Novice » Varnost » Svež popravek za od mrtvih obujen Windows XP
next_byte ::
MrStein ::
Če pa stvar razumeš kot "boljše ni prvotno stanje, ampak sama možnost, da se kaj naknadno spremeni", pa smo tam kot sem že rekel: 99,99% uporabnikov nič ne spreminja.
To je tako kot "na vrhu Everesta traja erekcija 3% dlje". Zanimivo ampak za večino irelevantno.
To je tako kot "na vrhu Everesta traja erekcija 3% dlje". Zanimivo ampak za večino irelevantno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
next_byte ::
Če pa stvar razumeš kot "boljše ni prvotno stanje, ampak sama možnost, da se kaj naknadno spremeni", pa smo tam kot sem že rekel: 99,99% uporabnikov nič ne spreminja.
To je tako kot "na vrhu Everesta traja erekcija 3% dlje". Zanimivo ampak za večino irelevantno.
Jah to da 99.99% procentov ljudi ne spreminja nič, je lahko bi rekel žalostno. Ampak tist 0.01% ki bo se odloči da bo nekaj pridodal, se mi zdi da si zasluži odprto možnost da to naredi. Ne pa da se mu zapre to možnost, in reče naredi vse znova wtf :)
Ja vsaka stvar je za večino irelavantna dokler jih ne zadane v glavo, ali pa jih je pa se tega sploh ne zavedajo.
Zgodovina sprememb…
- spremenil: next_byte ()
Poldi112 ::
>Če pa stvar razumeš kot "boljše ni prvotno stanje, ampak sama možnost, da se kaj naknadno spremeni", pa smo tam kot sem že rekel: 99,99% uporabnikov nič ne spreminja.
Pa kaj potem? In zakaj te to sploh preseneča? Saj tudi če imaš service manual za kakšno elektronsko napravo ga 99% ljudi ne bo bralo. Torej je vseeno če ga nimamo?
Poglej recimo heartbleed. Pri zaprtokodnem projektu bi pač namestil popravek. Ker je stvar odprta in je spotlight na njej, so se že pojavile grupe, ki so zdaj mimo originalnih razvijalcev vzele stvar v roke.
Jaz ne programiram. Bom pa zdaj deležen konkretnih izboljšal zaradi tistega 1%, ki programira. Ampak ker sam ne popravim kode je vse skupaj nesmiselno ali kako?
Pa kaj potem? In zakaj te to sploh preseneča? Saj tudi če imaš service manual za kakšno elektronsko napravo ga 99% ljudi ne bo bralo. Torej je vseeno če ga nimamo?
Poglej recimo heartbleed. Pri zaprtokodnem projektu bi pač namestil popravek. Ker je stvar odprta in je spotlight na njej, so se že pojavile grupe, ki so zdaj mimo originalnih razvijalcev vzele stvar v roke.
Jaz ne programiram. Bom pa zdaj deležen konkretnih izboljšal zaradi tistega 1%, ki programira. Ampak ker sam ne popravim kode je vse skupaj nesmiselno ali kako?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
Kaj bi me naj presenetilo?
> so se že pojavile grupe, ki so zdaj mimo originalnih razvijalcev vzele stvar v roke.
To so že prej. Tako na samem projektu s sodelovanjem, kot z drugimi sorodnimi kot GnuTLS.
In to bi lahko tudi če bi bil closed source.
Razlika je čisto filozofska.
> so se že pojavile grupe, ki so zdaj mimo originalnih razvijalcev vzele stvar v roke.
To so že prej. Tako na samem projektu s sodelovanjem, kot z drugimi sorodnimi kot GnuTLS.
In to bi lahko tudi če bi bil closed source.
Razlika je čisto filozofska.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
next_byte ::
Kaj bi me naj presenetilo?
> so se že pojavile grupe, ki so zdaj mimo originalnih razvijalcev vzele stvar v roke.
