ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] CGP



nuqneH,

Boris Tyshkiewitch <bvt@zenon.net> said :

> > Отсутствие исходников теперь считается за плюс?
> 
>   Cлишком трудно искать дыры. 

Я бы предпочел, чтобы дыры было искать легко. Понятно, почему?
"Слишком" трудно не бывает. Рекомендую подумать о том, что будет, когда
(_когда_, а не _если_!) дыру все-таки найдут, кто это сделает и что
будет потом. Если автор понимает что к чему, он не будет затруднять 
проведение независимых security audit'ов даже на самом дилетантском 
уровне - не будет мешать людям делать работу за него. Микрософту
сильно помогает отсутствие исходников? Security through obscurity
не работает, точнее работает несколько не так, как хотелось бы
приверженцам этой политики. 

.и зачем это я объясняю очевидные вещи?

> При всей моей любви к открытым исходникам 
> этот тезис тоже нужно учитывать. Сами по себе исходники не улучшают
> секъюрити. И примерам нет числа.

Сами по себе - нет. Позволяют оценить качество кода - да. 
Кстати, открытость кода дисциплинирует программиста. От того кода,
который не предназначен для публичного распространения, как правило,
плакать хочется - даром что принадлежит он казалось бы весьма до того
уважаемым фирмам.

Кстати, разобраться в чужих исходниках и украсть систему очень редко
бывает дешевле чем написать новую аналогичную. Так что, видимо, не
боязнь раскрытия технологических секретов, а куда более неприятные
причины движут противниками открытого кода :-I

> 
>   Пойми, программа, которая стоит неделями без рестарта, без выпадания
> в кору скорее всего не содержит тривиальных буффер оверранов.

Враки. Неочевидно?

> 
> > >   Для успокоения chroot'а - достаточно.
> > 
> > chroot, типа, не предназначен для обращения с программами, работающими
> > из-под рута. Избитая тема в тематических списках рассылки.
> 
>   Спасает в ряде случаев. Прежде всего тем, что не дает доступа к файлам.
> В особенности на нормальных ос, где "chroot .." не проходит :-))

М, пример нормальной OS? Наука шагнула далеко вперед за "chroot ..".
Читайте списки рассылки ;)

> 
> > > > Зачем обязательно от рута?
> > > 
> > >   Есть там фичи, которые хотят рута. Все нахожусь в процессе убеждения по их
> > > отрезанию.
> > 
> > Я бы усомнился в разработчике, которого нужно убежать в таких вещах :(
> 
>   Сколько секъюрити багов ты видел в CGP?  Я ровно 1. В какой-то
> промежуточной бете. Если бы их было на порядок больше, то и то бы я сказал,
> что дай бог так работать любой программе.

Я им как-то всерьез не интересовался. Заплатите денег солару за независимый
аудит - готов на деньги поспорить, что он найдет минимум одну дыру на
уровне remote execution (Вовочка, зачем ты дяде на голову кирпич
уронил? - Я больше не будууу! - А ему больше и не надо!)

                                     _     _  _  _  _      _  _
 {::} {::} {::}  CU in Hell          _| o |_ | | _|| |   / _||_|   |_ |_ |_
 (##) (##) (##)        /Arkan#iD    |_  o  _||_| _||_| /   _|  | o |_||_||_|
 [||] [||] [||]            Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.