Один весьма известный и уважаемый в узких кругах исследователь взял на себя труд глянуть по диагонали отдельные части реализации иксов и подготовить об этом презенташку для очередной конференции по новым компьютерным технологиям и защите компьютерных программ: http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_201312291830_-_x_security_-_ilja_van_sprundel.html

Для тех, кому лень смотреть и делать выводы... Пара цитат из презентации:

"GLX is a horrible demotivator! 80,000 lines of sheer terror."

и

"In the past
couple of months I've found 120 bugs there, and I'm not close to done."

речь о 120 security багах, если кто не понял. После такой внезапности, xorg-разрабы решили (видимо впервые за все время существования проекта) просканить свой код хоть каким-нибудь статанализатором. Им под руку попался http://cppcheck.sourceforge.net/ , который не менее внезапно наанализировал security баг (переполнение буфера) 23-х летней (!!!) давности: http://lists.x.org/archives/xorg-announce/2014-January/002389.html . Сколько там еще подобных скелетов, не поддающихся статанализу в силу объективных причин и до которых еще не дошли руки у Ильи — остается только гадать

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Один весьма известный и уважаемый в узких кругах исследователь
KV>речь о 120 security багах, если кто не понял.
А сказать-то ты что хотел?
А так понимаю ты о том, что если бы это был закрытый код его бы никто и не анализировал бы и баги не правил?

Здравствуйте, kochetkov.vladimir, Вы писали:

Ну Xorg это вообще вещь в себе. Свой вариант make'а. Структура такая, что собрать его из исходников сложнее, чем собрать Linux from Scratch. Куча унаследованного добра со времен МИТовских разработок 70-ых и прочее.

Здравствуйте, kochetkov.vladimir, Вы писали:

Тут ещё стоит отметить, что на серверах как правило иксов нет (у разумных админов).

Здравствуйте, Vzhyk, Вы писали:

V>А сказать-то ты что хотел?
V>А так понимаю ты о том, что если бы это был закрытый код его бы никто и не анализировал бы и баги не правил?

Сорри, забыл сразу пояснить в теме: это дополнение к контексту обсуждения тут К спору о закрытом ПО

Автор: Sheridan
Дата: 01.11.13

(в частности, к этому сообщению: Re[9]: К спору о закрытом ПО

Автор: kochetkov.vladimir
Дата: 06.11.13

).

Здравствуйте, Sheridan, Вы писали:

S>

Есть небольшой, но шанс, что ты сам сможешь спросить это у него на PHDays IV в мае

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Есть небольшой, но шанс, что ты сам сможешь спросить это у него на PHDays IV в мае
Вот так ненавязчиво Владимир начал рекламную кампанию очередных PHDays

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, kochetkov.vladimir, Вы писали:

DOO>Ну Xorg это вообще вещь в себе. Свой вариант make'а. Структура такая, что собрать его из исходников сложнее, чем собрать Linux from Scratch. Куча унаследованного добра со времен МИТовских разработок 70-ых и прочее.

Абсолютно верно. Помнится я его собирал еще до кромсания на подпроекты с выносом этих подпроектов в отдельные пакеты. Ад и холокост. Отдельного упоминания заслуживает то, как ко мне попали этисамые исходники. Тогда трафик был поголовно платный, а adsl до домашнего использоания у меня в регионе еще не дошол. Если мне не изменила память, исходники весили чтото около 70 Мб, на модеме с нестабильными 24к скачать это было почти нереально. Но руки чесались. В итоге получилось договориться с админом одного из провайдеров, он скачал мне сии сорцы, соорудив dns-тунель, причем это емуаукнулось через месяц, когда ктото заинтересовался скачком потребления. Впрочем обошлось все строгим взглядом.
А потом, когда на пакеты разбили, все стало на порядки проще.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Сорри, забыл сразу пояснить в теме: это дополнение к контексту обсуждения тут К спору о закрытом ПО

Автор: Sheridan
Дата: 01.11.13

(в частности, к этому сообщению: Re[9]: К спору о закрытом ПО

Автор: kochetkov.vladimir
Дата: 06.11.13

).
Я не склонен вычитывать тонны бреда в поисках крупинок разумных высказываний. Так что, при открытии темы мог изложить тезисно свои мысли, чтобы было понятно, что ты имеешь в виду и имеешь ли что в виду.

Здравствуйте, Vzhyk, Вы писали:

V>Я не склонен вычитывать тонны бреда в поисках крупинок разумных высказываний.

Думаю, что будет справедливее, если это доставит неудобства тебе, а не мне. Не находишь?

V>Так что, при открытии темы мог изложить тезисно свои мысли, чтобы было понятно, что ты имеешь в виду и имеешь ли что в виду.

Я не склонен копипастить то, что уже написал ранее. Ссылки на мое сообщение было более чем достаточно, на мой скромный взгляд.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Думаю, что будет справедливее, если это доставит неудобства тебе, а не мне. Не находишь?
При чем тут справедливость? Бред какой-то нечсешь.
Ты постишь тему, что тебе интересна и логично предположить, что ожидаешь некие отклики ну и также логично предположить, что для откликов нужно изложить свои тезисы относительно темы.
Но возможно с логичностью в твоем случае я ошибаюсь, так что извини, больше не буду про логику упоминать.

Здравствуйте, Sheridan, Вы писали:

S>Здравствуйте, DOOM, Вы писали:

DOO>>Здравствуйте, kochetkov.vladimir, Вы писали:

DOO>>Ну Xorg это вообще вещь в себе. Свой вариант make'а. Структура такая, что собрать его из исходников сложнее, чем собрать Linux from Scratch. Куча унаследованного добра со времен МИТовских разработок 70-ых и прочее.

S>Абсолютно верно. Помнится я его собирал еще до кромсания на подпроекты с выносом этих подпроектов в отдельные пакеты. Ад и холокост. Отдельного упоминания заслуживает то, как ко мне попали этисамые исходники. Тогда трафик был поголовно платный, а adsl до домашнего использоания у меня в регионе еще не дошол. Если мне не изменила память, исходники весили чтото около 70 Мб, на модеме с нестабильными 24к скачать это было почти нереально. Но руки чесались. В итоге получилось договориться с админом одного из провайдеров, он скачал мне сии сорцы, соорудив dns-тунель, причем это емуаукнулось через месяц, когда ктото заинтересовался скачком потребления. Впрочем обошлось все строгим взглядом.
S>А потом, когда на пакеты разбили, все стало на порядки проще.



Лично я с 2006 года не испытывал каких-то проблем со сборкой xorg-6.9-7.x из портов (с исходниками) во FreeBSD. Поначалу дистфайлы (исходники) скачивал по диалапу, потом появился ADSL...

Xorg 6.x был монолитным и компактным в отличие от модульного Xorg 7.x. Монолит собирался гораздо быстрее. Ад начался, когда его начали разделять на так называемые "модули". С тех пор пользуюсь xorg-minimal.

До странного резкий тон для столь зрелого (насколько мне известно) человека =/

Видишь ли, твое мнение (как обо мне, так и о данной теме) не представляет для меня ни малейшего интереса. И, судя по десятку-другому из твоих последних постов, пробудить его ты абсолютно неспособен, как в силу своего воспитания, так и в силу уровня осведомленности в тех предметных областях, которые мне интересны.

Надеюсь, с другими участниками форумов тебе повезет больше

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Видишь ли, твое мнение (как обо мне, так и о данной теме) не представляет для меня ни малейшего интереса. И, судя по десятку-другому из твоих последних постов, пробудить его ты абсолютно неспособен, как в силу своего воспитания, так и в силу уровня осведомленности в тех предметных областях, которые мне интересны.
Да не, я всего-лишь послушать умных людей хотел, а оказалось, как всегда.

Здравствуйте, iZEN, Вы писали:

ZEN>

ZEN>Лично я с 2006 года не испытывал каких-то проблем со сборкой xorg-6.9-7.x из портов (с исходниками) во FreeBSD. Поначалу дистфайлы (исходники) скачивал по диалапу, потом появился ADSL...
Из портов. Угу. Фигли там разбираться, все уже готово. А вот когда без портов, имея на руках только исходники — это реальный ад был. Слава бг, что свой компилятор умудрились не написать...

ZEN>Xorg 6.x был монолитным и компактным в отличие от модульного Xorg 7.x. Монолит собирался гораздо быстрее. Ад начался, когда его начали разделять на так называемые "модули". С тех пор пользуюсь xorg-minimal.
После монолита, с модульным ксоргом я разобрался в один глоток, хотя приготовил заранее два литра. Ибо уже был обычный конфигуре с обычным мэйком и вполне просматриваемыми невооруженным взглядом зависимостями.

Повторяю — собирал я без пакетов, голые исходники. На федоре 3. Да, можно было не заниматься странным, а установить готовое, но скилл требовал прокачки. Я тогда таким образом пересобрал половину федоры, попутно недописав два пакетных менеджера.

Здравствуйте, Vzhyk, Вы писали:

KV>>Один весьма известный и уважаемый в узких кругах исследователь
KV>>речь о 120 security багах, если кто не понял.
V>А сказать-то ты что хотел?
V>А так понимаю ты о том, что если бы это был закрытый код его бы никто и не анализировал бы и баги не правил?

Закрытый код обычно тестирует целая бригада тестировщиков. У них работа такая — гонять тесты, пускать анализаторы. Багфиксом же занимаются девелоперы на постоянной основе. Здесь можно четко разделять разработку на фазы, межу которыми регрессионные тесты и определенный багфикс.

С опенсорсом такой подход смысла не имеет, потому что орава майнтейнеров не управляется.

Здравствуйте, Ikemefula, Вы писали:

I>Закрытый код обычно тестирует целая бригада тестировщиков. У них работа такая — гонять тесты, пускать анализаторы. Багфиксом же занимаются девелоперы на постоянной основе. Здесь можно четко разделять разработку на фазы, межу которыми регрессионные тесты и определенный багфикс.
Обычно считается что тестирует. Но вот в реальности часто там тестирования 0. А так как код закрытый, то проверить мы ничего не можем, только верить продажникам той фирмы.
То бишь в теории все хорошо, а на практике все плохо.

