Fórumok
"FreeBSD has caught up to what OpenBSD has been doing for over 10 years," De Raadt (pictured above) told iTWire. "I see nothing new in their changes.
"You are not the only person who asked if we will now do something in the same direction as FreeBSD. We can't follow them - we were already leading in 2003."
"Basically, it is 10 years of FreeBSD stupidity. They don't know a thing about security. They even ignore relevant research in all fields, not just from us, but from everyone."
Az interjú részletei itt.
Hozzászólások
Valahogy egyre jobban undorodom az IT-s világtól... Miért lett ekkora divat egymás baszogatása már ilyen szinten is?
(vagy a hiányos angolom miatt félreértek valamit? Mondjuk a "stupidity"-t elég nehéz rosszul értelmezni :( )
Ahogy Theo de Raadt dicsér, nem szid úgy senki! ;)
--
trey @ gépház
No megszólalt az arc, aki ha jól rémlik, a távolról rebootoltathatom a rendszert című problémát nem tekintette biztonsági hibának.
dehat Tahó de Raadt megmondta, hogy az openbsdben nincs tavolrol kihasznalhato bug az osrobbanas ota
Nem tisztem védeni Theot, de mondjuk az tényleg elég gáz, hogy a mai napig semmilyen ASLR nincs a FreeBSD-ben. Továbbá az is vicces, hogy az IPSEC használatához kernelt kell fordítani 2013-ban. Könyörgöm már a Windows 2K-ban is volt azonnal használható IPSEC.
Inkabb olvasdd el ezt. A vege fele erdekes a dolog.
Mi a helyzet a FreeBSD-ben? Hat ez. A sokat szidott Windows-nal:
"Microsoft has all significant mitigations fully integrated and enabled!!"
Az igaz, hogy nagy arca van, de eleg sokat tett mar le. Mert ugye azt is lehetne am kerdezni, hogy mit tett a FreeBSD a biztonsagert? Kb. a nagy semmit.
A stílusára nincs mentség.
Persze nincs egyedül ezzel. A fejletlen szociális érzék komoly öntudattal és egóval párosítva csodákra képes.
Linus, Joerg Schilling is példák erre, persze más fokozatban. Theo valószínűleg utolérhetetlen ezen a pályán.
Volt egy libc fejlesztő is nagyon markáns stílussal, de sajnos elfelejtettem a nevét...
Ulrich Drepper
Theo diai nem jok, mivel ASLR kod szinten sincs benne a rendszerbe, egyedul az RTLD tamogatja jelenleg, amihez kellene egy kernel oldal is.
akit meg erdekel kicsit bovebben, az ezt is megnezheti:
http://m.cdn.blog.hu/bu/buhera/file/szakdolgozat_pinter_for_web.pdf
/off
Ez az ASLR ennyire jó? Belenézegettem a szakdogába (gondolom, itt ugyanaz a Pintér), hogy legalább nagyjából értsem.
Szóval az ASLR-rel ennyire sok exploit védhető?
onmagaban nem, de egy brute-force detection-nel eleg hatekony eszkoz lehet