Új hozzászólás Aktív témák
-
felhasználói inputnál hosszt nem ellenőrizni elég barbár hiba...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz mekka_kola #19 üzenetére
Azt, hogy a geribátyó féle általánosítást téves általánosításnak tartod, elfogadom.
De: ettől a tény még tény marad, ez a fickó alapvető programozási hibát vétett. Ez minimum akkora, vagy még nagyobb, mintha egy taxis mindig lendületből menne át a kereszteződéseken, függetlenül attól, hogy piros-e a lámpa vagy sem. Persze, nem halt meg senki (még...), viszont akár emberi életek is tönkremehetnek adatszivárgás miatt.
(#20) Psych0: "a szándékos/nem szándékos cirkuszt csakis azért lehet megtenni, mert ez egy opensource projekt": tévedés, a szándékosságot zárt forrású programok esetén is fel lehet vetni, a snowden akták szerint az ms is hagyott benne bugokat a windowsban, az pedig zárt forrású.
"azokban általában fel sem merül a szándékosság": de, felmerült.
"amiben felelőssé teszik a programozót a hiba miatt": ne már, ilyen fontos szoftvert fejleszt, de nem felelős semmiért? jogász vagy-e?
"Úgy érzem, hogy ez az ügy kezd boszorkányüldözésbe menni, pedig nekem pont példaértékű a gyors reagálás, és a nyíltság miatt átlátható szituáció.": nem, ez balféküldözés. a gyors reagálás az csak a mocsok feltakarítása, ettől még az, aki odapiszkolt, felelős. akkor lenne boszorkányüldözés, ha hiedelmek meg mítoszok alapján alaptalanul üldöznék.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
"Nem mindig, egyszer": a felhasználói input hanyag kezelése és hanyag "sanitizálása" a helyes programozói stílus hiányára utal, vagyis ez alapján azt kell feltételezni, hogy máskor is követett már el ilyen hibát, csak még nem derült ki.
"mégse felelős érte a netszolgáltató.": én, mint csajágaröcsögei netszolgáltató, ha hibázok, nem borítom össze a fél világot. ezért van az, hogy az az ember, aki mucsajpuszta-külsőn csótányokat pusztít rálépéses módszerrel, más elbírálás alá esik, mint az a figura, aki az amcsi elnök után szaladgál a labdának csúfot kofferrel, amiben a bazinagy piros gomb van.
"Kérlek magyarázd meg pontosan milyen felelőssége van.": nem, neked kellene megmagyarázni, hogy miért gondolod, hogy *semmilyen* felelőssége sincs. Az a paragrafus, amit nem tudtál lefordítani, csak a jogi felelősséget zárja ki (az meg külön vita téma lehetne, hogy helyes-e), például az erkölcsit nem. Ha nem lenne felelőssége egy open source programozónak, ész nélkül tákolhatná a kódot, és tehetne rá magasról, hogy milyen.
nem tudom, ez volt-e már.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
nézzük másik oldalról:
1. tényleg abszolúte semmi felelőssége sincs: akkor meghúzza a vállát és minden változatlanul megy tovább.
2. azért valami felelőssége mégiscsak van (amit te el sem tudsz képzelni a digitális nézőpontodból):
- elgondolkodik, hogy mit csinált, és abban mi volt a hiba
- megígéri, hogy ezentúl gondosabb lesz.
- egy életre megjegyzi, hogy azt a tetves inputot sanitizálni kell és ezentúl meg is teszi
- az ellenőrző funkciót betöltők elgondolkodnak, hogy mit kellene tenni, hogy legalább ezt az egy fajta típushibát érdemben szűrjékstb. akármennyire is erőlteted, téves az az elképzelés, hogy csak kétféle felelősségi szint létezhet: a nulla meg a totális. a licensz pedig csak a jogi felelősségre vonás ellen véd, az opensource közösség kiveti magából, ha a fentebb emlegetett erkölcsi felelősséget nem vállalja, illetve nem tesz azért, hogy máskor ilyen ne forduljon elő.
tehát mégegyszer: már az is a felelősség elismerése, vállalása, ha segít kitakarítani a szemetet és az eset hatására javít a programozási stílusán.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Azt állítod, hogy nincs felelőssége a programozónak. Ezek után hozzáteszed, hogy jogi értelemben. Ezzel a kiegészítéssel módosítottad a jelentéstartalmat, és nem zártad ki a más értelmű felelősséget. Ezek után ezt mondod, hogy: "de te előhozakodsz ilyen mondvacsinált erkölcsi, meg anyámtudja milyen felelősséggel", mely szerint nincs erkölcsi felelőssége sem.
el tudod végre dönteni, hogy mit akarsz mondani?
"Miért kell mindig keresztre feszíteni valakit? Akkor megoldódik a probléma?": ki mit tekint problémának. az lehet a probléma, hogy hiba volt a programban. Ez a probléma objektív okok miatt már soha nem oldható meg (nem lehet meg nem történtté tenni a hibát). Ami ilyenkor számít, hogy tesznek-e valamit azért, hogy a hiba többet ne forduljon elő? Számomra ez a valódi hiba, aminek az okozója a rossz programozási stílus. Ezért igenis lehet számonkérni, mégha az általatok emlegetett keresztre feszítés költői túlzás is.
