LINUX.ORG.RU

Как вы относитесь к новостям об уязвимостях в открытых проектах, связанных с безопасностью (OpenSSL, OpenVZ)?

 ,


0

0

Что-то часто стали появляться подобные новости. А тут ещё разработчики TrueCrypt ни с того ни с сего потеряли интерес к проекту, причём все и сразу. Вот и стало любопытно, волнует ли всё это пользователей.

  1. Ошибки случаются везде956 (71%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Для подобных проектов обязателен аудит581 (43%)

    **************************************************************************************************************************************************************************************************

  3. Безопасность — это заблуждение434 (32%)

    *************************************************************************************************************************************************

  4. Обычный индусский код265 (20%)

    ****************************************************************************************

  5. Это всё происки спецслужб189 (14%)

    ***************************************************************

  6. Уязвимости добавлены намеренно158 (12%)

    ****************************************************

  7. Мне всё равно, я не пользуюсь90 (7%)

    ******************************

Всего голосов: 2673, всего проголосовавших: 1340

★★★★★

Проверено: Pinkbyte ()

Обычный опенсорсный код

cipher ★★★★★ ()

они уже задолбали со своими дырами, неужели так трудно писать код без дырищ

next_time ★★★★ ()
Ответ на: комментарий от next_time

Эта фраза означает, что ты должен написать сам :}

Also, в openbsd тоже бывают баги, в т.ч. безопасности, не?

Deleted ()
Ответ на: комментарий от Deleted

Also, в openbsd тоже бывают баги

«не, на на дыры пофиг. не пофиг на дырищи.»

Эта фраза означает, что ты должен написать сам

в том, что я пишу есть баги, как и в любой программе, но вот таких вот Мотр, как с хеартблидом — нет.

next_time ★★★★ ()
Ответ на: комментарий от next_time

впрочем, что касается хеартблида, там скорее виновато опенсорс сообщество, чем автор, но моих слов «они уже задолбали со своими дырами» это не отменяет

next_time ★★★★ ()
Ответ на: комментарий от next_time

Любая проблема в безопасности это «дырища», если ей можно поиметь пользователя удалённо :) С технической точки зрения, heartbleed-ошибка довольно тривиальна.

но вот таких вот Мотр, как с хеартблидом — нет

А ты аудит делал? Может ты просто неуловимый Джо и не знаешь, что у тебя там ад и содомия.

Deleted ()
Последнее исправление: Mystra_x64 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Любая проблема в безопасности это «дырища», если ей можно поиметь пользователя удалённо :)

не любая. если с дефолтными настройками проблема не наблюдается, значит — не дырища.

А ты аудит делал?

а я завязанные на компьютерной безопасности программы и не писал.

next_time ★★★★ ()
Ответ на: комментарий от next_time

если с дефолтными настройками проблема не наблюдается

Настройки — штатная фича программы, так что таки нет. Кроме случаев когда ты включаешь какую-нибудь опцию «разрешаю всем всё». Если ты включаешь чтение какого-нибудь каталога, например, а в результате тебя хаксор порутал, то таки дырища. Причём с дефолтными настройками также полно этих багов :)

Deleted ()
Последнее исправление: Mystra_x64 (всего исправлений: 1)
Ответ на: комментарий от Deleted

в хеартблиде часть, в которой была найдена уязвимость была включена по дефолту, хотя опционально её можно отключить. таким образом, под угрозой оказалось 99% юзеров опенссл, в то время как если бы она по дефолту была отключена, под угрозой оказалось бы только, положим, 5% юзеров опенссл. разница очевидна.

next_time ★★★★ ()

Не хватает пункта «РЕШЕТО!11»

annulen ★★★★★ ()

связанных с безопасностью (OpenSSL, OpenVZ)

OpenVZ

o_0

ei-grad ★★★★★ ()

Для подобных проектов обязателен аудит
Обычный индусский код

Lincor ()

Shit happens даже в открытых проектах. ну и безопасность - это заблуждение, если что-то не взломано, значит еще по настоящему не заинтересовались взломом.

mic ★★★★★ ()
Ответ на: комментарий от Deleted

вопрос в количестве пострадавших и качестве кода: большие дыры не должны висеть в самых основных частях программы

next_time ★★★★ ()
Ответ на: комментарий от next_time

Открою секрет, программой пользуются для того, что бы она что-то делала. А конфиги делают, чтобы не перекомпилировать каждый раз под каждый случай. И если ты думаешь, что дефолта хватит всем, то у меня для тебя плохие новости.

Deleted ()
Ответ на: комментарий от Deleted

дефолта хватит не всем, но он будет стоять у большинства

next_time ★★★★ ()
Ответ на: комментарий от next_time

А вот это бабушка надвое сказала. Дистрибутивный дефолт — вероятно, апстримный — не факт.

Deleted ()

С кем не бывает, но для критических к утечке информации систем аудит таки нужен.

По опыту, абсолютной безопасности автоматизированной ИС не существует.

Deleted ()

Ошибки случаются везде

но

Для подобных проектов обязателен аудит

В отдельных случаях, конечно, бывает, что

Это всё происки спецслужб

На что намекает, в частности, грустная история TrueCrypt. Я не стал голосовать за этот пункт, ибо не считаю его типичным. Но и совсем уж невероятным его тоже считать нельзя. Спецслужбы, разумеется, будут лезть везде и всюду, и уж такие лакомые вещи, как сабж, их будут волновать всегда. Другой вопрос - насколько велики их шансы внедриться в произвольный проект и остаться незамеченными...

hobbit ★★★★★ ()

Как вы относитесь

Равнодушно смотрю в окно.

UNiTE ★★★★★ ()
Ответ на: комментарий от user_id_68054

Ты чо, тугой? Тебя спрашивают об отношении к обнаружению ошибки, а не к исправлению ошибки. Чуешь разницу?

Indexator ★★★ ()

Надо было добавить пункт «Пишу в комментарии РЕШЕТО в искажённом виде».

mittorn ★★★★★ ()

Кодеры = бухие индуссы + специально прогибаются под ББратками

bookman900 ★★★★★ ()

Безопасность — это заблуждение.

maverik ★★ ()

Уязвимости добавлены намеренно
Ошибки случаются везде
Безопасность — это заблуждение

Третье ведь вытекает из либо первого, либо из второго.

Hoffman ()

Касательно безопасности так да абсолютной нет. Но можно чувствовать себя безопаснее используя то что мало популярно. Или собственные велики или устаревший софт про который все дыры известны но базах эксполитов не держат за нерентабельностью.

bga_ ★★ ()

Поставил «Ошибки случаются везде». Не считаю, что «Безопасность — это заблуждение», одно дело, когда тебя могут взломать спецслужбы США, другое дело, когда хакер Антон из 8а с помощью известного эксплоита.

goingUp ★★★★★ ()
Последнее исправление: goingUp (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

эту машинку можно заказать на али или хотя бы на таобао?

n_play ()
Ответ на: комментарий от n_play

эту машинку можно заказать на али или хотя бы на таобао?

незнаю где купить :) .. очень полезная была бы штука..

но знаю что такие штуки существуют — так как их в anime иногда показывают :-) [а в amine врать не будут!..]

user_id_68054 ★★★★★ ()

а что толку-то от моего какого-то отношения к этим новостям?

раз потеряли интерес всей толпой - значит там очевидно все не безопасно, а спецслужбы там или человеческий фактор - не важно - страшно и бежать надо - там уязвимость

votafak ★★★★★ ()

Безопасность — миф.

Reset ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Обновления повышают дуракоустойчивость и максимум спасают от скрипткиддисов. Безопасность обеспечивается другими мерами, да и то если очень надо, то всё равно сломают.

Reset ★★★★★ ()
Ответ на: комментарий от Reset

Ну тогда вешай ключи от квартиры, где деньги лежат, прямо на гвоздик рядом со звонком, чтобы не теряли уважаемые люди лишние секунды.

В общем ты прав, безопасность - результат вдумчивой профессиональной настройки. От кидди спасет, это верно.ю

I-Love-Microsoft ★★★★★ ()
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)

Интересный опрос, в котором можно отметить все пункты одновременно, и это не будет противоречием.

Pythagoras ★★ ()
Ответ на: комментарий от user_id_68054

Ложки Безопасности нет, это иллюзия.. Есть допустимые риски и вероятности... Вот их и нужно снижать в конкретных условиях работы.. Но нет ничего идеального, к этому можно только стремиться, балансируя между другими потребностями, иначе получится никому ненужная безопасность ради безопасности...

Indexator ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.