161 odpowiedzi na ten temat

[Spuczan]

 

28 mb  

 

Pewnie jutro się ściągnie...

 

Masz modem 56k? 

Chodzi o to, że do tej pory ściągałem pliki o wielkości 3 mb. 28 mb  stanowi pewne wyzwanie ponieważ zawsze może mi zerwać połączenie.  A im większy plik tym większe prawdopodobieństwo, że nigdy go nie ściągnę. W przypadku zerwania "pod sam koniec" zabawa zaczyna się od nowa.

 

 

28 mb  

 

Pewnie jutro się ściągnie...

 

Masz modem 56k? 

 

Czy w tym zakątku świata, w którym obecnie się znajdujesz Internet jest porcjowany? 

 

Mojego maila i żony nie ma na liście 

to jest pustynia gościu. Nie Kraków.

Fix.

 

Na szczęście udało się ściągnąć.

 

 

 

 

 

 

Dzięki Torq.

 

[torq314]

A tymczasem Android Browser ma trywialną dziurę, która obchodzi tzw. same-origin policy. Z tego powodu dowolna strona może wykraść dane dowolnej innej, w tym jej ciastka i radośnie zrobić w imieniu użytkownika co tylko chce.



http://niebezpieczni...o-uzytkownikow/

Uwaga! Nigdy nie uzywać tej przeglądarki, tylko Chrome.

[Schrodinger]

a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem ?

[torq314]

a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem ?

jak mają wyrzucić to ze starych andkow gdzie połowa kontrolek w oesie korzysta z wbudowanej przeglądarki a nie z chrome?

to raczej ludzie powinni szybciej migrować na nowsze wersje.

Ten post był edytowany przez torq314 dnia: 18 września 2014 - 13:42

[lukaszSA]

Ja te domyślną przeglądarkę widziałem tylko na emulatorze. Nawet nie wiedziałem, że ona istnieje tak normalnie. A Chrome jest fajne, ale u mnie chyba 300 MB zajmuje

[Danteusz]

a kto tego używa? w ogóle dziwi mnie dlaczego google jeszcze to wspiera zamiast zaorać i zastąpić chromem ?

Ciągnie się efekt walk wewnętrznych miedzy teamem Andka i Chroma. Jak wiadomo wygrał ten drugi, Andy Rubin został wysłany na Syberię, a Sundar Pichai zgarnął wszystko, więc z czasem Android Browser zostanie wyparty.

[Ryan]

Ciekawie o fappeningu.

https://blog.lookout...reach-happened/

[Ryan]

Ciekawe czasy...

http://www.wired.com...o-day-exploits/

I dla pryszczersów coś:

http://www.troyhunt....know-about.html

[torq314]

Ciekawe czasy...

http://www.wired.com...o-day-exploits/

I dla pryszczersów coś:

http://www.troyhunt....know-about.html

Jezusieńku, jeśli to prawda to połowa internetu jutro leży

[Danteusz]

Po Heartbleed nie leżała, po tym też nie będzie

[Schrodinger]

z praktycznego punktu widzenia największy pogrom wśród znajomych miałem po 'wyjsciu' tej luki w routerach, że na tych starszych z odpalonym zdalnym podpięciem z neta można było wbić na routera i zrobić przekierowanie DNSów

co się wtedy działo to głowa mała

[lukaszSA]

Właśnie przed chwilą mi się pojawił update basha.

[torq314]

Właśnie przed chwilą mi się pojawił update basha.

Bomba, jeden linuks już jest bezpieczny.

[lukaszSA]

Właśnie przed chwilą mi się pojawił update basha.

Bomba, jeden linuks już jest bezpieczny.

 

Oj Torq.

Jak ja dostałem update, to prawdopodobnie wszystkie SUSE taki update dostały. Red Haty pewnie też coś mają. Jeśli admini nie robią updatów to już ich sprawa
 

[torq314]

Właśnie napisali że patch nie rozwiązuje problemy bo jest jego obejscie

[lukaszSA]

Jeśli patch był robiony na szybko, to nie ma co się dziwić.

 

Kogoś gdzieś czeka kilka nieprzespanych nocy

[Ryan]

Jeśli patch był robiony na szybko, to nie ma co się dziwić.

Dżizas, w co Ty wierzysz? Ramey był powiadomiony w ramach responsible disclosure ponad tydzień temu. Skrócili czas hodowania informacji, bo ktoś z upstreamowych maintainerów paczek wyciekł informację. Ale mówimy tu o skróceniu czasu, który miał na łatanie, o kilka godzin.

[lukaszSA]

Fakt jest taki, że patch który się wczoraj pojawił nie rozwiązuje podobno problemu. Red Hat zapowiedział, że w nocy wypuści kolejne poprawki.

 

Chyba, że tak właśnie miało być

[Ryan]

Nie, nie miało tak być. Ale to nie z pośpiechu, jak pisałeś, tylko z ogólnego trendu jakości softu.

[Ryan]

Zalewski ma ciekawy tekst:
http://lcamtuf.blogs...-patch-now.html

Generalnie jest trochę tak, jak pisałem: jakość kodu i świadomość autora ssie. Wszystkie łatki do tej pory radzą sobie z konkretnymi instancjami błędów w parserze, który jest inherentnie zły. Zamiast zmienić podejście, aplikuje się plasterki to tu, to tam.

//edyta

Z rzeczy luźno związanych - dłubałem ostatnio w libfetch, takim upośledzonym bratem libcurl z OpenBSD. kod jest straszny, a to też w znacznej mierze zbiór parserów (URLi, nagłówków HTTP/FTP). Przypuszczam, że bsdowy fetch jest nie mniej dziurawy. Pewnie większość starego kodu, uznawanego za "good enough" ssie podobnie.

Rzuciłem więc okiem na samo libcurl. Dramat.

Ten post był edytowany przez Ryan dnia: 28 września 2014 - 20:48

[Danteusz]

Możesz w jednym zdaniu streścić na czym polega ten bug?

[Ryan]

Ciężko w jednym, ale spróbuję w kilku podpunktach.
- w niektórych środowiskach (znacznie częściej, niż mogłoby się zdawać T_T) serwery WWW oddelegowują część zapytania do basha (żeby coś tam przetworzył)
- komponenty post i get w takich systemach pojawiają się jako zmienne środowiskowe
- bash ma wbudowany parser (duh!) zmiennych środowiskowych (duhduh!)
- w zmiennych środowiskowych można przechowywać funkcje, które bash ma wykonać

Reszty się możesz domyślić.

[Danteusz]

Rewelacja. Wolę już Heartbleed, tam przynajmniej problem wynikał z klasycznego buga

[Ryan]

Wut? W HB przepełnienie bufora było exlpoitowalne tylko dzięki innemu błędowi w obsłudze handshake'u. Tu jest podobnie - pewien ficzer w połączeniu z błędem w parserze (no, błędami, jest ich wiele, tak gdzieś połowa z nich groźna) pozwala na zdalne wykonanie kodu. Konsekwencje są znacznie poważniejsze.

[Danteusz]

A czemu konsekwencje są poważniejsze?

[Ryan]

Zdalne wykonanie (SS) vs. kradzież kluczy (HB).

[Danteusz]

Po prostu serwer powinien mieć sandbox (choć pewnie to za duża zmiana)

[Ryan]

O_o

Jaki sandbox? Czego sandbox? Chcesz stawiać osobno każdą skrzynkę pocztową? Bo taki jest kanoniczny scenariusz: serwer poczty pajpuje maila przez filtry antyspamowe i inne, po czym wrzuca go do Twojej skrzynki.

Twoje magiczne rozwiązanie jest buzzword compliant, ale rozmija się z rzeczywistością.

[Danteusz]

Nieważne jak to nazwać, chodzi o niepozwolenie serwerowi na robienie absolutnie wszystkiego z maszyną na której stoi

[Ryan]

Ponownie: jak?