Hegemonia poprawek zabezpieczeń

Racja. Tylko że:
-jak ktoś w produktach MS odkryje dziure to nie musi to być ktoś 'dobry' i powiadamiać MS, może za to wykorzystywać to niecnie latami i nikt się nie dowie. Tym bardziej MS się nie dowie.
Podczas gdy przy jawności kodu gdzie indziej, każda dziura jest prędzej czy później wykrywana przez wiele osób i łatana.

Ho ho odważna hipoteza, choć nie ukrywam nie pozbawiona sensu.

Zwolennicy OS i tak tego nie pojma i dalej bede sie wydzierac. To raczej niz pewne. Coz myslenie podobno nie boli ale bardzo wielu ludziom sprawia klopot.

Ależ to oczywiste! Chciałoby się napisać. Redaktor to wie! Jest grupa ludzi, która to też rozumie. Ale jak zareaguje ta większość młodych, fanatyków informatycznych co to piszą na tym vortalu, że "..lisek wymiata, Microsoft to syf; IE to dziurawe badziewie, a Linux rulezzzz"! W każdym razie dobrze, że ktoś z doświadczeniem i wiedzą zabrał w końcu głos, by trochę odmitologizować myślenie niektórych użytkowników.

Prawda jest niestety taka, że każda rozgarnięta osoba, której zależy na posiadaniu wiedzy o błędach w systemie, będzie wiedziała o bugu dużo wcześniej przed wydaniem poprawki w comiesięcznym cyklu i zdąży wykorzystać wiedzę dla swoich celów... Dlatego moim zdaniem poprawki powinny być wydawane jak najszybciej, a nie co miesiąc.

Aha. I nie pamiętam kiedy ostatni raz jakaś poprawka do mojego XP zainstalowała się poza terminem wydania biuletynu, więc jednak MS nie wydaje poprawek poza terminem.

cóż, ciężko mi się nie zgodzić z thikim, to że jakaś luka w produktach MS nie jest publicznie znana, nie oznacza wcale że nie jest ona znana dość wąskiemu kręgu osób którym akuratnie zależy na jej poznaniu.

Dla mnie osobiście co miesięczne wypuszczanie biuletynów zabezpieczeń, przypomina trochę taki kawał, kiedy to zadawano Rosjanom zebranym na Placu Czerwonym pytanie o częstotliwość współżycia, najszczęśliwszy był ten, któremu jedyny raz w roku wypadał już następnego dnia...

@thikim
Fajnie. Tyle tylko, że także w otwartym oprogramowaniu może znaleźć się taka luka, której prędko nikt nie wychwyci z wyjątkiem kogoś, kto będzie miał zamiar wykorzystać ją w złym celu. Ale news był zupełnie o czymś innym niż o wyższości jednego oprogramowania nad drugim:)

@thikim - zastanow sie - gdzie jest trudniej wykryc dziure i ja wykorzystac - w czyms zamknietym, czy powszechnie dostepnym? Skad twoja wiara w to ze akurat w open source dziure wykryja jako pierwsi uczciwi i ja zalataja? Zalozenie bez sensu. Moze wrecz przeciwie - korzystajac z tego ze maja podany kod na tacy wykorzystaja to przestepcy. Nie sadzisz chyba ze wykrywajac dziure natychmiast to oglosza swiatu. Wykorzystaja to dopoki beda mogli i ktos w koncu nie wpadnie na to samo.

@Docent - tak jak kilka razy czepialem sie twoich artkow tak duzy respekt za jasne postawienie sprawy. Napisales oczywistosc, ktora jednak powinna zostac napisana bo do wielu nie dociera. Respekt (ksywa jest ok after all :P).

wszystko to prawda. Ale jest jeszcze inna sprawa: sa lukie znane publicznie lub zglaszane msowi od dawna, na ktore nie przygotowuja poprawek, tlumaczac sie "wydamy w miesiecznym biuletynie", "bylo duzo pracy w tym miesiacu, wydamy w nastepnym". I co Pan na to?

Zbyt długo posługuję się produktami Microsft-u-od wersji win 3.11---, zbyt często prosiłem o wsparcie pion techniczny ww firmy, aby artykuł mnie przekonał!!
Przeciętny użytkownik nie jest w stanie w razie jakiegokolwiek problemu w kwestii bezpieczeństwa systemu skutecznie wyegzekwować swoich praw wynikających z faktu posługiwania się legalnym produktem!!
A jeśli chodzi o-- tu cytat : luka publicznie znana --to nie wpadajmy w euforię z tytułu jej likwidacji to raczej psi obowiązek producenta a nie zamierzone działanie... bardziej interesują mnie te.. niepublicznie znane!!

Świetny felieton !!!

@KORraN
"Prawda jest niestety taka, że każda rozgarnięta osoba, której zależy na posiadaniu wiedzy o błędach w systemie, będzie wiedziała o bugu dużo wcześniej przed wydaniem poprawki w comiesięcznym cyklu i zdąży wykorzystać wiedzę dla swoich celów..."

Niby skad bedzie wiedziala ta osoba? Jaka logika sie kierujesz bo nie rozumiem. Zakladasz ze KAZDY rozgarniety przestepca wpadnie na sposob obejscia zabezpieczen ZAWSZE nim cos poprawia? Ciekawe... :/

A u podstawy wszystkiego leży tak naprawdę wyjątkowa wredna natura człowieka. Gdyby ludzkość używała intelektu tylko w pozytywnych zastosowaniach i dla dobra wspólnego wszechświat należałby do nas. Ale ponieważ żyjemy krótko trudno wymagać od w większości ograniczonych jednostek wzniesienia się ponad samolubne JA.
Ot życie.. z kosmologicznego punktu widzenia bezsens.

Jednego tylko nie rozumiem, skoro Microsoft raz na miesiąc publikuje swoje poprawki, to dlaczego użytkownikom oferuje Aktualizacje automatyczne (jeżeli zostawimy włączone) wymuszające łączenie się z witryną Microsoftu codziennie lub raz w tygodniu.

Felieton dobrze napisany, ale już tu widze użytkownika, który wypowiedział się, nie przeczytając tego tekstu ze zrozumieniem (tak, tak, do ciebie KORraN pisze ;]).

Wojtku, cenie cie za twoja zdobyta i udokumentowana wiedze, rozumiem tez intencje napisania tego artykulu, niemniej jednak juz po pierwszym przeczytaniu moge bezczelnie 'wytknac' Ci pewna luke w argumentacji.

>>> "To oznacza, że… Rzeczywiście, ogromna większość luk opisywanych w biuletynach zabezpieczeń jest nieznana do momentu publikacji biuletynu, a więc poprawki"

w dalszej czesci uzywasz rowniez na okreslenie dziury frazy"publicznie znana"...

problem polega jedynie na tym, iz systemow (i ogolnie- rozwiazan) microsoftu uzywa mniej-wiecej 95% przecietnych uzytkownikow komputerow. mnostwo geniuszy komputerowych non-stop bombarduje windowsy i internet explorery, po czym wykrywa luki w zabezpieczeniach i wykorzystuje je do roznych celow; sprzedazy, utworzenia botnetu i swiadczeniu opartych na nim uslug itp.

tak jak mowi thikim; jesli ktos odryje dziure w produktach MS to jej zazwyczaj nie ujawnia. z prostego powodu; jesli jest na tyle inteligenty ze sam to zdolal zrobic, to jest rowniez na tyle inteligenty ze wie, iz za te informacje moze dostac odpowiednie pieniadze u odpowiednich ludzi. albo samemu ja wykorzystac.

model open-source nie jest idealny, ale w najpopularniejszych produktach (np. kernelu, firefoksie) kod przegladaja tysiace programistow z calego swiata.

z tego co widze, Wojtku, wykonujesz jakies szacunkowe wyliczenia.
ja jednak stawiam solidne 100 dolarow na to ze szansa odnalezienia luki w programach o zamknietym kodzie mirosoftu jest o wiele wieksza niz odnalezienie przez jednego programiste luki w kodzie codziennie przegladanym przez setki innych. owszem- przy mniej popularnych projektach to moze wygladac inaczej. ale firefox? :)

ostatecznie nie zgodze sie- latki powinny byc wydawane jak najszybciej, bez zadnej zwloki.
Twoje argumenty odnosnie duzych firm moim zdaniem sa jak najbardziej chybione. przeciez publikacja zbioru patchy w specjalnych biuletynach nikomu nie przeszkadza- mozna to dalej praktykowac. latki na bierzaco + co miesiac ich zbior specjalnie dla administratorow. przeciez to nie boli.

blednie zakladasz dwie rzeczy;
1. iz (prawie) tylko microsoft w swoich labolatoriach wykrywa luki we wlasnym oprogramowaniu
2. iz fakt, ze jakas (nieznana jeszcze) luka zostala przez kogos wykorzystana jest powszechne znane na dwa dni po zdarzeniu.

jestem w 100% przekonany, ze "publicznie znane" luki to wierzcholek gory lodowej.

a model opensource? owszem moze zdarzyc sie niesamowita sytuacja w ktorej ktos znajduje luke ktorej nie znalazlo tysiace innych, postanawia ja wykorzystac i mu sie to udaje.
tylko po co? szanse ze luka zostanie nie wykryta, albo ze tworcy nie wpadna na pomysl przepisania kodu od nowa w celu poprawy jakosci jest bardzo bardzo mala. poza tym ile ludzi korzysta z opensource a ile z rozwiazan microsoftu?

z tej prostej dysproporcji kazdy widzi, iz luk w opensource po prostu nie oplaca sie nawet szukac. bo i tak wszyscy korzystaja z produktow korporacji z redmond.

konczac; kazdy dzien zwloki nad poprawianiem systemu z ktorego korzysta 95% komputerow na swiecie to (rowniez teoretycznie, bo tylko pare procent pewnie aktualizuje) ogromne nieporozumienie i blad. administratorzy sobie poradza; to ich praca. ale legalni uzytkownicy, ktorych microsoft tak promuje, powinni miec mozliwosc pobrania poprawek w tempie ekspresowym.

pozdrawiam.

@anonim - spiesze z wyjasnieniem. Proponuje zastanowic sie nad zdaniem "Jeśli natomiast jakaś luka jest już publicznie znana i pojawił się exploit, Microsoft może wydać poprawkę bez zwłoki, poza harmonogramem". I wszystko jasne, prawda? Czy nadal nie rozumiesz :P

co do ostatniego zdania to nie wiem czy nie stanowi to dla użytkowników zagrożenia. ja wolę i tak polegać na wolnym oprogramowaniu jak linuks i firefox. nie dość że darmowe to jeszcze o wiele stabilniejsze i bardziej dopracowane i szybciej poprawiane. czy to nie mówi samo za siebie???? pozdrawiam

"W tym felietonie nie chciałem udowadniać nikomu, że coś jest bezpieczniejsze od czegoś"

może nie chciałeś, jednak przepchnąłeś to między wierszami... zapewne nieświadomie... no, ale cóż poradzić ideologia zaślepia :]

przykro mi to mówić, ale jednak jesteś jak ta część userów Linuksa i Windowsa, którzy wojują na polu bitwy wiecznej wojny systemów operacyjnych i wszystkiego innego do czego można dokleić jakąś ideologię.

Z czystej statystyki wynika, że OSS jest bezpieczniejsze (w przeciwieństwie do tego co próbujesz tu udowodnić między wierszami). Nie zamierzam z nikim polemizować na ten temat, macie swoje raporty Jeffa Jonesa oraz firm specjalizujących się w tego typu zabawach ze słupkami wykresów. Jesteście szczęśliwi. Nie zamierzam odbierać wam tego szczęścia moi mili, bo i tak was nie zdołam przekonać.

@Nezumi
no przeczytaj co napisales tylko zamien open source z ms

bo to wlasnie jest tak ze nawet jak ktos "zly" znajdzie dziure w OS przed innymi, to inni i tak go szybko dogonia, a w MS nie, zawsze jest ta zwloka.....

@penguin:
zgadzam sie poza jednym szczegolem: zbior patchy, o ktorych juz ktos napisal jakie bledy poprawiaja, to jeszcze gorsza opcja niz nie informowanie co poprawiaja przez miesiac i potem instalowanie i informowanie

model MS: nie mowimy -> 30 dni -> mowimy i latamy

zbiorowy patch z zbiorem z calego miesiaca:
blad-> latamy i mowimy, admini czekaja -> blad -> latamy i mowimy, admini czekaja ->...-> admini lataja do poziomu "zerowego" ale przez ten czas kazdy wiedzial na co byli podatni, gdzie w przypadku modelu MS niekoniecznie

IMHO luka jak luka - jak naszybciej trzeba załatać, nieważne czy znana publice, czy też nie; czy w produkcie MS, czy w Open Source. Nawet mnie nie obchodzi czy krytyczna. Ma wyjść poprawka zaraz po jej wykonaniu!

Panie Wojtku, zgadzam się z częścią Pana tez zawartych w "felietonie", jednakże po dokładnym przeczytaniu tejże opinii dochodzę (dodam, że nie tylko ja) do prostego wniosku, który kończy się pytaniem: "Ile Panu zapłacili?"

@Nezumi

Grupa, która się na swoim zadaniu zna i będzie miała zyski z odkrycia luki w oprogramowaniu, odnajdzie je i w zamkniętych i otwartym oprogramowaniu. Fakt, iż mniejszy nakład pracy będzie musiała włożyć w poszukiwanie w źródłach publicznie znanych, jednak ta luka zostanie załatana szybciej, niż ta odnaleziona w zamkniętym i znana tylko im.

@mmsmsy - "o wiele stabilniejsze i bardziej dopracowane" - a tu się nie zgodzę do końca. Sam osobiście tez używam ff, ale stabilność IE i jego bezpieczeństwo wynika z polityki MS. IE jest wykorzystywane przy aktualizacjach, dlatego jego bezpieczeństwo jest na niższym poziomie. Gdyby ff czy opera też do tego służyła na pewno też nie były by takie stabilne i "bezpieczne"

Hipokryzją jest bronienie mechanizmu aktualizacji systemu w formie comiesiecznego harmonogramu jaki proponuje Microsoft przez Docenta. Nie wyobrażam sobie, że ktoś mający certyfikaty Microsoftu będzie wobec polityki bezpieczeństwa tej firmy obiektywny. To po pierwsze...

Po drugie. Cytat:
"Skoro luka jest publicznie nieznana, istnieje marginalne więc prawdopodobieństwo, że powstanie exploit (kod pozwalający wykorzystać tę lukę innym, np. hakerom), a skoro raczej nie powstanie exploit, to prędko użytkownicy na tej luce nie ucierpią..."

To jest największa bzdura, jaką można wymyśleć. Microsoft tego uczy na kursach przygotowujących do egzaminów? Nie można nigdy zakładać, że dana luka nie jest znana publicznie. To własnie statystyka mówi, że jeżeli dziura w systemie istnieje, to im więcej użytkowników używa danego systemu, tym większe jest prawdopodobnieństwo, że dana dziura jest znana. Poza tym crackerzy i hackerzy z reguły nie wychylają się za mocno z wiedzą o danej "dziurze". To jest zbyt cenna informacja. Jako programista wiem, że każdy popełniony przeze mnie błąd, każde niedopatrzenie, to potencjalne "słabe ogniwo" i nie moge ot tak sobie olać tej informacji, bo "nikt o tym i tak nie wie". Jeżeli ja się dowiedziałem, to znaczy, że ktoś inny też mógł się dowiedzieć...

Argument dotyczący wielkiej pracy jaką mają do czynienia administratorzy w dużych firmach też można włożyć między bajki. MS wydaje średnio 3-7 łatek na miesiąc. Raz mniej, raz więcej... Myślę, że gdyby łatki wydawane były by "od razu", to w praktyce taki administrator dostawałby jedną łatkę do przetestowania i ewentualnego przesłania dalej. Piszesz Docencie, że administratorzy zasypani by zostali łatkami do przetestowania? Przeceniasz Microsoft. Naprawde wydają bardzo mało łatek a dziur myślę, że mają o wiele więcej.

Co do Firefoksa - zostawmy ten przykład - to wydawanie łatek tak, by niezabezpieczona przeglądarka została zaktualizowana jak najszybciej jest najbardziej logicznym posunięciem. Poza tym otwarty kod powoduje, że znalezienie zarówno dziury jak i łatki do niej jest o wiele szybsze! Znowu daje o sobie znać statystyka - im więcej ludzi zagląda w kod, tym większe szanse na znalezienie dziury ale w przeciwieństwie do MS w otwartym kodzie poprawke wprowadzić może każdy, kto potrafi to zrobić. W MS czekać należy na reakcję programistów z firmy. Historia pokazuje, że na załatanie wielu dziur ciąge czekamy :)

Acha! Na koniec mała dygresja. Mam komputer w pracy - system Windows XP Home OEM. Aktualizacje automatyczne włączone. Komputer musi być włączony cały czas i jest na nim zalogowany użytkownik. Powiedz mi Docencie, co to za wspaniała polityka MS, gdy przychodzę do pracy rano (na drugi dzień po "comiesięcznym aktualizowaniu systemu") i widzę zrestartowany system? Cała zostawiona praca została przerwana! Opcji do wyłączenia takiego zachowania - nie ma (nie mówie tu o grzebaniu w rejestrze itp. Nie tego oczekuję). Ciekawa polityka, nie?

Pomijając cel felietonu, napiszę co myślę o treści, a ściślej co mi się w niej nie podoba.

1. "Skoro luka jest publicznie nieznana, istnieje marginalne więc prawdopodobieństwo, że powstanie exploit (kod pozwalający wykorzystać tę lukę innym, np. hakerom), a skoro raczej nie powstanie exploit, to prędko użytkownicy na tej luce nie ucierpią."
Rzadko słyszy się o upublicznianiu luk w MS. Więc fraza "luka publicznie nieznana" tak naprawdę nie ma sensu, gdyż nie wiadomo o co chodzi. penguin już o tym pisał.

2. "Z tego powodu producenci oprogramowania Open Source nie mogą sobie pozwolić na wydawanie łatek według określonego harmonogramu, a raczej muszą publikować ja jak najszybciej po opracowaniu (i, miejmy nadzieję, odpowiednio gruntownemu przetestowaniu)."
Nie podoba mi się użycie słów "nie móc" oraz że "muszą" publikować. Kto kogokolwiek zmusza do czegokolwiek? Czy na pewno tzw. producenci oprogramowania OS nie mogą wydawać łatek w harmonogramach? Oczywiście że mogą, ale uważa się, że jeśli wydadzą łatkę wcześniej - tak jest lepiej dla użytkowników.

I jeszcze jedna sprawa. Bardzo proszę o wyjaśnienie pojęcia producenci oprogramowania OS. Czyli kto? Przecież w większości to są różne społeczności mniejsze i większe.
3. "Jeśli natomiast jakaś luka jest już publicznie znana i pojawił się exploit, Microsoft może wydać poprawkę bez zwłoki, poza harmonogramem – było tak już nieraz."
Naprawdę? Jakiś czas temu przeczytałem na di, że zdarzyło się tak 2 czy 3 razy. Zapowiedź z na ten miesiąc wręcz zawiera jedną łatkę z poprzedniego którą zapomniał MS wydać.

4. "Pomijam już to, że stały harmonogram jest sporym ułatwieniem dla administratorów dużych firm."
Oczywiście że tak. I nie tylko dużych firm, lecz mniejszych też. I teraz pytanie, czy aktualizacje oprogramowania OS w firmach robi się od razu gdy tylko się pojawią, czy też zbiorczo co jakiś czas? Jak sam napisałeś, gdyby były takie aktualizacje wykonywane od razu, admini nie robili by nic więcej. Ktoś tutaj coś namieszał :)

Sugeruję przed publikacją wcześniej przesłać tekst kilku osobom, by te starały się wyłapać błędy i niespójności. Gładkie słówka przełyka się łatwo tylko na żywo. Z treścią czytaną tak łatwo już nie jest, zwłaszcza gdy możną ją komentować.

Ciekawa hipoteza. Jednak mimo wszystko uważam zachowanie Microsoftu za bezczelne, skoro wytykają błędy, a tak naprawdę nie mają nic na potwierdzenie swojej tezy. Oczywiście wojna między zamkniętym i otwartym oprogramowaniem będzie trwać bez przerwy. Nikt nie wygra. Mimo tego, każdy, kogo choć trochę interesuje jakich programów/systemów używa powinien wyrobić sobie zdanie na ten temat, ale nie zdanie fanatyka. Jeśli chodzi o komputery fanatykiem można stać się łatwo. Ja np. zakochałem się w Linuxie od 1 wejrzenia ;], jednak jak widzicie piszę tego i inne komentarze z systemu Windows, bo zrządzenie losu sprawiło, że będę mógł postawić Linux na moim komputerze dopiero za około miesiąc. Naprawdę nie opłaca się wykrzykiwać jakiś haseł typu "PROGRAM_X_RULEZ!!!". Mimo tego nawet ja nie mogę się czasami od czegoś takiego powstrzymać. Nie zapominajmy, że w informatyce nie ma nic idealnego - wszystko ma błędy. Nie wszystkie błędy mają jakiś straszny wpływ na nasze życie. Wiele z nich jest ukrywanych. Nie ma sensu wojna oprogramowania zamkniętego i otwartego, skoro działają one na zupełnie innych zasadach i mają inną politykę. Jednak konkurują. Są jak bokserzy - ten sam sport - inna technika - jeden zawodnik ma 90% fanów - drugi -9% - a 1% nie wie o co w ogóle chodzi. Fanów nie obchodzi co zrobi ich zawodnik (bo wszystko zrobi dobrze). Jeśli przegra obwinią drugiego zawodnika. Tylko ten 1%, który nie rozumie samej rywalizacji i jest całkowicie neutralny będzie potrafił ocenić zawodników obiektywnie. Bo czasami fakt przewagi nie jest oczywisty. Ktoś powie "Linux jest bezpieczniejszy" - ja to potwierdzę, a ktoś inny nie. Nikt nie będzie miał racji. A nawet w precyzyjnym pytaniu i precyzyjnej odpowiedzi możemy dopatrywać się braku szczegółów. Tak więc Microsoft ma trochę racji, jednak są ograniczeni przez własną politykę. Linux również. Każdy powinien znaleźć oprogramowanie dla siebie i nie brać od razu do serca uwag innych, jednak musi oceniać naprawdę obiektywnie.

Pozdrawiam Docenta! I gratulują w miarę "obiektywnego" podejścia do sprawy.

------------------------
xtracom

Nie wiem czy autor felietonu kiedykolwiek programował. Lecz po felietonie podejrzewam, że programowanie jest mu zupełnie obce. Otóż to obecnie nie ma różnicy czy źródła do jakiegokolwiek produktu są zamknięte czy otwarte, gdyż istnieje coś takiego jak dekompilacja i uwierzcie mi działa naprawdę wyśmienicie. Następną kwestią jest znajdowanie błędów przy pomocy przeglądu kodu. Jest to praktycznie niemożliwie, zwłaszcza jak się przegląda kod, który się samemu nie pisało. Naprawdę pogratuluje każdemu, który znajdzie błędy w aplikacji tego typu co firefox tylko i wyłącznie przy pomocy przeglądu kodu źródłowego.
Dlatego Panie Docent proszę następnym razem przed pisaniem tego typu felietonów zaznajomić się chociaż trochę z inżynierią oprogramowania i inżynierią wtórną, gdyż w przeciwnym wypadku takie felietony są nic nie warte.

@thikim: bzdura. Jeśli istnieje exploit, to ktoś na nim ucierpi. Informację o problemach trafiają do WinSE a później do zespołów odpowiedzialnych za wadliwy kod. Jeśli istnieje taka potrzeba, deweloperzy jadą do dotkniętej exploitem osoby/firmy i na miejscu analizują problem. Nastepnie oceniame jest ryzyko i pojawia się QFE.

Ciekawy felieton
Pozdrawiam

Propaganda, do tego niepoparta żadnymi faktami. Nie interesują mnie spekulacje, wychodzę z założenia, że jak jest dziura, to trzeba ją jak najszybciej załatać. Tłumaczenie i bronienie na siłę Microsoftu nie polepszy mojego zdania o Docencie. A już bronienie zdania, że Internet Explorer jest bezpieczniejszy, bo jest rzadziej łatany niż Firefox, to kompletne nieporozumienie. I żeby nie było: jestem bardzo zadowolony z Windowsa XP. Nie zamieniłbym go na nic innego.

:Wiesiek widzę, że należysz do grona programistów-teoretyków, zdekompilować to Ty sobie możesz najwyżej do asemblera (w sumie niewielka różnica w porównaniu z kodem maszynowym, ot zamiana kilku bitów na mnemonik) albo coś z języka typu java, który dość specyficznie kompiluje swój kod.
No, skoro piszesz, że to takie trywialne, to ja poproszę kod źródłowy... powiedzmy notepad.exe programik malutki, więc powinno być prosto :-). Aha, tylko, żeby dało sie to skompilować ponownie. (niech będzie C, albo C++, chyba że wolisz VB)
A co do czytania kodu, jeżeli aplikacja jest napisana według ogólnie przyjętych standardów, to nie jest aż tak strasznie. No chyba, że czytasz ten zdekompilowany kod, który z pierwowzorem ma tyle wspólnego Warszawa M20 z Oplem Kapitanem ;p

Hmm ... @Nezumi (+pare jakiś dziwnych znaczków ale nie chce mi się ich kopiować).

1. Czy w zamkniętym czy w otwartym ... ostatnio Mozilla udowodniła nam, że łata dziury zanim one zaczną być potencjalnie wykorzystywane. M$ tego nie czyni ... dziury mimo, że użyszkodnicy o nich nie więdzą, to wie o nich M$ i hackerzy ( przepraszam crackerzy), którzy już je wykorzystują zanim bedzie łatka. Nawet mimo jak secunia, użyszkodnicy i inne organizacje zwracają uwagę ms ze to niebezpieszne to trzeba czekac ... no ale mamy automatycznie aktualizacje biuletynowo miesieczne-ulatwiajace-prace-adminowi-a-nas-wystawiajace na niebezpieczenstwo.

2. Admini dostają kase za to żeby pod ich opięką systemy były bezpieczne cały czas ... co z tego, że ułatwiamy pracę admina a setki ludzi w sieci są przez 29 dni dni niezabezpieczeni przed atakami ... przecież po to m$ wprowadził ten system aktualizacji automatycznych żeby łatać "automatycznie", w sumie może zmienic nazwe na aktualizaje comisięczne jak lubi tak biuletyny comiesięczne. Co jest ważniejsze - bezpieczeństo użyszkodnika czy wygoda administratora ? Jeden dostaje kase za to, że używa systemu i dla niego jest ważne żeby był bezpieczny i załatany, a drugi dostaje kase za to, że dba o to żeby system dla tego użyszkodnika był bezpieczny, załatany i gotowy do pracy, nie dostaje pieniedzy za to zeby bylo mu wygodnie tylko za to żeby wszystko bylo OK i bezpieczne. Ewentualnie zmienia się jednego admina po rozwaleniu systemu / sieci, na kogos innego ale co to samo robi ktory zniknie po nastepnym ataku.

3. Ja pracuje w malej firmie, w ktorej jest pare kompow. A dlaczego pracuje ? Bo mam dbac o bezpieczenstwo i reinstalowac w razie czego windowsa. I dzięki temu zarabiam. Próbowałem linuxa w firmie, ale niestety użyszkodnicy nie bardzo znali ten system a ja nie mialem na tyle czasu poswiecic zeby wyjasnic co i jak biega. Ale bardzo sobie chwala openoffice i thunderbirda (szczegolnie odspamianie skrzynki) wiec opensource pomalu wdrazam, ale malymi kroczkami. Jak jeszcze szef sobie uswiadomi ze zamiast wydawac tyle kasy na windowsa i na mnie zebym pilnowal zeby to dzialalo, to bedzie wolal tylko mi zaplaci i windowsa porzucic i antywira (tez kosztuje :P) to po prostu bedą zmuszeni pracownicy do przejścia na coś innego.

