Изпечатай

[programings]

Има и логичен трети вариант, обаче - случайна грешка, известна и използвана от NSA като способ за слухтене много преди от Google и тая другата компания да я открият. Може просто са си мълчали. Няма как да знаем, де... догадки.

[gat3way]

Защото "тестове" е много общо понятие. Какви тестове? Могат да се напишат unit тестове за тази функция примерно. И какво от това? Той проблемът е малко по-навързан и е свързан и с протокола. Ти ако не знаеш какво точно искаш да провериш, надали ще изплува като проблем. Но ОК де - нали е отворен код и има милиони всевиждащи очи, които би следвало моментално да забележат проблема. Има секюрити одити, има хора, които си нямат друга работа и ровят за проблеми, вече без значение с каква мотивация, което е малко притеснително. Но крайният резултат е че са необходими 2 години въпросното изпражнение да удари вентилатора

[Златко]

По-скоро доказва че милионите всевиждащи очи при опънсорса не са чак толкова всевиждащи

Или че не са толкова милиони. 

А колко ли „вратички“ има в Прозорци?!  Трябва да питаме Сноуден. 

[kifavi8024]

Не казвам че тестовете трябва да са само автоматизирани, но все пак. Там трябва да се наблегне най-много.
Не знам, лично на мен ми е много странно, че подобно нещо е оставено в такъв вид и даже е пуснато за ползване.

Очаквам в близкото бъдеще да има още подобни "находки"

[gat3way]

Там нещата предполагам са по-зле, защото и мотивацията е доста по-комерсиална. Обаче всички rant-ове можете да ги обърнете към хората, които решиха че това трябвало да става индустрия и тези хора не са Microsoft определено. Цялата тази security работа се изроди зловещо зле, сега имаш един милион причини да допринасяш по неправилния начин в полза на неправилните хора, допълнително някак етичните норми са комично изродени. И допълнително понеже е златна мина, и както с всяка златна мина, на клона наскачат ужасно много малоумни маймуни, това само по себе си може да ти държи влага да не се занимаваш с такива глупости дори да ти е интересно. Според мен крайният ефект от цялата работа е че идиотите сами ще си отрежат клона и в един момент няма да има много иновации по въпроса, ще има "тирания" под някаква форма, защото стимулите които движат нещата са предимно финансови и никой няма да спечели от това в крайна сметка, само ще се раздухва патардия и параноя.

[leonkwolf]

Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.

[romeo_ninov]

Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.

Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.

[d0ni]

Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.

Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.

[romeo_ninov]

Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.

Продължавайте да вярвате на това
Преди май година беше открит бъг в Х, който съществуваше от (мисля) 10 и повече години...
А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?

[pennywise]

Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.

[romeo_ninov]

Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.

Този бъг на Х за който споменах си беше точно проблем със сигурността. Е, не от мащаба на този с openssl, но все пак.
А за това че има повече софтуер с отворен код - зависи от дефиницията за софтуер Защото и един триредов awk скрипт може да се нарече програма и съответно да има проблем със сигурността

[jet]

[А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?

то пък едно реноме...
http://mashable.com/2014/04/06/boy-breaks-microsoft-security/
добре, че не им се вижда сорса, та разчитат на security by obscurity

[kifavi8024]

Само дето в тоя последния спор дето го почнахте - сравнявате праскови и портокали...
На едното може да му видите кода, а на другото не можете и трябва да имате много сериозно познания, за да направите "ревю" на кода, което поне малко да се доближи до това на отворен код.

Научете се най-сетне, че не може да се правят само елеметарни сравнения.
Това че софта е платен, няма никакво значение - грешки се допускат навсякъде, а и ограничените сроковете спомагат за това.

[4096bits]

Няма софтуер без бъгове, просто защото се пише от хора, а ние не сме безгрешни. Повечето  Има обаче един простичък факт и историята го е доказала. Да вземем за пример най-разпространената операционна система. Всеки сървис пак след официалното излизане на някоя нова версия оправя десетки бъгове и недомислици на системата. Десетки. Имало е бъгове, за които са знаели, но не са отстранявали по 15 години и повече. Различния приложен софт е същата работа. И колкото е по-сложна и голяма една програма, толкова повече бъгчета има. Логично е, разбира се, но няма как човек да не се замисли. Усилието за разработването на програми и системи понякога може да е наистина колосално, но тези за отстраняването на нередности и грешки са оставени за времето след излизане на "продукта". Достатъчно е, да работи стабилно. Щом работи, почти няма значение как.
Гейта беше написал статийка за руутнато андроидче и не я давам за първи път за пример. За това колко неща съхранява андроид на недостъпно по нормален начин място, за контакти, gps, sms-и и какво ли още не. Ако един бъг е проблем със сигурността, за който се вдига ужасно много шум и е разбираемо, какво са приложенията, които съзнателно са проектирани да експлойтват глупостта, наивността и неиформираността на потребителите? Все по-често срещам хора ползващи и инсталирали Viber на телефоните си. Какво повече да се говори. И не е само това. Почти всяко едно мобилно приложение е направено за да смуче информация. Никой не тръби за това и изглежда се приема от твърде много хора и то безгрижно. Проблем със сигурността! Какво е това?

[geroy]

Поредното доказателство за това, че не трябва да се ползва най-мега-хипер новата версия на всеки софтуер, ако това не е напълно належащо - нужда от някаква нова функционалност.
Много харесвах Debian както беше преди - с outdated софтуер. Жалко че и те се подлъгаха по "модерното"