- A hozzászóláshoz be kell jelentkezni
Hozzászólások
nice...
- A hozzászóláshoz be kell jelentkezni
Lehet hogy az NSA engedélye nélkül nem javíthatják a gyártók az ilyet :D
- A hozzászóláshoz be kell jelentkezni
hianyzik az ido, amikor meg CVE-XXXXX volt a vulnerability-k neve :(
--
NetBSD - Simplicity is prerequisite for reliability
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
? Mai napig kapnak CVE azonosítót a security bugok. Lásd pl a napokban nyilvánosságra került screen problémát (CVE-2015-6806): http://www.openwall.com/lists/oss-security/2015/09/03/4
- A hozzászóláshoz be kell jelentkezni
Azóta van így, amióta a security emberek inkább már celebek, a security szakma meg leginkább security circus.
Azóta vannak dolgok túlhypolva, azóta vannak hangzatos kódnevek stb.
Sokszor az az érzésem egyik-másikkal kapcsolatban, hogy Linusnak igaza volt.
Torvalds criticises the 'security circus'
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
En inkabb ugy fogalmaznek, azota van ez igy miota a media beszalt a buliba. Egy hirekben eleg szarul hangzik hogy "CVE-12365-23686 binztonsagi hibat kihasznalva elloptak 200 millio bankkartya adatok X.Y. banktol...."
Mert a hangzatos nev jobban eladhato.
Szamomra ez ua. amikor kihagyjak a linux drisztribucio nevebol a verzioszamot es csak a kodnevet mondjak. Kedvencem az ubuntu valasztasai. De amiota a fejlesztes sebessege a fontos es nem a kod minosege.... (tisztelet a kivetelnek)
- A hozzászóláshoz be kell jelentkezni
Ezeket a hangzatos neveket nem a média, hanem a felfedezők ragasztják rá a sebezhetőségekre. Nagyon is összehangolt és tudatos tervezés áll a háttérben. Ezek az emberek és a mögöttük álló cégek úgy próbálnak reputációt, hírnevet szerezni, hogy minél szélesebb körben hirdetik, hogy mit találtak. Sokszor nem csak hangzatos neveket adnak, hanem már a bejelentést komoly marketing előkészítés előzi meg. Pl. a sebezhetőségnek már előre bejegyeznek domaint, értesítik a sajtót stb.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szerintem egyre gondolunk, csak nem megfeleloen utaltam ra.
;)
- A hozzászóláshoz be kell jelentkezni
twitteren se lehet megfelelően hashtegelni a CVEt
- A hozzászóláshoz be kell jelentkezni
Sok biztonsági sebezhetőség egyszerű programozói hibából ered. Nem követem napi szinten figyelemmel a fejlesztési trendeket, de nekem úgy tűnik, hogy a legtöbb fejlesztőnek nem célja ezekre figyelni, ebből adódóan nincs is meg a biztonságosabb programok fejlesztéséhez a tudása, és igazán ez az, ami aggasztó. Másrészről az is aggasztó, hogy sokszor üzemeltetési oldalról is hasonló a helyzet.
A funkcionalitás, amiről Linus beszél, fontos, ezt senki nem vitatja, de folyamatosan ellentmond magának, mert egyszer azt mondja, hogy a biztonsági bugok keresése (security cirsus) és a hétköznapi bugok keresése és javítása más (boring normal bugs), máskor meg azt hangsúlyozza, hogy ő csak programhibákban és azok javításában hisz (bugs are bugs).
Amikor azt mondja valaki, hogy a security emberek már inkább celebek (biztosan van ilyen is, mint gányolós fejlesztőből is), akkor érdemes olyanra is emlékezni, mint például az ASLR, honnan jön, mikortól és miért van, mikor lett a Linux kernelben egyáltalán valamilyen szinten implementálva, hogy pl az Androidról ne beszéljünk.
Ezek után én nem gondolnám, hogy baj az, ha az informatikai biztonság nagyobb publicitást kap, még akkor sem, ha vannak olyan emberek/cégek, akik ezt kiemelten PR-ra használják.
- A hozzászóláshoz be kell jelentkezni
+1 az utolsó gondolatodra. Szerintem sem baj a nagyobb publicitás meg cirkusz az IT-nek, főleg mert szakmai körön kívül sokszor sokan bagatelizálnak (pl. vezetők).
- A hozzászóláshoz be kell jelentkezni