LINUX.ORG.RU
ФорумTalks

Мозилловцы - редиски?


0

0

http://my.opera.com/desktopteam/blog/2008/02/14/9-26-coming-soon

Для Ъ: Mozilla notified us of one security issue ( :) ) the day before they published their public advisory ( :| ). They did not wait for us to come back with an ETA for a fix: they kept their bug reports containing the details of the exploits closed to the public for a few days, and now opened most of them to everybody ( :( ).

Opera is as always committed to not only protecting its users, but to making the Web a safe place. We believe in responsible disclosure of vulnerabilities affecting several vendors.

★★★★

Ответ на: Re: Мозилловцы - редиски? от SplindeR

Re: Мозилловцы - редиски?

>Ну а чего ты ожидал там вычитать? :)

Собственно, по линку изложены голые факты, которые похрен где запощены - мозилловцы выложили сплойты до появления багфикса. Как то это совсем не Ъ.

Ramen ★★★★ ()

Re: Мозилловцы - редиски?

LOR превращается в какую-то свалку, которую никто не читает, но все туда сбрасывают всякую хрень, даже если эта хрень там уже есть.

В общем прежде чем писать (хотя писать вы не умеете, а умеете делать только Copy-Past), научитесь сперва читать.

anonymous ()

Re: Мозилловцы - редиски?

Да. В данном конретном случае они поступили не красиво.

smh ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от overmind88

Re: Мозилловцы - редиски?

Таки слепой, да. Пардон-с.

Модеры, удалите дубль, а то уже "access denied".

Ramen ★★★★ ()

Re: Мозилловцы - редиски?

я не понимаю что не так сделали мозиловцы? может им еще и конк и сафари и MS IE подождать? Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Если информацию скрыть, пользователь может пострадать от злоумышленников пребывая под впечатлением мнимой безопасности.

cobold ★★★ ()

Re: Мозилловцы - редиски?

[:\/\/\/\/\/\/\/\/\/\/\/\:]

Demon37 ★★★★ ()
Ответ на: Re: Мозилловцы - редиски? от cobold

Re: Мозилловцы - редиски?

> Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Суровый админ локалхоста? (с) Сколько лет патчили раскладку клавы в ФФ да так и не допатчили...

DNA_Seq ★★☆☆☆ ()

Re: Мозилловцы - редиски?

А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

robot12 ★★★★★ ()
Ответ на: Re: Мозилловцы - редиски? от DNA_Seq

Re: Мозилловцы - редиски?

неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Если Вы руководствуясь подходом "я не знаю про уязвимость, значит ее нет" "одмините" что-то кроме локалхоста... чтож сочувствую.

cobold ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от robot12

Re: Мозилловцы - редиски?

> А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

Такого вот здесь что: когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

smh ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от smh

Re: Мозилловцы - редиски?

>когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

это не относится к говнопроприетарщине

geek ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от geek

Re: Мозилловцы - редиски?

> это не относится к говнопроприетарщине

Потому что это закрытый софт? Смешно. Это не уважение во первых к себе, ну а потом уже к другим. Впрочем, да, сейчас такие времена, "нападать со спины" модно.

smh ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от geek

Re: Мозилловцы - редиски?

Смысл в том, что есть два более-менее этичных и распространённых варианта:

1. Сразу всё опубликовать.

2. Сообщить разработчикам всех затронутых браузеров, опубликовать позже.

А здесь другой сценарий. Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

anonymfus ★★★★ ()
Ответ на: Re: Мозилловцы - редиски? от anonymfus

Re: Мозилловцы - редиски?

>Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

неэтично тырить опенсорсный код вместе с багами =)

geek ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от geek

Re: Мозилловцы - редиски?

Ты описание уязвимости смотрел? Причём тут код вообще:

>When a user types into a file input, scripts can cause some of the keystrokes to be ignored. If the script can convince the user that they are typing into a normal text input, and not let them see that their keystrokes are being ignored, it can cause the input to point to known file paths on the user's computer. The file can then be uploaded without user interaction.

Эта уязвимость, так сказать, в понимании спецификации. И, кстати, для того, чтобы её найти, исходный код, очевидно, не использовался.

anonymfus ★★★★ ()
Ответ на: Re: Мозилловцы - редиски? от geek

Re: Мозилловцы - редиски?

> неэтично тырить опенсорсный код вместе с багами =)

О дааа... Так Опера и тырит код мозиллы! Ха-ха-ха! :-D Смешно! :-D :-D :-D Все ясно... Говорить здесь больше не о чем.

smh ★★★ ()
Ответ на: Re: Мозилловцы - редиски? от anonymfus

Re: Мозилловцы - редиски?

>Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

Это заявление неэтично с любой стороны, потому что ставит разработчиков в равное положение, ибо ,AFAIK, Opera не OpenSource, а Mozilla Opensource...

botrops-schlegelii ★★ ()
Ответ на: Re: Мозилловцы - редиски? от cobold

Re: Мозилловцы - редиски?

>неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Хинт в том что никто не знает где находится код, "ответственный" за баг и это при наличии исходников.

ЗЫ Не поню чтоб критическая уязвимость в Опере не исправлялась в течении 2х минорных версий... Это к вопросу оперативности исправления.

DNA_Seq ★★☆☆☆ ()
Ответ на: Re: Мозилловцы - редиски? от geek

Re: Мозилловцы - редиски?

>неэтично тырить опенсорсный код вместе с багами =)

А доказательства тыренья кода есть? Если одна и та же бага присутствует в похожих продуктах это отнуюдь не значит что тырили код, проблема может быть в самой спецификации или в реализации прослоек для совместимости

DNA_Seq ★★☆☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.