Új hozzászólás Aktív témák
-
Gregorius
őstag
válasz
janos1988
#11
üzenetére
Off az offban: Es ha ha tortenik egy sikeres tamadas egy honapok ota javitott hibat kihasznalva egy ceg ellen akkor ki lesz a felelos?
A security főnök, ha nem verte az asztalt. Vagy ha verte, akkor az a döntéshozó, aki nem engedélyezte a frissítések telepítését. Vagy ha engedélyezte, akkor az a rendszergazda, aki nem hajtotta végre az utasítást.Vajon mennyi potenciális bugra derülne fény idejekorán, ha az exploder forrását megnyitnák, és azt is szabadon elemezgethetné bárki, mint az imént említett firefoxos eset.
Gondolom emlékszel rá, amikor a Windows 2000 forráskódjának jelentős része elérhetővé vált egy hanyag partner miatt. És lett belőle bug-özön? Nem. Nem lett semmi. Ha jól emlékszem, egy épkézláb kritikus hibát nem sikerült találnia a kedves "közösségnek", amiről a Microsoft még nem tudott.Egyébként lenne meglepődés sok alkalmazással kapcsolatban, ha végignézné az ember a forrást néhány általános statikus kódelemzővel.
Lehet, hogy nekem kellene visszaadni a szoftverfejlesztői képesítésemet, de én olyan jegyzettömbnél bonyolultabb production szoftvert még nem láttam, ami nem okozott krónikus csuklást egy statikus kódelemzőnek.Télleg: az miért rendkívüli javítás, ha egy felfedezett bugra igyekeznek mielőbb válaszolni?
A rendkívüli jelen esetben azt jelenti: eltérnek a szokásos házirendtől és a megszokott havi frissítési cikluson kívül adják ki a javítást.érdekes dolgok ezek. a történelem egyik legnagyobb járványa (blaster) egy olyan hibát használt ki, amire már több mint 1 hónapja (35nap?) volt javítás
Egy hónappal azelőtti. Egy MS patchet fejtettek vissza, abból készült a worm.Epp ezert jobb a nyilt forraskod, sokan fejlesztik/kovetik nyomon a remekmut, hamarabb kiderulnek a hibak, nehezebb a fejlesztok elott jarni egy lepessel a gonosz crackereknek
Lásd fentebb. Aki ért hozzá, annak nem sokat számít, hogy van-e hozzá forráskód, vagy nincs. Millió meg egy bugot jelentettek be már a Microsoftnak (lehet olvasgatni a bulletinek végén szereplő köszönetnyilvánítást, általában nem egy tétel szerepel rajta), amihez még reverse engineeringelni sem kellett. -
Gregorius
őstag
Ez illúzió. Attól, hogy valamit kevesebb támadás ér, attól még nem biztonságosabb. Legfeljebb a kockázat kisebb, azt viszont még annyira sem lehet mérni, mint a biztonságot.
a cég többek között sem a Windows, sem maga az Internet Explorer vagy a Microsoft Office sebezhetőségeit sem vizsgálta
Akkor minden bizonyára azt is elolvastad, hogy azért, mert van hozzá központi automatikus frissítő szolgáltatás. (Engem inkább az lep meg, hogy FF-hez nincs.)[ Szerkesztve ]
-
Gregorius
őstag
Összehasonlításképpen annyi, hogy a kifogásolt firefox problémái a forrás nyíltságából adódóan jellemző módon még alfa/béta állapotban kerültek a nyilvánosságra, és nem mondjuk 5 évvel később szivárogtatták ki a forrást.
Mondom még egyszer, hátha így érthetőbb: a kikerült forrás semmin nem változtatott. Nem találtak tőle egy darabbal több hibát sem. (Megjegyzés: pontatlan a fogalmazás, nem kiszivárogtatás, hanem kiszivárgás történt.)
A Firefox alfa/béta fázisról meg azt hiszem szavak helyett elég információt ad, hogy az FF3 végleges változatában nem a béta fázisban, hanem a kiadás napján került elő kritikus biztonsági probléma.Arra gondolsz h lehetetlen volna, vagy hogy mindegyikben rengeteg lenne a hiba?
Arra gondolok, hogy nincs hibátlan szoftver, és ha mégis, a statikus kódelemzők rendszerint rengeteg hamis-pozitív eredményt adnak.Azt nem nevezném illúziónak, hogy inkább azt használja az ember, ami kevésbé kockázatos. Egyébként a kockázatosság statisztikával szépen mérhető
Különösen egy frissen kiadott termék esetén, amelyiknek még nincs releváns előélete.
Apopó, e mentén a logika mentén miért nem használnak jóval többen Operát?az indoklást én sem értettem, mert egyébként van update mechanizmusa, viszont a vizsgálat szempontjából a lényeg annyi, hogy kivették belőle a ms szoftvereket bárakármilyen okból kifolyólag
Ha emlékeim nem csalnak, nem szimplán update mechanizmus, hanem központosítottan menedzselhető update mechanizmus kell. Különben az Adobe sem került volna rá a listára. -
Gregorius
őstag
A Win2000 forráskódra épült az XP, arra a 2003 és a Vista/2008 is részben erre épül. A kód igen jelentős része nagy része sorról sorra azonos. Ami az újabbakban biztonsági probléma, az 99,9999%-ban biztonsági probléma a Win2000-ben, a maradék 0,0001% pedig azokat az eseteket fedi le, ami a Win2000-ben még nem létező funkcionalitás. (Fordítva ez már nincs így, ami a Win2000-ben hiba, az esetleg az újabbakban már architekturálisan javításra került), úgyhogy erősen kétlem, hogy a Win2000 a legstabilabb Windows.
Tobb szem, tobb csipa! Nagysagrendileg hamarabb, johetnenek a biztonsagi frissitesek, ha megnyitna az MS az IE forrasat.
Állandóan ezzen jön az összes open source hívő, de eddig még nem láttam semmilyen értelmes érvet arra, hogy ez miért is jó globálisan, amit még alá is tud észérvekkel támasztani. Nem szeretnék megint végigmenni ezen az egészen, úgyhogy röviden: a forrásmegnyitás minden előnye mellé tudok rakni legalább egy hátrányt is. Bővebben: PH! fórum összes flamelős topicja.[ Szerkesztve ]
-
Gregorius
őstag
valoszinuleg egy open source hivonek sem tetted fel a kerdest, azert nem is valaszoltak ra
Úgy érted, hogy az utóbbi évek töménytelen mennyiségű vitájában itt a PH! vonzáskörzetében egyetlen OSS hívő sem fordult meg? Kizárt.MS attol fel, ha megnyitja a bongeszoje forrasat, akkor lesznek olyanok, akik jobbat csinalnak, mint ok!
Ismered a Microsoft.NET-et? A forráskód nagy része nyitott (ami meg nem, azt nagyságrendekkel könnyebb visszafejteni, mint a natív binárisokat). ISO szabványokban definiált a működés. Mire sikerült a Novell által pénzelt és a Microsoft által technikai támogatással ellátott csapatnak illetve a közösségnek egy .NET 2.0-val úgy-ahogy kompatibilis változatot összehozniuk, addigra az MS már másfél fényévvel (főverzióval) előbbre tart. És ez igen messze van egy komplett Windowstól. -
Gregorius
őstag
-
Gregorius
őstag
Nem tudom, hogy az utobbi idoben mennyi PH!s vita volt mar errol a kerdesrol
Hetente-kéthetente minimum egy nagy átlagban elő szokott fordulni.de akkor ugy oszinten: Szerinted akkor miert nem lepte mar meg?
Talán mert több hátránya van, mint előnye?
Ebben csak azt nem ertem, hogy kapcsolodik a dologhoz, meg egeszeben a .NET hogy jott most a kepbe. Ha zart a kod, ugyse tudnak hozzatenni, sem elvenni belole, irhatjak azt akarmilyen programozasnyelven.
Úgy, hogy publikus forrás (azzal a megkötéssel, hogy csak referencialicensz van, saját termékben nem felhasználható), szabványosított rendszer, ott áll a Novell a projekt mögött, maga a Microsoft is ingyenes tech. konzultációt biztosít nekik, ha esetleg a vonatkozó dokumentációban valami nem világos, és mégsem tudnak lépést tartani. Vagyis nem találom megalapozottnak azt a gondolatodat, hogy ha az MS megnyitná az IE forrását, akkor valaki csinálna jobbat.
Aztán vannak, akiknek az MS forrása nélkül is sikerül jobb böngészőt írniuk (ld. Chrome, bár az idő próbáját még nem állta ki). -
Gregorius
őstag
a kikerült forrás semmin nem változtatott. Nem találtak tőle egy darabbal több hibát sem." -- erre próbáltam célozni azzal, h utólag, részben és évekkel később. Volt pár évük rá h mindenre rátaláljanak, meg a részleges forrással kitudja ki mennyire strapálta magát. Nyitott forrás esetén sok mazochista nekiesik önszántából is kódot nyálazni, és ha unit teszteket nem is hajt végre, de célzott blackboxot igen.
Ha a részleges forrással ki tudja ki mennyire strapálta volna magát, akkor a teljes forrással ez miért lenne máshogy? Félreértés ne essék: részleges forrás esetünkben azt jelenti, hogy nem az egész Windows, hanem csak bizonyos komponensek forrása (de azok teljes forrása) került nyilvánosságra, tehát nem arról van szó, hogy nem tud vele mit kezdeni.[OFF]Ezt a .NET/Mono vonalat én sem vágom miért kellett idetolni, de ha megnézed, a projekt sokáig magánban vegzált pár fejlesztő kezében, miután végül a Novell mögé állt, és lezsírozta a dolgot a ms-al, hogy legyen lendülete, és megfelelő jogi háttere is a projektnek.
A Mono-t a Ximian indította el még 2001-ben, amikor az első .NET csomag még nem is volt RTM, a Novell 2003-ban nyelte le a Ximiant, valahol a .NET 1.1 megjelenése környékén. Mindent összevetve olyan 1-1,5 év lemaradásban vannak MS-től. Bizonyos területeken már beérték, bizonyos területeken (pl. WPF, WCF) viszont még ennél is jóval nagyobb az elmaradás. Amit a Novell lezsírozott, az a jogi háttér. A technikai egyeztetés, specifikációk pontosítása, stb már jóval azelőtt működött.annyi még az érdekes momentumokból, hogy a .NET tudtommal -- javíts ki ha tévednék -- windows-os hívásokban végződik mélyen alul, így ezt portolni finoman szólva sem egyszerű
Azt, hogy bizonyos részeket nehéz portolni, nem tagadom. A WinForms például elég nagyon alapoz az MS rendszerhívásokra. Mégis nagyjából készen van a Monoban. Ellentétben pl. a WCF-fel, aminek a legalján nagyjából csak a socket kezelés, tanúsítványkezelés, ssl, stb van rendszerhívásként, ami az oprendszerek 99%-ában ugyanazon logika mentén működik. Vagy ennyi év után még minding nincs compacting GC a monoban, ami kizárólag a memórián operál. Továbbá nem elhanyagolandó tény, hogy nem újrafeltalálni kell a kereket, hanem egy meglévő rendszert portolni. A mellékágakat, obsolete komponenseket egyszerűen kihagyják.[/OFF]Miért nem megy az OFF ha több bekezdést fog össze?
[ Szerkesztve ]
-
Gregorius
őstag
Pár lelkes programozónak nincs erőforrása egy komplett quality assurance folyamat végigvitelére a javítás után. Ugyanis egy hotfixben az tart a legtovább. Impact analysissel együtt. Vagy tényleg úgy gondolod, hogy pár lelkes programozó több ezer IE-re épülő alkalmazás zavartalan működését legalább részben ellenőrizni tudja?
Jelenleg ha 2 entert nyomsz egymás után, akkor a következő részt új bekezdésbe teszi. A probléma, hogy bekezdésen át nem mehetne a BB kódok, mivel ha túlmehetnének, akkor előjönne az a régi bug, hogy ha nem zárod le a kódot, akkor a fél fórum dőlt vagy vastag betűs lesz. Régen nem nyitott új bekezdést két enter után automatikusan, ezért nem volt ez gond. Ennek a megoldásnak az oka pedig, hogy a hsz-ek, de főleg a logoutos/gamepodos írások átláthatóbbak legyenek.
Ez áthidalható azzal, hogy minden részt OFF-ba beteszel külön
Nem vehető rá a fórummotor, hogy ez utóbbit helyettem megcsinálja?[ Szerkesztve ]
-
Gregorius
őstag
Elsősorban. külső-belső céges rendszerek. Továbbá az alkalmazások igen nagy részének még a súgóját is az IE motor rendereli. Persze ezeket nem fogják egyenként végigtesztelni, hanem félig-meddig általános, automatizált tesztsorozatot futtatnak végig az eredményen, de pár lelkes programozónak ugyanúgy nincs erőforrása ennek a tesztcsomagnak a felépítésére és karbantartására.
-
Gregorius
őstag
Nem gondolod, hogy a bongeszoket kiszolgalo motorok (szandekosan nem IE motort irtam) hasznalhatosag szempontjabol erosen korlatoltak?
Nem gondolom. Azok végzik a munka nagyobbik részét. És van, aki egy egész böngészőt épít ezen motorokra (pl. Maxthon).De a par lelkes programozo nem is problemakat, hibakat keres, hanem azokat javit ki (pl. egy megfeleloen dokumentalt hibajelenseget). Szerintem van a ketto kozott kulonbseg.
Nem választható szét a kettő. Egy hibajavításhoz minimum hozzátartozik, hogy végigköveted, hogy azzal, hogy azt a hibát kijavítod, hány másik helyen rontottad el az alkalmazást. A sajátodat. Aztán jöhet, hogy másét mennyire rontottad el. Az egész hibajavítási folyamatnak a legtriviálisabb, legrövidebb része az, hogy két extra sor kódot beleírsz a programba, ami orvosolja a hibát. -
Gregorius
őstag
Az altalad emlitett bongeszo IE motorra epul. Nem tartom tulsagosan valoszinunek, hogy MS talcan odaadta nekik a forrast. En is irhatok IE alapokra egy Akarmilyen fantazianevvel ellatott bongeszot, tabositva, konyvjelzokkel, es tovabbi funkciokkal, nem fogom megkapni a bongeszo forrasat.
Ki beszélt itt forrásról? Komponensként felhasználták, mint annyian mások.Onnantol meg, hogy includeoljak, nem tudnak vele tobbet csinalni, mint en vagy te, aki esetleg konyit valamicsket a programozashoz
Szoval akkor mi masra is lehet meg hasznalni egy bongeszot? Nem voltal eleg meggyozo a tobb ezer alkalmazas emlitesekor...
A tabbed browsing kialakításától a kontext menükön túl a feed olvasásig és a különféle biztonsági beállításokig igen nagyon sok dolgot lehet egy ilyen motorban testreszabni, akár forráskód nélkül is. Mint ahogy azt te is írtad. De az, hogy írunk egy böngészőt a böngészőmotor köré, az csak a hegy csúcsa. Olyan vastagkliens alkalmazások is vannak, amik pl. IE motort használnak a saját jelentéseik renderelésére, a tradícionális asp.net-es megoldásokról nem is beszélve.
Szerinted a világon nincs több ezer különböző böngészőben futó webalkalmazás? Figyelembe véve, hogy én személy szerint fejlesztőként hánnyal kerültem közeli kapcsolatba (a megrendelő kifejezetten úgy kéri, hogy egy sima böngészővel bárhonnan használható legyen az eredmény) és figyelembe véve, hogy rajtam kívül még hány fejlesztő van ezen a világon, akikhez közöm nincs a több ezer egy durva alsó becslés.Konkretan azokra gondoltam, akik kicsit elhivatottabbak, mint en, es a programozas szigorlaton nem sugobol irtak programot, hanem fejbol, meg akik napi kapcsolatban allnak a programozassal.
A tesztelés és a QA továbbra sem programozói feladat. Az egy teljesen más szakterület.P.S. Sting az én ízlésemnek időnként túlságosan radikális.
Új hozzászólás Aktív témák
it A kritikusnak minősített böngészőhibát javítja a frissítés.
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- EAFC 24
- Google Pixel 6/7/8 topik
- Rendkívül ütőképesnek tűnik az újragondolt Apple tv
- Kerékpárosok, bringások ide!
- Milyen egeret válasszak?
- World of Tanks - MMO
- Luck Dragon: Asszociációs játék. :)
- Milyen billentyűzetet vegyek?
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- További aktív témák...
- Oehlbach új Bi-wire átkötő (hangfal áthidaló) "jumper" szettek audiofiltől közel High-End hangzásig!
- Precision 5770 17" FHD+ IPS i7-12800H RTX A2000 32GB 1TB NVMe IR kam., gar
- Apple iPhone 11 64GB, Kártyafüggetlen, 1 Év Garanciávsl
- Apple iPhone 11 128GB, Kártyafüggetlen, 1 Év Garanciával
- iPhone 13 ProMax eladó
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen