| 1.1, Анонн (?), 22:17, 12/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
> вызвать переполнение
> поднять свои привилегии в системе
> X.Org Server
качественный надежный код проверенный временем, от настоящих программистов™
| | |
| |
| 2.3, Аноним (3), 22:21, 12/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чисто практически, если ты выполняешь недоверенный код на системе, у тебя уже есть серьёзная проблема. А так это мелочи, никто не застрахован. Особенно не застрахованы там, где корпы активно сливают все полимеры уже не первое десятилетие (иксы).
| | |
| |
| 3.6, Анонн (?), 22:27, 12/07/2022 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Это надеюсь шутка такая? Так весь код можно назвать недостоверным - что ядро, что драйвера, что DE. А иксы эта та хрень которая есть практически в любом линуксе...
О да, злые корпы заслали шпиона чтобы он в нужный момент отвлек кодера и тот перепутал порядок вызовов функций? Иксы были решетoм и десять лет назад https://www.cvedetails.com/cve/CVE-2006-4447/
| | |
| |
| 4.14, Аноним (3), 22:41, 12/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Недоверенный код в ядре? Ну, если ты левые проприетарные модули запускаешь, то да, вполне. Там что угодно может прилететь, вон как подписанный биос с малварью с серверов производителя раздавали, не надо даже ОС загружать, чтобы получить.
| | |
| |
| 5.18, Анонн (?), 22:55, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
При чем тут "левые проприетарные модули"
nftables часть ядра, Netfilter часть ядра, perf часть ядра, ... и я могу продолжать еще долго
кроме них есть еще куча вещей идущих в поставке систем практически всегда - типа openssl
| | |
| |
| 6.19, Аноним (3), 23:07, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ага, есть ещё ebpf. Когда из юзеспейса в него загружаешь недоверенный код, тоже внезапно может с правами ядра исполниться. А насчёт файрвола, так глубоко искать не надо: у тебя network manager запущен, который произвольный код, пришедший на интерфейс, от рута исполнял. Это всё хорошо, но только уязвимости, которые требуют от пользователя активных действий (как в данном случае), это не серьёзно и второстепенно, просто не запускай левый код и не поймаешь эксплойт.
| | |
| |
| 7.21, Анонн (?), 23:14, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
про ebpf решил не вспоминать, потому что это не калитка, а просто ворота
> тебя network manager запущен
который наворачивается от "специально оформленного пакета" потому что кто-то где-то не проверил входные параметры, получает тебе рут и печальбеда - никаких активных действий не требуется
| | |
|
|
|
|
|
| 2.5, кубрик (?), 22:23, 12/07/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Действительно. Ведь столько много новых молодых аналогов от молодых непроверенных программистов не осливших дальше попаскрипта.
Я лично 100500 насчитал. из которых 100499 на новой и модной растишке.
А функционал, функционал, мммммммм, прямо на любой вкус, наиполнейшая реализация. И ни одной ошибки, ни одной утечки. Поддерживаются прямо сразу все видюхи из коробки. Ну просто глаза разбегаются. Всю жизнь можно пробовать эти аналоги так все и не перепробуешь.
| | |
| |
| |
| 4.56, Аноним (56), 12:48, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Интересная подборка. Прямо чувствуется, что у авторов утилит было светлое виндовое будущее, где надо всё руками делать, а автоматизировать не нужно и вредно. Куча утилит, ни у одной формат вывода нормально обработке не поддаётся, лол просто.
| | |
|
|
| 2.25, Аноним (25), 23:43, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>были перепутаны названия функций и функция XkbSetDeviceInfo включала код для проверки, а XkbSetDeviceInfoCheck - для выставления значений
Как твой Rust спасёт от этого, сынку?
| | |
| |
| 3.28, Аноним (28), 00:17, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
В Rust не будет переполнения, даже если не проверишь параметры.
| | |
| |
| 4.35, Аноним (-), 02:51, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> В Rust не будет переполнения, даже если не проверишь параметры.
