Megszűnt a grsecurity ingyenes terjesztése

Fórumok

16 év után a kernel szintű biztonság javítását célzó grsecurity 2017. április 27-vel megszüntette az eddig ingyenesen elérhető úgynevezett test patchek elérhetőségét (is).

Ez a grsecurity részét képező, de külön is hozzáférhető PaX-ra is vonatkozik. Az utolsó ingyenes PaX patch a 4.9.24-hez készült.2 éve a hosszú karbantartású , úgynevezett stabil patch elérhetőségét fizetőssé tették, - kimondatlanul ugyan, de racionálisan nézve a helyzetet - idő kérdése volt, mikor az ingyenes elérhetőség is végleg megszűnik, ez 2017.04.27-én elérkezett.

A korábbi úgynevezett test patch-eket amelyeket a legfrissebb vanilla kernelekre lehet illeszteni, most "beta kernel patch"-nek hívják, és szintén egyfajta előfizetéses formában hozzáférhető április 27 óta. Így a grsecurity valószínűleg végleg kikerül a népszerű linux disztribúciók csomagtárából is. Az utolsó elérhető ingyenes test patch még a 4.9-es kernelhez készült. Hivatalos karbantartás ehhez már nem lesz, de némi barkácsolással valószínűleg megoldható lesz a 4.9 fa jövőbeni változásaihoz való illesztés, új biztonsági funkciókról viszont ez esetben a felhasználóknak le kell mondaniuk.

Mivel a debian stretch-et 4.9-es verzióval adják ki a debian felhasználók még saját kútfőből vagy backport tárolóból letöltött backportolt megoldással a grsecurity egy verzióját még használhatják akár egy pár évig is ingyenes formában amennyiben kitartanak a 4.9-es forrásfánál.

A részletes bejelentés itt elérhető.

Háttérinformáció a döntés okairól.

Hogy aztán középtávon a grsecurity marad egy jóval szűkebb felhasználói kör részére elérhető, vagy esetleg külön hobbi forkok alapján a 4.9-es verzióból létrejön egy új projekt az az idő kérdése lesz. Mivel a népszerű disztribúciókból való kikerülése borítékolható, az is biztos, hogy a fejlesztők tesztelési lehetősége is beszűkül.

A hardened gentoo pl. valószínűleg a jelenlegi formájában nem lesz folytatható.

Hozzászólások

Nem fogják bevenni a mainline kernelbe, szvsz teljesen kizárt. Anno kb. 10 (?) éve volt erre kísérlet, ha jól emlékszem valaki beküldte a grsec-et patchként és elbukott a kísérlet.

Sok grsec opció architektúra függő, némelyik igencsak szigorú, van amelyikkel pl. xorg sem futtatható. Nem is mindegyiket lehetne leválasztani külön featureként.

Meg aztán nem is hiszem, hogy ennyire előtérbe akarják tolni a biztonságot a kernel fejlesztés során. (~ talán linux nyilatkozta anno, hogy "jó kódot kell írni", és akkor biztonsági probléma, vagy valami hasonlót régen volt, nem biztos, hogy jól emlékszem).

Ráadásul jó néhány (pl. red-hat) fajsúlyos vanilla linuxba is keményen patchelgető kernelfejlesztő csoportnak a grsec konkurencia. (exec-shield)

Akár az is előfordulhat, hogy némely kerneldriver nem igazán fér össze bizonyos opciókkal.

Ráadásul így hogy a grsec fizetős lett, a grsec fejlesztők sem vennék szerintem szívesen, hogy a kódjaik ingyen a linux vanilla kernelbe kerülnének.. (~ jogi akadályok)

--------

Előállított "Vállalati
Internetszennyező"

Ha jol emlekszem, anno sem jogi vita volt az oka, hanem Spender egyben akarta betolni, a kernel fejlesztok meg azt mondtak hogy no f'ing way. Innentol meg halott volt a dolog, mert Spender nem akarta szetszedni darabokra, a kernel fejlesztok meg nem voltak hajlandoak bevenni egyben egy hatalmas kodhalmazt.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Regebben (~5-6 eve) az osszes production rendszeren fent volt. Akkoriban Gentoo rendszereket futtattam binhosttal, es az untrusted kod bebiztositasra hasznaltuk. (Ez meg akkoriban volt amikor a cgroups viszonylag uj dolog volt.) Anno fogott is meg dolgokat amikor elcrashelt pl. a ProFTPd.

Sajnos aztan elmaradt a vanilla kerneltol, en kevesebbet foglalkoztam ops-szal, es megjott az LXC es most a Docker, igy eleg sok feature ertelmet vesztette. Jopar dolog viszont jo lenne ha bent lenne a mainline kernelben. (Ne kerdezd meg hogy mik, at kene neznem hogy pontosan mi az ami nincs bent, de emlekszem jopar dologra ami hianyzott a Gentoo hardened utan.)

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Tehát akkor részleteznéd, hogy a leírásodban szereplő alábbi dolgok pontosan milyen grsecurity és PaX funkciókat váltanak ki:

- chroot
- mount opciók
- tűzfalazás
- capabilityk
- cgroupok
- namespacek
- Apparmor
- seccomp

Továbbra is kiváncsian várom.

Erdekes, erre meg senki nem panaszkodott. (Sok mas dologra igen.) Nem lehet hogy nalad van valami grafdriver elconfolva? (Azert kerdezem, mert Gentoos ismerosnek volt hasonlo problemaja mindenfele oldalakkal, amig kiderult hogy valamit nem forgatott be.)

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Mar keso, de hatha sikerul ket karakternel tobbet is leirnia. Pl. azt hogy milyen bongeszot hasznal milyen rendszeren, ahogy az egy rendes bugreporthoz illene.

Ezert a threadert amugy sem kar, ugy latom nem a tarsasag mar megint nem birta ki, hogy ne szemelyeskedesbe fajuljon egy egyebkent erdekes es talan fontos szakmai vita.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

okay, bugreport következik

HTML és text parseolására alkalmas browsert használok modern multitasking, desktop-centric nvidia-hwaccel compositing OS-en

HTML és text parseolása a cél

ezen az egy honlapon nem igazán sikerül első világbéli módon

mit rontasz el?

hint: a több megabyteos judeascripteid kikapcsolásával a probléma megszűnik, requestem az üzemeltető mackókhoz hogy nyilatkozzanak a M9B3LEtMSdRPLC5OLSnWzyrWz03MzNPLzczT
MdEvL9BNzU1KTQFzDUHc5PyUVN2MzPSMHCAu
AaqGs_WS83Nz8_P0ChKTs3WUfcNcg5Rtjc0A.js
nevű file mire használja a grafikus kártyám processzorát, és az általa elvégzett obfuscated munka ellenértéke mikor fog befolyni a paypal accountomra

további bug hogy valamiért TLS kapcsolat felett is dob egy http redirectet (http filternél ez loopban végződik), ez néhány más rosszul konfigurált oldalnál is előfordul

#macikmiért #malwareops

Koszonom, ezzel mar tobbet tudok kezdeni. Nincs itt semmi malware, a random generalt filenev csak a tomorites miatt van. A nevezett JS file a Bootstraphoz tartozo JS, amivel kb minden masodik oldalon talalkozhatsz, illetve az Avada themehez tartozo kiegeszitok, amit szinten regenteg oldal hasznal. Ennel a projektnel nem futotta sitebuilderre. Ha a projekttel nem csak kiadas lesz, akkor fogadunk sitebuildert aki megcsinalja rendesen. Ettol fuggetlenul a kedvedert megnezem hogy mi okozhat scrollozasi gondokat. (Eleg nehez lesz, mert semmilyen gepen, semmilyen oprendszer/bongeszo komboban nem sikerult reprodukalni.)

A HTTP redirectet nem taltam meg, ha meg annyit megtennel hogy lescreenshotolod amit latsz, akkor megteritem az elhasznalt aramot a GPU-don.
--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

>Nincs itt semmi malware, a random generalt filenev csak a tomorites miatt van.

me <- being kidded -> by you

Nope, Wordpress plugin igy csinalja. Nincs ido/kedv/igeny/penz sajatot fejleszteni. Minuszos az egesz oldal baromi vastagon.

