Перейти к содержимому


Фото
- - - - -

поиск уязвимостей


  • Please log in to reply
104 ответов в этой теме

#21 SergSG

SergSG

    The Master

  • Posters
  • 11 984 Сообщений:

Отправлено 19 Апрель 2019 - 10:35

По поводу ОС это у некоторых обычная практика, отключать обновления. Логика понятна и ясна, "не нужны мне эти дурацкие обновления, которые еще к тому же просят перезагрузки, хочу чтобы просто компьютер работал и выполнял свои функции".

 

В этом плане респект Windows 10, там с рождения политика принудительного обновления, и надо еще знать как их отключать. Поэтому единицы тех, кто сидит на Win10 без заплаток.

 

Этот подход надо менять в головах, а не в уведомлениях, т.е. проблема не столько техническая. ОС и так подскажет или если что. Ну и да, подход обычно меняется после первого крупного вирусного инцидента у пользователя. Не зря же родилась фраза "Люди делятся на две категории: кто еще не делает бэкапы, и кто их уже делает". :)

Желание пользователя спокойно работать абсолютно естественно. И с этим никто ничего не сможет сделать.

И никакого респекта W10, которая откровенно плюет на пользователя. Если б M$ не был монополистом, W10 постигла бы та же участь, что WP.

Менять в головах нужно, конечно, но только в головах разработчиков. Они должны озаботиться тем, чтобы обеспечение безопасности не превращалось для пользователя в стихийное бедствие. (По ходу, и Доктора это тоже частенько касается).



#22 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 262 Сообщений:

Отправлено 19 Апрель 2019 - 11:04

SergSG, представляю, как автолюбители начали возмущаться, что надо заправлять машины и ремонтировать иногда. "Не хочу. Это нарушает мои права. Это заговор!"



#23 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 535 Сообщений:

Отправлено 19 Апрель 2019 - 11:12

maxic, даже уместнее говорить не про ремонт, а про обслуживание. Отсутствие которого как раз к дорогостоящему ремонту и приводит.

И таки да, обслуживание можно делать самостоятельно по своему собственному графику. Если конечно автомобиль не будет вставать в позу, если его не отвезли к официалам в нужный ему момент.

Найдите 10 отличий!


Семь раз отрежь – один раз проверь

#24 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 201 Сообщений:

Отправлено 19 Апрель 2019 - 11:58

Резюмирую ваши высказывания:

Если бы строители строили так же, как программисты пишут программы, то первый залетевший дятел разрушил бы цивилизацию.

Поэтому, несчастных юзерам, в отличие от авто и домовладельцев ничего не остаётся как обновляться, обновляться, обновляться и именно так и тогда, как и когда этого хотят софтописатели, а не пользователи =)


(exit 0)


#25 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 535 Сообщений:

Отправлено 19 Апрель 2019 - 12:05

Поэтому, несчастных юзерам, в отличие от авто и домовладельцев ничего не остаётся как обновляться, обновляться, обновляться и именно так и тогда, как и когда этого хотят софтописатели, а не пользователи =)

Хз, у меня конечно менеджер пакетов недовольно пишет мне, что его базу давно не обновляли. Но только тогда, когда я сам его о чём-либо спрошу.

С тырпрайзным антивирусом, впрочем, картина та же.


Семь раз отрежь – один раз проверь

#26 pig

pig

    Бредогенератор

  • Helpers
  • 10 639 Сообщений:

Отправлено 19 Апрель 2019 - 12:09

Если бы строители строили так же, как программисты пишут программы, то первый залетевший дятел разрушил бы цивилизацию.

В наших краях года этак четыре назад вдруг обнаружили, что построенные в конце тридцатых очень капитальные и красивые сталинки без должного ухода пришли в аховое состояние. Дошло до того, что посыпались даже не отдельные кирпичи, а куски стен. Крыши надо вовремя чистить и латать.
Почтовый сервер Eserv тоже работает с Dr.Web

#27 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 19 Апрель 2019 - 12:14

maxic, даже уместнее говорить не про ремонт, а про обслуживание. Отсутствие которого как раз к дорогостоящему ремонту и приводит.

