Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL

[megahead13]

Το θέμα για μένα δεν είναι τι μπορείς και τι δεν μπορείς ! Το θέμα είναι τι γίνετε στην πραγματικότητα ! Τα πάντα κρίνονται εκ το αποτελέσματος στον κόσμο που ζούμε ! Το γεγονός ότι τον κώδικα π.χ του OpenSSL μπορεί ο καθένας να τον διαβάσει και βρεί λάθη ή "λάθη" δεν προστάτεψε τελικά τον τελικό χρήστη από το να μην εκτεθεί στο bug του HeartBleed ή στην ύπαρξη του bug που συζητάμε ! Ο χρόνος απόκρισης του να βγεί pactch γενικά είναι ανάλογος με τον χρόνο από κάνουνε αντίστοιχα και μεγάλες εταιρίες κλειστού κώδικά και σοβαρές εταιρίες !

Και άμα ξέρεις εσύ ως τελικός χρήστης τον προγραμματιστή που το έκανε τι θα τον κάνεις ? Λές και το έκανε επίτηδες ....Ακομα και σκόπιμα να το έκανε κάποιος τον πλήρωσε και πίστεψε με είναι έτοιμος ακόμα και να "καεί". Αλλά δεν είναι εκεί το πρόβλημα μου !! Η έννοια της τιμωρίας του φταίχτη είναι θέμα της ομάδας που ελέγχει ή παράγει το project ! Οχι θέμα του χρήστη !

Για μένα πάντως είτε κλειστό είτε ανοικτό είναι να υπάρχουν αρχικά και να τηρούνται οι διαδικασίες ώστε να βρίσκονται και να διοθρώνονται bugs !
Λόγω επαγγέλματος γράφω κώδικα και τις αντίστοιχες διαδικασίες στην ομάδα μου τις τηρώ ! Αλλά δεν είναι όλοι έτσι ! Εκεί είναι το θέμα !

Ε δε νομίζω! Όταν για παράδειγμα σε πολύ σοβαρά bugs η μικρομαλακή λέει "το fix θα γίνει release την patch Tuesday και κόψτε το λαιμό σας", ενώ η κοινότητα ανταποκρίνεται στην πλειονότητα των περιπτώσεων άμεσα, νομίζω ότι δεν ισχύει το υπογραμμισμένο

[DVader]

Γνωρίζεις τότε πως όταν είναι κλειστό το πρόγραμμα σου είναι αδύνατον ή τουλάχιστον δύσκολο να μάθεις για τυχόν κενά.
Άρα τα κενά που υπάρχουν δεν βρίσκονται παρά μόνο από εκείνους που ήδη ενδιαφέρονται να τα βρουν και να τα χρησιμοποιήσουν.
Έτσι στο μέλλον ένα κλειστό σύστημα θα περιέχει περισσότερα λάθη

Κρίνεις από 2 λάθη στα Χ χρόνια εκ των οποίων το 1 ήταν όντως μεγάλο πρόβλημα, ενώ δεν μας λες για το πόσα λάθη έχουν βρεθεί στο κώδικα των κλειστών.

Οχι δεν κρίνω ! Απλά λέω όσο πιθανό σε μια εταιρεία κλειστού κώδικά να μην υπάρχει καμία διαδικασία ελέγχου και ασφαλείας τόσο πιθανό είναι και για ανοικτού κωδικά project ! Επαφίεσε και στις δύο περιπτώσεις στο τι κάνουν οι ομάδες ανάπτυξης ! Απλά λέω ότι έχοντας την δυνατότητα να διαβάσεις τον κώδικα πρακτικά κανείς δεν το έκανε ποτέ και δεν το κάνει !! Ενα bug που υπήρχε από την αρχική σχδεόν έκδοση βρέθηκε 10 χρόνια μετά ! Απλά λέω ότι ναι εχεις

Σε αντίθεση με ένα κλειστο θα μπορούσε να είχε βρεθεί αν η εταιρεία έψαχνε λίγο τον κώδικα από πλευράς ασφάλειας ! Δεν επαφιόταν στην τύχη !