Гм, как бы это сказать, иксы улетевшие с panic() - приятная штука, конечно это всего лишь DoS вместо priv escalation, но кмк батхерт был бы хорош :)
...но для начала надо найти мазохиста который это на хрусте перепишет :). В лучшем случае кто-нибудь накодит обрубленый в 20 раз по фичам эрзац, но с ним половина софта не будет работать или будет работать криво. И нафига он такой вообще?
| | |
| |
| 5.51, burjui (ok), 11:27, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
 panic - это корректное завершение программы, не приводящее к эксплуатации уязвимости. Да, параметры всё равно лучше проверять, но от ошибок не застрахован никто, как показывает практика.
| | |
| |
| 6.75, Аноним (3), 23:22, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если какая-нибудь leveldb при этом повреждается и вайпается, то плевать уже на уязвимости.
| | |
|
| 5.66, Kuromi (ok), 17:50, 13/07/2022 [^] [^^] [^^^] [ответить] | +1 +/– |  Не, ну если оно грохается сразу то это очень неприятно, конечно, с другой сторон... большой текст свёрнут, показать | | |
|
| 4.39, Бывалый смузихлёб (?), 07:32, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
> были перепутаны названия функций и функция XkbSetDeviceInfo включала код для проверки,
> а XkbSetDeviceInfoCheck - для выставления значений
абстрактное отсутствие переполнения в расте спасает от логических и алгоритмических ошибок ?
| | |
| |
| 5.46, Аноним (23), 10:28, 13/07/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет конечно, но на переполнении оно бы паникнуло.
А дальше зависит от архитектуры кода - или ты бы перезапустил иксы узнав что есть какая-то лажа.
Или, если есть глобальный перехват паники, выполнилась какая-то логика.
Но рут бы никто не получил бы.
Это я молчу что проблему можно было бы просто типами решить - первая функция принимает rawParams и возвращает verifiedParams, а вторая соответственно принимает verifiedParams. И оно даже бы не скомпилировалось с такой логической ошибкой.
| | |
| |
| 6.57, Аноним (56), 13:01, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Но рут бы никто не получил бы.
Просто подождите немного, пока не пойдёт в прод. Сразу научатся рут получать через растософт.
| | |
|
|
| 4.40, ИмяХ (?), 07:49, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Нет, Rust заставит тебя проверять параметры, хочешь ты этого или нет, иначе не скомпилирует.
| | |
| |
| 5.79, Бывалый смузихлёб (?), 11:54, 14/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Нет, Rust заставит тебя проверять параметры, хочешь ты этого или нет, иначе
> не скомпилирует.
Как раст "заставит" меня написать алгоритм работы именно таким каким он должен быть ?
Скажем, в методе начинающегося с get, делать именно запрос и выдачу данных без изменения каких-то переменных, содержащих настройки, а который с set - именно запрос, без изменения соотв переменных ?
И, если он такой умный, то почему заставляет меня. Пусть сам и пишет. Я ему, так и быть, э/э оплачу.
Всё остальное, разумеется, заберу себе, но ведь и он будет купаться в шоко.. точнее, в джоулях и ваттах
| | |
|
|
|
| 2.33, Аноним (-), 02:47, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> качественный надежный код проверенный временем, от настоящих программистов™
Эти программисты кодить его начали в эпоху когда компьютеры вообще никто не взламывал, лол! Да и назвать код иксов качественным и надежным может только полный ламак. Это дикое месиво костылей и подпорок, в котором из кучи винтажного легаси пытались сделать какое-то подобие современной графической подсистемы. С понятным результатом - этот кадавр настолько ужасен что его майнтайнить никто не хочет. И "настоящие программисты" очень хорошо в курсе этого момента. Именно поэтому он скоро и подохнет в пользу вэйланда. В котором так то хакать в 20 раз меньше чего, для начала.
| | |
| |
| 3.47, Анонн (?), 10:31, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Полностью согласен. В след раз прицеплю табличку "сарказм" ¯\_(ツ) _/¯
| | |
|
|
| 1.2, Аноним (2), 22:20, 12/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
IBM давно захватила разработку иксов, дабы остановить её, чтобы ничего не мешало их же Wayland...
Почему никто из тех, кто ненавидит Wayland и его держателей базового протокола не создаст форк X.Org и не начнёт его развивать в том ключе, чтобы от говнокода написанного в начале нулевых для решений его проблем? До коли будем терпеть?!
| | |
| |
| |
| 3.62, fi (ok), 15:22, 13/07/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Хорошая новость!
жаль я до тех светлых времен не доживу :DDDDD
| | |
|
| 2.9, Аноним (9), 22:30, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не понял.
Предлагаете поддерживать говнокод вместо того чтобы написать все нормально и с нуля (Wayland)?
