Открытый код, дыры и тысячи опенсорсных глаз, что такое СПО, панацея или мифология? Опции

Как сообщает известный промайкрософтовский сайт ЛОР:

В OpenSSH 3.5p1 из состава FreeBSD 4.x найдена удаленная root-уязвимость.

В списке рассылки full-disclosure представлена критическая уязвимость в используемой во FreeBSD 4.x версии OpenSSH, позволяющая удаленному злоумышленнику без аутентификации получить root-доступ к системе. Уже создан и публично опубликован эксплоит, позволяющий получить привилегированный shell на подверженных уязвимости серверах.

...

Ошибка проявляется при передаче слишком длинного имени пользователя. Простой способ проверить наличие уязвимости - попытаться обратиться к своему серверу, указав логин порядка 100 символов.

Понятно, что поклонники экзотических ОС с открытыми исходными кодами возмутятся, как мол так, фрибсд 4.х древняя как экскременты мамонта и эта бага не создает реальных проблем.

А позвольте вас спросить, уважаемые альтернативщики-анимешники. Вы уверены, что в актуальном коде SSH нет еще более глупой дыры? Учитывая, что эту (глупую и мегаопасную) багу тысячи опенсорсных глаз не углядели в течении пяти лет?

Из этого делается крайне неприятный вывод. Качество кода не очень то и зависит от удачи и размеров опенсорсного стада. А зависит от комплексного профессионального подхода к проблеме безопасности. Который есть у компаний, ведущих профессиональную разработку. И напрочь отсутствует у опенсорсных базаров. Очевидно, если набрать миллион обезьян и посадить их за Linux - в течении миллиона лет искать баги в коде ядра и окружения, они что нибудь да найдут. Но можем ли мы при этом утверждать, что открытый код более качественен, только лишь потому, что миллион обезьян имеет возможность искать в нем баги? Очевидно - нет.

И понятно почему, ведь обратное плохому качеству опенсорсного кода мы наблюдаем на примере профессиональных продуктов. Создатели которых целенаправленно вкладывают средства и ресурсы в высокое качество разработки, образование персонала, безопасность.

Разницу в подходах можно увидеть на примере MySql vs MS Sql. Следует понять, что у продукта Майкрософт значительное превосходство продукта как по по функционалу так и по сложности проекта. При этом за все время существования MS Sql 2008 была найдена лишь одна (ОДНА) уязвимость. И целых 66 уязвимостей у MySql ветки 5х.

Смотрите, что получается. Кодовая база и функционал у продукта Майкрософт в разы больше. И качество кода тоже! Код MS Sql в 66! раз безопасней опенсорсного конкурента. Что это означает? Если бы в Mysql находили одну дыру в год, в продукте Майкрософт находили бы одну дыру раз в 66 лет! При этому MySql является нишевым продуктом, а Ms Sql представляет целую платформу, от встраиваемых систем до крупнейших датацентров. Чувствуете разницу?

Вывод напрашивается сам собой. Не верьте никому. Ни Чилавеку-Стулману, ни Орлуне ни любому другому трепачу и пустозвону, который с помощью форума, среднего пальца руки и длинного языка выводит формулу вендекопеца и супернадежности линукса. Будьте бдительны, занимайтесь своим образованием, не верьте в чудолинукс и Умных Студентов-Прогромистов из Коммунити, маниакально закрывайте и ограничивайте все. Или очередная глупая дыра (которую лишь через пяток лет найдут в мегасекурном ssh) откроет ворота в ваш опенсорсный ИТ мир любому чудиле из Китая.

Удачи!

Вывод напрашивается сам собой. Не верьте никому. Ни Чилавеку-Стулману, ни Орлуне ни любому другому трепачу и пустозвону

nassaja, а мы Вам и не верим. :D

И это правильно! Вдруг я все вру и в люниксе нет никаких багов! Секуния тоже врет!

Нася ты врешь, потому что ловко подтасовываешь факты и понятия. От этого твоя ложь становится более мезкой.
1. Профессионалы занимаются безопасностью и в том и в другом лагере. Или сотрудники бывшего Сана, ИБМа, Гугла , Каноникла и проч и проч. Не работают за зарплату и не профессионалы в своей области?
2. Сравнивать MySQL и MS SQL может только наглый лжец или тот кто не в курсе. MS SQL можно сравнивать с PostgreSQL ну никак не с MySQL по функционалу и уровню.
3. Нахождение багов и дыр в ПО по разному отображает их реальное наличие в нем в мирне ППО и СПО. В ППО можно искать только путем тыка и реинжениринга, что затрудняет поиск и в этом большой плюс ППО, в отличии от открытого кода где к методу научного тыка добавляются еще и желающие искать баги не столько для опубликации и закрытия сколько для зловредного использования.
Поэтому реальное наличие дыр в ППО может резко отличаться от количества найденных.
Да и открытую дыру в любом ПО думаю будут стараться сильно не афишировать если ее можно коммерчески использовать.

