איסתרא, לא אמרתי שהמערכות של מיקרוסופט מושלמות. אמרתי שהלינץ' שעושים להם על מוגזם.

לא, הלינץ' בהחלט מוצדק. מה קורה כשמוצאים פירצת אבטחה מסוכנת באקספלורר, שבעזרתה ניתן להדביק את המחשב שלך אם רק תגלוש לאתר שתוכנן לניצול אותה פרצת אבטחה? מה קורה כשכבר יש אתרים כאלו ברשת ואנשים כבר נדבקים? שום דבר. למיקרוסופט יש זמן. עדכון יצא בעוד שבועיים. בינתיים תבטל את יכולות הסקריפטינג של הדפדפן ותהפוך שליש מהאתרים לבלתי נגישים, אם אתה רוצה להמשיך לעבוד.

כבר היו כמה מקרים בהם עדכון אבטחה לאקספלורר של צד שלישי יצא לפני זה של מיקרוסופט.

אבל מי שעובד היום על למצוא פירצות אבטחה, מנסה לעבוד בעיקר על אסקפלורר ומיקרוסופט (זה כמו שמכל האנטי ווירוסים איפה מצאו הכי הרבה בעיות? נורטון - שלא במקרה היא הכי פופלרית, מה כל האנטי ווירוסים האחרים מושלמים?)

מי אמר לך? מוזילה, למשל, מציעים פרס כספי למי שמוצא פרצות אבטחה בפיירפוקס, וכאמור קל יותר למצוא פרצות בקוד פתוח. מה מיקרוסופט מציעה? כלום. החברה אפילו לא מכירה במי שמצא את הפרצה במקור.

ואל תשכח שהאקספלורר 6 נכתב פרצות האבטחה לא היו דבר שבשיגרה כמו היום, וחשבו יותר על פיצ'רים מאשר אבטחה. אני בטוח שבפיתוח פיירפוקס חשבו הרבה יותר על אבטחה.

אז? מה אכפת לי מה הם רצו, התוצאה היא זו שקובעת.

תשמע, אני לא סנגור של מיקרוסופט והם לא משלמים לי.

אמרו פה שווינדוז XP לא יציבה - וזה לדעתי לא נכון, והיא יציבות לפחות כמו פדורה 4 אם לא יותר .

אבל לדעתי אתה טועה אם אתה חושב שיש יותר אנשים שמנסים למצוא פירצת אבטחה בפיירפוקס מאשר באקספלורר.

דרך אגב - גם בווינאמפ מצאו פירצת אבטחה, אתה הולך להגיד לי לעבור לXMMS או לBEEP...

סתמו כבר,מספיק להשמיץ את ווינדוס.

תיהיו שבוע בלעדיה ותראו איך אתם בוכים שתחזור.

זו לא שאלה של האם יש בתוכנה פרצות אבטחה: בכל תוכנה מספיק מורכבת יש. זו שאלה של כמה יש, כמה חמורות הן ומה היצרן עושה כדי לטפל בהן. בתוכנות של מיקרוסופט יש יותר פרצות, הן יותר חמורות והיצרן לא מתייחס אליהן ברצינות מספקת.

Electric boom

לא נכון. אני שנה ומשהו 90% מהזמן על לינוקס, ווינדוס רק למשחקים לאח שלי(אני לא ממש משחק במשהו) ולעבודות של ההורים.

אני כבר לא כל כך משחק....

ואגב לא בדיוק אפשר להתקין macosx על מחשב pc

חסרים דרייברים וכל מיני שטויות לפי מה שאני יודע

אני כבר עברתי את כולן.

על הווינדוס שלי אני לעולם לא אוותר.

זו לא שאלה של האם יש בתוכנה פרצות אבטחה: בכל תוכנה מספיק מורכבת יש. זו שאלה של כמה יש, כמה חמורות הן ומה היצרן עושה כדי לטפל בהן. בתוכנות של מיקרוסופט יש יותר פרצות, הן יותר חמורות והיצרן לא מתייחס אליהן ברצינות מספקת.

ושוב אני אגיד שאקספלורר פותח אף אחד לא חשב שיהיה פיירוול בכל מחשב, ואנטי וירוס בכל PDA. מאותה סיבה יש גם בווינאמפ פרצות אבטחה.

ובגלל תמיכה לאחור קובץ הרג'סטרי ישאר, וגם ויסטה תהיה לטרף קל לספיוור.

אבל אני מאמין שIE7 (שיגיע סוףסוף) ידע לטפל ברב הדברים. (ועדיין יגלו בו יותר פרצות מאשר פיירפוקס - בגלל הפופלריות שלו)

שוב אתה מתעלם מהעובדות? אפאצ'י נפוץ פי שתים וחצי יותר מאשר IIS ועדיין מוצאים יותר פרצות אבטחה ב- IIS מאשר באפאצ'י. למה? כי ב- IIS יש יותר פרצות אבטחה. לפי התזה שלך, דווקא באפאצ'י היו צריכים למצוא יותר פרצות.

מסקנה: אתה טועה.

אני אמרתי על IIS משהו?

אמרתי על אקספלורר 7 שעוד לא יצא.

ושוב אני אביא את הדוגמא שלי על נורטון ווינאמפ שמצאו בהם פירצות אבטחה, ולא במתחרים והן במקרה הכי פופלריות...

הטענה שלך היתה שאם תוכנה יותר פופולארית, משקיעים יותר מאמצים בחיפוש אחרי פרצות אבטחה בה ולכן מוצאים יותר.

אני הבאתי מקרה בו שתי תוכנות דומות, אחת מהן הרבה יותר פופולארית מחברתה ועדיין מוצאים בה הרבה פחות פרצות אבטחה. מסקנה, למי שמתקשה, היא שהטענה שלך לא נכונה: אין קשר בין הפופולאריות של התוכנה למספר פרצות האבטחה שמתגלות בה.

יש מבין? אני מסופק.

זה שהבאת מקרה אחד, לא אומר שזו בד"כ התופעה.

וברור שאין קשר בין הפופלאריות של תוכנה למספר פירצות האבטחה בה, יש קשר בין גילוי פירצות אבטחה לבין פופלריות.

פירצות אבטחה, נובעות גם ביחס ישר מכמות הפיצ'רים, גודל הקוד, והחשיבות שניתנה לאבטחה בקוד.

אין לי ספק שבהינתן 2 תוכנות אם אותן פירצות אבטחה, יעלו על הפרצות של הפופלריות יותר מהר.

ובקשר לזה שלמיקרוסופט לוקח יותר זמן לתקן את הבעיות:

http://www.linuxworld.com.au/index.php/id;554502920;fp;2;fpid;1

ועוד נקודה בקשר לIIS, למיטב הבנתי IIS בעה כחבילת תוכנה אחת שרצה על מערכת הפעלה אחת. אפצ'י לעומת זאת רץ בעשרות וריאנטים שונים, על מערכות הפעלה שונות, עם אופציות אבטחה שונות. לכן קשה יותר להתקיף את אפאצ'י.

ורק להבהיר, אני לא נגד קוד פתוח, אני חושב שזה מודל ראוי - אך בהחלט לא היחיד, ואני בתור מתכנת רוצה לקבל כסף על העבודה שלי. אני לא חושב שהתוכנות של מיקרוסופט הם כאלה גרועות. שמתגלה באג אבטחה במיקרוסופט זה שוב אלה עם הגבינה השוויצרית שהם קוראים לו דפדפן, ושמתגלה בלינוקס אותו באג בדיוק, זה איזה נחמד הקוד הפתוח שהציל אותנו.

אם כבר יותר מפריע לי באקספלורר שאין תמיכה בRSS וטאבים

לא טרחת לקרוא מעבר לכותרת, מה?

The figures Forrester uses for "all days of risk" are arrived at by averaging the number of days needed to fix a flaw, without distinguishing between critical flaws and harmless ones. Thus, if a vendor took six months to patch a low-risk bug, it would make them appear to have a slow security response time overall, even if all critical bugs had been fixed instantly.

