Pull to refresh
480
0
Send message
Никто ядро не заменял. WinNT вышла в 93-м, а Win95 — в 95-м. Были две разные линейки ОС (вообще то еще больше, но не о них сейчас речь) — одну выбросили, другой подтянули совместимость с выброшенной (причем о реальной совместимости можно говорить только начиная с XP, в 2000-й частенько не шло очень много программ, в том числе очень популярных игр типа NFS).
Нет, не 87, а что-то около 99 (по данным SIR, у которого хоть и неидеальная но значительно более качественная выборка). Данное исследование страдает от selection bias: в исследование попали не все пользователи, а только те, которые подозревали наличие нежелательного ПО на компьютере и в связи с этим запустившие KSS.

Вот аналогия, чтобы было понятнее: из всех посетителей кож/вен диспансера было выявлено 5% носителей ЗППП среди тех, кто предохранялся и 13% — среди тех, кто не предохранялся. Можно ли распространять результаты выборки «посетители кож/вен диспансера» на всю популяцию в целом?
Насколько я помню, по-умолчанию Chrome ставится в AppData пользователя и там же держит все настройки и плагины, так что даже повышения привилегий не нужно. Для установки в Program Files нужно использовать msi-ный Chrome for Businesses.
Шаг обратно — это в рендер-процессы чтоль? Так этот шаг обратно первым сделал как раз таки IE. В IE7 появилось разделение на обычный и «защищенный» рендер, в IE8 — полноценный сендбоксинг и изоляция вкладок друг от друга. Публичные беты IE8 и Chrome были выпущены в 2008-м, но IE — в марте, а Хром — в сентябре. Ну а IE7 (который можно считать прародителем современного браузерного сендбоксинга) — тот вообще был выпущен в 2006-м с бетой в 2005-м.
1. Ну вообще говоря, в K-12, «K» как раз таки означает kindergarten, так что «общественные» детские сады как бы есть, другое дело, что под этим понимается скорее «нулевой класс», чем полноценный детский сад в (пост)советском смысле.
На ребенка, точно так же как и на всех других dependent-ов, как раз таки имеются налоговые поблажки: увеличивается стандартные deduction-ы — то есть из облагаемого налогами дохода можно вычесть бОльшую сумму (учитывая, что налоговая система прогрессивная, а сумма по факту снимается с верхних диапазонов, то возврат выходит довольно существенный). Кроме того, конкретно на детей есть еще и tax credit, по которому сумма вычитается из уже посчитанных налогов (а не из дохода, как дедакшены).
Из-за доброй хабратрадиции вкладывать в устоявшиеся термины какой то свой смысл, я отмечу, что «уже сейчас» Nokia не может быть патентным троллем вообще (в интересах МС или своих собственных) из-за собственного производства.

Да, кстати, напомню, что абьюзить патентное право (с привлечением внимания антимонопольных комитетов в США и Европе) начали как раз таки производители Андроид устройств. Интересно почему?
Да, Вы правы — это было задолго до Qt. Qt действительно решил множество проблем. Но точно так же на Qt (и на многом другом) можно было разрабатывать и для того же WinMo, причем почти на десяток лет раньше.
Microsoft купит Nokia с её портфелем патентов, она сможет давить на конкурентов ещё эффективней.

О, да, давайте еще поспекулируем на эту тему. Напомню, что Альтернативный вариант — Андроид — УЖЕ привел к банкротству и продаже мобильного подразделения отца-основателя индустрии. Все остальные кроме Самсунга дышат на ладан. Но вообще да, если бы продолжали пилить Symbian, Maemo/MeeGo — это был бы невероятный успех и успешная конкуренция Самсунгу с Эпплом (прошу отметить для протокола, что несмотря на сослагательное наклонение, вышеизложенное следует считать ФАКТОМ).
«возможный печальный конец их пугает не так, как отказ от ШАНСА на восстановление». Кстати, судя по всему Nokia сейчас восстанавливается
1. Я не говорил про невезучесть. Я говорил про «кризис-менеджмент». Если все осознают, что УЖЕ И ТАК в жопе, то возможный печальный конец их пугает не так, как
2. Нет, квартальные отчеты — это хорошо. Но Ваши домыслы основаны именно на экстраполяции этих квартальных отчетов в духе «вот смотрите здесь все время падали, но вот один квартал немного вверх (dead cat bounce), потом Элоп, потом опять падаем — эрго, Элоп привел к падению». Вам даже приводили серию других квартальных отчетов — без Элопа — где все было радужно и ВНЕЗАПНО скатилось в бездну.
у нас в России NDA и ответственность не прописан на законодательном уровнке

А с каких пор «у нас в России» требуются юридические основания для взятия под стражу/заключения в СИЗО? Но даже если бы требовались основания, неужели описываемые силовые методы дознания таки вполне законны?
Последствия менеджмента Элопа — быстрая смерть Симбиана? Да за одно это я готов его расцеловать (а как человек, пытавшийся разрабатывать под этот самый Симбиан в прошлом — при встрече еще и посмотреть на «бывшего разработчика Symbian в Нокии» до-о-о-о-олгим укоризненным взглядом)
Канва фактов. Подобное жизнеописание Элопа прекрасно соответствует тому, что произошло при нём с Nokia.

Предпочли не заметить моего «предположения»? Ваше право

Вы, видимо, не видели, как за неделю можно разрушить целый отдел, выкинув одних ключевых людей и распугав других.

Даже прямой саботаж не может за неделю «разрушить» мало-мальски эффективный отдел в мало-мальски эффективной компании. Ну если мы не говорим об отделе из двух человек. Одного «ключевого» увольняем, другого — распугиваем. Вуаля, на это даже меньше недели потребуется. В остальных случаях: менеджер — сатрап, есть скип-менеджер (или если уж совсем печально, скип-скип), есть HR-ы (которые специально для этого делаются неподвластными никому из курируемой ими структуры). Нет скипа (если это самая верхушка) — есть совет директоров и прочие коллегиальные органы. Если ничего подобного нет или оно нефункционально, то нехрен, пожалуйста, рассказывать об идеально работающем механизме, который не может продержаться и недели. Еще раз повторю: там УЖЕ выгребная яма, нырнувший в нее человек может справиться, а может и нет.

Я продолжаю считать, что факты, хоть они и скучны, имеют куда большую ценность, чем слова.

А факты, это по-Вашему — исключительно смелая экстраполяция исторических данных и спекуляции на тему как бы оно все было прекрасно если бы не.
Канва фактов?
1) Пришёл в IT-отдел, добился вылета CIO, стал новым CIO, запорол IT*, получил повышение и…
2) Пришёл в Andromedia после её покупки, управлял этой бизнес-группой неделю, чего было достаточно, чтобы её запороть, был повышен и…
3) Создал новую бизнес-группу (Whirlwind, кажется), трёх месяцев хватило, чтобы запороть и её, был повышен…

По первому пункту — ничего конкретного. Второй и третий — просто непередаваемая тупость, которая начисто вычеркивает автора из списка источников, которым можно мало-мальски доверять. Вот есть отлично работающая бизнес-группа, у нее меняется начальник и через неделю «все полимеры просраны». Ога. Очень правдоподобно.

Может все таки это не у Элопа все в говно превращается, а он связывается только с говном. Ну вот типа венчурных капиталистов, у которых 95% всех вложений — в говно — вот же ж дебилы.
Написали ж, тыкать надо в HERE Maps, который перекинет в HERE Drive. Да, не так удобно, но можно. К тому же лично у меня приоритет в установке конечной точки навигации такой:
1. Избранное — более половины случаев (грубо говоря, при дальней поездке по навигатору обратный маршрут всегда «Домой»)
2. POI. Магазины, кинотеатры, парки и все остальное, что имеет название и (относительно) неизменное во времени местоположение.
3. Адрес. Ну кемпинг какой или там фестиваль лосося в соседнем городе — места на карте я все равно не знаю, а на сайте организаторов (по которому я в общем их и нашел) всегда есть адрес
4. Точка на карте. Чаще всего я знаю окрестности исходной и конечной точки достаточно хорошо, чтобы ориентироваться самостоятельно, но понятия не имею как добраться от одной окрестности до другой. Случается раз в несколько месяцев, так что хотя и хотелось бы удобства во всем, но конкретно по этому пункту я потерплю.
Можно пооткрывать файлов в эксклюзивном режиме и закинуть их хендлы в другой процесс, в результате все «шишки» достанутся жертве.

