Új hozzászólás Aktív témák
-
floatr
veterán
Vajon mennyi potenciális bugra derülne fény idejekorán, ha az exploder forrását megnyitnák, és azt is szabadon elemezgethetné bárki, mint az imént említett firefoxos eset.
Egyébként lenne meglepődés sok alkalmazással kapcsolatban, ha végignézné az ember a forrást néhány általános statikus kódelemzővel.
Télleg: az miért rendkívüli javítás, ha egy felfedezett bugra igyekeznek mielőbb válaszolni?????
[ Szerkesztve ]
-
floatr
veterán
-
floatr
veterán
A cikkhez látom szorosan kapcsolódik
Az az általános megállapítás, hogy az egyes verziókkal párhuzamosan futó exploderekhez képest gyors, és biztonságos alternatíva, az már csak amiatt is önmagában megállja a helyét, mert a problémák java főként az exploderen keresztül végrehajtott támadásokhoz köthető. De ez csak az általános állításodra válasz.
A konkrétumokkal kapcsolatosan, beleolvastam az egyik linkbe, amely szerint "A Firefox a legsebezhetőbb Windows-alkalmazás", és a cikk végén egy vicces megjegyzést találtam, hogyaszongya "a cég többek között sem a Windows, sem maga az Internet Explorer vagy a Microsoft Office sebezhetőségeit sem vizsgálta". Ez így ebben a formában engem nagyjából erre emlékeztet
-
floatr
veterán
válasz Gregorius #24 üzenetére
"a Windows 2000 forráskódjának jelentős része elérhetővé vált egy hanyag partner miatt. És lett belőle bug-özön? Nem. Nem lett semmi." -- Öröm és boldogság. Összehasonlításképpen annyi, hogy a kifogásolt firefox problémái a forrás nyíltságából adódóan jellemző módon még alfa/béta állapotban kerültek a nyilvánosságra, és nem mondjuk 5 évvel később szivárogtatták ki a forrást.
"olyan jegyzettömbnél bonyolultabb production szoftvert még nem láttam, ami nem okozott krónikus csuklást egy statikus kódelemzőnek." -- Arra gondolsz h lehetetlen volna, vagy hogy mindegyikben rengeteg lenne a hiba??
"A rendkívüli jelen esetben azt jelenti: eltérnek a szokásos házirendtől és a megszokott havi frissítési cikluson kívül adják ki a javítást." -- szvsz gáz rendkívülinek titulálni egy sürgős javítást. Ez lenne a normális
"Lásd fentebb. Aki ért hozzá, annak nem sokat számít, hogy van-e hozzá forráskód, vagy nincs." -- a nyílt fejlesztési modellben több fejlesztői tesztet tudnak végezni, míg zárt modellesetében jobbára csak felhasználói teszteket lehet végezni. Ez inkább a tesztelésről, és a reagálásról szól, mint a crackelésről.
-
floatr
veterán
válasz Gregorius #28 üzenetére
Azt nem nevezném illúziónak, hogy inkább azt használja az ember, ami kevésbé kockázatos. Egyébként a kockázatosság statisztikával szépen mérhető
"Akkor minden bizonyára azt is elolvastad, hogy azért, mert van hozzá központi automatikus frissítő szolgáltatás." -- az indoklást én sem értettem, mert egyébként van update mechanizmusa, viszont a vizsgálat szempontjából a lényeg annyi, hogy kivették belőle a ms szoftvereket bárakármilyen okból kifolyólag, így az összehasonlítás necces. Valaki csak megvilágítja...
-
floatr
veterán
válasz Gregorius #33 üzenetére
"a kikerült forrás semmin nem változtatott. Nem találtak tőle egy darabbal több hibát sem." -- erre próbáltam célozni azzal, h utólag, részben és évekkel később. Volt pár évük rá h mindenre rátaláljanak, meg a részleges forrással kitudja ki mennyire strapálta magát. Nyitott forrás esetén sok mazochista nekiesik önszántából is kódot nyálazni, és ha unit teszteket nem is hajt végre, de célzott blackboxot igen.
"az FF3 végleges változatában nem a béta fázisban, hanem a kiadás napján került elő kritikus biztonsági probléma." -- sőt olyan is volt, amikor a patch egy másik hibát csinált, és másnap jött a következő patch. Ettől függetlenül a teljesen saját empírikus módszeremmel úgy láttam, hogy az ie jóval nagyobb biztonsági kockázatot jelent, mint a ff. Vess meg. Exploderrel már szívtam be hijack-et, és szimplább malware-eket, a durvábbak tudtommal koppantak a vírusirtón, míg a tüzessel eddig egy exploit jött volna be, de mint később kiderült, azt is ie-re írták, csak az irtón megakadt az is töltéskor.
"Arra gondolok, hogy nincs hibátlan szoftver, és ha mégis, a statikus kódelemzők rendszerint rengeteg hamis-pozitív eredményt adnak." -- na így már világosabb mire gondoltál. Néha kódreviewnál beleszagolok néhány elemzővel viszonylag nagyobb rendszerekbe, és súlyos vagy közepesen súlyos hibaminták esetében nem emlékszem fals riasztásra, max warning jellegű pontokban volt inkább kukacoskodás a tevékenysége. Persze ez sem a Megoldás, de egy lehetőséggel több, mint a semmi.
"Különösen egy frissen kiadott termék esetén, amelyiknek még nincs releváns előélete." -- a chrome-ra is elég sokan ráugrottak először -- hype-ból, viszont a firefox nem egy nap alatt tornázta fel magát. Egyébként a 7es előtti időszakban a ms elég sok időt adott a felhasználóknak, hogy összeszámolgassák a hibákat...
"Apopó, e mentén a logika mentén miért nem használnak jóval többen Operát?" -- jó kérdés, én azt használok. A legtöbb ie felhasználó vszeg lusta/tudatlan, a ff felhasználóknál divat/tudatoskodás játszik, a chrome-nál csak a divatra tudok gondolni, az opera meg valahogy alulmarad
"központosítottan menedzselhető update mechanizmus kell." -- pff a dolgon nem változtat, hogy a hivatkozott cikkben taglalt "tény" durvanagy csúsztatás, max a trollok etetésére jó
-
floatr
veterán
válasz Gregorius #37 üzenetére
Ezt a .NET/Mono vonalat én sem vágom miért kellett idetolni, de ha megnézed, a projekt sokáig magánban vegzált pár fejlesztő kezében, miután végül a Novell mögé állt, és lezsírozta a dolgot a ms-al, hogy legyen lendülete, és megfelelő jogi háttere is a projektnek. Most nemtom hányan ülnek rajta, jó lenne egy kis összehasonlítás kontra ms .NET fejlesztő brigád, de annyi még az érdekes momentumokból, hogy a .NET tudtommal -- javíts ki ha tévednék -- windows-os hívásokban végződik mélyen alul, így ezt portolni finoman szólva sem egyszerű
-
floatr
veterán
"mégis nagyon le vannak maradva." -- mint említettem nem tudható -- legalábbis én nemtom -- h milyen erőforrásokat fektet bele a Novell, a ms láthatóan nagyon ráfeküdt a dologra. Valamint a core alatti résszel valamit kezdeniük kell, ami pont a wine-on látható hogy nem kis meló. Ezek fényében az a csoda h egyáltalán eddig eljutottak
"utalva arra, h wine-nak esélye sincs." -- esküszöm nem vágom, de majdcsak elmondod egyszer h mit értesz ez alatt.
-
floatr
veterán
válasz Cathfaern #57 üzenetére
"akkor a visszafejtésen alapuló wine sose lesz 100%-osan kompatibilis a Win-el" -- az a gyanúm a wine-al kapcsolatban, hogy ott egy kicsit valahogy jobb a motiváció, tán többen is rámozdultak. Egyébként tudtommal nem a teljes kompatibilitás az elsődleges cél, inkább alkalmazásokat próbálnak "átsegíteni", vagy api-részeket, aminek a következménye a bővülő lefedettség.
"Nagyon meglepne ha bármelyik böngészőfejlesztő cég ugrana az IE forrására, hogy majd abból lopjon ötleteket" --
Új hozzászólás Aktív témák
- GELID Ultimate Thermal Padok 90x50 15W/mk - Legjobb ár!
- Dell Precision 7820 dupla processzoros és 5820 win 11 kompatibilis munkaállomások
- B650/7700X/32GB 6400C28/1TB+2TB NVME/RX6950XT Toxic/850W Gold/TT View71/épített víz mindenen!!!
- HP Pavilion Laptop 14
- AKCIÓ! Szépségápolás, Haj - és Szakállápolási márkás gépek - BOLTI ÁR FELÉÉRT!
- MacBook Pro M3 16/512 új állapotban
- iPad pro M2 2022 12.9-inch Wi-Fi Celluar Silver
- UIISII I8 Lightning csatlakozós (Apple, iOS) fülhallgató
- 16Gb (2x 2x4Gb) 1600MHz Micron és Hynix RAM KIT (akár 2x4-ben külön is)
- Garanciális, Fujitsu Esprimo D757 desktop PC, i5-7500, 16 GB DDR4 RAM, 256 GB SSD, DVD/RW.
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen