[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [openbsd] fwd: [nick@holland-consulting.net: Supporting OpenBSD]
- To: openbsd@uaoug.org.ua
- Subject: Re: [openbsd] fwd: [nick@holland-consulting.net: Supporting OpenBSD]
- From: Eugeni Akmuradov <e.akmuradov@gmail.com>
- Date: Wed, 9 Sep 2009 21:45:23 +0300
- Delivered-to: <openbsd@uaoug.org.ua>
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=bPWpHeiSHNeS/eM2DoaaucSMyFub3nozD57uG8N4EuQ=; b=kvfD2SHydzuhfXkohEYL4bCAX0os6SWJKis9rdj51HPvbEdLfNHKL+2rrLWKVqopPR oMy/JIevZCwYptblP5PjNTBvz8eSKKfSl3cMdPl2DZz7gZZ3fUzRPvBUGaf0pPFKFFIp lwX9Wjb/8etgkkq/3gLOLeIj7jQ9heNLymE7E=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=ndmQkCTOEkBVRp708N9vXaUrJVc0yUoJfZ6nyXuWZsgn5c3bGrJh1JgtleDrKP3Zso KrFdJzCOkUCLgmgyAesgsDtRUzzPUshxH80tMSGdF2Czf1W4VyHr3JHr/ur8N3lK9NjV ELngx8UcWkyonH0/sns0iRDfBhvRchh7tpuWQ=
- In-reply-to: <4AA7D322.5040009@gmail.com>
- References: <20090909130831.GA28846@atmnis.com> <4AA7D322.5040009@gmail.com>
- Reply-to: openbsd@uaoug.org.ua
имхо, далеко ходить не надо - в самой философии есть подходы которые
можно было бы изменить и все-таки не выставлять колючки тем,
изменениям, которые подвинут проект к лучшему
9 сентября 2009 г. 19:09 пользователь Pavel Labushev
(p.labushev@gmail.com) написал:
> Sergey Prysiazhnyi пишет:
>> ----- Forwarded message from Nick Holland <nick@holland-consulting.net> -----
>>
>> Date: Tue, 08 Sep 2009 23:54:12 -0400
>> From: Nick Holland <nick@holland-consulting.net>
>> To: misc <misc@openbsd.org>
>> Subject: Supporting OpenBSD
>>
>> What makes OpenBSD unique? Everyone's got their own list, but here's
>> mine:
>>
>> * Good work is unacceptable, great work is expected.
>
> Гладко было на бумаге, да забыли про овраги.
> 1. С 2004 года не закрывают уязвимость к обходу W^X путём возврата на
> retf. Даже невзирая на то, что в документации к SEGMEXEC в PaX от начала
> 2003 (!) года эта тема затронута и рассмотрена отдельно.
> 2. Энтропия адресов при ASLR на x86 гораздо меньше, чем могла бы быть.
> Для сравнения, в PaX/x86 - на 4-8 бит больше.
> 3. PIE появились только недавно (года на 3 позже, чем в тулчейне
> Hardened Gentoo).
> 4. Ограничивать или запрещать mprotect(2) для обхода W^X - ни в каком
> виде не хотят, ссылаясь на нежелание нарушать стандарты. При том, что
> 90% софта исполняемые страницы данных/стека не нужны, а mprotect
> довольно широко используется для проведения атак на W^X-подобные защиты.
> 5. Нет документации по механизмам защиты рантайма (а ведь она необходима
> для прохождения peer review, как полагается) - в лучших традициях
> осуждаемого линукса.
> 6. Не реализовано никаких защит ядра, аналогичных PAX_MEMORY_UDEREF,
> PAX_KERNEXEC, PAX_RANDKSTACK или иных.
> 7. И при этом анализ багов в ядре проводится вяло - энтузиастов нет. Для
> примера можно почитать таймлайн переписки CORE с командой OpenBSD по
> уязвимости в стеке IPv6: CORE пришлось предоставить PoC-эксплойт, чтобы
> в OpenBSD признали уязвимость к выполнению произвольного кода - провести
> анализ самостоятельно опенщики не соизволили и до последнего настаивали
> на DoS-only.
> 8. Реализация органичений chroot(2) оставляет желать лучшего: как
> минимум, некоторых из тех простых и эффективных вещей, которые давно
> есть в Grsecurity.
>
> Да, такие аккуратные мелочи, как omalloc и ограничиваемый BPF, интересны
> и приятны, но малозаметны на общем фоне. Не знаю, как другие, но лично я
> от "самой безопасной ОС" ожидал несколько иных подходов.
>
>> * Quality is the #1 goal, it takes a back seat to NOTHING else.
>
> Да. Почти всё, что есть, сделано очень качественно и просто. Тем и
> привлекает.
>
> P.S.
> Не троллинга ради. Просто наболело: всё далеко не так радужно, как
> преподносится и как хотелось бы, а ситуация практически не улучшается.
>
> --
> To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
> For retrieval in messages archive http://www.uaoug.org.ua/archive
>
>