Украинский Microsoft предупреждает о последствиях внедрения open source в госорганах

>и опять вы забываете о том, что дырка БЫЛА ДОБАВЛЕНА

А что существует софт куда баги не добавляются? RLY?

> Альт и АСП - это по меньшей мере не политкорректно в нынешних условиях. А вот Бубунта или Мандрива - запросто

ALT, может быть, и не политкорректно, т.к. он уже позиционировался как российский дистрибутив.

А вот ASP оказался невостребованным на российском рынке в связи с появлением проекта Tedora / Russian Fedora. Именно поэтому Украина может полностью национализировать этот проект. Тем более, что раньше ASP был, кажется, украинским проектом Black Cat Linux.

> я устанавливал Oracle на Debian и FreeBSD

И поддерживал? Решение для компаний, не дорожащих своими данными, и, как следствие, не ориентированных на зарабатывание денег. Или для ОС админов с заниженной самооценкой. Ибо никто не мешает ставить на бесплатно скачанный редхат или оел, но ведь надо же показать миру, что я могу. Не могу поверить, чтобы ДБА, дорожащий своей должностью, таким занимался.

> Потому как где печатать тексты кроме MS Word и где можно рисовать кроме Adobe Photoshop - они не знают.

Никсы для школьного учителя освоить на порядок проще фотошопа. Опробовано на жене брата (учитель физкультуры). После перехода на никсы проблема фотошшопа отпадает.

В ООо некоторую проблему составляет излишняя назойливость пакета при наборе текста: пакет пытается завершить слово (это для хоть сколько-нибудь опытного машиниста вообще функция вредная) и проверить орфографию, хотя это резко снижает скорость работы. После отключения этих функций можно молотить вслепую, пакет успевает. Разница в меню с МСО до 2003 не есть проблема -- 2007-й отличается на два порядка сильнее.

>> Альт и АСП - это по меньшей мере не политкорректно в нынешних условиях. А вот Бубунта или Мандрива - запросто

> ALT, может быть, и не политкорректно, т.к. он уже позиционировался как российский дистрибутив.

> А вот ASP оказался невостребованным на российском рынке в связи с появлением проекта Tedora / Russian Fedora. Именно поэтому Украина может полностью национализировать этот проект. Тем более, что раньше ASP был, кажется, украинским проектом Black Cat Linux.

Свидомым филологам, однако, добавится работы -- изобретать полный украинский язык для ИТ. Все же, может быть, пора локализовать эти эксперименты Львовом и окрестностями?

Таки вы смотрели сорцы редхатовского ядра? :)

Он говорит про то что дыру можно вписать в собственную версию любого софта, и этого некоторое время никто не будет замечать. С проприетарщиной чуть проще - дыру гораздо дольше замечать никто не будет, потому что сорцы закрытые. Но открытый код - не панацея от закладок. И в этом свете, что поставить убунту/редхат/*бсд на компьютер, в котором важна защита от закладок, что виндовс - по сути одно и то же. Единственное что - открытая модель разработки софта позволяет уменьшить вероятность появления закладок в транке svn.

>А что существует софт куда баги не добавляются? RLY?

а ничего что дырка была добавлена именно в дебиан(This is caused by an incorrect Debian-specific change to the openssl package) и в RH её не было?

> а ничего что дырка была добавлена именно в дебиан

И что из этого следует?

P.S. У Red Hat с тем же OpenSSH была куда более смешная история...

> Таки вы смотрели сорцы редхатовского ядра? :)

Они недоступны? Или не предоставляются сценарии сборки? А что такое тогда CentOS?

>И что из этого следует?

открытость сорцов - не панацея, а скорее наоборот.

>P.S. У Red Hat с тем же OpenSSH была куда более смешная история...

какая?

> открытость сорцов - не панацея,

Верно.

> а скорее наоборот.

Не вижу причин для такого заключения. Данный баг был обнаружен при code review, который реально возможен именно при открытых исходниках.

> какая?

Ну точнее не столько с SSH, сколько с общей организацией. Они однажды допустили компрометацию репозитория, при чем "подмененным" оказался именно OpenSSH. Деталей они не рассказали, что всех нормальных людей, мягко говоря, удивило, но выглядит всё как утеря/слив ключа подписи репозитория.

http://www.securitylab.ru/news/358356.php

>Он говорит про то что дыру можно вписать в собственную версию любого софта, и этого некоторое время никто не будет замечать.

Какое время?

>Но открытый код - не панацея от закладок.

Панацея не нужна - нужен процесс с высоким КПД. За панацеей - к алхимикам.

>И в этом свете, что поставить убунту/редхат/*бсд на компьютер, в котором важна защита от закладок, что виндовс - по сути одно и то же.

Ни рзу не одно и тоже. Само существование убунт и прочих на рынке при большом количестве читателей сорцов говорит о том что там ничего нет - иначе бы их уже похоронили. Это в опервых. А во вторых - если нужна параноидальная секурити - ванильные сорцы с проекта источника и компилим компилим компилим до упора, а не ищем поставщика который за 100 баксов, а то и вообще бесплатно будет собирать дистры.

>Не вижу причин для такого заключения.

"ванильный" OpenSSH этой дырки не имел.

>http://www.securitylab.ru/news/358356.php

да, припоминаю такое с федорой, но не знал, что RH тоже оказался затронут.

>Какое время?

OpenSSH в дебиане - полтора года. Мало?

>при большом количестве читателей сорцов говорит о том что там ничего нет - иначе бы их уже похоронили.

во-первых, я не уверен, что там так уж много приличных читателей, а во-вторых, для взлома, подозреваю, за глаза хватит дырявейшего фаерфокса

>А во вторых - если нужна параноидальная секурити - ванильные сорцы с проекта источника и компилим компилим компилим до упора

вот и я об этом же. Только ещё сначала внимательно читаем все сорцы и изменения, ага.

> вот и я об этом же. Только ещё сначала внимательно читаем все сорцы и изменения, ага.

Изменения анализировать не так уж сложно. Во всяком случае в хорошо документированном коде (opelssl, по крайней мере та его часть, где был баг к таким, к сожалению не относится - там явно видно использование неинициализированной переменной, но комментов, зачем это надо, нет)

> OpenSSH в дебиане - полтора года. Мало? В случае закрытого кода было бы ещё больше. Уж как говорится, что есть.

Хмм.. Увгбэ разработчики обоих дистров есть в Украине. Что Алта, что АСП. Даж в Донецке по непроверенным слухам некоторые живут.

>Свидомым филологам, однако, добавится работы -- изобретать полный украинский язык для ИТ

мусье желает'c сказать шо истинные славяне пользуют исключительно исконнорусские термины в ИТ? Вы случаем не 1С-ник? ;)

>Хмм.. Увгбэ разработчики обоих дистров есть в Украине. Что Алта, что АСП. Даж в Донецке по непроверенным слухам некоторые живут.

Разработчики и пакетировщики - это немного разные категории. Для своего дистра нет необходимости волокти свой Сифилис или че там у АСП :) Уж лучше выбрать дистр сертифицированный всякими там инстанциями - меньше головняка. И подружиться с головной конторой (хоть Бубунта, хоть Сюзя - любой из них будет рад рекламе на государственном уровне) а локально иметь зеркало основного репозитория, дабы снизить иностранный трафик. Российские дистры в таком разрезе не пройдут.

>Единственное что - открытая модель разработки софта позволяет уменьшить вероятность появления закладок в транке svn.Единственное что - открытая модель разработки софта позволяет уменьшить вероятность появления закладок в транке svn.

Господа, попробуйте вести свой проект ;) Как только он станет хоть сколько то популярен, будет сидеть десяток-другой фанов и каждый день мониторить ваши коммиты (просто из желания попробывать самое свежее). Я не думаю, что вы станете ССЗБ и начнете пропихивать закладку. Тем более, что после определенного уровня, вам ваша репутация будет гораздо дороже, чем закладка. И чем популярнее проект, тем ревнивее вы будете следить за чистотой своей репутации.

>>>>> что чиновники слабо представляют себе масштабы вызовов.

госпади, переводчики не коверкайте русский язык. кто придумал эти дурацкие "вызовы"? когда challenges можно просто в определенных контекстах перевести просто как "трудности", "препятствия"?

>> Потому как где печатать тексты кроме MS Word и где можно рисовать кроме Adobe Photoshop - они не знают. > Никсы для школьного учителя освоить на порядок проще фотошопа. Опробовано на жене брата (учитель физкультуры). После перехода на никсы проблема фотошшопа отпадает.

Это конкретные примеры. Если по моим знакомым судить - тоже будет глобальная победа OpenSource. Однако с окраин моей социальной сети есть информация об 'абсолютно тупых' учителях информатики, работающих в школе потому что больше не кому, или потому что они чьи то родственники.

>Как только он станет хоть сколько то популярен, будет сидеть десяток-другой фанов и каждый день мониторить ваши коммиты (просто из желания попробывать самое свежее). Я не думаю, что вы станете ССЗБ и начнете пропихивать закладку.

дебиан, выходит, непопулярный проект, раз ваше предположение не работает?

>а во-вторых, для взлома, подозреваю, за глаза хватит дырявейшего фаерфокса

В закрытых сорцах ее бы не было или что ты хочешь сказать?

> раз ваше предположение не работает?

Почему не работает? Есть ряд случаев успешного быстрого обнаружения подобных вторжений и один известный фэйл. Статистика говорит за открытые исходники.

>Почему не работает?

потому как человек добавил критическую дырку, а нашли только через 1.5 года.

>один известный фэйл

один ли?

в XP дырки уже вон сколько лет латают. Масштаб в 1.5 года можно сказать супероперативно по понятиям МС.

> потому как человек добавил критическую дырку, а нашли только через 1.5 года. В случае закрытого кода будет ещё дольше - говорили.

а если не видно разницы - зачем перехдить на опенсорц и заниматься всякой фигнёй типа переобучения сотрудников?

>в XP дырки уже вон сколько лет латают. Масштаб в 1.5 года можно сказать супероперативно по понятиям МС.

пример дырки, открытой 1.5 года в студию!

> пример дырки, открытой 1.5 года в студию!

В последнем наборе патчей от МС была исправлена дыра CVE-2007-3091: Race condition allows remote attackers to execute arbitrary code or perform other actions...

> а если не видно разницы - зачем перехдить на опенсорц и заниматься всякой фигнёй типа переобучения сотрудников?

Кому разницы не видно, тому переходить незачем.

> Кому разницы не видно, тому переходить незачем.

это чертовски верно подмечено.