Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки"	+/–
Сообщение от opennews (ok), 17-Янв-24, 22:04
В UEFI-прошивках на основе открытой платформы TianoCore EDK2, обычно используемых на серверных системах, выявлено 9 уязвимостей, получивших собирательное кодовое имя PixieFAIL. Уязвимости присутствуют в сетевом стеке прошивок, применяемом для организации сетевой загрузки (PXE). Наиболее опасные уязвимости позволяют неаутентифицированному атакующему организовать удалённое выполнение своего кода на уровне прошивки в системах, допускающих PXE-загрузку с использованием сети IPv6... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60449
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от C00l_ni66a (ok), 17-Янв-24, 22:04	–2 +/–
Ждём маминых советчиков переписать на безопастный. Правда, само переписывание в ближайшие цать лет не свершится.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #8, #15

2. Сообщение от амоним (?), 17-Янв-24, 22:07	+9 +/–
да тут просто флеш рояль...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10, #41

3. Сообщение от амоним (?), 17-Янв-24, 22:08	+/–
не, лучше переполнение, вверх, вниз, вбок, и с переворотом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (-), 17-Янв-24, 22:49	+6 +/–
> да тут просто флеш рояль... Точнее флеш фирмварь. Но примерно то же самое в случае UEFI
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #60

8. Сообщение от Аноним (-), 17-Янв-24, 23:34	–4 +/–
> Ждём маминых советчиков переписать на безопастный. Разумеется не нужно переписывать. Просто наслаждайтесь дыренями, стабильными еще с 80х годов прошлого века. Чтобы было как у дидов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Аноним (-), 17-Янв-24, 23:50	+2 +/–
дыряшечное бинго
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (11), 17-Янв-24, 23:57	–5 +/–
а вот был бы раст! > переполнение буфера
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (-), 17-Янв-24, 23:57	+3 +/–
> на основе открытой платформы TianoCore EDK2 Это кстати, эта штука не сильно и новая. Интел ее открыл в 2004 году и подарил сообществу. За 20 лет тысячи глаз и лучшие погромисты Сообщества™ старались и выдавливали из себя код. Итого 3 переполнения буфера, 2 бесконечных цикла, 2 использования предсказуемых "типа случайных" чисел И мелочь типа утечки данных из области вне буфера, underflow и тд А как же так получилось? Хм.... tianocore  C 76.3% Молодцы потомки! Не посрамили честь дидов, закладывающих уязвимости в х11 еще в 88 году!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #65

15. Сообщение от Аноним (-), 18-Янв-24, 00:15	+2 +/–
> Ждём маминых советчиков переписать на безопастный. Правда, само переписывание в ближайшие цать лет не свершится. Т.е вариант "писать без типичных ошибок" даже не рассматривается? Ну типа обмазать все что можно стат анализаторами, применить фаззинг, добавить проверки переполнений. UEFI не требует супер быстрых вычислений, будет оно загружаться за 1 или 2 секунды, никто и не заметит. Но почему за 20 лет никто даже не почесался? у них там заявленно что есть тесты и 1381 passed, 65 skipped, но что-то это не помогло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #33

16. Сообщение от Анонимус3000 (?), 18-Янв-24, 01:35	+/–
Не зря гугля в своих материнках в ДЦ использует coreboot
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

17. Сообщение от амоним (?), 18-Янв-24, 01:41	–1 +/–
гугля старается писать на богомерзком расте. куда им до настоящих сишников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22

18. Сообщение от Аноним (18), 18-Янв-24, 02:25	+1 +/–
Красиво пошли.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 18-Янв-24, 07:40	+/–
А qemu проблеме подвержена? OVMF вроде бы тоже на EDK2 основана.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #66

22. Сообщение от Аноним (22), 18-Янв-24, 08:58	+1 +/–
В том то и дело что старается, но ничего не напишет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #24, #27, #94

23. Сообщение от Аноним (22), 18-Янв-24, 08:59	+/–
А кого там ломать самого себя?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (24), 18-Янв-24, 09:10	+3 +/–
>В том то и дело что старается, но ничего не напишет. Так делают все, кто пытался писать на расте!  ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Брат Анон (ok), 18-Янв-24, 09:22	+1 +/–
Вариант тупо не использовать UEFI, всё-равно он не может быть безопасным из-за потери контроля управляемости не рассматривается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #32

