Súlyos sebezhetőség rejtőzhet a Debian Linuxban

Súlyos sebezhetőség rejtőzhet a Debian Linuxban
2003-11-28T10:24:01+01:00
2003-12-12T11:13:08+01:00
2022-07-01T09:30:41+02:00
  • wronghorn


    Prekoncepció rulez?
    Mutasd a teljes hozzászólást!
  • Mit is szeretnél mondani ezzel a sor/fejlesztő mérőszámmal?
    Mutasd a teljes hozzászólást!
  • A zart projektek altalaban nagyobb programsor/fejleszto arannyal rendelkeznek. Gondolom ebben nem ketelkedsz. Dehat a nagyobb programsor/fejleszto arany a jobb nem?
    Mutasd a teljes hozzászólást!
  • A Longhorn fejlesztésén círka 13500 ember dolgozik. Nem tízezrek, de ha már szerinted a mennyiség számít, akkor gondoltam megírom.


    Es ebbol mennyi HR-es, grafikus designer, manager, minosegbiztosito, ne adj' Isten titkarno :). Mert azt ketlem, hogy 13500-an irjak/latjak a forraskodot.

    De elgondolkoznek meg valamin: vajon mekkora a kod ujrafelhasznalas merteke, vagyis ez a 13500 ember mennyire az alapoktol epiti ujra a rendszert? (A legtobb project sajnos nem errol hires - es a flame elkerulese vegett ez egy altalanos megallapitas :) ).

    Aztan az is kerdes, hogy mekkora is lesz (millio sorban merve) ez a wronghorn? Es akkor mennyi az /13500? Persze mielott flame-elni kezdene valaki, a wronghorn
    a maga tobb tizmilli forraskod soraval nyilvan tobb szolgaltatast nyujt, mint egy csupasz linux kernel, pl. GUI, meg sokkal tobb eszkozvezerlo (aminek egy reszet az MS irja, egy reszet a gyartok - de lehet, hogy ez is benne van a 13500-ban), wordpad, paint, etc.

    Ha ezt mind szamitasba vesszuk, akkor eleg nagy a valoszinusege, hogy azt kapjuk, hogy legalabb egy nagysagrendnyi kulonbseg van a ket rendszer kozt programsor/fejleszto szamban (megkockaztatom, meg ugy is, ha a hobbista linux kernel fejlesztoket az ezzel toltot ido alapjan sulyozva szamoljuk csak!)
    Mutasd a teljes hozzászólást!
  • A "Megtalálták a Linuxok kernelben (sic!) rejtőzködő kritikus sebezhetőséget" témában megválaszoltam.
    (Az már más kérdés, hogy vagy a Linux-terjesztések rendszermagjában, vagy a Linux-ban (mert Linux==kernel))

    A két hozzászólás időpontja: 2003.12.05. 14:26 és 2003.12.05. 15:24, a lényeg: A hibakövető rendszerbe berakott -tehát ismert- hiba _besorolása_ lett elrontva: A release policy azt mondja u.i., hogy a normálnál súlyosabb hiba nem maradhat a release-ben.
    Emellé kellett egy rsync luk is, ami meg egy szerencsétlen véletlen.

    Mutasd a teljes hozzászólást!
  • Hát, ha neked magasladba az, hogy irreleváns adatok alapján nem lehet igazolható következtetést levonni, akkor jó lecsapást!

    Lassan jó lenne már eljutni odáig, hogy megértsd: amikor pl. azt mondom, hogy "önmagában az, ha több fejlesztő írja/látja a kódot, abból nem következik az, hogy a kód jobb/hibamentesebb lesz", nem ekvivalens azzal, hogy "ha több fejlesztő írja/látja a kódot, akkor az rosszabb lesz". Akkor talán nem éreznéd szükségességét annak, hogy lecsapj valamit, amit fel sem adtam.
    Mutasd a teljes hozzászólást!
  • <flame>
    A sok tehát nem biztos, hogy jobb? Bocs, de ezt a magas labdát le kell csapni: A windows-ból hiába használnak sokat, nem biztos, hogy jobb
    </flame>
    Mutasd a teljes hozzászólást!
  • Ráadásul a minőség és a mennyiség között nincs feltétlenül korreláció.
    Mutasd a teljes hozzászólást!
  • A Longhorn fejlesztésén círka 13500 ember dolgozik. Nem tízezrek, de ha már szerinted a mennyiség számít, akkor gondoltam megírom.
    Mutasd a teljes hozzászólást!
  • Igazad van. Miert olvasna valaki kernel kodot, ha az emberek nagy resze egy forum hozzaszolast nem kepes elolvasni, mielott valaszol ra.

