спустя несколько часов до тебя дошла суть беседы. ну слава богу. теперь давай думать. архитектура оси говоришь важна. ок, важна. возьмем к примеру линупс. есть native приложение. ну а мы же знаем, что нэйтив приложения пишутся в основном на таких языках как C, C++. особенно в линупсе. каждый, кто писал на этих языках(ОСОБЕННО НА СИ!!!) знают, что они чреваты не очевидными ошибками(не языки, программы на них), которые можно заюзать. есть приложения выполняющиеся в ВМ. пишутся они на таких ЯП как Java, Scala и пр. в этих языках реализованы гарбич коллекторы, нельзя напрямую распределять память, обращаться к системным апи. это избавляет от ряда ошибок. из этого следует, что количество уязвимостей в приложениях, которые выполняются в ВМ ограничено количеством уязвимостей в этой ВМ. в то время как количество уязвимостей в native приложениях вообще ничем не ограничено. ВМ же является нейтив приложением. таким образом мы получаем 1 бажную программу против неограниченного числа бажных программ. где криво написана JVM? покажи мне. я уже которую страницу конструктивно выражаю свои мысли, а ты брызгаешь слюной. дай хотя бы какие то подтверждения своим словам. вдруг я могу ошибаться. тогда я буду рад, если меня выведут из этого заблуждения.
Еще раз - до меня то дошла суть беседы твоей с первого твоего поста. Но до тебя ни как не дойдет суть темы в которую ты залез! Перечитай раз 10. Может дойдет. Когда дойдет - приходи, спрашивай что не понятно. Тогда я возможно буду на твои вопросы отвечать. В первую очередь ответь : О чем речь в теме?
я прекрасно осведомлен о теме беседы. по теме я ответил в #54. то, что ты задвигал про андроид и отсутствие ВМ я тоже читал. так что у меня все в порядке.
ТОгда к чему твой высер был? Здесь речь идет конкретно о мобильных устройствах! если хотелось поговорить в общем о принципах работы ВМ и нативных приложениях то можно было просто создать соответствующую тему. И на протяжении вего тупого спора я пытаюсь тебе объяснить что речь идет именно о смартфонах и реализации ПО под них.
какая разница под что реализовывать ПО? на мой вопрос, который ты понял - ответил высером в сторону явы. сей час же ты пытаешься соскочить с темы придумывая нелепые отмазки.
Наша песня хороша, начинай сначала.... )))) Какие отмазки? Ты реально ебнутый. Тебе 300 раз уже говорили - тема о мобильных устройствах и конкретно ПО под них. Если ты не видишь разницы и отличительных особенностей от ПО под мобильные устройства или под стационарные - то это еще один показатель твоей ебнутости. Если ты не знаешь (а ты не знаешь, учитывая твой предыдущий опус на счет безопасности ВМ) особенности уязвимостей в Ява-движке - то это еще твоя ебнутость! Эксплуатируется уязвимости как раз в самой Явамашине, а не в приложениях. нам не нужна уязвимость в приложении запущенном в ВМ. Мы сами пишем приложение которое выебет ВМ. Так что иди спать, завтра чтоб в школу не проспал.
ты не компетентен. и по сути ничего не говоришь. примеров не приводишь. под мобильные устройства могут быть как нативные приложения, так и приложения работающие в ВМ. принципы всегда одни и те же. отличаются детали. ты хоть слово по существу скажешь? о какой именно явамашине идет речь? о каких именно уязвимостях?
ты читать вообще умеешь? ведь ясно же говорю, что используют баги в самой ВМ. это уже начинает бесить. такое впечатление, что со стеной общаюсь. я ему все по полочкам раскладываю а он в ответ пустые слова.
Скажу. ТОлько после того, когда ты все таки поймешь что речь шла о том что: говорилось о реальных современных разработках используемых публично. И на данном этапе в мобильных устройствах ВМ в исполнении гугль имеют ужасную реализацию в области безопасности, да и в области ресурсопотребления. Нативное приложение будет всегда быстрее работать. Вот об это речь. Это понял?
это первый твой относительно вменяемый пост. но если выкинуть все ненужное(ну при чем здесь производительность?) останется только: с этой точки можно продолжать разговор. в чем же заключается ужасность? только без пустозвонства, по сути.
я хз как это еще сильнее декомпозировать. имеется два множества A и B. А - это множество уязвимостей в нэйтив приложениях. В - это множество уязвимостей в приложениях бегающих в ВМ. так вот размерность множества А является суммой количества уязвимостей во всех нэйтив приложениях. а размерность множества В равна количеству уязвимостей всего в одной программе - ВМ. плюс небольшая погрешность.
Что значит: первый? Я это тебе уже 301 раз повторяю. Видима до тебя только дошло. Я не знаю что для твоего понимания "пустозвонство" после того как увидел как ты понимаешь оппонента )) тем не менее: то есть это следствие "ужасности". Сам механизм работы зловреда конкретно под Андроид я не разбирал. Поэтому технические мелочи упущу. Кому надо - всегда найдет данную инфу в инете. Ее полным полно. Мне не интересно. Однако исследуя последний публичный 0-day эксплоит под Яву был поражен возможностями его использования. тот который был под 1.7.0.0 - 1.7.0.6. Но в то время так же хорошо работали сплойты и под более рании версии (byte, atomic) И более того, после выхода на то время новой версии Явы, 1.7.0.7 буквально в этот же день была продемонстрирована очередная возможность выполнения произвольного кода. Учитывая такую дырявость в Ява машине можно сделать вывод и о безопасности устройств использующих этот движок.
можно ответить и проще: В - это то же натив приложение имеющее уязвимость. Это ВМ. Не нужно путаться. Названием все сказано. Виртуальная машина. Посему - это очередное приложение как любое другое которое может иметь уязвимость.
их сливали легально как я понял. уязвимости в ос тут ни при чем. просто у гугла судя по всему модерация совсем плохая. ну ты же понимаешь(мне кажется, что нет) что андроид(коль мы о нем заговорили) не использует явовскую ВМ. у него своя - Dalvik VM. так что здесь другая статистика нужна.
тут ты прав. я почему то думал что сановская. На взгляд вроде такой же синтаксис, методы... то есть в Dalvik VM не было возможности произвольного выполнения кода? Нужно явно запустить приложение?
конечно - В нативное приложение, которое выполняет байт код. посему опять же мы имеем 1 уязвимую ВМ против тонны уязвимых нэйтив приложений. я не знаю, какие баги были в Dalvik VM и какие в сановском JVM. я знаю только, что их не так уж и много, а те что есть - фиксятся. ну в первой так точно.