» »

IE in Outlook Lukenj™

IE in Outlook Lukenj™

ZDNet - Očitno bom primoran Primožu začet težit za izdelavo "pošlji novico o Luknju™" obrazca, ki bo sam sestavil novico iz podanih podatkov :]. No, tokrat je na tapeti zopet Internet Explorer oz. Outlook, težava pa tiči v cross-domain skriptiranju v HTML objektih na spletnih straneh ali v email sporočilih, preko katerega bi ZlaSila lahko brala uporabnikove piškotke, dokumente oz. celo izvršila ZloKodo™. Nič novega torej, popravek pa še ni na voljo. Klik!

Že velikokrat pa se je govorilo o problemu obveščanja javnosti o hroščih, za katere še ni zdravila. V nekem primeru je Microsoft zelo glasno javno napadel oz. celo prepovedal objavo tovrstnih informacij, saj s tem potencialno povečajo nevarnost izrabe varnostne luknje. Kaj o tem menite vi -- je prav, da se javnost obvešča, ali pa naj se raje počaka do trenutka, ko je na voljo popravek? Hvala.

19 komentarjev

tigrr ::

naj se ve, kak dre$ dela MajhniMehki. :)

kuglvinkl ::

Naj se čaka z objavo, da bo na voljo popravek... Absolutno nobenega argumenta ni za to.
Your focus determines your reallity

Kriko ::

Ja kakor pogledaš, po eni strani je prav po drugi pa je res tako ponudiš "zlem osebam" na pladnju vstop v določen sistem!
Sam si tako ali tako do poravka ne moreš pomagat zato bi mogoče le bilo boljše ne obveščat, seveda pa bi Microsoft ko se to izve takoj moral ukrepat z popravkom!!

Ziga Dolhar ::

Moje mnenje je, da bi se moglo počakat do izdaje popravka ali celo teden dni več. Ker prehod na drugo aplikacijo ni tako preprost in poceni, kot je to rečt.

Kriko: Microsoft s popravkom ne more ukrepat takoj, ko se to izve. No, v bistvu to naredi, ampak pri tem je _TOLK_ stvari, da stvar ne more bit narejena v enem dnevu. To je blazno lepo razložil Andrej Budja v svojem predavanju v Piranu.

kuglvinkl ::

Da morajo _TOLK_ stvari popravt je zgolj in samo stvar njihovih razvojnih oddelkov. In stvar neodgovornosti Microsofta. Me pa čudi, da v današnjem svetu, ki mu, poenostavljeno, vladajo multinacionalke, zagovrjate njh. Ja, MS je res bogi, ker ne more vseh fičerjev zrihtat (katere pa seveda potrebuje, ker cena delnic drugače ne bi šla gor..)
Your focus determines your reallity

Ziga Dolhar ::

"_TOLK_" se ne navezuje na število bugov. Vprašanje pa je bilo o obveščanju javnosti in ne o grdih grdih tnk podjetjih.

kuglvinkl ::

Ne mi rečt, da tu ne vidiš povezave? OK, iz srca, magari common sense, zakaj misliš, da MS zahteva prepoved objave luknje do izida popravka.

Your focus determines your reallity

andrej ::

1. obicajno je v svetu tako, da se varnostne luknje ne objavi takoj. Najprej se gre do proizvajalca in se pocaka kaksen teden, da lahko naredi patch. Vcasih lahko naredijo patch recimo v eni uri, spet bolj zagamane stvari lahko trajajo teden dni. Potem je tukaj se testiranje. Glede na kolicino harvera in softvera in vseh moznih kombinacij je potrebno patch dobro stestirat kar stane - tako financno kot casovno.
kuglvinkl: a si ti ze mogoce delal na kaksnem sofveru z vec miljon vrsticami kode in tisocimi testnimi matrikami? Sem si mislo da ne...

evo zanimivo branje tukaj, ki je res malo prevec MS ampak ipak.

[ceprav sem podal link, to se ne pomeni, da se strinjam z vsem kar tam pise:D ]

Res skoda da nisi bil v Piranu, bi se mogoce se kaj nauco;)

kuglvinkl ::

Če miljarde vrstic niso pretestirane z vsemi kombinacijami, je to problem Microsofta, ker je dal produkt na trg, takorekoč nedokončan. Zakaj je menda jsno. Jaz govorim o tem, ne pa o relanih možnostih da v enem tednu izdaš popravek. to sploh ni point.

