Ilja van Sprundel: X Security - Rosszabb, mint amilyennek látszik

 ( trey | 2013. december 31., kedd - 16:04 )

Ilja van Sprundel, az IOActive Pentest részlegének igazgatója az elmúlt években fokozott figyelemmel kísérte az X.Org kódját, mind kliens, mind szerver oldalon. 2012 végétől kezdve biztonsági sebezhetőségeket keresett az X.Org kódjában. Észrevételeit, tapasztalatait a fenti, 30c3 konferencián tegnapelőtt tartott, "X Security - It's worse than it looks" című előadásában összegezte.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

KDE csapat hozzáállása a biztonsághoz "érdekes":

"persze, nyugodtan kürtöld szét az 0day hibákat, ..." (mindezt irónia nélkül)

egyébként ez alapján az X olyan szinten törhető, mint egy friss tojás.

En sok dologban, alaptalanul bizom, de az X-ben meg sose jutott eszembe biztonsagi szempontbol megbizni.

QT csapat.

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

Qt csapat?

45. dia, vagy 18:45 a videoban.

A prezentáció: https://events.ccc.de/congress/2013/Fahrplan/system/attachments/2249/original/XSecurity.ppt

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

Az írásmódon rugózott: QT vs. Qt

--
trey @ gépház

Minél ősibb technológia valami, annál gyengébb lehet, mert anno nem úgy gondolkoztak a biztonságról, mint manapság.

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Sokan nem gondolkodnak ma sem, sorra jelennek meg a nagy újítások, ahol újra meg újra elkövetik ugyanazokat a hibákat...

--

Érdekes, hogy a Debian projekt foltozta be először (a 2 hét titoktartási idő alatt) a csomagjait (felhasználva az xorg javításokat persze), megelőzve a fizetős disztribúciókat.

Figyelemre méltó inkább, mint érdekes; a fizetős disztróknál át kell menniük a minőségellenőrzésen, teszteken. Érdekesebb lenne mondjuk egy Ubuntu-val, openSUSE-al, Fedora-val (és a többi "játszótér" disztróval) való összehasonlítás.

BlackY

Remélem ez sokak számára +1 „jó ok” lesz arra, miért is ne tartsanak engem idiótának amiatt, mert ha lehet, kerülöm a grafikus cuccok használatát, és a parancssort favorizálom. Nem mindenáron, az igaz, nem vagyok fanatikus e téren, de ha lehet. Nyilván van a funkcióvesztésnek és a kényelem-feladásnak egy határa, amit már nem vállalok be, de azért ha nem kell nagyon megalkudni, szívesebben választom a nem-grafikus felülettel is megelégedő szoftvereket.

Persze elismerem, ezen ízlésemben a biztonsági kérdések, sebezhetőségek kérdése meglehetősen alárendelt szerepet játszik. De azért a sor vége felé az is ott van valahol.
-------------
Honlapom: http://parancssor.info Könyvem a VIM-ről
Lenovo ThinkPad T530, Core I7, 16 GB RAM, 500 GB HDD
=== Disztróm: KISS-Linux, saját készítésű, "from scratch"! ===

lynx-el jó lehet hupozni akkor, esetleg tisztán curl hívásokkal meg manuális html/js értelmezéssel netezel?

Erről hallottál?
http://www.w3.org/ComLine/User/CommandLine.html

És erről?
http://surf.suckless.org/

-------------
Honlapom: http://parancssor.info Könyvem a VIM-ről
Lenovo ThinkPad T530, Core I7, 16 GB RAM, 500 GB HDD
=== Disztróm: KISS-Linux, saját készítésű, "from scratch"! ===

>based on WebKit/GTK+
akkor most ez miért nem grafikus?

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Az első nem grafikus, hanem commandline tool. A Surf grafikus valóban. Nem mondtam hogy nem használok grafikus alkalmazásokat, csak hogy igyekszem kerülni őket, ha lehet. Erre jött a belémkötés, hogy akkor ugye Lynx. Holott nem mondtam hogy nekem ne lenne grafikus böngészőm.

Ellenben annyi igaz, hogy ha muszáj is grafikus cuccokat használnom, azok közül is az egyszerűbbeket kedvelem, a jól testreszabhatóakat, a szkriptelhetőeket, a kevés függőséggel rendelkezőeket.
-------------
Honlapom: http://parancssor.info Könyvem a VIM-ről
Lenovo ThinkPad T530, Core I7, 16 GB RAM, 500 GB HDD
=== Disztróm: KISS-Linux, saját készítésű, "from scratch"! ===

Pedig lehet, hogy a MIR-nél vagy a Waylandnél figyelnek a biztonságra.

Fuszenecker_Róbert

Bevallom, adott esetben szívesebben választok olyan szoftvert tetszőleges feladatra, amiről tudom hogy elméletileg nem annyira biztonságos holmi behatolási kísérletek, trójaik stb ellen mint egy másik, ellenben messze sokkal jobban személyre szabhatom, igényeimhez alakíthatom.

Lehet hogy e hozzáállás jogossága megkérdőjelezhető bizonyos esetekben, mondjuk ha valami olyan helyen dolgoznék mint a Pentagon vagy a bankszféra, de én a magam otthoni gépét bűvölöm csak.
-------------
Honlapom: http://parancssor.info Könyvem a VIM-ről
Lenovo ThinkPad T530, Core I7, 16 GB RAM, 500 GB HDD
=== Disztróm: KISS-Linux, saját készítésű, "from scratch"! ===

Attól nem lesz egy program biztonságosabb, hogy nincs grafikus felülete. Legfeljebb annyit nyerhetsz vele, hogy a grafikus felülethez további szolgáltatások szükségesek (X), amit nem kell futtatnod, ha egyáltalán nem használsz grafikus programokat. Ha már csak egy grafikus programod van, nem nyertél semmit.