И таки да, обслуживание можно делать самостоятельно по своему собственному графику. Если конечно автомобиль не будет вставать в позу, если его не отвезли к официалам в нужный ему момент.

Найдите 10 отличий!

 

Некорректное сравнение. Обслуживание - это регулярное поддержание стабильности, чтобы ничто не отвалилось. Вот пример в разрезе безопасности: обнаружилось, что в городе начали часто  разбрасывать гвозди, повсюду, массово. А производитель обнаружил, что базовые покрышки уязвимы перед этим, и при езде их пробивает. Конечно, в большинстве случаев у водителя пробъет и он просто его заменит, но редко в определенных обстоятельствах люди врезаются на больших скоростях. Производитель это обнаружил и предложил бесплатно поменять покрышки в одном из СТО. Выбора 2: или сделать новость и надеяться, что единицы ее увидят и поедут сделают это (это скорее относится к автолюбителям, чем к обычным водителям), или настойчиво вставать в позу.

 

Ну а вообще адекватную аналогию придумать сложно, ибо сравнивать 2 разные области некорректно. Люди строят постройки, дома и т.д. почти столько, сколько существуют. За это время выработались какие-никакие базовые подходы, принципы. Автомобилестроение не такая старая, менее 300 лет, но тем не менее тоже есть устойчивые правила. Да и то, смотрю сейчас автомобили внедряют мультимедиа системы и все также ломают.

 

Написание софта и современный IT - бешенно двигающаяся и меняющаяся область, где меняется архитектура, подходы. Неизменным пока остается принцип работы на железе. Да и то, сколько архитектур уже родилось и умерло, сколько архитектурных уязвимостей, и т.д., последние спектры и мелтдауны - яркий пример.

 

Безусловно, нужно стараться писать качественный софт и продумывать варианты безболезненного апдейта, всем угождать и т.д. Но написание серьезного защитного ПО - это та еще веселуха, невозможно усидеть сразу на всех стульях: быть стабильным, быть незаметным для юзера, обеспечивать 100% защиту от малвари. В разрезе области (энтерпрайз, хомячки) эти приоритеты меняются, но всегда надо делать уклон.

 

Ничто не вечно :)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#28 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 262 Сообщений:

Отправлено 19 Апрель 2019 - 12:38

RomaNNN, речь идет об обслуживании. Интернет - постоянно меняющаяся среда, динамика очень высока. Ради бога, хочется ничего не обновлять, не латать, не закрывать - отключаемся от инета и делаем всё что угодно. Однако подключение к сети - та самая вещь, которая меняет всё в данном подходе. Это как у себя в гаражике вы можете какие угодно кнопочки нажимать на машинке и крутить руль в любую сторону, нажимать любые педальки, однако стоит выехать на дорогу - и вся свобода существенно урезается внешними правилами. Дискутировать можно бесконечно, впрочем.



#29 basid

basid

    Guru

  • Posters
  • 4 072 Сообщений:

Отправлено 19 Апрель 2019 - 12:41

Прежде чем топить за обязательность "срочных" обновлений ...
April 9, 2019—KB4493448 (Security-only update), читаем статью, идём в каталог обновлений по ссылке из этой самой статьи и

wget --spi -S http://.../2019/04/windows6.1-kb4493448-x64_26274aef6de2f6b66e71f4a8ae51539238d1ec2d.msu
  ...
  Last-Modified: Wed, 03 Apr 2019 02:29:47 GMT

Оба-на - уже есть отставания на три дня.
Скачиваем, распаковываем и видим ещё день:

02.04.2019  17:39        39 086 460 Windows6.1-KB4493448-x64.cab

Распаковываем дальше, "dir/o:-d

22.02.2019  00:10             5 155 wow64_microsoft-windows-netbt_***.manifest

А "работа над ошибками", оказывается, дело не быстрое ...

 

P.S.

Устанавливать обновления, конечно, надо.

Не надо рассказывать страшилки "мы сейчас все умрём".



