(ebből napi 1-et se használnak ki a felhasználók)
Ezt én nem tudom, neked van erre valamilyen statisztikád?
ami vastag pénzbe került termék, legalább konvergáljon a minőségihez
Tudsz mondani egy hasonló funkciókkal bíró azonos terméket, amely "minőségi" (akár olyat, amely szintén vastag pénzbe kerül, de nincsenek benne biztonsági hibák)?
ráadásul eladhatóan visszaélésekre vezet?
Vista óta (mióta van ASLR Windowsban) már nem túl egyszerű azon kliens-oldali hibák kihasználása, amelyek file formátum feldolgozási problémán alapulnak. Nem véletlenül sütötték el a kínai haxorok 3 éve - a Vista megjelenése után - nagy számban az ilyen jellegű MSOffice 0dayeket, mert látták, hogy a Vista elterjedésével ezen exploitjaik értéktelenné válnak.
Úgyhogy nagy visszaélésekhez ezek a fajta bugok nem vezethetnek és gyanítom a COSEINC is azért foglalkozott még ezzel, mert az MS ilyen oldalról is szeretné bezárni a lehetséges problémákat.
új ötletek elől vegyék el a prioritást annak érdekében, hogy egy hibát (megvásárolt termék hibás működése nem legyintés kategória, csak a szoftveriparban) javítsanak
[...]
nyilván prioritási listájuk van, de valamiért mégis az eladhatóság az egyetlen szempont
Nem ez az egyetlen szempont, azért ez túlzás. De egyértelmű, hogy ez egy elég nagy dilemma, mert a látható új ötleteket könyebb eladni, mint a nem látható security újításokat, biztonsági javításokat (tudsz bárkit is, aki az ASLR miatt vette meg a Vistát?). Az MS meg az eladásokból él, úgyhogy muszáj látható újdonságokat is fejlesztenie, mert az emberek jórésze csak ezért ad ki pénzt.
Emiatt nincs túl nagy sikere a PaX-nak sem a Linux terén, mert még a fejlesztők se nagyon látják át, hogy mennyi security probléma ellen nyújt hatékony védelmet. Keveseket érdekel ilyen szinten a biztonság. De maga a Vista is kiválló példa erre, hisz a rengeteg security megoldás ellenére sem sikerült az XP helyére lépnie (persze közrejátszottak más dolgok is, ez igaz, de azért látszódik szerintem belőle a lényeg).
Egyébként azt gondolom, hogy az MS bizony vesz el prioritást mostanában az új ötletektől (nem is kicsit) és egyre több időt és pénzt fordít a biztonságra. Tagadhatatlan tény, hogy a szoftverfejlesztő cégek közül ők fordítanak a legtöbbet mára a security-re. Dollármilliókat költenek el rá évente, de egy akkora forráskód állománynál - amellyel rendelkeznek - és ekkora fejlesztési ütem mellett csak nagyon lassan fog ez a befektetésük megtérülni...