Biztonsági minősítést kaptak a Windows-ok

Nem tudom milyen üzleti érdekeltség lehet pontosan az ügy hátterében, de picinkét gyanús nekem a dolog......

Csak a poén kedvéért: Ez a Common Criteria EAL 4 + nem a DIN 45500-as szabványhoz hasonló dolog?

Ugyanis azért jött képbe ez, mivel a DIN 45 500-as ugyebár a HI-FI szabvány és már az 1975-ben gyártott kazettás magnetofonok egyike másika éppen belefért ebbe a szabványba és High Fidelity-nek minősült a maga 12 500HZ-es frekvenciamenetével (vasoxidos kazettával) és az akkori minimum 2x10W kimenőteljesítményével ... stb. stb.

Tehát ha akkor ez HI-FI volt, akkor ma a windows is lehet biztonságos.

Persze...

A reklám is megírta, hogy pl. az IE 6 képviseli az új biztonsági és rugalmassági szabványt....

(Akkor akár a windows is lehet/ne/ ez!)

ROTFL

Biztos nem viccnek szánták pedig!

Aki nem tudná mi az az EAL4 az olvassa ela HUP wiki-t: Common Criteria [www.hup.hu]

Az EAL minosites arrol szol, hogy mennyire tudtak a keszitok mit csinaltak, semmi koze sincs a securityhez. (ha valaki akar csinalni egy security szempontbol atjarohaz rendszer nyugodtan kaphat hozza CC-EAL4 minositest, csak azt kell garantalnia, hogy " EAL 4: Tervszerűen tervezve, tesztelve és átnézve" van.)

Ha valakit reszletesen erdekel mit is jelent _ez_ az EAL4 az olvassa el a slashdoton [it.slashdot.org] megjelent hozzaszolasokat.

http://en.wikipedia.org/wiki/Common_Criteria

CAPP + CIMC-SL3PP-re van utalas a szovegben, ami azert boven nem "atjarohaz" jellegu rendszer tervezeserol szol... (mert akkor ugye nem kaphatna meg a CAPP-ra a minositest)

Abban termeszetesen igazad van, hogy EAL4 semmit nem mond a kod helyessegerol, programozoi hibak elofordulasarol, hiszen formalizaltan csak a fejlesztes folyamataval foglalkozik: maganak a kodnak a formalis verifikacioja csak magasabb EAL szinteken kovetelmeny...

Nagyapa, te csak nem villamosmérnök vagy?

CC egy eleg jol meghatarozott "szabvany", az altalad emlitettnel lenyegesen atgondoltabb, mivel kettevalasztja azt, hogy "mit is vizsgalunk" es azt, hogy "milyen melysegben is vizsgaljuk". A "mit" az a PP, protection profile, ami egy szabalyhalmaz arra vonatkozoan, hogy az adott rendszer valamit hogyan kezel (pl authentikacio nelkul nem enged hozzaferni eroforrasokhoz - na ilyen szabalyokbol jo sok alkot egy PP-t es van jo sokfajta PP). A "hogyan" pedig az EAL szint, aminek az also fele (1-4) a fejlesztesi es tervezesi folyamatot, dokumentaltsagat vizsgalja ilyen-olyan modszerekkel, felsobb szintjei (5-7) pedig mar magat a termeket, forraskodot is megintcsak ilyen-olyan eszkozokkel.

Elnezest akinek ez tul pongyola megfogalmazas volt...

Ajanlott olvasnivalo:

http://eros.cs.jhu.edu/~shap/NT-EAL4.html

szerintem ne sértegesd a villamosmérnököket... :)

Az EAL szint a termék terveknek való megfelelőségére ad némi támpontot. Nem szól a funkciókról, csak azok megtervezéséről, megfelelő megvalósításáról és teszteléséről.

Ha a termék biztonságára vagy kíváncsi, akkor a terveket kell megnézned, ami a CC út szerint az ST (Security Target) dokumentumban van leírva. Ez gyakran nehezen hozzáférhető (most nem néztem meg, de feltételezem), így az EAL4 esetén tudod, hogy mennyire garantálható, hogy a végtermék megfelel az előzetes tervben leírtaknak, de nem tudod, hogy mik az előzetes tervek :)

Ennyit az EAL 4-ről. PP és/vagy ST nélkül csak humbug az egész. A tisztánlátás kedvéért hozzáteszem, hogy én remek dolognak tartom a CC-t, csak az a gond, hogy a valódi, értelmes használatához olyan mennyiségű erőforrást (általában pénzt) kell betenni, hogy egy fejlesztő cég sem akarja kifizetni. Addig is marad ez a marketing bullsh|t az EAL 4 minősítésekről :((

üdv

atya