>A HTTP redirectet nem taltam meg

képünkön: opsbears még a beállított HSTS-t se leli

Most akkor az a problema hogy titkositott vagy az a problema hogy nem titkositott? Vagy az hogy valahol HTTP-rol probal betolteni eroforrasokat es ez egy felesleges lekerdezest okoz?Barkochbazhatunk, jo jatek. :)

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Teny, es eppen ezert le is ellenoriztem az osszes GPU API kikapcsolasaval az oldalt, nekem nem szaggatott es nem is volt merheto CPU hasznalat. Ettol fuggetlenul a bongeszok most mar ra vannak arra allva, hogy hasznaljak a GPU-hoz kapcsolodo API-kat az oprendszerbol mindenfele compositing feladatokra is (tehat az oldalelemek kirajzolasahoz). Visszakeresve a beszelgetest az egyik kollegaval akinek hasonlo problemaja volt, a Chrome status ( chrome://gpu/ ) page ezeket kohogte ki:


Only enable WebGL for the Mesa Gallium llvmpipe driver: 571899
Disabled Features: gpu_rasterization, flash_3d, flash_stage3d_baseline, gpu_compositing, accelerated_2d_canvas, accelerated_video_decode, flash_stage3d, webgl2, accelerated_vpx_decode, panel_fitting, accelerated_video_encode

Miutan valamit tekert a rendszer beallitasain (pontosan nem tudom mit) elmult a szakadozas.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

Igen, a grsecurity-nek jelenlegi formájában reszeltek.

Ha jól értem, a kód nagy részét ők írják. Ha a RAP-pal most is olyan szinten járnak az ipar előtt, mint anno a PaX, amikor megjelent, akkor zárt kódú megoldásként, ami akár nem is Linux specifikus, biztonságkritikus helyekre szerintem van keresnivalójuk mint security cég.

A legjobb persze az lenne nekünk, ha valamelyik nagy szereplő megvenné a céget egy szerény, de nem sértő összegért azzal, hogy folytassátok amit csináltok, csak minden legyen open-source + itt van pénz még 20 fejlesztőre, akiket ti válogattok ki.

Szerintem ebben lehet reménykedni. :)

A grsec-ben sok olyan cucc van, amit szvsz nem lehet csak úgy külön kiszedni.

A pax képez viszonylag nagyobb egységet, az külön elérhető.

De pax-on belül is, ha pl. pageexec-et nem akarod betenni, mprotect-et meg igen, azt azért megnézném. :-))

Vagy ha a pax-ot nem akarod betenni, akkor hogy rakod bele a grsec proc_memmapot pl. ?

Ezt "Linus kompatibilisre" szerintem nem lehet megcsinálni. Ha 16 év alatt sem sikerült, akkor most sem fog. :-)

-------

Előállított "Vállalati
Internetszennyező"

Talán janoszen írta valamelyik másik szálban, hogy egyben beküldte anno spender, és nem vették be, mert túl komplex. Én hoztam két apró példát, amit pl. szerintem képtelenség szétszedni.

De talán - igaz 8 ! :-)) évvel ezelőttről a beolvasztásos témára választ másik topicból.

Hiába no, úgy látszik az emlékezet mégsem volt megbízható. Nem tudom miért emlékeztem úgy, hogy volt kísérlet beküldeni a mainline kernelbe... :-))

Ezen kis - ma már történelemnek tekinthető :-)) - kommentek alapján úgy tűnik tényleg sosem próbálták meg.

https://hup.hu/node/65157#comment-694407

https://hup.hu/node/65157#comment-700687

https://hup.hu/node/65157#comment-694690

--------

Előállított "Vállalati
Internetszennyező"

Tizenvalahány év, ennyi befektetett munkaóra után, amennyit beleöltek, ha pénzt kérnek a grsecért én azt teljesen mértékben megértem ! Miért baj az, ha valaki pénzt kér a munkájáért ?

A kapitalizmus az kapitalizmus. A fejlesztők is pénzből élnek.

A beolvasztás-pártiaknak amúgy érdemes a többi linket is elolvasni 8 évvel ezelőttről, hogy pl. az exec-shieldet sem engedte be anno Linus. És a PaX annál jóval komplexebb. A grsecet rbac, proc_memmap, stb. hagyjuk is. :-)

És az eltelt 8 évben lettek új pax & grsec featurek, melyek más korábbi pax & grsec featurektől függenek, így aki lát bármi esélyt beolvasztásra, az szerintem álomba ringatja magát.

Ugye 8 évvel ezelőtti hsz-ből is látszik, hogy mindjárt ott van, hogy ilyen komplex kódhoz kell egy állandó főállású karbantartó. Itt mindjárt elhasal a történet, még mielőtt egyáltalán elkezdődne.

Tehát mielőtt elvi síkon elkezd valaki agyalni, hogy akár linus vanilla akár valamilyen más /distro kernel forrásfába (hardened-gentoo?) forkolják pl. a 4.9-es grsec-et innen kellene indulni./ Oké, és akkor ki fogja karbantartani 4.10-re , 4.11-re, tovább stb. ? :-)

--------

Előállított "Vállalati
Internetszennyező"

Mondjuk a 8 évvel ezelőtti nosztalgiázás helyett olvashatnád az aktuális hozzászólásokat te is és akkor láthatnád, hogy már jóideje próbálják copy+paste módszerrel betolni a grsec kódokat a mainlineba a Linux Foundation tagjai (Google+Intel alkalmazottak többekközt), csak épp kompetencia nélkül és az eredeti szerzők jogainak sértésével, valamint pénzügyi hitegetésekkel, ingyenes segítség kizsarolásával, hazudozással.

Bármilyen furcsa neked is, én tényleg jó ideje nem követem már nyomon az IT fejleményeket. Ide is elég ritkán vetődök be. Így nem olvasgatok, és bogarászok mainline kernelbe küldendő patchhalmokat sem.Tökmindegy miért, offtopic.

Ezért is tartom szomorúnak, hogy a hírt is nekem kellett ide beküldeni. Ami elvileg egy informatikai naprakész portál, vagy mifene.

Sok látogatóval, biztonsági szakikkal, akik közül jópáran a nap 24 órájában vagy 24 óra 45 percében sec. bugokat, meg kernel patchhalmokat lesegetnek, bárki beküldhette volna, mikor láttam a grsec.neten a hírt / mikor voltam fent "begyújteni új test patcheket", akkor néztem be ide, és láttam, hogy se cikk, se blog, se semmi. Na ekkor küldtem be.

Elég szomorú, hogy nekem kell itt jelezni. Úgyhogy ne velem morogjál amiatt, hogy nem vagyok naprakész. ;-)

A 8 évvel ezelőtti "nosztalgiázás"-ban is célozgatott már PaXTeam egy esetleges "főállású karbantartó hiányára" pl., ezt te "kompetencia nélkül"-iségnek nevezed.

Ez tulajdonképpen ugyanannak a jelenségnek egy másik megfogalmazása.
8 év alatt nem sok minden változott.

Az, hogy különféle nagyvállalatok pénzügyi hitegetésekkel, zsarolásokkal meg hasonlókkal operálnak, visszaélnek a jogi, és egyéb erőfölényükkel az most engem meg kellene, hogy lepjen ? Ez része a kapitalizmusnak. Jó reggelt ! Hogy ez tetszik, vagy sem, az tökmindegy, ez a rendszer része. 2 éve is ez volt az egyik ok áttételesen , hogy a stabil patch fizetős lett.

próbálják copy+paste módszerrel betolni a grsec kódokat a mainlineba a Linux Foundation tagjai

És Linus nem dobja ki ? furcsállom ... Anno az exec-shieldet is kiszórta.
Azt azért megnézném az uderefet, és pax_mprotectet ki fogja pl. karbantartani és az állandóan változó kernelhez igazítani. Meg a kellően rosszul megírt drivereket javítgatni a "szigorú pax követelmények"-hez :-) igazítani.

Ha 8, meg 13 éve is túl komplex volt a kód, akkor a mai az milyen ? :-))

--------

Előállított "Vállalati
Internetszennyező"

Kénytelen a Linus is engedni, amikor az Androidos telefonokat és a Linuxokat folyamatosan törögetik mindenhol. A KERNEXEC és UDEREF megfelelője ma már az újabb processzorokban is megtalálható hardveresen (igaz nem annyira biztonságos ennek ellenére), szóval ha egy driver fennakad a PaX UDEREF miatt, az könnyen lehet, hogy az Intel SMAP vagy az ARM PAN védelmein is elhasal, úgyhogy ezek a problémák már más megvilágításba kerültek, nem tudják a kernel fejlesztők félresöpörni.

A PaX RAP mindenesetre újabb 8 évet ver oda minden konkurens próbálkozásnak, úgyhogy használd. ;)

Lentebb pont arról lett linkelve email thread, hogy valójában linux-hardened fedőnév alatt több cég próbálkozik azzal, hogy mergeljék részenként a PaX / grsec-et, és ez már folyik is (egyes részek már bekerültek), csak éppen azt várják PaxTeam-től és Brad-tól hogy ingyen a szabadidejükben supportálják a fizetett Google és egyéb fejlesztőket, akik úgy tűnik, hogy segítségre szorulnak a munkában.

Nekem legalábbis ez jött le a történetből. Hozzátenném, hogy nagyon gáz, amikor már ott tart a kommunikáció, hogy fejlesztők egymás hibáit sorolják tételesen, hiszen hibákat _mindenki_ csinál.

Erőt vettem a lustaságon. Most keresgéltem egy sort.

mergeljék részenként a PaX / grsec-et, és ez már folyik is (egyes részek már bekerültek

Ez lenne az ?

kb. pax_usercopy, és mem_sanitize ? ennyi ?

Nem sok évvel vannak lemaradva... 8? :-))

--------

Előállított "Vállalati
Internetszennyező"

"Irigyellek, hogy te érted, hogy mit szeretnének (a pénzen kívül)."

Tényleg micsoda pofátlanság a Kádár Micskó Gábor szemszögéből, hogy valaki a ráfordított idejét szeretné megtérülve látni és nem tud több hónapnyi ingyen segítség után továbbra is támogatni ilyen kis cégeket, mint a Google és az Intel, hogy a saját kódjait kompletten lenyúlják:

https://www.google.hu/search?q=pageexec+site:openwall.com/lists/kernel-…

Miért nem fizet nekik egy valag pénzt G és I ? Ezt nem értem. Itt van pár igen okos ember, komoly értéket tesznek le az asztalra ahogy olvasom, és nincs pár puszi érte? Vajon a hatalmas büdzséből nem kerül pár morzsa amit tudjuk jól hogy menedzserek mikre szórnak el és milyen értékben. Kisebb cégeknél több száz milliókat dobnak ki olyat szoftverre, amiről nem szakmabeliek döntöttek és soha nem fogják őket használni. Mi az ok G és I részéről hogy nem támogatják?

Szerintem részben NIH-szindróma. Ez már 10+ évvel ezelőtt is probléma volt, amikor a Red Hat inkább saját maga implementálta (jóval gyengébb minőségben) az NX és ASLR támogatást. Jelenleg is az látszik, hogy nagyon fáj nekik a Grsecurity copyright, ezért sok esetben vagy megpróbálják azt sérteni (lásd lentebbi linkeket rá), vagy úgy copy+paste másolgatni és átnevezgetni a változókat, hogy ne kelljen az eredeti copyrightot megtartani.

A másik ok pedig talán az, hogy hozzászoktak az ingyenebédhez és a "biztos valaki már fizet érte" mentalitáshoz. Most pedig csodálkoznak, hogy van egyáltalán egy olyan projekt, amelyik 16 éve él és virul különösebb nagy céges támogatók nélkül, ráadásul a fejlesztői nem hagyják palira venni magukat...

PaXTeam rendkívül sokszor segítette a kernel fejlesztőket abban, hogy a PaX bekerülhessen a mainlineba. Amikor a külön kernel-hardening lista elindult 2011-ben, a fő irány a PaX funkcióinak átnézése és megértése volt a fejlesztők egy részétől, a főfejlesztők (köztük Linus) meglehetősen nagy ellenállássa mellett. A Gentoo-s közösség egyes tagjai is aktívan segítették a fejlesztőket (itt pl. épp blueness próbál segíteni a PaX RANDMMAP mainlineba kerülését és a hivatkozott gentoo buglistában is látható, hogy PaX Team elég türelmesen magyarázott el minden problémát, amelyek előjöttek).

Találtam 2012-es levelet is a kernel-hardening lista kapcsán, amelyben segít olyan commitokat találni, amelyekben bizonyos fajta túlcsordulást javítanak és a fejlesztők (pl. Greg, a stabil ág karbantartója) nem hisznek a létezésükben. PaXTeam-nek kellett bizonygatni, hogy léteznek.

A 4-5 év alatt több száz alkalommal segített a fejlesztőknek _ingyen_ csak a kernel-hardening levlista kapcsán és ebbe nincs beleszámolva a privát levelezések, különböző IRC beszélgetésekben való segítségnyújtás, bugtrackerek és egyéb fórumok. Szerintem elég sokáig volt türelmes iszonyat ellenállás mellett és pazarolta a szabadidejét néha olyan alap dolgok elmagyarázására is, amelyeket érthettek volna a kernel fejlesztők, ha legalább a konferenciákon tartott előadásanyagait átlapozták volna egyszer...

Ne haragudj, de volt olyan állításom, hogy baj, hogy pénzt kérnek érte? Neked van a fejedben egy elképzelés, miszerint mindenki ellenség és támadsz állandóan mint egy veszett vadászgörény. Én nem helytelenítettem, hogy pénzt kérnek. Azt kérdeztem, hogy mit akarnak még ezen kívül.

--
trey @ gépház

Talán a hátulróljövős lenyulós kavarások beszüntetését szeretnék? Nyilvános megkövetést a történtekért? Egy nagyvállalat nem fog szerintem bocsánatot kérni tőlük. Legalábbis meglepne.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Nyilvánvalóan sosem akarták mergeltetni. Mert szerintem gondolom azt gondolják, hogy akkor onnantól esély nincs ebből komoly pénzt csinálni.

Kiderült ez már rég :)

Egyfelől megértem őket, mert az tuti, hogy a közösség nem fogja eltartani ezt, abból akkora pénz nem fog jönni, amit várnak. Olyanok mint Oscon, persze elméletben mindig fontolgatják a donációt, de sosem jutnak el oda. Eddig is támogathatta volna a projektet, ha akarja.

Ráadásul szerintem nagy lóvét szeretnének, de közben nem akarnak alkalmazottak lenni.

--
trey @ gépház

Ez szerintem szinten leegyszerusitese es sarkitasa a dolgoknak.
Eppenseggel pont az latszik szamomra, hogy mindenki terel. Gyerekesen a masikra mutogatnak.

Nyilvanvaloan nem kellene, hogy szimplan kozossegi finanszirozasu legyen a projekt, alapvetoen a cegeknek kellene befogadniuk es eltartaniuk, de ehhez kellene az is, hogy alkalmazkodjanak a cegek igenyeihez.
De ha ez nem tetszik, akkor menjenek es kalapozzanak penzt. Barmelyik utat is valasztjak.

Valószínűleg nem segít a helyzeten az a kommunikáció, hogy mindenki hazug, aki velük kapcsolatba kerül és nem a pöcsüket szopkorássza.

Egy régi sztori jut eszembe, ahol hasonló volt a helyzet. Ott is egy antiszociális bugris próbált meg képviselőt játszani. Nem is csoda, hogy a próbálkozás elbukott.

--
trey @ gépház

>jól sikerült MPlayer képviseletedre céloztam

amelyik a világ (egyik?) első sikeres GPL enforcementjét végezte? köszi az elismerésed trinity de mint tudod számomra annyit se jelent mint egy hajórakomány döglött patkány

>nekem eszem ágában sem állt sosem képviselni a grsec projektet

hát mint ismeretes: <mgabor> ez csak egy teszt volt hogy hupon nagy pofajuak kozul ki mer oda ugatni

és sajnos már megint hazudtál ;'(

>The common opinion of the developers of grsecurity, PaX and their users

"amelyik a világ (egyik?) első sikeres GPL enforcementjét végezte?"

A projekt pedig azóta is virágzik! A képviseled alatt.

"köszi az elismerésed trinity de mint tudod számomra annyit se jelent mint egy hajórakomány döglött patkány"

Hát, ez kölcsönös.

Sem a PaX fejlesztőinek, sem a felhasználóinak véleménye nem érdekel. Pontosan tudom, hogy mit miért tettem és azt is, hogy az mit igazolt. Természetesen az eltelt idő és a dolgok állása továbbra is az én elméletemet igazolja.

--
trey @ gépház

>A projekt pedig azóta is virágzik! A képviseled alatt.

mint ismeretes, az ottani - hozzád hasonló - jóképességűek úgy döntöttek hogy nem kérnek az általam kiharcolt kártérítési pénzből (tudom, "sikertelen képviselet" bla-bla), helyette inkább jogi útra terelik (ROTFL) a gpl sértést, efféle bohózatban meg nem kívántam részt venni és kiléptem

a vonatkozó cég pedig jó nagyot röhögött rajtuk és a további csaholó leveleiket devnullba irányította.

ebből lesz majd az eheti győri jaszkari-gyűlésen a "40hezközeli semmiresevitte bubutyit kibaxxták onnan IS XDDDD" meme, go trinity go!

