Пользователь
0,0
рейтинг
29 января 2011 в 23:51

Разработка → Windows можно взломать через MHTML-файл

Softpedia передает, что в Windows всех версий нашли уязвимость нулевого дня. На этот раз под «раздачу» попал обработчик MHTML-файлов в IE. Злоумышленник может внедрить в архив страницы вредоносный скрипт, который будет запущен при попытке просмотра файла. Итог — сбор пользовательской информации, подмена веб-страницы и т.п. Патч до сих пор не выпущен, MS предлагает просто отказаться от открытия этих файлов.
mdemidov @mdemidov
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (413)

  • +77
    Может MS сразу предложить отказаться от Windows? Так еще проще.
    • +23
      Действительно, ведь в других операционных системах «уязвимостей нет»
      • +22
        Дело не в уязвимостях, а в отношении к ним.
        • –4
          А вы я смотрю любите патчить наспех не протестировав произведённые изменения.
        • +19
          Нормальное отношение, они опубликовали оповещение и несколько путей временно избежать уязвимость, пока ведется исследование проблемы, а не просто «предлагает просто отказаться от открытия этих файлов». Почитайте www.microsoft.com/technet/security/advisory/2501696.mspx для начала.

          А вот подход автора новости (искажение информации), это да, это некрасиво.
          • 0
            Может оно и так, я лишь прокомментировал то, что увидел. Глубоко в проблеме не разбирался, поскольку тема не очень для меня интересна, а понадеялся на компетенцию и объективность автора.
            • +8
              Пастернака не читал, но осуждаю. :)

              Обычно перед тем как высказывать мнение стараются разобраться в том о чем собираются высказывать свои суждения.
              • –1
                Ну что же, впредь буду внимательнее. Признаюсь, последнее предложение меня, как не сильного поклонника продукции Microsoft, слегка раззадорило.
              • –2
                Еще угораздило первым постом влезть и целый холивар развести. Теперь моя карма совсем не пример для подражания =)
      • +18
        У других операционных систем в конце подобных новостей обычно есть строчка «патч уже выпущен».
        • +29
          Обычно ставишь апдейты безопасности а потом ждешь новостей, что это были за уязвимости :)
        • 0
          Очевидно, патч не могут выпустить мгновенно после появления уязвимости. Более того, для всестороннего тестирования патча как ни крути может потребоваться несколько дней времени, а то и неделя. Если в новости пишут «патч уже выпущен», скорее это просто новость запоздалая =)
          • –8
            > Очевидно, патч не могут выпустить мгновенно после появления уязвимости.
            Мгновенно — нет. Обычно выпускают в день обнаружения или максимум на следующий.
            • +6
              Хотите сказать, что в линуксе (в ядре и популярных дистрибутивах) в баг-трэкере нет критичных багов в безопасности старее одного-двух дней?
              • –1
                Вы внимательно читали мои сообщения?
              • –6
                А что, есть?
            • +4
              Я просто удивляюсь рассуждениям, смысл которых сводится к тому, что разработчик лох, потому что не выпустил патч сразу же или через день/два после обнаружения уязвимости.

              Вы сами-то способны выпустить патч сразу или через день или два после обнаружения уязвимости в Вашей софтинке? Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
              • +3
                > Я просто удивляюсь рассуждениям, смысл которых сводится к
                Написанию выводов из сделанных наблюдений.

                > Вы сами-то способны
                lurkmore.ru/Сперва_добейся

                > Вы наверное самый активный писатель патчей к ядру Linux? Закрываете найденную уязвимость в нём спустя час после обнаружения? О боги, да вы идеальный программист!
                Вы можете пойти к офису Red Hat Inc. и поорать всё это там. Кстати, а чего это вы так нервничаете? Что-то не так?
                • +2
                  Написанию выводов из сделанных наблюдений

                  Подытожим Ваши результаты наблюдений из этой ветки обсуждений:
                  1) «У других операционных систем в конце подобных новостей обычно есть строчка «патч уже выпущен»»
                  2) «Обычно <патч> выпускают в день обнаружения или максимум на следующий»

                  Надеюсь Вы не много ресурсов потратили на наблюдения?

                  Вы можете пойти к офису Red Hat Inc. и поорать всё это там

                  Зачем? RedHat Inc. пишет патчи для ядра Linux. Ребята из RedHat Inc. смогут сказать за сколько в среднем они устраняют ту или иную уязвимость, основываясь на своем опыте. И они, естественно, не будут кричать, что кто-то не устранил уязвимость в один момент, а значит он плохой программист. Потому что они знают, что это непросто.

                  А на чем основываются Ваши суждения? На наблюдениях, что описаны Вами выше?

                  Кстати, а чего это вы так нервничаете? Что-то не так?

                  Я не нервничаю. Я
                  > просто удивляюсь
                  • –2
                    Продолжим, когда вы процитируйте моё сообщение, в котором я кого-либо называл плохим программистом. Так же прошу вас обратить внимание на те сообщения, на которые я отвечал.
                    • 0
                      Вы этого не писали.
                      Но смысл Ваших сообщений с негодованием по поводу «мгновенных патчей» сводится именно к этому.
                      Это результат моего наблюдения за Вами.
                  • +2
            • +7
              Не нашёл красивого графика за более поздний год, поэтому:

              В результате были получены следующие значения среднего времени (в днях) устранения уязвимостей в различных операционных системах:


              На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.



              www.securitylab.ru/analytics/311005.php

              • 0
                > Не нашёл красивого графика за более поздний год
                В таком случае максимум, что нам есть обсуждать, это безопасность Windows XP SP2.
                • +1
                  С времён XP всё с безопасностью стало лучше.

                  Вы реально считаете, что в RedHat уязвимости закрывались 106.83 дня в 2006 году, а через 4 года стали «выпускают в день обнаружения или максимум на следующий»???
                  • –2
                    > С времён XP всё с безопасностью стало лучше.
                    Предоставьте более актуальную статистику с пруфлинками.

                    > Вы реально считаете, что в RedHat уязвимости закрывались
                    Если у Red Hat всё так плохо с безопасностью, то почему нет эпидемий на Linux-серверах из-за уязвимостей в Linux?
                    • +1
                      Хороший сисадмин держит открытыми только те порты, которые необходимы для работы сервера. Сделайте так на винде и к ней никто не подберется.

                      P.S. Не в тему, но все же. Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
                      • 0
                        Windows Update и дистрибутивы Windows раздаются с Винды? А то Akamai похоже на Linux работает.
                        • 0
                          А к чему это вообше?

                          Akamai Technologies — поставщик услуг для Web: акселерация веб-сайтов, провайдер платформ доставки контента и приложений. Использует большое количество территориально распределённых серверов для более быстрой доставки контента посетителям.

                          Среди клиентов компании: Adobe, Apple, AMD, Amazon.com, BBC, BenQ, CNET, European Space Agency, IBM, L’Oréal, Microsoft, MySpace, NASA, Nintendo, PC World, Sony, Red Hat, Reuters, Siemens, Yahoo, Icloud.

                          Akamai — это CDN. У Microsoft сервера на Windows.
                          • –1
                            > А к чему это вообше?
                            А это?
                            > Серверы xakep.ru случаем не на винде? А то сайт на ASP.NET написан.
                            • +2
                              К вопросу о правильной настройке сервера, от которой сервер на любой ОС избегает «эпидемий».
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  С этим я согласен. Но хотя бы можно будет свести к минимуму вероятность падения. А дырок полно везде.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      Вероятность угробить операционку выше, если квалификация админа оставляет желать лучшего. А теперь прикиньте средний уровень грамотности пользователей винды и линукса. Или вам тоже пруф нужен?
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        • 0
                                          — вероятность падения зависит от качества софта, а не от админа.
                                          Ваши слова.
                                          От админа тоже многое зависит. Согласен, качество защиты софта от дурака — немаловажно, но дураку можно и стеклянный фаллос дать…
                              • 0
                                > К вопросу о правильной настройке сервера
                                Как подметил ваш коллега «Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.»
                                Согласны с ним? Если да, то причём тут xakep.ru? Если нет, то пишите ему habrahabr.ru/blogs/infosecurity/112801/#comment_3615256 а не мне.
                      • 0
                        да, сервер xakep.ru на Win2k Server раньше работал. Помню как раз в неделю туда закидывали трояны и потом не работал чатик.
                    • –1
                      А почему не эпидемий на Windows серверах?

                      Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
                      • 0
                        > А почему не эпидемий на Windows серверах?
                        Напомнить про Conflicker?

                        > Ответ прост. Большинство уязвимостей во всех ОС трудно эксплуатировать, если наружу открыт только 80 порт.
                        Будто Linux только на web-серверах используют.
                        • 0
                          >Будто Linux только на web-серверах используют.
                          А оно больше не для чего не годно, поэтому и 1%.
                          • +1
                            > А оно больше не для чего не годно, поэтому и 1%.
                            ИТ-шники фондовых бирж (особенно Лондонской) смотрят на вас исподлобья, несколько осуждающе. Может мне ещё про Android напомнить?
                            • –2
                              >ИТ-шники фондовых бирж (особенно Лондонской) смотрят на вас исподлобья, несколько осуждающе.
                              Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
                              >Может мне ещё про Android напомнить?
                              А чего там? От линукса там только ядро, которое для гугла тысяча обезьян за бесплатно пишут. И с каких пор у линуксоидов такая любовь к закрытым вещам?
                              • +2
                                > Вы всерьёз считаете что там применяется тот же линукс что у вас дома?
                                Вы разбираетесь в сортах Linux? Да неужели?! Расскажите больше!

                                > От линукса там только ядро
                                И?

                                > которое для гугла тысяча обезьян за бесплатно пишут.
                                Докажите.

                                > И с каких пор у линуксоидов такая любовь к закрытым вещам?
                                На эту тему вот тут хорошо сказано: twitter.com/arubin/status/27808662429
                              • 0
                                >Вы всерьёз считаете что там применяется тот же линукс что у вас дома?

                                Да.
                              • +1
                                А Линукс — это и есть ядро.
                                • 0
                                  Смотрите как интересно получается. Когда удобно говорить, что только ядро то так и говорим, когда удобно говорить, что это вообще ОС то тоже так говорим и ещё примазываем кучу софта к этому делу.
                                  Ведь как удобно говорить «в нашем линуксе куча софта сразу идёт не то, что в вашем виндовсе». А то что линукс это только ядро мы как всегда забываем…
                                  • 0
                                    Ведь вендотроллю так удобно подождать сообщение, на которое у него заготовлен ответ из карманного справочника вендортролля, и ответить только на него.
                                  • +2
                                    В убунте куча софта сразу идёт, не то, что в вашем виндовсе.
                      • 0
                        Большинство уязвимостей вообще трудно эксплуатировать если у оператора компьютера / администратора сервера руки прямые. Но это не означает что на всех остальных можно забить и уязвимости не исправлять.
              • +5
                Вы всегда на веру все принимаете, даже не попытавшись разобраться? То что вы показали это перевод «Days-of-risk in 2006: Linux, Mac OS X, Solaris and Windows» руководителя стратегией безопасности Микрософт, не говоря уже о том что для Микрософта тут посчитана разница с момент появления уязвимости, а с момента официального признания ей Микрософт…
                www.opennet.ru/opennews/art.shtml?num=13503
                • +1
                  Как Вы лихо приравниваете цитирование «руководителя стратегией безопасности Микрософт» к «не попытавшись разобраться». Тоесть по Вашему, те отчёты, что делает Microsoft рассматривать вообще не стоит? А вот opennet.ru — вершина аналитической работы и правда в чистейшем, отборном виде?
                  • +1
                    Внимательно прочитайте мой коммент, основное в нем — это то что в статье идиотский подсчет времени, а уж кто написал — всего лишь объяснение почему выбрали именно этот вариант подсчета.
                • 0
                  Конечно же «разница НЕ с момента появления уязвимости», извиняюсь
              • +4
                По заказу Microsoft наа деньги Microsoft при технической поддержки специалистов Microsoft было проведено независимое исследование
                • 0
                  Логика: всё, что говорит Microsoft неправда, независимо от того, что говорится — это хороший способ отбросить в споре аргументы, противоречащие Вашей позиции, независимо от содержания аргументов.

                  Если продукты RedHat в чём-то уступают продуктам Microsoft, никто из RedHat в здравом уме об этом не напишет. Напишет об этом только Microsoft. Но то, что об этом пишет Microsoft делает это автоматически в Ваших глазах неправдой.

