[openbsd] Re: fwd: [nick@holland-consulting.net: Supporting OpenBSD]

[Sergey Prysiazhnyi <apelsin@atmnis.com>]

On Mon, Sep 14, 2009 at 06:24:56PM +0800, Pavel Labushev wrote:
> Sergey Prysiazhnyi пишет:
> 
> > А к чему слова: я Вам даю входы на наши production сервера и Вы пробуете провести
> > подобного рода аттаки, затем результаты мы публично опубликуем? Идёт?
> > А то мы так долго будем говорить...
> 
> Или давайте поступим иначе: вы на свою машину вешаете prefork-демон
> уязвимой версии, в которой обнаружена публичная уязвимость и для
> которой, в свою очередь, опубликован рабочий PoC-эксплойт, и надеетесь
> на защиты рантайма, а я пытаюсь провести взлом.

Выбирайте демон.

> Теперь представим, что это мне удалось. Сколько и с какими оговорками вы
> готовы заплатить за успешное проведение такого, более простого пентеста?

Во-первых, не будет никаких оговорок, а во-вторых я в долгу не останусь.
Напишите мне личным письмом стоимость часа Вашей работы в контексте данной
задачи.

> > В спеках Intel Вы её точно найдёте, при чём здесь
> > "пафосная презентация от 2004-го года" или представители OpenBSD пректа, которые
> > пытаются в этом разобраться и устранить?
> 
> Вы где-нибудь читали или слышали официальное мнение разработчиков
> OpenBSD по поводу недостатков W^X?

Да, говорил с последними лично по поводу.

> > Предложение по данному поводу поступило Вам выше: давайте пробовать/сравнивать/
> > и смотреть. 
> 
> То есть, пока вам было, что сказать, вы говорили, а когда вскрылась
> несостоятельность аргументов, вам сразу практику подавай. Причём, бесплатно.

Я не стану данный тезис комментировать, вижу смысла нет, скажу просто, - Павел,
давайте попробуем/сравним/проверим на _платной_ основе? 

> > Может, нет предела...
> 
> Правильно ли я понимаю, что вас устроил ответ на вопрос, причём здесь
> PaX, и корректность сравнения вы не оспариваете?

Нет, я только лишь имел ввиду, что защита рантайма от OpenBSD может быть лучше.
 
> > Вы писали "Не троллинга ради", а складывается такое впечатление, что для...
> 
> Как человеку и как пользователю OpenBSD мне не нравится, когда
> разработчики OpenBSD меня обманывают или недоговаривают что-то важное
> (на гране обмана), и что эта ситуация в корне не меняется годами.
>
> Было время, когда я доверял мнению команды OpenBSD, и только потом, с
> огорчением для себя выяснил, что это мнение доверия не заслуживает. К
> сожалению, с тех пор там практически ничего не изменилось в подходах.

Может, самым простым решением для Вас данных дилем станет собственный проект? 

-- 
To unsubscribe send an e-mail to openbsd+unsubscribe@uaoug.org.ua
For retrieval in messages archive http://www.uaoug.org.ua/archive