Új hozzászólás Aktív témák
-
joghurt
addikt
"vajon kihasználták-e az elmúlt két évben (ez utóbbiról egyelőre nincsenek adatok)." - Erre szerintem elég konkrétan hangzott el, hogy igen, az NSA már korábban is tudott róla, és használta ki örömmel. És egyáltalán nem biztos, hogy ők voltak az egyetlenek, csak nekik van akkora arcuk és hatalmuk, hogy simán bevallhatják.
A tej élet, erő, egészség.
-
joghurt
addikt
1. Még a legdrágább fizetős szoftverek gyártói is megtehetik, hogy semmi garanciát nem vállalnak semmire. Nem túlságosan sarkítva egy Windows telepítésénél olyan EULÁ-t kell elfogadnod, hogy ha egy karakteres képernyős Tetris indul csak el, azért sem reklamálhatsz.
2. Az OpenSSL egy nyílt projekt, a maga "AS IS" licencével, lelkes hobbisták által fejlesztve. Egyértelműen az ezt felhasználó cégeknél a felelősség, hiszen nekik lett volna erőforrásuk, eszközük a 4 félállású fejlesztőnél alaposabban letesztelni. És a multik hozták meg azt a döntést, hogy erre az implementációra bízzák a titkosítást. Senki nem kötelezte erre őket, fejleszthettek/vehettek volna más megoldást.
Szándékosan sarkítva: Ha én felrakok egy rutinkönyvtárat, amiről sikeresen elhitetem, hogy még kvantumszámítógépekkel is feltörhetetlen lesz, majd a teljes internet titkosítása ezen zajlik, majd kiderül, hogy végeredményben csak minden byte-ot rotáltam eggyel, kinek lesz a hibája, ha bárki megszerezhette az összes bankkártya adatát?A tej élet, erő, egészség.
-
joghurt
addikt
Valószínűleg az OpenSSL négyfős hobbiprogramozó csapatában sem fog kiemelt prémiumot kapni érte az illető.
Egyébként pedig egyáltalán nem biztos, hogy az MS-ben egy hasonló hibáért lenne szőnyeg szélére állítás. Nagyobb cégeknél ugyanis a felelősség (és a dicsőség is) eloszlik. A programozón azt kérik számon, hogy betartotta-e az elvárt gyakorlatot, a céges programozási szabályokat. Valószínűleg van főnöke, kódrevizora, akik szintén vetnek egy pillantást a munkájára. Vannak különböző szintű tesztelők - az automatizált kódteszterektől a funkcionális ellenőrzésekig. Ahhoz, hogy egy hiba kijusson élesbe, ezeken mind át kell jutnia.
A tej élet, erő, egészség.
-
joghurt
addikt
Az általad írt példában
1. sok esetben már maga a fordító ad figyelmeztetést, hogy a második ág sosem kerül végrehajtásra,
2. egy lefedettségi teszt kidobja, hogy a második ágra sosem tudsz eljutni,
3. több forráselemző program is tudja észlelni ezt az esetet, mivel direkt arra készítik fel őket, hogy a feltételeket és azok +/- 1-es környezetét próbálgassák ki [a > vs >= hibák kiszúrására].És hiába kerülnek sokba a tesztelő eszközök, még mindig olcsóbbak, mint a lehetséges következmények ára (ld. a jelen esetet is). Ha semmit nem loptak el, semmi sem zuhant le, akkor is kb. tízszer annyiba kerül a cégnek egy hiba, ha kikerül az ügyfelekhez, mint ha bétateszten sikerült megtalálni. És még egy nagyságrenddel olcsóbb, ha még házon belül sikerül megfogni. Egy újabb nagyságrend a különbség a költségekben, ha még az automatizált teszt hozza ki a hibát, a tesztverzió legyártása előtt.
A tej élet, erő, egészség.
Új hozzászólás Aktív témák
it A nyílt projektben dolgozó német fejlesztő tagadja a szándékosságot, és egyszerű programozási hibáról beszél.
