Neue Antwort schreiben 
 
Themabewertung:
  • 1 Bewertung(en) - 5 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
oreissig's Unix-Rant
oreissig Offline
Maître Modérateur

Beiträge: 11.991
Registriert seit: Jul 2008
Beitrag #31
RE: oreissig's Unix-Rant
(07.09.2014 13:32)oreissig schrieb:  "more efficient use of physical memory" mag sein, da wärs mal interessant zu sehen wie viel das wirklich ausmacht. wenns jetzt irgendwie 50mb spart kann ich da auch drauf verzichten.
um gleich mal den punkt der embedded-fraktion zu entkräften: nein, darum gehts mir nicht. in embedded systems macht man eh keine softwareverwaltung, da wird einfach das komplette OS-image neu geflasht und gut. bei einer fritzbox updatet man das OpenSSL nicht einzeln.
damit wird software-verwaltung zu etwas, was einmal seitens des Herstellers gemacht wird (und der da auch ruhig hirnschmalz und arbeit reinstecken darf, damit das alles optimal zusammenpasst) und ist nix, was draußen beim Nutzer mit diversesten Systemkonfigurationen reibungslos laufen muss.
(Dieser Beitrag wurde zuletzt bearbeitet: 07.09.2014 14:00 von oreissig.)
07.09.2014 13:59
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
CHRiSNEW Offline
Internetblasensammler

Beiträge: 2.860
Registriert seit: Jul 2008
Beitrag #32
RE: oreissig's Unix-Rant
(07.09.2014 13:44)gandro schrieb:  Nachtrag: Same-Frame-Merging ist nicht standardmässig aktiv. Gibt da da auch Security-Bedenken, da es Sidechannel-Attacken erlaubt (man kann durch Timing-Attacken ziemlich zuverlässig rausfinden, ob bestimmte andere Binaries im RAM sind).

Hast du da ein Paper zu?

07.09.2014 14:10
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
gandro Offline
Quälgeist

Beiträge: 8.950
Registriert seit: Jul 2008
Beitrag #33
RE: oreissig's Unix-Rant
(07.09.2014 14:10)CHRiSNEW schrieb:  
(07.09.2014 13:44)gandro schrieb:  Nachtrag: Same-Frame-Merging ist nicht standardmässig aktiv. Gibt da da auch Security-Bedenken, da es Sidechannel-Attacken erlaubt (man kann durch Timing-Attacken ziemlich zuverlässig rausfinden, ob bestimmte andere Binaries im RAM sind).

Hast du da ein Paper zu?
https://staff.aist.go.jp/c.artho/papers/...suzaki.pdf

Sie haben vom aus einem VM-Guest heraus via Copy-on-Write ziemlich zuverlässig herausfinden können, ob im anderen VM-Gast ein Apache oder Firefox-Binary geladen war.
(Dieser Beitrag wurde zuletzt bearbeitet: 07.09.2014 14:35 von gandro.)
07.09.2014 14:35
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
CHRiSNEW Offline
Internetblasensammler

Beiträge: 2.860
Registriert seit: Jul 2008
Beitrag #34
RE: oreissig's Unix-Rant
(07.09.2014 14:35)gandro schrieb:  
(07.09.2014 14:10)CHRiSNEW schrieb:  
(07.09.2014 13:44)gandro schrieb:  Nachtrag: Same-Frame-Merging ist nicht standardmässig aktiv. Gibt da da auch Security-Bedenken, da es Sidechannel-Attacken erlaubt (man kann durch Timing-Attacken ziemlich zuverlässig rausfinden, ob bestimmte andere Binaries im RAM sind).

Hast du da ein Paper zu?
https://staff.aist.go.jp/c.artho/papers/...suzaki.pdf

Sie haben vom aus einem VM-Guest heraus via Copy-on-Write ziemlich zuverlässig herausfinden können, ob im anderen VM-Gast ein Apache oder Firefox-Binary geladen war.

Danke! Schon krass.

08.09.2014 09:11
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
oreissig Offline
Maître Modérateur

Beiträge: 11.991
Registriert seit: Jul 2008
Beitrag #35
RE: oreissig's Unix-Rant
wobei der anwendungsfall jetzt für ne installation ohne virtualisierung wurst ist, da kann das programm auch einfach ps ausführen um rauszufinden, welche executables geladen sind...
08.09.2014 13:28
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.820
Registriert seit: Feb 2010
Beitrag #36
RE: oreissig's Unix-Rant
(08.09.2014 13:28)oreissig schrieb:  wobei der anwendungsfall jetzt für ne installation ohne virtualisierung wurst ist, da kann das programm auch einfach ps ausführen um rauszufinden, welche executables geladen sind...

Offenbar nicht:
Code:
[0 running job(s)] {history#1455} 14:32:14 2014-09-08
qsuscs@sculptor ~
% pstree
?───tmux─┬─zsh───htop
         └─3*[zsh]
[0 running job(s)] {history#1456} 14:32:15 2014-09-08
qsuscs@sculptor ~
% ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
qsuscs    1412  0.0  0.0 137152  2152 pts/10   Ss   Jul23   0:08 zsh
qsuscs    3398  0.5  0.0 113320  2256 pts/10   S+   Aug05 270:11 htop
qsuscs    8118  0.0  0.0   3944   292 ?        S    Jun05   0:00 multilog t s999999 n20 !/usr/bin/xz /home/qsuscs/var/log/git-daemon
qsuscs   10270  0.0  0.0   3932   296 ?        S    Jun05   0:02 supervise git-daemon
qsuscs   10271  0.0  0.0   3932   296 ?        S    Jun05   0:00 supervise log
qsuscs   13011  0.0  0.0 137232  2268 pts/13   Ss+  Jul28   0:02 zsh
qsuscs   14720  0.0  0.0  28228  3432 ?        Ss   Jul21  30:03 tmux
qsuscs   14721  0.0  0.0 140068  2992 pts/8    Ss+  Jul21   0:05 zsh
qsuscs   15976  0.0  0.0 161124 11928 ?        S    08:00   0:00 /package/host/localhost/php-5.4.11/bin/php-cgi
qsuscs   21306  0.0  0.0   4104   364 ?        S    Jun05   4:08 /command/svscan /home/qsuscs/service
qsuscs   28273  0.0  0.0 139412  2412 pts/14   Ss+  Jul27   0:01 zsh
qsuscs   29089  4.4  0.0 141900  3876 pts/15   Ss   14:32   0:00 -zsh
qsuscs   30677  0.0  0.0 110240  1084 pts/15   R+   14:32   0:00 ps aux
qsuscs   32726  0.0  0.0  16312   592 ?        S    Jul27   0:00 /home/qsuscs/bin/git daemon --port=63913 --base-path=/home/qsuscs/git --listen=95.143.172.183 --listen=2001:1a50:11:0:5f:8f:acb7:d8 --verbose
qsuscs   32729  0.0  0.0  15348   732 ?        S    Jul27   0:00 git-daemon --port=63913 --base-path=/home/qsuscs/git --listen=95.143.172.183 --listen=2001:1a50:11:0:5f:8f:acb7:d8 --verbose /home/qsuscs/git
Da sind definitiv noch andere Prozesse am laufen, die seh ich aber nicht.

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
08.09.2014 13:32
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
gandro Offline
Quälgeist

Beiträge: 8.950
Registriert seit: Jul 2008
Beitrag #37
RE: oreissig's Unix-Rant
(08.09.2014 13:28)oreissig schrieb:  wobei der anwendungsfall jetzt für ne installation ohne virtualisierung wurst ist, da kann das programm auch einfach ps ausführen um rauszufinden, welche executables geladen sind...
In dem Paper präsentieren sie auch nen Experiment wo sie auch eine über HTTPS heruntergeladene Datei erkennen können.

Prozess-Erkennung war das einfachste, weil sich das Mapping der Binaries auf Pages relativ deterministisch verhält, der Angriff lässt sich aber auch für andere Informations-Leaks nutzen. Theoretisch lassen sich Anwendungen knacken die darauf basieren dass Daten im nur im virtuellen Addressraum der Applikation lesbar sind, jedoch nicht von anderen Prozessen aus.

Nachtrag: Rein von der Angriffsidee her könnte ich mir sogar ein Experiment vorstellen wo man so eine Attacke via Javascript ausführt. In der Praxis vermutlich schwierig zu kontrollieren, aber wäre Prozess-Probing dann wieder ein ernsthaftes Problem.
(Dieser Beitrag wurde zuletzt bearbeitet: 08.09.2014 13:45 von gandro.)
08.09.2014 13:41
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
oreissig Offline
Maître Modérateur

Beiträge: 11.991
Registriert seit: Jul 2008
Beitrag #38
RE: oreissig's Unix-Rant
das NixOS klingt zwar in der tat gut, aber ist wieder so ein obskures Nieschending wie PC-BSD, wo es eben nich die große breite Palette an aktueller Software gibt. Ist also auch keine fertige Lösung für den Desktopnutzer.

Je länger ich mich in Docker einlese, umso besser klingt das eigentlich. Ist zwar weder eine Lösung für den Endanwender noch eine Lösung für den Desktop, aber um serverkrams deployt zu bekommen ist das der heilige Gral. Isoliert, versioniert, reproduzierbar, leichtgewichtig und distributionsunabhängig. "Mein Service will Debian" fein dann kriegt er ein debian-userland, "dieser enterprise-foo läuft nur auf Redhat", okay nehm ich das von CentOS. So stell ich mir Linux-Software vor.
(Dieser Beitrag wurde zuletzt bearbeitet: 23.11.2014 23:35 von oreissig.)
23.11.2014 23:33
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
3-R4Z0R
Unregistered

 
Beitrag #39
RE: oreissig's Unix-Rant
Etwas, was ich jetzt auf der Arbeit lieben gelernt habe, ist Alt+Verschieben bzw Alt+Resize im Xorg. Wenn es doch nur was in der Art unter Windows gäbe, was auch wirklich funktioniert... Alt ist nämlich schon doppelt und dreifach belegt.

RHEL 7 oder was es ist, läuft hier. Darauf verwende ich Cadence und Matlab.
25.11.2014 13:36
Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste