משעמם רצח. זה פשוט לא ייאמן. מערכת Windows XP לא מתעדכנת ו- Mac OS X פשוט דוהרת! - עמוד 2 - לינוקס, Mac ומערכות הפעלה אחרות - HWzone פורומים
עבור לתוכן
  • צור חשבון

משעמם רצח. זה פשוט לא ייאמן. מערכת Windows XP לא מתעדכנת ו- Mac OS X פשוט דוהרת!

udicol

נוצר על ידי udicol
ב לינוקס, Mac ומערכות הפעלה אחרות

Recommended Posts

איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

איסתרא, לא אמרתי שהמערכות של מיקרוסופט מושלמות. אמרתי שהלינץ' שעושים להם על מוגזם.

לא, הלינץ' בהחלט מוצדק. מה קורה כשמוצאים פירצת מסוכנת באקספלורר, שבעזרתה ניתן להדביק את המחשב שלך אם רק תגלוש לאתר שתוכנן לניצול אותה פרצת אבטחה? מה קורה כשכבר יש אתרים כאלו ברשת ואנשים כבר נדבקים? שום דבר. למיקרוסופט יש זמן. עדכון יצא בעוד שבועיים. בינתיים תבטל את יכולות הסקריפטינג של הדפדפן ותהפוך שליש מהאתרים לבלתי נגישים, אם אתה רוצה להמשיך לעבוד.

כבר היו כמה מקרים בהם עדכון לאקספלורר של צד שלישי יצא לפני זה של מיקרוסופט.

אבל מי שעובד היום על למצוא פירצות , מנסה לעבוד בעיקר על אסקפלורר ומיקרוסופט (זה כמו שמכל האנטי ווירוסים איפה מצאו הכי הרבה בעיות? נורטון - שלא במקרה היא הכי פופלרית, מה כל האנטי ווירוסים האחרים מושלמים?)

מי אמר לך? מוזילה, למשל, מציעים פרס כספי למי שמוצא פרצות בפיירפוקס, וכאמור קל יותר למצוא פרצות בקוד פתוח. מה מציעה? כלום. החברה אפילו לא מכירה במי שמצא את הפרצה במקור.

ואל תשכח שהאקספלורר 6 נכתב פרצות האבטחה לא היו דבר שבשיגרה כמו היום, וחשבו יותר על פיצ'רים מאשר אבטחה. אני בטוח שבפיתוח פיירפוקס חשבו הרבה יותר על אבטחה.

אז? מה אכפת לי מה הם רצו, התוצאה היא זו שקובעת.

קישור לתוכן
שתף באתרים אחרים
  • תגובות 43
  • נוצר
  • תגובה אחרונה
oba3k Zone Junkie

oba3k

פורסם
פורסם

תשמע, אני לא סנגור של מיקרוסופט והם לא משלמים לי.

אמרו פה שווינדוז לא יציבה - וזה לדעתי לא נכון, והיא יציבות לפחות כמו פדורה 4 אם לא יותר .

אבל לדעתי אתה טועה אם אתה חושב שיש יותר אנשים שמנסים למצוא פירצת בפיירפוקס מאשר באקספלורר.

דרך אגב - גם בווינאמפ מצאו פירצת , אתה הולך להגיד לי לעבור לXMMS או לBEEP...

קישור לתוכן
שתף באתרים אחרים
איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

זו לא שאלה של האם יש בתוכנה פרצות אבטחה: בכל תוכנה מספיק מורכבת יש. זו שאלה של כמה יש, כמה חמורות הן ומה היצרן עושה כדי לטפל בהן. בתוכנות של יש יותר פרצות, הן יותר חמורות והיצרן לא מתייחס אליהן ברצינות מספקת.

קישור לתוכן
שתף באתרים אחרים
oba3k Zone Junkie

oba3k

פורסם
פורסם

זו לא שאלה של האם יש בתוכנה פרצות אבטחה: בכל תוכנה מספיק מורכבת יש. זו שאלה של כמה יש, כמה חמורות הן ומה היצרן עושה כדי לטפל בהן. בתוכנות של מיקרוסופט יש יותר פרצות, הן יותר חמורות והיצרן לא מתייחס אליהן ברצינות מספקת.

ושוב אני אגיד שאקספלורר פותח אף אחד לא חשב שיהיה פיירוול בכל מחשב, ואנטי וירוס בכל PDA. מאותה סיבה יש גם בווינאמפ פרצות .

ובגלל תמיכה לאחור קובץ הרג'סטרי ישאר, וגם תהיה לטרף קל לספיוור.

אבל אני מאמין שIE7 (שיגיע סוףסוף) ידע לטפל ברב הדברים. (ועדיין יגלו בו יותר פרצות מאשר פיירפוקס - בגלל הפופלריות שלו)

קישור לתוכן
שתף באתרים אחרים
איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

שוב אתה מתעלם מהעובדות? אפאצ'י נפוץ פי שתים וחצי יותר מאשר IIS ועדיין מוצאים יותר פרצות ב- IIS מאשר באפאצ'י. למה? כי ב- IIS יש יותר פרצות . לפי התזה שלך, דווקא באפאצ'י היו צריכים למצוא יותר פרצות.

מסקנה: אתה טועה.

קישור לתוכן
שתף באתרים אחרים
איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

הטענה שלך היתה שאם תוכנה יותר פופולארית, משקיעים יותר מאמצים בחיפוש אחרי פרצות בה ולכן מוצאים יותר.

אני הבאתי מקרה בו שתי תוכנות דומות, אחת מהן הרבה יותר פופולארית מחברתה ועדיין מוצאים בה הרבה פחות פרצות . מסקנה, למי שמתקשה, היא שהטענה שלך לא נכונה: אין קשר בין הפופולאריות של התוכנה למספר פרצות האבטחה שמתגלות בה.

יש מבין? אני מסופק.

קישור לתוכן
שתף באתרים אחרים
oba3k Zone Junkie

oba3k

פורסם
פורסם

זה שהבאת מקרה אחד, לא אומר שזו בד"כ התופעה.

וברור שאין קשר בין הפופלאריות של תוכנה למספר פירצות האבטחה בה, יש קשר בין גילוי פירצות אבטחה לבין פופלריות.

פירצות אבטחה, נובעות גם ביחס ישר מכמות הפיצ'רים, גודל הקוד, והחשיבות שניתנה לאבטחה בקוד.

אין לי ספק שבהינתן 2 תוכנות אם אותן פירצות אבטחה, יעלו על הפרצות של הפופלריות יותר מהר.

ובקשר לזה שלמיקרוסופט לוקח יותר זמן לתקן את הבעיות:

http://www.linuxworld.com.au/index.php/id;554502920;fp;2;fpid;1

ועוד נקודה בקשר לIIS, למיטב הבנתי IIS בעה כחבילת תוכנה אחת שרצה על מערכת הפעלה אחת. אפצ'י לעומת זאת רץ בעשרות וריאנטים שונים, על מערכות הפעלה שונות, עם אופציות שונות. לכן קשה יותר להתקיף את אפאצ'י.

ורק להבהיר, אני לא נגד קוד פתוח, אני חושב שזה מודל ראוי - אך בהחלט לא היחיד, ואני בתור מתכנת רוצה לקבל כסף על העבודה שלי. אני לא חושב שהתוכנות של מיקרוסופט הם כאלה גרועות. שמתגלה באג במיקרוסופט זה שוב אלה עם הגבינה השוויצרית שהם קוראים לו , ושמתגלה בלינוקס אותו באג בדיוק, זה איזה נחמד הקוד הפתוח שהציל אותנו.

אם כבר יותר מפריע לי באקספלורר שאין תמיכה בRSS וטאבים

קישור לתוכן
שתף באתרים אחרים
איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

לא טרחת לקרוא מעבר לכותרת, מה?

The figures Forrester uses for "all days of risk" are arrived at by averaging the number of days needed to fix a flaw, without distinguishing between critical flaws and harmless ones. Thus, if a vendor took six months to patch a low-risk bug, it would make them appear to have a slow security response time overall, even if all critical bugs had been fixed instantly.