    Mi van szerintem ugy? Szerintem te azt irtad, hogy azert nincs ertelme a nyilt kodnak, mert te (vagy en, vagy userX) SZEMELYESEN nem tudjuk vegignezni a kodot. Igaz? Erre valaszoltam, hogy az a lenyeg, hogy nem kell egy szervezetben biznod (remelem, nem kell az egeszet ujra leirnom), _illetve_, hogy tobben latjak, es ez csokkenti a hibak szamat.

    Namost nagyreszt nyilvan a fejlesztok latjak, mert, ahogy irtam, (es azert irtam, mert igy gondolom, es nem azert, mert nem, tovabba azert sem irtam, hogy utana ne ezzel vitatkozz) nyilvan nem te, vagy en fugjuk unalmunkban olvasgatni, hanem valaki olyan, akinek ezzel celja van. Mi lehet a celja ennek a valakinek? Hat elsosorban az, hogy fejleszt hozza valamit, vagy biztonsagilag auditalja (ez nyilvan ritkabb), vagy (es ez nekunk fejlesztoknek eleg fontos) moge akar nezni egy API hivasnak, hogy jobban megertse a mellekhatasait.

    En spec mar nezegettem a kernel kodot, amikor megprobaltam beuzemelni a PCTV Pro kartyamat (sikertelenul), de nem tenyleg jellemzo ram, mert elsosorban nem linux kernelt fejlesztek. Vannak tobb 10000-en, akik viszont igen, hacsak kis kiegeszites szintjen is. En spec nezegettem mar tobb nyilt project kodjat is, meg a JDKhoz adot src.zip-et is, es volt, ahol hibat is talaltam/talatunk (munkatarsak is).

    Azt ugye te sem gondolod komolyan, hogy 1 db. esetbol ertelmes ember altalanos kovetkeztetest von le. De, ahogy irtam, es huszadszor is irom, nem milliok, csak 10000-ek szamitanak, a fejlesztok. Aki viszont barki lehet. Aztan ezt szepen hasonlitsd ossze valamelyik nagy kereskedelmi projecttel, meg az azon dolgozo emberek szamaval, aztan toprengj el.
    Mutasd a teljes hozzászólást!
  • Ha szerinted ez nem így van, akkor mivel magyarázod a másik cikk ténymegállapítását:

    Idézem:
    "Mint időközben kiderült, a betörést lehetővé tevő sebezhetőséget az egyik kernel-fejlesztő, Andrew Morton már hónapokkal ezelőtt, szeptemberben felfedezte, azonban a 2.4.22-es kernelbe már nem kerülhetett bele, így csak a hétvégén megjelent 2.4.23-as változatban került javításra. Ugyanakkor a legújabb, 2.6-os kernelben is megvan a hiba a test5-ös változatig bezárólag."


    Szóval, ha szerinted milliók látják és böngészik át a kódot, akkor:


    - Miért 2-3 hónapig tartott kijavítani a hibát?

    - Miért tudta azt egy hacker kihasználni?

    - Miért van az, hogy a hibát MÉGIS EGY KERNELFEJLESZTŐ találta meg, nem pedig Juci néni öccse, hisz nála is van forrás. Meg gondolom Nálad is...

    - Miért van benne majdnem az összes további disztribben?

    Mutasd a teljes hozzászólást!
  • - vagy nem értesz hozzá és ezért nem mész vele semmire, csak foglalja a helyet :)
    - vagy nem érdekel, és szintén csak foglalja a helyet :)
    - vegy nincs rá X éved, hogy megbizonyosodj arról, hogy SZERINTED biztonságos az általad használt cucc.


    Bocs, de szerintem meg ez demagog. Termeszetesen nem arrol szol a nyilt forras, hogy te magad vizsgalod at az osszes programot, amit hasznalsz, hanem arrol, hogy barki megteheti, maskepp fogalmazva: sokan, mindenfele emberek (olyanok is, akik nem ertenek hozza :) ) megteszik. Tehat az, hogy van-e hiba, vagy backdoor (szerintem elegge tul lett hangsulyozva ez a backdoor kerdes) a rendszerben, azt nem egy 'entitasnak' (erdekcsoportnak, cegnek) hiszed el, hanem egy nagyon is inhomogen csoportnek. Es pont ez az inhomogenitas (bocs, de most nem ikerul szebben megfogalmazni) az, ami novelheti a bizalmadat.

    Igy nem egy cegnek hiszel, hanem sok cegnek es maganembernek egyszerre.
    Mutasd a teljes hozzászólást!
  • Mert valahogy nekem ez ugrott be így elsőre.

    Linus Torvalds, Alan Cox, Richard Stallman milyen országban él és dolgozik szerinted?

    És ha ne talántán valaki rájönne a turpisságra, akinek meg van a technikai felszereltsége és tudás alapja ahhoz, hogy ennek utánna járjon, vajon fogná és feltenné az Anit-MS oldalak fórumaira? Vagy kiállna a tv elé? Talán a háttérben a többieket figyelmeztetné? Mert ugye ha ezt valaki felfedezi hatalmas ütőkártyája lehet hirtelen.

    Ha egy nyílt forrású szoftverben van egy backdoor, annak ismerete nem ugyanilyen "ütőkártya"?


    Egyébként mindkét felvetésről az a véleményem, hogy csak egy paranoiás veszi komolyan ezeket. A válaszokkal (kérdésekkel) csak arra szerettem volna rámutatni, hogy ha valaki paranoiás, akkor nem csak az MS-től kell félnie, de minden mástól is.

    Jó hír, hogy a jelek szerint te ne vagy paranoiás (mert a nyílt forrástól nem félsz, csak az MS-től), csak éppen finoman szólva nem megalapozott a véleményed.
    Mutasd a teljes hozzászólást!
  • 1. Az MS-nek nem erdeke, hogy backdoor-t tegyen a windowsba. Ha a kormany rakenyszeriti, az ellen nem tud mit tenni. Az MS filozofiaja, hogy vedi a szemelyisegi jogokat.

    2. A lehetoseg es a lehetoseg kihasznalasa ket erosen kulonbozo dolog. Altalaban a lehetoseg kihasznalasa az, ami szamit.

    Az 1. pont a bizalomrol szol. Optimistan feltesszuk, hogy az MS 'jo'. Egeszen addig, amig ellenkezojet nem latjuk.
    A 2. pont egy 'eletbolcsesseg' :)

    Ez a ket pont a nyitja az optimista es bolcs hozzaallasnak a kerdesben.
    Mutasd a teljes hozzászólást!
  • "A választás lehetősége a szép a dologban, nem az, hogy élsz e vele vagy sem."


    Ezzel csak az a bajom, hogy picikét demagóg szöveg. Ez okozza a hamis biztonságérzetet.

    Mert mire jó az, hogy ott van a gépeden a rendszered teljes forrása, de:

    - vagy nem értesz hozzá és ezért nem mész vele semmire, csak foglalja a helyet :)
    - vagy nem érdekel, és szintén csak foglalja a helyet :)
    - vegy nincs rá X éved, hogy megbizonyosodj arról, hogy SZERINTED biztonságos az általad használt cucc.


    Mert azt senki nem mondja, hogy egy többszáz megás forrásban 2 óra alatt kiszúrja a backdoort...

    Ha pedig átnézted az egészet és nem találtál benne rést, akkor az még mindig nem bizonyítja azt, hogy VALÓBAN BIZTONSÁGOS is az a program, csak annyit jelent, hogy TE NEM TALÁLTÁL benne hibát. És ne kelljen senkinek sem elmagyaráznom, hogy a tények és a magát zseninek képzelő kóder szubjektív gondolatai között óriási különbség van...


    A gond az, hogy mindenki ezzel a "választás szabadságával" jön és felhozza ÉRVKÉNT, miközben nem él a lehetőséggel.

    Mert ELVILEG megteheted, hogy átnézed a kódot. GYAKORLATILAG viszont szinte 0 esélyed van arra, hogy megtalálj egy bugot...

    De hitegesd csak magad ilyen dumákkal, hogy milyen jó, hogy megtehetnéd... Ettől viszont nem leszel biztonságban, csak a hamis biztonságérzetben.

    Én legalább lehetek paranoiás a Win-el a gépemen :)))
    Mutasd a teljes hozzászólást!
  • Miért lenne érdeke, hogy az MS backdoort tegyen az oprendszerbe? Miért is tenne bele, hisz ha kiderül lecsukják a vezetőséget. Vagy még sem? A kérdés talán az, hogy mi érdeke származhat abból az USA kormányainak, ha az MS backdoort tesz a rendszereibe? Mert valahogy nekem ez ugrott be így elsőre. És ha ne talántán valaki rájönne a turpisságra, akinek meg van a technikai felszereltsége és tudás alapja ahhoz, hogy ennek utánna járjon, vajon fogná és feltenné az Anit-MS oldalak fórumaira? Vagy kiállna a tv elé? Talán a háttérben a többieket figyelmeztetné? Mert ugye ha ezt valaki felfedezi hatalmas ütőkártyája lehet hirtelen.

    Az meg egy másik, hogy a felhasználók 99,99999%-a nem él a lehetőséggel, de élhetne vele. És itt van a kutya elásva. A lehetőség adott, azt, hogy használják e az már usertől függ. A mikor sütő például elképesztő funkciói vannak, ebből én csak kettőt használok: az idő beállítást és az erőséget, de ezen kivül ott van még egy halom másik gomd és tekerő, de nem használom.
    Ezen felül, hogy mi a userek 99,99999%-a jó, azt én nem tudom. Ha Te tudod igazán megsughatnád, egyből olyan programokat készítenék.

    A választás lehetősége a szép a dologban, nem az, hogy élsz e vele vagy sem.
    Mutasd a teljes hozzászólást!
  • Ha viszont a M$ tesz be egy backdoort a rendszerbe neki nyilvánvalóan nem érdeke ezt felfedni, míg nyílt forráskód esetén a backdoor elhelyezőjével ellenérdekelt felek is hozzáférnek a forráshoz.

    Csak éppen Microsoftnak egyáltalán nem érdeke backdoort becsempészni a Windows-ba, amikor ezzel tenné a legnagyobb kárt magának, mert azon kívül, hogy a fél vezetőséget lecsuknák, soha senki többet egy fél Windows-t sem rakna fel a gépére. El nem tudom képzelni milyen típusú backdoor lehet az ami olyant előnyt nyújtana, hogy megérné ezt a kockázatot. Te tudnál racionális választ adni erre?

    Még azt sem mondhatod, hogy minimális a lebukás veszélye, mert ha a biztonsági rést a forráskód nélkül is fel tudják fedezni, akkor biztos lehetsz benne, hogy a backdoort is megtalálják azok akik értenek hozzá és van idejük foglalkozni ezzel. Akik meg nem, azoknak a forrás is csak egy nagy rakás betű, meg szám, és tök mindegy, hogy van -e vagy nincs.
    Mutasd a teljes hozzászólást!
  • Már megint tök lényegtelen dolgoknak tulajdonítasz óriási jelentőséget.

    Annak ugyanis akinek fontos, hogy a maga által használt kódot forgassa, egyáltalán nem kell Windows-t használni. Használjon azt amit akar, bújja évekig a kódot mielőtt leforgatja (csak nehogy a szövegnézegető programja is manipulált legyen, hogy elrejtse a backdoorokat a forráskódban - ha már a paranoiásak vagyunk, legyünk igazán azok!), aztán forgassa le és használja a két évvel ezelőtti programokat, amikben azóta éppen csak 50 új sebezhetőséget fedeztek fel. Darabonként.

    Azt átlagfelhasználó (a felhasználók 99.999999%-a) meg Linuxon is azt csinálja, hogy simán feltelepíti a CD-ről a progit, ha van benne backdoor akkor azzal, ha nincs akkor a nélkül, és még forgatni sem nagyon forgatja újra, csak ha valami speciális dolog miatt kell neki. Tehát semmi hasznát nem veszi annak, hogy láthatja a forráskódot. Innentől kezdve ez tökéletesen lényegtelen.

    Akinek mégsem, azt meg mint mondtam, használjon olyan kódot amit átnézett, de ne akarja már megmondani, hogy a maradék 99.999999% embernek mi a jobb!
    Mutasd a teljes hozzászólást!
  • A lényeg hogy megteheted - és sokan teszik is. Ez persze nem jelenti azt hogy Jucika nekiáll linux kernelt böngészni, erre a célra megvannak a biztonsági cégek akik ilyesmiből élnek (és találnak hibákat időnként a M$ cuccaiban is, bár forráskód nélkül kicsit biztos hogy macerásabb a dolog). Ha viszont a M$ tesz be egy backdoort a rendszerbe neki nyilvánvalóan nem érdeke ezt felfedni, míg nyílt forráskód esetén a backdoor elhelyezőjével ellenérdekelt felek is hozzáférnek a forráshoz.
    Mutasd a teljes hozzászólást!
  • Ehhez azért hozzátenném ezeket:

    A Microsoft megnyitja a Windows forráskódját Japánnak (2002.11.28.)

    Megnyitják a Windows CE forráskódját (2003.04.10.)
    Betekintést enged a Windows kódjába a Microsoft (2003.08.04.)

    Mit is akarok ezzel szemléltetni? Azt, hogy azért nem eszik olyan forrón a kását, és nem úgy ment idáig sem a dolog, hogy egy halom intézmény megkapta a kódot és tessék átvizsgálni. A legutolós hír is alig négy hónapos, így azt sem mondhatjuk, hogy ez az MS-nél renszeresített gyakorlat lett volna a múltban, hanem igen is most kezdik el érezni a nyomást, mely a nyílt forrást igénylők felől jön.
    És a legutolsó hírben is az a legérdekesebb, hogy aki igényli az elmehet Redmondba és átvizsgálhatja a kódot. Igaz modosíthat is a kódban, de mit is modósít valójában? Ez nem olyan mint, amikor letöltöm pl a Debian forrását átnézem aztán azt használom, amit én forgatok. Itt pont arról van szó, hogy megveszi az illető a Win-t, amit feletelepít és ha érdekli a kódja elbaktat Rendmondig, ott megmutatják és annyi, de azt, amit megmutatnak, nem használhatja végülis. Ez a kód módosítás is igen kemény keretek között történhet így ténylegesen sem tudod mondani, hogy a saját magad látta kódot, saját magad módosította kódot használod.

    Hm, picit belekavarodtam, de remélem értehtő, hogy azért nem ugyan az megmézni a Win kódját, mint végig nézni egy Linux kódot, mert míg a Wint telepítőről teszed, addig a *nixnál megteheted, hogy végig néz(heted)ed először a kódot majd azt telepítgeted, nem az előre készített telepítő verziót használod.
    Mutasd a teljes hozzászólást!
  • "Ma már elég sokan megnézték a win forrását az ms-en kivül (bár a várakozásoknál kevesebben) igy igen hamar kiderült volna, ha van benne valami backdoor vagy hasonló."


    Ebben tökéletesen igazad van, én is érdekesnek nevezem a jelenséget :)))


    A dolog megint az open-source LÁTSZÓLAGOS BIZTONSÁGÉRZETÉRE vezethető vissza.

    Olvastam nemrég egy felmérést - sajnos a forrását már nem tudom - de a lényege a következő volt:

    - A megkérdezett cégek nagyon nagy (70-80% körül) része fontosnak tartotta azt, hogy nyílt legyen a forráskód.

    - Ugyanezen cégek 1%-a SEM volt arra hajlandó, hogy a nyitott forráskódba belenézzen, erre hozzáértő embert alkalmazzon.


    Szóval számomra itt vállik nevetségessé az a biztonságérzet melyet sokan a nyílt forrásnak tulajdonítanak. Mert ugyebár hangoztatjuk, hogy milyen jó az, meg hogy több szem többet lát... Ezt már nagyon sokat hallottam itt a fórumon is, de még egy embert sem láttam ezek közül, aki rászánt volna akár egy hetet is a backdoor-vadászatra...

    Arról nem beszélve, hogy egy ekkora forráskódban milyen esélyel találsz meg egy backdoort... Szerintem kb. azonos az esélyed, mint zárt forrás esetén :)))

    Mutasd a teljes hozzászólást!
  • Ha viszont felretesszuk vegre ezt a back door temat (ami lehet erdekes pl. egy szuperbiztonsagos intezmeny, az allam, stb szamara, de realisan szemlelve rank kicsi a veszelye)


    Ehhez azért hozzátenném, hogy mindezen intézmények meg is kapták a win forrását átnézték és ezután használják...
    Ma már elég sokan megnézték a win forrását az ms-en kivül (bár a várakozásoknál kevesebben) igy igen hamar kiderült volna, ha van benne valami backdoor vagy hasonló. Mert bár a non-disclosure agreement amig aláirsz a forrás megtekintésével kapcsolatban szigoruan tiltja egyetlen sor nyilvánosságra hozását is belőle, azt semmi nem tiltja, hogy szétkürtöld a világba, hogy mondjuk az xy api z függvényében backdoort rejtett a micorost és tessék óvakodni tőle, amit aztán forrás nélkül vissza lehet fejteni, hogy tényleg igaz-e. De ilyet még felvetés szintjén sem hallhattunk miért? Vagy a fent nevezett szervezetek miért döntöttek a win mellett a forrás kielemzése után is?
    Mutasd a teljes hozzászólást!
  • Hali!