И в итоге если посмотреть на то как происходит обнаружение дыр в поделиях Макрософага, и в СПО. Видна одна тенденция. Дыру Микрософта активно юзают и зловредят, тогда ее начинают искать для того чтобы заткнуть. Ситуация в мире СПО по статистике прямо противоположная. дыру находят в коде, а о фактах ее использования практически не слышно.

Отсюда вывод. Плохо ты отрабатываешь свой хлеб, лживый тролль.

Нася ты врешь, потому что ловко подтасовываешь факты и понятия. От этого твоя ложь становится более мезкой.
1. Профессионалы занимаются безопасностью и в том и в другом лагере. Или сотрудники бывшего Сана, ИБМа, Гугла , Каноникла и проч и проч. Не работают за зарплату и не профессионалы в своей области?
2. Сравнивать MySQL и MS SQL может только наглый лжец или тот кто не в курсе. MS SQL можно сравнивать с PostgreSQL ну никак не с MySQL по функционалу и уровню.
3. Нахождение багов и дыр в ПО по разному отображает их реальное наличие в нем в мирне ППО и СПО. В ППО можно искать только путем тыка и реинжениринга, что затрудняет поиск и в этом большой плюс ППО, в отличии от открытого кода где к методу научного тыка добавляются еще и желающие искать баги не столько для опубликации и закрытия сколько для зловредного использования.
Поэтому реальное наличие дыр в ППО может резко отличаться от количества найденных.
Да и открытую дыру в любом ПО думаю будут стараться сильно не афишировать если ее можно коммерчески использовать.

И в итоге если посмотреть на то как происходит обнаружение дыр в поделиях Макрософага, и в СПО. Видна одна тенденция. Дыру Микрософта активно юзают и зловредят, тогда ее начинают искать для того чтобы заткнуть. Ситуация в мире СПО по статистике прямо противоположная. дыру находят в коде, а о фактах ее использования практически не слышно.

Отсюда вывод. Плохо ты отрабатываешь свой хлеб, лживый тролль.

так много букав и ни одного разоблачения.

Поэтому реальное наличие дыр в ППО и в СПО может резко отличаться от количества найденных.

фиксед

так много букав и ни одного разоблачения.

Это и было разоблачение, лошарик. :lol:

patient СПО это как наркотик. Очень сложно и трудно идет процесс понимания, что наркотик приносит вред, а не пользу. Ломки тоже бывают ужасными.

1. Профессионалы занимаются безопасностью и в том и в другом лагере. Или сотрудники бывшего Сана, ИБМа, Гугла , Каноникла и проч и проч. Не работают за зарплату и не профессионалы в своей области?

Назови имена профессионалов, которые не заметили (или не захотели?) описанную выше дыру. Это же лютый пизд*ц - рутовый доступ в ssh при переполнении буфера имени пользователя в течении последних пяти! лет. А недавний случай с vsftpd? Когда на оффсайте! висел код с трояном. Типа отправляешь смайлик в имени пользователя и имеешь целевую систему. Какие профессионалы это допустили? И возможен ли такой казус в коммерческом продукте? А недавний взлом корпоративной сети Redhat? Когда злоумышленники неизвестным! способом неизвестное! время делали неизвестно! что, скомпрометировав и сервера сборки в том числе. Что привело к замене сертификатов. Это что?

Давай братюня, жжи напалмом, раз уж профессионалов вспомнил, тащи сюда имена героев.

2. Сравнивать MySQL и MS SQL может только наглый лжец или тот кто не в курсе. MS SQL можно сравнивать с PostgreSQL ну никак не с MySQL по функционалу и уровню.

Postgresql никоим образом нельзя сравнивать с MS SQL по функционалу. Хотя он лучше, чем MySql, но заметно проигрывает MS SQL. А по поводу безопасности.. давай сравним. MS SQL 2008 - одна уязвимость. Postgresql 8x - 36 уязвимостей. Всего в два раза меньше чем у MySql. Т.е. если у Postgre будут находить одну уязвимость раз в год, то у MS SQL онную найдут раз в 36 лет. Это конечно лучше, чем раз в 66 лет, как у MySql. Но повода для гордости маловато. Не находишь?

3. Нахождение багов и дыр в ПО по разному отображает их реальное наличие в нем в мирне ППО и СПО. В ППО можно искать только путем тыка и реинжениринга, что затрудняет поиск и в этом большой плюс ППО, в отличии от открытого кода где к методу научного тыка добавляются еще и желающие искать баги не столько для опубликации и закрытия сколько для зловредного использования.

Давай определим несколько констант.