#30 basid

basid

    Guru

  • Posters
  • 4 072 Сообщений:

Отправлено 19 Апрель 2019 - 12:45

однако стоит выехать на дорогу - и вся свобода существенно урезается внешними правилами.

Вот только не надо делать ложных аналогий.

Программные ошибки, в массе своей, связаны с необходимостью "быстро делать деньги, пока тебя не разорили конкуренты".

Правила дорожного движения, наоборот - именно правила, которые нужны обществу, как и любые другие регламенты общественной жизни.



#31 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 262 Сообщений:

Отправлено 19 Апрель 2019 - 12:51

basid, я просто ленюсь :)
И рассуждаю не в упомянутом вами контексте, а в том разрезе, что техника в сети и техника вне сети - предполагает разный подход.



#32 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 640 Сообщений:

Отправлено 19 Апрель 2019 - 12:52

Программные ошибки, в массе своей, связаны с необходимостью "быстро делать деньги, пока тебя не разорили конкуренты".

Мы же рассматриваем не только баги, а еще Security фиксы. А их, просиди ты хоть 1000 часов над одной программой, не удастся все предусмотреть. Но когда-нибудь оно всплывет, кто-нибудь расковыряет.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#33 basid

basid

    Guru

  • Posters
  • 4 072 Сообщений:

Отправлено 19 Апрель 2019 - 12:56

Я, вообще-то, привёл пример security-only фикса. Насколько я знаю, они - не кумулятивные.

И, что характерно - сравнительно небольшие.

Дело даже не в том, сколько ошибок правится, а в том, что требуется какое-никакое, но тестирование. Сокращение времени тестирования - череповато и мелкомягкие на эти грабли уже наступали.

И, надо полагать, что не только они.



#34 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 337 Сообщений:

Отправлено 19 Апрель 2019 - 12:58

Chocolatey, это просто киллерфича по установке и обновлению стороннего софта, linux way в мире Windows

Больше смахивает на карго-культ.

Смахивать оно может на что угодно, если удобно, то почему бы и нет? Да и если так хочется, там GUI тоже есть.

Странно, я был уверен, что смысл выражения «карго-культ» общеизвестен. Ладно, в следующий раз постараюсь изъясняться проще.

#35 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 201 Сообщений:

Отправлено 19 Апрель 2019 - 13:23

Написание софта и современный IT - бешенно двигающаяся и меняющаяся область, где меняется архитектура, подходы. Неизменным пока остается принцип работы на железе. Да и то, сколько архитектур уже родилось и умерло, сколько архитектурных уязвимостей, и т.д., последние спектры и мелтдауны - яркий пример.

Архитектуре то сто лет в обед скоро.

Причина, имхо, в другом: в относительной дешевизне такого подхода. И особенностях лицензирования офисно-домашнего ПО ("as is...").

Если вы допустите ошибку в проектировани автомобиля и это встанет на конвейер, то считайте, что вы уже банкрот, ибо авто надо отзывать, исправлять. Это железо, которое тоже стоит денег, логистика. Да и сами авто поставляются отнюдь не "as is", сертификации и пр.

Патч же в ПО -- по цене электричества, по сути. Поэтому многие кодеры пребывают на расслабоне. А чё -- тяп-ляп и в релиз поскорей, опережая конкурентов, потом пофиксим, если что.

Но, это всё, конечно, домашне-офисное ПО.

Но эти же привычки пытаются протащить и в софт для авто и самолётов и пр. АСУТП. Но там быстро дают по рукам. Упавшая ракета за лярд, это не смузи пролить на клавиатуру =)

 

Ну и возвращаясь к роллинг-апдейтам. По аналогичным причинам, многие и не спешат обновляться. Ибо 24/7 оказывается критичней потенциально-возможных проблем от обнаруженных уязвимостей, при том, что фикс может влёгкую заBSoDить, без последствий для ваятеля.

Когда один такой деятель решил накатить свой патчик ("Не ну а чё, там ничего серьезного") в час ночи. Накатил и ушёл спать. А я в три часа ночи пытался удалённо понять, что случилось, что АРМ перестал работать. Наудачу разобрался. Но АЗС стояла закрытая. С тех пор такими апдейтами больше не баловались.


(exit 0)


#36 SergSG

SergSG

    The Master

  • Posters
  • 11 984 Сообщений:

Отправлено 19 Апрель 2019 - 15:01

Архитектуре то сто лет в обед скоро.

Причина, имхо, в другом: в относительной дешевизне такого подхода. И особенностях лицензирования офисно-домашнего ПО ("as is...").

Если вы допустите ошибку в проектировани автомобиля и это встанет на конвейер, то считайте, что вы уже банкрот, ибо авто надо отзывать, исправлять. Это железо, которое тоже стоит денег, логистика. Да и сами авто поставляются отнюдь не "as is", сертификации и пр.

Патч же в ПО -- по цене электричества, по сути. Поэтому многие кодеры пребывают на расслабоне. А чё -- тяп-ляп и в релиз поскорей, опережая конкурентов, потом пофиксим, если что.

Но, это всё, конечно, домашне-офисное ПО.

Но эти же привычки пытаются протащить и в софт для авто и самолётов и пр. АСУТП. Но там быстро дают по рукам. Упавшая ракета за лярд, это не смузи пролить на клавиатуру =)

 

Ну и возвращаясь к роллинг-апдейтам. По аналогичным причинам, многие и не спешат обновляться. Ибо 24/7 оказывается критичней потенциально-возможных проблем от обнаруженных уязвимостей, при том, что фикс может влёгкую заBSoDить, без последствий для ваятеля.

Когда один такой деятель решил накатить свой патчик ("Не ну а чё, там ничего серьезного") в час ночи. Накатил и ушёл спать. А я в три часа ночи пытался удалённо понять, что случилось, что АРМ перестал работать. Наудачу разобрался. Но АЗС стояла закрытая. С тех пор такими апдейтами больше не баловались.

Яростно плюсую. :angry:   (Хотя про дятла мне больше понравилось. :) )


Сообщение было изменено SergSG: 19 Апрель 2019 - 15:01


#37 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 889 Сообщений:

Отправлено 19 Апрель 2019 - 17:43

перед доступом в сеть (провайдером) или к критичным сервисам должен быть аудит на актуальность и безопасность хоста, без этого никуда не пускать. при нарушениях штрафовать. это заставит действовать даже особо упоротых. и ни каких там мнения юзеров не должны приниматься и учитываться, ты угроза другим вот и сиди в изоляции.
в IoT мире это особенно актуально и я уверен к этой подобной модели придут.

Сообщение было изменено Konstantin Yudin: 19 Апрель 2019 - 17:43

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#38 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 889 Сообщений:

Отправлено 19 Апрель 2019 - 17:45

чем ОС/система в глобальной сети отличается от поврежденной машины на дороге (по сути та же глобальная сеть) так и там возможен урон, ничем по сути. И это должно на корню давиться.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#39 SergSG

SergSG

    The Master

  • Posters
  • 11 984 Сообщений:

Отправлено 19 Апрель 2019 - 18:55

перед доступом в сеть (провайдером) или к критичным сервисам должен быть аудит на актуальность и безопасность хоста, без этого никуда не пускать. при нарушениях штрафовать. это заставит действовать даже особо упоротых. и ни каких там мнения юзеров не должны приниматься и учитываться, ты угроза другим вот и сиди в изоляции.
в IoT мире это особенно актуально и я уверен к этой подобной модели придут.

Правильно. И тогда можно спокойно г-нокодить, прикрывать это все as is-ом, и терроризировать покупателя своими фиксами.

А, если что, этот самый покупатель во всем и будет виноват - потому что не хочет тратить свое рабочее и личное время на исправления нашего г-нокода.



#40 SergSG

SergSG

    The Master

  • Posters
  • 11 984 Сообщений:

Отправлено 19 Апрель 2019 - 18:57

чем ОС/система в глобальной сети отличается от поврежденной машины на дороге (по сути та же глобальная сеть) так и там возможен урон, ничем по сути. И это должно на корню давиться.

Если бы машины продавались в таком состоянии, или по принципу "автомобиль как сервис", все бы уже на трамваи пересели.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых