колко грандиозно и безмислено звучи
само... "дупка в отворения код" ?!?
почти като "муха бе убита в галактиката"...




[Отговори на този коментар]

Към: отворения код?!?
От: Winman <wm< at >winman __точка__ com>
На: 26-05-2008@11:29 GMT+2
Оценка: 1/Неутрален

Ами след толкова праскане, колко е сигурен отворения код, какво очаквате? Сега оплюваните ползователи на Windows се кефят как линуксчиите са си посрали гащите. Затова преди да се говори, трябва да се мисли!

[Отговори на този коментар]

---

Към: Към: отворения код?!?
От: a <b (a) c __точка__ com>
На: 26-05-2008@20:55 GMT+2
Оценка: 1/Неутрален

Мда - това е време-рай за Вин-феновете! Аз
обаче ще ви кажа едно - с дупка и без дупка
е все едно! Аз като ползвам въпросните
туулове та като гледам се е замаял цял свят
да ми го нахаква в дупката - нищо подобно...
И с дупка и без дупка се живее еднакво
добре :Ppp Който иска да се притеснява от
дупките - най-много да попадне в една дупка
с дълбочина 1 м... Едно време бяха 2...
напоследък спестиха и от копаенет :Ppp

Че така де - "днес преинсталираш Виндовс,
утре с виндовс те покриват и опяват"

[Отговори на този коментар]

---

Към: Към: отворения код?!?
От: ..
На: 27-05-2008@10:54 GMT+2
Оценка: 1/Неутрален

идеята ми беше че няма особено голям смисъл
във фразата "дупка в отворения код".
кой е отворения код? какво е отворения код?
къде е отворения код? ако утре чуете
новина "във галактиката ни бе намерен живот"
едва ли ще се трогнете особено, но ако
новината е "на съседна планета има живот" ще
е друго вече...
идеята ми беше, че такива заглавия се пишат
за да са гръмки и за да може микромеките да
плюят по нещо, което не разбират.
ако обаче новината беше "дупка в openssl
пакета на debian" едва ли щяха да се трогнат
особено хората...

[Отговори на този коментар]

---

Към: Към: Към: отворения код?!?
От: Winman <wm __@__ winman< dot >com>
На: 28-05-2008@10:54 GMT+2
Оценка: 1/Неутрален

Сега те разбрах. Прав си. Обаче загледай се във всички новини по вестници,радио и телевизия. Изглежда журналистите все по-малко се интересуват от самите новини. Имам чувство, че ги виждат единствено като средство за вдигане на продажбите и гледаемостта. От там все по-усърдно работят за супер атрактивни, за широката публика, заглавия. Често даже зад заглавието няма нищо. На мен това не ми харесва, но никой не ме пита. А и нищо не мога да сторя. И с тази новина за отворения код е така. А може би човека просто се кефи, че най-после и в GNU/Linux се намери пропуск. :)

[Отговори на този коментар]

---

И как стана така, че това всъщност не е дупка в сигурността!?

Според мен е не огромна, а повече от огромна дупка. ако същото се бе случило с Микромеките, щяха да завалят стотици хиляди дела, да не говорим за обществения отзвук - а когато се случва с Дебиан - това се превръща не в дупка, а в дупчица... интересно, интересно

[Отговори на този коментар]

Към: А да, това всъщност е фийчър, не дупк
От: Виктор
На: 26-05-2008@13:32 GMT+2
Оценка: 1/Неутрален

Това, че в софтуера на Микромеките има дупки, се разбира чак когато завалят ъпдейтите им, в които съвсем небрежно пише, че ако не си го инсталираш, може злонамерен хакер да вземе контрол над компютъра ти. И тези дупки си ги има от години, след като досега не са били поправени, или пък още по-лошо - предизвикани са от други ъпдейти. Така че, ти откъде си сигурен, че в затворения код на фирма Х няма подобна дупка, свързана със сигурността? Няма как да прегледаш кода, нали? Останалите варианти са доста трудноемки... Просто никога няма да го научиш докато фирмата тихомълком не си оправи бъговете. А предимството на отворения код е, че тази грешка може да се види от всеки програмист, що годе читав. А в затворения код - сам прецени.

[Отговори на този коментар]

---

Към: Към: А да, това всъщност е фийчър, не
От: tweeg
На: 26-05-2008@17:26 GMT+2
Оценка: 1/Неутрален

Ти Викторе, колко точно кода си разгледал ей така за да търсиш дали случайно няма дупки?

Нали знаеш, едно нещо най-лесно се крие на най-очевидното място.

[Отговори на този коментар]

---

Към: Към: Към: А да, това всъщност е фийчъ
От: сега влязох
На: 29-05-2008@13:28 GMT+2
Оценка: 2/Информиращ

Струва ми се, че за Дебиан Тестинг,както и за Убунту много бързо бе намерено решението за поправяне на станалото.Също така - много коректно беше описан случая в техните блогове.
Така че - пуснете водата от тоалетното казанче.

[Отговори на този коментар]

---

И филма не бил сексуален а социален.

[Отговори на този коментар]

За пореден път се убеждавам - защо не трябва да се четат български новини. Аз нямаше да мога да го кажа по - глупаво.
Истината е, че само Debian и дериватите са засегнати и то е, само защото не си праща поправките нагоре по веригата. Те са си виновни и момчетата определено доста бързо реагираха като поправката беше там почти мигновено(всъщност кода бил коментиран).
Единствената лоша работа в цялата история е за хората с много сървъри, които не могат да регенерират ключовете мигновено ;)

[Отговори на този коментар]

[quote]
Ако обаче използвате и обновявате съвестно вашата Debian, или Debian базирана дистрибуция, трябва да знаете че този пропуск е отстранен.
[/quote]

[quote]
We recommend that you upgrade your openssl package and subsequently regenerate any cryptographic material, as outlined above.
[/quote]

[Отговори на този коментар]

Не само дебиан е засегнат, засегнати са всички машини, които имат ключове, генерирани върху дебиан системи. Например аз си изгенерирам id_rsa.pub ключ с бъгливата версия на openssh и го пействам в ~/.ssh/authorized_keys на gentoo система, защото (примерно) мразим password-базирана автентикация. Тогава този акаунт на дженту системата ще бъде податлив на bruteforce атака на ключа, дължащ се на намалената ентропия при генерирането му. И това е сериозно, защото за часове някой може да се сдобие с локален шел акаунт на дженту системата. Също така, това се отнася и за SSL сертификати, изгенерирани на дебиан системи с бъгливи openssl пакети. Нищо не им пречи да се слагат на apache, работещ на други дистрибуции или дори операционни системи.

Нещата може да не са толкова катастрофални, колкото са ги описали, но в никакъв случай не са и толкова безобидни, колкото твърдите :)

[Отговори на този коментар]

огромната черна дупка е изкометиран код който система за автоматична проверка за грешки е показала като бъг.
човека който отговаря за това в дебиан е коментирал в мейл листа това нещо след което човек от ССЛ е казал че няма проблем :)
голяма черна дупка :)

[Отговори на този коментар]

В този сайт новините със сигурност идват доста бавно, да не би атлантическите кораби да ги носят на хартия? Това е доста стара новина и много други подобни новини закъсняват в този сайт, очевидно има проблем. Тези "старини" са почти безполезни, само тези които не разбират английски имат нужда от тях. Съжалявам за тона, обаче наистина не рядко виждам тук неща които да не съм чел поне седмица някъде другаде. За коментарите няма да говоря, картинката е ясна там. А що се отнася за коментара ми по новината, няма такъв освен малко хумор http://xkcd.com/424/ :D

[Отговори на този коментар]

Към: този сайт има проблем
От: easys
На: 26-05-2008@12:04 GMT+2
Оценка: 1/Неутрален

Оpenssl-blacklist(RSA keys).Поиска рестартиране на системата.Това е!Искам на спокоиствие да си почета.Омръзна ми да се надпреварвам с Akregator.Да не съм БТА,CIA или
друго такова.Разтоварват се по 400-500 новинки на ден.Голема работа,само превземки.

[Отговори на този коментар]

---

Не съм съгласен с мнението на автора на новината, че дупката е малка.

Първо това не е проблем само за Дебисн сървърите, а и за всеки сървър, които ползва техни сертификати като тези за сесия, които толкова лесно се правят с GUIто в Ubuntu.

Второ, разглеждаш роблема само като админ - забавяш потребителите. За тях това е още по-голям проблем, защото болшинството от тях не се интересуват от техническата реализация на сигурността им и очакват провайдерите на услуги да се грижат за това. Това е и причината дупката да е толкова огромна според някой сайтове.

Трето - не всеки админ се интересува от сигурност. Има достатъчно хора, които ползват Дебиан или Убунту за сървъри и не разбират нищо от системно администриране. Шанса такива хора да пачват системите редовно и да се интересуват от ключовете, които генерират е нищожен. Аз съм пример за такъв тип потребител и ако не бях чел новините преди няколко дни нямаше и да се сетя да ъпдейтна в скоро време. А през това време системата е уязвима.

[Отговори на този коментар]

zasqga samo lamerite koito polzvat default 1024 bit-a crypto

[Отговори на този коментар]

Че понеже софтуера бил с отворен код, грешките се
намирали по-лесно. Този бъг е пример защо това не е
вярно. И три милиарда маймуни да гледат кода, като не
разбират, нищо не могат да открият.

[Отговори на този коментар]

Към: Едно от основните предимства на ОС из
От: Plamen Yotov
На: 26-05-2008@15:46 GMT+2
Оценка: 1/Неутрален

Пропускаш нещо много важно: Разработчиците на свободен софтуер оправят критичните проблеми доста бързо. А при комерсиални продукти го оправят след много, много дни. Разбира се ако им се наложи натиск от потребителите. В противен случай никой не си мърда пръста.

[Отговори на този коментар]

---

Към: Към: Едно от основните предимства на
От: l
На: 26-05-2008@16:20 GMT+2
Оценка: 1/Неутрален

Та колко години е седял този бъг в Дебиан? Дефиницията
ти за бързо май е много гъвкава :Р

[Отговори на този коментар]

---

Към: Към: Едно от основните предимства на
От: mikis
На: 26-05-2008@16:53 GMT+2
Оценка: 1/Неутрален

Не спори с Вечния Разбирач (с главни букви). Ако човек, който твърди, че си изкарва хляба с програмиране не вижда предимствата на отворения код, значи или не е програмист или пише за да се заяжда и има нужда от внимание. И в двата случая не си струва да се хабиш ;)

[Отговори на този коментар]

---

Към: Към: Към: Едно от основните предимств
От: l
На: 26-05-2008@17:04 GMT+2
Оценка: 1/Неутрален

mikis,

За разлика от такива като теб, аз наистина си изкарвам
хляба с програмиране и виждам както предимствата,
така и недостатъците на отворения код. Повечето ми
приятели също са активни контрибутори на отворен
код, не се сещам нито за един, който да е фанатик като
малоумните _потребители_ на отворен код, които не са
написали нито ред код, но за сметка на това са чели
пропагандата на Столман и Реймънд.

[Отговори на този коментар]

---

Към: Към: Към: Едно от основните предимств
От: tweeg
На: 26-05-2008@17:39 GMT+2
Оценка: 1/Неутрален

Ами точно хората дето си изкарват парите с програмиране не са много големи любители на отворения код. Нали се сещаш, че като се върнеш в къщи - детето иска бонбонки, жената обувки и т.н. Пък отворения код не храни. Това естествено не значи че нещо дето си го писал за 2-3 дена в свободното си време трябва да му искаш пари или да му къткаш кода.

Отворения код е повече долюбван от ползвателите му не от програмистите.

[Отговори на този коментар]

---

Към: Към: Към: Към: Едно от основните предимств
От: ivo
На: 26-05-2008@19:14 GMT+2
Оценка: 2/Остроумен/Смешен

"Ами точно хората дето си изкарват парите с
програмиране не са много големи любители на
отворения код. Нали се сещаш, че като се
върнеш в къщи - детето иска бонбонки, жената
обувки и т.н. Пък отворения код не храни. "
А тоя програмист откъде се учил? От
затворени кодове ?


[Отговори на този коментар]

---

Към: Едно от основните предимства на ОС из
От: Атанас Мавров <bugar< at >developer[ точка ]bg>
На: 26-05-2008@18:34 GMT+2
Оценка: 1/Неутрален

Уважаеми "|", след като твърдите, че сте програмист, може би е редно да знаете разликата между ОС (ако разбира се под това имате предвид операционна система) и приложен софтуер. Също така е възможно ако имате, някаква обща култура в областта на GNU/Linux да знаете, че съществуват и различни дистрибуции. Освен това, като гениален програмист, какъвто несъмнено сте, може да се предположи, че Вие не сте прочели нито един ред от софтуер с отворен код, нищо не сте научили от него, а всичко сте измислили съвсем сам, за което може само да Ви поздравим!
И накрая да не забравя нещо важно - за Ваше огромно съжаление, информацията която четете в момента е създадена и Ви се предоставя посредством свободен софтуер. Разбирам, че това Ви е крайно неприятно, но ще трябва да го приемете, нямате друг избор. Като се замисли обаче човек, ако използвате Интернет ще ви се налага да ползвате и „калпавия“ свободен софтуер непрекъснато, което разбира се е крайно неприятно, но за Ваше успокоение повечето от огромните софтуерни корпорации правят всичко възможно да Ви върнат спокойствието.
Вместо подпис, мога само да кажа, че най – вероятно и аз спадам към категорията на „малоумните“ (въпреки, че не съм само потребител), и за да сме пределно ясни - уважавам труда на програмистите, независимо дали пишат свободен или комерсиален софтуер, не обвинявам нито едните нито другите. Но политиката на някои корпорации е меко казано нагла и безочлива, и който иска да работи за/със тях значи е приел условията им. Други не искат да се егоисти и споделят знанията си, нищо, че после им казват „малоумни“ :-)

Сърдечни поздрави!

[Отговори на този коментар]

---

Към: Към: Едно от основните предимства на
От: l
На: 26-05-2008@18:52 GMT+2
Оценка: 1/Неутрален

г-н Мавров,

Знам много добре разликата между операционна
система и приложен софтуер, но очевидно вие не я
знаете :) Юникс и Линукс са операционни системи,
ядрото на Линукс или BSD не е.

Иначе всяко мнение посочващо недостатъците, или в
случая липсата на предимства, на свободния софтуер е
много добър лакмус кой е фанатик или не. Такива като
Вас веднага скачат за защитават барикадата, която си
въобразяват, че съществува, или пък че някой я атакува
:)

[Отговори на този коментар]

---

Към: Към: Към: Едно от основните предимств
От: Атанас Мавров <bugar __@__ developer__dot__bg>
На: 27-05-2008@5:37 GMT+2
Оценка: 1/Неутрален

Уважаеми „|“,
аз и не съм твърдял, че знам какво е ОС, но тъй като Вие явно знаете, искам да Ви помоля да обясните на мен и на другите „малоумници“ в коя част на ОС се използва OpenSSL. За да Ви улесня, ще кажа че използвам Linux ядро и bash обвивка, но нито в едното, нито в другото знам да се използва OpenSSL (може би като изключим няколко заимствани структури). Разбира се, не твърдя, че не се използва, а само, че не знам, предполагам Вие сте по – добре запознат.

Относно фанатизма, ще трябва отново да ви разочаровам. Аз не скачам докато пиша това, около мен няма барикади, дори няма бариери. Просто по някога високомерието ме отегчава в следствие на което взема, че напиша някой ред по въпроса.

За предимствата и недостатъците на свободния софтуер вече казаха – от него съм научил много неща именно защото е свободен и ми дава възможност да го изучавам. Не твърдя, че е безгрешен, защото такова твърдение е смешно, дори не твърдя, че е по – добър, но твърдя, че свободата му е много съществено предимство за много разработчици и потребители, но явно не и за Вас.

Сърдечни поздрави!


[Отговори на този коментар]

---

Към: Към: Към: Към: Едно от основните пред
От: l
На: 27-05-2008@15:40 GMT+2
Оценка: 1/Неутрален

И къде в моето мнение видяхте да твърдя, че няма
какво да се научи от свободния код, или пък че
свободата му е съществено предимство. Казах само, че
едно от рекламираните предимства на отворения код,
а именно бързото откриване на грешки понеже много
очи могат да го преглеждат, очевидно е невярно. Може
би трябва да препрочетете първоначалното ми мнение
няколко пъти? :)

И фанатиците, веднага се хвърлихте да защитавате
барикадата :)

[Отговори на този коментар]

---

Към: Едно от основните предимства на ОС из
От: Григор
На: 26-05-2008@19:14 GMT+2
Оценка: 1/Неутрален

Ако го гледат маймуни, е нормално да не открият нищо. :-)

[Отговори на този коментар]

---

Към: Едно от основните предимства на ОС издиша
От: бобо
На: 26-05-2008@21:18 GMT+2
Оценка: 1/Неутрален

и много маймуни дето разбират го гледат 3 години кода и нищо.... и сега когато е известно че има такъв проблем не се чу някой сериозно да го е закъсал....
но само си представям каква лУУУУдница ще настане с аналогична дупка в сигурността на уиндоус....

[Отговори на този коментар]

---

Аз пък открих дупка в новината за "дупката" на TechNews.

"...Наскоро хакерска конференция разкри колко уязвими са системите, използващи Mac OS X, което се дължи на бавното темпо, с което се пускат пачове за тях. На събитието Mac машината е била похитена за само 10 минути, докато тези с Linux и Windows оцеляли през целия ден."

Приятелите от TechNews премълчават факта, че хакерските атаки продължиха три дни по регламент. С тази класическа журналистическа "хватка" те се опитват да ни внушат, че Windows е също толкова непробиваем, колкото и Linux. Истината обаче е, че Windows беше пробит на третия ден и единствено Ubuntu оцеля до края на състезанието. Три дни хакерите се опитваха да минат през ДУПКАТА на Ubuntu и не успяха!

Много специална дупка е това!


[Отговори на този коментар]

Че проблемът е сериозен, сериозен е. За системните администратори обаче. Така или иначе, никоя от дистрибуциите не идва с ssh-server активиран by default. на който това му трябва, вероятно знае и как да оправи проблема. системните администратори има за какво да псуват - и аз попсувах 10 минути, ъпдейтвах ключовете и пакетите, и ми мина. Ако някой среща затруднения да си ъпдейтва операционната система (която и да е тя) от време на време, проблемът си е негов, аз не мога да седна и да го мисля - средство против малоумност не е открито все още. Като си администратор, имаш определени задължения и отговорности към потребителите. На който не му изнася - плащат добре и за строителни работници, чувам - там поне отговорност не се изисква..

Аз лично предпочитам сериозен проблем който знам, пред проблем за който дори и не подозирам, дори и да е малък. Поне не се налага да чакам по няколко седмици докато дойде магическият първи вторник на месеца, когато Божествената ръка се намесва и ми patch-ва всички проблеми (и се заяжда за лиценза всеки път - за напълно легален софтуер)

А, да. Как пък трябваше да минат две седмици докато някой се сети да публикува новината..

[Отговори на този коментар]

"Вярно е, ама не съвсем. Първо не е Пешо, а е Киро, и не е мерцедес, а е лада и не я спечели ами го блъсна
ХАХАХАХА
Ей така се създават новини в БГ

Ето един истински пример
Действието се развива още по Тодор Живково време. Някаква изявена партийна членка, оглавяваща някаква секция в БАН чете статия в чуждо списание за странни същества, открити на остров в Тихия океан. Съществата буквално ходели с лицето си. Затова откривателят им ги нарекъл НОСОХОДИ. Разбира се, изявената комунистка бързо превежда статията и я пуска в БГ вестници като сензационна новина. След няколко дни се оказва, че оригиналната статия е първоаприлска шега - просто някой е трябвало да прочете малко по-надолу :)
Тъжното е че тази история е истинска.
Още по-тъжно е, че дори и днес най-четените вестници в БГ са...... ШОК и Мощен Труп.
Така че новината за ужасната дупка в отворения код си е намерила идеална аудитория... :(

[Отговори на този коментар]