34
-
turul16 #34 Játék :)
Sok war gamenek nevett játék van a neten, egyszer kaptam egy listát, de most nem találom :)
Ilyen weblap triviális biztonsági hiba keresősből rengeteg van, a fenti pont nem olyan. -
sathinel #33 Ezek az emberek direkt ilyenekkel foglalkoznak. Hacker nem lessz bárkiből. Már mint normális és nem olyan aki letölt pár progit, és azokat próbálgatja. A hackerek pedig sokkal ügyeseben találnak hibákat, stb, mert ez érdekli őket. Van sok programozó ismerősöm, de csak 1 volt aki hackerkedett is, és mintha más világban élt volna mint a többiek. Fejből vágta hogy mik a mai sebezhető részek amiket nem foltoztak még, és ilyen közösségek portáljait járta. + az oldalra úgy juthatsz be ha meghackeled. Ezeknek az embereknek egy rés mást jelent mint egy átlag programozónak. Én így látom. -
kvp #32 "Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol? "Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk.""
Ez eleg gyakori, de a tobbnyire csak annyi a leiras, hogy a sebezhetoseg javitasra kerult, esetleg az hogy tavolrol is kihasznalhato volt. A patch listabol pedig ki lehet deriteni, hogy melyik file volt a rossz. Allandoan ilyenekkel van tele az emberek update log-ja, csak eleg keves ember veszi a faradtsagot hogy utanna is nezzen. Jo esetben van ms knowledge base bejegyzes is, ami ugyan tovabbra sem mond semmit, de legalabb kiderul hogy a javitas nagy valoszinuseggel mit fog tonkrevagni. -
turul16 #31 Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol ?
"Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk." -
A1274815 #30 Nem kétlem. Csak általában több a gonosz, mint a gonosz ellen fellépni kívánó jó! -
turul16 #29 Több a jó.
A nagyon kevés gonosz szivat mindenkit. -
turul16 #28 Halottam olyan hibárol, amit honapok óta ismert a fejlesztő cég, de csak nyilvánoságra kerülése után adott ki rá javítást (Egy fejlesztő blogjábol derül ez ki) ekkor viszont relatíve hamar, arra hivatkozva, hogy vizsgálni kellett a modosítás kompatibilis -e a régebbi szoftverekel. Ennek ellenére pár elterjedt rendszer alakalmásban problémák léptek fel.
A hibák elenyésző része biztonságai, nem biztonságai hibákról csak akkor szokot szólni a sajtó, ha valami vicceset ki lehet hozni. Pl. notpad nem menti el I hate microsoft, vagy valami hasonló szöveget nem emlékszem pontosan, ami egyébként karakter kodolás megtippelési hiba, miatt volt. -
A1274815 #27 " lol egy hacker miben különbözik a többi programozótól? ja hogy ő könyebben rátalál ezekre a résekre?"
Ezt kifejtenéd miért is? -
sathinel #26 Egy nem felfedezett hiba amíg nem nyílvános nem gond? lol egy hacker miben különbözik a többi programozótól? ja hogy ő könyebben rátalál ezekre a résekre? akkor ez a hiba csak a hackert segíti aki rájön, és utánna amíg nem foltozzák mindenhol kitudja használni. -
sathinel #25 "A probléma valószínűleg abban rejlik, hogy a fejlesztő cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással."
))) és aki előáll vele azokat sokszor leugatják, hogy mekkora bunkó. Járt így a közelmúltban két programozó akik a MAC termékek hibáira hívták fel a figyelmet. Ahelyett hogy örülnének hogy nem nekik kell keresni, és javítanák, még piszkálják is azokat akik nem kihasználják, hanem felhívják rá a figyelmet.
Vagy ott a másik nagy cég ami marketingel küzd a fellelhető hibák ellen. LOL
Az hogy valami open még nem jelenti hogy roszabb is. Az hogy valahol rejtett hiba, vagy nem rejtett hiba van, az nagyon nem mindegy. Otthoni gépekről nem sokmindent tudnak lenyúlni, de cégnél nem mindegy. És ha normális céges hálózat van, akkor rendszergizda ezeket a nyílt hibákat ki tudja javítani. Átlag user úgysem ért hozzá, de egy cégnél ami ez fontos meg tudják csinálni. Így is ugyanaz a két hiba?:D -
T0nk #24 Így van. Mindenki azt burkol bele magának amit akar. -
juzosch #23 Nem az a lényeg, hogy hibátlan legyen a rendszer, hanem hogy ne törjék fel. -
juzosch #22 A két kulcsgondolat: többen fogják kihasználni, hamarabb lesz befoltozva.
Na akkor most hogy is van ez, melyik is lesz ez biztonságosabb? Hisz a nem felfedezett biztonsági rések nem jelentenek veszélyt (felfedezésükig). -
A1274815 #21 A kérdéseimben burkoltan benne van az ítélet. -
T0nk #20 Szándékosan nem mondasz ki ítéletet, csak kérdéseket teszel fel. -
A1274815 #19 Lásd a #4 számú hozzászólásomat. -
A1274815 #18 Igazad van egy kicsit már kiment a fejemből, végtére is 5 éve taunltam Valszám 2-őt. Köszi! -
A1274815 #17 Amiről te beszéltél azt úgy hívják, hogy "nagy születésnap támadás" (Mekkora minta kell ahoz, hogy P(2 ember ugyan azon a napon született)>50%?) De az igazából csak egy-két nullát szed le a minta méretének a végéből. Vagyarán, ha eredetileg az összes kombináció kipróbálásához kellett 10^30 lépés, akkor már >50% vallószínűséggel már a 10^20-en kombináció kipróbálása után előfordulhat. Természetesen a dolog eset függő, a fentit csak hasra ütés szerűen írtam. Na most a cikben 132000(!) megtalált hibáról volt szó ami nem kerül ki a nyílvánosságra és lusták javítani. Na már most tfh. a Gonosz Béla ebből megtalált saját maga egyet, amivel minden gonoszcélját elérheti és nincs benne a javításra és nyílvánosságra kerülű 7200 között, akkor mekkora valószínűséggel találunk egy olyan Jótét Pistit aki ugyan ezt a hibát találta meg és ki is javította és valamilyen csonának köszönhetően mindenki azonnal alkalmazta a javítását? Ráadásul a plédádban még további 98 Gonosz Béla szerű emberke van, melyek szintén ugyan azzal a valószínűséggel taálták meg ugyan azt a hibát, mint Jótét Pisti, akkor mégis hogy képes Jótét Pisti egy csapásra mind a 99 Gonosz Béla szerűségeket legyőzni? -
asdasdasd #16 GOndolom ha nyilt a forráskód, akkor könyebben megtalálják benne a rést, többen fogják kihasználni, többen fognak panaszkodni, hamarabb lesz befoltozva.
Meg a csávónak is jobban ég az arca, hogy milyen lyukat hagyott a kódjában.
De lehet, hogy rossz a gondolatmenet... -
Caro #15 A második az inkább a centrális határeloszlás tétel. -
assdf #14 "De ha száz megtalálóból már egy az, akkor a hiba kijavításra kerül, és a maradék 99 gonosz jól pofára esett."
Pontosan itt. Ugyanis a cikk nem arról szólt, hogy nem találják meg a hibákat, hanem hogy nem javitják ki őket. Márpedig ebben az esetben 100 ember megtalálja a hibát, 1 bejelenti, amire mindenki sz@rik nagy ivben (főleg a fejlesztők), 99 meg feltöri vele a gépet. Ergó azzal hogy nyilt lett a forrás, a rendszer semmivel sem lett biztonságosabb, sőt!
Épp ezért van az, hogy egy rendszer biztonsága sokkal kisebb %-ban függ a hibák felfedezésétől, sokkal nagyobb % függ a hibák gyors és preciz javitásától. Ez pedig nem mást jelent, mint hogy nincs szignifikáns különbség nyilt és zárt forrás között biztonság tekintetében.
Ugyanigy ha megforditjuk a dolgot, a felfedezett hibák száma sem attól függ hogy nyilt v zárt forrásból származik-e a termék, hanem a termék elterjedésétől. (erre volt példa a közelmúltba a firefox és az apple, ahogy terjed, úgy találnak benne egyre több és több hibát, ugyanakkor a firefoxban gyorsabban is javitanak, aminek megint nincs köze ha forrás milyenségéhez, hanem ahhoz hogy a fejlesztőknek mennyire néznek a körmére mennyire motiváltak stb.) -
T0nk #13 Hát, ebből sehogy. Örülök, hogy ennyire felkészült vagy.
Már csak az ügyben képviselt véleményedet kéne megosztanod a hozzászólókkal. -
A1274815 #12 Nagy számok törvénye: ha elérünk egy bizony mennyíségű mintához, akkor a vizsgált minta és a teljes egész között nem lesz szignifikáns különbség.
Illetve: ha elegendően sok tetszőleges eloszlású valószínűségi változót veszek, akkor az egész eloszlása empriríkusan közelíteni fog a normális eloszláshoz.
Ezekből nem értem hogyan jön ki ez a 99 vs 1? -
T0nk #11 Nincs semmire garancia. A nagy számok törvénye viszont egy elég jó esély. -
T0nk #10 Hol volt itt a tévedés? -
A1274815 #9 Mi garantálja, hogy 100-ból legalább 2-en ugyan azt a hibát találták meg? -
juzosch #8 És itt most nem a nyilvános hibákról van szó, hanem olyanokról, amikről kb senki sem tud, szal lényegi kár nem származik belőle. -
juzosch #7 Dejó hogy annak az egynek akkor biztonságosabb lesz a gépe.
MIre az a javítás bekerül az eredeti programba, nem sokkal kevesebb idő telik el, mint a nem nyílt forráskódúaknál. -
assdf #6 Akkor tisztázzunk néhány tévedést. Itt nem arról van szó, hogy nem ismerik a hibát. Arról van szó hogy nem javitják ki megfelelő gyorsasággal. Innentől kezdve meg tökmindegy hogy jó tét lélek pista is megtalálj a hibát, ettől még nem lesz gyorsabban javitva a hiba. Persze jó tét lélek pista lehet programozó és ki tudja javitani, de amig ez nem kerül bele a hivatalos kiadásba, addig ezzel max magát boldogitja, mert a legtöbb ember nem szeret külső forrásból származó bizonyithatatlan eredetü patchet felrakni a gépére...
Igy aztán tökmindegy hogy nyilt forrás-e vagy nem, kb. egyformán számit, mivel zárt forrásnál senkisem rugdossa a fejlesztőt kivülről, viszont nem is lehet a kódból kiszürni a hibát egy külsősnek, nyilt forrásnál meg többen rugdoshatják a fejlesztőt, viszont többen is visszaélhetnek vele amig lesz rá javitás.
Egyébként a 4es kommentelőnek igaza van, és az is tegye fel a kezét, aki nyilt forrást használ és nap mint nap böngészi a forráskódot hiba után kutatva, vagy javitgatva azt... -
T0nk #5 Nem biztos hogy az. De ha száz megtalálóból már egy az, akkor a hiba kijavításra kerül, és a maradék 99 gonosz jól pofára esett. És ez hat visszafelé is, tehát a 99 inkább nem genyózik, mert minek, ha úgyis lesz egy birka aki miatt pofára fog esni? -
A1274815 #4 Valaki árúlja már el, miért gondolják sokan, hogy a hiba megtalálója nyílt forrás esetén tiszta jó tét lélek? -
assdf #3 Ez teljességgel mindegy, mivel a hibajavitás sebessége nem attól függ hogy nyilt vagy zárt forrású-e valami.
-
Remetix #2 Nem teljesen ertem azt a reszt, hogy azt mondja 132 ezer programhiba, 7200 nyilvanossagra kerult sebezhetoseg -> 5.5%. Ezek szerint mind a 132 ezer jelentett hiba az valamilyen sebezhetoseggel kapcsolatos volt? Vagy csak egy ugyes csusztatas van itt?
"vagy egészen addig nem hozzák nyilvánosságra azt, amíg elő nem állnak a megfelelő foltozással."
Ez meg elegge ertheto biztonsagi resek eseteben. -
bvalek2 #1 Megoldás: nyílt forrás