Ars Technica - Apple je včeraj izdal izredni popravek za iOS 7 in tudi starejšo verzijo iOS 6.1 (in sicer iOS 7.0.6. in iOS 6.1.6), ki odpravlja resno napako pri rokovanju s stranmi prek varnih povezav (SSL/TLS). Zaradi hrošča v kodi sta namreč Safari in odjemalec za elektronsko pošto izpustila nekaj pomembnih korakov, v katerih bi se moralo preveriti, ali je strežnikov javni ključ resnično pravilno podpisan. Tako so lahko napadalci izvedli MITM-napade, saj je brskalnik strani verjel na besedo, da gre res za domeno, za katero se predstavlja, sprejel pa je katerikoli certifikat. Ranljiva nista le Safari in Mail.app, ampak tudi druge aplikacije, ki uporabljajo vgrajeno infrastrukturo. Zanimivo pa je, da Chrome ni prizadet, Firefox pa verjetno tudi ne.
O resnosti napake priča tudi dejstvo, da je Apple popravil starejšo verzijo iOS 6.1, čeprav je zunaj že nova, kar se zgodi redko. Napaka je posledica ene same napačne vrstice kode, so ugotovili na ArsTehnici, ki se ne bi smela ponoviti. Tako se zgodi brezpogojni skok, ki ga tam ne bi smelo biti, s čimer se preskoči korak za preverjanje podpisa.
Kasneje pa se je pokazalo, da so prizadeti tudi računalniki z najnovejšo verzijo (10.9.1) operacijskega sistema Mac OS X, ne le mobilne naprave z iOS. Apple popravka zanje še ni izdal, zato v vmesnem času svetujejo previdnost. Adam Langley je na svojem bogu podrobno opisal ranljivost. Ali je vaš računalnik ranljiv, lahko preverite na njegovi strani.
Drugače me tole precej spominja na Underhanded C Contest. Pravijo sicer, da gre za površnost (napačen merge?). Ampak v luči zadnjih razkritij o NSA (kolikor vem, se na enem slidu hvalijo, kako lahko z Apple naprav enostavno interceptajo SSL/TLS traffic), obstaja tudi verjetnost, da je šlo za namerno dodan backdoor.
Preberi si seznam virusov in napak pri windowsu. Se vidimo naslednje leto!
od kdaj se pa splača za tistih par % ljudi pisat viruse? Piše se za maso...
Trzni delez appla vendarle ni tako majhen. Nekaj procentov je kar veliko sistemov. Virusov in bugov pa tudi ni malo. Jih je veliko vec, kot bi nekateri radi priznali. Mnogi se vedno menijo, da jih ni in da so povsem varni.
S tem, da so bili windows uporabniki že tolikokrat žrtve, da več ne verjamejo sveto v varnost OS-a tako kot Apple uporabniki in so posledično zaradi tega bolj varni (namestiš windowse + avtomatično še cel kup varnostne opreme in še vedno si živčen, praktično odštevaš dneve "do naslednjič" - ter ne verjameš ničemur kar MS reče o varnosti)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
Ja, sedaj sem prebral malo več kot le naslov in vidim, da je tisto bolj taka "raziskava", da se napiše bombastičen naslov. V bistvu hočejo povedati, da je Apple prodal več naprav z njihovimi OS-i, kot Microsoft in partnerji naprav z Windowsi (Win, WP, win RT).
Ja, sedaj sem prebral malo več kot le naslov in vidim, da je tisto bolj taka "raziskava", da se napiše bombastičen naslov. V bistvu hočejo povedati, da je Apple prodal več naprav z njihovimi OS-i, kot Microsoft in partnerji naprav z Windowsi (Win, WP, win RT).
Naslov tega članka pa je zavajajoč/laž.
In kaj je pol zavajujoče oziroma laž? Napisano je tako kot je.
Ja, ampak to zgoraj (število prodanih jabolčnih računalnikov) velja samo za ZDA.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Apple, Inc. sold more computers than all of Microsoft's Windows PC partners in December quarter
Miralo bi biti: "Apple, Inc. sold more computers than all of Microsoft's Windows PC partners sold windows devices in December quarter" Ker Samsung sam je prodal več "computers" kot apple.
In ta podatek mi pove točno nič. Ker Oken seveda ne moreš kupit posebej, da ne omenjam vseh piratskih userjev, ki se tud štejejo v user share. MacOS ima kolk, 3-4%, Windows pa 70%. Misliš da se piscem malwara da trudit za tiste 3%, ko pa imajo na drugi strani tolk večjo bazo folka? Močno dvomim... In to je point tega...
Torej, o taksnih primerih ucijo osnovnosolce, ki pridejo na nek random tecaj programiranja. Curly braces EVERYWHERE! Oklepajev se ne izpusca ravno zaradi taksnih napak.
V _vsaki_ malo bolj tehnicno podkovani firmi obstajajo code review procedure, kjer je vsa napisana koda, vsaj enkrat pregledana. Tole napako je potemtakem spregledalo vec ljudi. Ali pa imajo pri Applu hecne delovne procese, ki so slabsi od najslabsega startup podjetja. :)
Potem je tukaj se avtomatsko testiranje. Taksno rec, bi avtomatski testi MORALI ujeti. Se pravi, so bili zanic napisani ali pa jih ni bilo.
Na koncu je pa se rocno testiranje. V dveh letih, ni NIHCE stestiral kaj se zgodi, ce z brskalnikom/telefonom/ipadom/... dostopas do spletne strani na kateri je pokvarjen SSL certifikat.
Merge error? Ce je tole rezultat merge errorja, naj vrzejo versioning control system v smeti ali pa naj za usesa tistega, ki je moral delati manual merge.
Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.
Torej, o taksnih primerih ucijo osnovnosolce, ki pridejo na nek random tecaj programiranja. Curly braces EVERYWHERE! Oklepajev se ne izpusca ravno zaradi taksnih napak.
V _vsaki_ malo bolj tehnicno podkovani firmi obstajajo code review procedure, kjer je vsa napisana koda, vsaj enkrat pregledana. Tole napako je potemtakem spregledalo vec ljudi. Ali pa imajo pri Applu hecne delovne procese, ki so slabsi od najslabsega startup podjetja. :)
Potem je tukaj se avtomatsko testiranje. Taksno rec, bi avtomatski testi MORALI ujeti. Se pravi, so bili zanic napisani ali pa jih ni bilo.
Na koncu je pa se rocno testiranje. V dveh letih, ni NIHCE stestiral kaj se zgodi, ce z brskalnikom/telefonom/ipadom/... dostopas do spletne strani na kateri je pokvarjen SSL certifikat.
Merge error? Ce je tole rezultat merge errorja, naj vrzejo versioning control system v smeti ali pa naj za usesa tistega, ki je moral delati manual merge.
Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.
Sploh he smesno, ko vidis kaj se zgodi ko uporabis od jetbrains ide:
V bistvu je še slabše. Najbolje se je izogbati goto.
Tale primer je v bistvu zelo dober primer kjer je uporaba goto stavka precej smiselna in povsem upravicena. Bolje pet goto klicev kot pet return klicev. :)
V bistvu je še slabše. Najbolje se je izogbati goto.
Tale primer je v bistvu zelo dober primer kjer je uporaba goto stavka precej smiselna in povsem upravicena. Bolje pet goto klicev kot pet return klicev. :)
To se strinjam.
Je pa še ena grda opcija brez petih return klicev:
Zadnji tedem ali dva imam na ipadu situacijo da moram vsak dan izbrisati zgodovino in piškotke, ker mi drugače ne naloži spletnih strani. Gibljem se na predvidoma varnih straneh (slo-tech, siol.net, wikipedia, mimovrste, cyberport). Predvidevam da gre za vsebino tele teme in način da se prisili uporabnike ios 6 da prešaltajo na ios 7 in slej ko prej kupijo novo tablico/telefon.
Jaz vidim na svojem ipadu zgolj možnost updatea na ios 7.0.6. Se pravi da z updateom dobim novi ios in počasnejše delovanje (to se je zgodilo po prehodu iz 5 na 6). Če obstaja kakšna druga možnost bi bil zelo vesel za informacijo.
A, razumem zdaj. Verjetno je update (6.1.6) s tem fixom za iOS 6 na voljo samo za tiste naprave, ki sploh ne morejo na iOS 7.
Mogoče je možnost, da poiščeš, če obstaja standalone iPad 6.1.6 firmware in ga restoraš proko iTunes. Ali pa JB za tvoj 6.1.3 + patch za SSL, če je res taka panika ostat na iOS 6.
Tole je en tak resnicno kolosalni zajeb, ki si ga ne privosci niti nek nedeljski programer, da se pa zgodi v taksnem podjetju kot je Apple in uspe priti do milijonov uporabnikov je pa resnicno smesno.
Seveda!Sam k GNUTLS v resnici delajo nedeljski programerji. :>
No, ampak kaj takega si po besedah nekaterih ne privošči niti zadnji nedeljski programer.
Me zanima kak izgovor imajo pa torkovi programerji, tisti ki so to kodo 5 let porivali svojim strankam in uporabnikom. 5 let so zavestno ugašali rdeče alarmne zvonce, ki bi jim baje morali zvoniti? Ni bilo zvoncev?
2 primera javno dostopne kode kritične funkcionalnosti s takimi felerji, ki živijo neopaženjo leta in leta? MS must be laughing all the way to the, well, next tuesday.
no comment> 2 primera javno dostopne kode kritične funkcionalnosti s takimi felerji, ki živijo neopaženjo leta in leta? MS must be laughing all the way to the, well, next tuesday.
Kako fino je, ko vsi pravijo, da bo FOSS primeren za enterprise, ko bo homogen (in bo vsaka takale napaka prizadela _vse_, ne le 30% sistemov).