To so že prej. Tako na samem projektu s sodelovanjem, kot z drugimi sorodnimi kot GnuTLS.
In to bi lahko tudi če bi bil closed source.
Razlika je čisto filozofska.
Kako lahko popraviš, nekaj od česar nimaš izvorne kode? Tako da napišeš izvorno kodo znova sam? Al
jo nekako razvozlaš iz binarne (je to težje več dela, kot če imaš izvorno kodo?) .
MrStein ::
Sem že zgoraj napisal: ogromno kode se popravi brez source.
OpenSSL ne rabiš. Ker imaš alternative.
Če pa narediš primer, kjer pogojuješ, da gre za točno določen izdelek, potem je seveda lažje če je zraven source (ne nujno open, odvisno spet od pogojev).
OpenSSL ne rabiš. Ker imaš alternative.
Če pa narediš primer, kjer pogojuješ, da gre za točno določen izdelek, potem je seveda lažje če je zraven source (ne nujno open, odvisno spet od pogojev).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Nummy ::
Open source doseže svoj namen, če prebereš celotno kodo preden jo prevedeš in preveriš na lastno pest da ni notri nobenih lukenj, ker drugače je isto kot closed source z vidika varnosti. In kot že rečeno, ga še nisem videl "gobezdača", ki bi sam prebral celotno kodo, ki jo poganja. Ker če bi se že našel tak junak, bi bilo skoraj vseeno če bi kodo kar sam napisal namesto da bi bral delo drugih...
Traparija. Open source doseže svoj namen, ko imaš opcijo, da modificiraš kodo. Vse ostalo je irelevantno. Windows je closed source, pa je večina exploitov za njega. Tako da izjava, da je open source manj varen s stališča varnosti nekako ne drži vode.
Na varnost ti vplivajo (približno po tem vrstnem redu):
- tvoja sposobnost, da opaziš nestandardno delovanje sistema, razumeš in pravilno skonfiguriraš sistem ter spremljaš objave resnih ranljivosti
- kakovost kode/programa, ki ga uporabljaš
- odzivnost skrbnika programa na reševanje problemov
- razširjenost programa, ki ga uporabljaš
- dostopnost do kode programa
-par let uporabniki niso opazili nestandardnega delovanja? Bullshit. Open source fails same as closed source.
-kakovost kode je dostikrat boljša tam, kjer imaš zaprt team programerjev, ki so dobro plačani kot pa eno raztreseno kopico programerjev z različnim znanjem in željami in seveda ciljem (kar privede do clusterfu*k-a kot ga ima open source scena, kjer se ne ve kdo pije in kdo plača).
-odzivnost skrbnika (v tvojem primeru kar uporabniki sami) je tudi pri open source-u lahko en velik fail. Dokaz openSSL bleed...
-so tudi open source stvari razširjene in še vedno fail-ajo.
-ja pri open source-u je pač dostopno pa še vedno pride do večletnih fail-ov.
Sicer pa se ne oglašaj dokler ne boš prebral celotne source kode, ki jo uporabljaš in poganjaš. Ko boš, pa prid nazaj pa povej še kolk lukenj boš vmes najdu... Until then je tvoj arguzment totalno nerelevanten za to debato in samo mlatiš prazno slamo.
Poldi112 ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki.
Linux : 1,6 %
Windows : 90 %
Kjer je razmerje obratno, pa so tudi exploiti (sem že prej primer dal).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Se dobro da primerjas delez desktop/laptop namestitev, ker je to edino podrocje kjer je Windows v taksni prednosti.
Nummy ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Še vedno tumiš prazno slamo....
DOkler ne boš sam prebral ali napisal svoje kode, je tvoja koda enaka close source in vsi vaši argumenti da je open source boljši zaradi tega ker lahko vidiš kodo padejo v vodo, ker je itak noben ne bere in čekira, tako kot ne tistih licence agreement-ov.
