[link]

Na ez így már durva ...

senki nem mondta, hogy mindenbe belenéznek és minden hibát megtalálnak és kijavítanak.
de jogod és lehetőséged van rá, ezt mondták.

ez a shellshock "bug" (nem is bug, de mindegy) semmit nem csorbított a nyílt forráskód biztonságáról alkotott hírnéven.

(#19) woland_y2k: "van lehetoseg belenezni a kodba.": súlyos tévedés. itt van lehetőséged belenézni *EGY* kódba, csak abban nem lehetsz biztos, hogy a telepítő cd-den is az van.

[ Szerkesztve ]

De, a ShellShock bizony bug. Még ha az elsőre talált probléma nem is az, mert mondjuk valamilyen könnyebbséget jelentő feature-ként jelent meg, addig a Tavis Ormandy és a többiek által találtak valóban bugok a bash parserben.

"It's not a bug, it's a feature"
Csak az a baj, hogy nem tudom, honnan ered ez a mondás.
(Hogyhogy nem bug??)

a peer review a legolcsobb es egyben leggyengebb minosegellenorzesi technika. kritikus rendszereknel nem veletlenul coverage criteria van (jellemzoen MC/DC, mas terminologia szerint ACC), es nem eleg, hogy par ember atnezi. extremebb esetekben fontosabb reszeket formalisan vagy model checkerrel is bizonyitani lehet.

gyakorlatban test driven development megoldas lehet, de jellemzoen a "teszteljuk a programot" kijelentes jelenteseben hatalmas szoras lehet. ugyanugy utobbi evekben maga a "mennyi coverage eleg" kerdeskor is erdekesebb lett, avagy bizonyos reszei a rendszernek fontosabbak lehetnek. mindent tesztelni pedig lehetetlen.

Nekem a durva, hogy évek óta folyamatosan jönnek a durva alapvető hibák. Nincs vége. Itt a bash sebezhetőség. Aztán a poodle. Aztán...
Mindkettő keményen érinti a leglegnek tartott enterprise szegmenset mégis évek óta velünk voltak és ahogy látom még a ma napon is csillió helyen megy a kapcsolodás SSLel.

és még ha a fentiek nem is lennének hibátlan lenne a kód, a jogosultságok, a minden.... is elgé egy power user és kuka az egész biztonság.

jaja, jönnek folyamatosan a durva alapvető hibák, volt a shellsock, a heartbleed, meg a .... a ...
a pontosan mi is?
évek óta folyamatosan jött kettő hiba idén, és slussz?

+poodle azaz idén 3

és mit akarsz evvel mondani, hogy nem is probléma, kevés ez a 3 vagy mi?

A Poodle is csak az IE6 miatt "jöhetett létre" és igazából nem is annyira jelentős hiba - de ha ma meg kellene bíznom egy céget vmilyen munkával és azt látnám, hogy XP, IE6 és társai futnak a rendszereiken, garantáltan nem lennének befutók.

[ Szerkesztve ]

Ahol Win7et/linuxot és IE11, firefox, chromot látsz az is érintett nem csak IE6.

[ Szerkesztve ]

azt, hogy elfogult vagy.

mármint mert én a poodlet is komoly problémának látom vagyok elfogult? vagy mert azt látom, hogy olyan cégekhez mennek be hoznak ki mindent ahol valós biztonsági szakemberek garmadája dolgozik?

azért vagy elfogult, mert volt az idén kettő (na jó, legyen három) bug, akkor itt mindjárt opensource világvége van meg "évek óta alapvető" meg hasonlók, miközben előtte gyakorlatilag nem volt egy ilyen kaliberű bug sem a linux 23 éve alatt.

oké, hogy ez a két bug komoly probléma, de ettől még nem "évek óta" meg nem durva alapvető hibák.
a shellshock is annyira "durva alapvető" probléma, hogy csak egy csomó egyéb más feltétel teljesülése esetén lehet vele valami részeredményt elérni.

olyan cégekhez mennek be? kik? a pizzafutár? és ezeknél a cégeknél mit használnak? és hányszor mennek be szakképzetlen user hülyesége miatt?

miközben meg aki értően olvassa, amit írsz, és hajlandó emlékezni is, az tudja, hogy durván elfogult vagy a másik irányba, ahol nem az a helyzet, mint itt, hogy 20 év után találtak két bugot, hanem nagyjából minden héten van egy-két ilyen kategóriás bug, és tojnak rá, hogy mindet javítsák, miközben egy kalap pénzt fizettél a termékért.

ha nem nézzük az árakat, meg a bekerülési költséget, akkor lényegesen kevesebb baj van az opensource-szal, mint a zárttal. Ha az árakat is meg a tco-t is nézzük, akkor a másik csapat nagyon durván sehol sincs. amikor nekem kellett volna ms access, akkor az az office, ami ezt tartalmazta volna, kishíjján kétszáz rugó lett volna, és az van a zacsin, hogy semmi felelősséget nem vállalunk érte. Ugyanez debianéknál nulla forint és ekvivalens felelősség.

"opensource világvége"???

Szedd össze már magad.... olyan dolgokat képzelgetsz bele a hszembe ami nincs ott!!! De ha igen mutasd hol. Nos?

ha egymás mellé rakom ezt: "Nekem a durva, hogy évek óta folyamatosan jönnek a durva alapvető hibák. Nincs vége. Itt a bash sebezhetőség. Aztán a poodle. Aztán..." meg amiket egyébként írni szoktál, akkor ottvan.

Már ebből sem jön ki.
poodle uugy érinti a zárt forráskodú világot is ahogy heartbleed is.

"amiket egyébként írni szoktál"
sztem vkivel keversz. Nem is emlékszem mikor írtam utoljára ilyen témában, idén biztos nem és nem is nagyon érdekel. De ha van pár linked szivesen elolvasom miket írtam a témában.

Két gyanudból kettő kuka...?

.....
kb leírtam mi keltette fel a figyelmem. Hiába volt minden hibátlan nem számított. Egy kitartó ATPvel, power user (security officer) megkörnyékezésével bementek. Nem kellett se OS/aplikáció hiba, se poodle, se heartbleed....
és akkor mi van ahol 100ad annyit nem adnak a securityra és 99%ez mert vezetés nem érti minek? Volt is erről egy van benne vmi cikk hwswn. [link]

Nenm, de az IE6 miatt van még mindig benne a szerverekben az elavult SSL 3.0 támogatása, különben már rég kiebrudalták volna az engedélyezett protokollok közül. Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos.

"Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos."

Oda sehogy. Ellenben ezek is érintettek adott szituban teljesen mindegy, hogy XPt és IE6ot használ vagy chromen/firefoxot.