Tako, zdaj pa na jazz...
Your focus determines your reallity

andrej ::

to ni samo problem MS-ja, to je problem celotne softver industrije. Zaenkrat se ni nacina kako popolnosta stestirat programsko opremo. Z drugimi besedamo povedat, ni algoritma, ki bi z zagotovostjo lahko zatrdil, da v kodi ni nobenega hrosca. Nobem, se tako kratek program ni popolnoma imun.

andrej ::

aja, se malo "insider" informacij. Noben program se ne izda, ko programerji ne najdejo vec bugov. Noben. Vsako podjetje, ko izda dolocen program VE za dolocene buge, ki ji pustijo notri. Saj ce malo razmislis je to kar logicno z njihovega stalisca. Ker ce bi cakali da ne najdejo buga programa ne bi nikoli izdali. Torej vsak program pride ven z dolocenim stevilom znanih bugov. OB testiranju pa se podjetja odlocijo, kdaj bodo izdala program. Ponavadi takrat ko ne najdejo vec kriticnih bugov (ki recimo povzrocajo crashe, itd). Ko enkrat imajo kodo, ki je stabilna in na dolocenem novoju potem dajo to ven kot RTM.

Se nekaj, dolocenih bugov se blizu release ne splaca popravit. Malo uporabi svoje sive celice, pa poskusaj ugotovit zakaj ;)

Krofojed ::

Seveda je bolje, ce se na objavljajo novice o varnostnih luknjah, dokler ni na voljo popravka. Pa tega ne govorim zato, ker bi bil kak poseben privrzenec MSa, ampak iz cisto koristoljubnih razlogov: ako vesoljni svet ve, kako se dajo poceti grdobije po mojem racunalniku, je pac verjetneje, da jih bo kdo pocel.

Kuglvinkl, tvoje pritozbe nad tem, da MS daje na trg nedokoncane izdelke, pa niso posebej upravicene. Nekaj tako kompleksnega kot je Windows je skoraj nemogoce izdati brez mnozice hroscev - posebej, ce te hrosce iscejo milijoni ljudi. Rekel bi, da se MS od Windows 95 OSR2 dalje kar dobro drzi. Predvsem pa tisti, ki za njihove izdelke ne placujemo (saj ti mogoce placujes, ampak ce bi moral ugibati, bi pa rekel, da ne), nekako nimamo moralne pravice prevec pljuvati po njih.

roscha ::

Andrej: Kljub temu, da si "strokovnjak" Mikrodrek sistemov, nikakor ne morem prebaviti nekaterih tvojih neumnosti... Zavestno izdati produkt, ki vsebuje hrošče in obenm zahtevati END USER LICENSE AGREEMENT (kaj v njej piše dobro veš) Je enostavno PERVERZNO! Poenostavljeno: Plačaj za zvarek kode, za keterega ne odgovarjamo, če pa ne plačaš te bomo pa JEBALI v glavo. In ne mi od miljonov vrstic kode. GNU/GPL licenca (recimo openoffice) Tudi nima par 10 vrstic aopak je FREE . Ja in povsem razumem da NE MOREŠ tožit nekoga ki ti je dsl program ZASTONJ baraba ki pa je za isti drek pokasiral (mucho $$$) pa je s tem izenačen? Blah.

Krofojed: Smola ampak z Andrejem sta oba "čudna" milo rečeno.
Citat: Kuglvinkl, tvoje pritozbe nad tem, da MS daje na trg nedokoncane izdelke, pa niso posebej upravicene. Nekaj tako kompleksnega kot je Windows je skoraj nemogoce izdati brez mnozice hroscev

Eh? a res ? Pač živi(-ta z Andrejem ) v svojem svetu. Blagor ubogim na duhu kajti njih je nebeško kraljestvo.. Eh, da mi ne bko oćital česar koli: Debian distro Linuxa dokaj dobro poznam, zasnovana je striktno GNU/GPL (kdor ne ve kaj to je naj se izobrazi.. , ali drži jezik!) Updat-i so DNEVNI. Zlobna koda??? Kaj je to?? smola ampak vse tele neumnosti okrog M$ IE, OE in ostalih bedarij mi gredo prav na smeh. A LAHKO PLAČAM ZA SISTEM NA KATEREM KONSTANTNO DOBIVAM VIRUSE ČRVE IN OSTALE NEUMNOSTI? Ali pa ne dam pol centa za sistem ki je stabilen delujoč etc in se smejem vsem oslom ki razlagajo da za 500$ MORA mikrodrek ze biti naj naj...
LOL!

Trojaner ::

roscha po moje si milo rečeno "malo zabluzo"

Ziga Dolhar ::

Trojaner: se pridružujem

root987 ::

heh. potencialni cracerji itak vejo za vse take lukne. ce pa to objavijo pa dobijo moznost tud tsti ko samo uporabljajo take program. hekerji pa dvomim da bi ti sesuli sistem glede na to da celo sami za sve prajijo da smo opozarjajo.
"Myths which are believed in tend to become true."
--- George Orwell

andrej ::

roscha:
"Zavestno izdati produkt, ki vsebuje hrošče in obenm zahtevati END USER LICENSE AGREEMENT (kaj v njej piše dobro veš) Je enostavno PERVERZNO!"
Res je! Kot uporabnik se absolutno strinjam!
Realnost pa je popolnoma drugacna.
1. Bugi, ki jih poznajo in jih pustijo v kodi obicajno niso kriticni. Gre vecinoma za kozmeticne buge ali buge, ki nastanejo pri doloceni hardver/softver kombinaciji. Glede na vse mozne kombinacije strojne in programske opreme je NEMOGOCE pricakovati izdelek, ki bi sel ven brez bugov. Zal je taksna realnost. Tudi Open Source zadeve ne grejo ven z 0 bugi. Se enkrat pravim, da meni to vsekakor ni vsec, ampak taksna je realnost. Recimo, pri izdelavi avtomovilov te tudi ve, da pricakujejo recimo 0.1% (govorim na pamet) izpada zaradi napak, ampak to jim ne prepreci, da bi dali avto ven. Kot sem prej reko, ce bi hoteli spravit na 0 bugov, potem Windows 1.0 se zdaj nebi bili odzunaj. Taksna je realnost.
2. Glede licenc. Res je, da MS ne garantira za podatke, kar je tudi logicno, saj ne nadzirajo vsega. Recimo, izguba podatkov lahko pride zaradi kaksne napake v strojni opremi - te zadeve je zelo tezko dokazat.
Saj pri drugih zadevah je podobno. Zato pa so zavarovanje in razni Service Level agreementi. Znova, na pravim da je tako kot je dobro, ampak taksna je vsaj trenutno realnost.

Ne pa si mislit, da je MS edini. Vsa ostala podjetja delajo na cisto isti nacin.

Res je tudi, da je tako kompleksne kode ne mogoce izdat brez hroscev, kaj brez. Lahko bi bli srecni, ce bi meli recimo manj kot 1.000 kaj sele 0. 0 je samo utopija, nemogoce, trenutno neizvedljivo.

Glede GNU/GPL in dnevnih updatov. To se dodaja tudi znotraj MS-ja, ampak njihov model releasanja izdelkov se bistveno razlikuje od Open Source modela. Za taksne debate je kaksen pir najbolj primeren, ker drugace lahko roke odpadejo ;)

Mislim, pa da se lahko vsi strinjamo:
1. Trenutno stanje je dalec od idealnega - ne samo pri MS ampak tudi pri ostalih.
2. Kode brez bugov ni, in trenutno ni navidiku da bi to blo sploh kdaj drugace.
3. Vsak ma svoje mnenje.

Glede informacij o bugih je blo tudi dosti povedanega, celotna zadeva pa je dvorezen mec. S tem, ko bi prisli na plano vsi podatkio varnostnem problemu, se preden se patch pojavi bi:
a. sicer administratorji imeli na voljo te informacije (vprasanje je ali bi do njih prisli, jih prebrali, odbelali in reagirali)
b. dostop do teh informacij pa bi tudi imeli zlobnezi, ki bi te zadeve lahko izkoriscali.
c. proizvajalci bi imeli nekaj casa za patch

Ce ne objavijo problema takoj:
a. vecina administratorjev nebi vedla zakaj se gre.
b. zlobnezi pa bi tako ali tako nekak prisli do teh informacij, ker se te zadeve zelo hitro razsirjajo, se posebej ce gre za MS...
c. proizvajalci nimajo casa za patch.

Nekako pri podjetjih v industriji velja, da imajo raje, ce se jih prej obvesti. To je podobno, kot ce bi ti nekdo povedal da mas slic odprt se preden te paparazzi dobijo v kocljivi situaciji ;)

jure1873 ::

ce napak nebi objavili brez dovoljenja msja bi se lahko zgodilo da ms sploh nebi izdal popravka ali pa bi to naredil v naslenji verziji windowsov.
aja in winsi bi morali imeti verzijo 0.9 ne pa 5.0 glede na vse napake ki so notri [:\]

andrej ::

hja, vcasih to tudi drzi - ni pa treba teh podatkov objavit ze prvi dan ko so odkriti. O stevilu napak bi se dalo razpravljat. Obicajni ljudje se sploh ne zavedajo, da je stevilo relativno majhno, glede na stevilo vrstic napisane kode;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Predplačniška Mastercard.

Oddelek: Loža
336072 (5157) Znida
»

Napadli Wi-Fi v Evropskem parlamentu

Oddelek: Novice / Varnost
257871 (5089) MrStein
»

Ponudniki interneta naj bi zaračunavali nadomestilo za spletno piratstvo (strani: 1 2 3 4 )

Oddelek: Novice / Avtorsko pravo
18849748 (44546) Gregor P
»

E-volitve v Sloveniji: odprto- ali zaprtokodne? (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
12311531 (9455) darkolord
»

ker format DVD-R ALI DVD+R bo prevladal

Oddelek: Strojna oprema
251634 (1306) mare_

Več podobnih tem