4. Nie chce dyskutować, że linux jest lepszy, windows lepszy, każdy używa to co mu pasuje albo do czego jest zmuszony (przykład: kilka tysięcy na licencje ms office a darmowy open office - jak tylko szef zobaczył różnice w cenie, i sprawdził na własnej skórze co oferuje OO to ... ;).

5. @wiesiek ... spróbuj sobie ze skypem ... zdekompilować go jak to nazywasz ... pewnie się nie uda ... i nie tylko z tym programem.

6. Powtórze to jeszcze raz ... jeżeli m$ już zrobił aktualizaje automatyczne co instalują soft co sprawdza czy mamy legalny system i tak dalej to mógłby zrobić też tak, że każda dziura od razu po wykryciu mogłaby być załatana. Przecież ma więcej programistów, opłacanych po szkołach, nie to co mozilla, programistów którzy tworzą w wolnym czasie i poprawiają. I jednak zamiast ciężkich pieniędzy wygrywa coś darmowego ... dlaczego? Bo jest dostosowane do rynku, nie czeka aż administatorowi będzie wygodnie raz w miesiącu coś zrobić, tylko wydaje łatę. A co ma taki administrator robić jak m$ zrobił te aktualizacje automatyczne i to ma być automatyczne a nie administrowane? Nawet nie pozwala odlożyc w czasie terminu restarta po aktualizacji ... tylko co chwile przeszkadza w pracy. Mozilla robi inaczje - pyta sie raz: zainstalowac teraz nowgo ff ? Jezeli nie chcesz teraz to przy nastepnym uruchomieniu to zrobimy. Ale ms wie lepiej i "Musisz teraz uruchomic bo wspanialomyslny M$ wydał poprawke i po niej moze byc ponowne uruchomienie komputera wiec MUSISZ teraz KONIECZNIE GO zrestartować, a jak nie chce to i tak będziemy Ci przeszkadzac w pracy non stop az to zrobisz ewentualnie jak pojdziesz spac to i tak Ci uruchomimy ponownie komputer czy tego chcesz czy nie". Ta polityka powinna być zmieniona.

6. Jak już się tak rozpisałem to wspomne tylko delikanie o Viscie (która narazie jeszcze uzywam po tym jak mi laptopa z serwisu przywiezli, bo mi sie nie chce xp instalowac a dwa ze chce zobaczyc co nowe poprawki z m$ polepszaja/pogarszaja) to to ze domyslnie jestemy zapisani do spolecznosci ms spynet. i systemik sam sobie wysyla informacje, niewiadomo jakie, niby anonimowe ... no ale wiadomo ze w internecie wiadomo ze nikt dzisiaj nie jest anonimowy, niby jest nagonka na google, ma brak prywatnosci ... ale jak instalowalem jakikolwiek od googla program to sie mnie pytal czy chce wysylac anonimowe statystyki czy NIE, nie musialem wchodzic w jakies ustawienia i dopiero tam to zmieniac, nie robil tego domyslnie (tak na marginesie do
dam, ze ci co sie tak bronia tego ze google im czyta poczte ... czyta ale robot. nawet nie wiecie ile takich robotow na serwach wam czyta poczte ... antyspam, antywir ... i on musi przeczytac zawartosc zeby ocenic ... wiec kolejny PROGRAM nie czlowiek ktory to czyta, i mamy reklamy ktore nam odpowiadaja, ale praktycznie 90% userow i ja nie zauwaza i nie widzi).

I tak na koniec dodam, że ja nie chce nikogo odciągać od jednego czy drugiego systemu, ja sobie używam visty i ubuntu (jedno do grania, jedno w biurze), lenistwo sprawia tylko, że nie chce mi się czasem przełączać z jednego systemu na 2, i wychodzi że sobie nie pogram :P hehehe.


Opisałem w większości tutaj ms, gdyż tego tyczył się felieton i poprawek to niego. To co dorzucilem więcej - moje przemyślenia i doświadczenia.

ps. pozdro dla wszystkich pseudohackerow, useragenterowchangerow :) nie ukrywam sie z tym ze mam viste ... bo trzeba jednak sprawdzac co jak nowy soft sie sprawuje, jak dziala, jednym slowem wysylac do m$ po każdej kraksie programu (czy zauwazyliscie ze na viscie media player z ms nigdy sie nie zawiesz ? tylko jakis program inny powoduje ze wmp musi sie zamknac ? hehe)

pozdro dla nocnych markow i powodzenia w konkursie DP ;)

a tym co przeczytali ten komentarz do konca to gratuluje.

No nie badzmy smieszni.
Powazny admin w powaznej firmie bedzie bardzo zainteresowany poprawkami. A w dobie dzisiejszych rozwiazan, np RSS to chyba nie problem wydac poprawki kiedy sa gotowe?
Wypuscic jakas poprawke ktora da mozliwosc adminom sprawdzania kiedy i jaka poprawka wyjdzie (vide rss - 1-3 dni wczesniej) i beda mieli czas sie przygtowac.
Nie ma sensu udowadniac na sile jakiejs tezy.
Na szczescie mi jako zwyklemu uzytkownikowi to ****i niech sobie beda raz w miesiacu (a nie da sie przypadkiem w takich firmach zrobic auto zeby nie bylo klopotow? moze i nie), ale martwic powinni sie walsciciele duzych firm, bankow itd bo to oni sa najbardziej anrazeni na szkody w przypadku dziur.

A moje zdanie jest takie:
Co miesięczne poprawki to pomyłka M$, ten system jest zbyt popularny żeby można było sobie pozwolić na coś takiego, przypuszczalna sytuacja, ktoś odkryje luke, wydaje one-day-exploit po czym pisze wirusa ktory ropowszechnia sie na setki tysiecy komputerow, i ma na to miesiac! skrocenie tego czasu oczwiście pozowiloby na zmniejszenie tego procederu.

Druga kwestia to sam system Windows jest niezabezpieczonym (nie wymagane haslo administratora przy instalacji, slaby podzial miedzy uzytkownikow etc. (nie będę się rozpisywał to można wygooglić).

Trzecia kwestia to dziury które znane są mi od kilku ladnych lat, dalej są aktywne! (typu zdobycie uprawnień systemu majac dostęp do wiersza poleceń).

Co do felietonu IMHO autor wyszedl z złego założenia to że M$ zna jako pierwszy dziury, taka sytuacja to góra 15% przypadków więc co miesięczne wydawanie łatek jest kpinal z ludzi ktorzy wydaja troche kasy na ich system.

No ale czekamy na W7, moze to coś pokaże, XP nie jest zły ale dobre zabezpieczenie tego systemu (da sie owszem da się) zajmoje więcej czasu niż postawienie Debiana z netinstall'a.

A i do tych trolli z góry, którzy piszą że "zaraz się linuksiarze zbiegnal i beda . . ." przeczytajcie swoj post z zrozumieniem, wlasnie to samo robicie tylko "broniac" inna strone . . .

