Re: [Comm] Re: Проблемы с безопасностью дистрибутивов

Eugene Seppel =?iso-8859-1?q?ponty=2Epilat_=CE=C1_gmail=2Ecom?=
Сб Дек 10 22:20:11 MSK 2005 

10.12.05, Michael Shigorin <mike на osdn.org.ua> написал(а):
>
> > Скажу более, ситуация с ошибкой 8294 из Багзиллы (выполнение
> > произвольного кода из под другого пользователя путём изменения
> > раскладки клавиатуры), когда ошибка не была исправлена в
> > течении месяца, несмотря на скорый выход исправления в
> > Mainstream так же недопустима.
>
> Это как раз некритичная проблема.


На сервере -- бесспорно.
Но только не в компьютерной лаборатории с IT-студентами как у меня:)
Экзотический конечно случай.

> Недавно в СПбГУ приезжал дяденька из Microsoft, который,
> > приводя подобные примеры из различных дистрибутивов Linux,
> > рассказывал о существенных проблемах безопасности модели
> > разработки OpenSource дистрибутивов.
>
> Дяденька если не дурак, то придуривается; надёргать примеров
> подобным образом -- это всё, на что такие деятели способны.
>
> > С глубочайшим сожалением, несмотря на долгие споры с тем
> > господином, должен заметить, что он кое в чём был прав.


По поводу всех приведённых Вами доводов о Microsoft -- примерно Ваши слова я
и говорил дяденьке. Ну фанатик он. И его не переспорить.
Я не защищаю известную корпорацию, Багов у неё хватает. Критических
удалённых -- просто пруд. В Linux-софте чаще локально или DoS, что не столь
страшно.
Просто хочу сказать, что всем есть чему у неё поучиться. Хотя бы тому, как
она учится на ошибках.



> На мой взгляд, дистрибутив, продаваемый в коробке, не должен
> > быть уделом только хакеров. Человек, купивший и поставивший его
> > на сервер должен быть в курсе проблем с безопасностью и
> > получать вовремя updates.
>
> Да, это один из главных доводов против ALT в коробках.
> По крайней мере у меня.


Но пользователям нужен дистр в коробках, ну или ОЕМ. Чтобы поставить на
production server. А хакерам нужен Сизиф.
Или, в настоящее время, ALT -- только для хакеров?


> ALTLinux не поддерживает исправления безопасности для contribs,
> > но пользователь в системе по-умолчанию может поставить оттуда
> > пакеты, так и не поняв, откуда  именно он поставил пакеты,
> > почему этого нельзя делать и что он выкопал себе могилу.
>
> Это лучше, чем не давать возможности устанавливать пакеты оттуда.
> Если не догадаетесь, почему -- переспросите.


Не догадался. По-моему всё-таки ставить пакеты от туда должен только тот,
кто твёрдо понимает что делает.

Собственно вопрос -- по поводу работы пользователей над обновлениями: я
правильно понимаю, что мы, как пользователи, должны присылать патчи для
srpm?

Большое спасибо за комментарии.
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/community/attachments/20051210/7535b286/attachment-0007.html>

Подробная информация о списке рассылки community