Természetesen megint mindenki hülye volt rajtad kívül. Ismerem ezeket a sztorijaidat. Ha ott lett volna egy erős képviselet és vezetés, nem tudom, hogy hogyan történt volna meg a "jóképességűek úgy döntöttek". Ez olyan, mintha te vagy sj akarna itt dönteni a HUP jövőjéről. :D

--
trey @ gépház

>Természetesen megint mindenki hülye volt rajtad kívül.

egyébként igen, de a hozzád hasonló mániákus hazudozók lakótelepi stílusú "élcelődése" sajnos csak lenéző félmosolyt vált ki

>sztorijaidat

trinity, balszerencsédre teljesen nyilvános az mplayer-dev-eng archive (a hupkó pénzügyi és tulajdonosi hátterével valamint a hírhedt zoknibábjaiddal szemben), úgyhogy frankón rákereshetsz és beledöngölheted "bubutyi" orrát az általad kiválasztott matériába

tudom most jön a szokásos "érdektelenség miatt elmegyek edzeni! adidos muchachas! XD"

>nem tudom

micsoda újdonság

>Ez olyan, mintha trey akarna itt dönteni a HWSW/HUP jövőjéről. :D

fixed

"egyébként igen, de a hozzád hasonló mániákus hazudozók lakótelepi stílusú "élcelődése" sajnos csak lenéző félmosolyt vált ki"

Frissítened kéne a címlistádat, nehogy rossz helyen kopogj. Nem mintha bajom lenne a lakóteleppel. ;)

Valami a grsec témához vagy egyáltalán bármilyen folyó témához? :D

--
trey @ gépház


 ( trey | 2017. május 13., szombat - 7:20 )
Nyilvánvalóan sosem akarták mergeltetni. Mert szerintem gondolom azt gondolják, hogy akkor onnantól esély nincs ebből komoly pénzt csinálni.

Mert "szerinted gondolod".

Csak épp , a sok évnyi, rengeteg eddigi levlistás segítségnyújtását végig lehet követni a kernel-hardening / KSPP esetében is, amely mind a PaX funkciók mergelését célozták:

https://www.google.hu/search?q=pageexec+site:openwall.com/lists/kernel-…

Jó kérdés !

Mivel én debian felhasználó vagyok, így a 4.9 forrásfával úm. szerencsém van, elvileg pár évig használhatom, a 3.14-est is magamnak backportolgattam a 2 évvel ezelőtti döntés után.

Így nekem a kérdés elvileg pár évig még nem lesz aktuális /kb. debian stretch végéig, amit még ki sem adtak/. Pár év múlva meg ki tudja mi lesz...

Most nyilván hasra ütésből tippelhetnék a kedvedért, hogy havi/évi/heti (?) akárhány eurónak/dollárnak megfelelő összeget sacc/kb. , de komolytalan lenne, mivel úgyis a 4.9-es alapút használom majd egy jó darabig.

Ez olyan mintha azt kérdeznéd, hogy mennyi lesz az OTP, eur/huf, xau/usd árfolyama 3-4 év múlva. Passz.

Lehet, hogy lesz olyan üzleti konstrukciójuk pár év múlva, hogy egy adott kernelre pl. 4.28 lehet előfizetni a beta-kernel patcheket, aztán mikor dobják és 4.29-re lépnek, akkor kell megújítani az előfizetést. Nem mintha ötleteket akarnék adni az árazáshoz. :-))

Ez megérheti akár egyszeri nagyobb összegre is, ha pl.a 4.28-as lesz a köv. debian stabil/LTS kernelverzió, akkor ezt házi barkácsolgatással akár szintén évekig lehet majd használni. Ez esetben egy egyszeri kicsit nagyobb összeg, ha leosztod pár évre, simán megérheti.

Meg aztán nincs árjegyzék a honlapon, lehet azért mert más árat adnak meg magánszemélynek, mást intézménynek, így nem rontanám az alkupozíciót :-) azzal hogy előre adok meg összeget publikus fórumban, és lehet hogy valamelyik fejlesztő azért olvasgatja amit itt irkálgatunk még ha nem is szól hozzá. :-)))

Meg aztán addigra változhat a helyzet,
- lehet, hogy alakul valami hasonló nyílt cuccos,
- lehet hogy előjönnek a fentebb említett beszűkült tesztelésből fakadó problémák a grsec-ben, ami korlátozhatja majd a használhatóságát
- lehet hogy addigra olyan hw-eim lesznek, melyeket a linux nem támogat.

/ pl. ha egy 2in1 hibrid notebookot veszek majd ssd-vel mert - mittomén pl. politikai okokból - pl. Ausztrában kell majd éljek és ott olyan "mobil" életmódot kell folytatnom amihez ilyen kis mobil gép lesz praktikus , akkor azon lehet, hogy a linux majd eleve nem is játszik, mert nem fogja támogatni a benne levő göncöket akkor sem /.

A jövőbelátó varázslathoz használt kristálygömböm sajnos szervízben van, így nem tudok tippelni, hogy mi lesz 2-3-4(?) év múlva. :-))). Most nagyon bizonytalan időket élünk/élek nem is csak IT viszonylatban.

--------

Előállított "Vállalati
Internetszennyező"

Fizetnék annyit, mint átlagban egy vírusirtóért, amit mobiltelefonon, vagy Windows-on használok. És itt nem az ingyenes megoldásokra gondolok.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Már a korábbi krízis idején kiderült, hogy egy ilyen projektet nem lehet néhány mangánszemély jóindulatú egyéni támogatására alapozni. A példát azért írtam, mert a biztonság az valamilyen szinten mégis számszerűsíthető. Ha valaki képes fizetni a vírusirtóért, akkor ilyenért miért nem? Mert GPL? A GPL még nem jelenti azt, hogy szerzetesi esküt tettek. Mint ahogy a Hippokratészi eskü sem arról szól, hogy az orvos ingyen kell gyógyítson. Feldobtam most egy pár labdát, amit le lehet csapni. Persze tovább fűzhetem a gondolatot, de ennyi időm már nincs a debate-re.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Rendszeres utalás nem volt beállítva, de többször adakoztam az évek során. Úgy gondoltam, hogy jó helyre megy. Lehet, hogy többet is illett volna. Adakoztam már a libreoffice-nak is, meg még 1-2 helyre, de sehova sincs rendszeres donáció beállítva. Ha jobban figyeltem volna erre, az sem változtatott volna a mostani helyzeten. Ha mindenki csak annyit donált volna innen a HUP-ról, mint én, akkor talán a hosting egy része már összejött volna.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Ez miért csak a cikkturkálóba került ki? Szerintem ez elég fontos (és magyar vonatkozású) hír.

biztos az én saram, nem vagyok gyakorló blogger, lehet hogy valahol rosszul fogalmaztam, ami nem címoldal-kompatibilis. :-))

szerk.: elég szomorú a "magyar" IT társadalomra / ha már szóba került/ nézve, hogy nekem kellett beküldeni maradjunk annyiban. Mivel én IT-vel szinte már egyáltalán nem foglalkozok jó 10 éve... ;-)

--------

Előállított "Vállalati
Internetszennyező"

Én inkább abban látom a problémát, hogy nagyon beszűkül a tesztelők köre.

Az előfizetéses körben majd mindenki a stabil patcheket fogja használni ehhez nem kell nagy jóstehetség, így a beta kernel patchek utáni visszajelzések szerintem drámaian lecsökkennek majd.

Ennek a hatása most még kevésbé fog érződni, amikor majd a fejlesztők elhagyják a 4.4 ill. a 3.14-es fát, és áttérnek egy újabbra, ez a rejtett "bomba" - ha szabad így fogalmazni - szerintem akkor fog robbanni.

Ugyanis elég néhány kellően rosszul megírt pl. 4.26.x /hasraütöttem :-D/ kernel driver / vagy kernel alrendszer/ a jövőben, és pl. UDEREF úgy csapja le a kérdéses drivert, mint a taxiórát.

A felhasználó aki előfizetésben fizet, az első blikkre ezt grsec/pax regressziónak fogja nézni / "korábbi verzióval ment, most nem megy tipikus esete" + "grsec nélkül vanilla kernellel viszont megy" /, pedig lehet, hogy a példában említett uderef működik úm. "üzemszerűen", csak a driver van olyan borzasztó rosszul megírva, hogy vanilla kernellel látszólag gond nélkül működik, de ha pl. az uderef bejön a képbe, mégsem fog menni. ;-)

Ezek a jelenségek pl. egy hardened gentoo projektnél szerintem még "beta kernel test" fázisban kibuknak / a nagyobb tesztelői kör miatt /, aztán a rosszul megírt driverre jön egy "CVE-***" "null point deref.. :-)" biztonsági bejelentés :-)), meg egy fix a vanilla kernelben nem sokkal később valaki révén, és mire az adott kernel fa bekerül a grsec stabil részbe, az egész probléma nem jelentkezik az előfizető számára.

Egy ilyen bug scsi/ raid alrendszerben, driverben igen durva végkifejletet szülhet.

Ha az ilyen jellegű eseteket /nem tudom mennyire fordul/fordult elő nagy számban, ezt a grsec fejlesztők tudják / egy stabil fizetős konstrukcióban kell azonnal kezelni akár viszonylag nagy számban az már jelenthet üzletileg is problémát szerintem.

Nyilván számoltak a grsec fejlesztők a tesztelői kör jelentős szűkülésével, és ennek következményeivel. Persze ha az ingyenes terjesztői körből az eltelt 2 év alatt nem jött amúgy sem kellő mennyiségű, és/vagy értékű jelentés, akkor nyilván ez nem szempont.

--------

Előállított "Vállalati
Internetszennyező"

Nem elsősorban az archívum a katasztrófa, hanem ez a levél. Az első kb. 2000 karakternyi szövegben 0, de szó szerint nulla érdemi információ volt. (Meg mondjuk nagybetű se nagyon, de ezen már nem is csodálkozok, ekkora szófosás közben elkopna a shift.)

Szóval ez a tl;dr szótári alakja, mert érdekelne ugyan amiről ír, és 2k karakternyi nettó szófosást elolvastam ugyan, de több időmet nem fogom rászánni.

Valaki le tudná írni tömören hogy miről is írt paxteam? (Már azon kívül, hogy rajtuk kívül mindenki hujekocsog, mert ez az itteni kommentekből lejött.)

Szerintem a lényeg az, hogy a GPL kóddal kiterítették a lapjaikat és nem maradt adu a kezükben ami alapot adna arra, hogy erőből tárgyaljanak. Most ugye sértve érzik magukat, hogy a nagy cégek mással implementáltatják a KSPP-be (~mainline-ba) a Grsecurity egyes fícsöreit, mert ők is csinálták volna a pénzért (bár eltartott kisújjal, mert a linux upstream hülyék gyülekezete).

Nem volt működő üzleti modell, de a pénz az kéne. Nem mondom, hogy nem érdemelnék meg, mert tényleg nagyon komoly munka van mögötte, de ki fizesse meg és mire..?

http://openwall.com/lists/kernel-hardening/2017/05/11/9

Lehet, hogy le kéne adni a titokzatos, magányos farkas image-ből, azt' "bejárni" (nyilván wfh játszik) dolgozni, ahogy azt emberek teszik. Innentől kezdve megszűnne a "nagy varázs", csak egy lenne a többi 10 ezer Linux fejlesztőből.

Vannak emberek, akik nem képesek megszabott keretek közt működni. Ez ok, de azt is el kell akkor fogadni, hogy vannak, akik ezen emberek "szolgáltatásaira" nem tartanak igényt.

--
trey @ gépház

>> Lehet, hogy le kéne adni a titokzatos, magányos farkas image-ből, azt' "bejárni" (nyilván wfh játszik) dolgozni, ahogy azt emberek teszik.

Már megint tudatlanul teszel nagyon okoskodó kijelentéseket. Pipacs többet dolgozott munkahelyen alkalmazottként, mint te, úgyhogy megint faszságokat pofázol ismeretek nélkül.

Persze nyilván ő a munkahelyein sem Windows telepítő szakmunkás volt, ahogy te, így nem nagyon tudod felfogni, hogy valaki sikereket ér el nem csak a hobbi projektjével, hanem a főállásában is.

>> Vannak emberek, akik nem képesek megszabott keretek közt működni.

Nagyságrendekkel több kollégája van, aki elismerően nyilatkozik róla, ellenben veled, akit a munkatársai jórésze utál. (Igen, ismerek jónéhányat).

Szóval STFU és ne erőlködj tovább a lejáratásával, összeszorított farpofával...

Tényleg ilyen gyerekes pufogtatásokkal szeretnél elhallgattatni? :D Ez komoly?

"later years didn't change much except for the periods when i was without a job (amounting to over a decade) and thus had more free time on my hand"

Sosem voltam munka nélkül egy percet sem. Nem hogy ennyit. Hogy lesz ebből "többet dolgozott munkahelyen alkalmazottként"?

Az engem utáló "munkatársaimat" nyugodtan küldd oda hétfőn, mondják az arcomba a véleményüket. Gyanítom, hogy egy nem lesz, aki odaáll, majd várom őket szeretettel. Majd mondd nekik, hogy a jelszó "Hunger bohóc küldött".

:D

--
trey @ gépház

>> Hogy lesz ebből "többet dolgozott munkahelyen alkalmazottként"?

Tudom, hogy nehéz a felfogásod, de számos megoldás létezik erre a csoda nagy rejtélyre. Például hogy idősebb mint te.

>> Az engem utáló "munkatársaimat" nyugodtan küldd oda hétfőn, mondják az arcomba a véleményüket.

Tényleg ilyen gyerekes pufogtatásokkal szeretnél elhallgattatni? :D Ez komoly?

Kicsi ám ez az ország, könnyen lehet közös ismerősökbe botlani és mesélnek úgy is, hogy nem kérdezi őket az ember... Pl. hogy a nagy csinnadrattával beharangozott Windowsos certjeidet is alig tudtad anno megszerezni és jóval gyengébb pontokat értél el, mint a kollégáid. De ezt az iptables "mit is csinál ez pontosan" trinity álnicked óta pontosan tudjuk, hogy nem a szakértelmed nagy, hanem az arcod. Pipacsnak pedig a lába nyomába se érsz...

"Tudom, hogy nehéz a felfogásod, de számos megoldás létezik
erre a csoda nagy rejtélyre. Például hogy idősebb mint te."

Önmagában ez kevés az összehasonlításhoz. 90 évesen is lehet valakinek 2 év alkalmazotti munkaviszonya, te ez pontosan tudod. Amit te nem tudsz, hogy nekem hány évem van. Vaktában lövöldözöl szokás szerint.

"Kicsi ám ez az ország, könnyen lehet közös ismerősökbe botlani és mesélnek úgy is, hogy nem kérdezi őket az ember... Pl. hogy a nagy csinnadrattával beharangozott Windowsos certjeidet is alig tudtad anno megszerezni és jóval gyengébb pontokat értél el, mint a kollégáid. "

ROTFL

Az összes vizsgám elsőre sikerült. Konkrétumokat pls.

"De ezt az iptables "mit is csinál ez pontosan" trinity álnicked óta pontosan tudjuk, hogy nem a szakértelmed nagy, hanem az arcod."

Azóta sem jöttél rá a lényegére. Ez a te szegénységi bizonyítványod.

"Pipacsnak pedig a lába nyomába se érsz..."

Szalmabáb.

Sajnos senki sem jött ma ide, hogy mondjon valamit. De nem is vártam mást. Névtelen "informátoraid" (aka. képzelt barátaid) nyugodtan zavarjanak részletekkel, kíváncsi vagyok rájuk. :D

BTW: Tényleg vannak, akik nem szeretnek? Ki a rosseb nem szarja le? A munkahelyre nem barátkozni járok, hanem fizetésért.

Mit szeretnél még bizonyítani ezzel? Ugyanazokat a szar régi lemezeket teszed fel 10 éve. Ha valami kellemetlen téma van, akkor nem a témáról beszélsz, hanem rólam.

BTW: neked milyen barátaid vannak? A pélós képedet biztos a barátaid szerkesztették rólad nem? Mondjuk ez kb. annyira tartozik a topikhoz, mint hogy engem ki szeret és ki nem....

--
trey @ gépház

>Amit te nem tudsz, hogy nekem hány évem van. Vaktában lövöldözöl szokás szerint.

biztos van valami hangzatos neve az önreflexió kóros hiányának

>Az összes vizsgám elsőre sikerült.

yepp, eddig is végighazudtad ezt a topicot, nehogy megtörd a sikerszériát

>Azóta sem jöttél rá a lényegére.

a lényeg alighanem az hogy van amikor a chmod 550 nem elég

>nem barátkozni járok, hanem fizetésért

az elveidet (illetve azok hiányát) már korábban kitárgyaltuk, nem javaslom hogy újra felhozd

>képzelt barátaid
>neked milyen barátaid vannak?

kiviheted a jaszkarit a kisegítőből, de sose viheted ki a kisegítőt a jaszkariból :(

Tehát akkor semmi konkrétum. 13 éves postok, nem létező barátok, "savanyú szőlő" és "véletlenül" kihagyott sorok, amikre kellemetlen lenne reagálni?

A nem létező barátok miért nem beszélnek az elismerésekről, jutalmakról amit kaptam? Vagy azért mert nem léteznek, vagy azért mert nekik sosem jutott?

Topikhoz bármi?

Jelentkeztél már a grsec-hez (szépek a terelési kísérletek, de a téma továbbra is a grsec és a DRÁMA #126362!), mint az első ember, aki sikeresen enforceolta a GPL-t? Hátha hasznodat vennék!

--
trey @ gépház

>Tehát akkor semmi konkrétum. 13 éves postok, nem létező barátok, "savanyú szőlő" és "véletlenül" kihagyott sorok, amikre kellemetlen lenne reagálni?

láthatóan a nickek közötti különbségtétel képességét is sikerült levetkőznöd eme threadben, nemcsak a "kollégák" és "barátok" közöttit

Sad!

Már megint ezek a fránya kihagyott sorok!

A gerinctelen hazug autószerelőnek (<- Bérczi igazság, soha nem dolgoztam autószerelőként egy percet se) véleménye (természetesen hazug!) van a világmegmentő (tm), ultimate solution (tm), mindent elhárító (tm)(r) mitigációs technikáról és ezért a világ legjobb (tekintélyre hivatkozás), legügyesebb, legtalpraesettebb hackereinek (ezek lennétek ti) ezt folyamatosan cáfolni kell.

Miért is?

(PS: az érettségi megvan már? hallottam, hogy voltak gondok az abszolválásával)

--
trey @ gépház

>Miért is?

etetésnek hívják eme szakrális műveletet, és eme session módfelett sikeresnek mondható eleddig

>az érettségi megvan már?

még mielőtt eme kardinális kérdést megválaszolnám hadd kérdezzem meg hogy ez most a szokásos "megyek edzeni" jellegű ultimate threadlezárás volt a repertoárodból, vagy ez az "ultimate oltás" ama nevezetes szociális háttérben amiből származol?

Nincs itt lezárva semmi. Most kezd ez igazán szórakoztató lenni. Válasz gondolom nem lesz. Vagy?

(BTW: Te jössz házhoz az etetéséért, bár elég hülyének kell lenned ahhoz, hogy ezt ne lásd át. Meg ahhoz is, hogy a hozzád hasonló félhülyékből már egy kompett családi házra való jött össze. Majd a végén írok róla egy howtot, hátha másnak is jól jön majd.)

--
trey @ gépház

>Válasz gondolom nem lesz. Vagy?

nade micshausen, te is tudod hogy ebben a "mi volt a jeled kiscsoportban haha" dologban pont az a szép hogy
- bármikor elő lehet szedni
- választól függetlenül jól működik (értve ezalatt azt a szűk célközönséget amelyik ugyanazon típusú poénokra reagál pozitívan mint te)
- az előzőből kifolyólag az igenlő választ is nyugodt szívvel ignorálni lehet, mert máshogy "hallottad", bár a hírhedt szavahihetőségedre néminemű árnyékot vetnek azok az esetek mint például amikor a linux.hu-t szaroztad álnéven az "nem te voltál, többféle téma LOL", az mplayer képviselete "sikertelen", valamint "sose szándékoztam képviselni a grsec projektet" (another lie)
- és utolsósorban én is igazán jól szórakozok ilyen alkalmakkor amikor a boldog tinédzserkort idéző negédes füllentéseidre fallbackelsz

Most komolyan kérdezem, hogy nem frusztrál téged egy kicsit sem, hogy több mint 10 (de lehet, hogy 20) év alatt nem sikerült sem rajtam, sem az oldalon fogást találnod?

Rohadt unalmas vagy, kétszázhuszadik nick mögé bújva cigánykodod vissza magad az oldalra. Nincs olyan szeglete az internetnek, ahol ne köpnének egy hegyeset a nevedre.

Szerencsére nekem nem kell bizonygatnom semmit. Köszönőlevelek, sörre küldött lóvék bizonyítják, hogy elbuktál, de vastagon. :)

--
trey @ gépház

>nem sikerült sem rajtam, sem az oldalon fogást találnod

if u sai soh

>Rohadt unalmas vagy

... mondta a bohóc a nézőnek, nem kis képzavart és értetlenkedést keltve

>Rohadt cigány köpés

azt nem szeretem a diskurzusainkban hogy a végefelé mennyire ki tudsz vetkőzni abból a vékonyka mázból amit a civilizáció hatalmas fáradsággal az évek alatt valahogy rádkent, és aztán ami marad, az csak a jól ismert fegyelmis jaszkari :(

>Szerencsére nekem nem kell bizonygatnom semmit.

ez így van, elvégre egy ilyen késztetéshez becsület és lelkiismeret is szükséges

>Köszönőlevelek, sörre küldött lóvék bizonyítják, hogy elbuktál, de vastagon. :)

gábor ennyi, megint nyertél ugyanis megkavarodtam: nem úgy volt hogy a "képzelt barátok" meme nem rád hanem foreveralone hungira érvényes?

>bizonyítják

úgy érted a többféletrinitys-nemveszimegcégahupot szavahihetőséged legendás erejére támaszkodsz újfent

let's see how it works

Hát fasz tuggya.
Ha valamit paxteam/spender/stb. már megcsinált, akkor nyilván ért hozzá, és valszeg a kódban már elkövetett _és_ kijavított egy csomó olyan hibát, ami ismét elő fog jönni ha valaki más újraírja a kódot. Ez logikus, Joel elég jól leírta.

Szóval érdemes lenne velük csináltatni, még ha adott esetben többe is kerülne, amit nem hiszek. Kérdés hogy miért nem így megy.

Megprobalom en:

1. Tulfizetett linuxbol elok megprobaltak ellopni a cuccunkat - nem hagytuk
2. Elkezdtek fideszpropaganda uzemmodban gyilkolni minket - nem sikerult
3. Szegggeny aldozatnak allitjak be magukat, akiket a csuuunya PaxTeam szora sem meltat <-- itt tartunk epp

Ehhez jon hozza, hogy @trey szerint a paxteam kulon geci mert penzt merne kerni!!!444negy, @szegecs szerint mind zsido geci, a tobbiek meg elvezik a veszekedest.

"véletlenül"

Pedig tényleg véletlen volt.

"tisztáz"

Jaj, mindenki a grsec-et bántcsa, mindenki ellenünk van, mindenki hazudik.

"but I (and many others here) are still very willing and hopeful to collaborate with you. If a financial arrangement is desired, I believe my employer continues to be willing to explore it now just as they have in the past."

Gondolom erre már nem érkezik majd válasz :)

--
trey @ gépház

már meg van válaszolva az előző levélben:


at this point we'd like to make it clear that any statements from
Kees/Greg/etc to the contrary are simply *lies*, neither i nor Brad
have ever been contacted by any of the corporations paying for the
KSPP. since proving a negative is hard, instead hereby we give any
corporate attorney, executive (or any other officer who thinks
that they gave us an offer that we refused) permission to post any
private emails including financial details, contract terms, etc that
prove us wrong.

"neither i nor Brad have ever been contacted by any of the corporations"

^^

+

Mert nem úgy tűnik, hogy összehangoltan tennének kinyilatkoztatásokat a projektről. Az itt idézett levél sem tűnik professzionális kommunikációnak. Persze, ezt lehet tanulni. De egyszerűbb szakemberre bízni.

--
trey @ gépház

Ez egy kernel-hardening levelezőlista. Itt nem kommunikációs szakemberek irogatnak, hanem kernel fejlesztők. Az hogy a Google egyik alkalmazottja elkezdett itt is hazudozni a grsecről és a fejlesztőiről, miközben az egész kernel-hardening projekt lényegében egy grsec ripoff, az nehogy már a grsecet minősítse.

Az persze jól látszik, hogy az átlag hülyeket jól meg tudják vezetni ezekkel a pofátlan kamuzásokkal.

Én csak egy hülye bohóc autószerelő vagyok, így kérlek ne vedd túl komolyan amiket mondok, de a

"i think i'm not the only one to notice that the past two weeks
have been an interesting experience to say the least. ever since
our announcement about the fate of our test patch series we've
been silent but not because we had nothing to say (as you've no
doubt guessed by now, this mail is it). rather, we've used the
opportunity the announcement created to see just what comes out
of the woodwork."

nyúl kiugrasztása a bokorból, tesztelés és társai hozzáállás SZERINTEM nem egy professzionális cég "fegyvertárának" kellékei.