С открытым кодом все проще, ты сам можешь посмотреть и проверить его. Но это потребует и тебя затрат времени и денег. Но ты сам уже принимаешь решение верить или проверить.
В случае закрытого варианта проверить у тебя нет.

Здравствуйте, Vzhyk, Вы писали:

V>С открытым кодом все проще, ты сам можешь посмотреть и проверить его. Но это потребует и тебя затрат времени и денег. Но ты сам уже принимаешь решение верить или проверить.
V>В случае закрытого варианта проверить у тебя нет.

Это условно. Тескейсы надо подготовить, прогнать — это вагон времени даже для простецкой UI аппликачки. Если это сетевая или клиент-серверная аппликачка, то сам уже ничего не сделаешь.

Здравствуйте, Ikemefula, Вы писали:

I>Это условно. Тескейсы надо подготовить, прогнать — это вагон времени даже для простецкой UI аппликачки.
Да. Только в одном случае ты имеешь выбор, а в другом нет.
Ну и еще нюанс, открытый код любят смотреть разные люди, как в примере ТС и постить свое мнение о нем. А с закрытым это невозможно.

Здравствуйте, Vzhyk, Вы писали:

V>С открытым кодом все проще, ты сам можешь посмотреть и проверить его. Но это потребует и тебя затрат времени и денег. Но ты сам уже принимаешь решение верить или проверить.

Как следует оттестировать код — по затратам сравнимо с разработкой с нуля, а для говнокода — обойдется даже дороже разработки.

Здравствуйте, skirty, Вы писали:

S>Как следует оттестировать код — по затратам сравнимо с разработкой с нуля, а для говнокода — обойдется даже дороже разработки.
Вообще говоря дешевле, но не суть важно.
В случае открытого кода ты видишь говнокод это или нет, а в случае закрытого ничего сказать не можешь и вынужден верить продажникам той конторы. А продажники это самые честные люди и они честно тебе все покажут и расскажут, какое говно их продукт.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Видишь ли, твое мнение (как обо мне, так и о данной теме) не представляет для меня ни малейшего интереса. И, судя по десятку-другому из твоих последних постов, пробудить его ты абсолютно неспособен, как в силу своего воспитания, так и в силу уровня осведомленности в тех предметных областях, которые мне интересны.

Ога, целых три или четыре сообщения что бы объяснить, что тебя не интересует мнение Вжика

Сообщение, очевидно, оформлено чисто ради флейма, самый минимум информации, и дальше разные намёки, так бы сразу и сказал, тем более что это КСВ.

Я например в закрытом коде крупной американской конторый, чьими продуктами пользуется прямо или косвенно примерно 80% американцев, за один день нашел 40 багов, когда хотел пофиксить всего один небольшой бажок. Все из багов крайне критичны как для бизнеса, так и для конечных потребителей. Все баги были найдены в отрезке кода примерно в 10 тыс строк.

Итого — couple of months vs один день, 80К строк vs 10К строк мягко говоря не в пользу glx

P.S. "прямо или косвенно" означает следующее — считаешь деньги сам или считают деньги для тебя. Другие варианты, типа "считают деньги для тех кто считает деньги для тебя" даже не рассматриваются, а то будет 100%.

Здравствуйте, Ikemefula, Вы писали:

I>Сообщение, очевидно, оформлено чисто ради флейма, самый минимум информации, и дальше разные намёки, так бы сразу и сказал, тем более что это КСВ.
Так тут интереснее бывает, чем в профильных, если человек готов высказывать свое мнение. А вот когда, как Лаптев, тогда скукота, если кто-то за него не напишет.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>И снова к вопросу о защищенности открытого кода

В открытом коде ты хотя-бы можешь вот так сам поискать баги.
О багах в закрытом коде тебе остается только догадываться

Здравствуйте, 3V, Вы писали:

KV>>И снова к вопросу о защищенности открытого кода

3V>В открытом коде ты хотя-бы можешь вот так сам поискать баги.
3V>О багах в закрытом коде тебе остается только догадываться

Меньше знаешь — крепче спишь.

Здравствуйте, 3V, Вы писали:

3V>В открытом коде ты хотя-бы можешь вот так сам поискать баги.

Я могу их и в закрытом поискать Собственно, блэкбокса у меня на работе сильно больше, чем анализа исходников. Разница только в эффективности — в первом случае, выявление некоторого множества уязвимостей невозможно в сколь-нибудь приемлемые сроки. Также, как и анализ исходников всего того, от чего зависит защищенность ценной для меня информации. Вот и получается, что это преимущество опенсорса является таковым исключительно теоретически

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Я могу их и в закрытом поискать
Однако.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Я могу их и в закрытом поискать Собственно, блэкбокса у меня на работе сильно больше, чем анализа исходников. Разница только в эффективности — в первом случае, выявление некоторого множества уязвимостей невозможно в сколь-нибудь приемлемые сроки. Также, как и анализ исходников всего того, от чего зависит защищенность ценной для меня информации. Вот и получается, что это преимущество опенсорса является таковым исключительно теоретически

Т.е. вы утверждаете, что анализ бинарников более качественен и при этом требует меньше трудозатрат, чем анализ сорцев ?

Здравствуйте, 3V, Вы писали:

3V>Здравствуйте, kochetkov.vladimir, Вы писали:
3V>Т.е. вы утверждаете, что анализ бинарников более качественен и при этом требует меньше трудозатрат, чем анализ сорцев ?

Я утверждаю обратное, но смысл предыдущего сообщения был не в этом, а в том, что насколько качественнее бы не был анализ исходного кода, в жестокой реальности это не дает ему никаких _практических_ преимуществ перед закрытым

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>в жестокой реальности это не дает ему никаких _практических_ преимуществ перед закрытым

Ну от чего же!
Конечно даёт. Я могу оттуда, например, копипастить — закрытый код мне не даёт таких преимуществ.

Здравствуйте, kochetkov.vladimir, Вы писали:

просто есть код который нормально разрабатывают и прочее непонятно что.
вот над chromium'ом работает толпа народа, с нормальным процессом разработки, тестированием и т.п.

а там где работает непонятно кто и непонятно как — там и баги.

открытость/закрытость тут ни при чем.

Здравствуйте, Abyx, Вы писали:

A>открытость/закрытость тут ни при чем.

+1

Закрытость/открытость ПО — суть лишь факт доступности сорцев.
Есть закрытое ПО. Опубликовал сорцы — уже открытое. И что изменится в самом ПО от факта публикации ?

Здравствуйте, Философ, Вы писали:

Ф>Конечно даёт. Я могу оттуда, например, копипастить — закрытый код мне не даёт таких преимуществ.

И снова к вопросу о защищенности открытого кода

Здравствуйте, Abyx, Вы писали:

A>открытость/закрытость тут ни при чем.

Именно так. Просто здесь есть несколько участников, считающих опенсорс де-факто более защищенным, нежели закрытый. Тема — очередной контрпример для них, не более.

Здравствуйте, Ikemefula, Вы писали:

I>Итого — couple of months vs один день, 80К строк vs 10К строк мягко говоря не в пользу glx

Не совсем понятно, что доказывает/показывает этот пример

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Философ, Вы писали:

Ф>>Конечно даёт. Я могу оттуда, например, копипастить — закрытый код мне не даёт таких преимуществ.
KV>

KV>И снова к вопросу о защищенности открытого кода

Владимир, я всё понимаю, но пока существуют такие преимущества, я придумаю миллион причин по которым открытый код более защищён, более желателен.
Выгода, которую я получаю, выдавая чужую работу за свою перевешивает всё, и защищённость в том числе — это просто становится неинтересным.
Кому-то что-то доказывать, анализировать защищённость, забагованность и прочие метрики бессмысленно, пока существует такая халява.

Здравствуйте, 3V, Вы писали:

3V>Закрытость/открытость ПО — суть лишь факт доступности сорцев.
3V>Есть закрытое ПО. Опубликовал сорцы — уже открытое. И что изменится в самом ПО от факта публикации ?
Если внутри говнокод, то ты перестанешь покупать сей продукт.

Здравствуйте, kochetkov.vladimir, Вы писали:

A>>открытость/закрытость тут ни при чем.

KV>Именно так. Просто здесь есть несколько участников, считающих опенсорс де-факто более защищенным, нежели закрытый. Тема — очередной контрпример для них, не более.

Любой эксперт по безопасности linux-систем, даже просто пользователь без всяких известных в узких кругах специалистов знает, что иксы — это дыра и не только в безопасности. Но от этой "дыры" можно отказаться. В чем смысл искать дырки в дыре? Дешевый пиар?
Открытость исходников на порядки упрощает анализ защищенности.
Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.

Здравствуйте, fin_81, Вы писали:

_>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.
А там нет ни багов, ни дыр.

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, fin_81, Вы писали:

_>>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.
V>А там нет ни багов, ни дыр.

как категорично!

Здравствуйте, Философ, Вы писали:

Ф>как категорично!
Ф>
А иначе быть не может. Большой и сложный процесс разработки, полноценное тестирование, что-то там еще, что тут писали, дает им гарантию.

Здравствуйте, Vzhyk, Вы писали:

_>>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.
V>А там нет ни багов, ни дыр.

Но меня напрягает графический терминал по центру экрана в некоторых системах с закрытым кодом. Напряжение способствует быстрому накоплению усталости у оператора, а это потенциальная дыра в защищнности.

Здравствуйте, fin_81, Вы писали:

_>Открытость исходников на порядки упрощает анализ защищенности.

В разы, в лучшем случае, о чем я уже писал выше.

_>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.

А причем тут закрытые системы? Я же не утверждаю, что они более защищены, чем открытые. Я утверждаю, что в общем случае, открытые защищены не более, чем закрытые. Разница между этими двумя утверждениями очевидна или необходимы пояснения?

Здравствуйте, Vzhyk, Вы писали:

V>Если внутри говнокод, то ты перестанешь покупать сей продукт.