                  Хорошая позиция. Отбрасывание всех аргументов «за» Microsoft и «против» не Microsoft — ход гениальный. Так в любом споре выйграть намного легче.
                  • +2
                    У MS репутация известных подтасовщиков фактов.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • +1
                      Я ни разу не заражался с флешек. ЧЯДНТ?

                      Мне говорят, что на улице дождь. Я смотрю в окно и вижу тёплую солнечную погоду. ЧЯДНТ? Это я про Windows…

                      И да, я не говорю, что так у всех пользователей. Я говорю только про себя.
                    • 0
                      Порадовали своим полным непониманием механизмов и мотивов киберпреступников.

                      Для вашей ОС Linux пока что не пишут вирусов не потому что она супербезопасная, а потому что ее экономически не выгодно атаковать. Какой смысл исследовать и взламывать ОС которой пользуется 1% населения? Затраты не окупятся.

                      Как только Linux наберет хотя бы 5% десктопного рынка к его взлому сразу проявят интерес. Так что все самое потрясающее у вас еще впереди. Вы ведь гордитесь отсутствием антивируса.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • +2
                          Сходите что ли на Secunia.org посмотрите количество уязвимостей в вашем любимом Linux. Я не считаю что Linux чем либо лучше и надежнее Windows.

                          Нет на планете ни одной надежной и совершенной ОС или приложений. Везде и всегда будут ошибки в коде. Вопрос лишь в их количестве и в том насколько они критичны для выполнения функций заявленых производителем.

                          Ваш подход это весьма опасное заблуждение. Вы не понимаете реального уровня безопасности используемого продукта, но твердо уверены в том что защищены.

                          В тоже время вся ваша защита это лишь ненужность атакующему. Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • +5
                              Скринлокер появляется потому что потенциальное поле деятельности для злоумышленника 90% рабочих станций. Это значит что существует большая вероятность заблокировать что то ценное для пользователя. А значит кто то да заплатит.

                              А теперь посчитаете вероятность заблокировать Linux который используется на 1% компьютеров. Сколько среди заблокированных окажется неквалифицированных пользователей готовых заплатить? Под сколько дистибутивов злоумыщленнику надо писать зловредный код чтобы его труд окупился?

                              Надеюсь теперь вы понимаете что движет злоумышленником и догадываетесь что малое количество зловредного кода для той или иной платформы связано в первую очередь не с ее безопасностью а с потенциальной выгодой от удачной атаки.
                              • 0
                                У этого 1% на компе можно разжиться много чем интересным :) ssh ключики, пароли, ценная инфа.
                                • +3
                                  Даже если найти ключи на ssh все равно получается невыгодно.

                                  Красть номера кредитных карт у сотен миллионов необученных пользователей гораздо проще и прибыльнее.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  Не согласен. Предлагаю вам изучить почему безопасность через сокрытие глупый подход к безопасности.

                                  en.wikipedia.org/wiki/Security_through_obscurity#Arguments_against

                                  Вас не ломают не потому что вы защищены с помощью Linux, а потому что вас как неуловимого Джо никто не ловит.

                                  А как начнут ловить будет очень грустно отказываться от мифов которыми вы тут пытаетесь всех кормить.

                                  Безопасность это не только использование той или иной технологии, но еще и выполнение элементарных процедур. Отсутствие антивируса на вашей машине показывает что вы как рыцарь в картонных доспехах бравируете своей уникальностью, которая никакого отношения к безопасности не имеет.
                                  • +2
                                    Где вы безопасность через сокрытие увидели? этим как раз Микрософт и иже с ними страдают
                                    • 0
                                      А использование редкого ПО в надежде на то что его не сломают это разве не безопасность через сокрытие?

                                      При этом нормальных мер таких как аудит ОС, антивирусная защита и.т.д не проводится.
                                      • +2
                                        Тогда я вообще должен быть параноиком, ибо юзаю в некоторых областях самописное ПО.

                                        Зачем нужна вообще антивирусная защита? Аудит кода проводится, попробуйте включить свое ПО в состав Убунты или Дебиана.
                                        • –1
                                          А часто в репозитарий еще и с троянами опенсорс укладывают. И лежит он там не найденым месяцами.

                                          www.google.ru/url?sa=t&source=web&cd=1&ved=0CB0QFjAA&url=http%3A%2F%2Fnews.softpedia.com%2Fnews%2FLinux-Trojan-Hid-in-Popular-IRC-Server-Software-for-Months-144550.shtml&ei=sZ5FTcH8B8SDOry94M8B&usg=AFQjCNHaeTrWyx02kwrK0n86FxvdVmOeyA

                                          Правда удивительно? Или вера в то что открытый код обязательно безопасен непоколебима?
                                          • +3
                                            Ткните пальцем, где там про репозиторий?
                                            • –1
                                              Если вам трудно найти на странице слово репозитарий то пожалуйста:

                                              The backdoored source tarball was distributed through the official repository and many of the mirror servers for the past eight months without anyone noticing something was wrong.
                                              • +1
                                                Ему, видимо, трудно найти хоть один репозиторий для Linux на странице проекта. Ещё трудно найти в этой новости информацию о том, что заражённый пакет попал хоть в репозиторий хоть одного Linux-дистрибутива (мейнтеры обычно берут исходный код для сборки с SVN/Git).
                                                • 0
                                                  Я писал про трояны в опенсорс репозиториях. Я думаю вы понимаете что Linux это лишь малая часть опенсорс.

                                                  Например вот случай когда троян был в репозитории Mozila

                                                  www.zdnet.com/blog/hardware/how-much-more-malware-is-lurking-in-linux-official-repositories/8615

                                                  А вот тут поломали Redhat и заразили исходники, правда до раздачи пользователям вероятно не дошло.

                                                  www.theregister.co.uk/2008/08/22/red_hat_systems_hacked/

                                                  Надеюсь я наглядно продемонстрировал что опенсорс модель разработки ничем не защищает.

                                                  Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)

                                                  Такого не было. Отсюда делаю вывод что процессы безопасности в Microsoft налажены гораздо лучше чем у вендоров опенсорса.

                                                  www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171

                                                  Ну а если хочется чтобы троян нашелся и в репозитории настоящего Linux охраняемого настоящими мейнтейнерами то пожалуйста. Искать долго не нужно. Троян в репозитории Gentoo
                                                  • +1
                                                    > Надеюсь я наглядно продемонстрировал что опенсорс модель разработки ничем не защищает.
                                                    Неа, пользователи не пострадали.

                                                    > Для сравнения покажите мне хоть один случай когда кто то распространял бы троянов через Windows update. :)
                                                    С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?

                                                    > Троян в репозитории Gentoo
                                                    Где?

                                                    > www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171
                                                    Смеялись всем офисом, как говориться.
                                                    > One add-ons are affected:
                                                    > Master Filer — Infected with a password-stealing Trojan called Win32.LdPinch.gen
                                                    Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?
                                                    • –1
                                                      Угу пользователи зараженного аддона для mozila конечно не пострадали.

                                                      www.zdnet.com/blog/hardware/update-firefox-add-on-contained-toxic-trojan-code/7171

                                                      It is believed that some 4,600 users have been infected.

                                                      То что аддон с трояном в Mozila влиял на пользователей Windows не имеет никакого значения. Мы обсуждали то что трояны могут быть успешно помещены в опенсорс репозитории.

                                                      И конечно же этот аддон был проверен Mozila перед помещением в репозиторий

                                                      Mozilla does scan all uploaded add-ons for malware, and blocks any that are infected. However, in this case the process failed.

                                                      Таким образом я успешно доказал неопровержимыми фактами что опносорс репозитории легко могут быть поражены троянами.

                                                      Посему расцениваю ваши высказывания как отмазки. Можете продолжать смеяться всем офисом или плакать фактов ведь у вас нет.

                                                      Те кто скачал троян в опенсорсном Unreal IRC конечно тоже «не пострадали», они ведь так и не установили этот пакет в свои системы. Скачивали просто чтобы поиграться. :)

                                                      То что Redhat никого не успел заразить не его заслуга а случайность. Его заслугой было бы проявить профессионализм и недопустить взлом своей инфраструктуры и заражение репозитория.

                                                      А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)

                                                      www.fewt.com/2010/06/linux-infected.html

                                                      Unrealircd packages containing malware were found in Gentoo and Arch, and were removed as soon as they were discovered.
                                                      • +1
                                                        > Угу пользователи зараженного аддона для mozila конечно не пострадали.
                                                        Видимо с первого раза не доходит, поэтому спрошу ещё раз:
                                                        > Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?

                                                        > фактов ведь у вас нет
                                                        =>
                                                        > С тем же успехом я могу попросить вас привести соответствующие примеры для наиболее популярных дистрибутивов — и у вас тоже не получится. Отсюда делаю вывод что… ну, вы поняли, да?

                                                        > А вот тут написано о том как зараженный Unreal IRC попал в официальные защищеные репозитории Gentoo и Arch Linux. Вы ведь говорили что их проверяют специальные мэинтейнеры. Что же они так оплошали. :)
                                                        Не знаю, но пример заражения репозиториев популярных дистрибутивов вы так и не привели. А до тех пор ваши примеры равносильны вирусу на каком-нибудь ZverCD.
                                                        • 0
                                                          Вы очень странно читаете то что вам пишут. Официальное заявление опенсорс вендора mozila o том что все аддоны в репозитории проверяются это для вас не факты и то что аддон не смотря на это был заражен тоже для вас не факт. И то что 4 с мелочью тысячи человек его скачали и поставили снова не факт.

                                                          Взлом репозитория Redhat тоже не факт?

                                                          Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation тоже не факт несмотря на существующий официальный отчет?

                                                          blogs.apache.org/infra/entry/apache_org_04_09_2010

                                                          В общем вижу случай крайней религиозности и фанатизма.

                                                          • 0
                                                            > Вы очень странно читаете то что вам пишут.
                                                            И ещё раз:
                                                            > Оставим в стороне тот факт, что заражённый аддон касался только Windows. Скажите хотя бы: он находился среди проверенных аддонов, или нет?

                                                            > Взлом репозитория Redhat тоже не факт?
                                                            Пользователи не пострадали.

                                                            > Взлом репозитария Subversion крупного изготовителя опенсорса Apache Foundation
                                                            Это тут каким боком? И, да, «On minotaur, they were unable to escalate privileges with the compromised accounts.»

                                                            > В общем вижу случай крайней религиозности и фанатизма.
                                                            И снова:
                                                            > Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
                                                            • 0
                                                              То есть то что Redhat и Apache Foundation взломали но они предположительно не успели кого то заразить их извиняет и отменяет тот факт что опенсорс репозитарии уязвимы?
                                                              • 0
                                                                > предположительно
                                                                Чего?

                                                                > их извиняет и отменяет тот факт что опенсорс репозитарии уязвимы
                                                                Напомню вам ваши слова:
                                                                > фактов ведь у вас нет
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                        • –2
                                          То что у вас паранойя не означает что за вами не следят. :)

                                          Как показывают истории с переполнением буфера и прочими уязвимостями.

                                          Аудит кода не срабатывает.

                                          secunia.com/advisories/43009/
                                          secunia.com/advisories/42758/

                                          Как видите уязвимое ПО отлично включается и в состав Ubuntu и в состав других дистрибутивов.

                                          Если аудит был бы панацеей уязвимостей в готовых продуктах не стало бы очень быстро. Однако находят уязвимости постоянно вне рамок процесса аудита.

                                          • +1
                                            И чо? Это реальный мир блин и в нем возможность такого аудита у опенсорсных проектов есть, а у закрытых нету. То, что он не может все дыры закрыть? Ну увы и ах
                                            • –1
                                              Как показывает практика возможность аудита в опенсорсе есть, только пользуются ей малое количество проектов потому что специалистов способных качественно провести аудит и готовых работать за бесплатно считанные единицы.

                                              А проектов нуждающихся в аудите многие тысячи.

                                              Я надеюсь вы понимаете всю безнадежность такого подхода.

                                              Как хрестоматийный пример таких проблем обнаружение ошибки которая была во всех BSD дистрибутивах в течении 20 лет.
                                            • 0
                                              Кстати переход на выражение «И чо» показывает что у вас исчерпались логические доводы в защиту своей точки зрения. :)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • –1
                                      Антивирус конечно же не нужен если вы не пересылаете свою почту с документами содержащими макросы.

                                      А обучать apparmor и selinux сами будете?

                                      А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
                                      • 0
                                        > А обучать apparmor и selinux сами будете?

                                        При растущей угрозе как раз этим и займутся, а не антивирусами.
                                        • –1
                                          Сколько специалистов способно это сделать? Вы так верите в миллионы анонимных экспертов?
                                          • 0
                                            Я верю в сообщество. К тому же, чтобы создать правило для определённого приложения в AppArmor или SELinux, таким уж экспертом не надо быть.
                                            • –1
                                              Насколько я помню адекватная тренировка apparmor и selinux предполагает установку исследуемого ПО на заведомо чистой системе. Затем прогон всех веток исполнения изучаемого ПО. Отсмотр того куда это ПО пытается лезть и разрешения этого.

                                              Вы такие верите что у кого либо хватит терпения вызвать исполнение всех функций программы и затем написать адекватные политики?

                                              На данный момент в самых передовых дистрибутивах созданы правила всего лишь для 200 системных процессов. За ПО из репозитория никто и не брался.
                                              • 0
                                                По-вашему отлов и исследование вирусов — занятие такое простое, относительно того, что вы написали выше?
                                                • 0
                                                  Отлов и исследование не менее трудоемкое действие именно поэтому им занимаются профессионалы, а не абстрактное сообщество.

                                                  Рассказывать о том что за Clamav стоит такое же сообщество не стоит, ибо уровень профессионализмы этих людей на порядки выше чем уровень среднего потребителя Windows или Linux на которых вы так уповаете.

                                                  Чуда с повышением уровня среднего члена сообщества скорее всего не случится.
                                      • +2
                                        > А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)
                                        Ох, сколько же в них было найдено дыр за все эти годы, уже и не счесть.
                                        • –1
                                          Обоснуйте фактами или можно считать что вы не в теме.
                                          • +1
                                            Загуглить по ключивым словам сами сможете, да и прекратите делать вид, что вы не в курсе.
                                            Вирусы, эксплуатирующие уязвимости в них, мне в своё время приходилось как гонять в виртуальной машине, так и получать на флешках.
                                          • +2
                                            Обход UAC: www.exploit-db.com/exploits/15609/
                                            Обход DEP и ASLR, используя технологию JIT Spray: www.exploit-db.com/exploits/14514/
                                            www.exploit-db.com/exploits/14599/
                                            Точно такую же атаку применяли, чтобы взломать IE8 и Firefox:
                                            исследование.
                                          • +2
                                            И, кстати, ASLR распространяется только системные программы и библиотеки. Чтобы включить для всей системы нужно править реестр.
                                            Также ознакомьтесь: www.symantec.com/avcenter/reference/Address_Space_Layout_Randomization.pdf
                                      • 0
                                        > А под Windows вместо антивируса можно использовать DEP и UAC. Пока не дашь разрешения ничего не запустится. :)

                                        Ага, теперь под Windows можно и без антивируса, а Linux'у, при наличии схожих систем защиты (даже более широких, на мой взгляд), вы предрекаете кучу атак и необходимость иметь антивирус?

                                        Возникает противоречие и видится некая предвзятость.
                                        • –2
                                          Видимо вы читаете через строчку. Еще раз объясняю любая система в поставке без специальных средств безопасности уязвима. Та система которая сейчас не подвергается атакам уязвима в будущем вдвойне ибо на исследование и тестирование ее систем безопасности реальными угрозами не тратится таких усилий какие тратятся в других системах. Более того ложное чувство неуязвимости будет толкать пользователей таких псевдозащищенных ОС на разные глупые поступки потому что они думают что правила безопасности не для них. Посему вал успешных атак на Linux неизбежен.

                                          Ваш взгляд на широту системы защиты Linux не подтвержден ничем. Боюсь предположить что мы в вашем лице столкнулись с анонимным аналитиком безопасности.
                                          Список ваших публикация на хабре наводит на такие мысли

                                          inflame.habrahabr.ru/blog/

                                          Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.

                                          Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.
                                          • +1
                                            Я уже кидал ссылку, на которую вы ничего не смогли ответить: wiki.ubuntu.com/Security/Features. С каждым новым релизом дистрибутива количество возможностей обеспечения безопасности только увеличивается. Как минимум это говорит о том, что разработчики уже заботятся о безопасности системы. Так в чём же безопасность Ubuntu уступает Windows? Хотя бы приведите аналогичный список возможностей безопасности Windows — сравним.

                                            > Более того ложное чувство неуязвимости будет толкать пользователей таких псевдозащищенных ОС на разные глупые поступки потому что они думают что правила безопасности не для них.

                                            Может быть это проблема в пользователях, а не в ОС? Linux наоборот приучает ставить софт только из доверенных источников (репозиториев). А чтобы запустить скачанный бинарник, нужно сначала поставить бит выполнения. Как-то неудобно получается заразить свою систему, да?

                                            > Ваш взгляд на широту системы защиты Linux не подтвержден ничем.

                                            См. ссылку выше.

                                            > Опять же никнейм и история о том как вас поймали за взломом, тоже на многое намекает.

                                            Что не так с никнеймом? На что намекает та история? Якобы на мою некомпетентность? А свидетельства вашей компетентности в вопросах безопасности можете предоставить? И, вообще, как связано то, что меня поймали, с моими познаниями в области безопасности операционных систем? Вы ведь даже подробностей той истории не знаете. Так что не надо на личности переходить, а пишите по существу вопроса.

                                            > Прошу показать исследования систем безопасности Linux которые неоспоримо подтвердят вашу точку зрения о превосходстве этой системы. До тех пор пока вы их не предоставите считаю ваши заявления сказками.

                                            Вот вы любите просить ссылки на всякие исследования, и в то же время ваши слова на счёт будущего Linux — это не более чем ваши догадки. Я тоже считаю ваши ничем не подкреплённые заявления не более чем пророчествами.
                                            • 0
                                              > А чтобы запустить скачанный бинарник
                                              Справедливости ради следует отметить, что (для примера) кодеки скачать бесплатно без смс могут поставляться в виде deb-а, который большинство поставит даже не подумав.
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                • 0
                                                  Скажем так, начинающие пользователи, скорее всего будут его игнорировать, если установка «кодеков» будет сулить им например доступ к необъятному порно-архиву.

                                                  Так уж повелось.
                                              • 0
                                                Получается, что этот .deb можно будет легко удалить из системы с помощью sudo apt-get remove? :)
                                                • 0
                                                  Только скрипт из него уже был бы выполнен с правами рута, и удаление уже ничем бы не помогло.
                                          • 0
                                            И даже то, что некоторые технологии защиты появились раньше в Linux, чем в Windows вам тоже не о чём не говорит. В пример — ASLR и работа из ограниченного пользователя по умолчанию. Интересно, зачем разработчики этим занимаются, если, как вы говорите, никакой угрозы пока нет?
                          • 0
                            > В тоже время вся ваша защита это лишь ненужность атакующему.

                            Вы действительно считаете, что ненужность атакующему — это вся защита Linux'а? Ну даже если это так, то пользователь всё равно остаётся в выигрыше, потому что никакие винлокеры ему не грозят.

                            > Если бы в вашей системе было бы хоть что то ценное вашу ОС уже давно бы взломали.

                            Интересно, каким образом, если, например, в той же Убунте по умолчанию все порты закрыты.
                            • 0
                              Как я уже писал винлокеры не грозят Linux только временно и расцвет взлома Linux еще впереди. Для умного человека это уже повод задуматься и перестать надеяться на неуязвимость голой системы с закрытыми файерволом портами. Как минимум нужен антивирус.

                              В Windows Vista и более новых ОС порты тоже закрыты по умолчанию и UAC применяется повсеместно. А еще есть DEP и ASLR. Опираясь на ваши посылки это должны быть мегабезапасные системы.
                              • 0
                                > Для умного человека это уже повод задуматься и перестать надеяться на неуязвимость голой системы с закрытыми файерволом портами. Как минимум нужен антивирус.

                                wiki.ubuntu.com/Security/Features (я бы не сказал, что система голая, механизмов защиты предостаточно). Ну а вообще на никсах другие подходы к обеспечению безопасности. Например, установка софта из репозиториев + централизованное обновление всего софта, а не только самой ОС.
                                • 0
                                  Вы меня очень порадовали.

                                  Мне ли не знать как все работает в *nix. :)

                                  На моих статьях не одно поколение Linux молодежи выросло. Сходите что ли на Opennet ознакомьтесь. :)
                                  • 0
                                    Если вы всё знаете, то о какой голой системе идёт речь?
                                  • +1
                                    Ну и что за цирк в таком случае вы тут устроили?
                                    • –1
                                      Это не цирк а всего лишь ответы на ваши возмущенные возгласы. Весь этот театр раздули вы.

                                      habrahabr.ru/blogs/infosecurity/112801/?reply_to=3616438#comment_3614747

                                      А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.

                                      Знание слабых мест и преимуществ тех или иных систем не означает что я их фанатично люблю. Это позволяет мне трезво судить о них. Эмоциональная отстраненность от инструмента с котором работаешь это первый признак профессионала.
                                      • +2
                                        > Эмоциональная отстраненность от инструмента с котором работаешь это первый признак профессионала.
                                        Вы скромны, как всегда.

                                        > Это не цирк а всего лишь ответы на ваши возмущенные возгласы.
                                        Возмущённые? Правда что ли?

                                        > Весь этот театр раздули вы.
                                        Обратите внимание на то, что по сути этого утверждения ещё никто ничего не возразил. Разве что WizardBox сделал скромную попытку, но она провалилась. С чего бы это вдруг, а?

                                        > А я всего лишь не даю вам засорять людям мозги мифами и сказками Linux подполья.
                                        Да вы рыцарь, не меньше! И много мифов, в разговоре со мной вот тут habrahabr.ru/blogs/infosecurity/112801/#comment_3615440 вы рассеяли?
                        • –2
                          > Значит вы согласны с тем, что linux более надёжная система, чем windows?

                          Не согласен. Если бы Linux был безопаснее Windows то Redhat не взломали бы и не распространяли бы через его сеть пакеты с троянским OpenSSH

                          www.pcworld.com/businesscenter/article/150212/hackers_crack_into_red_hat.html

                          In the Red Hat compromise, the intruder was able to sign a small number of OpenSSH packages relating to Red Hat Enterprise Linux 4 (i386 and x86_64 architectures only) and Red Hat Enterprise Linux 5 (x86_64 architecture only).

                          As a precaution, Red Hat released an updated version of those packages, a list of tampered packages and a script to check if any of the packages are installed on a user's system.

                          А теперь внимание вопрос. Припомните чтобы кто то сломал Windows Update?

                          Этот пример показывает что даже профессионалы работающие в Redhat не способны защитить свои системы это показательно.
                          • +2
                            > Если бы Linux был безопаснее Windows то Redhat не взломали бы
                            Ошибка логики — применение вывода из частного к общему.
                            • –2
                              Ну если взламывают самых профессиональных и высокооплачиваемых специалисто работающих в вендорах опенсорс, тогда конечно неоплачиваемые энтузиасты явно будут защищены.
                              • +1
                                > тогда конечно
                                Шо, апять?!
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • –1
                              И как уязвимости в Vista отвечают на мой вопрос о том был ли когда либо взломан Windows Update.

                              Redhat то был взломан.

                              Получается что Windows такие умеют готовить и делать безопаснее.
                              • НЛО прилетело и опубликовало эту надпись здесь
                      • +3
                        Вообще-то здесь тред про скорость устранения уязвимостей, если вы не заметили.
                        • 0
                          Как я уже писал скорость выпуска обновлений зависит от того скольких пользователей вы заденете своим обновлением.

                          В случае Linux это менее 1% а в случае Windows в районе 90%.

                          marketshare.hitslink.com/operating-system-market-share.aspx?qprid=8

                          Это означает что обновления приходится тестировать тщательнее, на большем наборе ПК и прикладного софта. Значит на это уходит больше времени.

                          Надеюсь эта мысль вам понятна? Или предпочитаете чтобы я снова перефразировал и донес ее более очевидными путями?
                          • 0
                            > В случае Linux это менее 1%

                          • 0
                            Ну ежели считать Андроид Линуксом и верить гуглотрендам
                            www.google.ru/trends?q=android,+windows&ctab=0&geo=all&date=all&sort=0

                            То поболе 1% будет. А на сайты типа marketshare наверное с мобилок реже выходят, там и iOS сильно ниже по числу, чем mac OS. А вроде как по продажам должно быть наоборот
                            • 0
                              Не согласен с вами по поводу Android. Очень сомневаюсь что нативный зловредный код написаный для Ubuntu удастся легко запустить на Android без переписывания.

                              Это означает что для потенциального злоумышленника ниша целевых Linux систем не только расщиряется, но и еще сильнее сегментируется.

                              Это означает что код надо портировать на большее количество платформ и тратить дополнительное время.

                              Впрочем и для Android стали уже писать трояны. bit.ly/hvIFnU
                              • 0
                                Внизу там вполне нормальный posix, есть даже busybox.
                                • 0
                                  Posix это прекрасно. А теперь покажите как мне как запустить приложение написанное под RedHat на Android без портирования, перекомпиляции и прочих танцев с бубном.
                                  • –1
                                    #!/bin/sh
                                    • 0
                                      Итак, я хочу запустить один и тот-же C++ код на Android и RedHat. Нужен 1 исполняемый файл на все платформы. Возможно?
                                      • 0
                                        Нет конечно %) Хотя… в теории если юзануть llvm то да.
                                    • 0
                                      Так и представил себе зачетные вирусы написанные на скриптах в sh. :)
                                • +3
                                  Начнём с того, что в Android у нас Bionic — библиотека стандартных функций, несовместимая с libc и не являющаяся на 100% POSIX совместимой
                          • 0
                            Прошу прощения, сообщение отправилось преждевременно.
                            > В случае Linux это менее 1%
                            > Это означает что обновления приходится тестировать тщательнее
                            В случае Linux это, как минимум, большая часть Интернет-серверов, не говоря уже о других задачах.

                            > на большем наборе ПК и прикладного софта
                            Этот этап выполняется мейнтерами и энтузиастами, устанавливающими тестовые обновления.
                            • 0
                              На серверах обычно используется ограниченный набор ПО. И комбинаций ОС + ПО в серверных инсталляциях заведомо меньше чем в случае если обновляется рабочая станция.

                              Ваш посыл о том что в Интернет *nix больше чем Microsoft обоснован, но сервера обслуживающие Интернет лишь малая часть серверов установленных на предприятиях этой планеты.

                              По прошлогоднему отчету IDC получается что Linux занимает не более 21% серверов в тоже время Microsoft в районе 79%.

                              Так что снова получаем что обновления от Microsoft нужно тестировать на существенно большем наборе комбинаций оборудования, ПО и ОС.

                              А если учесть еще и количество рабочих станций под управлением разные версий от Microsoft, то сравнивать объемы тестирования становится смешно.

                              Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС? У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
                              • 0
                                > По прошлогоднему отчету IDC
                                Вы разве не в знали, что IDC составляет отчёты из материала заказчика, и точку зрения IDC эти отчёты не отражают? Кто там исследование заказывал?

                                > Мейинтейнеры и энтузиаты у вас владеют всеми возможными комбинациями оборудования и работают под разными версиями ОС?
                                А что, Microsoft владеет? :)

                                > У вас есть обязательства по поддержке устаревших ОС в течении 10 лет с моментах их выхода?
                                Ну вы в курсе, что дистрибутивы и сроки поддержки бывают различные, да?
                                • +1
                                  Вы разве не в знали, что IDC составляет отчёты из материала заказчика, и точку зрения IDC эти отчёты не отражают?

                                  А где пруфлинк?
                                • 0
                                  Отчет IDC о котором я говорил создавался по данным о продажах оборудования крупнейших вендоров таких как HP, Dell, Futjitsu.

                                  Они сообщали сколько серверов и с какими предустановленными ОС продано. Это же отчет используется для подсчета прибыли и подается в налоговую. С налоговой обычно шутки плохо заканчиваются.

                                  Понятно что кругом подтасовки и заговор с целью занизить количество мифических внедрений Linux. :)

                                  Вот именно что сроки разные. И только у коммерческих вендоров вроде Novel и Redhat есть обязательства по поддержке. Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет. И через год после его выпуска вам просто посеветуют перейти на новую версию.
                                  • +2
                                    > Отчет IDC
                                    habrahabr.ru/blogs/infosecurity/112801/#comment_3615681

                                    > продано
                                    Во-во :)

                                    > Если же это дистрибутив Linux для сообщества то о вменяемой технической поддержке разговоров нет.
                                    Мужики из Wikipedia какого-то ляда Убунту на сервера взгромоздили. Они, наверное, не разбираются. Или просто вы не в курсе, что даже у Ubuntu есть LTS?
                                    • +2
                                      Меня всегда прикалывала эта подмена понятий. Обычно сервера то продают без ОСи и потом ставят туда нужный Линукс и только в случае с виндой продают сразу с предустановленной системой.
                                      Всё достаточно посчитать вместо числа установок число продаж и числа вообще другие будут
                                      • –2
                                        Redhat, Suse или Oracle Enterprise Linux никак в OEM не продаются. А люди из Linux вендоров и не знают что у них все так плохо. :)

                                        Почитайте что ли официальную точку зрения о том как партнеры Redhat продают пачками сервера с предустановленым RHEL.

                                        www.redhat.com/partners/oem/

                                        Понятно что самосбор созданный дядюшкой Ляо и сыновьями в тысячи раз превышает масштабы продаж крупных вендоров. :)
                                        • +2
                                          > дядюшкой Ляо
                                          Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.
                                          • –1
                                            Google продает свои сервера или у него масштабы поставок которые соотносимы с крупными вендорами вроде HP, Dell, IBM?

                                            В планетарном масштабе датаценты Google это малые цифры.

                                            Почитайте отчет того какие объемы серверов выпускаются ежегодно крупными вендорами

                                            www.idc.com/about/viewpressrelease.jsp?containerId=prUS22467210§ionId=null&elementId=null&pageType=SYNOPSIS
                                            • 0
                                              Вы таки чем читаете? Где я писал про количество серверов у Google? Вы вообще поняли, о чём этот комментарий?
                                              • 0
                                                Вот ваш комментарий

                                                > Я бы не был так категоричен по отношению к самособору, когда речь идёт о серверах. Пример Google как бы намекает.

                                                Я ответил вам что количество серверов самостоятельно собираемых Google в масштабах рынка ничтожно. Так же сказал что крупные вендоры продают боксовых сервов в десятки раз больше. Отсюда следует посыл что их статистика верна.

                                                Она показывает что среди серверов с предустановленной ОС лидируест Windows с большим отрывом. Что не так?

                                                При этом сервера без установленной ОС вендоры стараются не продавать т.к это негативно влияет на их маржу.

                                                Это означает что серверов без ОС продается в разы меньше чем серверов с ОС.
                                                • 0
                                                  Ясно, не поняли.
                                                  > Вы вообще поняли, о чём этот комментарий?
                                                  • 0
                                                    Так разъясните. А то какое обсуждение с вами не затею в этом треде так везде вас не понимают.

                                                    Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?

                                                    А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)

                                                    Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)
                                                    • 0
                                                      > Так разъясните.
                                                      Хинт: какая часть вашего сообщение процитирована здесь? habrahabr.ru/blogs/infosecurity/112801/#comment_3617986

                                                      > Ни мне ни Wizardbox видно не удается уловить суть ваших гениальных высказываний. Может попробовать выражаться яснее, понятнее для простых смертных?
                                                      > А может вы просто фанатик, балабол, демагог и троль? Выбирайте любое что понравится. :)
                                                      > Отказываться от своих слов под давлением фактов и загадочно заявлять что вас не так поняли это ведь отличная стратегия. И вы к ней постоянно прибегаете как только начинаете проигровать. :)

                                                      Эко дивно вас прёт-то! Процитированная часть так же наглядно демонстрирует, что вы беседуете с каким-то выдуманным человеком у вас в голове.
                                    • –1
                                      Про то что такое у Ubuntu LTS я таки знаю.

                                      То что гики из Wikipedia поставили себе на сервер какую либо ОС не является доказательством чего либо.

                                      Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.

                                      Люди из Wikipedia специалисты в безопасности? А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
                                      • +1
                                        > То что гики из Wikipedia поставили себе на сервер какую либо ОС не является доказательством чего либо.
                                        А в Google, верно, тоже гики? А в CERN? А в… продолжать? Вы ведь сами прекрасно знаете, где используется Linux. Или нет?

                                        > Давайте отделять мух от котлет. Выбор Linux как ОС может быть никак не связан с безопасностью.
                                        Предположим. А с чем? Буду рад услышать ваше мнение :)

                                        > А может у них банально нет денег на серверную ОС от Microsoft, потому как проект живет на пожертвования?
                                        Если бы она им была нужна, то им её продали максимум за 8 долларов, а скорее всего ещё дешевле, либо бесплатно (за такой-то пиар!)
                                        • 0
                                          По поводу выбора ОС для Google. Здесь все очевидно, как захватывать мир если у тебя нет своей ОС с которой можно делать все что угодно?

                                          Возможно для вас это будет сюрпризом, но в CERN вообще то используется очень много Windows систем. И более того они используются для обслуживания большого адронного коллайдера. Для защиты этих систем будет использоваться антивирус Microsoft Forefront.

                                          blogs.technet.com/b/abeshkov/archive/2009/09/13/3280797.aspx

                                          Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?

                                          По поводу возможного пиара если бы Wikipedia воспользовалась Windows Server. У Microsoft очень жесткая политика в отношении правил таких акций. Мы не можем давать скидки кому бы то ни было. Так что Wikipeadia пришлось бы покупать ОС на общих основаниях. Какой бы ни был потенциальный исход у такого пиара никто не стал бы рисковать попасть под потенциальные судебные разбирательства. Цена на Windows для всех коммерческих организаций одна и та же.
                                          • +2
                                            > По поводу выбора ОС для Google. Здесь все очевидно, как захватывать мир если у тебя нет своей ОС с которой можно делать все что угодно?
                                            Вы сейчас про Gubuntu, Chrome OS, Android или их сервера?

                                            > Возможно для вас это будет сюрпризом
                                            Нет, не будет, как для вас не будет сюрпризом CERN-овский Scientific Linux.

                                            > И более того они используются для обслуживания большого адронного коллайдера.
                                            Ссылка на источник есть? Неужели они поставили KDE на Windows?

                                            > Мне продолжать разрушать вашу веру в мифы о превосходстве Linux. Или вы еще хотите продолжать сыпать громкими, но ничего не доказывающими примерами?
                                            Скажите, если все эти примеры ничего не доказывают, то почему же мы имеем то, что имеем? (Превосходство Windows только на десктопах.)

                                            > Мы не можем
                                            А кто вы? :)

                                            > А может у них банально нет денег на серверную ОС от Microsoft
                                            Поинтересуйтесь, сколько пожертвований они собрали последний раз. Поинтересуйтесь количеством серверов у них. Посчитайте. Всё ещё думаете, что не хватило бы?
                                            • –1
                                              cerncourier.com/cws/article/cnl/39599

                                              Это вам ссылка про Windows и Forefront в CERN.

                                              То что там может использоваться Linux для каких то задач меня ни коим образом не волнует. Этим примером вы ничего не доказывает ибо в CERN бок о бок работает множество ОС.

                                              Выяснять почему Wikipedia не использует Windows и много ли им пожертвовали в прошлый раз не моя задача. Не имею привычку считать деньги в чужих карманах.

                                              На нас узоров нет и цветы не растут, посему мы как компания можем кому то не нравится. Не приглянулись Wikipedia — не беда.

                                              Я надеюсь вы понимаете что очень часто выбор технологической платформы диктуется политическими, религиозными и прочими причинами не относящимися к реальной эффективности. Посему мне лично все равно какую платформу используют гики из Wikipedia.

                                              Важно только одно что Windows продолжает быть доминирующей платформой. Возможно это доказывает его универсальность. :)

                                              www.google.ru/url?sa=t&source=web&cd=1&sqi=2&ved=0CCoQFjAA&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FUsage_share_of_operating_systems&ei=qqNITb2NEZHsOfTvvJME&usg=AFQjCNEa9BBNGrJAs2oxJgB58qyYRDrCnA

                                              Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
                                              • +1
                                                > Это вам ссылка
                                                Где там про Forefront в центре управления? Кстати, вы ещё писали про вирусы в репозиториях, тоже тыкая ссылками, не прочитав текста по ним. Что, опять, да?

                                                > и много ли им пожертвовали в прошлый раз
                                                В прошлый раз шесть миллионов, в этот — шестнадцать.

                                                > Не имею привычку считать деньги в чужих карманах.
                                                Не идиотничайте, они сами распространяют эту информацию.

                                                > Я надеюсь вы понимаете
                                                По вашим двум последним комментариям я понимаю что вы беседуйте с выдуманным собеседником, а не со мной.

                                                > Важно только одно что Windows продолжает быть доминирующей платформой.
                                                На десктопах.

