A legtöbb szoftverhiba nem kerül nyilvánosságra
Jelentkezz be a hozzászóláshoz.
#34
Játék 😊
Sok war gamenek nevett játék van a neten, egyszer kaptam egy listát, de most nem találom 😊
Ilyen weblap triviális biztonsági hiba keresõsbõl rengeteg van, a fenti pont nem olyan.
Sok war gamenek nevett játék van a neten, egyszer kaptam egy listát, de most nem találom 😊
Ilyen weblap triviális biztonsági hiba keresõsbõl rengeteg van, a fenti pont nem olyan.
Linux nem Win: http://www.unixlab.hu/LNW/index.html gentoo : http://www.gentoo.org/main/hu/philosophy.xml
#33
Ezek az emberek direkt ilyenekkel foglalkoznak. Hacker nem lessz bárkibõl. Már mint normális és nem olyan aki letölt pár progit, és azokat próbálgatja. A hackerek pedig sokkal ügyeseben találnak hibákat, stb, mert ez érdekli õket. Van sok programozó ismerõsöm, de csak 1 volt aki hackerkedett is, és mintha más világban élt volna mint a többiek. Fejbõl vágta hogy mik a mai sebezhetõ részek amiket nem foltoztak még, és ilyen közösségek portáljait járta. + az oldalra úgy juthatsz be ha meghackeled. Ezeknek az embereknek egy rés mást jelent mint egy átlag programozónak. Én így látom.
#32
"Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol? "Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk.""
Ez eleg gyakori, de a tobbnyire csak annyi a leiras, hogy a sebezhetoseg javitasra kerult, esetleg az hogy tavolrol is kihasznalhato volt. A patch listabol pedig ki lehet deriteni, hogy melyik file volt a rossz. Allandoan ilyenekkel van tele az emberek update log-ja, csak eleg keves ember veszi a faradtsagot hogy utanna is nezzen. Jo esetben van ms knowledge base bejegyzes is, ami ugyan tovabbra sem mond semmit, de legalabb kiderul hogy a javitas nagy valoszinuseggel mit fog tonkrevagni.
Ez eleg gyakori, de a tobbnyire csak annyi a leiras, hogy a sebezhetoseg javitasra kerult, esetleg az hogy tavolrol is kihasznalhato volt. A patch listabol pedig ki lehet deriteni, hogy melyik file volt a rossz. Allandoan ilyenekkel van tele az emberek update log-ja, csak eleg keves ember veszi a faradtsagot hogy utanna is nezzen. Jo esetben van ms knowledge base bejegyzes is, ami ugyan tovabbra sem mond semmit, de legalabb kiderul hogy a javitas nagy valoszinuseggel mit fog tonkrevagni.
#31
Hány olyan security bugrol tudtok amit az MS maga fedezett fel, javjtott és lejrást adott bug -rol ?
"Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk."
"Hibb volt az xy.dll -ben ami távolról kihasználható, de javítottuk."
Linux nem Win: http://www.unixlab.hu/LNW/index.html gentoo : http://www.gentoo.org/main/hu/philosophy.xml
#30
Nem kétlem. Csak általában több a gonosz, mint a gonosz ellen fellépni kívánó jó! <#sniffles>
#29
Több a jó.
A nagyon kevés gonosz szivat mindenkit.
A nagyon kevés gonosz szivat mindenkit.
Linux nem Win: http://www.unixlab.hu/LNW/index.html gentoo : http://www.gentoo.org/main/hu/philosophy.xml
#28
Halottam olyan hibárol, amit honapok óta ismert a fejlesztõ cég, de csak nyilvánoságra kerülése után adott ki rá javítást (Egy fejlesztõ blogjábol derül ez ki) ekkor viszont relatíve hamar, arra hivatkozva, hogy vizsgálni kellett a modosítás kompatibilis -e a régebbi szoftverekel. Ennek ellenére pár elterjedt rendszer alakalmásban problémák léptek fel.
A hibák elenyészõ része biztonságai, nem biztonságai hibákról csak akkor szokot szólni a sajtó, ha valami vicceset ki lehet hozni. Pl. notpad nem menti el I hate microsoft, vagy valami hasonló szöveget nem emlékszem pontosan, ami egyébként karakter kodolás megtippelési hiba, miatt volt.
A hibák elenyészõ része biztonságai, nem biztonságai hibákról csak akkor szokot szólni a sajtó, ha valami vicceset ki lehet hozni. Pl. notpad nem menti el I hate microsoft, vagy valami hasonló szöveget nem emlékszem pontosan, ami egyébként karakter kodolás megtippelési hiba, miatt volt.
Linux nem Win: http://www.unixlab.hu/LNW/index.html gentoo : http://www.gentoo.org/main/hu/philosophy.xml
#27
" lol egy hacker miben különbözik a többi programozótól? ja hogy õ könyebben rátalál ezekre a résekre?"
Ezt kifejtenéd miért is?
Ezt kifejtenéd miért is?
#26
Egy nem felfedezett hiba amíg nem nyílvános nem gond? lol egy hacker miben különbözik a többi programozótól? ja hogy õ könyebben rátalál ezekre a résekre? akkor ez a hiba csak a hackert segíti aki rájön, és utánna amíg nem foltozzák mindenhol kitudja használni.
#25
"A probléma valószínûleg abban rejlik, hogy a fejlesztõ cégek gyakran elhallgatják a hibák létezését, vagy egészen addig nem hozzák nyilvánosságra azt, amíg elõ nem állnak a megfelelõ foltozással."
))) és aki elõáll vele azokat sokszor leugatják, hogy mekkora bunkó. Járt így a közelmúltban két programozó akik a MAC termékek hibáira hívták fel a figyelmet. Ahelyett hogy örülnének hogy nem nekik kell keresni, és javítanák, még piszkálják is azokat akik nem kihasználják, hanem felhívják rá a figyelmet.
Vagy ott a másik nagy cég ami marketingel küzd a fellelhetõ hibák ellen. LOL
Az hogy valami open még nem jelenti hogy roszabb is. Az hogy valahol rejtett hiba, vagy nem rejtett hiba van, az nagyon nem mindegy. Otthoni gépekrõl nem sokmindent tudnak lenyúlni, de cégnél nem mindegy. És ha normális céges hálózat van, akkor rendszergizda ezeket a nyílt hibákat ki tudja javítani. Átlag user úgysem ért hozzá, de egy cégnél ami ez fontos meg tudják csinálni. Így is ugyanaz a két hiba?😄
))) és aki elõáll vele azokat sokszor leugatják, hogy mekkora bunkó. Járt így a közelmúltban két programozó akik a MAC termékek hibáira hívták fel a figyelmet. Ahelyett hogy örülnének hogy nem nekik kell keresni, és javítanák, még piszkálják is azokat akik nem kihasználják, hanem felhívják rá a figyelmet.
Vagy ott a másik nagy cég ami marketingel küzd a fellelhetõ hibák ellen. LOL
Az hogy valami open még nem jelenti hogy roszabb is. Az hogy valahol rejtett hiba, vagy nem rejtett hiba van, az nagyon nem mindegy. Otthoni gépekrõl nem sokmindent tudnak lenyúlni, de cégnél nem mindegy. És ha normális céges hálózat van, akkor rendszergizda ezeket a nyílt hibákat ki tudja javítani. Átlag user úgysem ért hozzá, de egy cégnél ami ez fontos meg tudják csinálni. Így is ugyanaz a két hiba?😄
#24
Így van. Mindenki azt burkol bele magának amit akar.
#23
Nem az a lényeg, hogy hibátlan legyen a rendszer, hanem hogy ne törjék fel.
Gracie Barra
#22
A két kulcsgondolat: többen fogják kihasználni, hamarabb lesz befoltozva.
Na akkor most hogy is van ez, melyik is lesz ez biztonságosabb? Hisz a nem felfedezett biztonsági rések nem jelentenek veszélyt (felfedezésükig).
Na akkor most hogy is van ez, melyik is lesz ez biztonságosabb? Hisz a nem felfedezett biztonsági rések nem jelentenek veszélyt (felfedezésükig).
Gracie Barra
#21
A kérdéseimben burkoltan benne van az ítélet.
#20
Szándékosan nem mondasz ki ítéletet, csak kérdéseket teszel fel.
#19
Lásd a #4 számú hozzászólásomat.
#18
Igazad van egy kicsit már kiment a fejembõl, végtére is 5 éve taunltam Valszám 2-õt. Köszi!<#eljen>
#17
Amirõl te beszéltél azt úgy hívják, hogy "nagy születésnap támadás" (Mekkora minta kell ahoz, hogy P(2 ember ugyan azon a napon született)>50%?) De az igazából csak egy-két nullát szed le a minta méretének a végébõl. Vagyarán, ha eredetileg az összes kombináció kipróbálásához kellett 10^30 lépés, akkor már >50% vallószínûséggel már a 10^20-en kombináció kipróbálása után elõfordulhat. Természetesen a dolog eset függõ, a fentit csak hasra ütés szerûen írtam. Na most a cikben 132000(!) megtalált hibáról volt szó ami nem kerül ki a nyílvánosságra és lusták javítani. Na már most tfh. a Gonosz Béla ebbõl megtalált saját maga egyet, amivel minden gonoszcélját elérheti és nincs benne a javításra és nyílvánosságra kerülû 7200 között, akkor mekkora valószínûséggel találunk egy olyan Jótét Pistit aki ugyan ezt a hibát találta meg és ki is javította és valamilyen csonának köszönhetõen mindenki azonnal alkalmazta a javítását? Ráadásul a plédádban még további 98 Gonosz Béla szerû emberke van, melyek szintén ugyan azzal a valószínûséggel taálták meg ugyan azt a hibát, mint Jótét Pisti, akkor mégis hogy képes Jótét Pisti egy csapásra mind a 99 Gonosz Béla szerûségeket legyõzni?
#16
GOndolom ha nyilt a forráskód, akkor könyebben megtalálják benne a rést, többen fogják kihasználni, többen fognak panaszkodni, hamarabb lesz befoltozva.
Meg a csávónak is jobban ég az arca, hogy milyen lyukat hagyott a kódjában.
De lehet, hogy rossz a gondolatmenet...
Meg a csávónak is jobban ég az arca, hogy milyen lyukat hagyott a kódjában.
De lehet, hogy rossz a gondolatmenet...
#15
A második az inkább a centrális határeloszlás tétel.
\"We choose to go to the moon in this decade and do the other things, not because they are easy, but because they are hard\" - John F. Kennedy
#14
"De ha száz megtalálóból már egy az, akkor a hiba kijavításra kerül, és a maradék 99 gonosz jól pofára esett."
Pontosan itt. Ugyanis a cikk nem arról szólt, hogy nem találják meg a hibákat, hanem hogy nem javitják ki õket. Márpedig ebben az esetben 100 ember megtalálja a hibát, 1 bejelenti, amire mindenki sz@rik nagy ivben (fõleg a fejlesztõk), 99 meg feltöri vele a gépet. Ergó azzal hogy nyilt lett a forrás, a rendszer semmivel sem lett biztonságosabb, sõt!
Épp ezért van az, hogy egy rendszer biztonsága sokkal kisebb %-ban függ a hibák felfedezésétõl, sokkal nagyobb % függ a hibák gyors és preciz javitásától. Ez pedig nem mást jelent, mint hogy nincs szignifikáns különbség nyilt és zárt forrás között biztonság tekintetében.
Ugyanigy ha megforditjuk a dolgot, a felfedezett hibák száma sem attól függ hogy nyilt v zárt forrásból származik-e a termék, hanem a termék elterjedésétõl. (erre volt példa a közelmúltba a firefox és az apple, ahogy terjed, úgy találnak benne egyre több és több hibát, ugyanakkor a firefoxban gyorsabban is javitanak, aminek megint nincs köze ha forrás milyenségéhez, hanem ahhoz hogy a fejlesztõknek mennyire néznek a körmére mennyire motiváltak stb.)
Pontosan itt. Ugyanis a cikk nem arról szólt, hogy nem találják meg a hibákat, hanem hogy nem javitják ki õket. Márpedig ebben az esetben 100 ember megtalálja a hibát, 1 bejelenti, amire mindenki sz@rik nagy ivben (fõleg a fejlesztõk), 99 meg feltöri vele a gépet. Ergó azzal hogy nyilt lett a forrás, a rendszer semmivel sem lett biztonságosabb, sõt!
Épp ezért van az, hogy egy rendszer biztonsága sokkal kisebb %-ban függ a hibák felfedezésétõl, sokkal nagyobb % függ a hibák gyors és preciz javitásától. Ez pedig nem mást jelent, mint hogy nincs szignifikáns különbség nyilt és zárt forrás között biztonság tekintetében.
Ugyanigy ha megforditjuk a dolgot, a felfedezett hibák száma sem attól függ hogy nyilt v zárt forrásból származik-e a termék, hanem a termék elterjedésétõl. (erre volt példa a közelmúltba a firefox és az apple, ahogy terjed, úgy találnak benne egyre több és több hibát, ugyanakkor a firefoxban gyorsabban is javitanak, aminek megint nincs köze ha forrás milyenségéhez, hanem ahhoz hogy a fejlesztõknek mennyire néznek a körmére mennyire motiváltak stb.)
Kétféle világ létezik. Az egyik amit látsz és a másik ami mögötte van. Ami mögötte van azt a pénz irányitja. Találd ki melyik világ irányitja melyiket.
#13
Hát, ebbõl sehogy. Örülök, hogy ennyire felkészült vagy.
Már csak az ügyben képviselt véleményedet kéne megosztanod a hozzászólókkal.
Már csak az ügyben képviselt véleményedet kéne megosztanod a hozzászólókkal.
#12
Nagy számok törvénye: ha elérünk egy bizony mennyíségû mintához, akkor a vizsgált minta és a teljes egész között nem lesz szignifikáns különbség. <#buck>
Illetve: ha elegendõen sok tetszõleges eloszlású valószínûségi változót veszek, akkor az egész eloszlása empriríkusan közelíteni fog a normális eloszláshoz. <#buck>
Ezekbõl nem értem hogyan jön ki ez a 99 vs 1? <#wow1>
Illetve: ha elegendõen sok tetszõleges eloszlású valószínûségi változót veszek, akkor az egész eloszlása empriríkusan közelíteni fog a normális eloszláshoz. <#buck>
Ezekbõl nem értem hogyan jön ki ez a 99 vs 1? <#wow1>
#11
Nincs semmire garancia. A nagy számok törvénye viszont egy elég jó esély.
#10
Hol volt itt a tévedés?
#9
Mi garantálja, hogy 100-ból legalább 2-en ugyan azt a hibát találták meg?
#8
És itt most nem a nyilvános hibákról van szó, hanem olyanokról, amikrõl kb senki sem tud, szal lényegi kár nem származik belõle.
Gracie Barra
#7
Dejó hogy annak az egynek akkor biztonságosabb lesz a gépe.
MIre az a javítás bekerül az eredeti programba, nem sokkal kevesebb idõ telik el, mint a nem nyílt forráskódúaknál.
MIre az a javítás bekerül az eredeti programba, nem sokkal kevesebb idõ telik el, mint a nem nyílt forráskódúaknál.
Gracie Barra
#6
Akkor tisztázzunk néhány tévedést. Itt nem arról van szó, hogy nem ismerik a hibát. Arról van szó hogy nem javitják ki megfelelõ gyorsasággal. Innentõl kezdve meg tökmindegy hogy jó tét lélek pista is megtalálj a hibát, ettõl még nem lesz gyorsabban javitva a hiba. Persze jó tét lélek pista lehet programozó és ki tudja javitani, de amig ez nem kerül bele a hivatalos kiadásba, addig ezzel max magát boldogitja, mert a legtöbb ember nem szeret külsõ forrásból származó bizonyithatatlan eredetü patchet felrakni a gépére...
Igy aztán tökmindegy hogy nyilt forrás-e vagy nem, kb. egyformán számit, mivel zárt forrásnál senkisem rugdossa a fejlesztõt kivülrõl, viszont nem is lehet a kódból kiszürni a hibát egy külsõsnek, nyilt forrásnál meg többen rugdoshatják a fejlesztõt, viszont többen is visszaélhetnek vele amig lesz rá javitás.
Egyébként a 4es kommentelõnek igaza van, és az is tegye fel a kezét, aki nyilt forrást használ és nap mint nap böngészi a forráskódot hiba után kutatva, vagy javitgatva azt...
Igy aztán tökmindegy hogy nyilt forrás-e vagy nem, kb. egyformán számit, mivel zárt forrásnál senkisem rugdossa a fejlesztõt kivülrõl, viszont nem is lehet a kódból kiszürni a hibát egy külsõsnek, nyilt forrásnál meg többen rugdoshatják a fejlesztõt, viszont többen is visszaélhetnek vele amig lesz rá javitás.
Egyébként a 4es kommentelõnek igaza van, és az is tegye fel a kezét, aki nyilt forrást használ és nap mint nap böngészi a forráskódot hiba után kutatva, vagy javitgatva azt...
Kétféle világ létezik. Az egyik amit látsz és a másik ami mögötte van. Ami mögötte van azt a pénz irányitja. Találd ki melyik világ irányitja melyiket.
#5
Nem biztos hogy az. De ha száz megtalálóból már egy az, akkor a hiba kijavításra kerül, és a maradék 99 gonosz jól pofára esett. És ez hat visszafelé is, tehát a 99 inkább nem genyózik, mert minek, ha úgyis lesz egy birka aki miatt pofára fog esni?
#4
Valaki árúlja már el, miért gondolják sokan, hogy a hiba megtalálója nyílt forrás esetén tiszta jó tét lélek?
#3
Ez teljességgel mindegy, mivel a hibajavitás sebessége nem attól függ hogy nyilt vagy zárt forrású-e valami.
Kétféle világ létezik. Az egyik amit látsz és a másik ami mögötte van. Ami mögötte van azt a pénz irányitja. Találd ki melyik világ irányitja melyiket.
#2
Nem teljesen ertem azt a reszt, hogy azt mondja 132 ezer programhiba, 7200 nyilvanossagra kerult sebezhetoseg -> 5.5%. Ezek szerint mind a 132 ezer jelentett hiba az valamilyen sebezhetoseggel kapcsolatos volt? Vagy csak egy ugyes csusztatas van itt?
"vagy egészen addig nem hozzák nyilvánosságra azt, amíg elõ nem állnak a megfelelõ foltozással."
Ez meg elegge ertheto biztonsagi resek eseteben.
"vagy egészen addig nem hozzák nyilvánosságra azt, amíg elõ nem állnak a megfelelõ foltozással."
Ez meg elegge ertheto biztonsagi resek eseteben.
#1
Megoldás: nyílt forrás <#papakacsint>
Fizikakönyvem: http://valek.webs.com/ \"Az a baj az Interneten terjedő idézetekkel, hogy nem tudod róluk megállapítani, valódiak-e.\" /Petőfi Sándor/