Ты, после этой темы, уже отказался от иксов?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, fin_81, Вы писали:

_>>Открытость исходников на порядки упрощает анализ защищенности.

KV>В разы, в лучшем случае, о чем я уже писал выше.

Порядки, разы — экспертные оценки такие оценки. Нужна реальная статистика независимых экспертов. Даже если пустят экспертов в закрытый код, то трудно будет проверить правдивость и полноту исследований этих "независимых" экспертов.

_>>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.

KV>А причем тут закрытые системы? Я же не утверждаю, что они более защищены, чем открытые. Я утверждаю, что в общем случае, открытые защищены не более, чем закрытые. Разница между этими двумя утверждениями очевидна или необходимы пояснения?

Я утверждаю что в общем случае защищенность всех систем трудно оценить, вплоть до полной бессмысленности этой оценки. Поэтому я бы не согласился быть экспертом в оценке всех существующих систем или определенной части систем.

Здравствуйте, kochetkov.vladimir, Вы писали:

I>>Итого — couple of months vs один день, 80К строк vs 10К строк мягко говоря не в пользу glx

KV>Не совсем понятно, что доказывает/показывает этот пример

Для начала не совсем понятно, что показывает твой пример. В твой пример подставили другие данные и тебе стало решительно непонятно. Странно, да ?

Здравствуйте, Vzhyk, Вы писали:

V>В случае открытого кода ты видишь говнокод это или нет, а в случае закрытого ничего сказать не можешь и вынужден верить продажникам той конторы. А продажники это самые честные люди и они честно тебе все покажут и расскажут, какое говно их продукт.

Ну вот в X-сервере говнокод. И чо? Как будто у тебя есть выбор.

Здравствуйте, 3V, Вы писали:

3V>Т.е. вы утверждаете, что анализ бинарников более качественен и при этом требует меньше трудозатрат, чем анализ сорцев ?

Искать баги в бинарниках сложнее как тому, кто защищается, так и тому, кто атакует. Так что полный паритет.

Здравствуйте, Ikemefula, Вы писали:

I>Закрытый код обычно тестирует целая бригада тестировщиков. У них работа такая — гонять тесты, пускать анализаторы. Багфиксом же занимаются девелоперы на постоянной основе. Здесь можно четко разделять разработку на фазы, межу которыми регрессионные тесты и определенный багфикс.
I>С опенсорсом такой подход смысла не имеет, потому что орава майнтейнеров не управляется.
Открытость/закрытость кода и зрелость процесса разработки вещи слабо коррелирующие.
Кроме того, не надо забывать, что много Open Source'а — это вполне себе коммерческие проекты и основная команда разработчиков там точно такие же наемные работники.

Здравствуйте, Ikemefula, Вы писали:

I>Закрытый код обычно тестирует целая бригада тестировщиков.
ROTFL!

Здравствуйте, fin_81, Вы писали:

_>То трудно будет проверить правдивость и полноту исследований этих "независимых" экспертов.

Анализ защищенности — это обоснование защищенности системы, а не поиск в ней уязвимостей. Разница в том, что во втором случае, отчет может состоять из одной строчки "уязвимостей не выявлено", в то время, как в первом, отчет будет содержать обоснование эксперта, почему он считает систему защищенной от того или иного класса угроз. Т.е. и правдивость и полноту сможет проверить любой сторонний эксперт.

Просто ради любопытства: что в твоем понимании есть "зависимый" эксперт?

_>Я утверждаю что в общем случае защищенность всех систем трудно оценить

Именно так. Но почему-то при этом имеют место периодические категоричные утверждения о том, что опенсорс защищеннее. Парадокс?

Здравствуйте, Ikemefula, Вы писали:

I>Для начала не совсем понятно, что показывает твой пример. В твой пример подставили другие данные и тебе стало решительно непонятно. Странно, да ?

Меня смутило то, что фактически доказав тем самым мой же тезис, ты преподносишь это как контраргумент

Здравствуйте, kochetkov.vladimir, Вы писали:

k> Именно так. Просто здесь есть несколько участников, считающих опенсорс де-факто более защищенным, нежели закрытый. Тема — очередной контрпример для них, не более.

А почему "контр"? По мне так как раз наглядно демонстрирует, что люди таки смотрят и изучают открытый код и те самые пресловутые "тысячи глаз" в нем иногда что-нибудь да находят в результате чего продукт на каждой подобной итерации становится более защищенным.

Здравствуйте, kochetkov.vladimir, Вы писали:

_>>То трудно будет проверить правдивость и полноту исследований этих "независимых" экспертов.

KV>Анализ защищенности — это обоснование защищенности системы, а не поиск в ней уязвимостей. Разница в том, что во втором случае, отчет может состоять из одной строчки "уязвимостей не выявлено", в то время, как в первом, отчет будет содержать обоснование эксперта, почему он считает систему защищенной от того или иного класса угроз. Т.е. и правдивость и полноту сможет проверить любой сторонний эксперт.

Анализы, сделанные по разным методикам при этом еще разных систем бессмысленно сравнивать. Это практически независимые события, любые совпадения и несовпадения случайны.

KV>Просто ради любопытства: что в твоем понимании есть "зависимый" эксперт?

Зависимый — это когда методика анализа зависит от анализируемой системы. Открытый код и белый ящик против закрытого кода и черного ящика.

_>>Я утверждаю что в общем случае защищенность всех систем трудно оценить

KV>Именно так. Но почему-то при этом имеют место периодические категоричные утверждения о том, что опенсорс защищеннее. Парадокс?

Мне просто интересно, зачем специалисту по безопасности вбрасывать категоричные противоположные утверждения, которые мне кажутся очень сомнительными.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>речь о 120 security багах, если кто не понял.
напоминает анекдот про продажу всей россии и поиск причитающейся мне доли. и что эти дыры означают в практическом плане? например, если сходить на вирус-тотал, то можно обнаружить нескончаемый поток пдф. акробат оказался самой дырявой программой, однако, если обратится к логам ids (при наличии доступа -- не у всех он есть), то наибольший процент успешных атак через наиболее защищенную платформу, защищенность которой обосновали при ее создании (жаба).

дыры сами по себе интересны разве что для конференции и как способ освоения бюджета и обоснования собственной значимости и необходимости. но давайте мы вместе с вами произведем достойный и объективный комплексный анализ. если повезет, то мы даже сможем реализовать одну из этих угроз в лабораторных условиях.

кстати, если компилировать лиса, то гнусь будет ругаться на ошибки переполнения буфера. причем именно тот гнусь, который ставится копипастой командной строки с инстукциями по сборки из официального сайта лиса. зашибись какой уровень безопасности. я так понимаю, что я далеко не один, кто тут же ринулся с отладчиком, ибо дырявый лис входит в штатную поставку многих дистров. да, конечно, это исправили. причем даже исправили в старых версиях (для тех, кто не хочет переходить на новые) и лис найдет и скачает обновления если дадут.

одного понять не могу. почему хакеры обошли это стороной? на паблике сплоитов нету. а дыры есть. компилятор ругается, что тут переполнение. смотрим в исходный код (благо он открытый) и понимаем, что оно эксплуатируемое. многие дистры никсов включают лиса в виде бинарника, то есть эксплуатация проблемой не является. но... никто не атакует. и кого не спросишь "почему не бросишь все и не напишешь сплоит" отвечают: тебе надо -- ты и пиши. а я дурак что ли писать?

скажем так: открытый код намного более открыт для контрибьюции, а потому когда кого-то серьезно беспокоит гондурас, то его либо перестают чесать, либо исправляют проблему. вот только проблема безопасности для подавляющего большинства это ни разу не проблема. даже для тех немногих (типа нас с вами) она чисто формальная проблема. например, меня больше волнует, что в лисе опять поломали жабаскрипт и он проваливает свои же собственные тесты, в результате чего мой код перестает работать на чужих компьютерах.

как вообще можно серьезно обсуждать проблемы белого человека в нигере, если в нигере белый человек это деликатес? нет, ну в принципе. безотносительно открытости/закрытости кода его безопасности очень мало кого волнует. даже там, где создается видимость волнения -- эти волны гасит ветер и до берега они не докатываются. на примере тех же браузеров... ХТМЛ5 это огромная радость для хакеров. это как коррупция. бесполезно обсуждать насколько прозрачность власти или демократия или религия соотносится с коррупцией. "бороться или победить" (с).

Здравствуйте, Anton Batenev, Вы писали:
AB>Здравствуйте, kochetkov.vladimir, Вы писали:

k>> Именно так. Просто здесь есть несколько участников, считающих опенсорс де-факто более защищенным, нежели закрытый. Тема — очередной контрпример для них, не более.
AB>А почему "контр"? По мне так как раз наглядно демонстрирует, что люди таки смотрят и изучают открытый код и те самые пресловутые "тысячи глаз" в нем иногда что-нибудь да находят

Потому что, судя по результатам работы того парня, он был первым реально квалифицированным экспертом, кто взглянул на этот код за все время существования проекта. А, судя по результатам работы статанализатора, его натравили на код впервые за 20 с лишним лет. И это для популярного проекта с четверть-вековой историей.

Если это теоретически и можно назвать преимуществом опенсорса, то на практике им не пользуются в мере, достаточной для того, чтобы называть это преимуществом. От того, что тысячи глаз _могут_ посмотреть на код проекта, он еще не становится более защищенным. А по факту получается, что код X.Org (а ранее, и XFree86) оказалось просто некому смотреть на протяжении весьма немаленького промежутка времени.

AB>в результате чего продукт на каждой подобной итерации становится более защищенным.

Ну, если считать два десятка лет приемлемым интервалом между итерациями, то да

Здравствуйте, Anton Batenev, Вы писали:


AB>в результате чего продукт на каждой подобной итерации становится более защищенным.
Это недоказуемо в общем случае.
Ровно как и с обычными ошибками — исправление одной может порождать 10 новых.
Все зависит от процесса, если процесс поставлен, то есть какая-никакая гарантия того, что рано или поздно продукт станет в достаточной степени защищенный.