"Egyébként senkit sem köteleznek, hogy opensource programot használjon": mint ahogy arra sem köteleznek, hogy opensource program fejlesztésében részt vegyen. ha már kiad/kiadsz valami melót a kezedből, lehetnél annyira igényes, hogy azt rendesen megcsinálod. és ebben a tekintetben teljesen mindegy, mi az a munka, openssl libet fejlesztettél vagy letakarítottad a havat a házad előtti járdaszakaszról. abban a pillanatban, hogy elfogadjuk azt a teljesen kinyakatekert érvelést, hogy bármit csinálhat egy programozó, pontosan nulla felelőssége van, abban a pillanatban a teljes opensource mehet a kukába. de az sem kizárt, hogy a pénzesek is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
mert a felelősség az bővebb halmaz, mint a garancia.
(#41) azbest: volt már ilyenre példa a világtörténelemben, az auditor plecsni arra jó, hogy a céges vezetők áttolják a felelősséget másra.
(#45) Kormi76: a teljesen magánügyedtől függ egy csomó adatod épsége. szóval nem magánügy. ha valóban magánügy lenne, akkor most egy csomó helyen nem kellene feltakarítani a kiborult bilit.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ne kamuzz, ennyire nem jó a windows...
de azért megkérdezném: attól, hogy az ms-t nem felel gyakorlatilag egy dolgot leszámítva semmiért (igen, azon kevesek közé tartozom, akik olvasták a win eula-ját), ha elkövetnek valami brutális hibát, házon belül nincs szőnyeg szélére állítás?
egyébként jó ez a thread, most már szinte pontosan tudom, hogy:
1. ki a programozó
2. ki az, aki, ha nem is programozó, fenékbe rúgják, ha egy programban hibázik.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
"sem fog kiemelt prémiumot kapni érte az illető.": akkor mégiscsak volt felelőssége, vagy elismerte magától, vagy ráverik...
"Egyébként pedig egyáltalán nem biztos, hogy az MS-ben egy hasonló hibáért lenne szőnyeg szélére állítás." vs. "A programozón azt kérik számon, hogy betartotta-e az elvárt gyakorlatot, a céges programozási szabályokat.": ez a két mondat önmagában mind igaz, csak nem azt a következtetést lehet levonni belőle, amit írtál, írtatok.
azok után, hogy a windowst több, mint 20 éve bombázzák mindenféle vírussal, malware-val meg a többi állattal, biztosan van valami coding style szabályzat, ebben egyetértünk. abban is biztos vagyok, hogy az is azzal kezdődik, mint minden normálisabb programozási kurzus, hogy c-ben nem használunk alap stringfüggvényeket, csak az n-es verzióit. azt sem hiszem, hogy egy coding style előírás ne foglalkozna a paraméterként átvett stringek hosszával. ez a fickó ezt az alapvető szabályt rontotta el, amit már ősi albán programozók se követnek el.
ez a probléma magja.
és lehet itt heteken át falra hányni a borsót, meg csűrni-csavarni jobbról-balra, előre-hátra, hogy mit csinált most, engem mindez csak nagyon szőrmentén érdekel, vagy úgy se. engem kizárólag az érdekel, hogy mitől lehetek biztos benne, hogy ugyanebbe a hibaosztályba tartozó hibát nem követnek el mégegyszer. vagy legalább ez a faszi nem csinál ekkora baromságot mégegyszer. csak a jövő érdekel, a múltat benyeltük. és ezen a ponton kerül elő, hogy milyen a hozzáállása, érez-e lelkiismeret-furdalást vagy felelősséget és megteszi a szükséges intézkedéseket vagy sem.
ezen a ponton válik el egyébként a jogi felelősség meg az erkölcsi, jogilag csak azt lehetne leverni rajta, ami már megtörtént (ha a licensz engedné, de ez most másodlagos), erkölcsileg meg azt, amit a jövőben tenni fog.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
szerencsére nem vagyok infós. villanytanos se, azt kicsit bánom.
valószínűleg neked meg valami ilyen háttered lehet, de legalábbis biztosan nem vagy magyarszakos, ellenkező esetben értetted volna, hogy nem a programozási hibákról beszéltem általában, hanem egy, konkrét hibáról, melyben a stringek hosszának megfelelő ellenőrzését elfelejtik. ez egy olyan osztálya a hibáknak, amelyet triviális ellenőrizni. például eleresztesz egy find . -type f | xargs grep strcpy utasítást, és ha ad találatot, akkor van hibád, ha nincs, akkor ezen hibaosztály egyik alosztályát kiszűrted.
ez csak egy példa volt, a többit ugyanígy, illetve automatizált penntesttel ki lehet szűrni. és még mindig csak erről az egy hibaosztályról beszélek.
"coding style meg szep es jo, de altalanos esetben hibak ellen nem ved": megint csak azt kell mondanom, hogy nem beszéltem általános esetbeli hibákról. ezzel szemben a buffer overrun típusú, paraméter hossz ellenőrzési hiba miatti exploitokkal tele van a napozóm, mert ezek legalább húsz éve ismert hiba-fajták és mégse csináltak velük semmit?
a threadre visszatérve: tényleg akkora baromi nagy probléma, hogy én örülnék egy olyan mondatnak a faszi szájából, hogy ezentúl ellenőrzöm a stringek hosszát? nem pénzt (kártérítést) akarok tőle, nem akarok kötelet a nyakába, ezt a rohadt tetves mondatot szeretnék hallani tőle, ha már mélytorokra tolta az egész világot.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
höhö, úgy látszik, a fejlesztők is hasonló gondolkodásúak, mint én, mert nekiálltak nagytakarítani.
[link] ilyenkor megnyugszom kicsit, hogy akik ezeket a teljesen kinyakatekert véleményeket írták, csak kibicek, a nagyon veszélyes emberek (v.ö.: kiscsibe root jelszóval) még tartják a nívót.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-