27. Сообщение от нах. (?), 18-Янв-24, 10:17	–2 +/–
> В том то и дело что старается, но ничего не напишет. не, ну как же - пятнадцать прослоек к прокладкам уже написал. шитотатам "80% новаго кода в ведроид"...стоп, а какой такой НОВЫЙ код есть вообще в ведроиде? Очевидно не код ведра линукса, гугль его не считает "кодом ведроида", так, само приползло. Что там такого меганужного и полезного понаписано за последние пять версий? Ну вот этого ничего - 80% нахрустели. Но инвесторы в таких тонкостях не разбираются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28, #92

28. Сообщение от Аноним (-), 18-Янв-24, 10:29	+/–
Ну так речь же про новый код андройдов, а не ядра. Ядро оно дыряшечное - там фанатиков и растохейтеров хватает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #30

29. Сообщение от Шарп (ok), 18-Янв-24, 11:20	+1 +/–
>Languages   >C 76.3% Это был вопрос времени. Выделить буфер фиксированного размера, а потом записать туда данные превышающие этот размер, стало притчей во языцех.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

30. Сообщение от нах. (?), 18-Янв-24, 11:55	+/–
речь идет про новое никому ненужно. Причем объемы этого нового ненужно - микроскопические, нет в ведроиде никаких мегадостижений за последние годы (и хвала Всевышнему). Но вам главное ж прокукарекать и красивую цифирь показать. А при попытке делать что-то полезное - опять эскопета с кривым стволом только и выходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

31. Сообщение от Аноним (31), 18-Янв-24, 12:15	+/–
> для организации сетевой загрузки (PXE). Наиболее опасные уязвимости позволяют неаутентифицированному атакующему организовать удалённое выполнение своего кода на уровне прошивки интересно, много ли серверных позволяют попасть неаутентифицированному пользователю во внутренний периметр, где происходит загрузка по PXE?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

32. Сообщение от Аноним (-), 18-Янв-24, 12:26	+1 +/–
А толку? Берем тот же coreboot - и видим там CVE-2022-29264 - arbitrary code execution , с рейтом 9.8 Жило с версии 4.13 до 4.16. Так что победить можно только вводя какие-то стандарты на тестирование и надежность. Например сделать обязательными тесты и стат анализ. Не прошли - значит ты не мерджишь, пока не исправишь. Может предложенный закон об ответственности продаванов, за используемый код, как-то сдвинет подход "х-к-х-к и в продакшн, код ваv as-is in-ass"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #36

33. Сообщение от YetAnotherOnanym (ok), 18-Янв-24, 12:54	+/–
> Т.е вариант "писать без типичных ошибок" даже не рассматривается? У "мамкиных советчиков" - никогда. Они раз и навсегда отказались от варианта "писать без ошибок", признав свою прирождённую неспособность правильно расчитывать размеры буфера, помнить об освобождении памяти и так далее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

34. Сообщение от mblp (??), 18-Янв-24, 12:55	+/–
полно таких, возьми любой хостинг ДЦ, везде есть возможность загрузить дедик по сети в рескуе ос
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35, #37

35. Сообщение от нах. (?), 18-Янв-24, 13:44	+/–
вот и не бери помойкохостинги в помойкодц. Там где мои коробочки тарахтят - ничего подсунуть между гейтом и твоей коробкой не получится. Еще от тыщи и одной болячки помогает. А не фильтровать траффик разных клиентов друг от друга - ну могут позволить себе либо очень глупые, либо владельцы собственной площадки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #39, #54

36. Сообщение от Аноньимъ (ok), 18-Янв-24, 13:45	–1 +/–
Для критических к безопасности вещей писать на голой сишке - это шиза. Хоть с анализатором хоть без. Если использование какой-нибудь ады раста или хаскеля не рассматривается, то в крайнем случае пишется свой собственный велосипедный кодогенератор, который проверки на всё что можно вставляет сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #40, #72

37. Сообщение от Аноним (31), 18-Янв-24, 13:46	+/–
тупой вопрос: и даже vlan не спасёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

39. Сообщение от Аноньимъ (ok), 18-Янв-24, 13:47	+/–
> ничего подсунуть между гейтом и твоей коробкой не получится Как реализуете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #44

40. Сообщение от нах. (?), 18-Янв-24, 13:47	+/–
> Для критических к безопасности вещей писать на голой сишке - это шиза. да, надо сразу на markdown "программировать". Это безопастно! > Если использование какой-нибудь ады раста или хаскеля не рассматривается код начальной инициации аппаратуры. На хаскеле. Успехов. Чао. Увидимся лет через пятьсот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #43

41. Сообщение от Аноньимъ (ok), 18-Янв-24, 13:49	–1 +/–
На автомате выпадает С С С С, музыка, звон монет, вы выиграли Джек-Пот!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

42. Сообщение от нах. (?), 18-Янв-24, 13:49	+/–
не напасешься. Но port isolation - таки да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #51, #55, #56, #57

43. Сообщение от Аноньимъ (ok), 18-Янв-24, 13:50	+/–
Та не в коде инициализации аппаратуры ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #45

44. Сообщение от нах. (?), 18-Янв-24, 13:51	+/–
port isolation широковещательный траффик просто никуда не дойдет кроме маршрутизатора (поэтому перехватить начальный бродкаст не получится), целевой дойдет - но через маршрутизатор, а это палево да и фильтры там. Незачем пользовательским коробкам между собой общаться. Ничего хорошего они все равно таким путем не передают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

45. Сообщение от нах. (?), 18-Янв-24, 13:52	+/–
ну давай половину начального загрузчика напишем на си, а вторую на хаскеле. Удачи, все через те же лет 500. Как раз и eeprom'ом на терабиты подвезут, чтоб оно как-то могло там поместиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #46

46. Сообщение от Аноньимъ (ok), 18-Янв-24, 14:07	+/–
Хаскель кстати в сишку компилируется, никакой спец магии ненужно для этого. Размеры бинарников то отдельная тема, не нравится хаскель, других вариантов куча. Во Фре вон вообще бутлоадер на луе написали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #49, #69, #73

47. Сообщение от kusb (?), 18-Янв-24, 14:13	+1 +/–
Нужно было использовать Эльбрус ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #93

49. Сообщение от нах. (?), 18-Янв-24, 14:29	+1 +/–
сперва надо чтоб образовалось ЧТО компилировать - и именно в этом месте тебя ждут некоторые сложности. > Во Фре вон вообще бутлоадер на луе написали. ниасилив разобраться в прежнем, который был на форте. (но учти, что таки форт _специально_ придумывали для бутлоадеров и прочих незамысловатых вещей поближе к голому железу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

51. Сообщение от Аноним (31), 18-Янв-24, 15:20	+/–
точно, про него забыл, спасибо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

54. Сообщение от Tron is Whistling (?), 18-Янв-24, 17:01	+/–
Не, ну не изолировать клиентов, а особенно не изолировать сеть управления - это вообще очень странно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #59

55. Сообщение от Tron is Whistling (?), 18-Янв-24, 17:02	+/–
Да почему не напасёшься-то? Более 4000 портов на свитч? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

56. Сообщение от Tron is Whistling (?), 18-Янв-24, 17:03	+/–
Мы даже с port isolation не заморачиваемся - тупо влан на порт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #58

57. Сообщение от Tron is Whistling (?), 18-Янв-24, 17:04	+/–
В случае VPS - VLAN на VPS. Всё управление естественно отдельно ходит, туда вообще ничего и никак не подсунешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

58. Сообщение от нах. (?), 18-Янв-24, 18:12	+/–
> Мы даже с port isolation не заморачиваемся - тупо влан на порт. а дальше? Выделять на каждое корыто отдельную адресацию и отдельно маршруты - п-ц, собирать потом вланы кучкой на один svi - здравствуй proxy arp когда не ждали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #62, #63, #64

59. Сообщение от нах. (?), 18-Янв-24, 18:13	+/–
pxe - это не сеть управления, это сеть клиента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #61

60. Сообщение от Аноним (60), 18-Янв-24, 18:45	+2 +/–
а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают его без дополнения ipxe
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #67, #68

61. Сообщение от Tron is Whistling (?), 18-Янв-24, 19:49	+/–
ЩАЗ. Не, если бареметал клиент хочет PXE с откуда попало - его право. Изоляция портов тут не спасёт. А если речь о загрузке аппаратной ноды с PXE - клиенты которые попадут на эту ноду, вообще не в курсе, откуда оно загрузилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Tron is Whistling (?), 18-Янв-24, 19:51	+/–
Ды ладно, всё не так плохо и сложно. Отдельная адресация и отдельные маршруты делаются, факт. Зачем вланы на один SVI собирать? /31, и никаких проксиарпов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #71

63. Сообщение от Tron is Whistling (?), 18-Янв-24, 19:53	+/–
Есть варианты и без /31, есть варианты с /32 unnumbered, там тоже изоляция by default, да и собирать особо ничего не приходится, и проксиарпа нет. Для клиентов, которым нужна распределённая сеть - есть транзитные диапазоны UNI, которые с одинаковым NNI приводятся на все роутеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

64. Сообщение от Tron is Whistling (?), 18-Янв-24, 19:54	+/–
Для совсем любителей есть VPLS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #70

65. Сообщение от Аноним (65), 18-Янв-24, 19:54	–1 +/–
Практически всё Сообщество (89% согласно отчётам board_status) использовало SeaBIOS в качестве коребутовского дополнения, а не Tianocore. И правильно делало! ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

66. Сообщение от Аноним (65), 18-Янв-24, 19:56	–1 +/–
в QEMU коребутовский образ тоже с SeaBIOS'ом идёт вместо UEFI-жирноты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

67. Сообщение от Аноним (-), 18-Янв-24, 19:58	–2 +/–
> а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у > него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают > его без дополнения ipxe КМК его пишут все же не настолько ушибленные индусские коты. Если просто посмотреть бутлог линуха на типовой ГУАШи - например - парсинг ACPI таблиц - то видно что ГУАШ и его таблицы хреначили в состоянии расширенного сознания, не иначе. Или не приходя в сознание вообще, черт их там разберет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

68. Сообщение от Аноним (-), 18-Янв-24, 20:07	+/–
> а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у > него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают его без дополнения ipxe "а вот опенсорсный БИОС" ? Так эта штука и так опенсорсная уже 20 лет? А у coreboot есть свои уникальные, неповторимые дырки) CVE-2022-29264 - arbitrary code execution с 4.13 по 4.16 Но
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #74

69. Сообщение от Аноним (69), 18-Янв-24, 20:10	+/–
> Хаскель кстати в сишку компилируется, никакой спец магии ненужно для этого. > Размеры бинарников то отдельная тема, не нравится хаскель, других вариантов куча. > Во Фре вон вообще бутлоадер на луе написали. Встретились 2 очень всех нужным штуки как-то, и стали меряться - кто же из них человечеству нужнее? Человечество ушло вперед, а они так и остались спорить дальше. Где-то там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

70. Сообщение от нах. (?), 18-Янв-24, 20:12	+/–
и чем оно нам тут поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #78, #79

71. Сообщение от нах. (?), 18-Янв-24, 20:14	+/–
> Ды ладно, всё не так плохо и сложно. > Отдельная адресация и отдельные маршруты делаются, факт. > Зачем вланы на один SVI собирать? /31, и никаких проксиарпов. то есть ПОЛОВИНА адресов багровой шляпой накрыты? Ну...ок... А можешь отсыпать /23, по братски? А то я тут плачу за /28 совершенно нев...нные деньги, а у тебя, смотрю, лишинх-то дохрена?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #75, #76

72. Сообщение от Аноним (73), 18-Янв-24, 22:41	+/–
А на чем писать? Ты со своим с# мозг что ли высушил? Какой хаскель? Ты видимо на нем ничего серьёзного не писал. Нужно тестирование усилить, фазинг, сделать обязательным использование санитайзеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #98, #100

73. Сообщение от Аноним (73), 18-Янв-24, 22:42	+/–
> Хаскель кстати в сишку компилируется, никакой спец магии ненужно для этого Ты потом в этом коде разбираться будешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #77

74. Сообщение от пох. (?), 18-Янв-24, 22:52	+/–
вынипанимаити - ета другое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:00	+/–
/23 не могу, /30 запросто. Невдолбенные деньги - это сколько? Десять баксов в месяц?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #80

76. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:00	+/–
Ну это для металла же. Где-то даже /30, а не /31. VPS конечно сидят на /32 в аннамбередах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #81

77. Сообщение от пох. (?), 18-Янв-24, 23:01	+/–
Погоди-погоди, а мы зачем на хаскель-то собрались переписывать?! Никто не может разобраться - нет и увизгвимостей, шах и мат, кульхаксоры! Правда все недосуг поинтересоваться - владельцы инфры pgp keyservers таки осилили залатать феерическую дыру в коде на ocaml? Или до сих пор в позе "ну прочитать-то этот код мы могем, все буковки вроде понятные, вот угадать слова пока плохо получается" ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

78. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:01	+/–
Оно тоже про изоляцию, на самом-то деле. Порты ходят с меткой, и никого, кроме клиента, в них нет. Где-то оно вываливается на всю клиентскую /28-/29 в BVI, и уже оттуда уходит наружу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

79. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:02	+/–
Это конкретно в тех местах, где свитчей либо ещё нет, либо уже нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

80. Сообщение от пох. (?), 18-Янв-24, 23:06	+/–
мля, ну куда мне совать твой /30 ? Мне надо что-то что можно хотя бы попросить анонсить хороших (нет) ребят. > Невдолбенные деньги - это сколько? Десять баксов в месяц? мля... как бы это так сформулировать... ааааа, да хрен с ним - как тебе нравится /24 IP subnet (254 usable IPs) € 435.20 monthly / € 659.00 setup (эх... кажется, мои шансы что-то поиметь нахаляву теперь равны нулю) P.S. я надеюсь ты понимаешь почему 254 и что это означает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #84, #85

81. Сообщение от пох. (?), 18-Янв-24, 23:09	+/–
но зачем? У вмвари все в порядке с port isolation, "это бесплатно". Еще и promisc включить на виртуальном интерфейсе никто не даст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #82, #83

82. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:11	+/–
Но зачем, если проще положить клиента в совершенно изолированную подсеть "насквозь", не полагаясь на софт? И промиск включать бесполезно, даже если у него собственное железо. Ну а в виртуалках никто не даст, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #91

83. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:13	+/–
Я кстати могу предположить вариант, при котором клиент даже промиск в своём влане в вм может получить и поюзать, всё равно ничего, кроме летящего в этом влане, он не увидит, но пока что никто не просил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

84. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:16	+/–
Ну что это означает. Да ничего не означает, если не PI. Всё так же будешь гоняться через единственный аплинк. Речь вроде про конские деньги за /28 шла? А за /24 435 в месяц - это очень даже нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #90

85. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:23	+/–
Мы конечно в этом плане беднота уже. /24 и шире вообще не даём, максимум /28. /27 только по особому запросу и особо крупным. Хотя в прошлый раз целую пачку /30 отдали особо крупному клиенту, спецзаказ. Я плакал кровавыми слезами, но ack'нул.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #86, #88

86. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:25	+/–
(это не значит, что один клиент в теории не может себе нажрать /30 на целую /25 например через 16 портов, но это с учётом портов выйдет достаточно дорого)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #87

87. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:26	+/–
/26 то бишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

88. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:28	+/–
Ну и за шмот поясню: у нас NAT до сих пор кроме как на мобилке - нет нигде. Феерично, но факт. Поэтому риходится экономить даже имея резервы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #89

89. Сообщение от Tron is Whistling (?), 18-Янв-24, 23:29	+/–
Yes, даже у массы физиков нет NAT :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

90. Сообщение от пох. (?), 18-Янв-24, 23:30	+/–
мне не нужен PI, мне нужна возможность анонсить блок не с твоих железок, чего неясного-то. Для этого нужен блок приличных размеров, а AS мы и твою предъявим, я же говорю что они не совсем "хорошие" пацаны. Сервер-то я двигать никуда не буду, он нетранспортабелен. Те вот чо, жалко, когда ты по /30 на одного вшивого клиента с физическим тазиком выкидываешь? У тебя там этих ненужных /23 должны сотни пропадать просто так, на вланах per client, и наверняка есть запас на годы вперед. Ну чо тебе, одной жалко, даааа? /28 это € 27.20 monthly / € 59.90 setup (да вы там уху ели?! Чтоб я столько за пять секунд работы получал!) и с тем же нае.. "14 usable" - т.е. ты и ЕЩЕ за одну /30 заплатишь, падла бохатая, одного адреса ей вишь мало. У меня старый сервер, где не было этого "setup", но в результате я ничего поменять там не могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #95

91. Сообщение от пох. (?), 18-Янв-24, 23:39	+/–
> Но зачем, если проще положить клиента в совершенно изолированную подсеть "насквозь", не > полагаясь на софт? а зачем нужен такой микроменеджмент? Где я это делал - швыряли /24 на пару стоек, считать проще по цельным октетам, и не парились. "следи же, чтоб число их было нечетным" Клиент всвитча все равно ничегошеньки лишнего не увидит. (ну да, с клиентами таки хотевшими видеть, грусть, печаль, миграция в отдельную стойку с другими конфигами - но это была старая вмварь, еще до пришествия nsx. В отдельной стойке был виртуальный nexus с полноценной лицензией.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

92. Сообщение от Аноним (92), 19-Янв-24, 01:57	+/–
> шитотатам "80% новаго кода в ведроид" звиздишь как Троцкий. Не с той стороны проценты взял, там было 21% (год назад) > а какой такой НОВЫЙ код есть вообще в ведроиде? там ниже частично перечислено, если тебе _ПРАВДА_ интересно (но тебе же этого не надо, тебе набросить): "...In Android 13, about 21% of all new native code (C/C++/Rust) is in Rust. There are approximately 1.5 million total lines of Rust code in AOSP across new functionality and components such as Keystore2, the new Ultra-wideband (UWB) stack, DNS-over-HTTP3, Android’s Virtualization framework (AVF), and various other components and their open source dependencies..." но куда-а-а-а-а там этим хэлловолдам до твоей "Мега Крутой СуперПрограммы Контроля Всего мира"(ц), написанной на Си. > Очевидно не код ведра линукса, гугль его не считает "кодом ведроида" Не боись, они мечтают и туда залезть: "With support for Rust landing in Linux 6.1 we’re excited to bring memory-safety to the kernel, starting with kernel drivers." Тебе от раста не сбежать, уа-ха-ха-ха-ха!!!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #97

93. Сообщение от Аноним (92), 19-Янв-24, 02:02	+/–
Как ты гору используешь? Будешь сбрасывать нерадивых разработчиков с вершины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #96

94. Сообщение от Аноним (92), 19-Янв-24, 02:08	+/–
Офигенно получается. Так им понравилось это дело, что заявляют о стремлении всё больше отказываться от си/плюсов в пользу раста: "What’s next? Migrating away from C/C++ is challenging, but we’re making progress. Rust use is growing in the Android platform, but that’s not the end of the story. To meet the goals of improving security, stability, and quality Android-wide, we need to be able to use Rust anywhere in the codebase that native code is required. We’re implementing userspace HALs in Rust. We’re adding support for Rust in Trusted Applications. We’ve migrated VM firmware in the Android Virtualization Framework to Rust. With support for Rust landing in Linux 6.1 we’re excited to bring memory-safety to the kernel, starting with kernel drivers. As Android migrates away from C/C++ to Java/Kotlin/Rust, we expect the number of memory safety vulnerabilities to continue to fall. Here’s to a future where memory corruption bugs on Android are rare!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

95. Сообщение от Tron is Whistling (?), 19-Янв-24, 09:54	+/–
> /28 это € 27.20 monthly / € 59.90 Абсолютно нормально. Я бы сказал даже дёшево, у нас recurring дороже. Правда без сетапа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

96. Сообщение от пох. (?), 19-Янв-24, 11:27	+/–
да там у самих вершин полого все, далеко не улетят. Можно просто их там бросать - побродят-побродят, да и околеют. -50 с ветрищем под сотку - нормальная погода, да и деваться оттуда особо некуда. Но это зимой. До конца мая надо успеть закрыть таск.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

97. Сообщение от нах. (?), 19-Янв-24, 12:13	–1 +/–
> ...In Android 13, about 21% of all new native code (C/C++/Rust) is in Rust ведроид представляет собой линукс с кучкой прослоек и прокладок. И jvm краденую у орацла поверх. Какой такой еще "new native code" принадлежащий гуглю в нем есть? И не надо мне цитировать, глупый  попугайчик, то, о чем ты не знаешь, что это. А, во, dns-over-http3 ? В нем аж 21 процент понахрустели? Т.е. все это и есть хеловроты причем в области прослоечек и прокладочек, ненужных примерно никому и низачем или вовсе вредных. Гуглю нечем занять своих обезьянок, не умеющих в системное программирование. Но признавать это гуглевые пмы очень не любят, могут и уволить. > Не боись, они мечтают и туда залезть: они "excited". То есть на радостях обмочили штанишки. Писать они ничего кроме прослоек и прокладок не будут, потому что во-первых уже некому там давно, во-вторых и главных не для того шва...6епшплатноевзятьвзять чтоб потом самим в это вкладывать ресурсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

98. Сообщение от Аноньимъ (ok), 19-Янв-24, 15:31	+/–
> А на чем писать? Ты со своим с# мозг что ли высушил? На Лиспе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

100. Сообщение от Аноним (-), 20-Янв-24, 08:22	+/–
На Vlang, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема