LINUX.ORG.RU
ФорумTalks

Мозилловцы - редиски?


0

0

http://my.opera.com/desktopteam/blog/2008/02/14/9-26-coming-soon

Для Ъ: Mozilla notified us of one security issue ( :) ) the day before they published their public advisory ( :| ). They did not wait for us to come back with an ETA for a fix: they kept their bug reports containing the details of the exploits closed to the public for a few days, and now opened most of them to everybody ( :( ).

Opera is as always committed to not only protecting its users, but to making the Web a safe place. We believe in responsible disclosure of vulnerabilities affecting several vendors.

★★★★

Ответ на: комментарий от SplindeR

>Ну а чего ты ожидал там вычитать? :)

Собственно, по линку изложены голые факты, которые похрен где запощены - мозилловцы выложили сплойты до появления багфикса. Как то это совсем не Ъ.

Ramen ★★★★
() автор топика

LOR превращается в какую-то свалку, которую никто не читает, но все туда сбрасывают всякую хрень, даже если эта хрень там уже есть.

В общем прежде чем писать (хотя писать вы не умеете, а умеете делать только Copy-Past), научитесь сперва читать.

anonymous
()

Да. В данном конретном случае они поступили не красиво.

smh ★★★
()
Ответ на: комментарий от overmind88

Таки слепой, да. Пардон-с.

Модеры, удалите дубль, а то уже "access denied".

Ramen ★★★★
() автор топика

я не понимаю что не так сделали мозиловцы? может им еще и конк и сафари и MS IE подождать? Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Если информацию скрыть, пользователь может пострадать от злоумышленников пребывая под впечатлением мнимой безопасности.

cobold ★★★★★
()
Ответ на: комментарий от cobold

> Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Суровый админ локалхоста? (с) Сколько лет патчили раскладку клавы в ФФ да так и не допатчили...

DNA_Seq ★★☆☆☆
()

А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

robot12 ★★★★★
()
Ответ на: комментарий от DNA_Seq

неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Если Вы руководствуясь подходом "я не знаю про уязвимость, значит ее нет" "одмините" что-то кроме локалхоста... чтож сочувствую.

cobold ★★★★★
()
Ответ на: комментарий от robot12

> А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

Такого вот здесь что: когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

smh ★★★
()
Ответ на: комментарий от smh

>когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

это не относится к говнопроприетарщине

geek ★★★
()
Ответ на: комментарий от geek

> это не относится к говнопроприетарщине

Потому что это закрытый софт? Смешно. Это не уважение во первых к себе, ну а потом уже к другим. Впрочем, да, сейчас такие времена, "нападать со спины" модно.

smh ★★★
()
Ответ на: комментарий от geek

Смысл в том, что есть два более-менее этичных и распространённых варианта:

1. Сразу всё опубликовать.

2. Сообщить разработчикам всех затронутых браузеров, опубликовать позже.

А здесь другой сценарий. Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

anonymfus ★★★★
()
Ответ на: комментарий от anonymfus

>Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

неэтично тырить опенсорсный код вместе с багами =)

geek ★★★
()
Ответ на: комментарий от geek

Ты описание уязвимости смотрел? Причём тут код вообще:

>When a user types into a file input, scripts can cause some of the keystrokes to be ignored. If the script can convince the user that they are typing into a normal text input, and not let them see that their keystrokes are being ignored, it can cause the input to point to known file paths on the user's computer. The file can then be uploaded without user interaction.

Эта уязвимость, так сказать, в понимании спецификации. И, кстати, для того, чтобы её найти, исходный код, очевидно, не использовался.

anonymfus ★★★★
()
Ответ на: комментарий от geek

> неэтично тырить опенсорсный код вместе с багами =)

О дааа... Так Опера и тырит код мозиллы! Ха-ха-ха! :-D Смешно! :-D :-D :-D Все ясно... Говорить здесь больше не о чем.

smh ★★★
()
Ответ на: комментарий от anonymfus

>Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

Это заявление неэтично с любой стороны, потому что ставит разработчиков в равное положение, ибо ,AFAIK, Opera не OpenSource, а Mozilla Opensource...

botrops-schlegelii ★★
()
Ответ на: комментарий от cobold

>неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Хинт в том что никто не знает где находится код, "ответственный" за баг и это при наличии исходников.

ЗЫ Не поню чтоб критическая уязвимость в Опере не исправлялась в течении 2х минорных версий... Это к вопросу оперативности исправления.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от geek

>неэтично тырить опенсорсный код вместе с багами =)

А доказательства тыренья кода есть? Если одна и та же бага присутствует в похожих продуктах это отнуюдь не значит что тырили код, проблема может быть в самой спецификации или в реализации прослоек для совместимости

DNA_Seq ★★☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks