Здравствуйте, Sheridan, Вы писали:
P>>У вас снова кругом разработчики виноваты. P>>1 Обновление зависимостей это крайне трудозатратно с т.з. тестирования. Если в энтерпрайзе под это можно бюджет взять, то в опенсорсе это упирается в личное время разработчика. S>Так и проекты одиночки на тот же порядок попроще энтерпрайза.
И что, спать не надо, часовые пояса отменили? Вы релизнули либу утром, вчера вечером Вася релизнул свою либу на основе предыдущей версии вашей, и лёг спать.
Вот вам и проблема — теперь часть софта использует одну версию вашей, другая — другую. У одних работает, у других — нет.
В один дистрибутив попадает одна версия, в другой — другая. А в конторе, вдруг, используются оба дистра. В итоге эти дистры не могут друг с другом коммуницировать при помощи вашей либы т.к. у каждого разные версии вашей либы.
P>>2 Разный релизный цикл — это как природное явление. Уже просто потому, что разработчикам нужно спать хотя бы время от времени и это происходит в разных часовых поясах, в дистр будут попадать пакеты которые требуют разных версий одной и той же либы. S>Не так часто это критически важно.
Если это не важно, то зачем обновляться?
S>Ну так и у дистрибутивов свой релизный цикл. И в релиз дистрибутива берут текущий релиз пакета а не "срочно самую последнюю версию прямо из мастера!!!1"
да хоть какую — всегда есть шанс поломки от 1 до N пакетов, что вы видите по всем релизам любого дистрибутива — часть фиксов это просто поломки той или иной версии. И это норма.
P>>В силу разницы в релизном цикле у вас всегда будет расхождение версий. Следовательно, нужно учитывать эту разницу. P>>И тогда получается или горстка пакетов, или инструменты типа флатпак, когда зависимости изолированы. S>Или следовать жизненному циклу дистрибутива.
Ну да — как Дебиан, два-три года сидеть на устаревших версиях. И при этом вы топите за своевременное обновление зависимостей
Здравствуйте, Shmj, Вы писали:
SK>>А тут нельзя отделить беседу от твоей личности, просто потому что ты свой ограниченный частный опыт проецируешь на всех. Не догадываясь что поднимаемые тобой вопросы уже давно решены.
S>Что решено? Как мне проверить есть ли на диске вредоносные файлы? Единственное стандартное решение — антивирусы. Но они платные и дают не гарантированный результат — если вирус уже есть в базе — найдут, нет в базе — не найдут. Где тут решение?
Штатные средства системы (windows, linux, вероятно и macos но я с нею не знаком) позволяют настроить её так, чтобы вредоносные файлы не появлялись в системе, а если очень упорный пользователь принес — не исполнялись и не получали доступа.
S>У вас есть другое решение, отличное от антивирусов, которыми все пользуются?
Здравствуйте, Privalov, Вы писали:
P>Например, не сидеть в Инете с правами админа. Тогда у 95% троянов просто не хватит прав влезть в систему.
А если ты не успел обновить Windows (отложил обновление на 3 дня, не было тебя дома) и из-за 0-day уязвимости — вирус все-таки получил админские права и зацепился в системе? Как ты его потом сможешь найти?
Здравствуйте, Stanislaw K, Вы писали:
SK>Штатные средства системы (windows, linux, вероятно и macos но я с нею не знаком) позволяют настроить её так, чтобы вредоносные файлы не появлялись в системе, а если очень упорный пользователь принес — не исполнялись и не получали доступа.
До публикации (0-day) — любой компьютер уязвим, но сам эксплойт стоит дорого. Вероятность не большая — но все же сторонний сайт или прога может под админом запустить некий код на твоем компе и ты даже не узнаешь. Проактивная защита может обнаружит а может нет — 50/50.
Если не 0-day — то стоит не дорого, доступно школьникам. Но если ты не успел обновить комп (выключил на выходных) — то все равно тебя легко могут заразить.
После того, как под админом был запущен код на твоем компе — ты уже не знаешь где что искать. Как ты проверишь целостность системы, как проверишь что не появилось новых файлов?
Здравствуйте, Shmj, Вы писали:
S>А если ты не успел обновить Windows (отложил обновление на 3 дня, не было тебя дома) и из-за 0-day уязвимости — вирус все-таки получил админские права и зацепился в системе? Как ты его потом сможешь найти?
Когда меня нет дома, моя домашняя электроника не работает. Впрочем, мой кот иногда что-то делает на ноуте, но я его всего один раз поймал за этим занятием.
Здравствуйте, Privalov, Вы писали:
S>>А если ты не успел обновить Windows (отложил обновление на 3 дня, не было тебя дома) и из-за 0-day уязвимости — вирус все-таки получил админские права и зацепился в системе? Как ты его потом сможешь найти?
P>Когда меня нет дома, моя домашняя электроника не работает. Впрочем, мой кот иногда что-то делает на ноуте, но я его всего один раз поймал за этим занятием.
Ты можешь на несколько дней (недель даже) пропустить актуальные обновления. И потом с незащищенным (обнаженным задом можно сказать) полазиить по интернету. Где школьники, завладевшими уже не актуальными (и дешевыми) эксплойтами — подсадят в твою систему какое-нибудь поделие, пусть и не шибко хитрое, но не массовое. И оно может жить там достаточно долго, о чем не узнаешь — т.к. файлы системы проконтролировать не возможно.
P>Такой вирус ещё откуда-то должен ко мне попасть. Каким образом? Разную хрень из Сети я не скачиваю. Набор софта у меня не меняется годами. Если в пакет обновления кто-то всунет трояна, тогда есть шанс его пропустить. Обновляторы просят админские права.
Так уже был идеал же:
1) копируешь ОС в в корневую директорию, в том числе и директорию c:\DOS
2) если надо, можно настроить под себя отредактирорав текстовые файлы config.sys and autoexec.bat
Здравствуйте, qqqqq, Вы писали:
Q>Так уже был идеал же: Q>1) копируешь ОС в в корневую директорию, в том числе и директорию c:\DOS Q>2) если надо, можно настроить под себя отредактирорав текстовые файлы config.sys and autoexec.bat
Хотелось бы еще вот чего: ОС в виде единого образа/пакета, имеющего строгую иммутабельность — и одинаковый байт в байт для всего мира. И это важно — так без переустановки ОС ты имеешь 100% гарантию что с ОС все нормально и переустанавливать ее не нужно. Ну и копировать можно одним файлом.
Здравствуйте, Pauel, Вы писали:
P>И что, спать не надо, часовые пояса отменили? Вы релизнули либу утром, вчера вечером Вася релизнул свою либу на основе предыдущей версии вашей, и лёг спать. P>Вот вам и проблема — теперь часть софта использует одну версию вашей, другая — другую. У одних работает, у других — нет. P>В один дистрибутив попадает одна версия, в другой — другая. P>А в конторе, вдруг, используются оба дистра. В итоге эти дистры не могут друг с другом коммуницировать при помощи вашей либы т.к. у каждого разные версии вашей либы.
Ужас. Что делать, что делать... Мыло и верёвка, точно! Нет, разбег и скала!
Используем более новую версию. Пока дойдёт до релиза — второй дистрибутив исправится.
P>>>2 Разный релизный цикл — это как природное явление. Уже просто потому, что разработчикам нужно спать хотя бы время от времени и это происходит в разных часовых поясах, в дистр будут попадать пакеты которые требуют разных версий одной и той же либы. S>>Не так часто это критически важно. P> Если это не важно, то зачем обновляться?
А, любитель придраться к словам? Или не умеешь думать стратегически?
1. Не важно обновляться прямо сейчас во что бы то ни стало. Важно — держать более-менее актуальное окружение.
2. Либы могут быть плюс-минус актуальных версий. Довольно редко это имеет значение.
S>>Ну так и у дистрибутивов свой релизный цикл. И в релиз дистрибутива берут текущий релиз пакета а не "срочно самую последнюю версию прямо из мастера!!!1" P>да хоть какую — всегда есть шанс поломки от 1 до N пакетов, что вы видите по всем релизам любого дистрибутива — часть фиксов это просто поломки той или иной версии. И это норма.
И при этом ты пытаешься мне тут рассказывать, что я агитирую за обновление во что бы то ни стало
P>>>В силу разницы в релизном цикле у вас всегда будет расхождение версий. Следовательно, нужно учитывать эту разницу.
S>>Или следовать жизненному циклу дистрибутива. P>Ну да — как Дебиан, два-три года сидеть на устаревших версиях. И при этом вы топите за своевременное обновление зависимостей
Проблема в том, что все эти флатпаковцы вообще забивают на какое-либо обновление. Всё же работает и работать не перестанет. А х.як-х.як-продакшен требует здесь и сейчас релизиться...
Здравствуйте, Shmj, Вы писали:
S>Ты можешь на несколько дней (недель даже) пропустить актуальные обновления. И потом с незащищенным (обнаженным задом можно сказать) полазиить по интернету. Где школьники, завладевшими уже не актуальными (и дешевыми) эксплойтами — подсадят в твою систему какое-нибудь поделие, пусть и не шибко хитрое, но не массовое. И оно может жить там достаточно долго, о чем не узнаешь — т.к. файлы системы проконтролировать не возможно.
Эксплоиты от школьников не пройдут, если нет админских прав.
Когда-то в NT4 была дыра, позволявшая повысить привилегии до админских Её закрыли. С тех пор всё, что я видел, в систему не попадало. Кроме того случая с шифровальщиком файлов. Вылечилось заменой прокладки между стулом и монитором. Это самое слабоен место в любой системе. Все известные мне успешные взломы банковских счетов всегда проводились с участием кого изнутри.
По Интернету я с незащищённого компа лазил пару дней всего. Ещё на XP. Что может вывести комп из строя, так это TCP или IP пакеты особой конструкции. Я не знаю точно, что проверяется при их обработке на принимающей стороне. Но комп переставал шевлиться. Вылечилось установкой и настройкой файерволла.
Сегодня и это не происхордит. Правда, файерволл настроен и на домашнем маршрутизаторе, и на компах.
S>Да даже просто на сайт зайдешь или в рекламный баннер будет эксплойт встроен. Можешь даже не узнать об этом. И никак не проверишь — нет способа — только 100% переустановить ОС.
Я последний раз ОС переустанавливал году этак в 2013-м или около того. Искал неполадку, и загнал ОС в тупик. Оказалось, накрылась видеокарта, не отрабатываоа некоторые режимы. С тех пор у меня не было никаких проблем. А я иногда и в кафешках к местному wifi подключался.
S>Вообще то речь о том, чтобы каждый человек без всяких особых экспертных знаний и трюков мог иметь гарантированно чистую систему.
Некоторые знания нужны дяже для безопасного использования утюга или кухонного ножа.
Компьютерные системы — вещь сложная. И некоторый набор знаний для работы с ними просто необходим. И желательно иметь под рукой специально обученного человека, который сможет помочь. Некоторым, наверное, хватит чатгопоты.
Здравствуйте, Sheridan, Вы писали:
P>>А в конторе, вдруг, используются оба дистра. В итоге эти дистры не могут друг с другом коммуницировать при помощи вашей либы т.к. у каждого разные версии вашей либы. S>Ужас. Что делать, что делать... Мыло и верёвка, точно! Нет, разбег и скала! S>Используем более новую версию. Пока дойдёт до релиза — второй дистрибутив исправится.
Это и был релиз. Теперь надо ждать пока второй дистр исправится и делать новый релиз.
Где то самое ваше решение?
S>1. Не важно обновляться прямо сейчас во что бы то ни стало. Важно — держать более-менее актуальное окружение. S>2. Либы могут быть плюс-минус актуальных версий. Довольно редко это имеет значение.
Вы предлагаете использовать непровереный набор зависимостей, а виноваты девелоперы Плюс-минус актуальных — это ни о чем.
P>>Ну да — как Дебиан, два-три года сидеть на устаревших версиях. И при этом вы топите за своевременное обновление зависимостей S>Проблема в том, что все эти флатпаковцы вообще забивают на какое-либо обновление. Всё же работает и работать не перестанет. А х.як-х.як-продакшен требует здесь и сейчас релизиться...
Это выдумка, в чистом виде. Флатпак дает вам именно тот набор зависимостей, на котором приложение работает. Версии зависимостей, где приложение не работает, никому не нужны.
На флатпаке как раз безопасно обновляться, вы всегда получается рабочую версию.
Ровно такая же идея и у snapd. AppImage — туда же — просто фиксируется состояние зависимостей. Обновляйтесь сколько хотите — каждый раз будете получать провереный набор зависимостей.
Здравствуйте, Privalov, Вы писали:
P>Эксплоиты от школьников не пройдут, если нет админских прав. P>Когда-то в NT4 была дыра, позволявшая повысить привилегии до админских Её закрыли.
Если на луну не смотреть — то ее нет, верно?
Общая информация по дырам, позволяющим получить админские права:
Каждый месяц Microsoft публикует патчи в рамках Patch Tuesday. Среди них почти всегда есть 1–5 уязвимостей повышения привилегий в Windows (часто в ядре, драйверах, службах).
За год накапливается десятки LPE-дырок (порядка 30–60 только в самой Windows, не считая браузеров, Office и стороннего софта).
Многие LPE изначально закрываются "тихо", но иногда они эксплуатируются в реальных атаках до выхода патча (0-day).
Т.е. то что ты не заразился — это просто повезло. А может быть ты и заразился но не узнал об этом — просто верил что все ОК. А хакер, которому продали доступ к твоей машине — оказался умным и искал что-то конкретное, к не просто бот-фермы строил.
Проблема в том что у тебя нет метода 100% подтвердить, что на компе не появилось левых файлов. Ну просто метода нет. Ты не сможешь проверить все системные файлы и файлы программ и сличить с тем что должно быть.
Здравствуйте, Stanislaw K, Вы писали:
SK>Даже "под админом" код который мог бы загрузить сторонний сайт не исполнится на моем компьютере. SK>Почему ты не используешь штатные средства операционной системы?
В средствах ОС регулярно находят дыры, которые позволяют захватить (порой и адмниские) права, иногда даже JS-скриптом.
Фишка в том что если один раз такой захват произошел — то вы даже не узнаете о последствиях. Иногда да, могут шифровальщик поставить. А иногда просто тихо сидит в системе и дожидается чего-то конкретного.
Способа проверить поражена ли твоя система — не появилось ли там левых файлов — просто нет
Здравствуйте, Shmj, Вы писали:
SK>>Почему ты не используешь штатные средства операционной системы?
S>В средствах ОС регулярно находят дыры, которые позволяют захватить (порой и адмниские) права, иногда даже JS-скриптом.
Здравствуйте, Stanislaw K, Вы писали:
SK>И что нашли за последний год?
В 2021–2022 активно эксплуатировался PrintNightmare (CVE-2021-34527) – дыра в Spooler, позволявшая повысить права.
В 2023 было несколько громких LPE в Win32k и в Windows Common Log File System (CLFS).
В 2024 продолжались находки в kernel API и драйверах (например, CVE-2024-21338, эксплуатировался в атаках).
⚠️ По статистике MITRE и CISA:
— LPE-уязвимости встречаются чаще, чем удалённые RCE в Windows.
— Почти каждый месяц можно ожидать хотя бы одну новую дыру такого рода.
Дело вот в чем. Найти могут сегодня. Более того — заразить могут тем, что MS еще не нашла и не светить особо — эксплуатировать эксплойт много лет без раскрытия.
Фишка в том что у тебя есть только вера — вера в то что маловероятно, вера что вроде все ОК. Но гарантией что нет заражения — является только 100% переустановка ОС и всех программ с нуля из верифицированных источников. А это долго, т.к. там куча программ и добавляются каждый день новые программы ты добавляешь — по этому образ диска — не удобно и большой расход диска идет.
Добавление иммутабельности — на корню решило бы этот вопрос — у тебя бы был 100% ответ есть в системе левые файлы или их нет.
Здравствуйте, Shmj, Вы писали:
S>Если на луну не смотреть — то ее нет, верно?
Чатгопота подсказала?
S>Общая информация по дырам, позволяющим получить админские права:
Защита должна быть комплексной.
S>Проблема в том что у тебя нет метода 100% подтвердить, что на компе не появилось левых файлов. Ну просто метода нет. Ты не сможешь проверить все системные файлы и файлы программ и сличить с тем что должно быть.
Здравствуйте, Stanislaw K, Вы писали:
SK>это гипотетические уязвимости. почитав описание легко заметить что практического применения у них нет.
При умелой комбинации — еще как есть. Дыр там масса — каждый день новые. За этим следить — нужно только этим и заниматься, а это не имеет смысла.
Мне нужна просто 100% гарантия что система не заражена. Кто мне может дать такую гарантию?
S>>Фишка в том что у тебя есть только вера — SK>У меня опыт и знания. Это у тебя слепая вера. слепо отметающая доводы рассудка.
Ты только хорохоришься. Пока никаких знаний мы от тебя не услышали — а хорохориться любой тролль может.
Еще раз вопрос. Вот у тебя система — как ты проверишь что она не содержит вредоносных файлов?
Если это не важно, то зачем обновляться? 