Какие вообще недостатки у Wayland, кроме того что он еще сырой (оно и понятно, он же молодой).
| | |
| |
| 3.17, Анонус (?), 22:47, 12/07/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>оно и понятно, он же молодой
Первый релиз в 2008 году. Версия 1.0 в 2012ом. За такое время Виндус 2000 эволюционировала до 7ки.
| | |
| |
| 4.55, llolik (ok), 11:52, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Работать над ним, в смысле пробовать внедрять и что-то с ним делать, и начали только где-то в 2012-2013 годах. До этого это был просто проект изначального автора, на который вскользь обращали внимание.
> За такое время Виндус 2000 эволюционировала до 7ки.
Пару раз за это время переломав начисто видео-подсистему и архитектуру драйверов. Могут-ли авторы Wayland себе такое позволить?
| | |
| 4.78, Аноним (78), 02:40, 14/07/2022 [^] [^^] [^^^] [ответить] | +/– | В Windows тоже стояла задача по переходу на композитный рабочий стол с применени... большой текст свёрнут, показать | | |
|
| 3.69, Аноним (69), 20:20, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
> нормально и с нуля
> Wayland
> десять с лишним лет костылизации
А ты забавный.
| | |
|
| 2.10, Анонн (?), 22:30, 12/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну так для этого программировать уметь надо, а не только языком на опеньке чесать
| | |
|
| 1.8, anonymous (??), 22:29, 12/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Неприятно, но так интересно как retbleed. Пора уже эльбрусы выкатывать в народное хозяйство а не компетенциями модернизированного импотозамещения в отчетиках меряться.
| | |
| |
| 2.60, Аноним (60), 13:48, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Для того что бы эльбрусы попали в массы нужно хотябы миллион гарантированных продаж в год, а этого не будет
| | |
|
| 1.11, Alladin (?), 22:34, 12/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Опеннетчиков не понять..
то они недовольны то что Xorg не обновляется...
то Xorg обновился решая уязвимости и снова недовольства...
невероятно:)
| | |
| |
| 2.12, Анонн (?), 22:37, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
все просто:
хорошо что обновился!
а вот повод для обновления был так себе...
| | |
| |
| 3.34, Аноним (-), 02:49, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
> все просто:
> хорошо что обновился!
> а вот повод для обновления был так себе...
Извините, имплементить новые фичи и продвинутости в этой штуке очень уж мучительно. Поэтому поводы только такие и остались, по большому счету.
Де факто иксы уже в фазе глубокого майнтенанса и даже это всех причастных кодеров порядком задолбало.
| | |
|
| 2.20, Аноним (20), 23:14, 12/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
У меня такое впечатление, что им специально нашли и сунули под нос эту новость, мол смотрите, обновляется Икс, можно не бухтеть. Но трушные анонимы найдут повод бухтеть там где его нет.
| | |
| 2.82, Аноним (82), 04:25, 15/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Тут вопрос почему бухтят все время, дело в опеннетчиках или проблема в опен сурсе, все не однозначно, но по большому счету проблема скорее в людях которые хотят что бы им сделали так как они хотят другие люди и бесплатно, и не получая этого выражают свое неудовольствие.
| | |
|
| 1.24, SNM (?), 23:43, 12/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
В бздях когда починят ту кучу варнингов, которая вываливается при запуске startx
| | |
| |
| 2.42, Аноним (42), 07:53, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
 В протоколе уязвимости всегда можно исправить подняв мажорную версию. А вот в реализациях - могут, но другие, связанные с конкретным DE.
| | |
|
| 1.41, ИмяХ (?), 07:50, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>>поднять свои привилегии в системе, если X-сервер выполняется с правами root
Опять рут взломал сам себя
| | |
| 1.44, Аноним (44), 09:15, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Всегда поража наивность людей, чьи аргументы сводятся к датам. Дескать, Вяленый с 2008, а все еще сырой. Это ведь не так, что подход Вяленого как раз и хорош этим: лучше мелкими частями обкатывать и добавлять, чем сходу написать все и сразу, общитавшись где-то в последствии. А так, всё гуд, Вяленый вяло развивается, плавно, опен сорсно. Опять подпивасные деды бухтят, выходит, от нечего делать.
| | |
| |
| 2.54, ip1982 (ok), 11:32, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
 > подход X.Org как раз и хорош этим: лучше мелкими частями обкатывать и добавлять, чем сходу написать все и сразу, общитавшись где-то в последствии.
Amended.
| | |
| |
| 3.58, Аноним (44), 13:38, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Разве иксы, изначально, не были написаны за меньшей срок, при большем объеме кода? То, что иксы пилились и фиксили баги на протяжении времени, не говорит о том, что расчет был на растянутую во времени, продолжительную разработку изначально. Но если вы приведете релевантные цитаты тех времен, я признаю что в такой постоновке своей аргументации был не прав.
| | |
|
|
| 1.48, yet another anonymous (?), 10:56, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Мда. Собралась кучка ...ков, которые про код wayland'а только слышали, но никогда не видели. Поэтому он продвинутый и очень замечательный. И, поскольку этот коллектив пользует исключительно remote desktop, то архитектура X11 полное ...но. Ну-ну.
| | |
| |
| 2.59, Аноним (44), 13:45, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я слышал про архитектуру Вэйланда. Она изначально строже. Если на архитектуру накладываются такие ограничения, то вполне возможно и привлечет Вэйланд людей, кому такая строгость даже в мелких деталях важна. Ну а то что не обязательно все имплементации будут такими, это уже вопрос другой.
| | |
| |
| 3.65, yet another anonymous (?), 16:41, 13/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Про "строгость" --- это вы себе оставьте. Оно _другое_. И, в частности, при удалённой работе будет просто хреначить видеопоток по сетке. Заодно занимая ресурсы на обоих концах.
| | |
| 3.70, Аноним (69), 20:23, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Глядя на происходящий веселый карнавал в гейланде я понимаю — это не строгость. Это БДСМ.
| | |
|
| 2.61, Аноним (61), 15:20, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Собралась кучка ...ков, которые про код wayland'а только слышали, но никогда не видели.
а зачем видеть ? я например доверяю основным разрабам X11 которые сказали что тянуть такое г-но уже невмоготу и пора переписать на что-то более вменяемое, и эти же разрабы начали пилить wayland.
Но вот меня смущает "кучка ...ков" которые одно превозносят а другое гнобят по принципу ... да не, нету у них никаких принципов, а просто два полушария в мозге замкнуло.
| | |
| |
| 3.71, Аноним (69), 20:25, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
То есть претензии у них были к реализации.
Что мешало переписать ее, не трогая X Window System protocols?
Их писали не они?
| | |
| |
| 4.76, yet another anonymous (?), 23:24, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
К X11 сделали расширения (даже несколько), которые, не ломая совместимость, реализуют аналогичные (wayland protocols) возможности. Ими можно пользоваться когда это целесообразно. Таки нет, сделаем всё с нуля, выкинув сильные решения (просто сказав, что они устарели и более не нужны).
| | |
|
| 3.77, Аноним (77), 00:35, 14/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> и эти же разрабы начали пилить wayland
которые до этого сделали
> такое г-но
Внимание, вопрос! Что получится у них в очередной раз?
| | |
|
| 2.63, SNM (?), 16:13, 13/07/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
Я видел, скроллинг иногда фризится и подтормаживает даже на видеокарте уровня RX580 и процессоре i9-9900 с 32 гигами оперативки. Хотя лет 20 назад когда сидел на какой-то S3 видюхе и первом пне с 64 мегами, я даже и подумать в страшном сне не мог что СКРОЛЛИНГ может лагать.
| | |
| |
| 3.64, Бывалый смузихлёб (?), 16:15, 13/07/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это следствие захода в IT гуманитариев без профильного инженерного образования, плюс стремление бизнеса делать всё да побыстрее, без оптимизации, экономя на бездарных сотрудниках.
| | |
| |
| 4.80, SNM (?), 18:48, 14/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Виноваты в этом, конечно, иксы?
Да, в винде всё летает
| | |
|
|
|
| 1.53, Аноним (50), 11:32, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> П.доры они все 🤗
Почему не предположить, что там просто бороются за свой мир вещей, который считают единственно верным, понимая, что его отодвигают на более чем менее унизительное положение? )
| | |
| |
| 2.73, Аноним (69), 20:28, 13/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
"И вот ты стал пленником своего уютного гнездышка и вещи, хозяином которых ты никогда не был, становятся твоими хозяевами."
Тайлера на них нет.
| | |
|
| 1.67, Аноним (67), 19:59, 13/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати память в иксах у одного меня течёт? То-ли фаерфокс, то-ли хромой виноваты, но их прибъёшь - а Хorg как занимал 3-4GB RSS, так и остаётся. Приходится и его тоже - того. Это как-то лечится?
| | |
|