Здравствуйте, Ops, Вы писали:

Ops>Ты, после этой темы, уже отказался от иксов?
А я их не покупал.

Здравствуйте, skirty, Вы писали:

S>Ну вот в X-сервере говнокод. И чо? Как будто у тебя есть выбор.
Как бы есть вот http://en.wikipedia.org/wiki/Display_server, плюс Windows, плюс Мас. Наверное еще что-то есть, я не в курсе.
Если меня волнует некая проблема в Иксах, то я могу выбрать из списка выше где сей проблемы нет.

Здравствуйте, Vzhyk, Вы писали:

http://en.wikipedia.org/wiki/Windowing_system

Здравствуйте, fin_81, Вы писали:

_>Мне просто интересно, зачем специалисту по безопасности вбрасывать категоричные противоположные утверждения, которые мне кажутся очень сомнительными.
Работа?

Здравствуйте, мыщъх, Вы писали:

М>кстати, если компилировать лиса, то гнусь будет ругаться на ошибки переполнения буфера.
Да фиг с ними. Хоть бы течь меньше стал.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Если это теоретически и можно назвать преимуществом опенсорса, то на практике им не пользуются в мере, достаточной для того, чтобы называть это преимуществом. От того, что тысячи глаз _могут_ посмотреть на код проекта, он еще не становится более защищенным. А по факту получается, что код X.Org (а ранее, и XFree86) оказалось просто некому смотреть на протяжении весьма немаленького промежутка времени.
Возможно просто потому, что никому это не надо было, кроме вот этого парня за все 20 лет.

KV>Ну, если считать два десятка лет приемлемым интервалом между итерациями, то да
Да хоть 100 лет, если продукт удовлетворяет всех, кто им пользуется.

Здравствуйте, DOOM, Вы писали:

DOO>Все зависит от процесса, если процесс поставлен, то есть какая-никакая гарантия того, что рано или поздно продукт станет в достаточной степени защищенный.
ISO9000 и все их стадо тебя опровергает.

Здравствуйте, fin_81, Вы писали:

_>Анализы, сделанные по разным методикам при этом еще разных систем бессмысленно сравнивать. Это практически независимые события, любые совпадения и несовпадения случайны.

Тогда зачем они тебе потребовались? (на всякий случай напомню: "Нужна реальная статистика независимых экспертов" Re[5]: И снова к вопросу о защищенности открытого кода

Автор: fin_81
Дата: 10.01.14

)

KV>>Просто ради любопытства: что в твоем понимании есть "зависимый" эксперт?
_>Зависимый — это когда методика анализа зависит от анализируемой системы. Открытый код и белый ящик против закрытого кода и черного ящика.

А независимый?

KV>>Именно так. Но почему-то при этом имеют место периодические категоричные утверждения о том, что опенсорс защищеннее. Парадокс?
_>Мне просто интересно, зачем специалисту по безопасности вбрасывать категоричные противоположные утверждения, которые мне кажутся очень сомнительными.

Подскажу: в названии этого форума есть ответ на этот вопрос

Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, kochetkov.vladimir, Вы писали:

М>то наибольший процент успешных атак через наиболее защищенную платформу, защищенность которой обосновали при ее создании (жаба).

Строгое обоснование защищенности любой вычислительной системы, полной по Тьюрингу — неразрешимая задача (давно доказано, же). Да и type-safety это еще не защищенность. Там больше маркетологи постарались, когда расписывали преимущества новой платформы. Кстати, что касается Java, то тут возникает закономерный вопрос: почему подавляющее большинство успешных атак на закрытую реализацию Java было актуально (на момент атаки) и для ее открытой реализации?

М>дыры сами по себе интересны разве что для конференции и как способ освоения бюджета и обоснования собственной значимости и необходимости. но давайте мы вместе с вами произведем достойный и объективный комплексный анализ. если повезет, то мы даже сможем реализовать одну из этих угроз в лабораторных условиях.

Тут интересны не сами эти дыры и даже не их количество, а тот временной интервал, который потребовался "тысячам глаз", чтобы таки-найти их в открытом коде.

М>отвечают: тебе надо -- ты и пиши. а я дурак что ли писать?

JFYI: за каждую уязвимость лиса нынче платят по 3 килобакса, уже несколько лет как (http://www.mozilla.org/security/bug-bounty.html), рабочие сплоиты при этом не требуют)

М>это как коррупция. бесполезно обсуждать насколько прозрачность власти или демократия или религия соотносится с коррупцией. "бороться или победить" (с).

Дык в этом-то я и пытаюсь убедить местных сторонников тезиса о защищенности опенсорса)

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, мыщъх, Вы писали:

М>>кстати, если компилировать лиса, то гнусь будет ругаться на ошибки переполнения буфера.
V>Да фиг с ними. Хоть бы течь меньше стал.
с учетом агрессивной оптимизации сейчас такая каша творится. цикл из нескольких строк при определенных обстоятельствах разворачивается на много метров в памяти. это называется адаптивной компиляцией, зависящей от входных данных, что действительно в теории способно порвать даже нативно компилируемые языки, но на практике остается нерешенной проблема освобождения адаптино нагенерированного кода. в версии до 3х там было все просто. там можно было выбросить все что мы только что оттранслировали. сейчас это не так. и потому память сильно течет на сгенерированном коде, который на самом деле не код, а данные, но все-таки и код тоже. а потому уборщик мусора под него только в проекте и даже надежного теоритического обоснования все еще нету.

у лиса была мега цель -- порвать всех на тестах, что он и сделал. а теперь несколько лет будут соображать как открутить то, что они накрутили.

ЗЫ. у меня лис сильно кастомизированный. вот я думаю -- мне одному это интересно или есть смысл выложить это в бинарном или исходном виде? у меня можно задать макс. потребляемой памяти при запуске лиса в виде аргумента командной строки. разумеется, производительность страдает, т.к. алгоритм выгрузки загруженных ресурсов у меня простой как шланг и потому чем больше вы открываете вкладок при фиксированном потреблении памяти, тем больше высвобождается ресурсов и при переключении взад их приходится загружать обратно (с диска, с кэша). при открытии очень большого кол-ва вкладок (сотни) при небольшом заданном буфере -- памяти просто не хватает и новые вкладки перестают открываться. т.к. пока я являюсь практически единственным пользователем своей кастомной версии, то я просто знаю, что нужно соизмерять одно с другим. а если выкладывать на паблик, то, вероятно, нужно какой-то механизм предупреждений еще докручивать о том, что память заканчивается. как вы думаете?

Здравствуйте, kochetkov.vladimir, Вы писали:

I>>Для начала не совсем понятно, что показывает твой пример. В твой пример подставили другие данные и тебе стало решительно непонятно. Странно, да ?

KV>Меня смутило то, что фактически доказав тем самым мой же тезис, ты преподносишь это как контраргумент

Я то про закрытый софт писал

Здравствуйте, мыщъх, Вы писали:

М>ЗЫ. у меня лис сильно кастомизированный. вот я думаю -- мне одному это интересно или есть смысл выложить это в бинарном или исходном виде? у меня можно задать макс. потребляемой памяти при запуске лиса в виде аргумента командной строки. разумеется, производительность страдает, т.к. алгоритм выгрузки загруженных ресурсов у меня простой как шланг и потому чем больше вы открываете вкладок при фиксированном потреблении памяти, тем больше высвобождается ресурсов и при переключении взад их приходится загружать обратно (с диска, с кэша). при открытии очень большого кол-ва вкладок (сотни) при небольшом заданном буфере -- памяти просто не хватает и новые вкладки перестают открываться. т.к. пока я являюсь практически единственным пользователем своей кастомной версии, то я просто знаю, что нужно соизмерять одно с другим. а если выкладывать на паблик, то, вероятно, нужно какой-то механизм предупреждений еще докручивать о том, что память заканчивается. как вы думаете?
Выкладывай. Почему-то мне кажется, что не тебе одному, по крайней мере пользоваться им. Конечно большинство не будет лишний раз само пересобирать, но поставить Лиса, что меньше течет — это толпы захотят.
Лично я попробую твою сборку сразу, как ты выложишь ее где.
Для начала внятного текста хватит об особенности, а там отзывы и пожелания понесутся толпой.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Дык в этом-то я и пытаюсь убедить местных сторонников тезиса о защищенности опенсорса)
Странный способ.
Логично было бы сначала определить что ты понимаешь под защищенностью.
Потом показать, что закрытый софт в соответствии с твоим определением лучше защищен, чем открытый.
Возможнооказалось бы что то, что ты понимаешь под защищенностью нужно только тебе.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, fin_81, Вы писали:

_>>Анализы, сделанные по разным методикам при этом еще разных систем бессмысленно сравнивать. Это практически независимые события, любые совпадения и несовпадения случайны.

KV>Тогда зачем они тебе потребовались? (на всякий случай напомню: "Нужна реальная статистика независимых экспертов" Re[5]: И снова к вопросу о защищенности открытого кода

Автор: fin_81
Дата: 10.01.14

)

Дело в том что такие вбросы случайных событий со стороны безопасников выглядят как полная профанация их профессиональной деятельности. Зачем заострят внимание на том, что не с чем сравнивать. Если уж взялся сравнивать то сравнивай по одинаковым методикам (метрикам): берем рабочую собранную систему иксов и виндов, и пытаемся сломать путем систематизированного мышекликания, или заставляем открыть исходники обеих систем и исследуем cppcheck'ом, результаты выкладываем с минимумом отсебятины.

KV>>>Просто ради любопытства: что в твоем понимании есть "зависимый" эксперт?
_>>Зависимый — это когда методика анализа зависит от анализируемой системы. Открытый код и белый ящик против закрытого кода и черного ящика.

KV>А независимый?

Не дождешься, не скажу, секрет.

Здравствуйте, Vzhyk, Вы писали:

DOO>>Все зависит от процесса, если процесс поставлен, то есть какая-никакая гарантия того, что рано или поздно продукт станет в достаточной степени защищенный.
V>ISO9000 и все их стадо тебя опровергает.

не понял, что ты сказать хотел...

Здравствуйте, Vzhyk, Вы писали:

V>Логично было бы сначала определить что ты понимаешь под защищенностью.

http://www.slideshare.net/kochetkov.vladimir/hdswasm-webinar/10 и следующие за ним два слайда.

V>Потом показать, что закрытый софт в соответствии с твоим определением лучше защищен, чем открытый.

Разумеется не лучше. Из факта доступности исходного кода нельзя делать выводы о его защищенности — это все, что я пытаюсь показать

V>Возможнооказалось бы что то, что ты понимаешь под защищенностью нужно только тебе.

Количество клиентов нашей компании и динамика продаж разрабатываемых нами продуктов говорят об обратном уже 11-ый год

Здравствуйте, DOOM, Вы писали:

DOO>не понял, что ты сказать хотел...
Мдас. Это был пример того, что процесс имеет отношение только к процессу, а только очень опосредованное к результату.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>http://www.slideshare.net/kochetkov.vladimir/hdswasm-webinar/10 и следующие за ним два слайда.
Ненавижу видео смотреть. Жуткая новая мода. Неужели так сложно в 3-4 тезисах мысль выразить в письменном виде.
Ну и по тем слайдам, имхо, вода и ничего более — 0 сути. Извини, но я так вижу.

KV>Разумеется не лучше. Из факта доступности исходного кода нельзя делать выводы о его защищенности — это все, что я пытаюсь показать
Конечно нет. Но открытый код ты можешь проанализировать с точки зрения твоих критериев, а закрытый не можешь. А дальше уже или сам исправить, или попросить разработчиков. В случае закрытого ты этого ничего не можешь.

KV>Количество клиентов нашей компании и динамика продаж разрабатываемых нами продуктов говорят об обратном уже 11-ый год
Ясно. Ты крут и согласен с этим. Я так понимаю, что этот вопрос тебя волновал больше всего.

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, мыщъх, Вы писали:


V>Лично я попробую твою сборку сразу, как ты выложишь ее где.
а под какую ось вам интересно? инстала, впрочем, у меня нет ни под одну из осей, как и цифровой подписи исполняемого файла. оригинального логотипа тоже нет (лис его никому не отдает). обновлений тоже нет, т.к. они бы откатили все изменения.

V>Для начала внятного текста хватит об особенности, а там отзывы и пожелания понесутся толпой.
вообще-то самой главной фичей ради которой я форкнул лиса стал богатый по возможностям отладчик скриптов, нацеленный на работу с обфусцироваными зловредными скриптами. но эта фича уж точно большинству не нужна особенно с учетом, что отладчик работает на уровне байт-кода с которым даже жабаскрипт девы навряд ли захотят знакомиться. оптимизация работы с ресурсами это продолжение борьбы с малварью, т.к. для динамического сканера главное иметь возможность загрузить как можно больше уролов в один инстанс и не позволять отдельным слишком умным страницам отжирать память гигабайтами.

от публичного распростанения меня пока что останавливает отсутствие времени на своевременные мержи новых версий лиса и обновлений безопасности. кому нужен браузер, который обновляется только когда меня сильно пнут?

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, DOOM, Вы писали:

DOO>>не понял, что ты сказать хотел...
V>Мдас. Это был пример того, что процесс имеет отношение только к процессу, а только очень опосредованное к результату.
А какие у тебя претензии к ISO9000 в этом плане?
Только не надо приводить в пример организации, просто купившие сертификаты и рожающие "свидетельства для аудита", чтобы не было вопросов для проверяющих — у них СМК это своеобразный культ карго. Эффективность такая же, как у деревянных аэропортов племен тихоокеанских островов.

Здравствуйте, мыщъх, Вы писали:

М>скажем так: открытый код намного более открыт для контрибьюции, а потому когда кого-то серьезно беспокоит гондурас, то его либо перестают чесать, либо исправляют проблему. вот только проблема безопасности для подавляющего большинства это ни разу не проблема. даже для тех немногих (типа нас с вами) она чисто формальная проблема. например, меня больше волнует, что в лисе опять поломали жабаскрипт и он проваливает свои же собственные тесты, в результате чего мой код перестает работать на чужих компьютерах.

Плохо дело — чужие компы перестали работать на мыщъха

Здравствуйте, DOOM, Вы писали:

DOO>А какие у тебя претензии к ISO9000 в этом плане?
Только одни, что стандарт относящийся к одному массово привязывают к тому, к чему он отношения не имеет. Также как ты выше с процессом.

Здравствуйте, мыщъх, Вы писали:

М>от публичного распростанения меня пока что останавливает отсутствие времени на своевременные мержи новых версий лиса и обновлений безопасности. кому нужен браузер, который обновляется только когда меня сильно пнут?
Тогда понятно.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, мыщъх, Вы писали:

М>> то наибольший процент успешных атак через наиболее защищенную платформу,
М>> защищенность которой обосновали при ее создании (жаба).
KV> Строгое обоснование защищенности любой вычислительной системы,
KV> полной по Тьюрингу — неразрешимая задача (давно доказано, же).
так ведь никто не говорит, что жабу нельзя атаковать в принципе. можно. но разработчики предусмотрели глубоко эшелонированную линию обороны на всех уровнях. ваша позиция мне понятна, но она непродуктивна. кстати сказать в движках жаба _скриптов_ так и не нашлось ошибок, ставших популярным вектором атак. вполне безопасный язык жабаскрипт. а с учетом последних оптимизирующих движков даже не слишком тормозной.

KV> Да и type-safety это еще не защищенность.
так ведь в жабе не только это... кстати, какой такой type-safety? на уровне байт кода есть куча "ручек" для обхода системы типов, а именно на таком уровне скорее всего будет работать злоумышленник.

KV> Кстати, что касается Java, то тут возникает закономерный вопрос:
KV> почему подавляющее большинство успешных атак на закрытую реализацию
KV> Java было актуально (на момент атаки) и для ее открытой реализации?
общая база кода. вы посмотрите на разработчиков открытой и закрытой реализаций. вам не кажется, что это одни и те же лица? и код они не писали с нуля, а открыли закрытый. надеюсь, что вы согласитесь -- допустить одинаковую ошибку в одном и том же месте при независимых реализациях маловероятно. а успех атакующих объясняется природой жабы. никаких тебе тут шелл-кодов. в основной массе работает сценарий -- найти библиотечный код, работающий в обход системы безопасности и допускающий выполнение хакерского кода в его контексте. а хакерский код обычно представляет собой тупое скачать исполняемый файл и запустить. "пробивная" способность сплоитов сильно повышается. да вы и сами знаете...

KV> Тут интересны не сами эти дыры и даже не их количество, а тот временной интервал,
KV> который потребовался "тысячам глаз", чтобы таки-найти их в открытом коде.
если бы я стал искать дыры в открытом коде, то иксы были бы последнее на что я обратил внимание. давайте все-таки обсудим возможность реализации угроз (если они, действительно, есть). а вот вам мой пример: алгоритм мд5 открытый. и его хакнули, хотя и с большим опозданием. но все-таки хакнули, т.к. на него обрушился мозговой штурм специалистов со всех стран мира. был бы он закрытым... тогда бы он продержался намного дольше.

М>>отвечают: тебе надо -- ты и пиши. а я дурак что ли писать?
KV>JFYI: за каждую уязвимость лиса нынче платят по 3 килобакса,
это же маркетинг. уязвимость есть. ее показывает компилятор, выдающий ругательства и даже (о боги!) детектирующий переполнение в рантайме и прерывающий работу браузера, в результате его становится невозомжно запустить без изменения либо маке файла, либо фикса дыры. (либо установки старого компилятора). кстати, если посмотреть сколько дыр фиксится, то нереально чтобы за кажую платили 3 килобакса.

по моим наблюдениям даже из опубликованных дыр (с номером на CVE) до эксплоитов (неработающих) доводится в лучшем случае 5%, а рабочих из них вообще можно по пальцем пересчитать. из чего мы делаем вывод, что дыры хакерам малоинтересны и степень опасности сильно преувеличена.

Здравствуйте, Ikemefula, Вы писали:

KV>>Меня смутило то, что фактически доказав тем самым мой же тезис, ты преподносишь это как контраргумент
I>Я то про закрытый софт писал

Угу, но смысл не потерялся. Ч.т.д

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>http://www.slideshare.net/kochetkov.vladimir/hdswasm-webinar/10 и следующие за ним два слайда.
V>Ненавижу видео смотреть. Жуткая новая мода. Неужели так сложно в 3-4 тезисах мысль выразить в письменном виде.

Там не видео А на слайдах именно те самых 3-4 тезиса в письменном виде.

V>Ну и по тем слайдам, имхо, вода и ничего более — 0 сути. Извини, но я так вижу.

Там дана одна из формулировок общепринятого определения защищенности ИС, которое знакомо любому мало-мальски знакомому с данной предметной областью специалисту Дальше в презентации дается строгое (математическое) определение этого термина, но что-то мне подсказывает, что оно также хоть чем-то, но не устроит.

KV>>Разумеется не лучше. Из факта доступности исходного кода нельзя делать выводы о его защищенности — это все, что я пытаюсь показать
V>Конечно нет. Но открытый код ты можешь проанализировать с точки зрения твоих критериев, а закрытый не можешь. А дальше уже или сам исправить, или попросить разработчиков. В случае закрытого ты этого ничего не можешь.

Я (и любой другой специалист из этой области) могу провести анализ защищенности продукта с закрытым кодом, ни имея его исходников. Но это также не говорит о защищенности открытого либо закрытого кода. Что касается исправления уязвимости, то без исходника это конечно практически нереально. Но вот _противодействовать_ ей в рамках конкретной системы — практически всегда возможно безотносительно наличия исходников уязвимого приложения.

KV>>Количество клиентов нашей компании и динамика продаж разрабатываемых нами продуктов говорят об обратном уже 11-ый год
V>Ясно. Ты крут и согласен с этим. Я так понимаю, что этот вопрос тебя волновал больше всего.

Я не понимаю, откуда у тебя берется столь непреодолимое желание обсудить мою скромную персону. Ну заводи отдельную тему, в "О жизни" там или еще где — обсудим, че. Мне не жалко Если это конечно не от того, что тебе периодически нечего возразить по существу =/

Здравствуйте, мыщъх, Вы писали:

М>так ведь никто не говорит, что жабу нельзя атаковать в принципе. можно. но разработчики предусмотрели глубоко эшелонированную линию обороны на всех уровнях.

Что ж, в таком случае, они ее отлично спрятали от посторонних глаз

М>ваша позиция мне понятна, но она непродуктивна.

О позиции по какому именно вопросу идет речь?

М>кстати сказать в движках жаба _скриптов_ так и не нашлось ошибок, ставших популярным вектором атак. вполне безопасный язык жабаскрипт. а с учетом последних оптимизирующих движков даже не слишком тормозной.

Это был скарказм? =/ Полно же было сплоитов Из первого же нашедшегося: http://www.exploit-db.com/exploits/16079/ , http://www.exploit-db.com/exploits/18365/ , http://www.exploit-db.com/exploits/16978/ + ФБРовский сплоит, который они использовали для деанонимизации пользователей Tor (адвизори: http://www.mozilla.org/security/announce/2013/mfsa2013-53.html, анализ сплоита: https://community.rapid7.com/community/metasploit/blog/2013/08/07/heres-that-fbi-firefox-exploit-for-you-cve-2013-1690 , сам сплоит https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/) + сразу несколько техник обхода ASLR, основанных на особенностях системы типов JS, таймингах выполнения JS-кода и т.п. Про скрипты в PDF и прочих флешах — я вообще молчу

KV>> Да и type-safety это еще не защищенность.
М>так ведь в жабе не только это...

Из mandatory-механизмов обеспечения защищенности на уровне языка, IMO только оно Всевозможные SecurityManager'ы и их песочницы (байпас которых возможен практически перманентно) — опциональны и требуют приседаний разработчика.

М>кстати, какой такой type-safety?

Ну, http://en.wikipedia.org/wiki/Type_safety

М>на уровне байт кода есть куча "ручек" для обхода системы типов, а именно на таком уровне скорее всего будет работать злоумышленник.

Дык злоумышленнику сначала нужно каким-то образом попасть на этот уровень?

KV>> Java было актуально (на момент атаки) и для ее открытой реализации?
М>общая база кода.

Это был сарказм в виде риторического вопроса в адрес сторонников априорной защищенности опенсорс-кода

KV>> который потребовался "тысячам глаз", чтобы таки-найти их в открытом коде.
М>если бы я стал искать дыры в открытом коде, то иксы были бы последнее на что я обратил внимание. давайте все-таки обсудим возможность реализации угроз (если они, действительно, есть).

Ок. Речь об угрозах в иксах из числа продемонстрированных тем парнем?

М>а вот вам мой пример: алгоритм мд5 открытый. и его хакнули, хотя и с большим опозданием. но все-таки хакнули, т.к. на него обрушился мозговой штурм специалистов со всех стран мира. был бы он закрытым... тогда бы он продержался намного дольше.

С точки зрения blackbox-подхода, md5 является ящиком с одним входом и одним выходом. + как минимум один побочный канал временных задержек. Этого недостаточно для того, чтобы отреверсить сам протокол, но вполне достаточно для применения любых методик, представляющих собой комбинаторику по входным данным. То есть, найти коллизии черным ящиком возможно разве что брутфорсом, а вот подверженность алгоритма атакам типа расширения хэша (https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks) — вполне анализируется вчерную, без владения алгоритмом.

В любой же мало-мальски комплексной ИС, таких входов и выходов — сотни, а в чуть более сложных — счет идет уже на десятки/сотни тысяч. Не считая побочных каналов. Этого более чем достаточно для того, чтобы оценить защищенность системы, не прибегая к изучению ее исходного кода смарт-фаззингом всех точек входа. Такой поход дает выявление до 70-75% уязвимостей от числа существующих в системе на момент анализа и зачастую этого уже достаточно для владельца системы и ее пользователей. Покрытие остальных 25-30% добирается анализом результатов реверсинга бинарников системы, если конечно они доступны.

М>это же маркетинг. уязвимость есть. ее показывает компилятор, выдающий ругательства и даже (о боги!) детектирующий переполнение в рантайме и прерывающий работу браузера, в результате его становится невозомжно запустить без изменения либо маке файла, либо фикса дыры. (либо установки старого компилятора). кстати, если посмотреть сколько дыр фиксится, то нереально чтобы за кажую платили 3 килобакса.
М>по моим наблюдениям даже из опубликованных дыр (с номером на CVE) до эксплоитов (неработающих) доводится в лучшем случае 5%, а рабочих из них вообще можно по пальцем пересчитать. из чего мы делаем вывод, что дыры хакерам малоинтересны и степень опасности сильно преувеличена.

Я хз о причинах выделенного, но действительно платят за каждый найденный сторонними исследователями критичный security-баг. Получавших от Mozilla такое вознаграждение знаю лично, если что

Здравствуйте, fin_81, Вы писали:

_>Зачем заострят внимание на том, что не с чем сравнивать.

Затем, чтобы получить от как можно большего числа сторонних участников дискуссии утверждения типа процитированного выше, чтобы в дальнейшем использовать их в качестве аргументов в спорах с ярыми опенсорсниками, конечно же

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Ikemefula, Вы писали:

KV>>>Меня смутило то, что фактически доказав тем самым мой же тезис, ты преподносишь это как контраргумент
I>>Я то про закрытый софт писал

KV>Угу, но смысл не потерялся. Ч.т.д

Потерялся, ибо с учетом сказаного в закрытом коде оказалось примерно на порядок хуже

Здравствуйте, kochetkov.vladimir, Вы писали:

_>>Зачем заострят внимание на том, что не с чем сравнивать.

KV>Затем, чтобы получить от как можно большего числа сторонних участников дискуссии утверждения типа процитированного выше, чтобы в дальнейшем использовать их в качестве аргументов в спорах с ярыми опенсорсниками, конечно же

Думаю, использование в качестве аргументов "вещей в себе", которые не с чем сравнивать, еще больше раздует огонь войны фанатиков, втянет в войну пока еще неопределившихся атеистов. Думаю, лучше использовать сопоставимые факты. С чайником Рассела надо бороться бритвой Оккама. Вроде так правильно звучит, плохо разбираюсь в чайниках и бритвах.

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, 3V, Вы писали:

3V>>Закрытость/открытость ПО — суть лишь факт доступности сорцев.
3V>>Есть закрытое ПО. Опубликовал сорцы — уже открытое. И что изменится в самом ПО от факта публикации ?
V>Если внутри говнокод, то ты перестанешь покупать сей продукт.

Странное утверждение. Пользователю пофик на то, какой внутри код.
Пользователю нужен функционал и эксплуатационные характеристики.

В плане защищенности все просто. Если код открыть — можно анализировать сорцы. Если нет — нет.

Здравствуйте, 3V, Вы писали:

3V>Пользователю нужен функционал и эксплуатационные характеристики.
Ну так что с эксплуатационными характеристиками?

Здравствуйте, Vzhyk, Вы писали:

Ops>>Ты, после этой темы, уже отказался от иксов?
V>А я их не покупал.
Тогда, наверное, тем более отказался, раз жалеть не о чем?

Здравствуйте, Vzhyk, Вы писали:

S>>Ну вот в X-сервере говнокод. И чо? Как будто у тебя есть выбор.
V>Как бы есть вот http://en.wikipedia.org/wiki/Display_server, плюс Windows, плюс Мас. Наверное еще что-то есть, я не в курсе.
V>Если меня волнует некая проблема в Иксах, то я могу выбрать из списка выше где сей проблемы нет.

Ну а если необходимый тебе софт существует только под Х, и при этом проблема тебя волнует, тогда как?

Здравствуйте, Vzhyk, Вы писали:

V>Ну так что с эксплуатационными характеристиками?

А что там ?
Качество ПО и факт его открытости никак не связаны.
См. пример выше. Есть закрытое ПО. Публикуем сорцы (открываем) — качество не меняется.

По эксплуатационным характеристикам.
Пользователю нужно, чтобы реализованный в ПО функционал обладал некими характеристиками (обычно оговаривается в ТЗ на разработку). Абстрактный пользователь, выбирающий ПО либо согласен с конкретными характеристиками конкретного изделия, либо нет. Вот и все. Ему без разницы открытое оно или нет. Ему решать задачи нужно, автоматизировать свою деятельность.

З.Ы. Пример хорошего сложного открытого ПО — PostgreSQL.

Здравствуйте, Ops, Вы писали:

V>>А я их не покупал.
Ops>Тогда, наверное, тем более отказался, раз жалеть не о чем?
Ничего не понял, поясни что ты сказать хотел.

Здравствуйте, 3V, Вы писали:

3V>Качество ПО и факт его открытости никак не связаны.
3V>См. пример выше. Есть закрытое ПО. Публикуем сорцы (открываем) — качество не меняется.
А ветер дует, потому что деревья качаются. Все, добили алогичностью, я на такую не способен.

Здравствуйте, Ops, Вы писали:

Ops>Ну а если необходимый тебе софт существует только под Х, и при этом проблема тебя волнует, тогда как?
А тогда или сам фиксишь баги, или заказываешь этот софт под те окошки, где этих багов не существует или сам пишешь.

Здравствуйте, Ops, Вы писали:

S>>>Ну вот в X-сервере говнокод. И чо? Как будто у тебя есть выбор.
V>>Как бы есть вот http://en.wikipedia.org/wiki/Display_server, плюс Windows, плюс Мас. Наверное еще что-то есть, я не в курсе.
V>>Если меня волнует некая проблема в Иксах, то я могу выбрать из списка выше где сей проблемы нет.
Ops>Ну а если необходимый тебе софт существует только под Х, и при этом проблема тебя волнует, тогда как?

Так проблемы нет. До анонса её ещё не было, после — уже нет. Дыры начали искать и закрывать, и закроют раньше, чем хакеры успеют придумать толковый эксплойт.

Когда я админил (в основном фряхи, чуть линуксов, пара штук опёнков), ни одну из моих подведомственных машин не проломали, для чего хватало сохранения свежести софта в пределах полугода. Хотя попытки не останавливались, машины были не за файрволлом и открыты всем ветрам в плане собственно IP.
А вот если какую-то машину забирали под чужое управление, а там админы забывали лечить — в течение года находились безобразия.

Здравствуйте, netch80, Вы писали:

N>Так проблемы нет. До анонса её ещё не было, после — уже нет. Дыры начали искать и закрывать, и закроют раньше, чем хакеры успеют придумать толковый эксплойт.
А ты уверен, что не было до анонса? Любой мог сделать то же самое втихую, подобрать уязвимости поудобнее, и начать их эксплуатировать.
Тут смысл всего топика в том, что лучшая защищенность открытого софта по сравнению с закрытым — миф, потому что все преимущества (в этом аспекте) открытых исходников, полностью нивелируются тем, что их никто и не смотрит.

Здравствуйте, Ops, Вы писали:

N>>Так проблемы нет. До анонса её ещё не было, после — уже нет. Дыры начали искать и закрывать, и закроют раньше, чем хакеры успеют придумать толковый эксплойт.
Ops>А ты уверен, что не было до анонса? Любой мог сделать то же самое втихую, подобрать уязвимости поудобнее, и начать их эксплуатировать.

Уверен. Существенное использование вылезло бы сразу.

Ops>Тут смысл всего топика в том, что лучшая защищенность открытого софта по сравнению с закрытым — миф, потому что все преимущества (в этом аспекте) открытых исходников, полностью нивелируются тем, что их никто и не смотрит.

Да, эту тему я, безусловно, понял. Только вот в чём проблема — туда, куда надо, таки смотрят. А случай иксов — хороший пример того, что туда и не надо было смотреть, пока никто не начал шуметь.
Для сравнения, тема безопасности интернет-серверов (FTP, HTTP, SMTP, POP3...) активно разрабатывалась с обеих сторон ещё в середине 90-х. Если бы для иксов было что-то аналогичное по проблемности — вспомнили бы тогда же.

Здравствуйте, Ops, Вы писали:

Ops>Тут смысл всего топика в том, что лучшая защищенность открытого софта по сравнению с закрытым — миф, потому что все преимущества (в этом аспекте) открытых исходников, полностью нивелируются тем, что их никто и не смотрит.
Уже ложь. Даже этот топик начался с того, что посмотрели. Или в твоем восприятии мира есть два слова смотреть с противоположными смыслами и ты их здесь употреблял?

Здравствуйте, Vzhyk, Вы писали:

V>Уже ложь. Даже этот топик начался с того, что посмотрели. Или в твоем восприятии мира есть два слова смотреть с противоположными смыслами и ты их здесь употреблял?

А 20 лет до этого код был безопасен.

Здравствуйте, Vzhyk, Вы писали:

Ops>>Тут смысл всего топика в том, что лучшая защищенность открытого софта по сравнению с закрытым — миф, потому что все преимущества (в этом аспекте) открытых исходников, полностью нивелируются тем, что их никто и не смотрит.
V>Уже ложь. Даже этот топик начался с того, что посмотрели. Или в твоем восприятии мира есть два слова смотреть с противоположными смыслами и ты их здесь употреблял?

Тут чуть сложнее.
Теоретически, конечно, нет проблем получить ситуацию типа "в X дырка уже 20 лет, и есть кое-кто, кто её втихую юзает почти всё это время".
Но практически это как те 50% встретить живого динозавра на Крещатике, ибо мельчайший признак того, что в какой-то софтине есть дырка (буду описывать этим ненаучным термином любую проблему безопасности), приводит к резкому всплеску интереса ко всем аналогам (как схожим софтинам, так и схожим проблемам). Да, это фактор моды, влияния общего мнения и т.п., но именно на нём получается, что при наличии открытых исходников проверка делается просто глазами и простыми тулзами, а при отсутствии открытых исходников — проверить некому.

Например, в районе 1995-2000 была мода на переполнения в строковых операциях. Сколько раз дырявили, например, wu-ftpd и его частично подлеченные клоны вроде proftpd; imap-uw, от автора протокола, но который совершенно не умел безопасно кодить — и не сосчитать. Но результатом был поиск таких переполнений практически везде во всём, что хоть как-то может получить посторонний ввод. (И этот свежий пример с иксами интересен именно тем, что оказался в непокрытой области; это тот самый случай исключения, которое подтверждает существование, общность и верность правила.) Развилось множество новых подходов — например, DJB сказал "вообще парсить вредно" (IETF его, правда, не слушает), а системы защиты кода привели, например, к strcpy_s с компанией — на уровне расширения C, и группе strlcpy в специфике Unix. А Венема в postfix придумал совсем другой, почти фантастически оригинальный, но тоже работающий подход. К 2000 эта проблема была решена во всём, что вообще хоть как-то было подозрительно. Лечение же аналогичного в Windows потребовало усилий именно её программистов (и то, они предпочли уйти на .net, потому что достало)

Сходных явлений в те времена было дофига, я задолбусь перечислять.

После 2000 стала очень активна тема SQL injection и подстановки globals в запросах — и опять-таки её искали и лечили везде, но тут уже начали гадить всем PHP'шные традиции Dupa Govnosite Inc. всех видов. (Было несколько источников подобных чудес, но PHP перекрыл их вместе взятых в разы.) Результат оказался совершенно неожиданным — принципиальное изменение структуры хостингов и подъём популярности виртуальных машин. Когда хостера задолбали, мягко говоря, жалобами типа "мы не можем перейти на следующую версию PHP, потому что у нас весь код ломается" — он в качестве лечения сажает всех извращенцев в chroot и забывает о проблеме (по возможности при этом стребовав денег за отдельный IP). Chroot быстро превращается в jail, затем в VZ/etc. контейнер с лимитацией ресурсов, юзер может сидеть хоть на версии 10-летней давности — он повредит только себе. Утолщение дисков делает все эти VPS/VDS дешёвыми. Вот тут-то и оказалось, что не всё так радужно — что виртуализация имеет и обратную сторону: потеря интереса к быстрым лечениям проблем подопечных. Одна сторона прогресса начала замедлять другие.

Откровенно говоря, поэтому утверждение, что "открытые исходники увеличивают защищённость", я считаю сейчас плавно переходящим, к сожалению, в исторические. На 2000 это было верно. На 2014 — плотно подошло к грани неверности; ещё не в обратную сторону, но если тенденция продолжится, то может и обратиться. Тут ещё зависит от экономических факторов. Я вот уверен, что в каком-нибудь AppStore дырок в приложениях в среднем по сотне на каждое, потому что активная область и разрабатывались совершенно на тяп-ляп. Но методы поиска и эксплуатации оных пока не отработаны.

Здравствуйте, Vzhyk, Вы писали:

_>>Более интересно как отключить и удалить графическую систему (он же "дыра") в некоторых системах с закрытым кодом? Думаю, это не знают даже сами разработчики.
V>А там нет ни багов, ни дыр.

http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
просуществовало с конца 80-х. По времени жизни и по потенциальным последствиям аналогично дыре в bfdread, но, в отличие от последней, сначала начали эксплуатировать.

Здравствуйте, netch80, Вы писали:

N>Откровенно говоря, поэтому утверждение, что "открытые исходники увеличивают защищённость", я считаю сейчас плавно переходящим, к сожалению, в исторические. На 2000 это было верно. На 2014 — плотно подошло к грани неверности; ещё не в обратную сторону, но если тенденция продолжится, то может и обратиться.
Ну почему нынче все путают причины и следствия. Алогичность нынче рулит.

И тот и другой код пишут в общем-то одни и те же люди с с одинаковым количеством багов (в частности дыр в безопасности). Разница всего-лишь в том, закрытый код никто, кроме его разработчика не видит и не знает что там и как — может только верить. Открытый код может посмотреть любой и если его интересуют баги (дыры) в нем, то он может это увидеть и даже закрыть или подсказать разработчику что и как пофиксить. Из этого простое логическое следствие: открытый код имеет в итоге меньше багов.

Еще раз, для всех тех, кто с логикой не дружит, некоторый конкретный продукт может не следовать общей тенденции по куче причин.

Здравствуйте, kochetkov.vladimir, Вы писали:

k> Что касается исправления уязвимости, то без исходника это конечно практически нереально. Но вот _противодействовать_ ей в рамках конкретной системы — практически всегда возможно безотносительно наличия исходников уязвимого приложения.

А как же то, что на слайдах написано "Бороться необходимо с причинами, а не со следствиями"? А то ведь противодействие может сводиться к анекдотичному: "Надеть один презерватив, забинтовать; надеть другой, намазать йодом; надеть третий, зацементировать... и никаких половых связей!", но разве это защищенность жизнь?

Здравствуйте, Vzhyk, Вы писали:

N>>Откровенно говоря, поэтому утверждение, что "открытые исходники увеличивают защищённость", я считаю сейчас плавно переходящим, к сожалению, в исторические. На 2000 это было верно. На 2014 — плотно подошло к грани неверности; ещё не в обратную сторону, но если тенденция продолжится, то может и обратиться.
V>Ну почему нынче все путают причины и следствия. Алогичность нынче рулит.

"Врачу, исцелися сам". Я говорю не про направление причинно-следственной зависимости, а только про факты. Сферический силлогизм в вакууме пригоден только для подсчёта ангелов на кончике иглы.

V>И тот и другой код пишут в общем-то одни и те же люди с с одинаковым количеством багов (в частности дыр в безопасности). Разница всего-лишь в том, закрытый код никто, кроме его разработчика не видит и не знает что там и как — может только верить. Открытый код может посмотреть любой и если его интересуют баги (дыры) в нем, то он может это увидеть и даже закрыть или подсказать разработчику что и как пофиксить. Из этого простое логическое следствие: открытый код имеет в итоге меньше багов.

