Шеридан, твои призывы к тотальной кроссплатформенности были услышаны
Народ теперь находит кроссплатформенные уязвимости и пишет кроссплатформенныеPoC-экплоиты И не только PoC, кстати. Тут прошла информация, что в сети уже появились страницы, вовсю эксплуатирующие эту уязвимость.
И я сильно подозреваю, что это только начало...
P.S: Рома я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?
kochetkov.vladimir wrote:
> Народ теперь находит кроссплатформенные уязвимости и пишет
кроссплатформенныеPoC-экплоиты И не только PoC, кстати. Тут прошла информация, что в сети уже появились страницы, вовсю
эксплуатирующие эту уязвимость.
Следовало ожидать, чего тут удивительного?
И кстати, тут почти все поголовно считают веб приложения кроссплатформенными.
Следует ли их уязвимости тоже считать кроссплатформенными?
Здравствуйте, criosray, Вы писали:
C>Следующий шаг — опен соурс вирусы под GNU лицензией?
Дак еще в 90-е какие-то перцы распространяли бюллетень, в котором публиковали исходники вирусов для DOS. Если не ошибаюсь, там был и некогда знаменитый OneHalf. И в шапках там copyleft мелькало. Понятно, что это еще не кроссплатформенность, но ведь и обычный opensource софт не всегда кроссплатформенный.
Здравствуйте, criosray, Вы писали:
C>Следующий шаг — опен соурс вирусы под GNU лицензией?
Единственный раз в жизни, когда я схлопотал руткит (в наказание за то, что систему больше года не апгреидил, и при этом выставлял в интернет ftp-сервер), он оставил мне на память свои исходники — текст GPL лицензии занимал в ней заметное место
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?
Спасет AppArmor. Его и настраивать не надо, только включить в комплект пакета с броузера файл /etc/apparmor.d/usr.bin.myfavouritebrowser. Запретить ptrace(2), запретить писать в ~/.* и соединяться с 25-м портом, что тогда сможет сделать вирус? А SELinux я не осилил.
Здравствуйте, Sheridan, Вы писали:
S>И кстати, тут почти все поголовно считают веб приложения кроссплатформенными.
Их здесь (совершенно справедливо) считают кроссплатформенными в отношении ОС конечного пользователя.
S>Следует ли их уязвимости тоже считать кроссплатформенными?
"Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. Если уязвимость в той или иной части веб-приложения одинаково воспроизводится под несколькими "платформами", то таки-да, она будет кросс-"платформенной". Например, отраженные XSS, все как одна — кросс-платформенные уязвимости.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?
RO>Спасет AppArmor.
Уже не раз встречал мнение о скорой гибели оного в пользу SELinux из-за включения novel'ом поддержки последнего в 11-ой suse.
RO>Его и настраивать не надо, только включить в комплект пакета с броузера файл /etc/apparmor.d/usr.bin.myfavouritebrowser. Запретить ptrace(2), запретить писать в ~/.* и соединяться с 25-м портом, что тогда сможет сделать вирус? А SELinux я не осилил.
Здравствуйте, kochetkov.vladimir, Вы писали:
S>>Следует ли их уязвимости тоже считать кроссплатформенными?
KV>"Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. Если уязвимость в той или иной части веб-приложения одинаково воспроизводится под несколькими "платформами", то таки-да, она будет кросс-"платформенной". Например, отраженные XSS, все как одна — кросс-платформенные уязвимости.
Иными словами, отраженная XSS-уязвимость в веб-приложении является кросс-платформенной в отношении броузеров, т.к. одинаково хорошо эксплуатируется на всех современных броузерах. И если среди них есть кросс-платформенный броузер в отношении ОС, то именно это делает эту уязвимость кросс-платформенной еще и в этом смысле
kochetkov.vladimir wrote:
> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?
Здравствуйте, Sheridan, Вы писали:
S>kochetkov.vladimir wrote:
>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?
kochetkov.vladimir wrote: >>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. > S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"? > > Потому что выделенное — правда
Правда то правда, вот только каким боком она относится к кроссплатформенному софту?
Здравствуйте, Sheridan, Вы писали:
>>>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. >> S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"? >> >> Потому что выделенное — правда S>Правда то правда, вот только каким боком она относится к кроссплатформенному софту?
Шеридан Вы до сих пор представляете себе, что Веб — это набор статичных хтмлек?
criosray wrote:
>>>>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. >>> S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"? >>> >>> Потому что выделенное — правда > S>Правда то правда, вот только каким боком она относится к кроссплатформенному софту?
> Шеридан Вы до сих пор представляете себе, что Веб — это набор статичных хтмлек?
Еще один...
Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду.
Mamut wrote:
> S> Еще один... > S> Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду. > Фронтенд веб-приложения кроссплатформен.
Слава богу. Наконецто выяснили что морда приложения кроссплатформенна.
Осталось собственно ответить на поставленный выше вопрос. Выделю на всякий случай...
>> S> Еще один... >> S> Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду. >> Фронтенд веб-приложения кроссплатформен.
S>Слава богу. Наконецто выяснили что морда приложения кроссплатформенна. S>Осталось собственно ответить на поставленный выше вопрос. Выделю на всякий случай...
Курить понятие «многозвенная архитектура». Веб-приложение — это пример классической трехзвенной архитектуры, в котором одно из звеньев — кроссплатформенное.
Приложение в общем случае — это понятие немного более сложное чем отдельный exe-файл.