                                                > Впрочем согласиться с последним доводом вы врядои сможете. Фанатизм не позволит. :)
                                                Я просил вас привести преимущества Linux. Фанатизм не позволил вам это сделать.
                                  • 0
                                    Ещё разок:
                                    > Отчет IDC
                                    habrahabr.ru/blogs/infosecurity/112801/#comment_3615681
                      • 0
                        А он бесполезен против социальной инженерии. Да и Андроиды не сказал бы что прямо уж так ломают и что там прямо таки вири живут. Хотя конечно попадается софт с троянами, но такие истории и в Линуксе бывают.

                        Есть пара успешных вирей, которые ssh брутят, копируют свои сырцы в /tmp, компилятся и дальше идут развлекаться. Такие же есть для роутеров, но там уже причина в ошибке в ДНК некоторых производителей роутеров.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            ну Bliss например. Хотя он был полностью опенсорсным по духу, даже лицензия у него была GPL, мало того, он потом патчил дырку, через которую влезал в систему, но в свое время он очень много машинок заразил.
                            Про роутерный вирус даже на хабре было, но я его названия не запомнил.

                            А вообще google slapper или scalper

                            Но последнее время как-то совсем тихо стало :)
                            • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            www.gzt.ru/topnews/hitech/-v-mobiljnyh-telefonah-android-zavelisj-virusy-/311641.html

                            Результаты исследования показали, что каждая пятая программа таит угрозу безопасности. При установке они получают доступ к конфиденциальным данным на телефоне (электронная переписка, SMS-сообщения), а также возможность самостоятельно блокировать телефон, совершать звонки без согласия пользователей или записывать телефонные переговоры.
                            • 0
                              А нечего было маркет в помойку превращать и отказываться от стандартных линуксовых репозиториев. И вообще в данном случае это ошибки не в безопасности операционки, а ошибка в прокладке между креслом и компом.
                              Тут гугл пошел на поводу у этих личностей и в итоге они получили свое счастье.
                              • 0
                                Ok. Проблема только в пользователях, действиях Google и том, что они сделали в Android.
                                • 0
                                  Именно. 95% вирусов это вина пользователя, а не дырок в системе. Соответственно тут пути решения совсем другие. Внедрять штуковины типа PolicyKit'а, не ставить софт с варезников и таки читать то, что тебе пишут.
                                  Уязвимости системы в основном юзают чтобы ломануть КОНКРЕТНУЮ машину.
                                  • 0
                                    А на Windows по-другому? Всё то же самое. И если Вы теперь скажете, что на Windows 95% вирусов — не вина пользователя, то это будут двойные стандарты в чистом виде.
                                    • 0
                                      Я этого не говорил, но на винде только с Висты хоть какое-то подобие защиты от дурака появилось.
                      • +1
                        >Для вашей ОС Linux пока что не пишут вирусов не потому что она супербезопасная, а потому что ее экономически не выгодно атаковать.

                        И что, вы думаете, что этим аргументом убьёте кого-то наповал и он сразу всё бросит и перейдёт на Виндовс?

                        Для конечного пользователя безопасность — это не количество дырок в системе и не скорость их закрытия. Безопасность — это вероятность, к которой данного конкретного пользователя «поимеют» в тот или иной промежуток времени. Вот и всё. На этот показатель, безусловно, влияет и количество дырок, и скорость их закрытия, но на него также влияет как раз та самая распространённость, о которой вы говорите, и малая распространённость, разумеется, играет в плюс.

                        На количество дыр мне плевать. Однако мне не плевать на то, что сегодня, в 2011 году, вероятность поимения лично меня, пользующегося линуксом, намного ниже вероятности поимения меня же, пользующегося виндовсом. И это — всё, что меня интересует.

                        Разговоры «а вот будет у линукса 5% — тогда и будет вам пиндец» лишены какого-либо смысла напрочь, т.к. вы берёте на себя смелость изменять один из влияющих факторов (распространённость), удобно оставляя оставшиеся факторы без изменений, хотя на самом деле понятия не имеете, каковы они будут тогда, «когда линукса будет 5%», а потому просто фантазируете на пустом месте.
                        • 0
                          Я не ставил задачи заставить кого то перейти с Linux на Windows. Я лишь стараюсь убедиться что адепты Linux не будут рассказывать заведомо нереальные веши о непробиваемости Linux. Не надо убеждать всех что Linux панацея. Нет панацеи.

                          Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка. Я так считаю потому что с приобритением популярности от основного костяка дистрибутивов отколется еще пачка. Уже сейчас дистрибутивов в районе 300. Где набрать столько экспертов по безопасности которые будут во всем этом многобразии копаться?
                          • 0
                            >Не надо убеждать всех что Linux панацея. Нет панацеи.

                            Панацеи нет. Есть просто более безопасная система и менее безопасная система. В данный момент времени более безопасной системой является Linux (моё определение безопасности см. выше).

                            >Исходя из моего опыта я не верю что произойдет снижения количества уязвимостей если у Linux появится хотя бы 5% рынка.

                            Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
                            Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является ванильное ядро) конечного пользователя не касается никак.

                            >Уже сейчас дистрибутивов в районе 300.

                            Да хоть 3000. Зачем вы апеллируете к этому совершенно бесполезному числу, если и без меня знаете, что где-то примерно 99% пользователей Linux формируются пользователями хорошо если десятком дистров. Ubuntu, Suse, Fedora, Arch, Debian, Gentoo, Mandriva, CentOS,… а дальше у меня уже фантазия заканчивается. Если я упустил какой-то популярный дистр, то прошу прощения у его пользователей. В списке осталось ещё 2 вакантных места, добавьте сами :)
                            Ну и какая разница, сколько дистров формирует оставшийся процент, 290 или 2990?
                  • 0
                    > Если продукты RedHat в чём-то уступают продуктам Microsoft, никто из RedHat в здравом уме об этом не напишет.
                    И наоборот, не забывайте.
                    • +2
                      Поэтому я читаю материалы всех сторон, а не отбрасываю мнение одной из сторон, агрументируя это тем, что комнания имеет плохую репутацию.
                      • 0
                        Как вы считаете, почему нет более свежей статистики? habrahabr.ru/blogs/infosecurity/112801/#comment_3615176
                        Почему нет залихватских отчётов IDC, и других аналитиков, не несущих ответственности за свои отчёты, составленные по данным заказчика? Где Get The Facts 2.0? Или это потому, что блог Джеффа два года уже молчит, а собрать новую статистику больше неоткуда?
                        • 0
                          Покажите статистику Вы, где Linux показана более безопасной ОС. Вам надо верить наслово? А слово в защиту MS не принимается, если это статистика не собрана лично Линусом Торвальдсом пять минут назад?

                          Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
                          • 0
                            > Покажите статистику Вы, где Linux показана более безопасной ОС. Вам надо верить наслово?
                            Когда вы пишите «С времён XP всё с безопасностью стало лучше», мне тоже верить вам на слово? :)

                            > Вы заявляте, что в не Microsoft ОС все уязвимости устраняются за один день. Приведите пруфлинк или свежую статистику.
                            Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)
                            • 0
                              >>Когда вы пишите «С времён XP всё с безопасностью стало лучше», мне тоже верить вам на слово? :)

                              Нет. Первая попавшаяся ссылка в Google:

                              www.windowsitpro.com/article/interoperability/microsoft-issues-one-year-vulnerability-report-for-windows-vista.aspx

                              Сравниваем XP и более поздние версии: Vista had 36 fixed vulnerabilities. This compared to 65 for Windows XP.

                              А вот у Вас ни одно заявление АБСОЛЮТНО ничем не подкрепляется.

                              >>Ни у меня, ни у вас, нет актуальной статистики по данному вопросу. Она наверняка есть у Microsoft, но только вот почему-то они молчат ;)

                              У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день. Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.

                              Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
                              • 0
                                > А вот у Вас ни одно заявление АБСОЛЮТНО ничем не подкрепляется.
                                > Тоесть у Вас вообще нет ничего, подтверждаюшего Ваши слова. Ok. Спорить дальше бесполезно.
                                Вы про то, что в начале, или про всё? Если второе, то поосторожнее на виражах, потому что сейчас вы лжёте.

                                > У Microsoft нет и быть не может статистики,
                                Вы противоречите своим же собственным сообщениям: habrahabr.ru/blogs/infosecurity/112801/#comment_3615212

                                > что в других ОС уязвимости закрываются за день.
                                > Вы это заявляете — Вы и доказывайте. А так Ваши заявления ни на чём не основываются.
                                Первые три ссылки по соответствующему запросу: (Вот вам ну никак было открыть новую вкладку с Гуглом, да?)
                                habrahabr.ru/blogs/linux/74284/
                                habrahabr.ru/blogs/ubuntu/98691/
                                habrahabr.ru/blogs/personal/67118/
                                Остальное ищите сами. А что у нас обычно в случае с Microsoft? Ну да вы и сами знаете…
                                • +1
                                  >>Вот вам ну никак было открыть новую вкладку с Гуглом, да?

                                  Ok. Все подтверждения моих слов ищите в Google. Открывайте вкладку сами и ищите. Это просто.

                                  >>У Microsoft нет и быть не может статистики
                                  У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.

                                  Чувствуете разницу? Не вообще статистики, а статистики подтверждаующей Ваши слова. Потому, что такой статистики в нашей вселенной быть в принципе не может.

                                  >>Первые три ссылки по соответствующему запросу
                                  Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.

                                  Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?

                                  • –2
                                    > Ok. Все подтверждения моих слов ищите в Google.
                                    Вы же сами написали, что «Не нашёл красивого графика за более поздний год». Зачем мне что-то гуглить?

                                    > У Microsoft нет и быть не может статистики, что в других ОС уязвимости закрываются за день.
                                    > Чувствуете разницу?
                                    Чувствую. Пахнет проблемами с логикой у этой формулировки. Вы уж или крест снимите, или трусы наденьте. Откуда она вообще у вас взялась?

                                    > Я прошу статистику, а Вы мне 3 ссылки на конкретные случаи.
                                    Я вам ссылки на первые вылезшие в Гугле. С остальными 100500 вы можете ознакомиться там же, но подозреваю, что в целом картина будет такая же: habrahabr.ru/blogs/infosecurity/112801/#comment_3615938
                                    В случае с Windows общая картина известна (в первую очередь вам же).
                                    В случае Linux:
                                    > Вы хотите сказать, что в Linux в данный момент нет ни одной обнаруженной, но не закрытой ошибки безопасности?
                                    habrahabr.ru/blogs/infosecurity/112801/#comment_3615049
                                    • +2
                                      >>habrahabr.ru/blogs/infosecurity/112801/#comment_3615049

                                      Вы ответили:
                                      «Вы внимательно читали мои сообщения?»

                                      Вместо этого было бы проще написать «да» или «нет».

                                      Так есть ли открытые уязвимости или нет?
                                      • –2
                                        > Вы ответили:
                                        > «Вы внимательно читали мои сообщения?»
                                        Задайтесь вопросом, а почему я так ответил на то сообщение :)

                                        > Вместо этого было бы проще написать «да» или «нет».
                                        Вместо этого было бы проще спросить у того, кто высказал вам утверждение, истинность которого вы выясняете у меня.
                                        • –1
                                          >>Задайтесь вопросом, а почему я так ответил на то сообщение :)

                                          Потому, что Вы хотите всех запутать, вместо того, чтобы обосновать свой мнение, в итоге оказавшись правым там, где правым не являетесь.
                                          • –1
                                            > Потому, что Вы хотите всех запутать
                                            Я без понятия, что вы себе там напридумывали.

                                            > в итоге оказавшись правым там, где правым не являетесь
                                            xkcd.com/386/
                                            • 0
                                              >>Я без понятия

                                              Спасибо за честный ответ. Я всё понял. Может быть со временем что-то поймёте и Вы.
                                              • +1
                                                > Я без понятия
                                                > Я без понятия, что вы себе там напридумывали.
                                                Чувствуете разницу? Не вообще без понятия, а без понятия, что вы себе там напридумывали. Потому, что знать, что вы себе там напридумывали, я не могу в принципе.
                                • 0
                                  И кстати, три ссылки, говорите:

                                  http://www.oszone.net/13317/Linux
                                  Как оказалось, уязвимость появилась в ядре еще в 2008 году. Крупные корпорации уже направили просьбу разработчикам дистрибутива RHEL устранить проблему, но они пока этого не сделали. Разнообразные модифицированные версии эксплоита до сих пор являются работоспособными.

                                  Анонимы 4chan обнаружили 0day уязвимость в ядре Linux
                                  Рассказали журналистам, что в ходе последних атак они использовали 0day уязвимость в ядре Linux. По словам хакеров подробности уязвимости будут отправлены Линусу Торвальдсу, но до публикации патча группа будет использовать свой эксплоит для взлома сайтов своих противников. Так же до официального исправления никакого разглашения информации о 0day уязвимости всем остальным заинтересованным не будет.

                                  И да, самое быстрое:
                                  http://www.anti-malware.ru/news/2010-10-22/3161
                                  Она была обнаружена еще 13 октября; 19 числа того же месяца было выпущено обновление, исправляющее выявленную ошибку.
                                  • 0
                                    > www.oszone.net/13317/Linux
                                    Патч был готов за четыре дня до публикации статьи.

                                    > Анонимы 4chan обнаружили
                                    ОБС.

                                    > www.anti-malware.ru/news/2010-10-22/3161
                                    «This does not work on most domains confined by SELinux»

                                    Первая попытка провалилось. Гуглите дальше.
                                    • –1
                                      Нет, лучше Вы гуглите.

                                      Ответьте на конкретный вопрос: «В Linux сейчас нет ни одной не закрытой ошиби безопасности», так? Да или нет?
                              • +1
                                Берём Windows 7 — 7 непатченных уязвимости
                                Берём Ubuntu Linux 10.10 — 0 непатченных уязвимости
                                Что не так?
                                • –2
                                  Что не так:
                                  1. По ссылкам только те уязвимости, которые нашла/посоветовала компания Secunia(Secunia advisories), а не все уязвимости вообше.

                                  2. Вы берёте только Ubuntu, а вот в самом по себе ядере (Linux Kernel 2.6.x) 12 непатченных уязвимостей. Притом, что Windows 7 это не только ядро и там 7, а Linux Kernel только ядро и там 12.
                                  • +1
                                    Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical? Иначе бы уязвимость касалась и Ubuntu, а она не касается и в списки не входит. Так что не надо ля-ля.
                                    • 0
                                      А тот аргумент, что это не все уязвимости вообще, а только от Secunia?

                                      Вы почитайте что они пишут про статистику:

                                      • +1
                                        secunia.com/advisories/product/32688/?task=statistics_2011

                                        PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another.

                                        Это не статистика для сравнивания продуктов.

                                        A direct and fair comparison of unpatched issues for e.g. Microsoft Windows and Linux distributions is therefore NOT possible using the aggregated Secunia statistics.

                                        С помощью данной статистики не следует сравнивать незакрытые уязвимости в Windows и Linux листрибутивах. Это невозможно.
                                        • 0
                                          Плевать, что они пишут. На торрентах тоже пишут: выкладываем винду для ознакомления. Но всем как обычно
                                      • 0
                                        Безусловно. Тогда будет 100500 у Windows 7 и 1 у Ubuntu 10.10
                                        • 0
                                          Вам плевать, что авторы отчёта пишут о своей методике? Авторы ещё аргументируют, почему они так пишут. Почитайте.

                                          Почему бы Вам в таком случае просто цифры с потолка не брать, скажем в Linux 0 уязвимостей, а в Windows — 42 согласно цифрам с потолка. Ну или 100500, Вы близки.

                                          Вы говорите
                                          >>Так что не надо ля-ля.

                                          А сами берёте цифры с потолка, ну ли строите прогнозы с потолка. Используя статистику, которая покрывает только уязвимости от одной компании, которая говорит, что методика подсчёта не позволяет сравнивать Linux и Windows.

                                          Спорить с Вами тоже бесполезно. Спасибо.
                                          • +1
                                            Я какую-то херню пишу. Прошу простить, вчера не в себе был.
                                          • +1
                                            Касательно самих уязвимостей по градациям тогда.
                                            В MS Winows 7 (голой системе) уязвимости незакрытые с уровнем Highly critical, тогда как в ядре Linux они на два уровня ниже по серьёзности. Это тоже показатель, кроме количества.
                                            • 0
                                              Вы знаете, к Microsoft можно предъявить 1000000 претензий. И я не очень хочу тут за все аспекты безопасности операционных систем отвечать. Там столько нюансов и подводных камней. Если мы что-то обсудим, всегда найдётся ещё что-то. А потом ещё…

                                              К чему этот спор?
                                              Вы хотите доказать, что Linux более защищённая ОС? Для этого надо делать полноценное исследование, которое займёт не один месяц. В Колличество уязвимостей в конкретный момент времени — не совсем точный показатель. К комментариях на Хабре ни я, ни Вы такое исследование точно сделать не сможем.

                                              Кстати, голый Windows включает в том числе браузер. А ядро в разы меньше.

                                              И в Linux и в Windows есть современные механизмы безопасности. Обе операционные системы на данный момент достаточно защищённые. Но и существенного приемущества в вопросах безопасности ни у кого нет.
                                              • +2
                                                Проблема в том, что в руках дилетанта, по умолчанию, Windows будет менее защищённой. Так как компоненты, поставляемые по умолчанию, требуют серьёзной настройки. Защитник Windows антивирусом не является, а только антишпионским ПО с сомнительной степенью детектирования. Брандамауэр штатный убог, в Windows XP он воистину кошмарен, в Виста получше, в Семёрке он чудесен, но требует куда большей настройки, чем штатный фаерволл многих дистрибутивов Linux. UAC невероятно эффективен и огромный рывок в безопасности, но всё летит псу под хвост из-за отсутствия штатного антивируса. Да, есть опциональный MSE, есть напоминалка о необходимости установления этого самого антивирусного ПО, но чего нет, того нет.
                                                Что касается «голого» Windows, то у IE самого есть пачка отдельных открытых уязвимостей, кои не фиксятся с 2007 года.
                                                • –1
                                                  [offtop]Привет всем, слившим карму[/offtop]
                                    • 0
                                      Интересно, кто минусует моё сообщение, читают, что пишет Secunia?

                                      >>Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical?

                                      Уверен.
                                      secunia.com/advisories/product/32688/?task=statistics

                                      Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.

                                      Secunia отслеживает только ошибки безопасности, пофиксенные вендором продукта, не относящиеся к продуктам других вендоров.

                                      Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).

                                      А в Linux дистрибутивах полно продуктов других вендоров.

                                      Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
                                      • +1
                                        > Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
                                        А почему тогда здесь secunia.com/advisories/product/32688/?task=advisories_2010 в том числе и апдейты, закрывающие дыры в ядре? Пример: secunia.com/advisories/41881/
                                        • 0
                                          Потому, что это Vendor Patch производства Canonical. Вы меня упрекали в нерелевантности моей статистики, а тут защищаете что-то, служащее совсем другим целям, по мнению авторов этого чего-то.

                                          Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???

                                          Просто прочитайте пару абзацев текста, там всё весьма однозначно, а не стройте догадки.
                                          • +2
                                            > Потому, что это Vendor Patch производства Canonical.
                                            > Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
                                            Так с точки зрения конечного пользователя, может он пострадать от этих уязвимостей, или нет?

                                            > Вы меня упрекали в нерелевантности моей статистики
                                            Вам сюда: habrahabr.ru/blogs/infosecurity/112801/#comment_3617124

                                            > А в Linux дистрибутивах полно продуктов других вендоров.
                                            > Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
                                            Ok, давайте сюда сплоит для последней обновлённой Шапки, Бунты, Мандривы или Сюси.
                                  • 0
                                    >Вы берёте только Ubuntu, а вот в самом по себе ядере (Linux Kernel 2.6.x) 12 непатченных уязвимостей. Притом, что Windows 7 это не только ядро и там 7, а Linux Kernel только ядро и там 12.

                                    Пипец логика. Какая кому нахрен разница (кроме любителей троллинга, разумеется), сколько уязвимостей в ванильном сферическом ядре, если в том ядре, которое входит в конкретный дистрибутив, эти уязвимости закрыты?

                                    Я уже молчу про то, что Windows7 — это голая система, а Ubuntu Linux — ещё и хренова туча софта в придачу.
                                    • 0
                                      Вы читали, мой другой комментарий?

                                    • 0
                                      habrahabr.ru/blogs/infosecurity/112801/#comment_3616876

                                      Люди, сделавшие статистику, на которую тут ссылаются пишут, что сравнивать безопасность Linux и Windows по этой статистике некорректно. Всё точка.
                                      • +1
                                        Сравнивать безопасность по отчёту от SecurityLab от 2006 года ещё более некорректно, но вам это почему-то не помешало :)
                                        • 0
                                          Разница в том, что в случае отчёта Secunia авторы отчёта говорят о том для чего отчёт можно использовать, а для чего нет. Причём пишут это большими буквами.

                                          Было утверждение:
                                          habrahabr.ru/blogs/infosecurity/112801/?reply_to=3617146#comment_3614993
                                          В Linux патчи безопасности «Обычно выпускают в день обнаружения или максимум на следующий.». Я привёл отчёт, который это опровергает. Почему более некорректно? Даже, если время устранения багов в Linux в 10 раз меньше, чем показано в отчёте, до одного дня в среднем будет очень-очень далеко.
                                          • 0
                                            >Я привёл отчёт, который это опровергает.

                                            Я сильно подозреваю, что утверждение «патчи обычно выпускают в день обнаружения» касалось настоящего времени (плюс более-менее обозримое прошлое), поэтому отчёт за 2006 год ну никак не может его опровергать :)

                                            Впрочем, справедливости ради нужно заметить, что подтверждения тому утверждению я тоже не видел.
                                            • –1
                                              >>ну никак не может его опровергать
                                              Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.

                                              Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?

                                              То, что в Linux устраняется за один день работает по следующему сценарию:
                                              — Разработчик ядра находит уязвимость
                                              — Исправляет её
                                              — Публикует о ней информацию
                                              Или
                                              — Хакер назодит уязвимость
                                              — Сообщает разработчикам ядра
                                              — Всё исправляется
                                              — Информация публикуется

                                              Таким способом очень легко можно многое «за день» исправить

                                              Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
                                              • 0
                                                >Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.

                                                Вы знаете, если читать комментарии оппонента до конца, то можно открыть для себя много интересного. Например, что о «принятии на веру» речи ну никак не идёт и что я тоже был бы очень не против увидеть подтверждение утверждению об исправлении за 1 день.

                                                >Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?

                                                Я серьёзно считаю, что данные пятилетней давности не могут служить ни подтверждением, ни опровержением для текущей ситуации. А гадание на кофейной гуще — не мой конёк.

                                                >То, что в Linux устраняется за один день работает по следующему сценарию:

                                                Таким способом очень легко можно многое «за день» исправить


                                                Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение. Какое может быть объяснение у того, что не существует? Или таки существует, м? ;)

                                                >— Разработчик ядра находит уязвимость
                                                >— Исправляет её


                                                Вопрос из зала: это какой-то запатентованный сценарий и разработчикам Виндовса строго-настрого запрещено ему следовать? Вроде нет. Так может они тоже ему следуют? Значит, однодневные фиксы в Винде тоже есть? Ну так а почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?

                                                >Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.

                                                Когда вы говорите «фактически» — вы готовы подкрепить этот «факт» ссылкой?
                                                А то сейчас ваше утверждение ничем не отличается от «Младенцам, не проходящим отбор, оставляют жизнь. Фактически все ныне живущие христиане — это те, кто был отсеян злобным ZOG-ом и не подошёл по качеству крови для непосредственного употребления».
                                                • 0
                                                  О чём мы спорим???

                                                  >>Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение.
                                                  >>почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?

                                                  Утверждение было, что почти все фиксы однодневные. Это не так.
                                                  Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.

                                                  Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
                                                  • 0
                                                    >О чём мы спорим???

                                                    Лично я (в этой ветке) — о том, что:
                                                    а) уязвимости ванильного ядра пользователя не касаются — он использует дистрибутивное ядро.
                                                    б) сравнивать безопасность нынешних систем по отчёту 5-летней давности — некорректно
                                                    в) что однодневные фиксы возможны как для Линукса, так и для Виндовса, поэтому не нужно пытаться «упрекать» Линукс в этом. Если же разработчики Виндовса не поступают по тому же сценарию, то это характеризует их далеко не с лучшей стороны.

                                                    >Утверждение было, что почти все фиксы однодневные.

                                                    Скажите, вот вы уже не в первый раз переиначиваете слова оппонента — вы это делаете случайно или намеренно?
                                                    Я почему спрашиваю — потому что не видел слов «почти все» в изначальном утверждении.

                                                    >Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.