То есть процесс, наделенный полномочиями, может аьюзить свои полномочия? Ну да, точно то же самое можно сделать ptrace-ом (ну не считая того, что я вообще считаю идею суперпользователя глупой — одна из немногих вещей, в которых я полностью согласен с POSIX). Рандомизации хендлов вроде нет, но опять таки, хотелось бы увидеть реалистичную атаку. Если действительно очень нужно, чтобы на этом уровне доверия действовала система — ну так и сделайте брокер, который бегает от имени системы (или вообще отдельного пользователя/группы) и всем остальным запретите доступ к своему процессу.

Принимается. Кстати считаю это очередным подтверждением моего тезиса о том, что не так уж и важно, насколько ОС замечательная сама по себе

Вот только юзермод винды мне тоже нравится гораздо больше, чем юзермод линукса. Вот начиная прямо с юзермода, описанного в POSIX — шелл скриптинг. Поскорей бы он помер — есть же куча нормальных скриптовых языков. Еще я люблю COM (и в частности насколько широко он применяется в винде) — я вообще предпочитаю структурированные интерфейсы (в том числе объектно-ориентированное ABI) неструктурированным (в частности CLI-как-API или до некоторой степени даже Plain C API). И даже если взять те же IOCP — уж как его изуродовали по пути из ядра (и Native API) в Win32, а все ж таки это IOCP и он ВСЕ ЕЩЕ лучше текущего положения дел с epoll (не говоря уже о положении дел в POSIX в целом).

Не понял кейс с рестартом демона. Клиенты сами переподключаются при обрыве соединения.

У меня сейчас ощущение, что я чего то недопонимаю, но разве юникс-сокеты не анонимные? А именованные fifo объекты разве умеют в фреймы и обмен дескрипторами? Мне аж интересно стало, как можно переподключиться.

AFAIK неименованные пайпы сделаны из именованных under the hood.

Все правильно, CreatePipe открывает \Device\NamedPipe\ (корневой каталог NPFS), а потом открывает второй конец «относительным» открытием уже имеющегося хендла.

Какая разница, что внутри, если функционал такой же?

Ну, честно говоря я тоже удивился, когда в недостатки винды записали отсутствие unix domain сокетов, но по мере обсуждения даже интересно стало — функционал все таки разный. Пайпы можно именовать, а сокеты — фреймить и кидаться дескрипторами.

Не считаю signalfd костылем. Файловый дескриптор — это все равно, что хендл в windows.

Он был бы аналогом хендла, если бы была хоть какая то типизация. А так open/read/write/close для всех — для всего остального «неструктурированный» ioctl. Ну не всем объектам годится семантика файлов. Ну хоть ты тресни. В частности, сигнальные, таймерные и событийные дескрипторы накладывают такие странные ограничения на «файлы», что по сути уже и не являются файлами. Кстати, даже «как бы файлы» в sysfs тоже фактически делают любую промежуточную буферизацию семантически некорректной. Например для одного и тоже файла и одних и тех же данных fopen/fwrite может сработать, в то время как open/write — нет.

Так откуда берется принципиальная разница между AIO и non-blocking IO при высоких нагрузках?

Неблокирующий доступ требует больше раундтрипов в ядро и больше промежуточной буферизации. Чем неизбежно увеличивает задержки (latency) при обработке данных. Более того, эти задержки ВСЕГДА находятся на критическом пути, что неизбежно ведет еще и к снижению пропускной способности. Если интересно, рекомендую посмотреть доклад о registered IO, в котором обсуждаются проблемы обычных IOCP (да, с современными скоростями сетевых соединений уже даже IOCP оказываются узким местом, не говоря уже о non-blocking IO).

А много вы знаете объектов в UNIX с эксклюзивынм владением? Мне кажется что все сложности успешно разрешены в рамках текущего стандарта.

Взять те же mandatory lock-и на файлы — уж сколько лет продолжались попытки сделать вид, что они как бы и не нужны, а жизнь (и Big Data) все равно берет свое — нужны они. Да, для fork-ов придумываются всяческие workaround-ы, чтоб с этими проблемами хотя бы можно было жить, но существование этих обходных путей не отменяет факта несовместимости fork-а с экслюзивным владением ресурсами.
Забавным образом, в том же линуксе игнорирование семантики блокирования файлов привело к появлению «необновляющих обновлений» — по своему гениальное изобретение.

