Шеридан, твои призывы к тотальной кроссплатформенности были услышаны

Народ теперь находит кроссплатформенные уязвимости и пишет кроссплатформенныеPoC-экплоиты И не только PoC, кстати. Тут прошла информация, что в сети уже появились страницы, вовсю эксплуатирующие эту уязвимость.

И я сильно подозреваю, что это только начало...

P.S: Рома я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?

Здравствуйте, kochetkov.vladimir, Вы писали:

Следующий шаг — опен соурс вирусы под GNU лицензией?

kochetkov.vladimir wrote:

> Народ теперь находит кроссплатформенные уязвимости и пишет
кроссплатформенныеPoC-экплоиты И не только PoC, кстати. Тут прошла информация, что в сети уже появились страницы, вовсю
эксплуатирующие эту уязвимость.
Следовало ожидать, чего тут удивительного?

И кстати, тут почти все поголовно считают веб приложения кроссплатформенными.
Следует ли их уязвимости тоже считать кроссплатформенными?

Здравствуйте, criosray, Вы писали:

C>Следующий шаг — опен соурс вирусы под GNU лицензией?

Дак еще в 90-е какие-то перцы распространяли бюллетень, в котором публиковали исходники вирусов для DOS. Если не ошибаюсь, там был и некогда знаменитый OneHalf. И в шапках там copyleft мелькало. Понятно, что это еще не кроссплатформенность, но ведь и обычный opensource софт не всегда кроссплатформенный.

Здравствуйте, criosray, Вы писали:

C>Следующий шаг — опен соурс вирусы под GNU лицензией?

Единственный раз в жизни, когда я схлопотал руткит (в наказание за то, что систему больше года не апгреидил, и при этом выставлял в интернет ftp-сервер), он оставил мне на память свои исходники — текст GPL лицензии занимал в ней заметное место

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?

Спасет AppArmor. Его и настраивать не надо, только включить в комплект пакета с броузера файл /etc/apparmor.d/usr.bin.myfavouritebrowser. Запретить ptrace(2), запретить писать в ~/.* и соединяться с 25-м портом, что тогда сможет сделать вирус? А SELinux я не осилил.

Здравствуйте, Sheridan, Вы писали:

S>И кстати, тут почти все поголовно считают веб приложения кроссплатформенными.

Их здесь (совершенно справедливо) считают кроссплатформенными в отношении ОС конечного пользователя.

S>Следует ли их уязвимости тоже считать кроссплатформенными?

"Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. Если уязвимость в той или иной части веб-приложения одинаково воспроизводится под несколькими "платформами", то таки-да, она будет кросс-"платформенной". Например, отраженные XSS, все как одна — кросс-платформенные уязвимости.

Здравствуйте, Roman Odaisky, Вы писали:

RO>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>я знаю, что SELinux всех спасет. Но у скольких пользователей linux (от общего числа) он грамотно настроен на то, чтобы спасти в подобной ситуации?

RO>Спасет AppArmor.

Уже не раз встречал мнение о скорой гибели оного в пользу SELinux из-за включения novel'ом поддержки последнего в 11-ой suse.

RO>Его и настраивать не надо, только включить в комплект пакета с броузера файл /etc/apparmor.d/usr.bin.myfavouritebrowser. Запретить ptrace(2), запретить писать в ~/.* и соединяться с 25-м портом, что тогда сможет сделать вирус? А SELinux я не осилил.

(улыбнуло выделенное)

Здравствуйте, kochetkov.vladimir, Вы писали:

S>>Следует ли их уязвимости тоже считать кроссплатформенными?

KV>"Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер. Если уязвимость в той или иной части веб-приложения одинаково воспроизводится под несколькими "платформами", то таки-да, она будет кросс-"платформенной". Например, отраженные XSS, все как одна — кросс-платформенные уязвимости.

Иными словами, отраженная XSS-уязвимость в веб-приложении является кросс-платформенной в отношении броузеров, т.к. одинаково хорошо эксплуатируется на всех современных броузерах. И если среди них есть кросс-платформенный броузер в отношении ОС, то именно это делает эту уязвимость кросс-платформенной еще и в этом смысле

kochetkov.vladimir wrote:

> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?

Здравствуйте, Sheridan, Вы писали:

S>kochetkov.vladimir wrote:

>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?

Потому что выделенное — правда

kochetkov.vladimir wrote:
>>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
> S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?
>
> Потому что выделенное — правда
Правда то правда, вот только каким боком она относится к кроссплатформенному софту?

Здравствуйте, Sheridan, Вы писали:

>>>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
>> S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?
>>
>> Потому что выделенное — правда
S>Правда то правда, вот только каким боком она относится к кроссплатформенному софту?

Шеридан Вы до сих пор представляете себе, что Веб — это набор статичных хтмлек?

criosray wrote:

>>>>> "Платформами" же для веб-приложения являются веб-сервер, СУБД и браузер.
>>> S>А какого, простите, хрена тогда при возникновении разговора про кроссплатформенный софт сразу начинается "пиши вебприложение — оно везде работает"?
>>>
>>> Потому что выделенное — правда
> S>Правда то правда, вот только каким боком она относится к кроссплатформенному софту?

> Шеридан Вы до сих пор представляете себе, что Веб — это набор статичных хтмлек?
Еще один...
Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду.

S> Еще один...
S> Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду.

Фронтенд веб-приложения кроссплатформен.

Mamut wrote:

> S> Еще один...
> S> Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду.
> Фронтенд веб-приложения кроссплатформен.

Слава богу. Наконецто выяснили что морда приложения кроссплатформенна.
Осталось собственно ответить на поставленный выше вопрос. Выделю на всякий случай...

>> S> Еще один...
>> S> Веб-приложение — кроссплатформенное приложение или нет? Вы тут вдвоем-втроем договоритесь пока, я подожду.
>> Фронтенд веб-приложения кроссплатформен.

S>Слава богу. Наконецто выяснили что морда приложения кроссплатформенна.
S>Осталось собственно ответить на поставленный выше вопрос. Выделю на всякий случай...

Курить понятие «многозвенная архитектура». Веб-приложение — это пример классической трехзвенной архитектуры, в котором одно из звеньев — кроссплатформенное.

Приложение в общем случае — это понятие немного более сложное чем отдельный exe-файл.