Új hozzászólás Aktív témák
-
válasz Translator #15 üzenetére
A különbség ott van, hogy ezt egyből javítják, a zárt kódon meg hónapokig ülnek (ha megjavítják egyáltalán...)
A különbség ott is van, hogy zárt kód mellett nagyon szűk azoknak a köre, akik egyáltalán analizálhatják a forráskódot és rosszindulatúan nekiállnak hibákat keresni. Zárt kód esetén a hibák egy jó része sosem derül ki, azok a sebezhetőségek amelyek pedig nem derülnek ki, azok senkinek nem fognak problémát okozni.
A nyilt szoftver biztonságossága azon a dogmán alapul, hogy bárki megnézheti a kódot, és ezért a hibákat a Linux közösség jóhiszemű tagjai
1, _hamar_ felfedik és a felfedezés után
2, _gyorsan_ készül rá hibajavítás.Ez a sebezhetőség egyértelművé tette, hogy a 2. pont részben teljesül, az aktívan supportált rendszerek gyorsan kapnak patchet. A SoHO routerek meg hasonló eszközök nyilván nem.
Másrészt az is egyértelművé vált, hogy az első pont önámítás. Ez a hiba egy évtizeden keresztül nem tünt fel semmilyen jóhiszemű Linuxernek. Azt pedig már csak remélni lehet, hogy a rosszhiszeműek számára , akik ugye a hibák kiaknázásából élnek és ennek megfelelően nem a hibajentéssel meg javítással foglalkoznak nem volt már egy évtizede ismert ez a hiba.
Egyvalami biztos: minden operációs rendszer tele van bugokkal, sebezhetőségekkel. A kérdés itt az, hogy lehet-e a biztonságosságot arra építeni, hogy a jóhiszemű userek akiket tipikusan nem a sebezhetőségek feltárásáért fizetnek előbb találják meg a hibákat mint azok akik a nevezett hibákat önös érdekeik miatt akarják megtalálni és segítségével másoknak anyagi károkat okozni.
-
Erről mi a véleményetek?
http://sg.hu/cikkek/107987/penzert-arul-biztonsagi-hibakat-kevin-mitnick
-
válasz buherton #157 üzenetére
Ha már telefonhívásról meg vállalati telefóniáról van szó, úgy érzem hozzá kell szóljak
Anulu
de nem a kérdés jelenleg. az sem, hogy hányszor kell egy gépet újraindítaniBuherton
De igen, ugyanis igen csak zavaró lenne, ha frissítés miatt mondjuk 5-10 percig nem tudnál telefonálni, pl. mentőt/rendőrtt/tűzoltót hívni.1,
Valóban nem lenne szép, ha egy Call Server-t minden apró patch miatt újra kéne indítani, de erre általában nincs is szükség, sőtt főverzió upgrade-nél is álltalában működés közben lehetséges az aktív-hot standby vagy load sharing cluster node-jait külön, egyenként upgradelni, anélkül, hogy egy adott pillanatban az összes node üzemen kívül lenne. (Pl Siemens OpenScape Voice )2,
Másrészt minden rendszer üzembentartásához az ügyféllel előre definiálják a maintenance window-kat, amikor egyes szolgáltatások karbantartás miatt nem elérhetőek. Patchet meg úgy általában bármilyen előre tervezett konfiguráció változást ilyenkor szokás végrehajtani.3,
Egy komoly vállalati telefónia rendszerben ha felmerül annak a lehetősége, hogy a központi call server bármikor (nem tervezetten) nem lesz elérhető a kliensek számára, akkor álltalában az egyes telephelyekre leraknak egy survivability eszközt (pl SIP proxy/back-to-back user agent), ami érzékeli a központi call server elérhetetlenségét, és autómatikusan átveszi a hívások irányítását a telephely kliensei számára. Ebbe beletartozik a segélyhívás is...A lényeg az, hogy egy komplex rendszer jóságát vagy gyengeségét nem egy komponens jósága vagy gyengesége határozza meg kizárólag, hanem az egész csomagot eggyütt kell figyelni.
J.
[ Szerkesztve ]