Здравствуйте, Plutonia Experiment, Вы писали:

PE>Здравствуйте, fAX, Вы писали:

fAX>>>>Хорошо. В винде окну можно послать сообщение любое (sic!) приложение. Теперь так: у тебя, например, антивирус бежит? Под системным аккаунтом? Хорошо. Пишется простая вещь. Первым делом пишем находим окошечко оного. Посылаем WM_ENABLE для кнопочек, которые заблокированы (ты же юзер, а не админ). Посылаем WM_SETWINDOWTEXT для какого-нибудь эдит-контрола (даём большой кусок текста). Жмём заэнейбленный ранее Ок. Получаем классический буффер овервлоу... Мало? А если ещё не мусор передашь, так получишь привилегии системы...

PE>>>Для какой именно системы работает эта уязвимость ?
fAX>>Для всех. Это проблема дизайна системы и ничем и никак не лечится....

PE>Такая уязвимость хорошо работает только на конкретной системе. В лучшем случае даст права локального пользователя.
В лучшем случае получишь привилегии системы. Именно по этому я сосредоточился на антивирусе, который обычно под системным аккаунтом бежит. И необязательно, кстати, edit-control, list-control тоже подойдёт (LB_INSERT(ADD)STRING). Дык штаааа....

PE>На счет ничем и никак — это ты загнул, не знаешь скорее апи. Защитить нельзя _все_ окошки в системе.
[грозя пальцем] Не надо. Я Виндовсом недоволен совсем не оттого, что его не знаю. И программил его тоже вдоволь. Только зачем пальцы гнуть-то?

fAX>>>>Ещё желание обсуждать не пропало?
fAX>>Повторяю вопрос )

PE>Давай дальше, а я эксплойт налабаю.
Ты думаешь, ты первый? Если не ошибаюсь, уже был эксплойт на Utility Manager. Но там везде добавили проверки длины и, вроде, поправили...

Здравствуйте, AndrewJD, Вы писали:

AJD>Здравствуйте, fAX, Вы писали:

fAX>>Как раз опытный админ под Винды ставит _только_ проверенные патчи. Потому что эти самые "писанные на коленке" патчи довольно часто друг с другом конфликтуют.

AJD>А-аа, то я смотрю патч к SQL Server'у полугодовалой давности опытные админы начали ставить только после эпидемии червя, крича везде что MS это зло
Хорошо, вы лично ставите каждый патч от Микрософта? А если после него вещи перестают работать? Вот, например, любопытная штука: дозвонщик моего нового провайдера не работает после патча от ЛовСана... (из виндов). А из Линукса — ... (сам знаешь ).

И что в таком случае делать? Да, тебе пообещают, что через 2 недели перепишут. А что будешь эти 2 недели делать? Сидеть без интернета или с интернетом и обрубленным RPC? Или с интернетом и дыркой?

Здравствуйте, Plutonia Experiment, Вы писали:

ill>>В Linux все эти проблемы решаються установкой одной проги, mplayer(ну или Xine). Причем качество этой проги на порядок выше Виндовых аналогов.

PE>Давай подробнее про это.
А чё подробнее-то. Классные проги. Хороший еррор-рековери (если диск дохлый). Хорошее, удобное управление (в т.ч. с клавиатуры — настраивоемое). Очень быстрые native кодеки. Есть возможность использовать виндовые тоже. Куча front-end'ов. Что ещё нужно?

Здравствуйте, fAX, Вы писали:

E>>Нет. Я с таким же успехом могу фришку поставить. Я поставил то, что нашел. Линуксовой заслуги тут никакой нет. Клиент перловый — его можно запускать где угодно. Единственная заслуга линукса моего в том, что Перл под ним работает...

fAX>Так чем тогда Вынь плохо? Ставь ActivePerl и флейм не разводи .

Под виндой как раз с перлом нет проблем. Но под линуксом один и тот же файл работает по разному в разных перлах 5.6.1 и 5.8.0. Поскольку я не заю наверняка, где именно будет запускаться сервер, то приходится отлаживать и под линукс.

Здравствуйте, fAX, Вы писали:

PE>>Такая уязвимость хорошо работает только на конкретной системе. В лучшем случае даст права локального пользователя.
fAX>В лучшем случае получишь привилегии системы. Именно по этому я сосредоточился на антивирусе, который обычно под системным аккаунтом бежит. И необязательно, кстати, edit-control, list-control тоже подойдёт (LB_INSERT(ADD)STRING). Дык штаааа....

Расскажи подробно, какое именно окно нужно проверять.

PE>>На счет ничем и никак — это ты загнул, не знаешь скорее апи. Защитить нельзя _все_ окошки в системе.
fAX>[грозя пальцем] Не надо. Я Виндовсом недоволен совсем не оттого, что его не знаю. И программил его тоже вдоволь. Только зачем пальцы гнуть-то?

