершенно спокоен ))) И прекрасно осознаю, что вся дутая безопасность на голубом шарике фикция ))) А вот вы то, взращёные на мифах и сказках о ЧМО (спо) ещё не один раз схватите когнитивный диссонанс ))) Выйдя из землянки в эльфийском лесу )))
--
Walking In My Shoes
0 0
logmein, т.е. ты тоже из любителей сначала выдумать миф а потом его опровергнуть Ок, буду знать, что разговаривать с тобой, рукожопное безмозглое существо из латекса, смысла нет
0 0
logmein, т.е. ты тоже из любителей сначала выдумать миф а потом его опровергнуть Ок, буду знать, что разговаривать с тобой, рукожопное безмозглое существо из латекса, смысла нет
Хе-хе! ))) Да с какой стороны на вашу козью морду не посмотришь, так один только фэйл получаешь ))) Как оказалось, по факту, только в этом треде, мильоны павликов жопуэль с святыми сорцами девайсов и в глаза то не видели, включая и тебя убогого )))
--
Walking In My Shoes
0 0
Выйдя из землянки в эльфийском лесу )))По-моему,
0 0
А проверил ли отрок Павлик святые сорцы паганого дэлинка, в частности D-Link DIR120 )))
ЫЫЫ!!!
Изучение прошивок для других устройств показало, что проблема скорее всего также затрагивает модели D-Link DIR-120
ЫЫЫ!!!
--
Walking In My Shoes
-
# 22 октября 2013 07:58:58
0 02. Соберутся, изучат, успокоятся. Это народ малость взволновался после Сноудена. Но это - на пользу.
3. И главное: давайте заглянем на один ссылочный уровень дальше и прочитаем здесь:
"Go to the site and donate! It doesn't have to be money, although that would be best. If you're an information security professional/expert/hobbyist please consider giving us some of your time to help identify bugs in the software."
"Зайдите на сайт и внесите пожертвование! Не обязательно деньгами, хотя это лучше всего. Если Вы - профессионал/эксперт/любитель в области защиты информации, подумайте о том, чтобы уделить нам некоторое время, чтобы помочь обнаружить баги в ПО!"
Никто никогда этого не думал и не говорил, за исключением дураков и неофитов, которые своеобразно поняли совершенно правильный аргумент: свободное ПО гораздо безопаснее проприетарного.
Ну, или есть такие, как Вы, уважаемый топикстартер, которые формулируют миф для того, чтобы блестяще и с ветерком его опровергнуть.