3 éves Linux SCTP IPv6 IPsec biztonsági hiba: NSA kedveli ezt

Hozzászólások

Az SCTP nem hibbibol kerult bele a linux kernelbe, hanem a tavkozlesi multik dolgozoi irtak meg (Carrier Grade Linux).
Tobb hiba van benne, mint a kernel tobbi reszeben egyuttveve.
Ugy indultak, hogy kuldtek egy 1.5millio soros patch-et es pampogtak, hogy azonnal keruljon bele a linux kernelbe.

Ugyhogy ez pont rossz pelda. Ugyanis a nagy cegek szar munkajara pelda, nem a hobbistakera.
--
Live free, or I f'ing kill you.

Szarkazmusra gyurjal meg picit. Ha eltekintünk attól, hogy a Linux kb. 90%-at cégek írják, meg mindig ott van, hogy a "hobbistak" se bagoztak ra 3 evig. Mindezt úgy, hogy bejelentett hiba volt.

Ezek után gondolkozz el, hogy mennyire megalapozott es életszerű az a feltételezés, hogy az open source rendszerek törvényszerűen, termeszetukbol fakadóan biztonsagosabbak, merthogy több ember nézi at a kódot.

Megmondom: semennyire. A nagy lofaszt nézik at. Ez a bug se code audit eredménye, hanem wireshark-os szagolgatase, amit természetesen bármelyik nyílt vagy zárt rendszeren megtehetsz. Cserébe a black hat sokkal egyszerűbben keresgelhet sechole-okat. Fair trade :)

Ne zavarjon az elmélkedésben, hogy a hiba megvan, tehát valaki mégis átnézte a kódot, csak senki sem foglalkozik a javításával.
Azért az nem ugyanaz, mint a "blackhat" társulat kivételével senki sem tud róla!

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Ha jól sejtem, azt közben szerkesztetted bele, mialatt én írtam. :D
De mindegy. Még akár igazad is lehet.
Gondolom ez igaz az összes, általad jelzett hibájára is.
Bocs, azt anr említette, hogy teli van hibákkal.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Tényleg nem tanítottak jogot nektek? Fura... pedig úgy tudtam, az IT-hez kapcsolódó témákat azért fel szoktak venni a tananyagba. Jó, a kecskéről nem tudtad, hogy törvénysértés, azt megértem: a szokás hatalma, vonzottak hozzá a hormonok.
De hogy azt sem tudod, hogy amit azzal az arab szöveggel műveltél, az jogsértés... :D

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Mint a mellekelt abra mutatja, az sem jelent biztonsagot hogy a zart forrasu termek gyartoja azt mondja "becs szo nincs benne backboor" es oda adja a forrast. ES eveken keresztul szolgaltatja a backdoor-okat illetve benne hagyja es csak kesobb javitja.

Amde a nyilt forras ereje pont az hogy - na nem kis pista hobby fejleszto - de egy eleg nagy szervezet epithet ra sajat termeket, atnezheti auditalhatja es utana felhasznalhatja azt. CSAK ez nyujthat eleg biztonsagot. Ugy mint a francia kormany most v korabban a kinaiak. Remelem elobb utobb a tobbiek is rajonnek h nem mas orszag zart - es kontroll alatt tartott - termekeit kell hasznalni mert az hatalmas biztonsagi kockazat.

A francia kormany talalta ki a HADOPI-t is, most ok komolyan mervadoak szerinted? Ennyi erovel hivatkozhatnal a magyar kormanyra meg a "nyitott forraskod"-jara is (rofl), legalabb annyira lenne komolyan veheto. Ha mondanak valamit, foleg technikai temaban, jellemzoen az ellentete igaz.

Csak mi a biztosíték rá, hogy valóban az van a binárisokban, aminek a forrását átadták? (ha már paranoia)
Lehet, hogy rosszul emlékszem, de mintha csak a kód átnézésére adnának lehetőséget, hogy magad építsd fel belőle a binárisokat, arra nem. De javítsatok ki, ha rosszul tudom!

ui: bocs, most látom csak, hogy kinek válaszolok. Na mindegy... amúgy sem neki szól.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Ezt vedd át mégegyszer! ;)
_HA_ van egy auditált forrásod, akkor open source esetén megteheted, hogy abból fordítasz. Így többé-kevésbé biztosítani lehet, hogy kevés backdoor marad benne.
Feltéve, hogy megbízol az auditorokban és a fordítást végzőkben és... szóval a lánc valamennyi emberében.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Nem, a forrasbol forditas jellemzoen nem megengedheto, uzemeltetesi, karbantartasi, tamogatasi, deployment szempontbol teljesen elfogadhatatlan. Ezek utan aruld el meg azt is, hogy ugyan mi garantalja neked, hogy az elerheto binaris az elerheto forraskodbol jott letre? A publikalo/auditor majd bociszemekkel becsszavat adja? "Felteve, ha". Igen, ha feltesszuk. Te viszont az elobb meg biztositekot akartal, most meg mar feltetelezes is eleg? Pont az a betores lenyege, hogy az ilyen hulye feltetelezeseket kihasznaljak. Hagyjal mar a kettos merceddel.

Azért ezt beszéld meg a gentoo-t élesben használókkal is! ;)
Nem arról pofázok, hogy amíg van egy binárisod, meg egy állítólagos forráskódod, addig baszhatod, míg ha az auditált forrásból elő tudod állítani a használt binárisokat, akkor egy fokkal nagyobb biztonságban vagy?
Akkor már "csak" az auditorban és abban kell megbíznod, aki a fordítást végzi.
Auditálást láttál már élőben vagy csak hallottál valakiről, aki már látott valakit, akinek egy ismerősénél végeztek auditot?
(hihetetlen, hogy milyen sötét tudsz lenni... én max. felületes vagyok, nálad viszont ez valami születési rendellenesség lehet)

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

"Azért ezt beszéld meg a gentoo-t élesben használókkal is! ;)"

Mind a harommal? A tobbi hoborgesedre nem ohajtok reagalni. Vegeztess inkabb auditot PtY-vel, aztan minden jo lesz. Majd o gyorsba okosba atnez neked 15 millio sornyi kernel kodot (a userspace-be bele se megyek), aztan kurvara nagyon biztonsagban leszel. Balfasz.

Az aláírásod ("balfasz") különösen tetszik. Hihetetlen a sötétséged és az agresszivitásod párosa. :D
(mielőtt tovább böfögsz, keress meg valakit, aki kód auditálással foglalkozik, mert így elég röhejes vagy!)

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

1. Nem "aláírás" volt, neked szólt.
2. Különösen megmosolyogtató az agresszióról/sötétségről papolásod, miután ugyanebben a topikban már túlvagy a buzizáson és a kecskebaszózáson is.
3. A trollfiltert te is megnyerted, nettó időpazarlás minden rád vesztegetett szó.

Pedig aláírásként épp jó lett volna.
Olyan sötét vagy, hogy "világít a szádban a Negro". :D
Azt meg külön megköszönöm, ha a továbbiakban nem kell a fasságaiddal foglalkoznom.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)