Ja és köszönöm, hogy leereszkedsz oda, hogy beszélgetsz egy hozzám hasonló bohóccal. Ez sokat jelent nekem!

--
trey @ gépház

Az egy professzionális cég "fegyvertárának" kellékei, hogy a közösséget azzal ámítják, a grsec fejlesztők pénzt kaptak a Googletől, miközben még csak ajánlatot/felkérést sem?

De nyilván te tudod hogyan kell az ilyen dolgokat profin menedzselni, ezért is van a HWSW anyagaiban az, hogy felvásárolták a HUP-ot már 5 éve:

https://hup.hu/node/150601#comment-2040614

"Az egy professzionális cég "fegyvertárának" kellékei, hogy a közösséget azzal ámítják, a grsec fejlesztők pénzt kaptak a Googletől, miközben még csak ajánlatot/felkérést sem?"

Fórumpletykákra egy komoly cég nem nagyon reagál.

"De nyilván te tudod hogyan kell az ilyen dolgokat profin menedzselni,"

Én nem tudom Hunger hogyan kell ezeket a dolgokat profin menedzselni és időm sincs rá, ezért ezt már nagyon rég nem én csinálom.

Cserébe: én elégedett vagyok azzal, ahogy az én dolgaim haladnak.

Csak javasolni tudom, hogy ezt olyanra kell bízni, aki ért hozzá!

--
trey @ gépház

"Fórumpletykákra egy komoly cég nem nagyon reagál."

De hogy jön ide a cég? Azt azért érted, hogy nem a grsec mögött álló céget rágalmazzák, hanem egyes fejlesztőit? Ezt az egész grsec céges dolgot egyedül te próbálod idekeverni. Azt még a Google alkalmazottja sem állítja, hogy az Open Source Security Inc. céget megkeresték volna és pénzt adtak neki.

Pontosan. Ez szerintem egy nagyon korrekt hozzáállás.

Az, hogy magánbeszélgetésben megemlíti egy fejlesztő, akinek éppen ingyen segítesz, hogy esetleg akár néhány gombot kaphatsz a munkádért, az falra hányt borsó kategória. Majd ha már az ügyvédek vitatkoznak a szerződések részletein, akkor lehet azt mondani, hogy komoly az ügy, és talán lesz belőle valami.

Az, amit az évek alatt PaXTeam + Brad letettek az asztalra több 10 millió USD értékű. Ehhez képest ők ezt ingyen rendelkezésre bocsátották mindenkinek, és csak annyit várnak, hogy ne nézzék őket madárnak, hogy majd a fizetett Google és egyéb alkalmazottaknak ingyen fognak segíteni integrálni.

Nyilván nem lehet könnyű se PaxTeam-mel, se Brad-dal együtt dolgozni. Leginkább azért, mert nehéz tartani velük a lépést. Az is tény, hogy a legtöbb felhasználót nem érdekli, ha a telefonját nehezebb feltörni, ha emiatt 15 perccel kevesebb az akkuideje, vagy megakad rajta a Facebook.

De ezek mind olyan szempontok, amiket egy jó Engineering Manager meg tud értetni a security fejlesztőkkel (illetve maguktól is tudják, csak néha elfelejtik :) ).

Szerintem ez a fő probléma az egész üggyel: nem volt olyan ember a csapatban, akit mind a fejlesztők, mind a külvilág elfogad, és képes kilobbizni egy értelmes együttműködési stratégiát. Ugyanis egy grsec jellegű projektet nem a Googlenek kéne finanszíroznia (max áttételesen), hanem a Linux Foundation-nek.

"Az, amit az évek alatt PaXTeam + Brad letettek az asztalra több 10 millió USD értékű. "

Kérdés, hogy ez döntéshozókat mennyire érdekli, ebben mennyi megtérülést látnak (ne felejtsd el, hogy az üzletemberek számokban gondolkodnak). A kernel tíz csillió alkotórészének egy _opcionális_ kiegészítése a grsec.

"Szerintem ez a fő probléma az egész üggyel: nem volt olyan ember a csapatban, akit mind a fejlesztők, mind a külvilág elfogad, és képes kilobbizni egy értelmes együttműködési stratégiát. Ugyanis egy grsec jellegű projektet nem a Googlenek kéne finanszíroznia (max áttételesen), hanem a Linux Foundation-nek."

+1

--
trey @ gépház

Természetesen azért basztam a cikkturkálóba (oda való btw.) mert szerepelni akarok. :D Csak azért nem basztam élből a szemétbe, mert valamennyire szórakoztat.

Az LKML-es téma mögé látáshoz meg egy kicsit okosabbnak kellene lenned. Nem vagy te olyan nagy spíler, mint amilyennek tartod magad.

Összekeversz Oscon-nal. Rám nem hatnak a gagyi elmetrükkök.

--
trey @ gépház

Összekeversz Oscon-nal. Rám nem hatnak a gagyi elmetrükkök.

Végül is ki lehet hagyni a szokásos gabu-trey csörtéből, egyébként.
Nincs közöm hozzá. /amúgy nem unjátok még ennyi év után? - költői kérdés volt, bocs / ;-)

Te mindenkinél jobban tudod a naplókból, mennyit járok erre. ;-)

Egyébként majdnem blogbejegyzésnek írtam be, lehet jobb lett volna így utólag, mint a cikkturkáló, mint említettem fent nem vagyok gyakorló blogger (sem).

Ha gondolod/tudod átrakhatod blogba, engem nem zavar.
vagy törlöd. olymind1. A lényeg már szerintem elhangzott.trollkodás is volt. van minden. :-D

--------

Előállított "Vállalati
Internetszennyező"

Oscon,

Arra a rossz gyakorlatra utaltam, hogy aki a grsec-re kritikát mer mondani, arra jön a falka aztán betámadja. Te sem mertél egy rohadt összeget mondani fentebb, mert "jaj, jönnek a fejlesztők". Ne legyél már ilyen szolgalelkű.

Kik ezek? Tán hatóság? Majd engedélyt kérünk - őőő, kitől is? -, hogy megvitassuk?

--
trey @ gépház

Arra a rossz gyakorlatra utaltam, hogy aki a grsec-re kritikát mer mondani, arra jön a falka aztán betámadja.

Összekeversz Oscon-nal. Rám nem hatnak a gagyi elmetrükkök.

Biztos bennem van a hiba, hogy a kettő között nem látom a kapcsolatot, mert ugye itt most ebben a "gabus szál"-ban vagyunk. De hagyjuk. Biztos elmetrükk hatása alatt vagyok ! ;-)))

Én nem akartalak téged "betámadni", ha így érzed, akkor így jártál, most mit mondjak...Én úgy láttam csak az éhessel, meg a gabuval gumicsontoztok. Ez meg nem különösebben érdekel egyikőtök oldaláról sem.

Te sem mertél egy rohadt összeget mondani fentebb, mert "jaj, jönnek a fejlesztők". Ne legyél már ilyen szolgalelkű.Kik ezek? Tán hatóság? Majd engedélyt kérünk - őőő, kitől is? -, hogy megvitassuk?

Szvsz félreértesz. A grsec innentől tisztán üzleti projekt, ekként is kell kezelni.
Nincs ezzel baj, mint mondtam kapitalizmus van, csak akkor felhasználóként is másképp kell picit hozzáállni.

Azzal a furcsasággal, hogy a termék nincs árazva. Ezt én furcsának tartom. Úgy tűnik a terméknek több ára lehet, más magánszemélynek, más intézménynek, stb. Vagyis alku tárgya nyilván.

Ha meg nem, akkor jobb, ha felírnak egy árlistát a honlapra. Itt a termék, ennyibe kerül, vedd meg, vagy ne vedd meg ! Ennyi a stabil patch karbantartással, ennyi a stabil+virt géphez való egyebek patch karbantartással, ennyi a beta patch karbantartás nélkül, ennyi a beta patch LTS kernelre karbantartás nélkül. pl. Ha ez nincs, akkor mégiscsak alku tárgya. :-)

Ha meg alku tárgya, akkor az első összeget mondja az eladó, ne a vásárló !

A termék árának "alkuját" ezért nem nyilvános fórumon kell megvitatni. Vagy legalábbis nincs értelme. Ha te másképp látod, akkor ebben nem értünk egyet és ennyi. :-)

Ez olyan, mintha közölnék, hogy mondjuk lenne 1,5 év múlva half -life 3, és nyilvános fórumon kezdenék el gumicsontozni a népeket, hogy hát te mennyit fizetnél jövőre a játékért ha megjelenik ?

Aztán az eredményt a valve mark. osztály köszöni szépen rátesz 3-5-10%-t és kész is van a termék árazása 1 perc alatt.

Ennyire már azért ne legyen egyszerű. :-))

--------

Előállított "Vállalati
Internetszennyező"

Azert tegyuk mar hozza azt is, hogy a security freak-ek is megerik a penzuket. Szeretnek a falig elmenni, hogy annyira biztonsagos legyen a rendszer, hogy a hasznalhatatlan is legyen egyben.

De legyen egy pelda.
A security freak-ek azok, akik egy gazellara annyi pancelt pakolnak, hogy az oroszlan ne ehesse meg, hogy a gazella mar nem fog tudni tobbet ugrani, sot lepni sem, igy max korbelegeli a fuvet ahol eppen fekszii, mert mar jarni nem nagyon tud a suly alatt, majd ehendoglik. :D

Szoval soha senki nem fogja megcsodalni tobbet ezt a gazellat ugralni es nem adnak eselyt neki elmenekulni az oroszlan elol. Igaz az elete vege ugy is az lesz, hogy elpusztul, de nem mindegy, hogy elotte X-szer elmenekult az oroszlan elol es volt hogy mashol is legelhetett, le tudott menni a tohoz inni, stb, stb. Volt elete. Es gazella volt, aminek a teremtoje szanta.:D

Nagyon sokszor vesztik el az aranyerzekuket egyes emberek.

Nem a grsec-rol beszeltem. Altalanossagban reagaltam arra, ahogy a kollega probalt gunyt uzni abbol, hogy nem megy az altalanos hardening fejlesztese a linux (o binux-nak hivta) kernelben (olyan gyorsan ahogy o szeretne).
Mert lehet, hogy masok a prioritasok. Vagy mashogy kepzelik el a dolgokat. Fene sem tudja. Persze ezen utalkozni lehet, ha valaki azt szeretne. :D

A peldam sem a grsec-re vonatkozott, hanem altalanossagban irtam arrol, hogy van hogy nem a security van eloterben vagy nem azt kell tolni orrba-szajba.
Volt mar olyan, hogy ket hetig nem tudtal dolgozni, mert valaki ugy gondolta inkabb nagyon biztonsagossa teszi a rendszert? Mert en mar belefutottam ilyenbe.
Vagy hogy egy olyan gephez, aminek semmi koze a kulvilaghoz, nem oriz egyaltalan adatot, sot meg szenzitiv adat sem folyik at rajta csak vpn-en multifaktoros authentikacion keresztul tudsz belepni a belso halozatbol? :D

Na errol beszeltem.

Viszont ugy latom, hogy itt mindenki ugrik rogton ha azt hiszi a grsec-et bancsak. Nem, nem bantom. Nem is szoltam hozza a rola folytatott flame-hez. Teljesen mashoz szoltam hozza.

Elolvastam (bevallom, hogy a végét már pörgettem), érdekes.

A chatlogban főleg ő beszél: https://github.com/thestinger, aki az Android-ot próbálja GrSec / PaX-szal házasítani CopperheadOS néven.
Itt ő azt állítja, hogy korábban ajánlott már ő személyesen állást Spendernek, de nem kellett neki (vagy nem tudott eleget fizetni - ez nem derül ki). A Grsec / RAP árára tett utalások is érdekesek. Nyilván ezeket az állításokat nem tudom ellenőrizni, de a másik oldal gondolatait is hasznos megismerni.

Az is érdekes, amit Kees Cook írt PaxTeam levelére a linux-hardening-re, alapvetően "dolgozzunk együtt, a Google kész lenne fizetni", de azért be is szólt eléggé. Hunger válaszára, ami mindezt kontextusba helyezte, már nem érkezett reakció.

Úgy tűnik, hogy a szaktudásukat senki nem vonja kétségbe, de túl nehéznek tartják velük a közös munkát.

Azt is el tudom képzelni a chatlog alapján, hogy hajlandó lenne egy (vagy akár több) cég alkalmazni őket bizonyos feltételek mellett, de ők azt várnák, hogy pl. a Linux Foundation gyűjtsön össze nekik egy nagyobb összeget több cégtől. Erre sajnos a hírnevük miatt kevés esélyt látok, pedig az lenne mindenkinek a legjobb.

Itt ő azt állítja, hogy korábban ajánlott már ő személyesen állást Spendernek, de nem kellett neki

Megpróbálok óvatosan fogalmazni, mert egyébként én kedvelem strcatet, csak még túl fiatal és gyakran meggondolatlan... Az hogy ő állást ajánlott spendernek, nagyjából annyira lehet komoly, mintha trey ajánlana neki itt a hupon. Konkrétan a Copperhead garázscégükkel saját magukat is alig tudják jelenleg eltartani, így nehezen elképzelhető, hogy spendernek egyáltalán bármiféle fizetést tudnának kiszorítani.

Egyébként én is szívesen ajánlok bárkinek állást, az még nem kerül semmibe... :)

Szerinted egyébként a helyzetnek van olyan megoldása, hogy mi (mint egyszeri felhasználók) jól járjunk? Azt meg tudom érteni, hogy Spender + Paxteam nem akarnak elmenni Kees Cook mellé (vagy inkább alá, hiszen "szenioritás" is van a világon...:)) dolgozni a Googlehöz.

Valamiért úgy tűnik, hogy az érintett szereplők (Google, Intel, RedHat ... stb.) nem akarják értékén kifizetni őket. Nekünk nincs olyan budgetünk, hogy meg tudjuk fizetni akár a Grsec-et, akár a RAP-ot. Így marad az, hogy azt fogjuk használni, amit sikerül kiokoskodniuk a kernel-hardening csapatnak a Grsec-ből.

Nyilván, ha vannak tárgyalások, azokról csak akkor fogunk tudni az NDA-k miatt, ha sikerrel zárultak.

A senioritás az még nem is lenne akkora probléma, de a hátulról jövős tempók alkalmazása és manipulatív kommunikáció (aka hazudozás) már annál inkább.
Remélem lesz olyan megoldás, amivel jól jár a közösség is. Mert security expert wannabe-k általi szakértés gyanítom, hogy nem a legüdvözítőbb verzió.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

De, a senioritas is gond lenne. Nem tudom a Google-nel hogy megy, de el tudom kepzelni azt a hierarchikus rendszert, ahol egy hozza nem erto fonok egy nagy corporate-nel elkurna az egeszet, mert o a fonok. Akar akkor is, ha elotte egy evig tok jo volt ott allandos munkavallalonak lenni. Pl. lenne egy noob csapat az Androidban ami valami reklamokhoz szukseges "trackelot" egy csak grsecurity altal blokkolt security hiban (amit sokan nem is ertelmeznenek security hole-kent) keresztul tud hasznalni. Onnantol meg hat a fonok az fonok. Egy atlagos donteshozasi pozicioban levo fonok annyira sem fog erteni hozza, mint turdus baratunk, es neki se lehetett elmagyarazni egy hibarol, hogy miert lehet kihasznalni. Masik jo dolog a corporate-eknel amikor nagyon fontos feature-ok pihennek fel evig a backlogban, mert uzleti szempontbol van surgosebb ami tobb penzt hoz. Alkalmazottkent a folytatas teljesen elkezpelhetetlen a grsecurity csapatnak ahogy minden hasonlo formacionak elkepzelhetetlen lenne.

Itt csak mindket fel szamara elonyos szerzodesekben lehet gondolkodni. A Google csinalja a maga dolgat, a grsecurity is csinalja a maga dolgat mint maganvallalkozas, es amint az egyik nem tetszik a masiknak, az elore megadott feltetelek alapjan felbontjak.

Es gondolom nem a Google volt az egyetlen ilyen ceg, es a legtobbjuknel volt egy fejleszto, aki elmagyarazta, hogy ehhez ingyen is hozza lehet jutni.

https://www.spinics.net/lists/kernel/msg2540934.html

Don't bother with grsecurity.

Their approach has always been "we don't care if we break anything,
we'll just claim it's because we're extra secure".

The thing is a joke, and they are clowns. When they started talking
about people taking advantage of them, I stopped trying to be polite
about their bullshit.

Their patches are pure garbage.

Linus

Off: a systemd-t nem lehetne szintén fizetőssé tenni?

Annak akkor forkolnak az utolso open source valtozatat es csa. Illetve elmeletileg ez megteheto a grsecurity-vel is, gyakorlatilag itt a maintenance es a tovabbfejlesztes is fontos, anelkul nem sokat er. Itt tenyleg az eredeti szerzo tudasat fizeted meg, systemd-nel meg eteren nincs mit megfizetni, sokan tudnanak jobbat irni, csak a Red Hat nem igy latja