    Teljes mértékben egyetértek!
    Mutasd a teljes hozzászólást!
  • Ez szép!

    Valaki egyszer mumust kiállt és máris elszabadul a pokol...

    Pedig azt hinné az ember, hogy az informatika iránt érdeklődő egy gondolkodó, intellektuális lény...vagy mi a fene.

    Persze most lehet jönni, hogy nem is igaz, mert Ő kezdte, és különben is...
    Szeretném felhívni a vitatkozó úri közönség figyelmét, hogy egyik fél számára sem jelent mentséget az, hogy igaza van.

    Ha türelemmel (nagyon fontos tulajdonság!), és a másik építésnek szándékával, minden önfényező okoskodást, úri sértődöttséget, valamint a meg nem értett zseni szerepének eljátszását mellőzve magyarázunk el vmit, akkor hiszem, hogy célt lehet érni.

    Nézzétek meg: Megjelenik a hír, és az első reakció, természetesen intelligens hörgésben elhalva: "A Linux szaaaaaaaaarrrrrrghhhhh!!!"

    És innentől kezdve egy értelmes mondat sem hangzik el. Csak jönnek az URL-ek, az RFC-k, a statisztikák, a prekoncepciók...
    Szerintem ez nem értelmes kommunikálás. Egyik részről sem.

    Félelmetes eredményt tud produkálni a felületes tudás, az általánosítás, a demagógia. Miért nem lehet közös nevezőre jutni? Ez csak akarat kérdése...

    Ja, hogy miért írtam ezt ide? Csak úgy, hátha érdekel vkit és gondolkodik egyet rajt'...
    Mutasd a teljes hozzászólást!
  • Csak az a jó az eglszben, hogy a cím feltételes módban van


    Na ja, csak mar reg nem arrol van szo, hogy van vagy nincs egy szabadlabon levo local-root exploit
    Mutasd a teljes hozzászólást!
  • Azért látom jól elvagytok.:lol:
    Csak az a jó az eglszben, hogy a cím feltételes módban van.
    Mutasd a teljes hozzászólást!
  • Vicces szemszogbol nezed a vilagot, az biztos, de en is unom, hogy folyton magadat ismetelgeted, ugyhogy reszemrol is lezarhatjuk.
    Mutasd a teljes hozzászólást!
  • Akkor miert ezt ragadod ki, miert nem azt, hogy ez a ceg (az attrition.org szerint) hamisan allitja magarol, hogy 95 ota ;gyujt biztonsagi adatokat'. A cafolat ott van, ott van a ceg regi weboldalara a link a web.archive.org-rol, stb.

    Könyörgöm, kegyelmezz! Hadd ne kelljen elsírnom magam! Hogy gondolhatod komolyan, hogy bárminek a nem létét lehet bizonyítani?! Maximum egy modellben, de nem a valós életben.

    Ja, es ne felejtsuk el, hogy ha te nyitsz egy oldalt, ahol osszehordasz avlakirol mindenfele suletlenseget (ahogy irtad) az azert eleg kis valoszinuseggel kerul fel az adott cegrol/szemelyrol a google talalati lista masodik helyere (ez nem tul eros erv, de elgondolkodtato, hogy rogton a ceg oldala alatt ez volt

    Jó, akkor be is fejezhetjük a vitát, mert a Prog.Hu cikkei úgy általában elég elöl jönnek a Google releváns találati listáiban - erre az oldalra meg leginkább én írok. Így ha a te logikádat követjük, akkor nyugodtan vehetjük szentírásnak azt amit én írok le, hiszen az "én honlapom" húdemennyire elöl jön a Gugli listájában. Nemde?

    Valójában azonban az a helyzet, hogy attól még, hogy valami populáris - és a Google rangsorolását elsődlegesen ez határozza meg - még egyáltalán nem biztos, hogy igaz, megalapozott, stb. is.

    Bocs, de a többire inkább nem reagálnék, mert kb. hasonlóan megalapozottnak vélem az összes többi megállapításod is, és félek, idő előtt elfogyna a türelmem. A magam ismételgetését pedig már egyébként is unom.
    Mutasd a teljes hozzászólást!
  • Mert kb. ennyire megalapozott az amit az mi2g-ről úgy egészében írnak, meg szintén nagyon sok köze van annak - a szintén nem igazán hitelesen cáfolt - ténynek, hogy az elnöknek nincs PhD-je ahhoz, hogy a cég biztonsági szakértői mennyire értenek a dolgukhoz, és mennyire nem.


    Akkor miert ezt ragadod ki, miert nem azt, hogy ez a ceg (az attrition.org szerint) hamisan allitja magarol, hogy 95 ota ;gyujt biztonsagi adatokat'. A cafolat ott van, ott van a ceg regi weboldalara a link a web.archive.org-rol, stb. Attol meg lehetnek ott hibas ervek IS. Ja, es ne felejtsuk el, hogy ha te nyitsz egy oldalt, ahol osszehordasz avlakirol mindenfele suletlenseget (ahogy irtad) az azert eleg kis valoszinuseggel kerul fel az adott cegrol/szemelyrol a google talalati lista masodik helyere (ez nem tul eros erv, de elgondolkodtato, hogy rogton a ceg oldala alatt ez volt - probald ki egy masik ceggel, vagy a CERT-nel, nem biztos, hogy sikerul)

    A marketing is nagyon sokat szamit, ezzel eleg jol (es talan olcsobban) ki lehet kompenzalni, ha a termek gyenge.

    Kicsit kevered már a dolgokat, de nem baj. Ugyanis a szerinted tendencia szintjén jelen lévő "elrejtett feature"-ökről volt az előbb még szó


    Hat, szerintem nem keverem, es nem is en lovagolok a rejtett ficsorokon (le sem irtam ezt a szot, csak nalad fordul elo)... Kicsit uncsi ez a jatszmazas. Most mar ertem, miert irtak par nappal ezelott rolad, amit irtak. Ferditesz, es csusztatsz. Az egy kicsit sem zavar, hogy vagy 3szor leirtam, hogy alapvetoen nem a szandekosan elrejtett ficsirok, back doorok (hivd, ahogy tetszik) miatt tartom az OS-t biztonsagosabb megoldasnak? Komolyan mondom nem ertelek. Nem talalsz olyan embert, akinek ez a velemenye, ezert vitazol velem ugy, mintha en ezt allitanam, vagy igy kenyelmesebb? A rosszindulatu verzioimat egyelore megtartom magamnak.

    Ha viszont felretesszuk vegre ezt a back door temat (ami lehet erdekes pl. egy szuperbiztonsagos intezmeny, az allam, stb szamara, de realisan szemlelve rank kicsi a veszelye), akkor talan lesz ertelme annak amit irtam - ugyanis en a szoftver hibakrol, hataridokrol, a piac reagalasarol a kesesekre, stb. beszeltem, meghozza azert, mert ezek sulyosan befolyasoljak a termek minoseget.

    Egyrészt azért hamis az érvelésed, mert attól, hogy szúrópróbaszerűen ellenőrzik a pékeket, még bőven emberek tízezreit is megmérgezhetik mielőtt "lebuknak"


    Jaja. Irtam is, hogy a mergezes rossz pelda, de valahogy ez elkerulte a figyelmed. En a minosegrol beszelek. Te mirol? Es miert arrol? Nem ertem, hogy ha mindketten szamitastechnival foglalkozunk, miert kell santa analogiakkal veszodnunk, de legyen: a pekek sporolni akarnak, es rossz minosegu (es esetleg egeszsegre artalmas, de nem mergezo) alapanyagokat kevernek a kenyerbe, mert az olcsobb. Ezert ellenorizzuk oket. Nekik megerne csalni, mert ha nem ellenorzod, nem derul ki. Talan eszreveszed, hogy kicsitvacakabb, mint szeretned, de ez van a legtobb szupermarketben. Egeszsegedre.

    Te hasznalnal olyan kriptografiai algoritmust, aminek a mukodeset nem ismerheted?

    Szerintem mindannyian nap, mint nap használunk ilyeneket, mert
    - egyrészt nem vagyunk matematikusok, így nem tudjuk ellenőrizni még azt sem, hogy mennyire megbízható az algoritmus, hanem elhisszük a szakembereknek
    - másrészt mert nem nézzük át minden használt programunk forráskódját.


    Jo, koszi szepen, hogy hulyere veszel. Ugye azert irtam a magyarazatot arrol, hogy nem az a lenyeg, hogy te kriptografiailag elemezni tudd az adott algoritmust, stb... (lasd ott), hogy utana 1 db. kiragadott mondatra valaszolj, mintha az lenne az en szep lesarkitott velemenyem? Minek irtam melle meg masik 5 mondatot?

    Nyilvan nem tudod kriptanalizalni az algoritmust, mert eleg sok szakerto kell hozza, hogy egy hibat felismerjenek. Csakhat ugye hogy ismeri fel a sok szakertobol egy, ha max 3 latja? Sehogy. Meg aztan azert csak tanulhattad a suliban, hogy hogy mukodik pl. az RSA (megha az szabadalmaztatott volt is), es megerthetted az alapelvet. Igy azert konyebb bizni.

    Nem nezem at minden programom kodjat, nyilvan. Ezenkivul meg egy csomo dolog van, amit trivialisan nem teszek. A kerdes az: kiben bizol. Egy zart, homogen csoportban, akiket kozos erdek vezerel, vagy egy nagy, inhomogen csoportban. Az OS szoftverek kodjat leggyakrabban nem unalombol, meg installalas elott olvasgatjuk, hanem akkor, amikor javitani/fejlesztenivalo van rajta. De mivel szinte barki belenyulhat, belenezhet, stb... a tobbit mar ismered, leirtam.


    Az emberek ezenkivul lustak (kulonben nem is programoznanak ;) ), es hajlamosak atmeneti megoldasokat osszedobni (foleg az ido szoritasaban),

    Tehát ugye most akkor megerősíted azt a felvetésemet, ami szerint a nyílt forrású programok alapvetően elég trehányak legalább a forráskód minősége szempontjából, igaz? Mert zárt forrású program forráskódját - a sajátodon kívül - nyilván nem nagyon láthatod (nem annyit, amennyi reprezentatív lehetne, vagy akár csak bármilyen általánosításra adna lehetőséget).


    Hat, eleg nagy logikai bakugrasokat kovetsz el, nem mondom. Ha megegyszer megnezed (elsore nem szokott sikerulni), akkor jol latod, hogy altalanossagban beszeltem az emberekrol, programozokrol. Ebbol kovetkezik az is, hogy az OS programozok is ilyenek (alapvetoen), meg az is, hogy a zart kodot fejlesztok IS ilyenek. Nem? Vagy te gyorsan fogod az altalanos kijelentesemet, es ravetited arra a konkret csoportra, amelyik neked tetszik? Mert akkor az mar egy masik kijelentes, es toled hangzik el, nem tolem.

    Ha azt mondod, hogy tul sok zart kodot senki nem lathat (gondolom akkor te sem, nem csak en), mert zart, akkor mire is alapozod, hogy az jobb minosegu? Ha nem jobb minosegu (a megirasakor), akkor nem tesz neki megis jot a kozszemle?

    Nagyon ritkan latok szep, jol atgondolt kodot, vagy legalabb olyat, ami megkozeliti az enyem szinvonalat(!).

    Annak mindenesetre örülök, hogy látatlanban is egy megtestesült etalonnal vitázhatok, aki szerint nyilvánvalóan mindenki más lusta és hülye a programozáshoz, de ő tökéletes kódot állít elő.


    Alapszabaly: ha a partnereddel nem tudsz erdemben vitazni, akkor legalabb probald meg invalidalni a szemelyet, allitsd be negativ figuranak. Lattad te valahol, hogy en azt irtam, hogy mennyire jol csinalom, amit csinalok? Azt irtam, hogy "szep, jo, vagy legalabb olyat". A vastaggal szedett szavak kozul melyiket nem erted?

    Paranoia: szep az elmeleted, de a hozzaallas, es a panikkeltes ket kulonbozo dolog. Csak annyirol van szo, hogy amit nem latok, azt nem hiszem el, abban nem bizom (a felreertes elkerulese vegett, ez egy altalanos kijelentes, nem feltetlen kapcsolodik hozzam). A magyart nyelvet, meg az olcso piszkalodast hagyjuk (lasd az elobbi bekezdest).



    Mutasd a teljes hozzászólást!
abcd