Bor H ::
techfreak :) je izjavil:
Se dobro da primerjas delez desktop/laptop namestitev, ker je to edino podrocje kjer je Windows v taksni prednosti.
sej je napisal, kjer je razmerje drugačno so tudi exploiti: na Desktopu imaš večino exploitov za Winse, na mobilnem področju ima Android verjetno največ exploitov, med browserji tudi ni ravno očitnega zmagovalca, itd.
MrStein ::
techfreak :) je izjavil:
Se dobro da primerjas delez desktop/laptop namestitev, ker je to edino podrocje kjer je Windows v taksni prednosti.
Ja, to je edino področje, kjer je Windows relevanten.
Na področjih, kjer ni relevanten pa so razmerja exploitov tudi drugačna.
Recimo smartphone-i: Je več exploitov za odprtokodni Android ali za zaprti Windows Phone?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Invictus ::
99% malware na smartphonih je na Androidu.
Najdi si link ...
Najdi si link ...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
techfreak :) ::
iOS 27 letos, 335 skupaj: http://www.cvedetails.com/product/15556...
Android 5 letos, 35 skupaj: http://www.cvedetails.com/product/19997...
Windows 0 letos, 1 skupaj: http://www.cvedetails.com/product/23230...
Verjetno ni presenetljivo da je najvec ranljivosti za iOS, kjer so vcasih jailbreak-i delovali preko obiska spletne strani preko Safarija.
Invictus: http://www.forbes.com/sites/gordonkelly...
Android 5 letos, 35 skupaj: http://www.cvedetails.com/product/19997...
Windows 0 letos, 1 skupaj: http://www.cvedetails.com/product/23230...
Verjetno ni presenetljivo da je najvec ranljivosti za iOS, kjer so vcasih jailbreak-i delovali preko obiska spletne strani preko Safarija.
Invictus: http://www.forbes.com/sites/gordonkelly...
By contrast the percentage of apps carrying malware on Google's official Play Store was found to be just 0.1% and F-Secure acknowledges rigorous checks mean "malware encountered there tends to have a short shelf life."Me res zanima kako je ranljiv posodobljen, ne-rootan Android, kjer se aplikacije namescajo samo iz marketa. Tudi ne vemo kaj tocno "malware" v zgornjem clanku pomeni, lahko je to ze nepricakovano zbiranje podatkov o uporabniku do katerih so aplikaciji dovolili dostop.
Zgodovina sprememb…
- spremenil: techfreak :) ()
next_byte ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Še vedno tumiš prazno slamo....
DOkler ne boš sam prebral ali napisal svoje kode, je tvoja koda enaka close source in vsi vaši argumenti da je open source boljši zaradi tega ker lahko vidiš kodo padejo v vodo, ker je itak noben ne bere in čekira, tako kot ne tistih licence agreement-ov.
Ne vsi gradijo od začetka vse skupaj, in bral boš v binarni obliki zapis, ker je ta bolj berljiv ane... :) pa daj nooo. Če neke možnosti nekdo v trenutku t ne potrebuje ne pomeni da je nebo potreboval v trenutku t+nekaj. In ko jo potrebuje, je dobro da ima to možnost. Zakaj bi ljudem skrivali kodo, kot zato da se jih omejuje, in dela profit na račun tega da se jim odvzame možnosti prebrati kodo ter modificirati.
Zgodovina sprememb…
- spremenil: next_byte ()
techfreak :) ::
Saj ti v linkanem clanku pise da je skoraj ves malware iz drugih app store-ov.
Glede Androida:
- vsak lahko ima svoj app store
- OS omogoca root dostop kar pomeni da lahko vse delas
- za vecino malware-a niti ne rabis lukenj v OSu/programih
Povprecnega uporabnika varujejo privzete nastavitve (ne namescaj iz neznanih virov ter uporabljaj izkljucno Play Store) in je tako minimalna moznost da bo aplikacija delala nekaj za kar ji uporabnik ni dal dovoljenja. Torej je zadeva na nivoju AppStore, razen tega da ne preverjajo rocno vsake aplikacije posebej.
Najdi statistiko glede aplikacij prenesenih iz Play Store, ki izkoriscajo ranljivosti za nedovoljen dostop do informacij. Dodatno lahko izkljucis iz podatkov se vse tiste, ki uporabljajo starejso verzijo OSa, ker so proizvajalci ukinili podporo (da lahko primerjamo koga vse bi lahko ustrezno posodabljanje resilo).
Glede Androida:
- vsak lahko ima svoj app store
- OS omogoca root dostop kar pomeni da lahko vse delas
- za vecino malware-a niti ne rabis lukenj v OSu/programih
Povprecnega uporabnika varujejo privzete nastavitve (ne namescaj iz neznanih virov ter uporabljaj izkljucno Play Store) in je tako minimalna moznost da bo aplikacija delala nekaj za kar ji uporabnik ni dal dovoljenja. Torej je zadeva na nivoju AppStore, razen tega da ne preverjajo rocno vsake aplikacije posebej.
Najdi statistiko glede aplikacij prenesenih iz Play Store, ki izkoriscajo ranljivosti za nedovoljen dostop do informacij. Dodatno lahko izkljucis iz podatkov se vse tiste, ki uporabljajo starejso verzijo OSa, ker so proizvajalci ukinili podporo (da lahko primerjamo koga vse bi lahko ustrezno posodabljanje resilo).
Nummy ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Še vedno tumiš prazno slamo....
DOkler ne boš sam prebral ali napisal svoje kode, je tvoja koda enaka close source in vsi vaši argumenti da je open source boljši zaradi tega ker lahko vidiš kodo padejo v vodo, ker je itak noben ne bere in čekira, tako kot ne tistih licence agreement-ov.
Ne vsi gradijo od začetka vse skupaj, in bral boš v binarni obliki zapis, ker je ta bolj berljiv ane... :) pa daj nooo. Če neke možnosti nekdo v trenutku t ne potrebuje ne pomeni da je nebo potreboval v trenutku t+nekaj. In ko jo potrebuje, je dobro da ima to možnost. Zakaj bi ljudem skrivali kodo, kot zato da se jih omejuje, in dela profit na račun tega da se jim odvzame možnosti prebrati kodo ter modificirati.
Spet hočeš obrniti propadli argument v svojo korist? Govora tu je v luknjah in če ne prebereš celotne kode ali je ne napišeš sam je open source praktično enak closed source kar se tiče lukenj ali pa še slabši zaradi slabše kvalitete programerjev in kode ter seveda razdrobljenosti programerjev, kjer vsak dela po svoje.
techfreak :) ::
Kar se tice lukenj ni enako, saj lahko dolocene luknje najdes samo (oz. precej hitreje) ce imas odprto kodo pred sabo.
Sicer pa se tudi glede kode ne bi mogel strinjati, saj ravno pri zaprti kodi ne ves kaj se skriva za binarno datoteko, ter veliko zadev se naredi v smislu "Dela? Ok, potem ze mora biti kul.", kvaliteta ter varnost kode pa se niti ne gleda.
Tako pri odprti kot pri zaprti kodi najdes katastrofe kot tudi kvalitetno narejene zadeve.
Sicer pa se tudi glede kode ne bi mogel strinjati, saj ravno pri zaprti kodi ne ves kaj se skriva za binarno datoteko, ter veliko zadev se naredi v smislu "Dela? Ok, potem ze mora biti kul.", kvaliteta ter varnost kode pa se niti ne gleda.
Tako pri odprti kot pri zaprti kodi najdes katastrofe kot tudi kvalitetno narejene zadeve.
next_byte ::
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Še vedno tumiš prazno slamo....
DOkler ne boš sam prebral ali napisal svoje kode, je tvoja koda enaka close source in vsi vaši argumenti da je open source boljši zaradi tega ker lahko vidiš kodo padejo v vodo, ker je itak noben ne bere in čekira, tako kot ne tistih licence agreement-ov.