                                                    Некоторые фиксы Винды КАЖУТСЯ быстрыми. Между быть и казаться разница есть. Будете спорить?

                                                    >Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?

                                                    Я этим зарабатываю себе на хлеб с маянезиком.
                                                    • –2
                                                      • +1
                                                        >А это касается пользователей?

                                                        Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
                                                        Конечно, баг в Thunderbird касается пользователей Ubuntu, но не касается пользователей Windows.
                                                        Конечно, баги в Blender-е — это баг Ubuntu.
                                                        Конечно, баги в Вордпрессе — это баги Ubuntu.

                                                        Вы хоть сами читаете то, что кидаете? :) Или просто увидели многабукаф и решили, что это будет офигенным аргументом?

                                                        «gnome-screensaver never activated after inhibiting» — А-А-А, УЯЗВИМОСТЬ!!!
                                                        «epiphany (webkit) doesn't clearly warn about invalid SSL certificates» — А-А-А, ДЫРЯВАЯ УБУНТА!!!

                                                        Пипец на выезде…

                                                        >И ещё раз. НЕТ, не в ванильном ядре:

                                                        И ещё раз. ДА, в ванильном ядре.
                                                        habrahabr.ru/blogs/infosecurity/112801/#comment_3618751
                                                        • 0
                                                          >>habrahabr.ru/blogs/infosecurity/112801/#comment_3618751

                                                          Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.

                                                          >>Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)

                                                          >>Вы хоть сами читаете то, что кидаете? :)
                                                          А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально? Это не честно. Это прямой обман. Например, там много где в правой колонке linux (Ubuntu ...)
                                                          • 0
                                                            >Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.

                                                            Secunia в качестве линка на «продукт» недвусмысленно ссылается на ubuntu.com. Это вам в качетстве намёка на то, что считать «продуктом».
                                                            Сходить по линку и прочитать, какой продукт распространяет и поддерживает Canonical — осилите?

                                                            >А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально?

                                                            Извините, но вы бредите. Я ничего не «брал», я лишь указал вам на то, что в споре об уязвимостях одной конкретной ОСи (Ubuntu Linux) вываливать список багов (не уязвимостей!), найденных в хрЕновой туче дистров (плюс в кроссплатформенном прикладном софте)… «Это не честно. Это прямой обман».
                                                            • 0
                                                              Итак, Вы утверждаете, что в Ubuntu 10.10 нет ни одной не закрытой уязвимости? Да?
                                                              • 0
                                                                >Итак, Вы утверждаете, что в Ubuntu 10.10 нет ни одной не закрытой уязвимости? Да?

                                                                Нет, вам это приснилось.
                                                                • +1
                                                                  habrahabr.ru/blogs/infosecurity/112801/?reply_to=3618973#comment_3617143

                                                                  >>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.

                                                                  Это мне тоже приснилось?
                                                                  • –2
                                                                    Мда… у вас не просто серьёзные, а серьёзнейшие проблемы с пониманием написанного (в частности, с чувством контекста).

                                                                    Вас не насторожил тот факт, что тот человек, в беседе с кем мной было написано это сообщение (на заметку: он куда более компетентен в предмете вопроса, чем вы), не заострил на этом внимание? А знаете, почему он этого не сделал? Потому что он понял контекст, и он понял, что эта фраза не означает буквально, что «я утверждаю, что в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости». А всё потому что он знает, что а) «официально поддерживаемая часть дистрибутива» != «весь дистрибутив»; б) «нет уязвимостей, перечисленных на Secunia» != «нет уязвимостей»; и в) (самое главное!) эта моя фраза была написана буквальной калькой с его высказывания, и её единственным предназначением было указать на несостоятельность его аргумента «исходя из моего опыта я не верю». И он это прекрасно понял. Вот только вы не поняли.
                                                                    • 0
                                                                      abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.

                                                                      >>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
                                                                      >>Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является >>ванильное ядро) конечного пользователя не касается никак.

                                                                      У вас серьёзнейшие проблемы придумыванием глупых отмазок. Вы неспособны признать даже то, что написали то, что написали. С Вами разговаривать больше не о чем, вообще не о чем.
                                                                      • 0
                                                                        >abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.

                                                                        Спасибо, я в курсе.

                                                                        >У вас серьёзнейшие проблемы придумыванием глупых отмазок.

                                                                        Вы правы, у меня с этим серьёзнейшие проблемы. Поэтому я этим и не занимаюсь.

                                                                        >Вы неспособны признать даже то, что написали то, что написали.

                                                                        Я мало того, что «признал то, что написал то, что написал» — я ещё и подробно разжевал «то, что я написал, для тех, кто не понял, что же именно я написал». Если же мне придётся «разжёвывать то, как я разжевал то, что я написал» — то тут я пас.

                                                                        >С Вами разговаривать больше не о чем, вообще не о чем.

                                                                        Так я о том и говорю. Для того, чтобы со мной о чём-то разговаривать, нужно иметь хотя бы отдалённое представление о предмете разговора.
                                                                        Интересно получается, однако: с хабраюзером abeshkov нам нашлось о чём поговорить (причём мы друг друга поняли и быстро пришли к консенсусу), а вот с вами — «не о чем, вообще не о чем».

                                                                        Хотя чего это я? К одному консенсусу мы с вами таки пришли: мы оба согласны, что нам не о чем с вами разговаривать %)
                                                                      • 0
                                                                        Кстати, ваша ложь в твиттере тоже не делает вам чести:

                                                                        «На Хабре люди искренне верят, что в Ubuntu нет ни одной не закрытой уязвимости.»

                                                                        «Так почему мне доказывают, что нет абсолютно ни одной не закрытой уязвимости, а за возражения карму минусуют?»

                                                                        Кто тут «искренне верит, что нет ни одной незакрытой уязвимости»? Кто вам «доказывает, что нет абсолютно ни одной не закрытой уязвимости»?

                                                                        Судя по тому, что твиты появились 2 часа назад, а за это время вы в данном топике общались только со мной, вы имеете в виду именно меня. Следовательно вы нагло и откровенно ВРЁТЕ.

                                                                        Насчёт кармы, кстати, тоже врёте: она как была 25 баллов 3 часа назад (я ознакомился с профилем как раз перед уходом из дома), так и осталась на том же уровне сейчас.

                                                                        Однако если вы сейчас не извинитесь за своё враньё (и тут, и в твиттере), то я сделаю вам одолжение и обращу в правду хотя бы одно из ваших высказываний: действительно опущу вам карму :)

                                                                        Хотя дело тут даже не в дурацком и ничего не значащем минусе. Если вам нравится жить бесчестным мудаком, нагло перевирающим события, то это ваше неотъемлемое право, которое у вас никто отнят не сможет.
                                                                        • 0
                                                                          Спасибо за изучение моего твиттера. За данный топик у меня было 3 плюса в карму и 8 минусов. Трёхчасовой отрезок — не показатель.

                                                                          И да, простите, но Вашу фразу
                                                                          >>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.

                                                                          Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе. То, что Вы знаете, что это не так, это очень хорошо.
                                                                          • –1
                                                                            >Спасибо за изучение моего твиттера.

                                                                            Не за что — он транслируется в ваш хабрапрофиль.

                                                                            >Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе.

                                                                            Я вам ясным русским языком объяснил, КАК нужно понимать эту фразу, В КАКОМ контексте она была сказана и ДЛЯ ЧЕГО она была сказана именно так. Могу ещё на английском объяснить, но я не уверен, что результат будет лучше.

                                                                            В общем, я правильно понимаю, что извинений не будет?
                                                                      • 0
                                                                        > abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.

                                                                        Можно поподробнее?
                                                                        • 0
                                                                          А что конкретно подробнее?
                                                                        • 0
                                                                          А что «подробнее»? В вопросах администрирования и безопасности Linux- и Windows-систем abeshkov действительно в разы компетентнее меня (мои собственные слова) и моего оппонента (его собственные слова).
                      • –1
                        Понимаете, какая ситуация. МС уже неоднократно в своих сравнениях своих продуктов с другими вели себя откровенно нечестно. Взять те же тесты css3 в последнем IE9. Или поддержку SVG. Ну там же откровенная подтасовка. Берутся не все свойства, а в основном те, которые поддерживаются ИЕ и проводится сравнение. Ну это же просто непорядочно.

                        И если бы такое было только один раз.

                        Извините, с некоторых пор аналитике от МС я не верю. И не я в этом виноват.
                        • +1
                          Вы позволили убедить себя, что это подтасовка. А то, что в ACID тестах всегда брали те тесты, которые хуже проходит IE, значение не имеет? А то, что в ACID тестах, некоторые тесты не соответствуют стандарту вообще, это ничего?

                          • 0
                            Про SVG в ACID, кстати, позиция Mozilla.

                            en.wikipedia.org/wiki/Acid3

                            Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores

                            • +1
                              samples.msdn.microsoft.com/ietestcenter/

                              То, что находится по ссылке выше претендует на исследование, но таковым не является. Это называется пыль в глаза, маркетинг.

                              Ага, а MS выбирали такие вещи, которые позарез как нужны. Посмотрите список тестов, что ли. Вы видели вообще что там есть в IE9, чего нет в других браузерах? Прямо такое всё шибко востребованное, да? Я вот там не вижу ничего такого.

                              Они по каким-то только им ведомым приоритетам выбрали нечто, реализовали, и теперь сравнивают только то, что реализовали с тем, что есть (чего нет) в других браузерах.

                              Извините, это подтасовка. Это всё равно, что сравнить две машины, выбрав только те параметры, по которым ваша лучше. Видели сравнение iPhone с древней монохромной нокией? Это из той же серии.

                              Это стандартная стратегия МС, сейчас просто лень поднимать все эти случаи, но на моей памяти их полно, в самых разных областях. К тому же, никому не секрет как МС ведут подковёрную игру, например, с производителями железа, и на какие штрафы залетают за нечестную конкуренцию.

                              И, если вернуться к табличке с которой всё и началось, вы тоже занимаетесь подменой понятий. Разговор шел о скорости исправления критических уязвимостей, а вы о времени жизни уязвимости (включая период до обнаружения), при этом, относительно Windows этот период исчисляется с момента признания МС этой уязвимости а не с момента её появления в системе.

                              Очередная пыль в глаза и подмена понятий. Тут даже говорить не о чем.
                          • 0
                            А я хоть слово говорил про ACID? Вы снова сравниваете не с тем.
                            • 0
                              Вы говорили:
                              >>Взять те же тесты css3 в последнем IE9. Или поддержку SVG. Ну там же откровенная подтасовка.

                              Я утверждаю, что со слов Alex Limi (Mozilla UX lead), некая компания реализует в своём браузере никому не нужную фигню, чтобы прости тесты, входящие в ACID 3, но не имеющие отношение к реальной жизни. По сути искуственно завышая свои результаты.

                              Limi argues that some of the tests, particularly those for SVG fonts, have no relation to real usage, and implementations in some browsers are created solely for the point of raising scores.
                              en.wikipedia.org/wiki/Acid3

                              И это компания не Microsoft, это в том числе Google. Теперь Вы как честный человек, должны перестать верить Google. Так как в противном случае это будут двойные стандарты.

                              Также Вы пишете:
                              >>Берутся не все свойства, а в основном те, которые поддерживаются ИЕ и проводится сравнение. Ну это же просто >>непорядочно.

                              ACID тесты составлены похожим образом. Берутся не все свойства, а те, где IE показывает себя хуже и проводится тест.
                              Разработчиков ACID теста, Вы теперь тоже, как честный человек, считаете непорядочными?
              • 0
                Итого, согласно графикам наиболее надежная ось 2006 года — Хр, а Солярис — друшлак :))) Интересно, кто в здравом уме в это поверит. Просто цикл тестов на декстоп и сервер — разный.
                Поэтому, кстати, между Вин и Эпл разница небольшая.

                Статистика такая статистика.
                • 0
                  Понимаете, за каждой установкой Solaris стоит высокооплачиваемый системный администратор. Solaris редко торчит наружу вне корпоративной сети. Уязвимости в Solaris ищут в сотни раз меньше народу и.т.д.

                  Тем более на графике не колличество уязвимостей, а время из устранения.

                  Как Вы правильно заметили, десктоп и серверный рынок — очень разные. Если поставить Solaris на десктоп и им бы вдруг стало пользоваться 90% пользователей, то да, это был бы друшлак.
              • 0
                >На следующем графике представлена скорость устранения критических уязвимостей в различных операционных системах.

