ESR a Cisco kód lopásról: az IOS-nek nyílt forrásúnak kellene lennie

Nem. :)

Ezzel én tisztában vagyok, de ha körülnézel a "piacon", láthatod, hogy nincsen igazán profi és mindentudó könyvtári rendszer. Sajnos.

A Juniper cuccairól mit tudtok? Bennem csak annyi maradt meg, hogy a legbrutálisabb, iszonyú méretű forgalmat lebonyolítani képes routerjüket FreeBSD vezérli. :)

Pl. nem is tudom, hogy itthon lehet-e kapni.

Esetleg a kínai Cisco-klón? :) Hszia-vej, vagy mi a nevük, nem tudom. :) Esetleg vu-hszia. Vagy vej vu-vej. Vagy valami ilyesmi. :)))

És a Baumgartner mindig a régebbi verziókat kapja csak meg? :))))))))

Ezt tedd meg a mi könyvtári rendszerünkkel. :)))

A Ford valamelyik modelljével történt meg anno az 1960-70-es években, hogy kiderült egy konstrukciós hiba (ha jól emlékszem akkor a kerékkel volt valami). A cég vezetői fogták és kiszámolták, hogy a kártérítéssekkel olcsóbban megúszák, mintha a teljes sorozatot visszahívják.

Lett is belőle jónéhány halálos balaeset.

Miután az ügy napvilágra került jó nagy balhé lett belőle az USA-ban. Tudtommal ezen incidens óta hívogatják vissza "előszerettel" a gyártók a kocsikat.

Huawei

8milliard$-os forgalma volt tavaly. Ebbol mindossze 1miliard$ volt kinan kivuli!!

A 2. legnayobb router gyarto a vilagon!

Nehany ev es lelepi a Cisco-t. A kinaiakra oda kell figyelni...

Én a kajáikra már évek óta igyekszem nagyon. :)))

Hat ez a link nem sikerult;-))

http://hup.hu/modules.php?name=News&file=article&sid=1021

talan inkabb ez nem?

Erről a "Why not open source your bank account?" jellegő hozzászólásoktól felálla a szőr a hátamon. Világosan látszik a hozzászólóról, hogy vakon hisz a security by obscurity elméletben/modellben...

Ha lenne egy bank, amely a teljes banki rendszerét open source alapon üzemeltetné, ahol az utolsó bit is open source, kezdve a webfelületükkel, egészen odáig, hogy a titkárnéni előtt futó alkalmazás is open source(vagy a free software-nek jobban örülnék :-) ), akkor tuti ahhoz a bankhoz mennék!

Ha valamilyen alkalmazást ír valaki, akkor ha az illető nem fatökű, akkor meg tudja úgy írni, hogy nem azért vannak biztonságban az adatok, és nem attól hitelesek, mert nem ismeri rajta kívül más a protokollt, hanem azért mert úgy lett tervezve.

De itt az adott konkrét esetben ugye, gondolom azért nem Open Source az IOS, mert akkor lenne Open EIGRP, ISL, ... ***** cisco protokollokra implementáció, amit bárki javíthat, és nem a Cisco bugos *****jai lennének...

Jó, persze tudom, ott az OSPF, dot1q, stb... És a gyakorlat is azt mutatja (legalábbis épp nemrég volt szerencsém meggyőződni egy újabb esetben erről), hogy ha a *****ást el akarja kerülni az ember, akkor inkább ilyen szabványos protokollokat használ, még akár két Cisco eszköz közé is...

Viszont ha kiadná a cisco a forrásait, fennáll a veszélye, hogy valaki kijavítja ezeket a bugokat, és senki nem fog aztán tőle bugos IOS-t licenszelni, mert ott lesz egy free alternatíva...

Mert azt azért tudni kell róluk, hogy náluk nem csak az eszköz kerül pénzbe! Ugyanarra az eszközre egy picit nagyobb feature-set-tel felszerelt eszköz milákkal drágább lehet...

ESR olyan, mint Móricska, mindenről az jut az eszébe.;-)

Mellesleg nekem is;-)

Aki a nagy mennyisegu exploit-ot megirja illetve hasznalja, azert eleg nagy valoszinuseggel rovid idon belul egy jo kis huvos cellaban talalhatja magat. Jogosan, mert ez valojaban tenyleg a terrorizmus egy modszere.