Ne vsi gradijo od začetka vse skupaj, in bral boš v binarni obliki zapis, ker je ta bolj berljiv ane... :) pa daj nooo. Če neke možnosti nekdo v trenutku t ne potrebuje ne pomeni da je nebo potreboval v trenutku t+nekaj. In ko jo potrebuje, je dobro da ima to možnost. Zakaj bi ljudem skrivali kodo, kot zato da se jih omejuje, in dela profit na račun tega da se jim odvzame možnosti prebrati kodo ter modificirati.
Spet hočeš obrniti propadli argument v svojo korist? Govora tu je v luknjah in če ne prebereš celotne kode ali je ne napišeš sam je open source praktično enak closed source kar se tiče lukenj ali pa še slabši zaradi slabše kvalitete programerjev in kode ter seveda razdrobljenosti programerjev, kjer vsak dela po svoje.
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat. tako da je že po osnovi tvoj kakeršen koli agrument zgrešen. Skratka odprta koda spodbuja izvoboljšave, zaprta pa stvari pometa pod preprogo. Meni se zdi tvoj argument propadli, saj hvali tisto kar otežuje, napredek.
Aja? Linux poganja večino stvari, največ exploitov je pa za winse. Ponovno, realnost se ne sklada s tvojimi zaključki. Plus da očitno ne veš, da je večina open source projektov kar dobro organizirana.
Odzivnost skrbnika ni bila fail. Popravili so hitro. Fail je bil da je nekaj takega prišlo v kodo. Ampak ponovno, tu tudi slučajno niso edini.
Še vedno tumiš prazno slamo....
DOkler ne boš sam prebral ali napisal svoje kode, je tvoja koda enaka close source in vsi vaši argumenti da je open source boljši zaradi tega ker lahko vidiš kodo padejo v vodo, ker je itak noben ne bere in čekira, tako kot ne tistih licence agreement-ov.
Ne vsi gradijo od začetka vse skupaj, in bral boš v binarni obliki zapis, ker je ta bolj berljiv ane... :) pa daj nooo. Če neke možnosti nekdo v trenutku t ne potrebuje ne pomeni da je nebo potreboval v trenutku t+nekaj. In ko jo potrebuje, je dobro da ima to možnost. Zakaj bi ljudem skrivali kodo, kot zato da se jih omejuje, in dela profit na račun tega da se jim odvzame možnosti prebrati kodo ter modificirati.
Spet hočeš obrniti propadli argument v svojo korist? Govora tu je v luknjah in če ne prebereš celotne kode ali je ne napišeš sam je open source praktično enak closed source kar se tiče lukenj ali pa še slabši zaradi slabše kvalitete programerjev in kode ter seveda razdrobljenosti programerjev, kjer vsak dela po svoje.
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat. tako da je že po osnovi tvoj kakeršen koli agrument zgrešen. Skratka odprta koda spodbuja izvoboljšave, zaprta pa stvari pometa pod preprogo. Meni se zdi tvoj argument propadli, saj hvali tisto kar otežuje, napredek.
Zgodovina sprememb…
- spremenil: next_byte ()
misek ::
next_byte ::
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat.Tole pa sploh ne drži. Če nimaš izvorne kode pač izvedeš vzvratni inženiring. Seveda moraš najprej približno vedeti, kje se program "čudno" obnaša.
In to je lažje, bolj prikladno kot imeti odprto kodo? Ni to podobno, kot vreč televizijo skos okno in na podlagi zvoka sklepati o sestavi/delovanju televizije?
Zgodovina sprememb…
- spremenil: next_byte ()
MrStein ::
google decompiler
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
johnnyyy ::
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat.Tole pa sploh ne drži. Če nimaš izvorne kode pač izvedeš vzvratni inženiring. Seveda moraš najprej približno vedeti, kje se program "čudno" obnaša.
