poige
–2
при чем наша атака


ата ка, тогда уж…
poige
0
> На какой домен чаще всего идут запросы: tcpdump -npi eth0 port domain

Правда? А вообще-то то же самое записывается как port 53 и всего лишь показывает DNS трафик.

(Это называется script kiddies.)
poige
0
Да, можно вообще отдельную ветку для внешних разработчиков выделить. :P
poige
0
git stash — и можно сидеть, изучать. :)
poige
0
Это, немного неожиданное для рядового программиста, нормальное поведение.

— “Normal everyday psychosis” © Bruce Almighty
poige
0
Скажите мне, КАК должна операционная система проверять права Васи Пупкина, если программа работает под euid 0?

В UNIX это называется Saved UID. На этом позволю себе таки окончательно закончить сеанс вашего бесплатного образования.
poige
+1
Потому что для этого нужна более сложная проверка. Зачем тратить силы на те юзкейсы, которыми никто не пользуется?

Во-1-х, потому что идеологически правильнее проверять должна операционная система. Например, из-за появления тех же capabilites в Linux, кучу таких проверок пришлось найти, и выбросить…
Во-2-х, «никто не пользуется» — да-да. Расскажите UNIX-администраторам, что они не должны больше пользоваться стандартной моделью прав доступа, а должны каждому Васе сразу выдавать права root.

если у него есть права грузить драйвера — то и куда исполнимый файл записать найдется):

Если SETUID на данной платформе был реально необходим для штатной работы X-сервера, то после копирования, файл X превратится в тыкву.

(Думаю теперь можно поставить точку в этом диалоге.)
poige
0
Пожалуйста. А теперь попробуйте подумать логически о том, что я выше написал.

-configure даёт возможность получить текстовое представление рабочего конфига сервера. Автоматически. root-пользователь просто запускает с этим ключом сервер, тот сохраняет рабочий конфиг.

Проверка «если root не настоящий» (а только SETUID'ный) -configure делать запрещает
ErrorF("The '-configure' option can only be used by root.\n");

— ну а как же, вдруг Вася Пупкин изуродует более культурный конфиг, более автоматическим.

А теперь — что если Вася Пупкин как раз и есть владелец /etc/X11/xorg.conf? Почему Вася, не должен смочь записать новый конфиг?
poige
+1
То есть выдержка из man'а, где просто по-английски написано, что -configure можно выполнить только будучи root'ом, не смущает. Я даже курсивом выделил.

> PS и да, хотелось бы посмотреть на пользователя, имеющего права на загрузку драйверов…

Наслаждайтесь, чё…
poige
+1
Что ж так упорно понимать не хотите?

www.wikihow.com/Configure-X11-in-Linux:
A new file has been created in /etc/X11/ called xorg.conf


+ man:
-configure
When this option is specified, the Xorg server loads all video driver modules, probes for available hardware, and writes out an initial xorg.conf(5) file based on what was detected. This option currently has some problems on some platforms, but in most cases it is a good way to bootstrap the configuration process. This option is only available when the server is run as root (i.e, with real-uid 0).
Суть моего коммента в том, что пользователи могут что-то вполне административно-легально (права-членства в группах, или собственность) делать вещи, которые обычно может делать root. Данная проверка этой возможности его лишает. Именно поэтому нужно «… не проверять на рутовость, а просто обламываться там, где не хватает прав, желательно с адекватной диагностикой. …».
poige
+1
О чём я и говорю — при -configure сервер запишет новый конфиг-файл. Проверка почему-то предполагает, что не-root-пользователь этого сделать не должен, но, что если именно этот пользователь является владельцем конфиг-файла, и, соответственно, по-логике вещей, должен был бы суметь воспользоваться этой опцией. Типичный случай, когда assumption is the mother of all f*ckups.
poige
+2
Баг у xserver вообще некритичный, ни разу. Более того, эта проверка ещё и не нужна, ибо лучше не проверять на рутовость, а просто обламываться там, где не хватает прав, желательно с адекватной диагностикой. Это гораздо более гибкий подход, ведь иногда пользователь может входить в нужную группу/обладать достаточными привилегиями, но при этом EUID не будет root'овым.
poige
0
«… ― Дык ведь покупать не будут, ― мотал головой слесарь. Тупой, упрямый.

― Что б вы понимали! ― волновался молодой специалист, потрясая перед чумазым лицом слесаря пачкой графиков. ― У меня за плечами Итон! Это не у меня говно, а вы значете что! Вы сами! Вы!

― Ну и что я? ― спрашивал слесарь, разворачиваясь. Его уже начинал интересовать этот молодой человек. …» — «Копроэкономика», © 2k
poige
0
Надо было бы ещё и lists.busybox.net/pipermail/busybox/2010-December/074202.html перевести — для полноты картины. ;-P
poige
+1
> также я довольно много описывал у себя в блоге способов о защите

# Enables source route verification
net.ipv4.conf.all.rp_filter = 1


— Скажите, зачем вы пишите вещи, в которых не разбираетесь?
poige
+6
Суть не в хот кеях, ваще-то, а в том, что поиск не использовался в пр-цпе, хотя вызвать его можно и через меню, если «горячки» не помнишь/не знаешь. Вот тут наступает момент истины — в гугл-хром меню это такой маленький гаечный ключик, расположенный в непривычном месте. «Позвольте показать вам маленький фокус», гении из Google — если сделать меню похожим на то, каким оно является в 99 % приложений (или хотя бы не изображать гаечный ключ) к которым привыкли люди, процент тех, кто предпочтёт автоматический поиск, будет выше.
poige
+2
> Честно говоря, в недоумении по двум вещам.
> Первое — список расширений вызывает нарекания.

+1.

А ещё вот эта цитата из описания AdThwart: «Chrome does not yet allow extensions to prevent page elements from being fetched, it just allows hiding them.» тоже даёт прикурить.

poige
0
> Ну глубины там не более чем в мультике для пятилетних.

:-)

ну «для пятилетних» это слишком, конечно, но не без доли истинности.

«Аватар» ≈ «Танцущий с волками» × мульт-фикшн.
poige
0
> Лучше бы в сюжет столько вложили, а то он дубовый совсем.

То, что дубовый — +1. Но сколько в дубовый сюжет не вкладывай, он лучше не станет. :-)
poige
0
Ух ты как ссылочка побилась интересно.

что ж: userscripts.org/scripts/show/1315
poige
0
Иногда наоборот полезно принудительно включить: http://userscripts.org/scripts/show/1315 :-)
poige
0
Как я уже говорил, ему бы гомеопатией заняться… :-)
poige
0
Честная конкуренция это прекрасно.
poige
+4
( ответ Андре на его вопрос )

Видишь-ли, Андре, проблема не столько в твоём стремлении пост-фактум «технически» разобраться в разнице между Virtuozzo™ и OpenVZ, сколько в том, что ты фатально заблуждаешься насчёт того, что OpenVZ позволяет достичь, говоря глупости навроде: «… так как одинаковые виртуалки неплохо шаряться памятью между собой, благодаря OpenVZ …».

Это, чёрт побери, банальные основы всех современных операционных систем — если ты запустил несколько копий одной и той же программы, несомненно какая-то экономия памяти будет. Но вот только если у тебя есть /vps1 и /vps2 и в каждой из них по отдельной честной копии apache (разные i-nodes), OpenVZ не сможет «волшебно» понять, что там и там, и там apache один и тот же, и вообще весь /usr/bin совпадает. Могла бы помочь технология навроде KSM, которая пока ещё в процессе становления, что не мешает ей, при этом, уже использоваться, но там пока регионы памяти должны отмечаться специальным аттрибутом, чтобы получить возможность быть прошаренными. Впрочем, для qemu-kvm это уже хорошо.

Вобщем, и на этот раз у тебя вышла статья типа «Атаки конкурентов, способные нанести вред вашему сайту: Атака на DNS (Корень проблемы: UDP)», от который спец-ты плевались… неудивительно — ведь зияющие пробелы IT-основ ставят тебя на один уровень со script kiddies. И при всём при этом, ты продолжаешь заниматься саморекламой. Что ж, как я уже пояснил, подход не без профита — неспециалистов больше. Вот только, когда-нибудь, всё-таки, тебе это сильно аукнется.
poige
+4
Андре, суко, хорошь, позорник!

Поясню в чём суть. — Людей, которые обладают знанием, достаточным для того, чтобы понять, что ты ламер, гораздо меньше, чем ламеров, которые думают, что ты профессионал. Отсюда, собственно, весь твой профит и проистекает.

Вообще, не откажу себе в удовольствии ткнуть тебя носом в тэйбл, ибо, суко, достал. Есть такая платформа, как Virtuozzo — это коммерческий брат/сестра OpenVZ. В отличие от OpenVZ, позволяет достичь большей плотности размещения.

Но, открою тебе секрет — обычный chroot + mount bind позволяет достичь такой же плотности, ибо всё, что даёт OpenVZ, это управление использованием CPU и другими ресурсами.

А теперь найди себе стенку из красного кирпича, и разбегайся получше, ибо достал. Сцуко.

P. S. PHP-кодеры из Хабра-швабра: пофиксите уже свои кривые исходники так, чтобы перед запятыми хабра-швабр не лепил пробелы «от себя» — «ибо вы уже за%#$$» ©
poige
0
> Если Вы считаете себя Профессионалом

Он единственный, кто считает его профи.
poige
+1
> Например, через ACL.

Это, конечно, «дешёвое решение».
poige
0
«… Flash Player 10.1 beta 2 was released on December 17, 2010 and is available for download. …» — они там уже празднуют во всю, походу…
poige
–1
Хех!… Как только отступы не навязываются синтаксически, питонисты точас же на них забивают:
# in settings.py:

DATABASES = {
'default': {
'NAME': 'app_data',
'BACKEND': 'django.db.backends.postgres_psycopg2',
'USER': 'postgres_user',
'PASSWORD': 's3krit'
},
'users': {
'NAME': 'user_data'
'BACKEND': 'django.db.backends.mysql',
'USER': 'mysql_user',
'PASSWORD': 'priv4te'
}
}
P. S. А после «'NAME': 'user_data'» нужна запятая. :-)
poige
0
> почти все ваши замечания прямо присутствуют

Во-1-х, «почти», да, а во-2-х, насчёт «прямо» я бы поспорил. Весьма невнятно они там присутствуют, в отличие от дифирамбов ZFS. И именно потому, что по факту ничего революционного в итоге не обнаруживается, а текста немало, возникает «маркетинговое» ощущение. :-)
poige
0
> вполне логичен, во отличие от вас =)

Кто бы говорил. Кстати, «в отличие от вас» © он хотя бы умеет признавать свои ошибки, а это дорогого стоит.
poige
0
> Разбиение на 4 части приведено просто как пример того, что обычно изменение

Ясно. Вообще, насколько я знаю, SMP-boosting алгоритов сортировки вещь достаточно нетривилальная, потому-то и обратил внимание на такое вольное обращение a-la «разбить и сотрирнуть»…
poige
0
А теперь, вместо того, чтобы умничать (и минусовать) не по делу, пройди вот сюда, и почитай ответ автора: habrahabr.ru/blogs/algorithm/78728/#comment_2304009
poige
0
> Потому-что алгоритм имеет сложность O(n^2)

А какой именно алгоритм? Сортировки с использованием 4-х отсортированных наборов данных, или?…
poige
0
> поэтому правая рука была игровой а левая действием, сейчас же наоборот

А кто-то мешает мышь левой рукой двигать?