Ну вот именно поэтому у меня идея имперсонации вызывает подозрения.

Так у всех потоков уровень доверия один. Имперсонирован он или нет — один вызов RevertToSelf позволяет развеять все сомнения насчет возможности использования имперсонирования для безопасного исполнения недоверенного кода. А вот seccomp sandbox весь построен на совмещении потоков с разным доверием в одном адресном пространстве.

А на счет человеческого фактора вы не правы AFAIK — насколько я помню, нужно приложить определенные усилия для того, чтобы не было имперсонации при обычном вызове CreateFile

Хороший пример имперсонирования, это, например UMDF драйвер, которому требуется открыть файл. Он не хочет заниматься самостоятельной возней с проверкой прав поэтому просто говорит системе: «Слушай, я тут обрабатываю запрос от какого-то пользователя, открой мне вот этот файл с ЕГО правами». После чего продолжает работу с полученным хендлом уже со своими правами — все проверки уже сделаны в момент открытия. Та же история с OutOfProc (или даже DCOM) COM серверами. Вот крутится себе WMI провайдер с правами системы и вдруг его по RPC дергает пользователь. WMI провайдер имперсонирует клиента и исполняет СВОЙ код, после чего немедленно возвращается к собственному основному токену. Никогда и ни при каких условиях нельзя использовать имперсонацию для «защиты» от недоверенного кода.
Тут смотря что называть «появились». ACL-ы как таковые были уже как минимум в MULTICS. В «изначального» наследника MULTICS — VMS — они перекочевали и даже «похорошели», а ко времени NT они стали вообще почти «идеальными»: шутка ли — они вообще не претерпели концептуальных изменений за последние 20 лет (вот только в последние годы были «разбавлены» динамическим контролем доступа), хотя расширялись и дополнялись в рамках существующей модели практически в каждом релизе NT линейки.

UNIX же начал разрабатываться как ответ на «затянутую» разработку VMS (хотя обе системы вышли на рынок примерно одновременно, но с огромной разницей в качестве) и ACL-ы были оттуда исключены.
«На практике» микроядра, похоже, заходят с «черного хода». Ну во всяком случае именно такое у меня ощущение, когда я вижу внедрение систем виртуализации не только в серверные, но и в клиентские версии ОС (OSX пока «тормозит» — не знаю надолго ли). По очень многим параметрам гипервизоры похожи на микроядра, а гостевые ОС — на сервисные «процессы».
Разделение DAC и MAC было введено в оранжевой книге (TCSEC) в 80-х годах. Причем был введен строго в контексте MLS (multilevel security). С тех пор каждый кому не лень пытался «доопределить» эти понятия. Наиболее близкое к изначальному и имеющее смысл заключается в том, что MAC в принципе не позволяет обычным пользователям задавать какой либо контроль для файлов: вся политика задается администратором безопасности (security officer). Например, даже если Вы создадите файл в своей домашней директории Вы не будете иметь права менять для него метку доступа.

TCSEC прямым текстом говорил (сейчас он уже давно устарел и замещен новым стандартом — т.н. «Common Criteria»), что вообще говоря права раздаются при помощи DACL, но «уровень допуска» — это уже парафия MAC. Что делать MAC (модель Белла-ЛаПадулы) на домашних компьютерах я, честно говоря, затрудняюсь представить. Гораздо полезнее MIC (Mandatory Integrity Control — модель Биба) — собственно она и является частью UAC. Для описания политик доступа субъектов к объектам более чем достаточно DACL-ов. Стоит отметить, что политики доступа к сети в NT определяются файрволом (Window Filtering Platform) в остальном же, я бы хотел увидеть пример политики SELinux, которую нельзя выразить при помощи ACL-ов.

Функции Бесселя — не имеют к безопасности вообще никакого отношения. Упомянул я их потому, что POSIX требует их реализации в интерфейсе ОПЕРАЦИОННОЙ СИСТЕМЫ, а вот какой либо реализации системы безопасности — не требует.

Information

Rating
Does not participate
Registered
Activity