Ha ha, programerji ne opazijo napake v C dokumentirani kodi, ti bi jo pa našel v skompajlani . Za vajo si skompajlaj OpenSSL in najdi heartbleed. Samo za informacijo me zanima, koliko vrstic kode si v zadnjem letu napisal (ali pregledal) v assemblerju (ni važno katerem)?
Nummy ::
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat. tako da je že po osnovi tvoj kakeršen koli agrument zgrešen. Skratka odprta koda spodbuja izvoboljšave, zaprta pa stvari pometa pod preprogo. Meni se zdi tvoj argument propadli, saj hvali tisto kar otežuje, napredek.
Še vedno ne znaš brat?
Vidim, da ne znaš brat, ne postov, ne kode. Kaj ti pomaga open source, če NE PREBEREŠ celotne kode in je prečekiraš? Še vedno moraš vedet kaj iskat in kje.
You failed again...
techfreak :) ::
Zakaj bi jo ravno ti prebral in precekiral? Pac gre se za to, da lahko to stori kdor koli zeli, ne pa tako kot pri zaprti kodi kjer je to naceloma omejeno samo na zaposlene v podjetju, ki je program/knjiznico naredilo.
Torej na eni strani imas odprto kodo, kjer lahko po zelji/potrebi pregledas zadeve, kar nekateri delajo, na drugi strani pa zaprto kodo kjer si precej bolj omejen.
Torej na eni strani imas odprto kodo, kjer lahko po zelji/potrebi pregledas zadeve, kar nekateri delajo, na drugi strani pa zaprto kodo kjer si precej bolj omejen.
Nummy ::
techfreak :) je izjavil:
Zakaj bi jo ravno ti prebral in precekiral? Pac gre se za to, da lahko to stori kdor koli zeli, ne pa tako kot pri zaprti kodi kjer je to naceloma omejeno samo na zaposlene v podjetju, ki je program/knjiznico naredilo.
Torej na eni strani imas odprto kodo, kjer lahko po zelji/potrebi pregledas zadeve, kar nekateri delajo, na drugi strani pa zaprto kodo kjer si precej bolj omejen.
Ja če je koda varnejša, jo prebereš da najdeš luknje, ki jih ostali ne...
Vaš argument je bil, da je opn source bolj varen, ker je pač koda vidna vsem in jo vsak lahko modificira in prebere in tako prej najde luknje, kar ne drži vode.
Noben ne bere celotne kode in iskanje lukenj je enako kot pri closed source, včasih še slabše (ker ni dodatnih plačanih unit testetrjev, itd,... ).
misek ::
Kar se tiče lukenj če imaš odprto kodo jih lahko najdeš, čene jih nemoreš sploh iskat.Tole pa sploh ne drži. Če nimaš izvorne kode pač izvedeš vzvratni inženiring. Seveda moraš najprej približno vedeti, kje se program "čudno" obnaša.
In to je lažje, bolj prikladno kot imeti odprto kodo? Ni to podobno, kot vreč televizijo skos okno in na podlagi zvoka sklepati o sestavi/delovanju televizije?
Napisal si, da če nimaš kode, ne moreš niti iskati lukenj. In to ne drži. Kako pa potem najdejo luknje v Windowsih? Programerji iz Microsofta povedo svetu?
Evo, en primer: 64-bit calc.exe Stack Overflow Root Cause Analysis
Ha ha, programerji ne opazijo napake v C dokumentirani kodi, ti bi jo pa našel v skompajlani . Za vajo si skompajlaj OpenSSL in najdi heartbleed. Samo za informacijo me zanima, koliko vrstic kode si v zadnjem letu napisal (ali pregledal) v assemblerju (ni važno katerem)?
Saj nisem napisal, da jo jaz najdem. Ali sploh iščem. Obstajajo pa ljudje, ki to počnejo. In samo to.
Kode pa sem napisal kar precej. Vendar ne v asemblerju. Nimam potrebe. Razen nekaj malega za ARM MCU (za hobi).