Ha jovo heten ellopjak az Oracle kodjat, akkor ESR oket is felszolitja, hogy nyissak meg az adatbaziskezelo forraskodjat? Ki lesz a kovetkezo?

Es azt mikor vonjak felelossegre aki nem biztonsagos kodot ir?

Szerintem az, hogy egy ceg megnyitja a birtokaban levo kod forrasat, abszolute maganugy. Es az is az, hogy milyen formaban nyitja meg (lathatod, de nem nyulhatsz hozza, stb).

"Any security software design that doesn't assume the enemy possesses the source code is already untrustworthy; therefore, *never trust closed source*."

Mondjuk megkerdeznem ESR-tol, hogy milyen autot vezet, es be mer-e ulni a kocsiba... Lassan tobb a szoftver az uj autokban, mint a csavar:)* es nem sok autovezerlo szoftvert lattam mostanaban a freshmeat-en.

* eros, ironikus tulzas

Tevedni emberi dolog. Johiszemu tevedesert miota szokas felelossegre vonni az embert?

Exploit-ok hasznalata rosszhiszemu karokozas. A fel internet backbone megbenitasa pedig egyenesen terrorizmus.

Tevedni emberi dolog ezzel teljes mertekben egyetertek, de tovabbra is nevetsegesnek tartom, hogy a draga penzen megvett szoftverekre _semmilyen_ garancia nincs. Ha osszeomlik a ceged egy bug miatt akkor semmit nem kerhetsz szamon az adott szoftvergyartotol. Megfelelo tervezessel es ugy, hogy a biztonsagot szem elott tartva irsz egy kodot akkor szerintem lehet _nagyon_ biztonsagos szoftvert irni, lasd pl. Postfix.

"Tevedni emberi dolog ezzel teljes mertekben egyetertek, de tovabbra is nevetsegesnek tartom, hogy a draga penzen megvett szoftverekre _semmilyen_ garancia nincs"

Ezert megint kapok majd a fejemre, de ahol en dolgozok, ott szep lassan nem is tudsz tamogatas (es igy garancia + konzultacio + oktatas) nelkul szoftvert venni. Sot, nem is szoftvert, hanem 1 eves hasznalati jogot veszel. Mondjuk tudtommal a Red Hat is ezt a modellt hasznalja (legalabbis az arlistankon 1 meg 3 eves subscription van Red Hat Advanced Serverre).

"Ha osszeomlik a ceged egy bug miatt akkor semmit nem kerhetsz szamon az adott szoftvergyartotol."

Nem tudom, manapsag nem 1 szoftvert szoktak venni a cegek, hanem egy komplett megoldast, 3 ev tamogatassal, implementacioval, mindennel. A tamogatasban azert eleg eroteljesen benne van az, hogy az ugyfel minden hibat le tud verni a megoldas szallitojan. Ha valaki nem ker support-ot, az vessen magara, ha baj van.

"Megfelelo tervezessel es ugy, hogy a biztonsagot szem elott tartva irsz egy kodot akkor szerintem lehet _nagyon_ biztonsagos szoftvert irni, lasd pl. Postfix."

Abszolute egyetertek. Es meg sorolhatnank szoftvereket...

Azt nem ertem, hogy miert feltetelezi ESR, hogy az IOS is olyan lyukas, mint a Windows forraskodja. Lehet, hogy Cisco-ek megis figyeltek a biztonsagra, nem?

BugTraq Linux: 515,000

BugTraq Windows: 349,000

BugTraq Debian: 67,800

Ezek se:)

Se az IOS-es se ezek sem egymassal nem osszehasonlithatok. A kozosseg nagysaga, mennyire nyilvanosan beszeli meg a dolgait, es hasonlok miatt.

Ami erdekes lenne, az a azonos "protokoll" szerint vegzett biztonsagi bejelentesek szama. (pl DSA-k)

Talan ha lennenek a mitre.org-nak statisztikai. Azok talan ernenek valamit.

Nem tudom, manapsag nem 1 szoftvert szoktak venni a cegek, hanem egy komplett megoldast, 3 ev tamogatassal, implementacioval, mindennel. A tamogatasban azert eleg eroteljesen benne van az, hogy az ugyfel minden hibat le tud verni a megoldas szallitojan. Ha valaki nem ker support-ot, az vessen magara, ha baj van.

Ha-ha-ha, kisfiam, hol élsz te? :)))))))

A munkahelyemen egy Oracle-alapú nagy tudású(-nak mondott) és összetett könyvtári rendszer fut. Ezért a hivatkozott intézmény a termék magyarországi képviseletének évente kb. 7-8 millió forint támogatási díjat fizet.

A szoftver tele van hibával. Alapvető dolgok nem működnek benne. Az előző verzió 1999-ben jött ki, akkor fölfedezett kritikus hibát nem javítottak benne.

És hiába igyekszik az ember leverni, a falnak beszél. Most történt előrelépés, amikor n+1 év után az intézmény nekiállt perrel fenyegetőzni.

Megjegyzem, nem vagyunk egyedül.

Nekem ezek után ne papoljon senki a kereskedelmi szoftverek supportjáról általánosságban. Minden az adott terméktől és cégtől függ.

Kevered a szezont a fazonnal.

Nézd meg, hogy az autóipar mennyi idős és azt is, hogy a szoftveripar milyen öreg!

Az autóiparban már kialakult a megfelelő gyakorlat, szokás, szabályozás, törvényi keretek, stb. arra, hogyha egy termék rossz, akkor a gyártó felelősséget vállal érte. Másképpen nem is tehetne, hiszen emberéletek függenek tőle, és a (z egészséges) konkurencia állandóan ott van, hogy víz alá nyomja.

Mint valaki előttem megjegyezte, a szoftverekre semmiféle garancia nincs.

Amivel pl. az ilyen licenc sérti is Magyarország jogrendjét, mert a magyar jog nem ismeri a felelősség teljes kizárását.

Egyetértek, de kiegészítem. Minél nagyobb a részesedése egy cégnek az adott területen, annál magasabbról *****ik a support igényekre, es igyekszik lealibizni oket. Maximum kikult egy hozzanemertot, aki joszandekuan nem tud semmit sem csinalni (valszinuleg 2 hete vettek fel elotte villanytszerelt;-) A cegnek igy a legolcsobb.

Miert nem vesztek masik gyartotol szoftvert?

Tevedni emberi dolog. Johiszemu tevedesert miota szokas felelossegre vonni az embert?

Szvsz nezz utana viselt dolgaidnak, nehogy meglepetes erjen. A feleloletlen vagy mulasztasos karokozasert emlekeim szerint perelhetnek:)

Nap, mint nap. Van jogsid? :)

Nem az autoiparrol beszeltem, hanem az autokban futtatott szoftverekrol. Amelyek mindegyike closed source (ezek vezerlik az ABS-t meg a tobbi harom betus roviditest, stb), es ESR definicioja szerint emiatt nem szabad bennuk megbizni.

"Talan ha lennenek a mitre.org-nak statisztikai. Azok talan ernenek valamit."

Ugyanmar, ez az egesz hitkerdes... Branding, ha ugy tetszik.

Csatlakozom. Nem mindig lehet leverni. Nem mindig lehet bevasalni. Sőt, van amikor a perrel való fenyegetőzés sem segít. Akkor szerencsétlen vevő lemondja a supportot, mert minek dobálná ki azt a rengeteg lóvét az ablakon.

Na most erre első döbbenetem után csak úgy tudok reagálni, hogy megkérdezem: eszednél vagy? 8-o

Bocs, nem akartam személyeskedni, a döbbenet hozta ki belőlem. A fórumon látott eddigi tevékenységed kapcsán olyan érzésem alakult veled kapcsolatban, hogy bár nem értünk egyet, ettől függetlenül hozzáértőnek tűnsz, aki - ha jól sejtem - nem egy kis cégnél dolgozik/dolgozott.

Ez egy integrált könyvtári rendszer, a bevezetését emlékeim szerint kb. 8 (+-2) évvel ezelőtt kezdték meg és azóta ezt használjuk. Egy egyetemi könyvtárról van szó egyébként, ha jól rémlik, kb. 15-16000 olvasóval, akikbe nem csak az egyetemünk hallgatói és oktatói, kutatói tartoznak bele, hanem a "külsősök" is természetesen.