Εσύ πόσες φορές έχεις διαβάσει τον κώδικα του Linux kernel και τον έχεις κατανοήσει σε βάθος π.χ ?

- - - Updated - - -

Ε δε νομίζω! Όταν για παράδειγμα σε πολύ σοβαρά bugs η μικρομαλακή λέει "το fix θα γίνει release την patch Tuesday και κόψτε το λαιμό σας", ενώ η κοινότητα ανταποκρίνεται στην πλειονότητα των περιπτώσεων άμεσα, νομίζω ότι δεν ισχύει το υπογραμμισμένο

Δεν μιλάω για την Microsoft ! Μιλάω για όλες τις εταιρίες παραγογής λογισμικού ακόμα και ελληνικές ! Δεν είπα ότι όλες οι εταιρείς είναι τέλειες και άγιες !

- - - Updated - - -

Εχω πάρει patch από Ρουμάνικη εταιρεία για module σε web εφαρμογή σε 4 ώρες για σοβαρό θέμα που είχαν !!
Εξαρτάτε από το πόσο σεβονται τον εαυτό τους και την φήμη τους ! Για μένα η Microsoft δεν σέβεται την φήμη της σε πολλά πράγματα ! Απλά έχει καβαλήσει το καλάμι !

[konenas]

Οχι δεν κρίνω ! Απλά λέω όσο πιθανό σε μια εταιρεία κλειστού κώδικά να μην υπάρχει καμία διαδικασία ελέγχου και ασφαλείας τόσο πιθανό είναι και για ανοικτού κωδικά project ! Επαφίεσε και στις δύο περιπτώσεις στο τι κάνουν οι ομάδες ανάπτυξης ! Απλά λέω ότι έχοντας την δυνατότητα να διαβάσεις τον κώδικα πρακτικά κανείς δεν το έκανε ποτέ και δεν το κάνει !! Ενα bug που υπήρχε από την αρχική σχδεόν έκδοση βρέθηκε 10 χρόνια μετά ! Απλά λέω ότι ναι εχεις

Σε αντίθεση με ένα κλειστο θα μπορούσε να είχε βρεθεί αν η εταιρεία έψαχνε λίγο τον κώδικα από πλευράς ασφάλειας ! Δεν επαφιόταν στην τύχη !

Εσύ πόσες φορές έχεις διαβάσει τον κώδικα του Linux kernel και τον έχεις κατανοήσει σε βάθος π.χ ?

Όλο τον kernel ??? Θα ήμουνα ο Torvalds!!!
Έχω διαβάσει μερικά σημεία του όμως που έπρεπε να αλλάξω παλαιότερα.
Να σου πω την αλήθεια μου δεν έψαξα ποτέ για λάθη στον κώδικα.
Νομίζω όμως και να με διορθώσεις αν έχω άδικο, πως ψάχνουν ερευνητές για τέτοια θέματα συνέχεια.
Ο λόγος που βρήκαν το λάθος ήταν αυτός.

Ενώ στα κλειστά συστήματα οι εταιρίες δεν ψάχνουν παλαιότερο κώδικα ποτέ, παρά μόνο αν το πιάσει κανείς έξω. Τουλάχιστον όσες ξέρω και είναι πολλές.

[DVader]

Όλο τον kernel ??? Θα ήμουνα ο Torvalds!!!
Έχω διαβάσει μερικά σημεία του όμως που έπρεπε να αλλάξω παλαιότερα.
Να σου πω την αλήθεια μου δεν έψαξα ποτέ για λάθη στον κώδικα.
Νομίζω όμως και να με διορθώσεις αν έχω άδικο, πως ψάχνουν ερευνητές για τέτοια θέματα συνέχεια.
Ο λόγος που βρήκαν το λάθος ήταν αυτός.

Ενώ στα κλειστά συστήματα οι εταιρίες δεν ψάχνουν παλαιότερο κώδικα ποτέ, παρά μόνο αν το πιάσει κανείς έξω. Τουλάχιστον όσες ξέρω και είναι πολλές.

Α ! Γειά σου !!!

Άρα λοιπόν δεν ξέρεις λοιπόν προσωπικά εσύ αν είναι ασφαλής ή όχι ο kernel που μόλις κατέβασες !
Οι ερευνητές ψάχνουν τόσο τα κλειστά όσο και τα ανοικτά ! Ψάχνουν και τα δύο ! Απλά στα κλειστά πάνε με reverse ... άρα δυσχερένετε το εργό του ! Δεν σημαίνει ότι είναι ανέφυκτο ! Από την άλλη η οι εταιρίες έχουν στην δουλεψή τους τέτοιους ερευνητές !

I rest my case !

ΥΓ: Για μένα είναι τελικά ή αίσθηηση που έχεις για την ασφάλεια επειδή μπορείς να διαβάσεις τον κώδικα ...Οχι ότι το κάνεις ώστε να βρείς τι είναι λάθος και να το αλλάξεις για την δικιά σου ασφάλεια και να βοηθήσεις ! Δεν έννοω προσωπικά εσένα αλλά το γενικό σύνολο !

[konenas]

Α ! Γειά σου !!!

Άρα λοιπόν δεν ξέρεις λοιπόν προσωπικά εσύ αν είναι ασφαλής ή όχι ο kernel που μόλις κατέβασες !
Οι ερευνητές ψάχνουν τόσο τα κλειστά όσο και τα ανοικτά ! Ψάχνουν και τα δύο ! Απλά στα κλειστά πάνε με reverse ... άρα δυσχερένετε το εργό του ! Δεν σημαίνει ότι είναι ανέφυκτο ! Από την άλλη η οι εταιρίες έχουν στην δουλεψή τους τέτοιους ερευνητές !

I rest my case !

ΥΓ: Για μένα είναι τελικά ή αίσθηηση που έχεις για την ασφάλεια επειδή μπορείς να διαβάσεις τον κώδικα ...Οχι ότι το κάνεις ώστε να βρείς τι είναι λάθος και να το αλλάξεις για την δικιά σου ασφάλεια και να βοηθήσεις ! Δεν έννοω προσωπικά εσένα αλλά το γενικό σύνολο !

α) Βέβαια και δεν είμαι. Δεν έχω καν τον χρόνο να το εξετάσω.

β) Είσαι σίγουρος πως έχουν; Είναι πανάκριβοι.

Μόνος σου είπες πως η Μ$ τα έχει χάσει. Τι περιμένεις λοιπόν όταν το τάδε πρόγραμμα τρέχει σε Μ$WIN να είναι ασφαλές;

I rest my case, too.

[DVader]

α) Βέβαια και δεν είμαι. Δεν έχω καν τον χρόνο να το εξετάσω.

β) Είσαι σίγουρος πως έχουν; Είναι πανάκριβοι.

Μόνος σου είπες πως η Μ$ τα έχει χάσει. Τι περιμένεις λοιπόν όταν το τάδε πρόγραμμα τρέχει σε Μ$WIN να είναι ασφαλές;

I rest my case, too.

Πότε είπα ότι η Microsoft τα έχει χάσει ? Εϊπα απλά έχουν ερευνητές ....και αυτό δεν σημαίνει ότι τα έχει χάσει ... Και 2ον μόνος μου βγάζεις συμπεράσματα !

Παρεπιπτόνος βρήκα αυτό και μάλιστα συμμετέχει και κάποιος Δανέζης Ελληνας δηλαδή ! Δεν είναι ακριβώς αυτό που ήθελα βέβαια !

[konenas]

Οχι δεν κρίνω ! Απλά λέω όσο πιθανό σε μια εταιρεία κλειστού κώδικά να μην υπάρχει καμία διαδικασία ελέγχου και ασφαλείας τόσο πιθανό είναι και για ανοικτού κωδικά project ! Επαφίεσε και στις δύο περιπτώσεις στο τι κάνουν οι ομάδες ανάπτυξης ! Απλά λέω ότι έχοντας την δυνατότητα να διαβάσεις τον κώδικα πρακτικά κανείς δεν το έκανε ποτέ και δεν το κάνει !! Ενα bug που υπήρχε από την αρχική σχδεόν έκδοση βρέθηκε 10 χρόνια μετά ! Απλά λέω ότι ναι εχεις

Σε αντίθεση με ένα κλειστο θα μπορούσε να είχε βρεθεί αν η εταιρεία έψαχνε λίγο τον κώδικα από πλευράς ασφάλειας ! Δεν επαφιόταν στην τύχη !

Εσύ πόσες φορές έχεις διαβάσει τον κώδικα του Linux kernel και τον έχεις κατανοήσει σε βάθος π.χ ?

- - - Updated - - -



Δεν μιλάω για την Microsoft ! Μιλάω για όλες τις εταιρίες παραγογής λογισμικού ακόμα και ελληνικές ! Δεν είπα ότι όλες οι εταιρείς είναι τέλειες και άγιες !

- - - Updated - - -

Εχω πάρει patch από Ρουμάνικη εταιρεία για module σε web εφαρμογή σε 4 ώρες για σοβαρό θέμα που είχαν !!
Εξαρτάτε από το πόσο σεβονται τον εαυτό τους και την φήμη τους ! Για μένα η Microsoft δεν σέβεται την φήμη της σε πολλά πράγματα ! Απλά έχει καβαλήσει το καλάμι !

/

[DVader]

/

Αναφερόμουν στο γεγονός κυρίως ότι εκμεταλεύετε την κύριαρχη θέση της στα θέματα των updates και σε άλλα πολλά εμπορικά. Δεν είπα ότι έχει χάσει όμως και ότι το λογισμικό που παράγει είναι ανασφαλές ! Μην προσπαθείς από τις φράσεις που λέει ο άλλος να βγάλεις αυτό θέλεις...

Ειλικρινά πιστεύώ η αλήθεια είναι κάπου στην μέση πάντως και αυτό υποστηρίζω από την αρχή !

[konenas]

Αναφερόμουν στο γεγονός κυρίως ότι εκμεταλεύετε την κύριαρχη θέση της στα θέματα των updates και σε άλλα πολλά εμπορικά. Δεν είπα ότι έχει χάσει όμως και ότι το λογισμικό που παράγει είναι ανασφαλές ! Μην προσπαθείς από τις φράσεις που λέει ο άλλος να βγάλεις αυτό θέλεις...

Ειλικρινά πιστεύώ η αλήθεια είναι κάπου στην μέση πάντως και αυτό υποστηρίζω από την αρχή !

Για μένα η Microsoft δεν σέβεται την φήμη της σε πολλά πράγματα ! Απλά έχει καβαλήσει το καλάμι !

Εσύ ξέρεις τι εννοούσες, αλλά εγώ είδα αυτό που έγραψες, δεν προσπαθώ να βγάλω κάτι. Το λάθος είναι δικό σου που δεν το ξεκαθάρισες εξ' αρχής. Δεν ήσουν σαφής.

Το αν πιστεύεις πως η αλήθεια είναι στη μέση δεν μπορώ να πω τίποτα άλλο, παρά ότι εγώ δεν πιστεύω σε τίποτα.

[DVader]

Εσύ ξέρεις τι εννοούσες, αλλά εγώ είδα αυτό που έγραψες, δεν προσπαθώ να βγάλω κάτι. Το λάθος είναι δικό σου που δεν το ξεκαθάρισες εξ' αρχής. Δεν ήσουν σαφής.

Το αν πιστεύεις πως η αλήθεια είναι στη μέση δεν μπορώ να πω τίποτα άλλο, παρά ότι εγώ δεν πιστεύω σε τίποτα.

Το "σε πολλά" δεν σημαίνει "σε όλα" όπως το ερνημεύεις εσύ ! Εγώ είμουν ξεκάθαρος πάντως !

- - - Updated - - -

Ελληνικά δεν έχω ξεχάσει ακόμα τουλάχιστον !

[Helene]

Ευτυχώς οι τράπεζες δεν χρησιμοποιούν Openssl

ΑΥτό έψαχνα να διαβάσω στα σχόλια... θενξ!