Novice » Varnost » Kritična napaka v Ubuntu 5.10 Breezy
antonija ::
Dej nehajte ze zlorabljat dejstev kis o povezana z odprto kodo. Odprta koda pomeni da jo lahko vsak prebira in v njej isce pomankljivosti in buge. Tak nacin upravljanja (vsak vidi vse) se v praksi izkaze za dokaj varnega, ker je vecini pomembna varnost (odsotnost bug-ov), tista pescica, ki pa ima zlobne namene ima pa precej otezeno delo, saj prvi, ki opazi napako (ali cudne loge), opozori "skupnost" na pomankljivost (ali bug) in popravek je ponavadi hitro na voljo.
Ce koda ni javna obstaja na celem svetu pescica ljudi, ki je sposobna odkriti varnostne pomankljivosti med branjem kode. Vsi popravki ki sledijo odkritju lukenj pridejo od te iste pescice, ker samo oni poznajo delovanje softwarea.
Jat osebno raje izberem OS varianto, ce le razmere dopuscajo. Na sihtu to pac ne gre, ker imamo software ki za linux sploh slisat noce. Da bi pa zdaj povsod zaupal nekemu podjetju (ki ima res izvrsten support pri nas), ki ze tako ali tako izdaja popravke s polzjim tempom, mi pa ne disi. Da o spostovanju standardov sploh ne govorimo.
P.S.: Look mom, entire post without mentionig M$!!! D'oh!!
Ce koda ni javna obstaja na celem svetu pescica ljudi, ki je sposobna odkriti varnostne pomankljivosti med branjem kode. Vsi popravki ki sledijo odkritju lukenj pridejo od te iste pescice, ker samo oni poznajo delovanje softwarea.
Jat osebno raje izberem OS varianto, ce le razmere dopuscajo. Na sihtu to pac ne gre, ker imamo software ki za linux sploh slisat noce. Da bi pa zdaj povsod zaupal nekemu podjetju (ki ima res izvrsten support pri nas), ki ze tako ali tako izdaja popravke s polzjim tempom, mi pa ne disi. Da o spostovanju standardov sploh ne govorimo.
P.S.: Look mom, entire post without mentionig M$!!! D'oh!!
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Smeagol ::
Torej tudi ti menis, da hackerjem to da imajo kodo pred sabo nic ne pomaga, tako kot Matthai?
Pa ce vzamem se te tvoje besede: samo pescica pozna delovanje softwarea.
Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno delovanje, manj jih lahko hacka.
Pa ce vzamem se te tvoje besede: samo pescica pozna delovanje softwarea.
Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno delovanje, manj jih lahko hacka.
Zgodovina sprememb…
- spremenil: Smeagol ()
antonija ::
Bom se enkrat ponovil za poacsnejse osebke:
1.
nehajte ze zlorabljat dejstev kis o povezana z odprto kodo
2.
ker je vecini pomembna varnost (odsotnost bug-ov), tista pescica, ki pa ima zlobne namene ima pa precej otezeno delo, saj prvi, ki opazi napako (ali cudne loge), opozori "skupnost" na pomankljivost (ali bug) in popravek je ponavadi hitro na voljo
Kot lahko vecina jasno vidi, ni nikjer zapisano da dostop do kode ne pomaga hackerjem. Nikjer. Sploh. Ce je komu v glvi zrasla ta ideja, naj jo pridno zaliva in gnoji, ker bo drugace hitro uvenela.
Ce se pa se kdo ni naucil brat naj pa le dvigne roko, mam doma se vedno berilo za prvi razred osnovne sole pa mu ga lahko posodim.
1.
nehajte ze zlorabljat dejstev kis o povezana z odprto kodo
2.
ker je vecini pomembna varnost (odsotnost bug-ov), tista pescica, ki pa ima zlobne namene ima pa precej otezeno delo, saj prvi, ki opazi napako (ali cudne loge), opozori "skupnost" na pomankljivost (ali bug) in popravek je ponavadi hitro na voljo
Kot lahko vecina jasno vidi, ni nikjer zapisano da dostop do kode ne pomaga hackerjem. Nikjer. Sploh. Ce je komu v glvi zrasla ta ideja, naj jo pridno zaliva in gnoji, ker bo drugace hitro uvenela.
Ce se pa se kdo ni naucil brat naj pa le dvigne roko, mam doma se vedno berilo za prvi razred osnovne sole pa mu ga lahko posodim.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
BigWhale ::
> Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno
> delovanje, manj jih lahko hacka.
Odstotek ljudi, ki zaradi odprtosti pozna sistem toliko bolje je precej marginalen.
> delovanje, manj jih lahko hacka.
Odstotek ljudi, ki zaradi odprtosti pozna sistem toliko bolje je precej marginalen.
Daedalus ::
Pa ce vzamem se te tvoje besede: samo pescica pozna delovanje softwarea.
Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno delovanje, manj jih lahko hacka.
Security thorugh obscurity je točno to, kaj dela MS...pa ne manka hackerjev, ki veselo najdejo in izkoriščajo varnostne luknje v MS programski opremi. Fora open source modela pa gre direktno v obratno smer - vsi imajo možnost podrobno preučit delovanje tudi na nivoju kode, kar bi po hitrem (in napačnem) razmisleku za nekatere pomenilo, da lahko vsak najde neko luknjo, pa jo pol izkorišča, v praksi pa to pomeni - več oči več vidi in se na tak način lepo poičejo potencialne lukne, pa se pozaprejo. No, včasih se pa kaj zmuzne (glej novico), sam to glede na obseg ene izvorne kode niti ni čudno. Tud MS ga občasno konkretno serje s konkretnimi luknami in jim pri zagotavljanju varnosti nedostopnost do izvorne kode njihovih izdelkov in komunikacije med njimi nič kaj ne pomaga. Sicer me to ne čudi, pri tolko in tolko vrsticah kode se itak IMO statistična verjetnost za konkreten fuckup kr konstantno zvišuje, pri obeh modelih. Samo pri enem še IMO obstaja večja možnost, da se napaka odkrije, kot pri drugem, ker lahko več folka pregleda kodo. No ja, v tem primeru se pač ni, je pa to še vseeno zelo grda malomarnost...
Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno delovanje, manj jih lahko hacka.
Security thorugh obscurity je točno to, kaj dela MS...pa ne manka hackerjev, ki veselo najdejo in izkoriščajo varnostne luknje v MS programski opremi. Fora open source modela pa gre direktno v obratno smer - vsi imajo možnost podrobno preučit delovanje tudi na nivoju kode, kar bi po hitrem (in napačnem) razmisleku za nekatere pomenilo, da lahko vsak najde neko luknjo, pa jo pol izkorišča, v praksi pa to pomeni - več oči več vidi in se na tak način lepo poičejo potencialne lukne, pa se pozaprejo. No, včasih se pa kaj zmuzne (glej novico), sam to glede na obseg ene izvorne kode niti ni čudno. Tud MS ga občasno konkretno serje s konkretnimi luknami in jim pri zagotavljanju varnosti nedostopnost do izvorne kode njihovih izdelkov in komunikacije med njimi nič kaj ne pomaga. Sicer me to ne čudi, pri tolko in tolko vrsticah kode se itak IMO statistična verjetnost za konkreten fuckup kr konstantno zvišuje, pri obeh modelih. Samo pri enem še IMO obstaja večja možnost, da se napaka odkrije, kot pri drugem, ker lahko več folka pregleda kodo. No ja, v tem primeru se pač ni, je pa to še vseeno zelo grda malomarnost...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
M.B. ::
Dokaz za to da več oči popravi več lukenj.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
OmegaBlue ::
Fantje tole je že mejno, kdorkoli bo še enkrat začel flamewar o windows vs. linux v novicah faše naziv direktno zaradi namerne povzročitve flamwara. In me ne zanima kdo to je.
Tako kot se obnašate zadnje čase na forumu je OBUPNO to leti na Microsoft fanboye kot na linux freake.
Zdaj pa lepo prido komentirajte to fletno pomankljivost in se lepo držte za rokce in ffs pustite windows na miru.
Tako kot se obnašate zadnje čase na forumu je OBUPNO to leti na Microsoft fanboye kot na linux freake.
Zdaj pa lepo prido komentirajte to fletno pomankljivost in se lepo držte za rokce in ffs pustite windows na miru.
Never attribute to malice that which can be adequately explained by stupidity.
klemen22 ::
Skratka hujšega buga kot ta praktično ne more biti. FIno pa je da so že odpravili.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
pecorin ::
klemen22 napacno. ker je to "le" local luknja, je ta bug v primerjavi z nekaterimi remote, ki jih ne bom omenjal(ker za linux nobene bolj znane iz zadnjega casa ne poznam, ce pa omenim kak drug os bo pa flamewar ), relativno nenevaren. ce napadalec nima na tvojem serverju accounta, ti ne more nic. razen ce izkoristi kako drugo luknjo in s pomocjo te pride do root gesla. to pa je problem..
Nejc Pintar ::
ni mi popolnoma jasno kako je to le local luknja, če imaš account na mašini se povežeš prek SSH
Lahko je biti prvi, če si edini!
poweroff ::
Remote luknja je, če ne rabiš accounta, local pa, če je za to potreben valid account.
sudo poweroff
lukaz ::
Vsak resen uporabnik po vsaj po inštalaciji nrdi apt-get update, apt-get upgrade (jst mam to v crontabu). To pomeni da se updata in je problem rešen. Neresni uporabniki pa sigurno ne bojo odpiral sshja in dodajal userje. Tako da razn če bi kdo v tistih parih urcah udru, pol je ta napaka čist trivialna....
klemen22 ::
Tako da razn če bi kdo v tistih parih urcah udru, pol je ta napaka čist trivialna....
No razen če se je kdo že prej našel.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
CaqKa ::
>>> Ta bug in še številne druge so odkrili PRAV ZATO, ker je source na razpolago. Koliko bugov pa imajo Windowsi, pa zanje nikoli ne bomo izvedeli...
ko sem jaz oni forum bral sem razumel da je tip kao malopo disku gledal in pač našel to datoteko, ne pa da je po sourcu gledal...
bugi se iščejo tak da poganjaš aplikacijo, ne pa da gledaš kodo.
>>> Odprta koda pomeni da jo lahko vsak prebira in v njej isce pomankljivosti in buge.
aja?!?! od kdaj to?
kolkor jaz vem odprta koda pomeni, to da imaš izvorno kodo na razpolago in jo morebiti popraviš tako kot je tebi bolj všeč.
>>> Torej tudi ti menis, da hackerjem to da imajo kodo pred sabo nic ne pomaga, tako kot Matthai?
jaz menim da bugov, ki so bili odkriti samo z gledanjem kode napram tistim ki so bili najdeni z poganjanjem aplikacije, je zanemarljiv.
tale napaka pa se meni zdi zelo minimalna.. kot je lukaz povedal.. Janez nebo imel sshja. userfriendly pa bo itak lukno zadelal takoj ko bo popravek. tako da se mi zdi da je tale 'kritična napaka' malo pretirana.
ko sem jaz oni forum bral sem razumel da je tip kao malopo disku gledal in pač našel to datoteko, ne pa da je po sourcu gledal...
bugi se iščejo tak da poganjaš aplikacijo, ne pa da gledaš kodo.
>>> Odprta koda pomeni da jo lahko vsak prebira in v njej isce pomankljivosti in buge.
aja?!?! od kdaj to?
kolkor jaz vem odprta koda pomeni, to da imaš izvorno kodo na razpolago in jo morebiti popraviš tako kot je tebi bolj všeč.
>>> Torej tudi ti menis, da hackerjem to da imajo kodo pred sabo nic ne pomaga, tako kot Matthai?
jaz menim da bugov, ki so bili odkriti samo z gledanjem kode napram tistim ki so bili najdeni z poganjanjem aplikacije, je zanemarljiv.
tale napaka pa se meni zdi zelo minimalna.. kot je lukaz povedal.. Janez nebo imel sshja. userfriendly pa bo itak lukno zadelal takoj ko bo popravek. tako da se mi zdi da je tale 'kritična napaka' malo pretirana.
poweroff ::
Ti sicer lahko tako meniš, jaz pa poznam ljudi (iz tega foruma, ja), ki so šli načrtno gledat kodo in so našli buge.
sudo poweroff
antonija ::
>>> Odprta koda pomeni da jo lahko vsak prebira in v njej isce pomankljivosti in buge.
aja?!?! od kdaj to?
kolkor jaz vem odprta koda pomeni, to da imaš izvorno kodo na razpolago in jo morebiti popraviš tako kot je tebi bolj všeč.
In vecini bralcev kode bugi niso vsec, zato si ji popravijo (in popravke dajo med druge uporabnike). Kaj te zdaj tle moti?
aja?!?! od kdaj to?
kolkor jaz vem odprta koda pomeni, to da imaš izvorno kodo na razpolago in jo morebiti popraviš tako kot je tebi bolj všeč.
In vecini bralcev kode bugi niso vsec, zato si ji popravijo (in popravke dajo med druge uporabnike). Kaj te zdaj tle moti?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Smeagol ::
Kaj pa tisti, ki take napake izkorisitijo v svojo korist? Svet ni samo lep, kot si ti mislis. Ti ves cas predpostavljas, da bo vsak, ki najde kakrsnokoli napako in jo zna popraviti, le to popravil in na to obvestil vse ostale in dal popravek na voljo. S tako predpostavko ima tvoje razmisljanje smisel.
Je pa res, da z branjem kode ne bos napak odkrival.
Je pa res, da z branjem kode ne bos napak odkrival.
Zgodovina sprememb…
- spremenil: Smeagol ()
CCfly ::
Je pa res, da z branjem kode ne bos napak odkrival.
Pregled kode pač je eden od načinov verifikacije pravilnosti programa, tako da tile argumenti niso ravno na mestu.
Pregled kode pač je eden od načinov verifikacije pravilnosti programa, tako da tile argumenti niso ravno na mestu.
"My goodness, we forgot generics!" -- Danny Kalev
poweroff ::
Ne vem če to veste, vendar večje organizacije imajo z aposlene ljudi, ki pred nabavo softwera le-tega tudi varnostno pregledajo. Jup, tudi Telekom Slovenije ima take ljudi. In to so res dobri strokovnjaki. Pregledujejo pa tudi closed source programe (pač podpišejo NDA). Je pa res, da se ne hvalijo preveč naokoli.
sudo poweroff
para! ::
Hm, Matthai, podpišejo NDA, za recimo del kode, ki jih zanima, ne?
Ker nisem lih vešč v programiranju, me zanima še, a lahko closed-source-podjetje da v vpogled kodo, ki ni prava? Recimo, da bi v kodi za ogled odstranli en backdoor, ki bi v pravi kodi seveda obstajal. Kako bi potem ta strokovnjak to opazil?
lp
Ker nisem lih vešč v programiranju, me zanima še, a lahko closed-source-podjetje da v vpogled kodo, ki ni prava? Recimo, da bi v kodi za ogled odstranli en backdoor, ki bi v pravi kodi seveda obstajal. Kako bi potem ta strokovnjak to opazil?
lp
Death before dishonor!
antonija ::
@Smeagol: Ne me silit da se spet in spet ponavljam... a je res tako tezko prebrat cel prejsnji post in ga obravnavat kot celoto, ne pa vzet iz njega tisti del ki ti najbolj pase (brez nadaljevanja ki objasnjuje izbrani del) in potem replicirat?
Z moznostjo dostopa do kode lahko vsak (seveda je potrebno znanje in volja) odkriva buge, in pise za njih popravke ali exploite. Tistih, ki pisejo exploite je, v primerjavi s tistimi, ki pisejo popravke, manj. Da bo stvar se bolj otezena za exploit-guy-e, so popravki v zelo kratkem casu dostopni vsem uporabnikom.
Seveda obstaja moznost, da nek nepridiprav odkrije bug, za keterga potem napise exploit. In tega buga ne opzai nihce drug kot le on in samo on. In potem izkorisca ta bug in si dela zombije... Ampak verjetnost da bo en heroj odkril ta bug in da ga ne bo nihce drug opazil je pri dovolj veliki bazi uporabnikov zanemarljiva (ce ne gre za high security siteme, kot bi jih potrebovala kaksna vladna organizacija recimo; tam sklepam pisejo svojo kodo/prilagodijo OS kodo).
Noben ni trdil da je OS princip ultimativno dober in brez napak. Take buce potegnete M$ fanboyi ob cisto vsaki novici, pa naj bo o OS softwaretu ali o M$jevem zaprtokodju. OS je po mojem mnenju (in se mnenju mnogih drugih) varnejsi za koncnega uporabnika (v mojem razredu, ne v razredu obvescevalnih sluzb) od alternativne izbire. Kaj ti zdaj ni jasno? A si res tolk zlo zelis flejmat da se nisi mogu zadrzat?
Z moznostjo dostopa do kode lahko vsak (seveda je potrebno znanje in volja) odkriva buge, in pise za njih popravke ali exploite. Tistih, ki pisejo exploite je, v primerjavi s tistimi, ki pisejo popravke, manj. Da bo stvar se bolj otezena za exploit-guy-e, so popravki v zelo kratkem casu dostopni vsem uporabnikom.
Seveda obstaja moznost, da nek nepridiprav odkrije bug, za keterga potem napise exploit. In tega buga ne opzai nihce drug kot le on in samo on. In potem izkorisca ta bug in si dela zombije... Ampak verjetnost da bo en heroj odkril ta bug in da ga ne bo nihce drug opazil je pri dovolj veliki bazi uporabnikov zanemarljiva (ce ne gre za high security siteme, kot bi jih potrebovala kaksna vladna organizacija recimo; tam sklepam pisejo svojo kodo/prilagodijo OS kodo).
Noben ni trdil da je OS princip ultimativno dober in brez napak. Take buce potegnete M$ fanboyi ob cisto vsaki novici, pa naj bo o OS softwaretu ali o M$jevem zaprtokodju. OS je po mojem mnenju (in se mnenju mnogih drugih) varnejsi za koncnega uporabnika (v mojem razredu, ne v razredu obvescevalnih sluzb) od alternativne izbire. Kaj ti zdaj ni jasno? A si res tolk zlo zelis flejmat da se nisi mogu zadrzat?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
poweroff ::
Hja, saj lahko o pregledu program še sam prevedeš, a ne? Pač, pri velikih poslih je to čisto možno.
sudo poweroff
jype ::
Matthai> Ne vem če to veste, vendar večje organizacije imajo z aposlene ljudi, ki pred nabavo softwera le-tega tudi varnostno pregledajo. Jup, tudi Telekom Slovenije ima take ljudi. In to so res dobri strokovnjaki. Pregledujejo pa tudi closed source programe (pač podpišejo NDA). Je pa res, da se ne hvalijo preveč naokoli.
Ce ma Telekom take ljudi, so le-ti na novo zaposleni, ali pa nesposobni. Imajo namrec IT sistem, ki je poln varnostnih lukenj (ki pa niso dovolj kriticne, da bi zares koga ogrozale, ceprav so v preteklosti imeli tudi taksne). Se pa res v zadnjem casu trudijo v pravo smer.
antonija: tudi v razredu obvescevalnih sluzb je open-source bistveno bolj cenjen kot closed-source, iz razlogov ki so jasni.
Varnost temelji na skritih (in zamenljivih) kljucih, ne pa na postopkih in tehniki. Bolj ko je sistem odprt, varnejsi je, ker se napake odkrijejo prej in popravijo hitreje.
Ce ma Telekom take ljudi, so le-ti na novo zaposleni, ali pa nesposobni. Imajo namrec IT sistem, ki je poln varnostnih lukenj (ki pa niso dovolj kriticne, da bi zares koga ogrozale, ceprav so v preteklosti imeli tudi taksne). Se pa res v zadnjem casu trudijo v pravo smer.
antonija: tudi v razredu obvescevalnih sluzb je open-source bistveno bolj cenjen kot closed-source, iz razlogov ki so jasni.
Varnost temelji na skritih (in zamenljivih) kljucih, ne pa na postopkih in tehniki. Bolj ko je sistem odprt, varnejsi je, ker se napake odkrijejo prej in popravijo hitreje.
antonija ::
Verjamem da je, vendar tam sklepam ne upobaljajo Ubuntu Breezy Badger ampak neko visoko modificirano verzijo kake bolj osnovne distribucije (ce so ze na Linuxu). Ne zanasajo se na popravke iz skupnosti, ampak sami skrbijo za napake, to sem hotel povedat.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Smeagol ::
@antonija. Nic ne flejmam. Samo opozoril sem te, da vse ni tako lepo kot si si ti predstavljal(a). Saj vidim, da si tudi sam opazil da vse ni belo. Se vedno ne zastopim zakaj bi bilo cudno, da nekdo odkrije napako in jo izkorisca dlje casa, pa nihce drugi ne opazi tega? Ves koliko znanih bugov imajo tako veliki programi? Si lahko predstavljas koliko neznanih je? Si ze kdaj delal na projektu ki ima recimo vsaj 10.000 vrstic kode? Mogoce preko miljona? Sploh ni potrebno, da je ta, ki najde luknjo bol pameten od ostalih. Malo znanja, malo srece in je lahko pred vsemi.
Pa tudi to da lahko vsak popravi. Ja lahko ja, ker to itak vsi znamo. Ti vzames recimo 100 ljudi, ki iscejo napake, da jih izkoristijo v lastno korist. Nato jim das pa na drugo stran 10.000 ljudi, ki uporabljajo ta software. Nato zakljucis kot kako malo je tistih, ki zelijo slabo in kako veliko tistih, ki zelijo dobro. No. Od tistih 10.000 jih je 9000, ki niti ne vejo kje je koda.
In pa nic ne recem da ni pri ms podobno. Tudi tam so ljudje, ki iscejo napake, da se okoristijo. Res je, da nimajo kode, ki bi jim lahko pri temu pomagala, samo napak se itak ne isce z branjem kode (ja se bo kdo oglasil da imas zato code reviewe ali kaj takega. Vem kako to deluje v praksi :D). Najvecja razlika je v tem, da je pri ms veliko vec takih ljudi (zaradi sirsega kroga uporabnikov) in pa novica o kaksni luknji je objavljena v prakticno vseh medijih.
Pa tudi to da lahko vsak popravi. Ja lahko ja, ker to itak vsi znamo. Ti vzames recimo 100 ljudi, ki iscejo napake, da jih izkoristijo v lastno korist. Nato jim das pa na drugo stran 10.000 ljudi, ki uporabljajo ta software. Nato zakljucis kot kako malo je tistih, ki zelijo slabo in kako veliko tistih, ki zelijo dobro. No. Od tistih 10.000 jih je 9000, ki niti ne vejo kje je koda.
In pa nic ne recem da ni pri ms podobno. Tudi tam so ljudje, ki iscejo napake, da se okoristijo. Res je, da nimajo kode, ki bi jim lahko pri temu pomagala, samo napak se itak ne isce z branjem kode (ja se bo kdo oglasil da imas zato code reviewe ali kaj takega. Vem kako to deluje v praksi :D). Najvecja razlika je v tem, da je pri ms veliko vec takih ljudi (zaradi sirsega kroga uporabnikov) in pa novica o kaksni luknji je objavljena v prakticno vseh medijih.
Nejc Pintar ::
@Smeagol: V telih tvojih nekaj vrsticah sem našel bug. Ko eden izmed tistih 100ih najde bug, ga tudi zlorabi. Zlorabo pa se opazi. Tako da tistih 100 dela pravzaprav za tiste ki popravljajo buge.
Lahko je biti prvi, če si edini!
Bistri007 ::
Barabe so povsod, in zakaj pa ne bi nekdo implementiral v FLOSS program na prvi pogled super-duper-feature, v resnici pa med nekaj tisoč vrstic zakrinkal dvajstet vrstic (razmetanih po celem programu) za backdoor?
Temu se reče po domače trojanski konj, in zakaj mislite, da ne more obstajati v obliki source-kode???
Kako gre že Iliada 21. stoletja: Nikoli ne jemite daril, ki jih prinašajo hekerji (oziroma "Community contributors" )
Temu se reče po domače trojanski konj, in zakaj mislite, da ne more obstajati v obliki source-kode???
Kako gre že Iliada 21. stoletja: Nikoli ne jemite daril, ki jih prinašajo hekerji (oziroma "Community contributors" )
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Nejc Pintar ::
Ne moreš noter kar tako dopisat trojana, ker se ve kdo je stvar dodal.
Lahko je biti prvi, če si edini!
Daedalus ::
Mah, razumite Bistrega...on vidi backdoore povsod. Sploh, če je OSS zraven
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
klemen22 ::
TKo bom reku: kar je zastonj še nikol ni bilo dobro.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
Azrael ::
Hmm, programska oprema je lahko zelo kompleksna, saj se ne govori o programu, ki ima 3 vrstice kode. IMO, kaj takega, kar opisuje Bistri007 ni nemogoče.
Verjamem, da je 99.99% ljudi nedvomno poštenih, ampak problem je tisti delček, ki manjka do celote.
Nekaj v razmislek iz malo drugačne teme:
V YU so "dobro obveščeni" učili, da je potrebno izklopiti tel. aparat iz vtičnice, ker lahko UDBA prisluškuje tudi, če je slušalka odložena. Ob zanemarjanju dejstva, da so bili mikrofoni takratnih telefonov hudo neobčutljivi (treba je bilo vpiti v slušalko, da je sogovornik sploh kaj slišal) in da sama kostrukcija aparata ni omogočala tega, je bilo to načelno dobra ideja.
Ampak hudič se je skrival drugje. UDBA je za prisluškovanje uporabljala predelane tel. vtičnice, ki jih je vstavljen telefonski vtikač dodobra oglušil...
Torej stvari so bile praktično vse vidne, dokumentirane, zavarovane po zdravi kmečki logiki, ampak...
Verjamem, da je 99.99% ljudi nedvomno poštenih, ampak problem je tisti delček, ki manjka do celote.
Nekaj v razmislek iz malo drugačne teme:
V YU so "dobro obveščeni" učili, da je potrebno izklopiti tel. aparat iz vtičnice, ker lahko UDBA prisluškuje tudi, če je slušalka odložena. Ob zanemarjanju dejstva, da so bili mikrofoni takratnih telefonov hudo neobčutljivi (treba je bilo vpiti v slušalko, da je sogovornik sploh kaj slišal) in da sama kostrukcija aparata ni omogočala tega, je bilo to načelno dobra ideja.
Ampak hudič se je skrival drugje. UDBA je za prisluškovanje uporabljala predelane tel. vtičnice, ki jih je vstavljen telefonski vtikač dodobra oglušil...
Torej stvari so bile praktično vse vidne, dokumentirane, zavarovane po zdravi kmečki logiki, ampak...
Nekoč je bil Slo-tech.
BigWhale ::
> v resnici pa med nekaj tisoč vrstic zakrinkal dvajstet
> vrstic (razmetanih po celem programu) za backdoor?
Ce bi znal kolickaj programirati, bi vedel, da je to bull...
V nekaj tisoc vrstic kode skriti 20 vrstic, ki so razmetane po celem programu in da dejansko predstavljajo backdoor, bi to bilo tako ocitno, da bi se opazilo na 2km.
> vrstic (razmetanih po celem programu) za backdoor?
Ce bi znal kolickaj programirati, bi vedel, da je to bull...
V nekaj tisoc vrstic kode skriti 20 vrstic, ki so razmetane po celem programu in da dejansko predstavljajo backdoor, bi to bilo tako ocitno, da bi se opazilo na 2km.
Bistri007 ::
BigWhale, tega sicer še nisem poizkusil, samo predstavljaj si, da je sredstvo s katerim vdiramo neka binarna ali xml datoteka.
Če so prave številke na pravih mestih (oziroma se pravilno seštejejo/zmnožijo oziroma pravilno izvede kombinacija nekaj deset nesumljivih IF/WHILE stavkov razmetanih po celem programu pri obdelavi te datoteke), potem se del te datoteke/xmlja (oz. requesta) zapiše kot neka temp datoteka z binarno kodo oziroma neposredno izvede (kot npr. wmf vektorska slika )
Tako kot so se pri MS zmotili pri programu za obdelavo wmf, se lahko "zmoti" tudi naš "Danajec": timeo Danaos et dona ferentes.
Če so prave številke na pravih mestih (oziroma se pravilno seštejejo/zmnožijo oziroma pravilno izvede kombinacija nekaj deset nesumljivih IF/WHILE stavkov razmetanih po celem programu pri obdelavi te datoteke), potem se del te datoteke/xmlja (oz. requesta) zapiše kot neka temp datoteka z binarno kodo oziroma neposredno izvede (kot npr. wmf vektorska slika )
Tako kot so se pri MS zmotili pri programu za obdelavo wmf, se lahko "zmoti" tudi naš "Danajec": timeo Danaos et dona ferentes.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
MrStein ::
klemen22:
"TKo bom reku: kar je zastonj še nikol ni bilo dobro."
A google je potem zanič ?
Šur ...
"TKo bom reku: kar je zastonj še nikol ni bilo dobro."
A google je potem zanič ?
Šur ...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Bistri007 ::
MrStein - ne sprenevedaj se no. Kaj ti moram res razložiti poslovni model Google Inc. - kot da ga ne poznaš.
Google je ena velika bela reklamna tabla. Velikost te table se meri s tem, koliko časa jo ljudje gledajo. In s tem ko ti uporabljaš google.com ali gmail.com, povečuješ velikost te bele reklamne table.
Jaz govorim o neočitnem namerno vstavljenem bugu, ki ga sprožijo nepričakovani podatki (ja, zato IF stavki, ker v IF so pričakovanja, ne???). Če nekdo sam napiše en cel modul, potem se da OO trojanca zakrinkati. Ne govorim pa za primer, da greš sumljivo popraviti par vrstic v že obstoječi kodi - taka prozorna taktika bi bila pa preveč očitna, ja...
Nekdo se je hvalil, da imajo varnostne službe lastne programerje...
Google je ena velika bela reklamna tabla. Velikost te table se meri s tem, koliko časa jo ljudje gledajo. In s tem ko ti uporabljaš google.com ali gmail.com, povečuješ velikost te bele reklamne table.
Jaz govorim o neočitnem namerno vstavljenem bugu, ki ga sprožijo nepričakovani podatki (ja, zato IF stavki, ker v IF so pričakovanja, ne???). Če nekdo sam napiše en cel modul, potem se da OO trojanca zakrinkati. Ne govorim pa za primer, da greš sumljivo popraviti par vrstic v že obstoječi kodi - taka prozorna taktika bi bila pa preveč očitna, ja...
Nekdo se je hvalil, da imajo varnostne službe lastne programerje...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
klemen22 ::
A google je potem zanič ?
Govorim za programsko opremo ki jo direkt inštaliraš na PC (in to za neomejen čas uporabe) in ne raznih servisov in iskalnikov ki laufajo na netu. Dejstvo je da so vsi plačljivi programi od Oo konkurence svetlobna leta kar se tiče zanesljivosti, funkcionalnosti itd. Seveda to ni nič čudnega saj se na tovrstnih projektih dela sistematično in ne ljubiteljsko s strani par g33kov.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
Zgodovina sprememb…
- spremenil: klemen22 ()
Daedalus ::
TKo bom reku: kar je zastonj še nikol ni bilo dobro.
Meni tole zveni čisto splošno.
Kul, Gugl je zastonj za uporabo, se pravi da je foo.. Apache je foo. FF je foo, Opera tud. IE seveda spada v taisto kategorijo (kar dejansko je res). Da sploh ne omenjam Spyware Blasterja, SpyBot S&D, Zone Alarm, AVG, Avast!, Acrobat Readerja, Foxit PDF readerja, Total Commander - sranje od sranja, Amule, Bittornado, ABC - sam drek, pfuj in pfej, usran zastonsjki komunajzarski sw.
Heh, Vmware Player, čisti obup, Nero Express, za koji kurac so to izdali?, Xen - jajca od jajc. Da sploh ne omenjam, kaka jajca so razni zastonjski pregledovalniki Office formatov! Al pa sysprep od MS, jao kr glava me boli, še en totalno u kurcu kos zastonjskega softvera... Res, zastonj SW je en navaden kup bloata..čisto nič uporabnega.
Meni tole zveni čisto splošno.
Kul, Gugl je zastonj za uporabo, se pravi da je foo.. Apache je foo. FF je foo, Opera tud. IE seveda spada v taisto kategorijo (kar dejansko je res). Da sploh ne omenjam Spyware Blasterja, SpyBot S&D, Zone Alarm, AVG, Avast!, Acrobat Readerja, Foxit PDF readerja, Total Commander - sranje od sranja, Amule, Bittornado, ABC - sam drek, pfuj in pfej, usran zastonsjki komunajzarski sw.
Heh, Vmware Player, čisti obup, Nero Express, za koji kurac so to izdali?, Xen - jajca od jajc. Da sploh ne omenjam, kaka jajca so razni zastonjski pregledovalniki Office formatov! Al pa sysprep od MS, jao kr glava me boli, še en totalno u kurcu kos zastonjskega softvera... Res, zastonj SW je en navaden kup bloata..čisto nič uporabnega.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
klemen22 ::
Napisal sem premalo specifično: govorim v primeru "večjih" programov in ne pomožnih programov.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
Bistri007 ::
Daedalus, ne mešaj jajc in dreka: jajca so užitna, drek ni.
Ne mešaj sem not Googla, ker s svojimi brezplačnimi iskanji fino služi - rezultati z iskanji so ena velika reklamna tabla.
Office in Adobe PDF pregledovalniki so brezplačni izdelki, da bi pa ustvaril dokumente, moraš pa *kupiti* plačljivo verzijo programa. Brezplačen Reader je Adobu zelo pomagal, da je Acrobat Professional postal popularen, .pdf pa standard. IE je pa kot Control Panel - del OS.
Če je najosnovnejša različica programa brezplačna, deluje kot reklama (Opera, Nero, VMWare player).
Ne mešat kvalitete brezplačnih Lite (oskubljenih) različic komercialnih programov s kvaliteto nekomercialnih programov.
Ne mešaj sem not Googla, ker s svojimi brezplačnimi iskanji fino služi - rezultati z iskanji so ena velika reklamna tabla.
Office in Adobe PDF pregledovalniki so brezplačni izdelki, da bi pa ustvaril dokumente, moraš pa *kupiti* plačljivo verzijo programa. Brezplačen Reader je Adobu zelo pomagal, da je Acrobat Professional postal popularen, .pdf pa standard. IE je pa kot Control Panel - del OS.
Če je najosnovnejša različica programa brezplačna, deluje kot reklama (Opera, Nero, VMWare player).
Ne mešat kvalitete brezplačnih Lite (oskubljenih) različic komercialnih programov s kvaliteto nekomercialnih programov.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
klemen22 ::
Apache je pa res pomožni program. LOL!
Sej ma konkurenco in to precej močno in za moje pojme precej zmogljivejšo.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)
poweroff ::
Stvar okusa (in debate). Ampak definitivno je brezplačen in definitivno ni pomožni program. Da o MySQL in Postgres bazah ne govorimo.
To postavlja tvoja prepričanja na laž...
To postavlja tvoja prepričanja na laž...
sudo poweroff
mikko ::
Ta ubuntu je men tolk mim!
ne dela mi internet oz. nimam niti blage kako ga vzpostavit, naštimam si slovensko tipkovnico, p mi še vedno samo US tipkovnica dela.
V suse-ju pa vse štima, čeprov ne vem, ali je suse pametna odločitev...
Kaj vi pravite ?
ne dela mi internet oz. nimam niti blage kako ga vzpostavit, naštimam si slovensko tipkovnico, p mi še vedno samo US tipkovnica dela.
V suse-ju pa vse štima, čeprov ne vem, ali je suse pametna odločitev...
Kaj vi pravite ?
jype ::
mikko: ce ti dela suse, potem imej suse.
Bistri> Office in Adobe PDF pregledovalniki so brezplačni izdelki, da bi pa ustvaril dokumente, moraš pa *kupiti* plačljivo verzijo programa
Malo morgen. PDF je _dokumentiran_ in _zastonj_, zato lahko vsak knedl napise svoj program za naredit PDF in bo vsak drug knedl znal tisti PDF normalno prebrat. V tem je bistvo tega, da je PDF standard.
klemen22> Sej ma konkurenco in to precej močno in za moje pojme precej zmogljivejšo.
Ja? Katera konkurenca je pa zmogljivejsa (saj jaz vem da obstaja, ampak tudi vem, da ti nimas pojma, katera to je)?
Bistri> Office in Adobe PDF pregledovalniki so brezplačni izdelki, da bi pa ustvaril dokumente, moraš pa *kupiti* plačljivo verzijo programa
Malo morgen. PDF je _dokumentiran_ in _zastonj_, zato lahko vsak knedl napise svoj program za naredit PDF in bo vsak drug knedl znal tisti PDF normalno prebrat. V tem je bistvo tega, da je PDF standard.
klemen22> Sej ma konkurenco in to precej močno in za moje pojme precej zmogljivejšo.
Ja? Katera konkurenca je pa zmogljivejsa (saj jaz vem da obstaja, ampak tudi vem, da ti nimas pojma, katera to je)?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | JoomlaOddelek: Izdelava spletišč | 4312 (4312) | _Beast |
» | Kritična napaka v Ubuntu 5.10 Breezy (strani: 1 2 3 )Oddelek: Novice / Varnost | 13055 (10345) | 64202 |
» | Izbrisani emaili?!Oddelek: Pomoč in nasveti | 2036 (1546) | SavoS |
» | Luknja v požarnem zidu SP2 za Windows XPOddelek: Novice / Varnost | 3461 (3461) | Cokolesnik |
» | FAT32 ali NTFS (strani: 1 2 )Oddelek: Operacijski sistemi | 7286 (5747) | Mavrik |