Using Microsoft's own definition of a critical flaw as a bug which could allow a worm to propagate without user interaction, only 13 Red Hat vulnerabilities were critical during the one-year time period, and they took an average of just over a day to fix, Cox said. "If you add denial of service attacks and privilege escalations, there were 47 issues in total, which took seven days on average to fix," he added.

וזה עוד לא הכל:

Forrester found that, between June 1, 2002 and May 31, 2003, Microsoft had the lowest average "all days of risk", the time between the public disclosure of a patch and the time that patch is released by the operating system maintainer, compared with the Red Hat, Debian, MandrakeSoft and SUSE Linux distributions.

משהו כאן לא בסדר: הפער בין דיווח פומבי על עדכון אבטחה לשיחרור אותו עדכון לציבור הוא אפס. כנראה שהתכוונו לכתוב הפער בין דיווח פומבי על פירצת אבטחה לשיחרור עדכון, זה כבר יותר הגיוני. וכאן נכנסת לפעולה מדיניות העמימות של מיקרוסופט: החברה מדווחת על פרצות אבטחה רק כשאין לה ברירה - כשמישהו אחר כבר עשה את זה, כשקוד זדוני שמשתמש בפירצה כבר מסתובב ברשת או כשכבר יש לה עדכון מוכן. בקוד פתוח אין דבר כזה, פירצות אבטחה מדווחות מיד כשהן מתגלות. בכלל לא מפתיע אותי לגלות שהזמן בין הדיווח הרשמי של מיקרוסופט על גילוי פירצת אבטחה ובין שיחרור עדכון הוא קצר.

חברות פרטיות כמו REDHAT וMANDRAKE שגובות כסף על ההפצות שלהם מדווחות על פירצות אבטחה לעיתונות?

כמו כן בקשר לIIS נקודה מעניינת היא שIIS מספיק פופלרית בשביל לנסות לתקוף אותה. כלומר האחוז שלה מספיק פופלרי בשביל למצוא לה פירצת אבטחה. מה שפיירפוקס עדיין לא(אבל מתקרב לשם בצעדים יפים ).

ותאמת אין לי מושג על מה אנחנו רבים, אני לא אומר שאין באגים באקספלורר, אני אומר שיש גם באגים בפיירפוקס...

אתה רוצה להגיד לי שIIS מוצר מחורבן, סבבה.

אקספלורר לא שווה גרוש - זו דעתך.

מצדי תישאר עם הקוד הפתוח שלך. אני אשאר עם מיקרוסופט כרגע.

וידנוס XP היא מערכת יציבה, ועם פיירוול מתאים (ובהתחשב שאי אפשר להעיף את הרג'סטרי בלי להרוס את רב הקוד הקיים לוונידוס) היא מערכת אמינה ויציבה.

מי שרוצה לינוקוס שיהנה...

מי דיבר על דיווח לעיתונות? יש להן מערכות דיווח פומביות (לרוב באגזילה). למיקרוסופט אין. באג יופיע רק כשמיקרוסופט תרצה שיופיע או כשמי שגילה אותו יפיץ אותו בפומבי בעצמו.

שוב, IIS מספיק פופולארית, בהחלט, אבל אפאצ'י הרבה יותר פופולארית - פי 2.5. התזה שלך קבעה שתוכנה פופולארית יותר תותקף יותר, אבל למרות זאת דווקא IIS מותקף הרבה יותר מאפאצ'י. המסקנה היא שאין בהכרח קשר בין הפופולאריות של התוכנה ומספר פרצות האבטחה שבה. אתה מתבלבל בין פרצות אבטחה והתקפות - בהחלט ישנו קשר בין מספר ההתקפות על תוכנה לפופולאריות שלה.

למה אתה עונה לי על פיירפוקס כשאני שואל על אפאצ'י? אה, נכון, שכחתי עם מי אני מתווכח.