A könyv- és periodikaállomány méretéről halvány fogalmam sincs, de nem kicsi, elhiheted.

Ugye te sem gondoltad komolyan, hogy egy ekkora méretű, élesben működő rendszert csak úgy ripsz-ropsz át lehet állítani?

En igazabol valamilyen informatikai kamarat hianyolok, ami az ilyen etikatlan viselkedesu cegeket egyszeruen kizarna a piacrol...

Nem egészen pontos. ;)

Az első lépcső az, hogy a marketingdroidokat küldik ki és azok igyekeznek meggyőzni minket, hogy az nem is bug, amit találtunk, hanem egy feature! :I

Az érdekes lenne, mert az egyik legnagyobb magyar szoftvercégről van szó.

Akkor olvasd el még egyszer a hozzászólásomat: a megvásárolt autónál senkit nem érdekel, hogy most a szoftver miatt, vagy mechanikai hiba miatt nem tudott valaki megállni és ment át rajta a megrakott Kamaz. Ott a szoftver az autó része, amit a gyártó ad, a vevő meg magasról tesz arra, hogy mi van benne. Működjön, pont.

Hányszor lehet és lehetett olvasni arról, hogy egyes autókban ilyen-olyan hibát találtak, emiatt aztán visszahívta a gyár INGYENES cserére az egész sorozatot! Ott ez magától értetődő, mert igyekszik vigyázni a jó hírére és a vásárlók elégedettségére.

Ha a Microsoft is megtette volna ezt az ingyenes visszahívást a Windowszal, akkor ma nem hogy sok milliárd dollár nem lenne a bankszámláján, hanem Microsoft sem lenne. :)))))

"Ugye te sem gondoltad komolyan, hogy egy ekkora méretű, élesben működő rendszert csak úgy ripsz-ropsz át lehet állítani?"

Nem. Lemaradt a smiley, bocs...

A Service Pack nem ilyen ingyenes visszahivas?

Az analógiát követve valahol igen, nekem olyannak tűnik. De ettől még nem vállal érte senki felelősséget.

" Johiszemu tevedesert miota szokas felelossegre vonni az embert? "

Mehhehe:PPP Nem akarok szemelyeskedni, de ezt a csacsisagot hol almodtad? Jogasznak ne emlitsd, mert ott helyben halalra rohogi magat. Jol neznenk ki, ha azert mert valaki johiszemu nem vonnak felelossegre a tetteiert. Johiszemu csalo, betoro, gyilkos, etc....

Motto: "A pokol fele vezeto ut is joszandekkal van kikovezve"

Mostanaban a legtobb visszahivott autot amugy szoftverfrissitesre hivjak...

Egyik ismerosom kocsija hajlamos volt a bal kanyarokban leallni. Szoftverfrissites utan megszunt a hiba... Meg nehany ev, es a kocsikat be sem kell vinni a szervizbe ilyen javitasokhoz, automatikusan toltik majd magukra a patch-eket a netrol:)

Hogyan lehet mar csalas, betores, gyilkossag johiszemu???

A kulcszo a gondatlansag. Aki gondatlan az lehet johiszemu, de ettol meg elitelhetik pl: gyilkossagert.

Azt ne adja az isten! :I

Nem csak az ingyenes visszahivas a lenyeges, hanem a perelhetoseg. pl: ha en a kocsim sozftverenek hibaja miatt karambolozom es nyomorek leszek, akkor sokmillio karteritesre perelheto az autogyarto. (amerikaban sokmillio$-ra.)

Fizettek mar jocskan ilyen karteritest az autogyarak. A szoftvercegek egy kanyi vasat sem.

Akkor mar inkabb lassam a kodot, es bizzak, vagy ne bizzak magamban, mint egy felelossegnelkuli ellenerdekelt felben.

Szvsz akkor lenne analóg, ha pl. az OEM telepítetteket OEM service pekkelnék. Ami ugye lehetetlen, tehát nem analóg.

Ha az autóhoz kapnék service pekket, akkor fekhetnék be a kocsi alá, szedhetném szét, rakhatnám össze, és a legközelebbi indítózásnál imádkozhatnék, hogy ne robbanjon fel, hogy ugyanúgy bevegye a kanyart, és nyitható maradjon a napfénytető.

Ha már analóg :)

Nezd, ha egy szoftver miatt meghal valaki, akkor ott azert nemcsak azt terheli felelosseg, aki irta a szoftvert, hanem azt is aki halalt okozo kornyezetben nem megbizhato szoftvert alkalmaz.

Utoljara amikor EULA-kat olvastam, szinte mindegyikben voltak olyan kizaro rendelkezesek, miszerint nem hasznalhato atomeromuben, stb...

Vagy ti most csak ugy belemkottok a johiszemuseg miatt?:) Azt hittem szoftverekrol beszelgetunk.

A Ciscoék figyeltek a biztonságra dologról jut eszembe, hogy ennek a világelső cégnek a routerei a mai napig memóriavédelem nélküli operációs rendszert (aka. IOS) futtatnak. Egy "modul" hibájával nagy eséllyel dől az egész IOS.

Vicces. PC-s analógiával a Cisco routerek DOS-t futtatnak.

Igazabol a szervizekben csak rakotnek ket kabelt es feltoltik az ujat:) Forma 1-ben mar par eve tavolrol radioval modositgattak mind a szoftvert, mind a parametereket... Elvileg ez a technologia lassan beer a felsokategorias utcai autokba. Szoval nem csak DRM/PC parostol kell felni:)

Aleph? :)

Akkor nem aleph :)

Latom, megint lavinat inditottam. Azt meg azert el akartam mondani, hogy ESR-nek nem kellene ennyire lebecsulnie a kulonbozo szoftver-minosegbiztositasi technologiakat.

Az egy dolog, hogy egy adott szoftverceg termeke sz@r. Nagyon sok ceg termeke az. Egy kicsit nagyobb koltsegvetessel azonban egy closed source termek is lehet nem sz@r (QA, formalizalas, biztonsagosabb kornyezet (pl Java-ban egy atlag programozonak nehezebb sec bug-os kodot irni, mint C-ben).

Apám rendszeresen veri a húgomat, sőt esténként meg is erőszakolja, anyámmal együtt. Megöltem apámat, hogy ne okozzon több fájdalmat a családomnak.

Nincs nálam értelmező kéziszótár, de ha belegondolom magam ebbe a helyzetbe, szerintem beszélhetünk jóhiszeműségről.

Mint mondjuk amikor megölöd azt a kutyát, aki éppen egy kisgyereket marcangol.

De lehet, hogy mást jelent nekem ez a szó, nem tudom.

Ebből is látszik, ohgy milyen _hihetetlenül_ fontos már az elején opensource-re támaszkodni. Akkor még mindegy, hogy merre indul el a dolog. Késöbb már nagyon nem!

Ha opensource alapokon lenne a rendszer, es nem lennetek megelegedve a support ceggel, akkor kirugjatok, es kerestek valaki mast.

Opensource megoldasnak van _lehetoseg_ mast keriteni!

Igazabol a BTK-ban kell megnezni, mert jogi szempontbol az ott leirt axiomakat kell alkalmazni - fuggetlenul attol, hogy az ember jozan esze mit mondana. De ez mondjuk a jogiforum.hu-ra valo tema, nem ide:) Anno amikor baratnom buntetojog vizsgara keszult ezeket a gyilkossagi reszeket eleg hosszasan magyarazta, de nem mernek emlekezetbol idezni.

Szamomra johiszemu az, amiben etikailag nem lehet kifogast talalni. Kant emberiseg eszmeisege (ami pl. a GPL-ben konkretan megjelenik, mert RMS eleg sokat olvasta Kant-ot) kifejezetten etikatlannak itel mindenfajta gyilkossagot es mas modszert amivel az emberiseget csokkented (egesz pontosan azt irja, hogy nincs jogod csokkenteni az emberiseget). Persze az apanak sincs joga artani a csaladjanak, de neked sem apadnak ha o megis art. Ehelyett a szeretetnek (Jezus es az ujszovetsegi foszabaly) es egyuttmukodesnek kell uralkodnia (itt kapcsolodik be RMS a GPL-lel).

Nagyon szep koncepcio, a gyakorlati megvalositas korul meg adodnak problemak...

Komolyan, most ennek mi a fene koze van a magyar unix portalhoz?:)

Van igazság abban amit mondasz a gond azzal van, hogy nem lehet ellenőrizni, hogy a marketing droidok által mondott dolgok közül mi igaz és mi nem az. Mondanak ők minden, _sőt_ szándékosan nem nézik meg a valódi hibáit a programnak, hogy szemrebbenés nélkül tudjanak hazudni. Egy ilyen környezetben _csak_ a nyilt forrasban lehet bízni.

Persze a független formalizált bevizsgálás se kutya, de aranyért mérik.

Egy tisztan nyilt szabvanyokra epulonek is... Ahol nincs nyilt szabvany, ott viszont a nyilt forraskod kepes teremteni egyet.

Jogászok irták, hogy a szoftverek licenszei eléggé kilógnak a többi termék licenszei közül, de amig nem hal meg valaki szoftver miatt, addig ez igy maradhat.

Ok mar varjak a dolgot, a jo kis perek miatt.

>Vagy ti most csak ugy belemkottok a johiszemuseg miatt?:)

Csak azert mert megint nincs rajtad sapka.;-)

De remelem nem bantunk meg.

Nem, kell egy kicsit visszanezni a free sw kozosseg fele, mert meg a vegen mindless marketing droid lesz belolem...;)

Ha belegondolok, hogy harmad- vagy negyedevben Uzleti etika c. ketkredites kozismereti targybol a GNU GPL-rol irtam dolgozatot...

A closed source termeket is ugy lehet ellenorizni, mint az open source-ot: csak elotte kell kerni demo licenszkulcsot:)

Fel kell telepiteni, ki kell probalni, bele kell asni magad, es akkor eleg gyorsan ra lehet jonni, hogy mi mukodik es mi nem.

A baj az, hog eleg gyakran az open source-rol is kiderul, hogy az adott feladatra alkalmatlan (nem tudom hany open source projekt management webalkalmazast probaltunk ki, mire talaltunk egy hasznalhatot).

Ne keverd az opensource-t a free softwarrel!

Attól még, hogy megkapod pl. tanulmányozásra a source-t, nem biztos, hogy jogod van pl. módosítani azt, vagy a módosított verziót használnod!

>nem tudom hany open source projekt management webalkalmazast probaltunk ki

Ti is?

Mi is.;-)

pl: johiszemuen nem fizeted be az adod...:D

ja, meg johiszemuen irok egy virust es johiszemuen feltoltom a netre...

na le lehet szallni:)

Software license error:

You will die.

:DDDDDD

Nyilván sokan is használják, de azért még tényleg hihetletlenül sok a bug. És látszik, hogy ahol lehet, "nyúlják" kódot. ntp, ssh, ezeket nem saját maguk írják és a jelek szerint még csak nem is auditálják.

Ne felejtsd el, hogy a szoftver tudomanyos irodalmi mu. Kb annyi garanciat adnak ra, mint a verseskotet tartalmara az iro:)

Vegigneztem az eredeti cikknel a hozzaszolasokat... hat erdemes volt.

Egy anon user:

"I worked for Cabletron, a Cisco competitor. Cisco hardware was never that great. It was IOS that people (unfortunately for us) that people wanted. LOTS of other companies made much better/faster/cheaper hardware, but when all the network techs are trained on Cisco, it doesn't matter. "

Masik hozzaszolas cime:

"Why not open source your bank account?"

Harmadik:

"And they have every right to keep it closed source. Such responses as "Should have been open sourced" are just plain immature. How are Open Source advocates supposed to be taken seriously when they proclaim that an answer to everything is opening up your source code. Cisco chose to keep IOS closed and that's fine with me. I was expecting a site such as NewsForge to remain proffessional; instead, author of the article makes Free Software community look like a bunch of teenagers screaming to open source everything, without regard for personal preference or business model. "

Semmi, csak előjött, hogy a jóhiszeműség és a gyilkolás nem említhető egy lapon. :)

És melyik lett az?

Vissza fogsz te még találni a "igaz hitre" ;-))))

Inkább mérnöki tervrajz....

egoupware