Pozdrawiam Misiek.

@synvortalu no tak, ja też rozumiem tą politykę poprawek, jednak coś wciąż coś w niej zgrzyta moim zdaniem. Dlaczego? Otóż dlatego, że w dzisiejszych czasach mało który zaawansowany i rozgarnięty użytkownik używa IE bo wie, że jeśli jest jakaś nie załatana luka w tej przeglądarce, to na bank wykorzystuje ją jakaś niezbyt przyjazna strona internetowa bo IE jest przeglądarką najpopularniejszą i każdy szanujący się hacker chce w niej znaleźć swoją własną dziurę ^_^ Wg mnie najlepszym schematem dla tej przeglądarki byłaby strategia którą praktykuje opera software: odkrycie krytycznej dziury - szybka poprawka, nowa wersja przeglądarki co kilka miesięcy - załatanie większości znanych i niejawnych dziur. Niestety coś mi ostatnio kuleje operka z wydajnością (obciążenie procesora).

Strasznie zawiła ideologia autora (autor chyba chce sie dostać lizusostwem do pracy w M$).

1. firefox kontra ie - a ile jest błędów znanych i nie zalatanych? ;)

2. skoro jest błąd to trzeba go poprawiać jak najszybciej, a nie wydawać zalecenie "proszę wyłączyć ta a ta usługę do czasu ...."

3. poprawianie błędów - testy administratorów, a co jest za różnica czy poprawiam błędy na m$ czy open source? wszystko trzeba sprawdzić, a czekanie z krytycznymi lukami ... miesiąc to kpina

4. czytając ten artykuł, sadze ze autor chyba mało odczynienia z administracja (przytaczane przykłady)

Pozdrawiam

A w czym zwykłym użytkownikom przeszkadzałyby częstsze aktualizacje? Przecież jak ktoś nie chce to nie musi ich pobierać... Nie zgodzę się z tezą, że jest to bezpieczne dla użytkowników.
Dlaczego Linux, którego kod źródłowy może przeglądać każdy jest uważany mimo wszystko za bezpieczniejszy system niż Windows?

Ja używam Suse i Ubuntu i aktualizacje pojawiają się kilka razy w tygodniu ;-)

ok, harmonogramowe wydawanie łątek co miesiąc jest fajne i ma sens autorze tekstu... a wydanie łatki na krytyczną dziurę po ponad 250 dniach też jest takie fajne? :)

@PIO
""Jeśli istnieje exploit, to ktoś na nim ucierpi. Informację o problemach trafiają do WinSE a później do zespołów odpowiedzialnych za wadliwy kod....""

Hmm. Fajny tekst. Niestety jakby to była prawda to nie istnieją botnety :-)
Nie wspominając o użyszkodnikach którzy przychodzą do mnie z problemem typu: "Antywirus ostrzega mnie że wysyłam dużo poczty a nie mam włączonego programu pocztowego" (bez antywira nic by nie wiedział) lub "Admin odciął mnie od sieci bo ją obciążam a nie mam włączonej nawet przeglądarki" (ludzie bez antywira).

@Docent - dla mnie "luka publicznie nieznana" to "luka o której nie wiedzą użytkownicy" i nie jest to równoznaczne "wie o niej tylko M$"
I w tym kontekście comiesięczne biuletyny to porażka.

|
@małaMi

"Ile Panu zapłacili?"

Masz dowody? Przedstaw je publicznie.
Nie masz? Milcz.
|

"zastanow sie - gdzie jest trudniej wykryc dziure i ja wykorzystac - w czyms zamknietym, czy powszechnie dostepnym? "
Prawda jest taka że dostępność kodu źródłowego ma mało wspólnego z możliwością wykrycia dziury.
Nikt nie szuka dziur patrząc tylko w kod źródłowy. Znalezienie dziury w ten sposób jest mało prawdopodobne bo trzeba by było przejrzeć cały kod źródłowy i - co najważniejsze - go zrozumieć.
Każdy hacker czy cracker szuka dziur badając jak się zachowuje uruchomiony (skompilowany!) program.
Przykład: Michał Zalewski (znany jako lcamtuf) swego czasu wykrył identyczne dziury w IE i Firefoksie. Tylko Firefox ma otwarty kod źródłowy, i jak widać na tym przykładzie wcale on nie był mu do tego potrzebny.
http://it.slashdot.org/article.pl?sid=07/02/27/021206
Kod źródłowy znacznie bardziej przydaje się przy analizowaniu wykrytej luki i szukaniu sposobu na jej załatanie.

@penguin
"poza tym ile ludzi korzysta z opensource a ile z rozwiazan microsoftu?"
Tyle samo, albo nawet więcej.
Policz sobie ile serwerów stoi na Linuksie, BSD czy Solarisie, policz sobie ile serwerów www to Apache, policz sobie ile osób korzysta z Firefoksa, policz sobie ile serwerów korzysta z OpenSSH (tutaj mogę ci nawet podpowiedzieć: ok 90%), policz wszystkie serwery MySQL i PostgreSQL, policz wszystkie serwery PHP.

@Azrael Nightwalker

"Policz sobie ile serwerów stoi na Linuksie, BSD czy Solarisie, (...)"

oczywiscie nie sposob sie nie zgodzic. ja jednak odszedlem od bardziej profesjonalnych zastosowan komputerow i skupilem sie na szarych uzytkownikach. na desktopach przewaga windowsow jest- czy tego (linuksiarze) chcemy czy nie- przerazajaco wysoka.

Nezumi -> Przestępca nie musi sam wykryć błędu. Są specjalne fora, w którym tylko ludzie z danego kręgu wymieniają się informacjami. Od czego jest Internet?

Właściwie Docent jedynie nakreślił intencje, dla których Microsoft wydaje łaty raz w miesiącu (zazwyczaj). I za to jestem mu wdzięczny, bo przyznam, że sam tego nie rozumiałem. :) Nie zamierzam oceniać, czy ten model jest słuszny, bo myślę, że w Microsofcie znajduje się wiele osób, które to dogłębnie przemyślały, zanim wprowadziły w życie. I nie czuję się takim specem od zabezpieczeń (jak i Docent), by to oceniać.

Dzięki!

Co do tego, że M$ ma więcej czasu na przetestowanie łatki, pamięta ktoś jeszcze łatkę która łatała łatkę ? :D Podobno jeśli płacisz to wymagasz, żeby było bezpieczne ale dla wielkich korporacji (nie tylko Microsoftu) nasze bezpieczeństwo jest obojętne, ważne, że skasowali, a to, że za odblokowanie naszego kompa/formowego serwera (co zdarza się częściej) po ataku hakera trzeba przelać pewną sumę na jego konto zupełnie nie obchodzi.

...cóż "penguin" na początku napisał wszystko co chciałem powiedzieć po przeczytaniu tego "specjalistycznego wywodu" Pana "specjalisty" ...podsumuję tylko po swojemu całość...

zakładanie, że luka "nie jest publicznie znana" i M$ może "spokojnie kontrolować cykl wydawania poprawek" jest po prostu śmieszne... Posługując się rachunkiem prawdopodobieństwa można założyć, że przy takiej ilości komputerów z windowsem to raczej nie możliwe żeby coś było znane tylko MS (no chyba że pisząc program wiedzieli, że jest błąd i machnęli na niego ręką)...