Using Microsoft's own definition of a critical flaw as a bug which could allow a worm to propagate without user interaction, only 13 Red Hat vulnerabilities were critical during the one-year time period, and they took an average of just over a day to fix, Cox said. "If you add denial of service attacks and privilege escalations, there were 47 issues in total, which took seven days on average to fix," he added.

וזה עוד לא הכל:

Forrester found that, between June 1, 2002 and May 31, 2003, Microsoft had the lowest average "all days of risk", the time between the public disclosure of a patch and the time that patch is released by the operating system maintainer, compared with the Red Hat, Debian, MandrakeSoft and SUSE distributions.

משהו כאן לא בסדר: הפער בין דיווח פומבי על עדכון לשיחרור אותו עדכון לציבור הוא אפס. כנראה שהתכוונו לכתוב הפער בין דיווח פומבי על פירצת לשיחרור עדכון, זה כבר יותר הגיוני. וכאן נכנסת לפעולה מדיניות העמימות של מיקרוסופט: החברה מדווחת על פרצות רק כשאין לה ברירה - כשמישהו אחר כבר עשה את זה, כשקוד זדוני שמשתמש בפירצה כבר מסתובב ברשת או כשכבר יש לה עדכון מוכן. בקוד פתוח אין דבר כזה, פירצות מדווחות מיד כשהן מתגלות. בכלל לא מפתיע אותי לגלות שהזמן בין הדיווח הרשמי של על גילוי פירצת אבטחה ובין שיחרור עדכון הוא קצר.

קישור לתוכן
שתף באתרים אחרים
oba3k Zone Junkie

oba3k

פורסם
פורסם

חברות פרטיות כמו REDHAT וMANDRAKE שגובות כסף על ההפצות שלהם מדווחות על פירצות לעיתונות?

כמו כן בקשר לIIS נקודה מעניינת היא שIIS מספיק פופלרית בשביל לנסות לתקוף אותה. כלומר האחוז שלה מספיק פופלרי בשביל למצוא לה פירצת . מה שפיירפוקס עדיין לא(אבל מתקרב לשם בצעדים יפים ;)).

ותאמת אין לי מושג על מה אנחנו רבים, אני לא אומר שאין באגים באקספלורר, אני אומר שיש גם באגים בפיירפוקס...

אתה רוצה להגיד לי שIIS מוצר מחורבן, סבבה.

אקספלורר לא שווה גרוש - זו דעתך.

מצדי תישאר עם הקוד הפתוח שלך. אני אשאר עם כרגע.

וידנוס היא מערכת יציבה, ועם פיירוול מתאים (ובהתחשב שאי אפשר להעיף את הרג'סטרי בלי להרוס את רב הקוד הקיים לוונידוס) היא מערכת אמינה ויציבה.

מי שרוצה לינוקוס שיהנה...

קישור לתוכן
שתף באתרים אחרים
איסתרא בלגינא Zone Junkie

איסתרא בלגינא

פורסם
פורסם

מי דיבר על דיווח לעיתונות? יש להן מערכות דיווח פומביות (לרוב באגזילה). למיקרוסופט אין. באג יופיע רק כשמיקרוסופט תרצה שיופיע או כשמי שגילה אותו יפיץ אותו בפומבי בעצמו.

שוב, IIS מספיק פופולארית, בהחלט, אבל אפאצ'י הרבה יותר פופולארית - פי 2.5. התזה שלך קבעה שתוכנה פופולארית יותר תותקף יותר, אבל למרות זאת דווקא IIS מותקף הרבה יותר מאפאצ'י. המסקנה היא שאין בהכרח קשר בין הפופולאריות של התוכנה ומספר פרצות האבטחה שבה. אתה מתבלבל בין פרצות והתקפות - בהחלט ישנו קשר בין מספר ההתקפות על תוכנה לפופולאריות שלה.

למה אתה עונה לי על פיירפוקס כשאני שואל על אפאצ'י? אה, נכון, שכחתי עם מי אני מתווכח.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...