Kritična napaka v Ubuntu 5.10 Breezy

Torej tudi ti menis, da hackerjem to da imajo kodo pred sabo nic ne pomaga, tako kot Matthai?

Pa ce vzamem se te tvoje besede: samo pescica pozna delovanje softwarea.
Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno delovanje, manj jih lahko hacka.

> Je to slabo ali dobro s stalisca hackanja? Manj kot jih pozna podrobno
> delovanje, manj jih lahko hacka.

Odstotek ljudi, ki zaradi odprtosti pozna sistem toliko bolje je precej marginalen.

Dokaz za to da več oči popravi več lukenj.

Jaz sem Linux fanboy... Nisem freak ;>

klemen22 napacno. ker je to "le" local luknja, je ta bug v primerjavi z nekaterimi remote, ki jih ne bom omenjal(ker za linux nobene bolj znane iz zadnjega casa ne poznam, ce pa omenim kak drug os bo pa flamewar ), relativno nenevaren. ce napadalec nima na tvojem serverju accounta, ti ne more nic. razen ce izkoristi kako drugo luknjo in s pomocjo te pride do root gesla. to pa je problem..

Remote luknja je, če ne rabiš accounta, local pa, če je za to potreben valid account.

Tako da razn če bi kdo v tistih parih urcah udru, pol je ta napaka čist trivialna....

No razen če se je kdo že prej našel.

Ti sicer lahko tako meniš, jaz pa poznam ljudi (iz tega foruma, ja), ki so šli načrtno gledat kodo in so našli buge.

Kaj pa tisti, ki take napake izkorisitijo v svojo korist? Svet ni samo lep, kot si ti mislis. Ti ves cas predpostavljas, da bo vsak, ki najde kakrsnokoli napako in jo zna popraviti, le to popravil in na to obvestil vse ostale in dal popravek na voljo. S tako predpostavko ima tvoje razmisljanje smisel.

Je pa res, da z branjem kode ne bos napak odkrival.

Ne vem če to veste, vendar večje organizacije imajo z aposlene ljudi, ki pred nabavo softwera le-tega tudi varnostno pregledajo. Jup, tudi Telekom Slovenije ima take ljudi. In to so res dobri strokovnjaki. Pregledujejo pa tudi closed source programe (pač podpišejo NDA). Je pa res, da se ne hvalijo preveč naokoli.

@Smeagol: Ne me silit da se spet in spet ponavljam... a je res tako tezko prebrat cel prejsnji post in ga obravnavat kot celoto, ne pa vzet iz njega tisti del ki ti najbolj pase (brez nadaljevanja ki objasnjuje izbrani del) in potem replicirat?

Z moznostjo dostopa do kode lahko vsak (seveda je potrebno znanje in volja) odkriva buge, in pise za njih popravke ali exploite. Tistih, ki pisejo exploite je, v primerjavi s tistimi, ki pisejo popravke, manj. Da bo stvar se bolj otezena za exploit-guy-e, so popravki v zelo kratkem casu dostopni vsem uporabnikom.

Seveda obstaja moznost, da nek nepridiprav odkrije bug, za keterga potem napise exploit. In tega buga ne opzai nihce drug kot le on in samo on. In potem izkorisca ta bug in si dela zombije... Ampak verjetnost da bo en heroj odkril ta bug in da ga ne bo nihce drug opazil je pri dovolj veliki bazi uporabnikov zanemarljiva (ce ne gre za high security siteme, kot bi jih potrebovala kaksna vladna organizacija recimo; tam sklepam pisejo svojo kodo/prilagodijo OS kodo).

Noben ni trdil da je OS princip ultimativno dober in brez napak. Take buce potegnete M$ fanboyi ob cisto vsaki novici, pa naj bo o OS softwaretu ali o M$jevem zaprtokodju. OS je po mojem mnenju (in se mnenju mnogih drugih) varnejsi za koncnega uporabnika (v mojem razredu, ne v razredu obvescevalnih sluzb) od alternativne izbire. Kaj ti zdaj ni jasno? A si res tolk zlo zelis flejmat da se nisi mogu zadrzat?

Matthai> Ne vem če to veste, vendar večje organizacije imajo z aposlene ljudi, ki pred nabavo softwera le-tega tudi varnostno pregledajo. Jup, tudi Telekom Slovenije ima take ljudi. In to so res dobri strokovnjaki. Pregledujejo pa tudi closed source programe (pač podpišejo NDA). Je pa res, da se ne hvalijo preveč naokoli.

Ce ma Telekom take ljudi, so le-ti na novo zaposleni, ali pa nesposobni. Imajo namrec IT sistem, ki je poln varnostnih lukenj (ki pa niso dovolj kriticne, da bi zares koga ogrozale, ceprav so v preteklosti imeli tudi taksne). Se pa res v zadnjem casu trudijo v pravo smer.

antonija: tudi v razredu obvescevalnih sluzb je open-source bistveno bolj cenjen kot closed-source, iz razlogov ki so jasni.

Varnost temelji na skritih (in zamenljivih) kljucih, ne pa na postopkih in tehniki. Bolj ko je sistem odprt, varnejsi je, ker se napake odkrijejo prej in popravijo hitreje.

Buče na kvadrat.

@antonija. Nic ne flejmam. Samo opozoril sem te, da vse ni tako lepo kot si si ti predstavljal(a). Saj vidim, da si tudi sam opazil da vse ni belo. Se vedno ne zastopim zakaj bi bilo cudno, da nekdo odkrije napako in jo izkorisca dlje casa, pa nihce drugi ne opazi tega? Ves koliko znanih bugov imajo tako veliki programi? Si lahko predstavljas koliko neznanih je? Si ze kdaj delal na projektu ki ima recimo vsaj 10.000 vrstic kode? Mogoce preko miljona? Sploh ni potrebno, da je ta, ki najde luknjo bol pameten od ostalih. Malo znanja, malo srece in je lahko pred vsemi.

Pa tudi to da lahko vsak popravi. Ja lahko ja, ker to itak vsi znamo. Ti vzames recimo 100 ljudi, ki iscejo napake, da jih izkoristijo v lastno korist. Nato jim das pa na drugo stran 10.000 ljudi, ki uporabljajo ta software. Nato zakljucis kot kako malo je tistih, ki zelijo slabo in kako veliko tistih, ki zelijo dobro. No. Od tistih 10.000 jih je 9000, ki niti ne vejo kje je koda.

In pa nic ne recem da ni pri ms podobno. Tudi tam so ljudje, ki iscejo napake, da se okoristijo. Res je, da nimajo kode, ki bi jim lahko pri temu pomagala, samo napak se itak ne isce z branjem kode (ja se bo kdo oglasil da imas zato code reviewe ali kaj takega. Vem kako to deluje v praksi :D). Najvecja razlika je v tem, da je pri ms veliko vec takih ljudi (zaradi sirsega kroga uporabnikov) in pa novica o kaksni luknji je objavljena v prakticno vseh medijih.

Barabe so povsod, in zakaj pa ne bi nekdo implementiral v FLOSS program na prvi pogled super-duper-feature, v resnici pa med nekaj tisoč vrstic zakrinkal dvajstet vrstic (razmetanih po celem programu) za backdoor?

Temu se reče po domače trojanski konj, in zakaj mislite, da ne more obstajati v obliki source-kode???

Kako gre že Iliada 21. stoletja: Nikoli ne jemite daril, ki jih prinašajo hekerji (oziroma "Community contributors" )

Bistri zdej pa že bluziš...resno

TKo bom reku: kar je zastonj še nikol ni bilo dobro.

klemen, a dej no?

BigWhale, tega sicer še nisem poizkusil, samo predstavljaj si, da je sredstvo s katerim vdiramo neka binarna ali xml datoteka.

Če so prave številke na pravih mestih (oziroma se pravilno seštejejo/zmnožijo oziroma pravilno izvede kombinacija nekaj deset nesumljivih IF/WHILE stavkov razmetanih po celem programu pri obdelavi te datoteke), potem se del te datoteke/xmlja (oz. requesta) zapiše kot neka temp datoteka z binarno kodo oziroma neposredno izvede (kot npr. wmf vektorska slika )

Tako kot so se pri MS zmotili pri programu za obdelavo wmf, se lahko "zmoti" tudi naš "Danajec": timeo Danaos et dona ferentes.

klemen22:

"TKo bom reku: kar je zastonj še nikol ni bilo dobro."

A google je potem zanič ?
Šur ...

A google je potem zanič ?

Govorim za programsko opremo ki jo direkt inštaliraš na PC (in to za neomejen čas uporabe) in ne raznih servisov in iskalnikov ki laufajo na netu. Dejstvo je da so vsi plačljivi programi od Oo konkurence svetlobna leta kar se tiče zanesljivosti, funkcionalnosti itd. Seveda to ni nič čudnega saj se na tovrstnih projektih dela sistematično in ne ljubiteljsko s strani par g33kov.

Napisal sem premalo specifično: govorim v primeru "večjih" programov in ne pomožnih programov.

Apache je pa res pomožni program. LOL!

Stvar okusa (in debate). Ampak definitivno je brezplačen in definitivno ni pomožni program. Da o MySQL in Postgres bazah ne govorimo.

To postavlja tvoja prepričanja na laž...

mikko: ce ti dela suse, potem imej suse.

Bistri> Office in Adobe PDF pregledovalniki so brezplačni izdelki, da bi pa ustvaril dokumente, moraš pa *kupiti* plačljivo verzijo programa

Malo morgen. PDF je _dokumentiran_ in _zastonj_, zato lahko vsak knedl napise svoj program za naredit PDF in bo vsak drug knedl znal tisti PDF normalno prebrat. V tem je bistvo tega, da je PDF standard.

klemen22> Sej ma konkurenco in to precej močno in za moje pojme precej zmogljivejšo.

Ja? Katera konkurenca je pa zmogljivejsa (saj jaz vem da obstaja, ampak tudi vem, da ti nimas pojma, katera to je)?