1. Реально что-то найти могут профессионалы
2. В составе коммерческих компаний профессионалов заметно больше и они лучше мотивированы на работу

В результате мы видим результат. В продуктах Microsoft ситуация с уязвимостями и качеством кода заметно улучшилась за последние пять лет. Шутка ли, всего одна уязвимость в сложнейшем продукте вроде MS SQL 2008. У опенсорса ситуация с качеством неизменно плохая. Новое ядро раз в три месяца - чейнджлоги на несколько мегабайт, десятки и сотни багфиксов. Новый релиз раз в пол года - легионы проблем с железом, софтом, зависимостями, API.

За примером далеко ходить не надо, недавно новая SuSe вышла. Миллионы опенсорсников типа как участвовали в процессе. А в релизе ху*к... и такая никому не известная программа "Скайп" не работает. Зависимости кривые, не устанавливается. Как это назвать то? Желающих искать баги не нашлось? =) Так хрена, в трекере об этой ошибке знали со времен альфы. Только у опенсорса первый принцип - мы никому не должны. Исправить этот косяк для майнтейнера было западло. Это как назвать то? Качеством? И в этом все СПО.

Поэтому реальное наличие дыр в ППО может резко отличаться от количества найденных.
Да и открытую дыру в любом ПО думаю будут стараться сильно не афишировать если ее можно коммерчески использовать.

Это линуксвранье. Когда в линуксе качество кода ниже плинтуса, а трояны и дыры встраивают сразу в исходники - что еще делать? Только врать про не найденные проблемы. Понятно же, что в Майкрософт хороший код делают не из-за строгой политики по качеству и большого количества мотивированных профессионалов. А потому-что коммунити не нашло огромного числа проблем, как это происходит в опенсорсной линукссреде.

Т.е. мы берем проблему опенсорса - никакое качество кода, проецируем ее на конкурента и в извращенной форме доказываем, что у конкурента дела еще хуже. "Почему у продуктов Майкрософт нет проблем? Потому-что их много в опенсорсе! Поэтому продукты Майкрософт хуже!" - говорит нам любой адепт люниксцеркви. Попахивает шизофренией, но этому ребят специально обучают на линукссходках. И это ужасно!

И в итоге если посмотреть на то как происходит обнаружение дыр в поделиях Макрософага, и в СПО. Видна одна тенденция. Дыру Микрософта активно юзают и зловредят, тогда ее начинают искать для того чтобы заткнуть. Ситуация в мире СПО по статистике прямо противоположная. дыру находят в коде, а о фактах ее использования практически не слышно.

1. Как происходит?
2. Что за тенденция?

Мне тут активно рассказывали про пару злобных червей. Но в обоих случаях заплатка вышла раньше начала эпидемии. А пострадали в основном пользователи всяких зверь-сиди. О чем Майкрософт и предупреждает - использование пиратских продуктов опасно!

Postgresql никоим образом нельзя сравнивать с MS SQL по функционалу. Хотя он лучше, чем MySql, но заметно проигрывает MS SQL.

nassaja, ну а теперь, как православный апологет мелкосизма, расскажите чем конкретно (про наличие православного пауэршела и юзера SA мы и так уже знаем :D ) и гуголь Вам в помощь, только хотя бы мельком прочитывайте то, что копипастите, а то опять голой ... да в холодную лужу сядите, как с .... ну мужик ты сам понял

В продуктах Microsoft ситуация с уязвимостями и качеством кода заметно улучшилась за последние пять лет.

Да чего там пять ... двадцать пять и ваще в мелкосятине уязвимостей нет и небыло и с каждой новой вистой становится всё меньше и меньше.

Мне тут активно рассказывали про пару злобных червей. Но в обоих случаях заплатка вышла раньше начала эпидемии.

Во как ... и знали, и заплатку выпустили, и прокладку с тампоном ... а в результате как всегда - любимый член виндузятнику на десктоп, видимо что бы заранее денежку на новый технологичиский прорыв мелкософта в деле вин восем строеня готовили.

И возможен ли такой казус в коммерческом продукте?

Да, конечно! И ещё не такой возможен.

Поднимите литературу лет за 10 -- найдёте кучу примеров.

[quote name='nassaja' post='1478572' date='Вторник, 5 Июля 2011, 08:46:29']Postgresql никоим образом нельзя сравнивать с MS SQL по функционалу. Хотя он лучше, чем MySql, но заметно проигрывает MS SQL.[/quote]В чём? в том, что MSSQL в кластере заводить сначала разоришься на лицензиях, потом просто убьёшься?[quote]А по поводу безопасности.. давай сравним. MS SQL 2008 - одна уязвимость. Postgresql 8x - 36 уязвимостей. Всего в два раза меньше чем у MySql. Т.е. если у Postgre будут находить одну уязвимость раз в год, то у MS SQL онную найдут раз в 36 лет. Это конечно лучше, чем раз в 66 лет, как у MySql. Но повода для гордости маловато. Не находишь?[/quote]Нет. Ибо неизвестно, сколько уязвимостей в MSSQL осталось, а сколько обнаружено, но не опубликовано и используется коммерчески -- код-то закрыт.[quote][quote]3. Нахождение багов и дыр в ПО по разному отображает их реальное наличие в нем в мирне ППО и СПО. В ППО можно искать только путем тыка и реинжениринга, что затрудняет поиск и в этом большой плюс ППО, в отличии от открытого кода где к методу научного тыка добавляются еще и желающие искать баги не столько для опубликации и закрытия сколько для зловредного использования.[/quote]Давай определим несколько констант.

1. Реально что-то найти могут профессионалы[/quote]Начиная со студента старшего курса.[quote]2. В составе коммерческих компаний профессионалов заметно больше и они лучше мотивированы на работу[/quote]Однако всё равно по сравнению с общим числом специалистов, которые имеют достаточную квалификацию для поиска уязвимостей, их ничтожно мало. К тому же среди работающих в коммерческих конторах профессионалов поиском уязвимостей в закрытом занимаются единицы процентов[quote]В результате мы видим результат. В продуктах Microsoft ситуация с уязвимостями и качеством кода заметно улучшилась за последние пять лет. Шутка ли, всего одна уязвимость в сложнейшем продукте вроде MS SQL 2008.[/quote]Нет, нисколько не лучше, просто код закрыт, а старые уязвимости пофикшены. Сколько новых -- никто не знает, а опыт цисковского троллежа по поводу IOS показывает, что проприетарщики могут использовать все наличные средства, в том числе судебный троллёж, для сокрытия информации об уже обнаруженных дырах.[quote]У опенсорса ситуация с качеством неизменно плохая. Новое ядро раз в три месяца - чейнджлоги на несколько мегабайт, десятки и сотни багфиксов.[/quote]Нет. просто гласность хорошая. [quote]Новый релиз раз в пол года - легионы проблем с железом, софтом, зависимостями, API.[/quote]Фантазии уьунтовщика-паникёра. Уйдите, наконец, с убунту! У других не всё так плохо.[quote]За примером далеко ходить не надо, недавно новая SuSe вышла. Миллионы опенсорсников типа как участвовали в процессе. А в релизе ху*к... и такая никому не известная программа "Скайп" не работает. Зависимости кривые, не устанавливается. Как это назвать то?[/quote]Скайпохалтурой.[quote]Желающих искать баги не нашлось? =) Так хрена, в трекере об этой ошибке знали со времен альфы.[/quote]Так где ошибка-то? Не в сусе же![quote]Только у опенсорса первый принцип - мы никому не должны. Исправить этот косяк для майнтейнера было западло.[/quote]Мантейнер-то тут скайп!!! Он сам свои пакеты мантейнит!!![quote]Это как назвать то? Качеством? И в этом все СПО.[/quote]С каких пор скайп стал СПО???!!! А вот для качества проприетарщины это очень-очень характерно, да.

И вообще, есть в скайпе такой пакет, называется "статическая сборка". Скачали, распаковали -- работает! И не надо людям мозги полоскать.[quote][quote]Поэтому реальное наличие дыр в ППО может резко отличаться от количества найденных.
Да и открытую дыру в любом ПО думаю будут стараться сильно не афишировать если ее можно коммерчески использовать.[/quote]Это линуксвранье. Когда в линуксе качество кода ниже плинтуса, а трояны и дыры встраивают сразу в исходники - что еще делать?[/quote]В линуксе качество вода вполне отличное, а трояны и дыры встраивают в исходники в вендах и в BSD.[quote]Только врать про не найденные проблемы. Понятно же, что в Майкрософт хороший код[/quote]со встроенными троянами и дырами (стухнет-с!)[quote] делают не из-за строгой политики по качеству и большого количества мотивированных профессионалов. А потому-что коммунити не нашло огромного числа проблем, как это происходит в опенсорсной линукссреде.[/quote]Именно так, потому что коды не предоставляются сообществу для ревью. В основном по той причине, что бэкдоры, затребованные спецслужбами и институциональными копирастами, у МСа таки есть. И много.[quote]Т.е. мы берем проблему опенсорса - никакое качество кода, проецируем ее на конкурента[/quote]у которого качество кода просто неизвестно, а если судить по открытым частям -- качество на порядок хуже, чем, например, у опенсорсного же соляриса[quote] и в извращенной форме доказываем, что у конкурента дела еще хуже. "Почему у продуктов Майкрософт нет проблем? Потому-что их много в опенсорсе! Поэтому продукты Майкрософт хуже!" - говорит нам любой адепт люниксцеркви. Попахивает шизофренией, но этому ребят специально обучают на линукссходках. И это ужасно![/quote]Почему это "у продуктов МС нет проблем"??? Они как раз есть! И говорить, что их нет, -- не "попахивает шизофренией", а шиза в тяжёлой форме. Под МСовские недооси больше говнокода понаписано -- и только. А так они сами по себе зафигом не сдались.[quote]Мне тут активно рассказывали про пару злобных червей. Но в обоих случаях заплатка вышла раньше начала эпидемии. А пострадали в основном пользователи всяких зверь-сиди. О чем Майкрософт и предупреждает - использование пиратских продуктов опасно![/quote]Тут дело вот в чём. Зверь-сиди не на пустом месте взялся. В нём в ОС сделаны изменения, из-за которых программы. написанные под старые венды, работают значительно лучше, чем на чистой XP, -- а это в некоторых случаях является решающим и перекрывает вопросы безопасности. Что именно сборщики сделали -- я так толком и не разобрался, но это является основной причиной, почему эта сборка вообще появляется в производственном процессе.

nassaja, ну а теперь, как православный апологет мелкосизма, расскажите чем конкретно (про наличие православного пауэршела и юзера SA мы и так уже знаем biggrin.gif ) и гуголь Вам в помощь, только хотя бы мельком прочитывайте то, что копипастите, а то опять голой ... да в холодную лужу сядите, как с .... ну мужик ты сам понял devil.gif

Можно начать с наличия линейки продуктов от микро-встраиваемых БД уровня приложения, до кластеров БД уровня предприятия. У postgre есть такое?

Да чего там пять ... двадцать пять и ваще в мелкосятине уязвимостей нет и небыло и с каждой новой вистой становится всё меньше и меньше.

Примерно так и есть. У открытых продуктов количество ошибок в коде и уязвимостей - растет. У закрытых (у продуктов Майкрософт) - резко упало после реализации целенаправленной политики в этой области. И с каждым годом падает. Это легко выяснить проведя аналитику по открытым базам данных типа Secunia.

Во как ... и знали, и заплатку выпустили, и прокладку с тампоном ... а в результате как всегда - любимый член виндузятнику на десктоп, видимо что бы заранее денежку на новый технологичиский прорыв мелкософта в деле вин восем строеня готовили. devil.gif

Братюня, ты долго будешь изображать развеселого клоуна с шуточками и смеху*чками? Тебя это не красит.

У открытых продуктов количество ошибок в коде и уязвимостей - растет. У закрытых (у продуктов Майкрософт) - резко упало после реализации целенаправленной политики в этой области. И с каждым годом падает. Это легко выяснить проведя аналитику по открытым базам данных типа Secunia.

Ооооо, момент истины!!!!!

Если учесть, что целенаправленная политика в этой области -- это судебное преследование независимых исследователей безопасности вендов и другого закрытого софта с использованием DMCA и ему подобных инструментов копирастического троллежа.

Браво, нассайко! :+:

[quote]Нет. Ибо неизвестно, сколько уязвимостей в MSSQL осталось, а сколько обнаружено, но не опубликовано и используется коммерчески -- код-то закрыт.[/quote]

Орлуня, следуя твоей логике, раз в ssh пятилетней давности нашли руткит, то в современных версиях должно быть десять руткитов. Только о них никто ничего не знает. Верно? И где тогда безопасность юникссистем? В какой жопе?

[quote]Однако всё равно по сравнению с общим числом специалистов, которые имеют достаточную квалификацию для поиска уязвимостей, их ничтожно мало. К тому же среди работающих в коммерческих конторах профессионалов поиском уязвимостей в закрытом занимаются единицы процентов[/quote]

Не п*зди. С какого потолка ты выдрал "единицы процентов"? Линуксфюррер Стулман врать научил?

[quote]Фантазии уьунтовщика-паникёра. Уйдите, наконец, с убунту! У других не всё так плохо.[/quote]

Типа в дебиане на порядок меньше уязвимостей? Или драйвера не глючат? )))) Какие-то особенные драйвера в дебиане? А Nvidia про них знает?

[quote]Мантейнер-то тут скайп!!! Он сам свои пакеты мантейнит!!![/quote]

Да ну? Типа скайп под сюсе свои пакеты делает? ))) И за зависимостями следит? От такой опенсорс получается кривой. Каждый виноват по отдельности, а все вместе - не виноваты. Ну клевая линукслогика, я поражен.

[quote]В линуксе качество вода вполне отличное, а трояны и дыры встраивают в исходники в BSD.[/quote]

Качество кода линукса опять опровергло статистику и математику. Очередная ежеквартальная линукспообеда ))))))

[quote]со встроенными троянами и дырами (стухнет-с!)[/quote]

Каждый линуксоид знает, трояны и дыры только у Майкрософт! В опенсорсе их нет!!! А когда внезапно находят очередной пятилетний руткит в SSH - ищут коммитера из @microsoft.com =)

[quote]Именно так, потому что коды не предоставляются сообществу для ревью. В основном по той причине, что бэкдоры у МСа таки есть. И много.[/quote]

Орлуня, ты уже заврался до невменяемости. Какое нах сообщество? Спецслужбам и крупным компаниям предоставляют все исходники. Они проходят проверку и сертифицируются. Это известная практика. А про сообщество - миллион обезьянок - я уже писал. Судя по нынешнему состоянию кодовой базы опенсорса, толку от такого сообщества нуль.

[quote]Почему это "у продуктов МС нет проблем"??? Они как раз есть! И говорить, что их нет, -- не "попахивает шизофренией", а шиза в тяжёлой форме. Под МСовские недооси больше говнокода понаписано -- и только. А так они сами по себе зафигом не сдались.[/quote]

Какие проблемы в контексте беседы есть у MS SQL Server 2008 R2? Жду список.

[quote]Тут дело вот в чём. Зверь-сиди не на пустом месте взялся. В нём в ОС сделаны изменения, из-за которых программы. написанные под старые венды, работают значительно лучше, чем на чистой XP, -- а это в некоторых случаях является решающим и перекрывает вопросы безопасности. Что именно сборщики сделали -- я так толком и не разобрался, но это является основной причиной, почему эта сборка вообще появляется в производственном процессе.[/quote]

Не ври. Зверьсиди это обычная икспи с отключенными службами обновления и троянами. Откуда он взялся - понятно. Ботнеты же надо на чем-то строить.

[quote name='orlusha' post='1478740' date='Вторник, 5 Июля 2011, 11:57:19']
[quote name='nassaja' post='1478731' date='Вторник, 5 Июля 2011, 11:48:55']У открытых продуктов количество ошибок в коде и уязвимостей - растет. У закрытых (у продуктов Майкрософт) - резко упало после реализации целенаправленной политики в этой области. И с каждым годом падает. Это легко выяснить проведя аналитику по открытым базам данных типа Secunia.[/quote]Ооооо, момент истины!!!!!

Если учесть, что целенаправленная политика в этой области -- это судебное преследование независимых исследователей безопасности вендов и другого закрытого софта с использованием DMCA и ему подобных инструментов копирастического троллежа.

Браво, нассайко! :+:
[/quote]


Орлуня, жду пять развернутых примеров судебного преследования независимых исследователей безопасности продуктов Майкрософт. Жду, или ты балабол из балаболов.

[quote name='nassaja' date='Вторник, 5 Июля 2011, 12:01:35' post='1478741']Орлуня, следуя твоей логике, раз в ssh пятилетней давности нашли руткит, то в современных версиях должно быть десять руткитов. Только о них никто ничего не знает. Верно? И где тогда безопасность юникссистем? В какой жопе?[/quote]Верно -- но только про венду. В никсах код гораздо более консервативный. А в какой ЖО безопасность вендов, общеизвестно.[quote]Не п*зди. С какого потолка ты выдрал "единицы процентов"? Линуксфюррер Стулман врать научил?[/quote]С достаточного опыта работы в этих самых фирмах, которые пишут проприетарщину. Нет у тебя этго опыта, нассайко.[quote][quote]Фантазии уьунтовщика-паникёра. Уйдите, наконец, с убунту! У других не всё так плохо.[/quote]Типа в дебиане на порядок меньше уязвимостей? Или драйвера не глючат? )))) Какие-то особенные драйвера в дебиане? А Nvidia про них знает?[/quote]Дебиан и убунта -- один хрен. Есть более вменяемые дистры.[quote][quote]Мантейнер-то тут скайп!!! Он сам свои пакеты мантейнит!!![/quote]Да ну? Типа скайп под сюсе свои пакеты делает? ))) И за зависимостями следит?[/quote]А ты чо, не знал?! В скайпе забанили?[quote]От такой опенсорс получается кривой.[/quote]Ещё раз: с каких пор скайп стал опенсорсом?![quote]Каждый виноват по отдельности, а все вместе - не виноваты. Ну клевая линукслогика, я поражен.[/quote]Виноват тут только скайп, больше никто. (Ну роазве что ещё МС -- новый владелец скайпа, который не дал возможности скайповцам пофиксить пакеты.) И не надо опенсорс поливать, тут как раз очень хорошо видно, чьи уши торчат. [quote][quote]В линуксе качество вода вполне отличное, а трояны и дыры встраивают в исходники в BSD.[/quote]Качество кода линукса опять опровергло статистику и математику. Очередная ежеквартальная линукспообеда ))))))[/quote]Выучи С и приёмы хорошего программирования на нём, нассайко.[quote][quote]со встроенными троянами и дырами (стухнет-с!)[/quote]Каждый линуксоид знает, трояны и дыры только у Майкрософт! В опенсорсе их нет!!! А когда внезапно находят очередной пятилетний руткит в SSH - ищут коммитера из @microsoft.com =) [/quote]Стухнета не было, да? :angry:[quote][quote]Именно так, потому что коды не предоставляются сообществу для ревью. В основном по той причине, что бэкдоры у МСа таки есть. И много.[/quote]Орлуня, ты уже заврался до невменяемости. Какое нах сообщество? Спецслужбам и крупным компаниям предоставляют все исходники.[/quote]Вендовраньё. Исходники предоставлоя.тся выборочно на усмотрение МС.[quote]Они проходят проверку и сертифицируются. Это известная практика.[/quote]Они проходят поверхностный коде ревью, написать нормальный тестовый А про сообщество - миллион обезьянок - я уже писал. Судя по нынешнему состоянию кодовой базы опенсорса, толку от такого сообщества нуль.

[quote]Почему это "у продуктов МС нет проблем"??? Они как раз есть! И говорить, что их нет, -- не "попахивает шизофренией", а шиза в тяжёлой форме. Под МСовские недооси больше говнокода понаписано -- и только. А так они сами по себе зафигом не сдались.[/quote]

Какие проблемы в контексте беседы есть у MS SQL Server 2008 R2? Жду список.

[quote]Тут дело вот в чём. Зверь-сиди не на пустом месте взялся. В нём в ОС сделаны изменения, из-за которых программы. написанные под старые венды, работают значительно лучше, чем на чистой XP, -- а это в некоторых случаях является решающим и перекрывает вопросы безопасности. Что именно сборщики сделали -- я так толком и не разобрался, но это является основной причиной, почему эта сборка вообще появляется в производственном процессе.[/quote]

Не ври. Зверьсиди это обычная икспи с отключенными службами обновления и троянами. Откуда он взялся - понятно. Ботнеты же надо на чем-то строить.

[quote name='orlusha' post='1478740' date='Вторник, 5 Июля 2011, 11:57:19']
[quote name='nassaja' post='1478731' date='Вторник, 5 Июля 2011, 11:48:55']У открытых продуктов количество ошибок в коде и уязвимостей - растет. У закрытых (у продуктов Майкрософт) - резко упало после реализации целенаправленной политики в этой области. И с каждым годом падает. Это легко выяснить проведя аналитику по открытым базам данных типа Secunia.[/quote]Ооооо, момент истины!!!!!

Если учесть, что целенаправленная политика в этой области -- это судебное преследование независимых исследователей безопасности вендов и другого закрытого софта с использованием DMCA и ему подобных инструментов копирастического троллежа.

Браво, нассайко! :+:
[/quote]


Орлуня, жду пять развернутых примеров судебного преследования независимых исследователей безопасности продуктов Майкрософт. Жду, или ты балабол из балаболов.
[/quote]

Орлунь, не кипешуй ) все нормально. Тебе все равно заплатят за пропаганду линукса и нездорового образа жизни.

[quote name='nassaja' post='1478741' date='Вторник, 5 Июля 2011, 12:01:35']Орлуня, следуя твоей логике, раз в ssh пятилетней давности нашли руткит, то в современных версиях должно быть десять руткитов. Только о них никто ничего не знает. Верно? И где тогда безопасность юникссистем? В какой жопе?[/quote]Верно -- но только про венду. В никсах код гораздо более консервативный. А в какой ЖО безопасность вендов, общеизвестно.[quote]Не п*зди. С какого потолка ты выдрал "единицы процентов"? Линуксфюррер Стулман врать научил?[/quote]С достаточного опыта работы в этих самых фирмах, которые пишут проприетарщину. Нет у тебя этого опыта, нассайко.[quote][quote]Фантазии убунтовщика-паникёра. Уйдите, наконец, с убунту! У других не всё так плохо.[/quote]Типа в дебиане на порядок меньше уязвимостей? Или драйвера не глючат? )))) Какие-то особенные драйвера в дебиане? А Nvidia про них знает?[/quote]Дебиан и убунта -- один хрен. Есть более вменяемые дистры.[quote][quote]Мантейнер-то тут скайп!!! Он сам свои пакеты мантейнит!!![/quote]Да ну? Типа скайп под сюсе свои пакеты делает? ))) И за зависимостями следит?[/quote]А ты чо, не знал?! В скайпе забанили?[quote]От такой опенсорс получается кривой.[/quote]Ещё раз: с каких пор скайп стал опенсорсом?![quote]Каждый виноват по отдельности, а все вместе - не виноваты. Ну клевая линукслогика, я поражен.[/quote]Виноват тут только скайп, больше никто. (Ну роазве что ещё МС -- новый владелец скайпа, который не дал возможности скайповцам пофиксить пакеты.) И не надо опенсорс поливать, тут как раз очень хорошо видно, чьи уши торчат. [quote][quote]В линуксе качество вода вполне отличное, а трояны и дыры встраивают в исходники в BSD.[/quote]Качество кода линукса опять опровергло статистику и математику. Очередная ежеквартальная линукспообеда ))))))[/quote]Выучи С и приёмы хорошего программирования на нём, нассайко.[quote][quote]со встроенными троянами и дырами (стухнет-с!)[/quote]Каждый линуксоид знает, трояны и дыры только у Майкрософт! В опенсорсе их нет!!! А когда внезапно находят очередной пятилетний руткит в SSH - ищут коммитера из @microsoft.com =) [/quote]Стухнета не было, да? :angry:[quote][quote]Именно так, потому что коды не предоставляются сообществу для ревью. В основном по той причине, что бэкдоры у МСа таки есть. И много.[/quote]Орлуня, ты уже заврался до невменяемости. Какое нах сообщество? Спецслужбам и крупным компаниям предоставляют все исходники.[/quote]Вендовраньё. Исходники предоставляются выборочно на усмотрение МС, и то только спецслужбам некоторых стран. Заявлено, что исходники семёрки будут предоставлены целиком, но, во-первых, независимого подтверждения не из МС не было, во-вторых, их даже поверхностно отревьюить 400-ми сотрудниками Атласа за 3 года нереально, я уже не говорю про тесты на 2-3 уровни по НДВ.[quote]Они проходят проверку и сертифицируются. Это известная практика.[/quote]Они проходят поверхностный коде ревью, написать нормальный тестовый пакет на 3 уровень хотя бы на XP -- работа коллективу из 1000 сотрудников лет на 7-8, к тому же ОС ещё и не пройдёт тестирование.

На самом деле всё просто: вендокод слегка ревьюится, МС платит барашка в бумажке с 9 нулями (часть прямо, част ь скидками) и открывает некоторое число закладок для спецслужб. И получает вожделенную бумажку.[quote]А про сообщество - миллион обезьянок - я уже писал. Судя по нынешнему состоянию кодовой базы опенсорса, толку от такого сообщества нуль.[/quote]Накссайко, ты не знаешь не только сообщество, но и открытых кодов. Скачай и ознакомься -- хотя бы с линуксовым ядром. Ну, если сложно -- с бсдёй или яриком, последний тянет примерно на 2 уровень по НДВ и на высший -- по НСД.[quote][quote]Почему это "у продуктов МС нет проблем"??? Они как раз есть! И говорить, что их нет, -- не "попахивает шизофренией", а шиза в тяжёлой форме. Под МСовские недооси больше говнокода понаписано -- и только. А так они сами по себе зафигом не сдались.[/quote]Какие проблемы в контексте беседы есть у MS SQL Server 2008 R2? Жду список.[/quote]В контексте беседы у MS SQL Server первая и самая большая проблема -- на нормальных ОС не работает. Остальное (типа выстёгивания SOAP из служб данных, из-за чего корпоративщики матерятся в пять этажей) мелочи.[quote][quote]Тут дело вот в чём. Зверь-сиди не на пустом месте взялся. В нём в ОС сделаны изменения, из-за которых программы. написанные под старые венды, работают значительно лучше, чем на чистой XP, -- а это в некоторых случаях является решающим и перекрывает вопросы безопасности. Что именно сборщики сделали -- я так толком и не разобрался, но это является основной причиной, почему эта сборка вообще появляется в производственном процессе.[/quote]Не ври. Зверьсиди это обычная икспи с отключенными службами обновления и троянами. Откуда он взялся - понятно. Ботнеты же надо на чем-то строить.[/quote]Нассайко, ты вообще ни в чём не разбираешься, даже в пераццких сборках. Слушай, что тебе старшие говорят, и мотай на ус. Фиксы, включённые в зверя, нарушают лицензионные соглашения на венды, но без них некоторый очень дорогой софт на XP не работает. Троянов, насколько мне известно, в звере нет, по крайней мере определяемых касперским + дрвебом + нортоном + авастом + авг. Может, есть хорошо запрятанные заказные, только их в нём не видно.[quote]Орлуня, жду пять развернутых примеров судебного преследования независимых исследователей безопасности продуктов Майкрософт. Жду, или ты балабол из балаболов.[/quote]Тебе циски, с которой вышел скандал на весь мир, не хватает? А МС точно такой же, только у него на юристов денег больше, и шум он любит меньше. Независимые исследователи у него "взломщиками" называются.

Орлунь, не кипешуй ) все нормально. Тебе все равно заплатят за пропаганду линукса и нездорового образа жизни.

А у меня подозрение, что это ты отрабатываешь тут свою зарплату пиаром.

Орлунь, не кипешуй ) все нормально. Тебе все равно заплатят за пропаганду линукса и нездорового образа жизни.

А у меня подозрение, что это ты отрабатываешь тут свою зарплату пиаром.

Думать у нас не запрещено ;-) А вот когда будет что сказать взрослым дядям, тогда и приходи, малыш.

orlusha

Если учесть, что целенаправленная политика в этой области -- это судебное преследование независимых исследователей безопасности вендов и другого закрытого софта с использованием DMCA и ему подобных инструментов копирастического троллежа.

можно примеры? ладно ладно, шучу, знаю же, что ничего не будет.