Új hozzászólás Aktív témák
-
vicze
félisten
Csak hogy az MS-t is védjem végre hivatásból.
Nem igazán lehet időhöz kötni, hogy mennyi idő alatt tudsz javítani egy bugot, mert estlegesen a hiba javítása olyan bonyolultságú, ami 90napba nem fér bele. Pl. sok ráépülő dolgot megborít, így mindent ami rá épül patchelni kell.
Ezért nincs az Oracle-be 10éve javítva pár (biztonsági)hiba, van workaround van csak. Meg ezért jön a Java-hoz 120 hibajavítás egyszerre.Szerintem a 90nap ok, MS tegyen ki workaround-ot és le van tudva.
@DaveJr: Ja hogy te most egy nyamvadt trandmark-ról beszélsz? ehhhh
Az Android TM valóban a Google tulajdona. De mi köze egy logónak, a forráskódhoz? Döntsd el légy szíves miről beszélsz.[ Szerkesztve ]
-
nagyúr
Lehet, hogy hanyagsag, de
- te nem tudod, hogy a fix mennyire komplikalt (az, hogy 60 nap sok vagy keves, az teljesen relativ, ezt, mint fejleszto, muszaj tudnod, kicsit hipokritanak erzem, hogy annyit mondasz, hogy 53 munkanap az sok es kesz)
- desktopokra deployolni sokkal bonyolultabb, mint akar telefonokra. Ennek reszben az az oka, ahogy a Windows felepul, evtizedes orokseget hurcolva magaval -- Windows Modern Appokat patchelni trivialisan egyszeru, asztali Windowst nem annyira.
- nyilvan ezerszer vegiggondoltak, hogy a patch kedd az miert epp ugy megy, ahogy; es nem eleg, hogy ok mast akarnak, tobb szazmillio geprol van szoSzoval pl. a Google-nel egy Heartbleed fixet kitolni trivialisan egyszeru egy Windows patchez kepest, mert a sajat, kezbentartott infrastrukturajukrol van szo. Nyilvan az MS se tokolne ennyit, ha a sajat belso Windows installacioit kellene megpeccselni.
En azt gondolom, hogy ha 2 napot kertek, es a Google leszarta, az konkret szivatas. Amivel nincs baj, csak az userek is szophatnak miatta egy jot.
while (!sleep) sheep++;
-
-
vicze
félisten
Egyik se suttyó.
A Google tiszta szabályokkal játszott 90nap után nyilvánosságra hozzák az adott hibát. Ezt én értelmesebbnek tartom, és üdvözölendőbb összességben, mint hogy homokba dugjuk a fejünk és 1-1,5évet ülünk, 1-1 biztonsági hibán, ahogy MS tette az IE esetében nem rég, vagy Apple kussolt inkább az iCloud hibáról. A intern disclosure szart se ér, mert csak struccpolitika semmi más. Ezt csinálja a HP, az Oracle, az IBM és még sokan mások, inkább megfenyegetik a hiba bejelentőjét, minthogy a hibával foglalkoznának. Közvetve az MS nyígása is ez. Azzal nem megyünk semmire, ha tökig van minden 0-day-ekkel.
Mellesleg a Google azóta közölt még egy hibát, ami ehhez kapcsolódik.
Inkább legyen nyilvános és ismerd a kockázatokat, esetleg védekezni tudj ellene, javítás nélkül is, minthogy ott ketyegjen a 0-day észrevétlenül...Az MS se suttyó, pusztán tehetetlen(feltételezem) és próbálja védeni a cég érdekeit, teljesen érthető, de jelen esetben nem értek vele egyet.
Mind a két dologgal lehet vitatkozni és értem az ellenérveket ellenük, de ez a személyes véleményem.
[ Szerkesztve ]
-
vicze
félisten
Mondom ez a 90nap semmi, voltak és valószínű vannak is sokkal öregebbek. Mivel nem lehet tudni, hogy a keddi foltozásokat mikor jelentették, csak aha az illető nyilvánosságra hozhatja. Magánszemély többnyire nem kockáztat, mert csúnyán meg tudják fenyegetni a cégek, vagy esetleg aláíratnak vele titoktartást pénzért.
Google könnyebben van, őket ilyen apróságok nem érintik, ez a célja az egész Project Zero-nak, hogy nyomást tudjanak gyakorolni a cégekre.Ha beleolvasol, a Project Zero blogba láthatod, hogy rengeteg hibát jelentettek már MS felé, és eddig mind időn belül javítva lett. Ez az első eset hogy nem sikerült, és egyből indult a nyígás MS oldaláról, pedig 1éve együtt működnek, szóval elég pontosan ismerik a feltételeket...
Próbálom védeni MS-t is hivatalból, de most nem megy túl jól.
[ Szerkesztve ]