Я вот проверил то что ты говоришь — ничего не упало даже. Так что это

1. Уязвимость конкретной программы, которая принимает буфер не проверяя длины
2. Фиксится очень просто

PE>>Давай дальше, а я эксплойт налабаю.
fAX>Ты думаешь, ты первый? Если не ошибаюсь, уже был эксплойт на Utility Manager. Но там везде добавили проверки длины и, вроде, поправили...

Дай нормальный пример. Чтоб я мог все это проверить.

Здравствуйте, fAX, Вы писали:

AJD>>А-аа, то я смотрю патч к SQL Server'у полугодовалой давности опытные админы начали ставить только после эпидемии червя, крича везде что MS это зло
fAX>Хорошо, вы лично ставите каждый патч от Микрософта? А если после него вещи перестают работать? Вот, например, любопытная штука: дозвонщик моего нового провайдера не работает после патча от ЛовСана... (из виндов). А из Линукса — ... (сам знаешь ).

Неужели ? Чел вот патчи ставил — сначала ядро отвалилось, а после запуска старого, отвалился апач, который тож был пропатчен

fAX>И что в таком случае делать? Да, тебе пообещают, что через 2 недели перепишут. А что будешь эти 2 недели делать? Сидеть без интернета или с интернетом и обрубленным RPC? Или с интернетом и дыркой?

А что сейчас делать челу без апача? Если эту проблему за неделю не решили — нехрен за комп вообще садиться.

Здравствуйте, fAX, Вы писали:

PE>>Давай подробнее про это.
fAX>А чё подробнее-то. Классные проги. Хороший еррор-рековери (если диск дохлый). Хорошее, удобное управление (в т.ч. с клавиатуры — настраивоемое). Очень быстрые native кодеки. Есть возможность использовать виндовые тоже. Куча front-end'ов. Что ещё нужно?

Просто я недавно видел исходники кодека. Не знаю, как это работает, но никогда не поверю, что работает хорошо.

Фронтенды — это космический улет. YET ANOTHER FRONTEND

Здравствуйте, Plutonia Experiment, Вы писали:

PE>Здравствуйте, fAX, Вы писали:

E>>>Нет. Я с таким же успехом могу фришку поставить. Я поставил то, что нашел. Линуксовой заслуги тут никакой нет. Клиент перловый — его можно запускать где угодно. Единственная заслуга линукса моего в том, что Перл под ним работает...

fAX>>Так чем тогда Вынь плохо? Ставь ActivePerl и флейм не разводи .

PE>Под виндой как раз с перлом нет проблем. Но под линуксом один и тот же файл работает по разному в разных перлах 5.6.1 и 5.8.0.
Ню-ню. Можно пример? Я, правда, на Линуксе с Перлом работал поменьше, чем на HPUX, но я не верю в чудеса. И ещё не видел никаких отличий в нормальном коде (да и в ненормальном тоже). Может, ты там ithreads пытался пользовать? В 5.6.х это мёртвое дитя...

Поскольку я не заю наверняка, где именно будет запускаться сервер, то приходится отлаживать и под линукс.

Здравствуйте, Plutonia Experiment, Вы писали:

PE>Здравствуйте, fAX, Вы писали:

PE>>>Такая уязвимость хорошо работает только на конкретной системе. В лучшем случае даст права локального пользователя.
fAX>>В лучшем случае получишь привилегии системы. Именно по этому я сосредоточился на антивирусе, который обычно под системным аккаунтом бежит. И необязательно, кстати, edit-control, list-control тоже подойдёт (LB_INSERT(ADD)STRING). Дык штаааа....

PE>Расскажи подробно, какое именно окно нужно проверять.

PE>>>На счет ничем и никак — это ты загнул, не знаешь скорее апи. Защитить нельзя _все_ окошки в системе.
fAX>>[грозя пальцем] Не надо. Я Виндовсом недоволен совсем не оттого, что его не знаю. И программил его тоже вдоволь. Только зачем пальцы гнуть-то?

PE>Я вот проверил то что ты говоришь — ничего не упало даже. Так что это

PE>1. Уязвимость конкретной программы, которая принимает буфер не проверяя длины
PE>2. Фиксится очень просто

Ню-ню Ты, если уверен, что у тебя в ЛистБоксе apple, banana, kiwi, всегда проверяешь, что GetString() этого листбокса возвращает строку меньше 7 символов?!!!! Фиксится легко, ты прав, но это КАТОРГА — предусмотреть, каким боком это всплывёт...

PE>>>Давай дальше, а я эксплойт налабаю.
fAX>>Ты думаешь, ты первый? Если не ошибаюсь, уже был эксплойт на Utility Manager. Но там везде добавили проверки длины и, вроде, поправили...

PE>Дай нормальный пример. Чтоб я мог все это проверить.
Будь добр, поищи... На bugtraq'е было. Ключевые слова — Utility Manager Microsoft Vulnerability.

Здравствуйте, fAX, Вы писали:

PE>>Под виндой как раз с перлом нет проблем. Но под линуксом один и тот же файл работает по разному в разных перлах 5.6.1 и 5.8.0.
fAX>Ню-ню. Можно пример? Я, правда, на Линуксе с Перлом работал поменьше, чем на HPUX, но я не верю в чудеса. И ещё не видел никаких отличий в нормальном коде (да и в ненормальном тоже). Может, ты там ithreads пытался пользовать? В 5.6.х это мёртвое дитя...

Весь скрипт я тебе привести не могу. Я не знаю, в чем дело, но переписываю под линукс, а под виндой работает автоматически. Возможно какието переменные не так установлены. Программа собирает файлы, которые приходит от юзверей и складывает в фолду. Под линуксом не находит фолду эту.

Часть проблем из-за CRLF — это я решил, а часть из-за непонятно чего.

        @list = grep {/^$prefix\d*_\d*$/ && -f "$FILE_DIRECTORY/$_"} readdir(DIR);

        @list = grep { /^$filename\d*$/ && -f "$FILE_DIRECTORY$_" } readdir(DIR);

Вот с этой строкой было больше всего проблем. Под виндой все проканывает, а под линуксом — нет.

Здравствуйте, fAX, Вы писали:

PE>>>>Такая уязвимость хорошо работает только на конкретной системе. В лучшем случае даст права локального пользователя.
fAX>>>В лучшем случае получишь привилегии системы. Именно по этому я сосредоточился на антивирусе, который обычно под системным аккаунтом бежит. И необязательно, кстати, edit-control, list-control тоже подойдёт (LB_INSERT(ADD)STRING). Дык штаааа....

Я говорил уже , что не нашел подтверждения. Уязвимы только некоторые программы.

PE>>Расскажи подробно, какое именно окно нужно проверять.

PE>>>>На счет ничем и никак — это ты загнул, не знаешь скорее апи. Защитить нельзя _все_ окошки в системе.
fAX>>>[грозя пальцем] Не надо. Я Виндовсом недоволен совсем не оттого, что его не знаю. И программил его тоже вдоволь. Только зачем пальцы гнуть-то?

PE>>Я вот проверил то что ты говоришь — ничего не упало даже. Так что это

PE>>1. Уязвимость конкретной программы, которая принимает буфер не проверяя длины
PE>>2. Фиксится очень просто

fAX>Ню-ню Ты, если уверен, что у тебя в ЛистБоксе apple, banana, kiwi, всегда проверяешь, что GetString() этого листбокса возвращает строку меньше 7 символов?!!!! Фиксится легко, ты прав, но это КАТОРГА — предусмотреть, каким боком это всплывёт...

Почему ты думаешь, что все такие дубы ?
1. В MFC это не создает проблем — на нем написано большинство прог.
2. На АПИ, АТЛ, ВТЛ есть проблемы, но я не нашел их в большом проекте.
Винранер проверяет это и ничего не показывает.

PE>>Дай нормальный пример. Чтоб я мог все это проверить.
fAX>Будь добр, поищи... На bugtraq'е было. Ключевые слова — Utility Manager Microsoft Vulnerability.

А для чего мне это ? Ты же говорил что это чуть ли не фундаментальная уязвимость.

Здравствуйте, fAX, Вы писали:


Раз ты тут, то полюбуйся, как чел билдит

Общие правила || Пользователи в on-line || Топ-лист || Отметить все прочитанными || Поиск

Вход || Регистрация || Забыли пароль?

Forum OSZone.net » Linux и FreeBSD » Общий по Linux » QT & themes

.: Правила форума

Модератор: ruslandh, Serg Rendol, glassMonk




alex r



Newbie
Замечаний: 1
Редактировать | Профиль | Цитировать

--------------------------------------------------------------------------------
Хочу скомпилировать тему, но она просит qt3.1. У меня только 3.0, а качать ~ 12 метров не хочется.
Можно это как-нибудь обойти?

--------------------------------------------------------------------------------
Всего записей: 30 | Дата регистрации 31-07-2003 | Отправлено: 20:52 27-08-2003

Invite


Advanced Member Редактировать | Профиль | E-mail | ICQ | Цитировать

--------------------------------------------------------------------------------
alex r
Вряд ли, ты думаешь зря что-ли просит.

--------------------------------------------------------------------------------
Всего записей: 370 | Дата регистрации 2-05-2002 | Отправлено: 0:26 28-08-2003

alex r



Newbie
Замечаний: 1
Редактировать | Профиль | Цитировать

--------------------------------------------------------------------------------
Жаль... Ладно...

--------------------------------------------------------------------------------
Всего записей: 30 | Дата регистрации 31-07-2003 | Отправлено: 8:55 28-08-2003

alex r



Newbie
Замечаний: 1
Редактировать | Профиль | Цитировать

--------------------------------------------------------------------------------
ух. скачал qt3.1. сколько примерно времени он компилится? уже ~ три часа прошло...

--------------------------------------------------------------------------------
Всего записей: 30 | Дата регистрации 31-07-2003 | Отправлено: 18:44 1-09-2003






Forum OSZone.net » Linux и FreeBSD » Общий по Linux » QT & themes



Имя:
Пароль:
Сообщение

Для вставки имени кликните на нем.
Для вставки цитаты выделите её и нажмите эту ссылку
Латиница -> Кирилица
(для тех у кого нет кирилицы)
Смайлики




Все смайлики
Коды форума



Опции сообщения Добавить подпись
Получать уведомления по e-mail о новых сообщениях в этой теме
Разрешить смайлы
Просмотреть предварительно сообщение? Да Нет







Реклама на форуме OSZone.net
© 2001-2003 OSZone.net
Powered by Ikonboard

Здравствуйте, Andre, Вы писали:

Не спорьте. Вы оба правы. MSSQL 7/2000 обычного выпуска не ставится на воркстэйшены. Но на воркстэйшены ставится MSSQL Developer Edition (реально это Энтерпрайз, но с ограничением на 10 клиентов) и MSDE.

Здравствуйте, oRover, Вы писали:

R>та ставил я, ставил... Бл№ буду

Не. Он прав. Это мог быть только Developer Edition. Но возможно что можно было сделать хак.

Здравствуйте, Andre, Вы писали:

Не спорьте. Вы оба правы. MSSQL 7/2000 обычного выпуска не ставится на воркстэйшены. Но на воркстэйшены ставится MSSQL Developer Edition (реально это Энтерпрайз, но с ограничением на 10 клиентов) и MSDE.

Здравствуйте, oRover, Вы писали:

R>та ставил я, ставил... Бл№ буду

Не. Он прав. Это мог быть только Developer Edition. Но возможно что можно было сделать хак.

Здравствуйте, vvaizh, Вы писали:

V>После этого дальше можно ничего не читать..
V>парень просто ни в чём толком не разобрался..
V>как та девушка, которая после получасового созерцания "мощного IDE под Win MSVC"
V>попросила разрешения "можно я просто make-файл напишу"..

Там вся суть была как раз в том, что для приметивных вещей нужно разбираться до потери пульса. А вот девушка — это уже опасно. Ведь не дай бог за такую кто замуж выйдит. Она ведь после созерцания стиральной машины примится писать инструкцию мужу по стирке.

Здравствуйте, fAX, Вы писали:

fAX>Вы точно пытались принт-версию скопировать?

Ты бы ссылку дал. А то может они не то копируют. Я так вообще там 20 страниц не нашел.

Здравствуйте, VladD2, Вы писали:

VD>Здравствуйте, fAX, Вы писали:

fAX>>Вы точно пытались принт-версию скопировать?

VD>Ты бы ссылку дал. А то может они не то копируют. Я так вообще там 20 страниц не нашел.
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=1
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=2
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=3
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=4
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=5
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=6
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=7
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=8
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=9
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=10
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=11
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=12
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=14
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=15
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=16
http://www.dpreview.com/reviews/print.asp?review=minoltadimage7hi&page=17

Но у меня проблемы с изменением размеров начинаются даже когда одна страница всего скопирована (начиная со второго-третьего линка)...

Здравствуйте, fAX, Вы писали:

fAX>Но у меня проблемы с изменением размеров начинаются даже когда одна страница всего скопирована (начиная со второго-третьего линка)...

У меня с первого раза не получилось. Но потыркавшиь тройку раз завис. У меня без всяких СП.

Честно говоря не нужно было изобретать столь сложного способа свалить ворд. Это все таки экзотика. Намного обиднее что он частенько вылетает при редактировании в режиме ревизий (самый нужный для нас режим).

С другой стороны можно скзать, что СтарОфис ему в подметки не годится ни под возможностям, ни даже по надежности. Старофис еще более глючен. Я лично завалил старофис раз 10 за неполные 5 минут на призентации этого продукта.

И вообще кончайте членами меряться. Ошибок хватает везде. Лучше рассказали бы что во врождующих лагерях новенкого...