Poza tym panie Docencie, to M$ w swoich laboratoriach odkrywa luki? :) ...bo ja zawsze myślałem, że błędy wychodzą w tak zwanym "życiu codziennym" i podczas używania programu/systemu... owszem są profesjonalne testy w laboratorium producenta... ale one NIGDY nie wykryją wszystkich błędów... to samo tyczy się OS, myśli Pan, że błędy odkrywane są przez "oglądanie kodu" ? :) ...pewnie jakiś mały procent tak, ale większość wyłazi w codziennym użytkowaniu programów... proponuję poczytać fora lub listy dyskusyjne od jakiś projektów open source... ...nikt tam nie pisze "...znalazłem błąd w 1754 lini w pliku cośtam.c" (zdarzają sie takie posty ale to kilka procent całości) można tam przeczytać raczej "jak klikam w to, to pokazuje się tamto i program pada" a bardziej doświadczeni dodają "...i następuje przepełnienie bufora co daje teoretyczną możliwość wykonania innego kodu..." TAK się odkrywa błędy... i te w bezpieczeństwie też... pan Docent chyba nie uważał na wykładach z inżynierii programowania...

Niech Pan przemyśli swoje argumenty na temat super polityki M$, bo jeżeli jakiś błąd jest znany chociaż jednej osobie spoza firmy produkującej software to już możemy mówić że błąd jest znany publicznie...

Przewaga OS polega na tym, że jak ktoś odkryję błąd to równocześnie w kilku miejscach świata ktoś inny podejmuję próbę usunięcia tego błędu, a swoimi doświadczeniami dzieli się z autorami programu, którzy już na stracie mają łatwiejsze zadanie... a jeżeli mówimy o zastosowaniach naprawdę WAŻNYCH gdzie nie może być mowy o BŁĘDACH - inżynierowie sami mogą napisać poprawkę i skompilować program... TO jest przewaga OS (nie mylić z domowym użytkownikiem - to odp. na ewentualne argumenty w stylu "a ile osób poprawia sobie programy")

W przypadku M$ trzeba się tylko modlić :) ...o to żeby nie przyszedł do mnie zły hacker i nie wykorzystał błędu przed biuletynem M$.... no zawsze można wyłączyć system do następnej środy (albo i do środy za dwa tygodnie)... Oczywiście przykład ten jest mocno naciągany... ale w przypadku zastosowań naprawdę poważnych ma to znaczenie...

W bardzo złożonych programach występuje bardzo duża ilość sytuacji, które mogą się wydarzyć podczas wykonywania programu przez komputer... dodając jeszcze interakcję z użytkownikiem mamy mieszankę wybuchową - Z doświadczenia wiem, że użytkownicy potrafią czasami powalić dobrze napisany program...

Bez urazy, ale czytając czasami "fachowe" wywody na tym vortalu odnoszę wrażenie, że ludzie je piszący mają trochę ograniczoną wiedzę z zakresu informatyki... ...a ich doświadczenie to liczenie i instalowanie łatek na windowsie.... o tekstach Linuks vs Windows już nie wspomnę...

Bardzo ciekawy felieton. Licze na czestsze publikacje!

Po przeczytaniu wszystkich komentarzy mozna na prawde zniechecic sie do uzywania jakiegokolwiek systemu operacyjnego - nie wspominajac juz o konkretnym oprogramowaniu...

Swoja droga ciekawi mnie ilu z komentujacych jest programistami, a juz konkretniej ilu zajmuje sie pisaniem poprawek newralgicznych czesci systemu operacyjnego :)

Jestem fanem OS. Lecz korzystam też z produktów MS. Jeśli chodzi o porównanie lisa z IE pod względem łatek to artykuł mnie przekonał. Jednak dalej będę korzystał z liska bo IE posiada mnóstwo drobnych (dla mnie) wad które doprowadzają mnie do szału.

Uważam że wszystko ma swoje wady i zalety. Trzeba tylko dobrze rozważyć wszystkie z nich. To musimy zrobić sami.

Felieton napisany jest bardzo zgrabnie, co nie przeszkadza aby był tendencyjny. Parę osób wytknęło już zawarte w nim błędy wiec nie będę powtarzał tego samego.
Mała uwaga do "Docenta": tak to już jest, że chcąc uchodzić za mądrzejszego niż się jest, wychodzi się zazwyczaj na durnia. :D

Z jednym musze sie zgodzic, co wczesniej 2 osoby napisaly, wykrycie jakiegos bledu patrzac w kod graniczy z cudem... i mam tu na mysli swoj kod, bo czyis i to w takich produktach jak np: FF to juz wogole obled. Programuje od 7 lat i z reguly bledy (oczywiscie nie takie jak luki w bezpieczenstwach) w 95% przypadkow ujawnialy sie w czasie uzytkowania aplikacji/gry.. oo cos jest nie tak - potem dopiero patrze w kod + ew. debuger i lecimy z tym koksem. Ale zeby patrzyc tylko w kod to jest malo prawdopodobne. To w pewnym sensie odbiera tez argument srodowisku open source ze tysiace osob przegladaja kod linuxa i dlatego jest bezpieczniejszy... to jest naciagane, to ze go przeglada tyle osob conajwyzej poprawia szybkosc latania dziur, weryfikacje bledu oraz sposobu jego neutralizacji.

Co do poprawek MS... chyba poprzedni komentujacy powiedzieli juz wszystko w tym temacie, ja dodam tylko tyle: wydawac poprawki MS powinien najszybciej jak mozna, a sam Windows powinien miec funkcje kiedy je pobierac, wtedy domowy user ustawia sobie wtedy gdy tylko sa dostepne a administratorzy przykladowo raz na miesiac. I wszyscy sa zadowoleni.

|
@M@ster

„Ale zeby patrzyc tylko w kod to jest malo prawdopodobne. To w pewnym sensie odbiera tez argument srodowisku open source ze tysiace osob przegladaja kod linuxa i dlatego jest bezpieczniejszy... to jest naciagane, (...)


Ciekawa wypowiedź. Potwierdza moją intuicję (bo wiedzy o programowaniu nie mam), dotyczącą różnych mitów związanych z OS. Nigdy nie byłem w stanie wyobrazić sobie tych rzesz programistów, którzy wieczorkiem, po kolacji, zasiadają przed komputerem i zaczynają... przeglądać czyjś kod w poszukiwaniu dziur związanych z bezpieczeństwem. ;)

Ale za słowa „to jest naciągane” i tak zaraz dostaniesz ochrzan od co bardziej zacietrzewionych ewangelistów OS... ;)
|

Wszystko cacy, wszystko pęknie... Poza jednym.
Po tym artykule widać, że jesteś zwolennikiem lub co najmniej nie korzystałeś nigdy z innego systemu niż Windows.