Zgodovina sprememb…
- spremenil: misek ()
techfreak :) ::
Vaš argument je bil, da je opn source bolj varen, ker je pač koda vidna vsem in jo vsak lahko modificira in prebere in tako prej najde luknje, kar ne drži vode.
Argument je da je open source lahko bolj varen, vsekakor pa ne manj, vsaj glede vidika da imajo raziskovalci tukaj na voljo se kodo. To je dejstvo.
Noben ne bere celotne kode in iskanje lukenj je enako kot pri closed source, včasih še slabše (ker ni dodatnih plačanih unit testetrjev, itd,... ).
Pri vecjih projektih verjetno res noben ne prebere celotne kode, ampak je dovolj da vec ljudi prebere dele kode, ce pa sodelujejo je pa se toliko boljse. Ce imas dodatnem moznosti pri iskanju lukenj se ne pomeni da jih tudi izkoriscas, prav tako pa to nima veze s stevilom (in znanjem) ljudi ki kodo testirajo.
Glede na to da je na svetu veliko vec kode zaprte kot pa odprte, je precej verjetno da je le-ta manj varna, ker jo pac manj ljudi pregleda. Ce se pa osredotocimo na popularne projekte (kar nas verjetno tu zanima) pa je tezko karkoli reci brez konkretnih podatkov.
next_byte ::
:) se lahko le smejem ozkosti, arogantnosti nekaterih osebkov. Skratka zguba časa.
Zgodovina sprememb…
- spremenil: next_byte ()
MrStein ::
techfreak :) je izjavil:
Ce se pa osredotocimo na popularne projekte (kar nas verjetno tu zanima) pa je tezko karkoli reci brez konkretnih podatkov.
Konkretni podatki so bili omenjeni in tudi linkani.
Samo možgani hitro spregledajo stvari, ki jim niso všeč...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Zal nisem uspel spremljati celotne debate, sem pa na hitro preletel komentarje in omenjenega linka nisem nasel. Lahko prosim se enkrat linkas?
(Sicer ne glede na podatke se vseeno drzi da je pri odprti kodi vec moznosti za raziskovanje kaj program dela in iskanju ranljivosti, ce pa se v odprto kodne projekte zmece manj denarja (in so s tem slabsi rezultati) pa ima to veze z dejansko varnostjo, ne pa tudi s tem kaj bi se lahko doseglo.)
(Sicer ne glede na podatke se vseeno drzi da je pri odprti kodi vec moznosti za raziskovanje kaj program dela in iskanju ranljivosti, ce pa se v odprto kodne projekte zmece manj denarja (in so s tem slabsi rezultati) pa ima to veze z dejansko varnostjo, ne pa tudi s tem kaj bi se lahko doseglo.)
MrStein ::
Ti si jih linkal.
Jaz pa sem omenil, da izdelek z 90% trga ima tudi tam 90% exploitov.
techfreak :) je izjavil:
iOS 27 letos, 335 skupaj: http://www.cvedetails.com/product/15556...
Android 5 letos, 35 skupaj: http://www.cvedetails.com/product/19997...
Windows 0 letos, 1 skupaj: http://www.cvedetails.com/product/23230...
Jaz pa sem omenil, da izdelek z 90% trga ima tudi tam 90% exploitov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Glede na: http://techcrunch.com/2014/01/29/androi... je v Q4 2013 bilo:
Android 78.4%
iOS 17.6%
WP 3.2%
Pri ranljivostih pa je:
Android 15.6% letos, 9.5% vse skupaj
iOS 84.4% letos, 90% vse skupaj
Glede tistih fiktivnih 99% ter realnih 0.1% pri Google Play (sicer je citat iz podobne novice):
Torej tu nikjer ne pise kaj tocno kvalificira za malware, ce je uporabnik rekel: "ok, mej GPS, mej dostop do imenika, ..." potem si je sam kriv.
