CERT sebezhetőségi lista - nyílt levél az Indexnek

Vélemény

Az Az ötezer szoftverhiba éve volt 2005 cím alatt megjelent cikk egy több szempontból tökéletlen sebezhetőségi listát értékel, a hibák kiemelése nélkül. Utánaolvastam a CERT közleményének, és így kicsit más következtetéseket lehet levonni.Tisztelt Index!

Az ötezer szoftverhiba éve volt 2005 cím alatt megjelent cikkük egy több szempontból tökéletlen sebezhetőségi listát értékel, a hibák kiemelése nélkül. Utánaolvastam a CERT közleményének, és így kicsit más következtetéseket lehet levonni.

Elsőként, különös a lista felosztása Microsoft és Nem Microsoft sebezhetőségekre. Így a Microsoft jelenlegi legerősebb, és legtöbb publicitást kapó "ellenfele" - a szabad szoftveres világ - egy kalap alá kerül más, zárt szoftverekkel, és azok adatai elfedik a szabad szoftverek tényleges erényeit vagy hátrányait.

Másodsorban a lista pontatlan. Bizonyos hibák többször is szerepelnek, vagy mert több operációs rendszerben is felhasználják azt a szoftvert, amiben a hibát találták, vagy más, érthetetlenebb okból. Ilyen például a "Fetchmail POP3 Client Buffer Overflow" hiba, amit ötször is felsorol a lista, hogy, hogy nem, mind az öt alkalommal a "Unix/Linux" kategóriában. Természetesen a Microsoft hibák között is van duplikátum, bár kettőnél többször egy sem szerepel.

Ez a két tény önmagában elég ahhoz, hogy kérdésessé tegyen bármilyen, a listából levont következtetést. De vannak más, mélyebb hiányosságok is.

A lajstrom darab-darab szemlélete nem foglalkozik a hibák súlyosságával, hogy milyen mértékű kárt lehetne okozni velük, hogy érkezett-e javítás, és mennyi idő alatt (ezt Önök megemlítik a cikk végén). Az Explorer - Firefox vitában egy, az Önökéhez hasonló publikáció után született elemzés szerint a darabszámok éppenhogy a valós képpel ellentétes helyzetet mutatnak: az Explorerben több a súlyos illetve a nem orvosolt hiba, míg például a Firefoxban nincsenek ki nem javított hibák.

Ha megtennék, hogy e kiegészítéseket beledolgoznák cikkükbe, annak többen is nagyon örülnénk, akik nagyra tartjuk az Index tudományos rovatát.

Köszönettel:

Tomka Gergely, LME elnökségi tag

( gsimon | 2006. 01. 03., k – 16:40 )

Egyszerűbb mondatokkal kéne fogalmazni, mert aki az indexről szedi a műveltségét, annak egy mondatba max. két jelzőt szabad tenni, tagmondatok használata ellenjavallt, logikai összefüggések említése pedig szigorúan tilos :).

Esetleg, "hasonló a hasonlóhoz"-alapon ellen-elemzést lehetne közzétenni a Kacsa Magazinban, lehetőleg nagybetűvel, sok muffal körülvéve, hogy az olvasói közönség figyelmét is megragadja :)...

( sas | 2006. 01. 03., k – 16:44 )

nem tulajdonítok nagy jelentőséget a dolognak

ezt a cikket nem a széles nép olvassa csak a témában nyomulók.

azok meg úgyis tudják hogy ezeket hogy kell érteni.

vannak cikkek, amik a nagyközönséget célozzák meg populista hazugságokkal, azok zavarnak, ez nem, imho nincs túl nagy jelentősége.

Azért én az ilyesmit vissza szoktam hallani, kárörvendő mosollyal.

Ez nem jó.

Viszont így utólag nem hiszem, hogy igazán újra lehetne íratni a cikket az Indexszel. Jó lenne, ha lenne ott valaki, aki megjelenés előtt véleményezné a cikket.

Én kedvelem egyébként az Indexet, de néha nagyon hiányzik az, hogy az emberek kommentárt írhassanak a cikkhez. (Bár abból meg alighanem homár szintű fos lenne)

( anr | 2006. 01. 03., k – 19:26 )

A fo gond a CERT listaval van. mi az hogy UNIX/linux hiba????

lehetnek hibak a OS-ek core reszeben, ami nagyon kulonbozo, vagy felhasznaloi programokban, ami szeles korben hasznalt, de itt se biztos, hogy ugyanaz a hiba erint minden OS-ben levo (agyonpatchelt) verziot. masreszt a szerver/desktop hibakat sem kene osszemosni, harmadreszt inkabb kene valami veszelyessegi skalaval, es hivatalos javitas nelkuli napokkal sulyozott szummazasa is a hobaknak. na az mondana valamit arrol, hogy mi veszelyeztetett es mi nem.

kiraly lenne, ha beirogatnad a sajat szervered adatait (OS, kernel verzio, program verziok, ..) es kidobna, hogy az elmult heten/honapban/... ez a konfig mennyit.mennyire volt lyukas.

> Akinek van szeme, meglatja a fenyt, akinek nincs, az tovabbra is cigarettazik, kameras mobilt vesz, tengerparton nyaral, wifit hasznal otthon, mindenhova autoval jar, es Windows-t hasznal.

ROTFL. Kifejtened az osszefuggest?

Sajnalom a nyomorod, de aki meglatja a fenyt, annak telik ezekre :>

Egyszer tudtam eljutni a tengerre akkor is pont be volt fagyva az a szakasz. Amikor a csávot kérdeztűk. morá ? lefelé mutogatot azt nem értetűk. Amikor fére turta a havat akor meg lehidaltunk. (igen tudok vízen járni csak legyen elégé befagyva ) Hiába az északi december elég hideg.

( buran | 2006. 01. 04., sze – 08:51 )

Mit vártok az Indextől? Szakmailag nullák, de legalább viccesek. A cikk szerzője kávészünetben hallott valamit a kollégájától és kanyarított belőle egy írást, gondolom.

( ch | 2006. 01. 04., sze – 10:45 )


többen is nagyon örülnénk, akik nagyra tartjuk az Index tudományos rovatát.

Ez biztos valami irónia volt.

( mojive | 2006. 01. 04., sze – 11:53 )

Szerintem a legnagyobb szarvashiba a két rendszer jellegének külömbsége miatt adódik. A UNIX/Linux hibákhoz sorolják a GNU/Linux rendszerek minden komponensének hibáját (pl. d4x), de nem a Windowsosokhoz sorolják, mondjuk - ex has - a FlashGet hibáját.

Csakhogy a UNIX az egy komplex rendszer (kb mint a linux kernel + gnu programok összessége), míg a linux az önmagában csak a kernel.

Arról nem is szólva, hogy windowsból van 3-féle (ha nem tévedek), és linuxból ilyen hozzáállással végtelen sok (bár megszámlálható :P). Elvégre is egy rendszeren nem adott, hogy milyen program van fent, és az sem, hogy ezek melyik verziója.

( shusaku | 2006. 01. 03., k – 15:42 )

Ne legyen igazam, de van egy olyan erzesem, hogy a szoban forgo cikk
valojaban egy fizetett hirdetes volt.

( LGee | 2006. 01. 03., k – 15:46 )

Az a szomoru, hogy valojaban biztosan nem fizetett hirdetes volt. Szerintem ha a Linux egy bizonyos mertekben elterjed, azt is eroteljes kritika fogja erni, es eloterbe kerulnek mas szegmensek, pl a BSD, mint az kozottunk mar regen megfigyelheto.

( LGee | 2006. 01. 03., k – 15:51 )

Amugy meg nem tokmindegy, mit irnak? Akinek van szeme, meglatja a fenyt, akinek nincs, az tovabbra is cigarettazik, kameras mobilt vesz, tengerparton nyaral, wifit hasznal otthon, mindenhova autoval jar, es Windows-t hasznal.

( gipszjakab | 2006. 01. 03., k – 15:55 )

Eygre többször jelenik meg így vagy úgy de erősen megkérdőjelezhető cikk "elemzés" az index.hu portálon ami a szakmaiság legkisebb látszatát is kerüli. Sajnos magyarországon úgy látszik nincs egyetlen egy hiteles hírforrás sem (lszámítva HUP.hu-t) és ez nem csak az IT hírekre vonatkozik.

Azért a tengerparton nyaralás is jó tud lenni, és használnék otthon is wifit a PDAmhoz, laptophoz, kertbe. stb.

Aki nem foglalkozik az informatikával az nem fogja meglátni a "fényt", az emberek nagy része nem is tudja mi az az operációs rendszer dolog, csak hogy van az a windóz izé (ami maga a számítógép) abban egy kék e-betű az internet ami a gépre van telepítve, és van a wörd. A vásárlói tudatosság nincs jelen, ne várd, hogy így elterjed a dolog. A "hozzáértő" emberek egy része is azt hiszi, hogy a linux egy parancssori OS, és nincs grafika, 3d, hang!! (lásd hup fórum Fast FUD topic..)