На мой взгляд, положительное в статье -- это обзор сообщений об уязвимостях в разных дистрибутивах и операционных системах. Сравнивать так напрямую Debian со всем набором программ и Windows не вполне корректно.

>На мой взгляд, положительное в статье -- это обзор сообщений об уязвимостях в разных дистрибутивах и операционных системах. Сравнивать так напрямую Debian со всем набором программ и Windows не вполне корректно.

100% согласен.

>Сравнивать так напрямую Debian со всем набором программ и Windows не вполне корректно.

согласен. статья бред 100%. к примеру к дебияну приписали уязвимости в Drupal, gallery, apache и даже тандерберд. ну это ИМХО вобще невкакие ворота не лезет.

В винде "забыли" про IIS и сотоварищей. а ведь там могут стоять тотже тандерберд, апач, и друпал. и уязвимость в вендовом апаче гораздо более серьезна чем уязвимость запущщенго в chroot'e апача в линухе.

> Цитата: Хуже всего приходится администраторам Linux систем, для некоторых из Linux дистрибутивов патчи выходят каждый день.

Ой тяжко администраторам Linux систем. Надо бы делать ровно одно обновление в год, чтобы они не страдали и день этот назвать праздником всех администраторов Linux-систем :)

Да уж, фраза об администраторах linux прояснила суть статьи и квалификацию аффтара.

>В настоящее время известно о 3-х незакрытых уязвимостей в операционной системе Windows XP – DoS атака при обработке WMF файлов (CVE-2006-4071), DoS атака при обработке SMB сообщений (CVE-2006-3942) и DoS атака при обработке CMH файлов (CVE-2006-2297).

LOL. Даже при ничтожной по сравнению с дистрибутивами Линукса функциональности мелкомягкие не затыкают в вантузе дыры. Что и требовалось доказать.

LOL сравнивать ОС Windows и дистрибутив Линукса, напиханный всяким говном доверху, причем не в пользу Винды по количеству ошибок.

В Linux ошибки исправлены, а в Windows --- нет.

Вообще-то автор и не сравнивает. В начале статьи и в комментариях написано, что "сравнение приведенных цифр не корректно". Столько звездочек, а статью наискосок глядите. Не стоит порождать флейм, правда?

> Вообще-то автор и не сравнивает. В начале статьи и в комментариях написано, что "сравнение приведенных цифр не корректно". Столько звездочек, а статью наискосок глядите. Не стоит порождать флейм, правда?

А тогда какова цель данной статьи? Ничего кроме флеймообразования я в ней не вижу.

> А тогда какова цель данной статьи.

Если вы прочитаете хотя бы новость на ЛОРе, то увидете такую фразу: "Цель данной статьи предоставить статистические данные по количеству обнаруженных и закрытых уязвимостей в популярных операционных системах". Стоит лишь внимательно приглядеться...

>На мой взгляд, положительное в статье -- это обзор сообщений об уязвимостях в разных дистрибутивах и операционных системах. Сравнивать так напрямую Debian со всем набором программ и Windows не вполне корректно.

согласен

>Если вы прочитаете хотя бы новость на ЛОРе, то увидете такую фразу: "Цель данной статьи предоставить статистические данные по количеству обнаруженных и закрытых уязвимостей в популярных операционных системах". Стоит лишь внимательно приглядеться...

ага. только с каких это пор друпал стал частью ОС?

>Если вы прочитаете хотя бы новость на ЛОРе, то увидете такую фразу: "Цель данной статьи предоставить статистические данные по количеству обнаруженных и закрытых уязвимостей в популярных операционных системах".

А в чем ценность, достоверность, смысл данной статистики? А то получилоась как про ложь, большую ложь и статистику.

Имело бы еще смысл взять стандартные рекомендованные конфигурации сервера / рабочей станции (или несколько вероятных конфигураций) близкой функциональности и сравнить число багов в них.

А в каком-нибудь сендмыле уязвимостей еще лет на десять хватит, это еще DJB гениально предвидел.

>Если вы прочитаете хотя бы новость на ЛОРе, то увидете такую фразу: "Цель данной статьи предоставить статистические данные по количеству обнаруженных и закрытых уязвимостей в популярных операционных системах". Стоит лишь внимательно приглядеться...

Это я видел, но только данная статистика ни к чему кроме флейма не располагает

Все зависит от вашего желания и уровня развития.

Почему-то большинство стали в первую очередь смотреть на то, как соотносится Windows и Linux. А ведь гораздо интереснее посмотреть соотношение цифр различных ОС на базе Linux.

> А в чем ценность, достоверность, смысл данной статистики Я думаю это надо спросить у автора статьи. Достоверность у меня тоже местами вызывает сомнения.

ОС - вообще вещь не понятная.

В винде единый дистрибутив. Все остальное - по боку.

А Линукс?(прошу не говорить, что линукс - это ядро, никто не имеет этого ввиду)

Если сравнивать _системы_, то с чем сравнивать винду?

с GNU official? а разве в ней есть вебсервер? Апач хоть и под ГПЛ - он же не официальный ГНУ проект.

кстати

>>В настоящее время неизвестно о наличии незакрытых уязвимостей в Slackware Linux 10.x.

ну хорошо. RHEL. там была найдена уязвимость в imagemagic а если он не установлен? вообще, говорить, что imagemagic - часть системы... странно. она не критична для работоспособности.

> с GNU official? а разве в ней есть вебсервер? Апач хоть и под ГПЛ

Убей себя об стену, знаток веб серверов. Apache под Apache License, которая являются BSD like лицензией. Великий GNU - это GCC, Emacs, системные тулзы + куча бесполезных и не особо востребованных проектов, которые сводятся к "написанию своего ядра" и т.д.

"В настоящее время неизвестно о наличии незакрытых уязвимостей в Slackware Linux 10.x."

известно, прокладка между стулом и дисплюем :)

Сравнивать ДИСТРИБУТИВЫ Linux с ОС Windows(tm) некорректно по сути.

Если бы сравнивались только Дистрибутивы Linux или, например, кол-во РАЗНЫХ закрытых багов командой разработчиков RHEL, Fedora, Debian, Gentoo и тд, то все было бы гораздо вменяемей.

> с GNU official? а разве в ней есть вебсервер? Апач хоть и под ГПЛ - он же не официальный ГНУ проект.

Вызывающе неверная информация. Apache никогда не распространялся и не распространяется под GPL.

Просто супер. "Вообще-то автор и не сравнивает.", однако "Цель данной статьи предоставить статистические данные".

Нафига собирать статистику одного свойства у разных объектов, если потом эти объекты по этому свойству не сравнивать? Автору нечего делать?

В OpenBSD и NetBSD, как я понимаю, вообще за год ни одной уязвимости не было (т.к. даже не включили в список), а FreeBSD с лёгкостью обходит остальных участников списка! ;)

> Sun Solaris 10 > В Августе 2006 года было сообщено о 6 дырах в операционной > системе Sun Solaris 10 – небезопасные разрешения в pkgadd, > несколько уязвимостей в Mozilla, поднятие привилегий в RBAC, > локальный DoS в обработке netstat или SNMP запросов и DoS > при интенсивной сетевой активности.

ЛОР конечно ЛОР'ом, но афтар реально "не в теме". Во первых, часть из того что он привел как "статистику" существовало в природе либо только под SPARC, либо только под x86.

Плакать можно начинать после "уезвимостей Mozilla", у нас тут на всех машинах рядом с Ораклами крутится Mozilla =) Еще хочу прочитать воркэранду взлома оракла через мозилу. Теперь одын вопрос, а почему тогда афтар не посчитал уезвимости в StarOffice, которые уж куда больше относится к Sun'у? И почему не посчитали все ашипки в GCC, тулзах от GNU, на всякий случай еще есть Sun Studio, Netbeans и т.д.

Про "DoS при интенсивной сетевой активности", могу лиш порекомендовать прочитать Soalris 10 Administator Guide и научиться нормально настраивать свою систему.

Читайте Sun Alerts не позортесь...

Статистика собирается не только для сравнения. Тыкни пальцем где в статье сравнение. Выше все написали, что здесь сравнение некорректно, но если тебе хочется сравнивать - сравнивай. Откуда я-то знаю, что хочется автору? У него и спроси.

Весело =) У оффтопика прямо в API дыры =)))))

> Откуда я-то знаю, что хочется автору? У него и спроси.

Можно посмотреть выводы автора - в самом конце статьи. Там ответ на вопрос: кому хуже всех живётся.

Не статья, а хрень какая-то.

А если народ без уведомлений обновлял, то что? К тому же должно было более-менее совпасть количество уязвимостей в linux, приводящих к захвату контроля над машиной, а этого не было.

>Если вы прочитаете хотя бы новость на ЛОРе, то увидете такую фразу: "Цель данной статьи предоставить статистические данные по количеству обнаруженных и закрытых уязвимостей в популярных операционных системах". Стоит лишь внимательно приглядеться...

Дык данные тоже говно.

>Если бы сравнивались только Дистрибутивы Linux или, например, кол-во РАЗНЫХ закрытых багов командой разработчиков RHEL, Fedora, Debian, Gentoo и тд, то все было бы гораздо вменяемей.

Скорее всего баги у всех более-менее закрыты. А вот сравнить что становилось с системами при использовании тех или иных эксплоитов в защищенный конфигурации по умолчанию - это было бы полезно.

>В OpenBSD и NetBSD, как я понимаю, вообще за год ни одной уязвимости не было (т.к. даже не включили в список), а FreeBSD с лёгкостью обходит остальных участников списка! ;)

Т-с-с! Автор про них еще не знает...

>Откуда я-то знаю, что хочется автору? У него и спроси.

Судя по статье, автору банально хотелось денег.

>Почему-то большинство стали в первую очередь смотреть на то, как соотносится Windows и Linux. А ведь гораздо интереснее посмотреть соотношение цифр различных ОС на базе Linux.

количество дыр ~пропорционально количеству софта в дистрибутиве- то есть сугубо условной цифре- ничего интересного

Может, я что-то упустил?
Товарищи меня поправят, но почему в статью не включили баги IE? :-)

Про "множественные уязвимости в LibTIFF" в Slackware вспомнили. Гы. ;-) Как будто Патрик LibTIFF написал... А вот про бесконечные дыры в IE забыли... :-) Что очень странно, ведь в венде IE полностью интегрирован в ОС. У уж наверняка является куда более значимой частью, чем GnuPG и LibTIFF вместе взятые. :-)

Явно статью песал аффтар, безумно любящий Билли-Гада.

P. S. Улыбнуло "для некоторых из Linux дистрибутивов патчи выходят каждый день".

Вы тонкий психолог и знаток чужой души? Не увидел за что в статье можно дать денег.

За букофки. Знаешь, как в издательствах платят бабло? Если статью приняли, то оплачивают либо по количеству слов, либо по количеству символов.

По этой же причине, "МК" офигительно желтая газета: журналюги высасывают из пальца все, что только высосать можно, ради как можно бОльшего объема статьи. ;-)

да уж, ценность этой статьи примерно такакя же, как и у недавно пробежавшей на опеннет http://www.opennet.ru/opennews/art.shtml?num=8267

Забавно. :-)
Если почитать камменты на SL, создается впечатление, что это LOR на выезде. :-)

Да уж, мне больше всего понравилось заключение, где автор рассказывает о следующей статье, и поясняет для тех кто в танке, что текущая статья не включает делали следующей:

> В следующей статье мы подробно представим статистические данные по уязвимостям в популярных браузерах и проведем подробное сравнение (которого небыло в этой статье) безопасности браузеров и попытаемся определить какой из современных браузеров наиболее защищен.

>Скорее всего баги у всех более-менее закрыты. А вот сравнить что становилось с системами при использовании тех или иных эксплоитов в защищенный конфигурации по умолчанию - это было бы полезно.

Тогда или сравнивать Наборы приложений типа "Сервер" или "Оффис", или Минимальную Базовую Систему для каждого Дистрибутива Linux.

Угу. Вот только в венде IE выполняет не только функции броузера. :-)

> Если почитать камменты на SL, создается впечатление, что это LOR на выезде. :-)

А че, давайте организованно устраивать "выезды", ну типа как в футболе. Эту недельку потусим все на opennet'е, следуюущую на Linux.ру, потом на слэшдоте... Все будут плакать =)

:-) От горя или от смеха?

RE

Автор явно известный баянист и маздайщик. А еще ко всему эникейщик. Хоть бы погуглил основательно по теме, что-ли.

Очень интересно - в то время как в Линуксе дыры в реально работающих компонентах ищут, в вантузе закрывают дыры в таком странном формате WMF, который мало кто юзает. PNG forever :-).

В общем, в статье сравнения уровня: 
Что жесче, круглое или сладкое?
Фтопку!

>Даже одна вовремя незакрытая уязвимость может привести к печальным последствиям, поэтому необходимо регулярно следить за выходом новых обновлений операционной системы и оперативно устанавливать необходимые исправления.Хуже всего приходится администраторам Linux систем, для некоторых из Linux дистрибутивов патчи выходят каждый день.

Автор похоже попутал дыры с патчами. Его послушать, так лучше бы обновления "для некоторых из Linux дистрибутивов" выходили кумулятивно, раз эдак в полгодика. Короче, абзац целиком в мемориз.

>Не увидел за что в статье можно дать денег.

Денег таки да -- нельзя. А вот чего другого...