Są dwa stanowiska za i przeciw wydawania łatek jak najszybciej/wydawania łatek co miesiąc. Zarówno ta i ta metoda ma zalety i wady i zwolennik OS opowie się za tą pierwszą, a zwolennik zamkniętego kodu za drugą. Nie ma w tym nic dziwnego. Jednak Ty Docencie postanowiłeś przekonać dlaczego Microsoft nie może wydawać łatek zaraz po ich stworzeniu i przetestowaniu. Otóż może - czy musi i chce to jego sprawa, jednak na pewno może. Ty przyjąłeś stanowisko, że to szkodzi administratorom, że tak jest bezpieczniej i w tym szaleństwie jest metoda. Wiele osób ma jednak odmienne zdanie i w ich szaleństwie też jest metoda.

Na przyszłość IMO powinieneś unikać tego typu felietonów, bo następny mógłbyś zatytułować "Dlaczego 90% ludzi używa Windowsa, a nie Linuksa" - a odpowiedzi tak samo wiele, jak różnic miedzy tymi OS'ami.

Pozdrawiam!

P.S.

Gdyby ktoś chciał się się przyczepić do tego, z jakiego systemu ja piszę to od razu odpowiadam - Visual Studio mnie do tego zmusiło ;) (tak wiem, że jest mono pod Linuxem) :)

Tłumaczenie dość śmieszne. Czemu w takim razie Microsoft nie wydaje poprawek raz na rok? Wyobrażacie sobie co by się działo? A przecież "nikt tych luk nie zna do czasu opublikowania"... Jako klient który za to płaci ŻĄDAM natychmiastowej naprawy błędu.

Witam.

Pozwolę sobie przedstawić swój pogląd na temat zamkniętego i otwartego oprogramowania.

Wiadomą rzeczą jest, że zamknięte oprogramowanie jest atrakcyjniejsze dla przestępców z prostego powodu - to, co trudno dostępne, niesie ze sobą potencjalny, duży bagaż korzyści - w przypadku poznania tegoż kodu i wprowadzenia do niego modyfikacji lub stworzenia kodu, pozwalającego je (słabe punkty) wykorzystać.

Programiści pracujący przy zamkniętym kodzie, są tylko ludźmi. Jak każdy człowiek ma swoje ambicje czy marzenia. Załóżmy, że przestępca, w wyniku szantażu czy przekupienia, pozyskuje takiego programistę do współpracy. Znając harmonogram wprowadzenia poprawek, słabego punktu w kodzie, może odpowiednio wcześniej napisać program go wykorzystujący czy po prostu przekazać te informacje "pracodawcy", gdzie dalsze działanie przejmą programiści trzeci. Nawet, przy założeniu, że na poprawkę trzeba czekać miesiąc, to i tak jest to atrakcyjne. Przy zmasowanym ataku, w ciągu paru godzin czy dni, można osiągnąć korzyści.

W przypadku otwartego kodu, zagrożenie jest, według mnie, mniejsze. Dlaczego. Dlatego, że dostęp do niego mają wszyscy zainteresowani. A to prowadzi do tego, że nawet jak ktoś znajdzie lukę i chce ją wykorzystać - to w tym czasie inny programista może ją skutecznie wyeliminować. O ile przy zamkniętym kodzie pracuje n programistów, to przy otwartym n+1 - zawsze jest ktoś, kto może załatać lukę.

Oczywiście nie mam tu na myśli tego, że ktoś siedzi i patrzy linijkę po linijce i szuka dziury. To jest nierealne. Dziur szuka się testując znane zagrożenia czy wymyślając nowe. Luki istnieją, istniały i będą istnieć. Ważny tutaj jest czas reakcji, jak dla mnie.

Ideą otwartego oprogramowania jest to, że każde poprawki czy modyfikacje są udostępniane innym. Dzięki temu, w przypadku wprowadzenia "luk celowych", prędzej czy później są one wyłapywane i wychodzi poprawka, a taki delikwent, zapewne jest eliminowany z grona osób mogących coś więcej w społeczności. Odwrotnie niż, to miejsce np. w Microsofcie (tutaj równie dobrze może być Adobe, etc.). Tutaj mamy cykl zamknięty o ograniczonym czasie czy możliwościach. Jeśli nawet patrzysz na coś setny raz, to i tak osoba o świeżym spojrzeniu znajdzie błąd (pracowałem w branży dtp. Zrobiłem projekt. Sprawdziłem - gra. Koleżanka przejrzała - gra. Przyszedł znajomy - Ty, stary, tu masz byka!!)

Być może moje wnioski są złe lub nie odpowiadają do końca prawdzie. Nie siedzę w tej tematyce, jak niektórzy "fachowcy" powyżej. Biorę to na zdrowy rozsądek. Ale takie się wysnuwają podczas czytania takich artykułów czy komentarzy - oczywiście z pominięciem tych o teoriach spiskowych czy zwykłego bełkotu fanatyków.

Szczerze mówiąc, mało mnie interesuje jakiego typu oprogramowanie wykorzystuję. Ma być bezpieczne i funkcjonalne. Obie podejścia do tematu (zamknięte, otwarte) mają swoje wady i zalety. Nie przypominam sobie idealnego rozwiązania.

a ja jak was chłopcy czytam to mi sie coś robi a wiecie dlaczego a no dlatego że najpierw sie krzyczy ze monopolista potem nie u dacznik a na koniec jeszcze kilka innych bzdurek . Łaty były są będą i nie zginą
po pierwsze nikt nie napisał jeszcze niczego bez dziury
po drugie wszystko jest dziurawe jak sito i to tylko kwestia czasu co kto znajdzie i w czym i do czego wykorzysta
po trzecie nie warto tłumaczyć rzeczy oczywistych bo szkoda czasu i tak wrogowie okienek powiedzą ze to syf i tak dalej i tak dalej . Wniosek chwała za łatki i za to ze je mamy jak komuś nie pasują nie instaluje i nie narzeka . Jak jest geniusz wśród nas niech napisze darmowy system wolny od poprawek odporny na wirusy i tym podobne historie i zdobędzie 90% rynku pozdrawiam wolno myślicieli

tak tak. raz słyszałem od znawcy z ******* że mając otwarty kod można łatwo złamać szyfrowanie, bo przecież jest tam w kodzie jak się szyfruje. te argumenty pseudointelektualne o różnicach między kodem otwartym i zamkniętym to ***********..... .żenuła

A ja i tak uważam że otwarte oprogramowanie jest bezpieczniejsze a Firefox napewno jest lepszy od IE

Jest tylko jedna bezpieczna metoda korzystania z Windows. Odpalać komputer tylko raz w miesiącu, by pobrać poprawki. Taka jeszcze drobnostka: " ...Skoro luka jest publicznie nieznana, istnieje marginalne więc prawdopodobieństwo, że powstanie exploit (kod pozwalający wykorzystać tę lukę innym, np. hakerom), a skoro raczej nie powstanie exploit.." to po co pisac poprawke, przeciez wsystko jest ok? Obłędne rozumowanie Docent jesli to ma swiadczyc o bezpieczeństwie produktu.

drogie i przestarzale ...

http://www.cyberterroryzm.pl/component/content/article/36-aktualnosci/587-latani...