Автор Тема: Heartbleed  (Прочетена 6145 пъти)

programings

  • Участник
  • *****
  • Публикации: 181
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: Heartbleed
« Отговор #15 -: Апр 10, 2014, 00:01 »
Има и логичен трети вариант, обаче - случайна грешка, известна и използвана от NSA като способ за слухтене много преди от Google и тая другата компания да я открият. Може просто са си мълчали. Няма как да знаем, де... догадки.
« Последна редакция: Апр 10, 2014, 00:08 от userings »
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #16 -: Апр 10, 2014, 00:06 »
Защото "тестове" е много общо понятие. Какви тестове? Могат да се напишат unit тестове за тази функция примерно. И какво от това? Той проблемът е малко по-навързан и е свързан и с протокола. Ти ако не знаеш какво точно искаш да провериш, надали ще изплува като проблем. Но ОК де - нали е отворен код и има милиони всевиждащи очи, които би следвало моментално да забележат проблема. Има секюрити одити, има хора, които си нямат друга работа и ровят за проблеми, вече без значение с каква мотивация, което е малко притеснително. Но крайният резултат е че са необходими 2 години въпросното изпражнение да удари вентилатора :)
Активен

"Knowledge is power" - France is Bacon

Златко

  • Участник
  • *****
  • Публикации: 2147
    • Профил
Re: Heartbleed
« Отговор #17 -: Апр 10, 2014, 00:19 »
По-скоро доказва че милионите всевиждащи очи при опънсорса не са чак толкова всевиждащи :)

Или че не са толкова милиони.  [_]3

А колко ли „вратички“ има в Прозорци?!  :o Трябва да питаме Сноуден.  ^-^
Активен

Без правила няма игра

!ntel

  • Участник
  • *****
  • Публикации: 444
    • Профил
Re: Heartbleed
« Отговор #18 -: Апр 10, 2014, 00:27 »
Не казвам че тестовете трябва да са само автоматизирани, но все пак. Там трябва да се наблегне най-много.
Не знам, лично на мен ми е много странно, че подобно нещо е оставено в такъв вид и даже е пуснато за ползване.

Очаквам в близкото бъдеще да има още подобни "находки" :)
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Heartbleed
« Отговор #19 -: Апр 10, 2014, 00:31 »
Там нещата предполагам са по-зле, защото и мотивацията е доста по-комерсиална. Обаче всички rant-ове можете да ги обърнете към хората, които решиха че това трябвало да става индустрия и тези хора не са Microsoft определено. Цялата тази security работа се изроди зловещо зле, сега имаш един милион причини да допринасяш по неправилния начин в полза на неправилните хора, допълнително някак етичните норми са комично изродени. И допълнително понеже е златна мина, и както с всяка златна мина, на клона наскачат ужасно много малоумни маймуни, това само по себе си може да ти държи влага да не се занимаваш с такива глупости дори да ти е интересно. Според мен крайният ефект от цялата работа е че идиотите сами ще си отрежат клона и в един момент няма да има много иновации по въпроса, ще има "тирания" под някаква форма, защото стимулите които движат нещата са предимно финансови и никой няма да спечели от това в крайна сметка, само ще се раздухва патардия и параноя.

Активен

"Knowledge is power" - France is Bacon

leonkwolf

  • Участник
  • *****
  • Публикации: 94
  • Distribution: Lubuntu 14.04 LTS
    • Профил
Re: Heartbleed
« Отговор #20 -: Апр 10, 2014, 08:13 »
Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.
Активен

romeo_ninov

  • Участник
  • *****
  • Публикации: 2155
    • Профил
Re: Heartbleed
« Отговор #21 -: Апр 10, 2014, 08:23 »
Само аз ли си мисля, че в бозавия Прозорец има повече "дупки" от всичкото швейцарско сирене в света; повече буболечки опа бъгове от цялата планета и повече "вратички" отколкото има във всички сгради на Земята взети заедно?
По темата и двата варианта са много вероятни, но лично аз залагам, че трибуквените агенции и печелещите от софтуер за сигурност имат пръст в тази дандания. За вторите съм 100% сигурен.
Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.
Активен

0x2B|~0x2B

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
Re: Heartbleed
« Отговор #22 -: Апр 10, 2014, 11:09 »
Аре стига с тези конспиративни теории и плюене по комерсиалните продукти! Няма продукт без бъгове. Освен това за кой ли път се развенча мита за това че отворения код заради своята отвореност и възможност за ревю е с по-малко бъгове.

Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.
Активен

romeo_ninov

  • Участник
  • *****
  • Публикации: 2155
    • Профил
Re: Heartbleed
« Отговор #23 -: Апр 10, 2014, 11:14 »
Естествено, че е с по-малко бъгове. Ето този е на 2 години, но в крайна сметка е открит и отстранен. Не ми се мисли колко случайни и неслучайни дупки има в комерсиалния софтуер.
Продължавайте да вярвате на това :)
Преди май година беше открит бъг в Х, който съществуваше от (мисля) 10 и повече години...
А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?
Активен

0x2B|~0x2B

pennywise

  • Гост
Re: Heartbleed
« Отговор #24 -: Апр 10, 2014, 11:34 »
Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.
Активен

romeo_ninov

  • Участник
  • *****
  • Публикации: 2155
    • Профил
Re: Heartbleed
« Отговор #25 -: Апр 10, 2014, 11:49 »
Тук не става дума за бъгове, а за дупки в сигурността. 0day има според мен в еднакво количество както при отворения така и при затворения код, но като се замисля статистически за отворен код ще има много повече просто защото има повече софтуер с отворен код.
Този бъг на Х за който споменах си беше точно проблем със сигурността. Е, не от мащаба на този с openssl, но все пак.
А за това че има повече софтуер с отворен код - зависи от дефиницията за софтуер :) Защото и един триредов awk скрипт може да се нарече програма и съответно да има проблем със сигурността
Активен

0x2B|~0x2B

jet

  • Участник
  • *****
  • Публикации: 1813
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: Heartbleed
« Отговор #26 -: Апр 10, 2014, 13:23 »
[А за комерсиалния софтуер - защо си мислите че производителите не държат на реномето си и не правят доста сериозни тестове на сигурността?
то пък едно реноме...
http://mashable.com/2014/04/06/boy-breaks-microsoft-security/
добре, че не им се вижда сорса, та разчитат на security by obscurity
Активен

Linux: From WTF to OMG

!ntel

  • Участник
  • *****
  • Публикации: 444
    • Профил
Re: Heartbleed
« Отговор #27 -: Апр 10, 2014, 13:28 »
Само дето в тоя последния спор дето го почнахте - сравнявате праскови и портокали...
На едното може да му видите кода, а на другото не можете и трябва да имате много сериозно познания, за да направите "ревю" на кода, което поне малко да се доближи до това на отворен код.

Научете се най-сетне, че не може да се правят само елеметарни сравнения.
Това че софта е платен, няма никакво значение - грешки се допускат навсякъде, а и ограничените сроковете спомагат за това.
« Последна редакция: Апр 10, 2014, 13:33 от !ntel »
Активен

4096bits

  • Участник
  • *****
  • Публикации: 3173
    • Профил
Re: Heartbleed
« Отговор #28 -: Апр 10, 2014, 13:33 »
Няма софтуер без бъгове, просто защото се пише от хора, а ние не сме безгрешни. Повечето  ;D Има обаче един простичък факт и историята го е доказала. Да вземем за пример най-разпространената операционна система. Всеки сървис пак след официалното излизане на някоя нова версия оправя десетки бъгове и недомислици на системата. Десетки. Имало е бъгове, за които са знаели, но не са отстранявали по 15 години и повече. Различния приложен софт е същата работа. И колкото е по-сложна и голяма една програма, толкова повече бъгчета има. Логично е, разбира се, но няма как човек да не се замисли. Усилието за разработването на програми и системи понякога може да е наистина колосално, но тези за отстраняването на нередности и грешки са оставени за времето след излизане на "продукта". Достатъчно е, да работи стабилно. Щом работи, почти няма значение как.
Гейта беше написал статийка за руутнато андроидче и не я давам за първи път за пример. За това колко неща съхранява андроид на недостъпно по нормален начин място, за контакти, gps, sms-и и какво ли още не. Ако един бъг е проблем със сигурността, за който се вдига ужасно много шум и е разбираемо, какво са приложенията, които съзнателно са проектирани да експлойтват глупостта, наивността и неиформираността на потребителите? Все по-често срещам хора ползващи и инсталирали Viber на телефоните си. Какво повече да се говори. И не е само това. Почти всяко едно мобилно приложение е направено за да смуче информация. Никой не тръби за това и изглежда се приема от твърде много хора и то безгрижно. Проблем със сигурността! Какво е това?
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

geroy

  • Участник
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Heartbleed
« Отговор #29 -: Апр 10, 2014, 16:20 »
Поредното доказателство за това, че не трябва да се ползва най-мега-хипер новата версия на всеки софтуер, ако това не е напълно належащо - нужда от някаква нова функционалност.
Много харесвах Debian както беше преди - с outdated софтуер. Жалко че и те се подлъгаха по "модерното" :)
Активен