> Már megint ez az személyeskedés.
ami nem idegen toled sem? meg talan engedtessek meg nekem, hogy mosolyogjak egyet neha-neha, annyira szorakoztato az elet itt ;).
> A Mozilla hozzáállását kéne csak megnézni.
nezzuk.
1. irtak egy hibas kodot, progamozo/review/manyeyeballs csod.
2. hibas kod bekerult a QA rendszerbe, de nem talalta meg, QA csod.
3. hibas kod kikerult a felhasznalokhoz, de senki nem futott bele a hibaba, manyeyeballs megint csod.
4. kulso szakember ranez (valoszinuleg a release utan) es megtalalja a hibat.
ezek *utan* jon a tuzoltas resz, amirol irtal. nezzuk meg azt is:
5. mozilla hall a 0-day exploitrol, ir a szerzonek. nem tudjuk mi zajlott le pontosan, de feltehetoleg ingyen akartak hozzajutni, mert kulonben siman megvehettek volna az egesz cuccot csak ugy.
6. mozilla megkapja az exploitot es/vagy hibaleirast, es kijavitja. eltelik vagy 3 het legalabb, mikozben sokaknak megvan az exploit ill. tudjak, hogy hol erdemes keresgelni (3.5->3.6 diffben).
7. mozilla kiadja a javitast egy teszt verzioban, ezaltal mindenki megtudja, mi a hiba es irhat ra exploitot (ha addig nem sikerult beszereznie).
8. mozilla (valoszinuleg) rajon, hogy ez igy ongol volt, es egy het utan megis kiadja a release-t, mert mar ego a dolog.
mi tortent az MS oldalon?
1. irtak egy hibas kodot, progamozo/review/SDL csod.
2. hibas kod bekerult a QA rendszerbe, de nem talalta meg, QA csod.
3. hibas kod kikerult a felhasznalokhoz, legalabb egy kulso szakember belefut a hibaba.
4. MS megkapja a hibaleirast a kulso szakembertol (whitehat, responsible disclosure, stb.)
5. MS analizalja a helyzetet es eldonti, hogy nem javitjak surgosen (napokon/heteken belul).
a tuzoltas:
6. honapokkal kesobb 0-day exploittal feltornek cegeket
7. par nap alatt kiderul, hogy az exploit ezt a hibat hasznalja ki
8. MS rajon, hogy ezt nagyon beneztek es az eredetileg tervezett ido elott kiadja a patchet
mit szeretnel ezek utan hallani? ;) mindket ceg benazott a sajat haza tajan, egyik kutya, masik eb.