r   e   k   l   a   m   a
r   e   k   l   a   m   a

Raport o bezpieczeństwie Visty skrytykowany

Strona główna Aktualności

Kilka dni temu pracownik Microsoftu dokonał zestawienia dziur w Viście i kilku innych systemach operacyjnych, na podstawie którego wysnuł wniosek, że system Microsoftu jest najbezpieczniejszy. Jak można się było spodziewać, odbiło się to dosyć głośnym echem, także w komentarzach na naszym vortalu. Oprócz reakcji w rodzaju "To nie może być prawda bo powszechnie wiadomo, że Windows jest dziurawy" pojawiły się bardziej dogłębne analizy. Jedną z nich zamieścił Kristian Hermansen na liście Full Disclosure.

Hermansen przyznaje, że Vista mogła mieć mniej dziur w swojej domyślnej instalacji, które były opisane w publicznie dostępnych raportach. Wskazuje jednak na pominięcie dziur załatanych po cichu i które nie były ogłoszone publicznie. Następnie analizuje nieprawidłowości w poszczególnych rozdziałach raportu Jonesa. Na początek zauważa, że choć raport mówi o pierwszych sześciu miesiącach to nie uwzględnia faktu, że firmy mogły kupować Vistę wcześniej niż użytkownicy domowi. Spowodowało to, że mniej osób badających bezpieczeństwo miało dostęp do nowego systemu Microsoftu. Następnie wskazuje na technologię Teredo służącą do tunelowania IPv6. Jest ona powszechnie uważana za niebezpieczną ale Microsoft ignoruje zagrożenie. Ponadto przepisanie na nowo stosu sieciowego oznacza wprowadzenie wielu nowych dziur. Wiele z nich zostało odkrytych ale nie zostały opublikowane.

W przypadku Red Hat Enterprise Linux 4 Workstation Hermansen zauważa, że do dziur zaliczono błędy w takich programach jak PostgreSQL, MySQL, mailman, squid czy emacs. Nie wchodzą one w skład domyślnej instalacji. Nawet w przypadku RHEL4W z zestawem zainstalowanych komponentów podobnym do Visty wiele dziur to mało istotne błędy w Firefoksie. W Viście dziury w IE nie były w ogóle liczone. Kristian Hermansen zwraca uwagę, że w przypadku otwartego oprogramowania nawet najmniejsze błędy są opisywane w formie publicznie dostępnych raportów. Nie dzieje się tak w przypadku oprogramowania zamkniętego, dowiadujemy się tylko o większych dziurach. W przypadku analizy Ubuntu i dystrybucji Novella popełnione zostały podobne błędy. Nie uwzględniono też faktu, że w przypadku błędów w jądrze systemu są one groźne często tylko wtedy gdy załadowany jest odpowiedni moduł. Z kolei w przypadku Mac OS X Hermansen zauważa, że choć reklamowany jako bezpieczny system ten okazał się też mieć dziury, to Jones wymienia takie błędy, które nie mają praktycznie żadnego wpływu na bezpieczeństwo.

Na koniec Hermansen konkluduje, że nie wystarczy policzyć dziury aby orzec który system jest bezpieczniejszy. Trzeba uwzględnić wiele czynników wynikających z architektury poszczególnych systemów, sposobu ich tworzenia oraz charakteru zgłaszanych błędów.

I jeszcze małe przypomnienie dla niektórych żywiołowo komentujących Czytelników. Poglądy różnych osób o których wspominamy w newsach nie zawsze są zgodne z poglądami redakcji. Są publikowane ponieważ zostały uznane za istotne lub ciekawe z różnych powodów oraz były szeroko komentowane w Internecie.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.