Во чё творится-то !!!

Я и говорю - надо технократию устанавливать, а юристов всех - к стенке, для профилактики. Пока они этот мир не угробили.

>а юристов всех - к стенке, для профилактики. Пока они этот мир не угробили.

грубо, но после таких новостей и правда... к стенке

Ну-и ? Прйдет время, дыры в безопасности перестанут латать, общество прогнется перед специалистами, поскольку благодаря табу на публичный анализ безопасности, дыры будут такими, что по закрытым сетям можно будет ходить пешком, общество спохватится, и оять сделает шаг в сторону открытости.... маятник.

ИМХО надо девелоперам доложить, а выкладывать уязвимости и эксплойты не стоит.

Об этой истории писалось ещё раньше, сразу после подачи в суд, ещё до его решения. Эксперт и не выкладывал эксплоиты, а всего лишь сообщил, что антивирусный софт той компании не надёжен и привёл в пример конкретные вирусы, которые не ловились. При чём тут реинжиниринг я не понял.

На первый взгляд всё логично, можно даже провести такую аналогию с бытом: Вы обнаружили о том, что сосед уйдя на работу оставил приоткрытой входную дверь. Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.

Но всё-равно как то непмого нелепо, так скоро вообще всеми этими судебными решениями, патентами и прочей мутотенью думать запретят. Что-то противоестественное во всём этом чувствуется :-/

Наверное в последнее время вирусы и спам так надоели, что с ними стали бороться путём сокрытия багов, т.е. если вирусописатель не будет знать уязвимостей, он не напишет вирус. Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете, т.к. после этого появляются вирусы, которые поражают компьютеры нас, простых пользователей.

>На первый взгляд всё логично, можно даже провести такую аналогию с бытом: Вы обнаружили о том, что сосед уйдя на работу оставил приоткрытой входную дверь. Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.

совершенно левая анология....ничего общего с описаной ситуацией...

вот так правильно: фирма продаёт некачественные дверные замки, вот и ори куда хочешь об этом, только проблема в том, что без оглазки производитель часто не торопится иправлять указанные ему ошибки...

>Наверное в последнее время вирусы и спам так надоели, что с ними стали бороться путём сокрытия багов, т.е. если вирусописатель не будет знать уязвимостей, он не напишет вирус. Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете, т.к. после этого появляются вирусы, которые поражают компьютеры нас, простых пользователей.

sed -e s/пользователей/вендузятников/

>вот так правильно: фирма продаёт некачественные дверные замки, вот и ори куда хочешь об этом, только проблема в том, что без оглазки производитель часто не торопится иправлять указанные ему ошибки...

Сначала надо в этом убедиться и предупредить разработчика о последствиях.

>Сначала надо в этом убедиться и предупредить разработчика о последствиях.

полностью согласен, но не всегда помагает...

> Такой способ может и стоит ввести, чтобы девелоперы сообщали фирме, а не размещали в Интернете

Насколько я знаю, сейчас есть некоторый срок между сообщением разработчику и возможностью выложить в интернете.

Представим ситуацию, когда запретят вообще выкладывать в интернете. Куда денутся специалисты по безопасности? Microsoft им что, бабосы за поиск дыр отваливать будет? Нет. Они будут работать по найму. Некоторая подставная фирма нанимает спеца, он находит дыры, а потом эти дыры используются, чтобы гулять по компам. Самое главное - народ не волнуется. Никто не знает - все спокойны. Мечта идиотов.

Вы кушайте бутерброды, кушайте.. куда полез, нечего на него смотреть, ты жри, сволочь и не жалуйся.

>>Сначала надо в этом убедиться и предупредить разработчика о последствиях.

>полностью согласен, но не всегда помагает...

А я несогласен. Право потребителя (особенно - потенциального) этой фирмы знать о том, с кем он связался (собирается связаться), и сделать выводы, важнее. Народ должен знать своих героев. А что этим кто-то может воспользоваться - так надо чётко понимать, что виноват будет не тот, кто об этом рассказал, а тот, кто дыру оставил. Важно, чтобы производитель дырявой программы в результате ушёл с рынка, или хотя бы потерял какую-то его долю, - это стимулирует.

И вообще хорош тут свободу информации ограничивать, а то поводы для этого всегда найдутся.

> надо девелоперам доложить, а выкладывать уязвимости и эксплойты не стоит

Девелоперов надо подбодрить эксплойтами под зад. иначе их от лора не оторвешь

Товарищ, верь пройдет она,
Так называемая гласность,
И вот тогда госбезопасность
Припомнит наши имена...

mikhail хакеры должны сидеть в тюрьме ? :)))

маразм крепчал

>а можно выйти во двор и орать, что сосед мой дверь не закрыл.
Угу пускай создатели этих дыр и дальше дыры плодят, собственно и эти дыры их никто закрывать не заставляет. А лохи пользователи пусть свято верят в непогрешимость этих багописателей. Давайте как страусы голову в песок засунем !

>без оглазки производитель часто не торопится иправлять указанные ему >ошибки...
Вот именно. А пользователи этих замков более чем кто либо имеют право знать что это за "замки".

>И вообще хорош тут свободу информации ограничивать
Дык ! INFORMATION MUST BE FREE!

> http://zdnet.ru/?ID=477015

Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо. Публикация найденных дыр -- это удар по пользователям ПО. Никому от этого не легче, кроме самолюбия "исследователей".

>ашёл дыру -- сообщи разработчику, а кричать на весь мир не надо

а разработчик отправил твой багрепорт прямиком в /dev/null

и что ты будешь делать, зная, что твой комп в любой момент могут поиметь во все щели?

> и что ты будешь делать

Попытаюсь заткнуть дыру и буду искать другого разработчика.

Круто, мля. То-есть, я, такой умный, выкручусь, а остальные пошли нах. А если адекватной замены софту нет?

> Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо.

имхо, неправильно это... количество секьюрити-репортов по тому или иному продукту показывает степень его адекватности и соответствия, профессиональности его разработчиков. Ну а если не будет репортов, то как это можно будет оценить?

> То-есть, я, такой умный, выкручусь, а остальные пошли нах.

Если разработчикам насрать, то разглашение уязвимости для пользователей окажется хуже, чем её утаивание.

>Если разработчикам насрать, то разглашение уязвимости для пользователей окажется хуже, чем её утаивание.

ты прикидываешься идиотом, или нет?

а если дыру кроме тебя ещё нашёл какой-то злой дядька? И придумал, как через эту дыру опустить всех и вся?

ps: если разработчикам насрать, то разглашение уязвимости по крайней мере подтолкнёт какую-то часть юзверей заменить софт. Что минимизирует возможные последствия от атаки.

Хули толковать, dimss крутой затыкатель дыр из Латвии, злых дядек не боицца. Ему только Совет Европы поможет, принятием закона о "защите прав одноногих умалишённых чернокожих танцоров из Японии" (C) с последующим отстрелом.

2mikhail (*) (11.03.2005 0:19:02)
>Сначала надо в этом убедиться и предупредить разработчика о последствиях.
Точно, если производитель лекарства сделал ^%&ню, надо только ему намекнуть, заодно и бабла взять за молчание, а те, кто лекарство уже принял или собирается, пусть жрут то, что производитель ему впихнул.
С такой психологией сам жри. Вместе с производителем.

2dimss (*) (11.03.2005 12:37:33)
>Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо. Публикация найденных дыр -- это удар по пользователям ПО. Никому от этого не легче, кроме самолюбия "исследователей".
О, разработчика издалека видно.
Необходимость обостряет разум.

> Вот и хорошо. Нашёл дыру -- сообщи разработчику, а кричать на весь мир не надо.

Ты вообще не в курсе той истории, почитай ссылки в статье. Там никакого реинжиниринга вообще не было. Человек просто проверил, что антивирус далеко не все известные вирусы ловит, о чём и сообщил, сказав какие конкретно не ловит.

>Можно позвонить соседу на мобильник и сказать ему об этом, а можно выйти во двор и орать, что сосед мой дверь не закрыл.

Причем тут это? Это объявлять об уязвимости КОНКРЕТНОГО хоста, сети.

А сообщать об уязвимости софта - это то же, что и написать в газете, что замки фирмы "Клоунцев и сыновья" открываются женской заколкой на раз, чтобы эти замки не покупали.