Android 78.4%
iOS 17.6%
WP 3.2%
Pri ranljivostih pa je:
Android 15.6% letos, 9.5% vse skupaj
iOS 84.4% letos, 90% vse skupaj
Glede tistih fiktivnih 99% ter realnih 0.1% pri Google Play (sicer je citat iz podobne novice):
Android apps were only counted as being malicious if they behaved in specific ways as a result of malware. The behavior may include: collecting and sending GPS coordinates, contact lists and email addresses to third parties; recording phone conversations and sending them to attackers; taking control of the infected phone; or downloading other malware onto the phone.
Torej tu nikjer ne pise kaj tocno kvalificira za malware, ce je uporabnik rekel: "ok, mej GPS, mej dostop do imenika, ..." potem si je sam kriv.
Nummy ::
MrStein ::
techfreak :) je izjavil:
Glede na: http://techcrunch.com/2014/01/29/androi... je v Q4 2013 bilo:
Android 78.4%
iOS 17.6%
WP 3.2%
Pri ranljivostih pa je:
Android 15.6% letos, 9.5% vse skupaj
iOS 84.4% letos, 90% vse skupaj
Torej Windows ima zanemarljiv delež trga in zanemarljivo količino exploitov?
My point exactly?
Yes it is.
Q.E.D.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Odprto kodni Android ima vecinski delez in ~1/10 vseh ranljivosti, zaprto kodni iOS pa ~1/6 marketa in ~9/10 ranljivosti.
Tako da ta delez trga v primerjavi s kolicino ranljivosti ne drzi.
Tako da ta delez trga v primerjavi s kolicino ranljivosti ne drzi.
MrStein ::
1.) Umakni plašnice.
2.) Poglej zlobne zlobne Windows
3.) Realise that iOS je v precejšnji meri open source
4.) Profit!
2.) Poglej zlobne zlobne Windows
3.) Realise that iOS je v precejšnji meri open source
4.) Profit!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Saj mi ni jasno kaj si hotel s tem povedati, bi pa rekel da je iOS vecinoma zaprta koda z nekaj izjemami (WebKit in dolocene sistemske knjiznice: http://opensource.apple.com/release/ios....
MrStein ::
OK, zadnjič: več deleža -> več exploitov in lukenj
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
To naceloma drzi, vecji delez prinese tudi vecje zanimanje za iskanje lukenj, tako za dobre kot slabe namene.
Nikakor pa ne pomeni da bo produkt A z vecjim delezom kot produkt B imel tudi vecje stevilo lukenj.
Nikakor pa ne pomeni da bo produkt A z vecjim delezom kot produkt B imel tudi vecje stevilo lukenj.
Poldi112 ::
Edini odprtokodni os za telefone (ok, imaš marginalce z koliko 1%, ampak to mirno ignoriramo) ima 80% tržni delež in 20% delež ranljivosti. In nekateri iz tega uspete potegniti zaključek, da je zaprta koda bolj varna. Svašta.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein ::
Sicer so tule razmerje na trgu izmerili čisto drugače:
http://www.netmarketshare.com/operating...
Oziroma primerjava:
Usage share of operating systems @ Wikipedia
S tem da je prvo število prodaj, drugo pa število naprav (v grobem). Lani prodane naprave pač ne izpuhtijo.
http://www.netmarketshare.com/operating...
Oziroma primerjava:
Usage share of operating systems @ Wikipedia
S tem da je prvo število prodaj, drugo pa število naprav (v grobem). Lani prodane naprave pač ne izpuhtijo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljenOddelek: Novice / Varnost | 12278 (9911) | BigWhale |
» | Računalnik ne bootaOddelek: Pomoč in nasveti | 1515 (1401) | Boomerang |
» | GUI - alternativaOddelek: Operacijski sistemi | 2025 (1506) | darkolord |
» | IBM Thinkpad T22 in XPOddelek: Operacijski sistemi | 1423 (1330) | Calligula |
» | Video ne predvaja :(Oddelek: Pomoč in nasveti | 1514 (1462) | amaze646 |