                Чисто в виде уточнения: что именно понимается под «операционной системой» в случае MS Windows и в случае Novell Enterprise Linux и Red Hat Enterprise Linux? Какой набор компонент учитывался при подсчёте?
                Не хотите же вы сказать, что сравнивалась голая система в первом случае и полные дистрибутивы во втором и третьем случаях, ведь правда?
        • 0
          >патч уже выпущен
          А 12309 так и не закрыт.
          • +6
            Так он и в Windows не закрыт.

            Кстати, а вы баги от обновлений безопасности отличаете?
            • +1
              В XP он вообще во все поля торчит(((( Жить вообще невозможно. А траблы с CD ромом даже 7рку на колени ложат(((((
              Кстати в Макоси этот баг иногда тоже вылазит, но реже, чем в Винде и Линуксе
          • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Когда другие ОС дойдут до такой доли рынка с сотнями миллионов пользователей и смогут поддерживать огромный парк разнообразного оборудования, тогда посмотрим сколько времени будет длиться тестирование патчей.

          Нужно понимать что выпуск обновления без должного тестирования с высокой вероятностью может привести к отказу сторонних приложений и возможно самой ОС.
          • 0
            Линукс давно с железом нормально дружит, вообще-то. Исключение — принтеры, но HPшные поддерживаются на ура, а эпсоновские после танцев с бубном. Собственно, у меня под убунтой встроенный 3G-модем завести намного легче оказалось (сразу увиделись 3 ttyACM-девайса), чем под виндой (там достаточно кривая утилита работы с ACPI + сам девайс как модем в системе появляется только после запуска другой софтины, а в какой-то момент она его перестала видеть, и я остался без модема). А база пользователей — вопрос времени.
            • 0
              Вот смотрите, команда

              • +1
                Команда glibc может внести изменения, ломающе работу десятков программа, п потом сказать, что всё так и надо. Microsoft позволить сябе такое не может.

                www.linux.org.ru/news/linux-general/5545961

                Изменение поведения функции memcpy() в реализации glibc для x86_64 (для ia-32 ничего не изменилось) привело к странным ошибкам во многих программах. Например, искажению звука при проигрывании.

                Проблема в том, что memcpy для перекрывающихся участков памяти теперь работает некорректно (как в общем-то и должно быть согласно документации). Но, как выяснилось, авторы многих проектов документацию не читали.

                Несмотря на появление в обсуждении Линуса Торвальдса, у которого также появились проблемы со звуком в некоторых программах на его компьютере, ошибка была закрыта по причине «not a bug». В сообщении #38 Линус предлагает способ обхода этой проблемы.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    Вы хотите, чтобы после обновления glibc Ваша система, ну, скажем, биллинга, приёма платежей, ну или даже сайт, перестал работать потому, что его «аннигилируют»? Я не против. Но мне хочется, чтобы таких сюрпризов не было.

                    Какая система более глючная, как Вы выразились. Та, где функции работают предсказуемо, или где всё может в любой момент измениться?

                    В данном конкретном случае повоедение glibc на мой взгляд было правильныйм. Но разработчики думали иначе и никого не спросили.

                    А вот если в Windows X не заработает программа от Windows X-1, то толпы людей будут орать на то, какой плохой Microsoft.
                    • +1
                      Вы в системе биллинга используете вызовы glibc?
                      • 0
                        А что, нет? Не напрямую же. Скажем, пишите Вы на Python. Python вызывает glibc.

                        Вот от изменения в glibc постадала Flash программа, написанная на ActionScript. Разработчик, писавший данную программу про glibc мог даже не знать.
                        • +2
                          Когда у glibc меняется поведение(что очень редко), затрагиваемое ПО адаптируется, иначе оно никогда не попадёт в серьёзный дистрибутив.

                          Нормальные люди не будут ставить федору в продакшн(ошибка проявилась только там).

                          А то что ошибка в флеше вылезла у кого-то дома в его нестабильном дистрибутиве — проблема пользователя.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            Знаете, Вы почти правы. Только я бы не приплетал бы сюда экологию. В ядре много можно чего исправить, не ломая совместимость, как и в компиляторе.

                            Знаю, что это unix-way, но я бы добавил новую функцию, для быстрого копирования. Не элегантно, лучшее решение быть должно. Но текущее решение явно не лучшее.
                            • НЛО прилетело и опубликовало эту надпись здесь
            • –1
              Когда Linux будет поддерживать все что поддерживает Windows тогда можно будет говорить о нормальной дружбе с оборудованием.

              Коллеги использующие Linux уже не имеют нужды боряться с Nvidia или ATI за выпуск правильных драйверов? И нет рекомендаций покупать то или иное оборудование потому что оно работает под Linux?

              А тем временем я просто использую все это оборудование под Windows без каких либо плясок с бубном.

              Впрочем вы сами себе противоречите. Как обычно декларируется поддержка всего кроме оборудования вендора Х. Вместо Х подставляем название по вкусу. Понятно ведь что нормальным пользователям вендор Х не нужен. :)
              • НЛО прилетело и опубликовало эту надпись здесь
              • +2
                > Коллеги использующие Linux уже не имеют нужды боряться с Nvidia или ATI за выпуск правильных драйверов?
                Это как?

                > Как обычно декларируется поддержка всего кроме оборудования вендора Х.
                Скажите, а 100% драйверов, которые пишут для Windows, беспроблемные и сверх-стабильные? Нет, очевидно. В различных категориях железа у кого-то из производителей ситуация с драйверами лучше, а у кого-то хуже. Аналогично и в Linux.
          • НЛО прилетело и опубликовало эту надпись здесь
    • +5
      Солидарен. Правильный ответ не «Не открывайте эти файлы», а «Не открывайте эти файлы в IE». Но MS корпоративная гордость не позволила так сказать.
      • +6
        «Не открывайте IE вообще»
        • +3
          А чем тогда FF или Chrome качать? ))
          • 0
            Я оперу с ftp консолью вытаскивал как-то раз.
          • 0
            wget-ом:)
            • 0
              а чем же его скачать?
              • 0
                Его можно иметь в хозяйстве =]
              • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        А MHTML где ещё открывается?

        Вообще статья неточно пишет. На сайте Микрософт приводятся более мягкие варианты решения (смотрите Mitigating Factors and Suggested Actions): запретить выполнение скриптов во всех MHTML-файлах (не запрещая файлы в целом), разрулить это на уровне «зон безопасности IE» и т. д. Не вижу, откуда взялась инфа «отказаться от открытия таких файлов». Ну и написано, что над патчем активно работают.
        • 0
          Opera кажется еще может открывать, только криво как-то. Например отчеты everest можно сохранять в mhtml. Довольно удобно, но возможны проблемы.
          • 0
            Честно говоря, для меня загадка, почему так происходит. Формат описан в RFC 12 лет назад. Он не какой-то там убито-проприетарный или завязанный на какие-то там COM/OLE. Ну да, это не официальный стандарт W3C, ну и что? Почему его до сих пор не поддержали все браузеры, я не понимаю.
            • 0
              Согласен, вместо мягко говоря странного набора файлов и папок который сейчас создается при сохранении (например в качестве имени берется title или часть урла) было бы правильно сохранять архив с исправленными ссылками на ресурсы — картинки, скрипты.
          • 0
            Честно говоря, для меня загадка, почему так происходит. Формат описан в RFC 12 лет назад. Он не какой-то там убито-проприетарный или завязанный на какие-то там COM/OLE. Ну да, это не официальный стандарт W3C, ну и что? Почему его до сих пор не поддержали все браузеры, я не понимаю.
            • +3
              Да что ж за тормоза такие сегодня на хабре, пост то отправляется, то не отправляется :(
        • 0
          Желтый хабр уже не торт
  • 0
    Интересно, уязвимости подвержены все версии IE или только <9?
    • +2
      Про версии нигде ничего не сказано, вероятно это касается всех IE.
  • +7
  • –15
    Большинство уязвимостей обнаруживается, когда пользователь работает не совсем так, как задумано или он идиот.
    • +15
      Это баги. А уязвимости специально ищутся всякими нехорошими людьми, которые потом за эту информацию получают очень даже неплохие деньги
      • 0
        Не всегда. Поделюсь своим опытом. Когда моему соседу с правами гостя на моём компе удалось стать администратором (чисто случайно, я наблюдал), то это баг или уязвимость?
        • 0
          А можно узнать, как он это сделал? :)
          • +1
            Ввёл пароль, который на стикере приклеенном к монитору был написан?:)
            • 0
              Или спросив «А какой тут пароль?» потянулся к паяльнику?
              • 0
                Стикеров и паяльников обнаружено не было. А как он это сделал, мне самому интересно. Он просто от фонаря ввёл три раза один и тот же пароль (заведомо неправильный), а на четвёриый раз виндовс его схавал. Мистика, да и только.
                • 0
                  А как именно вы определили, что он действительно стал администратором? Может, это виртуализация UAC была включена, когда программа только думает, что работает под правами администратора?
                  • 0
                    Насколько я знаю, в панели управления на полную катушку ковыряться и hal.dll из %windir%\system32\ удалить может только администратор.
                  • 0
                    Насколько я знаю, в панели управления на полную катушку ковыряться и hal.dll из %windir%\system32\ удалить может только администратор.
    • +1
      А вы что, ожидаете шаблонную работу?
  • –1
    И много народу пользует MHTML файлы? Как часто вы их открываете?
    • 0
      много народу пользуется браузером.
    • +1
      Я открывал такие файлы только созданные самим же (через IE). И это было очееень давно… Другое дело, нельзя ли разместить на «вредном» сайте ссылку на такой файл или сделать iframe? Тестировать влом.
    • +2
      Иногда полезно сохранить веб-страницу со всеми картинками, чтобы получился один файл, который можно открыть одним кликом. Если есть альтернативный способ решения этой проблемы, подскажите его.
      • 0
        Впрочем, тут есть кое-какие альтернативы. Но опять же браузеро-специфичные.
      • +1
        Сохранить в PDF.
    • 0
      Я пользуюсь ими, используя аддон для огнелиса
  • –18
    Че за MHTML такой? Microsoft HTML? Non invented here?
    • +22
      Только не говорите, что не смогли открыть гугл и посмотреть нормальную расшифровку.
      • –7
        Шутка не удалась.
    • –1
      • +1
        Тю, mht. Ну так опера по умолчанию в него страницы сохраняет. Так что можете подсчитать сколько народу им пользуется.
  • 0
    Хорошо. Предлагают не пользоваться. А есть же целые сайты в этом формате. Им как быть. с недополученной прибылью в результате действий/бездействий и советов MS.
    Срочно в суд. :-) Яндекс вот и первых кандидатов выдал. www.trite.ru/projects_in.mhtml?PubID=124
    • +1
      «Content-Type: text/html; charset=windows-1251»

      Это не MHTML.
      • 0
        Cтупил! Каюсь.
      • +3
        Не понимаете ничего в колбасных огрызках. Mikhalkov HTML — :)
    • –3
      Михалков случайно всплыл? :)
    • –5
      Михалков случайно всплыл? :)
  • +25
    Тем, кто не понимает уровень опасности, немножко объясню.

    Ошибка тут не в формате данных mhtml, а в mhtml:// обработчике, а его можно вызвать через <iframe src=mhtml://badlocalpath></iframe> на любой веб странице.
    Вся мулька заключается в том, как к вам на диск попадет зловредное содержимое по пути badlocalpath.
    В описании к уязвимости на exploit-db используется способ нахождения файла в кеше акробат ридера 9й версии — там файлы попадают в кеш по пути file:////127.0.0.1/c$/Documents and Settings/Administrator/Local Settings/Temp/A9Rxxxx.tmp, где x — hex число.
    То есть шаги следующие — вы посещаете некий сайт в уютном интернетике, на котором вставлен зловредный жаваскрипт.
    js код засовывает в кеш к акробату(или любым другим способом) зловредный js, который и выполняется в локальной зоне безопасности через mhtml://, имея доступы уже к FileSystemObject, Wscript.Shell.

    Фактически опять подвержены опасности пользователи IE и IE-based браузеров.
  • –3
    При чем тут вся windows, если ошибка в IE?
    • +3
      IE — это неотъемлемый компонент самой Windows. Причем, даже если вы его удалите через установку/удаление компонентов, движок останется все равно. Удаляется фактически фронтенд — сам файл iexplore.exe. Фронтендом же без него будут выступать WMP12, гаджеты, Winamp, RealPlayer и другие софтинки, пользующиеся движком Trident. Кроме того, не удивлюсь, если много компонентов самой винды тоже используют код IE.