V>Еще раз, для всех тех, кто с логикой не дружит, некоторый конкретный продукт может не следовать общей тенденции по куче причин.

Ещё раз для тех, кто не дружит с логикой потому, что за красивыми стрелочками силлогизмов не видит реальных факторов. Закрытое ПО пишется практически (~99%) только из-за денег. Тут работают стандартные рыночные механизмы. Защищённость — один из факторов удовлетворения пользователей.
Открытое — может писаться по любым причинам, включая желание выпендриться. И вот в том, что не находится сейчас на острие интереса комьюнити, возятся только старые энтузиасты данного софта. А их уровень квалификации и заинтересованности может быть совершенно непредсказуемым.
То, что случилось с иксами — отражение ровно этой проблемы. Но иксы в районе всяких libXfont — они памятник, а памятники не меняются.

Именно твоя логическая ошибка в том, что ты от очевидных и не требующих сомнения "некоторый конкретный продукт может не следовать общей тенденции по куче причин" и "любой может это увидеть (баги/дыры)" переходишь, на основании сомнительного и статистически недостоверного тезиса, что из того, что "любой" может увидеть, этот "любой" видит и сообщает — к тому, что в итоге "открытый код имеет в итоге меньше багов". В то время как практика показывает, что интерес статистически среднего "любого" направлен только на то, что сейчас модно и на слуху, и это слабо связано с реальной плотностью использования. Вот пример этак 5-летней давности. Некоей тулзе подают на вход данные, которые она сортирует qsort'ом с выбором медианы. "Правильное" формирование данных приводит к неадекватному выбору разделителя и переходу к O(N**2) при сортировке, что даёт DoS на сервис. Но кто будет лезть в известный со средней школы qsort? Это ж матан в степени.

А вторая логическая ошибка — неверное определение эффективных подмножеств сравниваемых миров. В случае закрытого софта в него включаются все миры, включая внутреннее ПО, в котором основная концентрация мусора, и на который работают ~80% всех программеров, и на этом основании делается самоутешающий вывод. В то время как открытое ПО практически не присутствует в этом мире, по очевидным причинам; даже SCADA системы это адаптация "коробочных" поставок. А уровень "коробочного" закрытого ПО уже существенно выше среднего.

Здравствуйте, netch80, Вы писали:

N>Ещё раз для тех, кто не дружит с логикой потому, что за красивыми стрелочками силлогизмов не видит реальных факторов. Закрытое ПО пишется практически (~99%) только из-за денег. Тут работают стандартные рыночные механизмы. Защищённость — один из факторов удовлетворения пользователей.
И обман клиента одни из них.

N>А их уровень квалификации и заинтересованности может быть совершенно непредсказуемым.
Тоже и закрытым, только еще хуже. Почти всегда под видом сеньора клиенту продается работа студента.

N>То, что случилось с иксами — отражение ровно этой проблемы.
Вообще-то про Иксы тут уже многие сказали, что на их безопасность просто плевать. А баги — пока пользующихся удовлетворяют, а если не удовлетворяет кучу всего вместо них есть.

N>Именно твоя логическая ошибка в том, что ты от очевидных и не требующих сомнения "некоторый конкретный продукт может не следовать общей тенденции по куче причин" и "любой может это увидеть (баги/дыры)" переходишь, на основании сомнительного и статистически недостоверного тезиса, что из того, что "любой" может увидеть, этот "любой" видит и сообщает — к тому, что в итоге "открытый код имеет в итоге меньше багов".
Не перехожу. Это ты путаешься свое предположение мне приписать.

N>В то время как открытое ПО практически не присутствует в этом мире, по очевидным причинам;
Мда. Похоже мир этот совсем не тот, в котором я живу.

Здравствуйте, Vzhyk, Вы писали:

N>>Ещё раз для тех, кто не дружит с логикой потому, что за красивыми стрелочками силлогизмов не видит реальных факторов. Закрытое ПО пишется практически (~99%) только из-за денег. Тут работают стандартные рыночные механизмы. Защищённость — один из факторов удовлетворения пользователей.
V>И обман клиента одни из них.

Только при нежелании держать сколь-нибудь долгую репутацию. Даже MS это делает очень местами.

N>>А их уровень квалификации и заинтересованности может быть совершенно непредсказуемым.
V>Тоже и закрытым, только еще хуже. Почти всегда под видом сеньора клиенту продается работа студента.

Обобщения вида "почти всегда" требуют обоснования. Так что — ссылки в студию.

N>>То, что случилось с иксами — отражение ровно этой проблемы.
V>Вообще-то про Иксы тут уже многие сказали, что на их безопасность просто плевать.

Ну а я о чём. Контекстов, где их безопасность существенна, крайне мало и они вымирают.

N>>Именно твоя логическая ошибка в том, что ты от очевидных и не требующих сомнения "некоторый конкретный продукт может не следовать общей тенденции по куче причин" и "любой может это увидеть (баги/дыры)" переходишь, на основании сомнительного и статистически недостоверного тезиса, что из того, что "любой" может увидеть, этот "любой" видит и сообщает — к тому, что в итоге "открытый код имеет в итоге меньше багов".
V>Не перехожу. Это ты путаешься свое предположение мне приписать.

Тогда покажи другой путь, которым ты пришёл к своему выводу (который не перестаёт быть сомнительным и практически не обоснуемым).

N>>В то время как открытое ПО практически не присутствует в этом мире, по очевидным причинам;
V>Мда. Похоже мир этот совсем не тот, в котором я живу.

Ты всерьёз видел открытое ПО, разрабатываемое для конкретной коммерческой организации? В массовом количестве? Если у тебя такое действительно есть, я для начала хочу узнать название твоей планеты.

Здравствуйте, Vzhyk, Вы писали:

V>То бишь в теории все хорошо, а на практике все плохо.

Ваша неправда. Где/когда есть стимул (денежный, юридический) блюсти качество — оно соблюдается, ого-го как!

Здравствуйте, netch80, Вы писали:

Согласен со всем сказанным, кроме:

N>Но методы поиска и эксплуатации оных пока не отработаны.

Напротив, уже давно отработаны и мало чем отличаются от анализа любого другого типа приложения blackbox'ом и эксплуатации полученных результатов. Второе, правда, также зависит от предметной области приложения. Для каких-то и XSS во View Engine может оказаться серьезной проблемой (http://arstechnica.com/security/2013/09/popular-ios-e-mail-app-acquired-by-dropbox-has-serious-bug-researcher-warns/), а для каких-то — толку от уязвимостей в них ровно 0 без возможности выйти из песочницы (на не джейлбрейкнутых аппаратах, разумеется), т.е. для них потребуется еще и наличие второй узявимости в ОС, что "слегка" усложняет сценарий атаки без доступных в паблике о-деев для иос.

Здравствуйте, Anton Batenev, Вы писали:

AB>А как же то, что на слайдах написано "Бороться необходимо с причинами, а не со следствиями"?

Там шла речь о "разработчику кода необходимо бороться с причинами, а не со следствиями его незащищенности", а я говорю о противодействии исходя из того, что этот код используются еще хоть кем-то, кроме разработчика. Это вполне стандартная практика: закрыть уязвимость доступным воркарраундом (конфигурацией, правилом на файрволе, ограничением прав, временным отключением какго-либо функционала и т.п.) и дождаться патча, разработка и тестирование которого все же занимает какое-то время, в течении которого жить с уязвимым приложением было бы некомфортно и рискованно.

AB>А то ведь противодействие может сводиться к анекдотичному: <skipped>

А может и не сводиться

Здравствуйте, netch80, Вы писали:

N>>>В то время как открытое ПО практически не присутствует в этом мире, по очевидным причинам;
N>Ты всерьёз видел открытое ПО, разрабатываемое для конкретной коммерческой организации? В массовом количестве? Если у тебя такое действительно есть, я для начала хочу узнать название твоей планеты.
Почитай себя сам.

З.Ы. Но, вот в чем вы безопасности меня убедили в этой теме, что вы сами выдумываете проблемы безопасности, чтобы раскручивать хомячков на бабки. Спасибо за просвещение.

Здравствуйте, Vzhyk, Вы писали:

N>>>>В то время как открытое ПО практически не присутствует в этом мире, по очевидным причинам;
N>>Ты всерьёз видел открытое ПО, разрабатываемое для конкретной коммерческой организации? В массовом количестве? Если у тебя такое действительно есть, я для начала хочу узнать название твоей планеты.
V>Почитай себя сам.

Я там чётко определил, что означало слово "мир" и почему используется именно оно. Своим сравнением цитат ты показал только нежелание вдумываться в реплики собеседника.

V>З.Ы. Но, вот в чем вы безопасности меня убедили в этой теме, что вы сами выдумываете проблемы безопасности, чтобы раскручивать хомячков на бабки. Спасибо за просвещение.

Что-то я не могу распарсить первое предложение в этом абзаце. "вы, безопасностники"? Или что имелось в виду?
Если да, то при чём тут я?

Здравствуйте, Vzhyk, Вы писали:

V>Здравствуйте, netch80, Вы писали:

V>З.Ы. Но, вот в чем вы безопасности меня убедили в этой теме, что вы сами выдумываете
V>проблемы безопасности, чтобы раскручивать хомячков на бабки. Спасибо за просвещение.
вы кино man on the edge не смотрели? впрочем, их много таких. the score например, где сейф взламывают путем гидравлического удара. в edge используют жидкий азот, а в качестве отвлекающего маневра социальной инженерии чувак делает вид, что собирается прыгнуть со здания напротив и потому внимание толпы народа и полиции переключено на него. вот такая комбинация разыгрываются для мегахака с брильянтом на миллион.

в безопасности все приблизительно так же. компьютер хомячков защищен хуже, чем дверь с английским замком. но кому-то приходит в голову, что если сильно дунуть в замок, то можно испугать кошака, мирно спящего до того на коврике. если дуть строго дозировано с определенной частотой и скважностью, то кошак запрыгнет на штору. багета не выдержит его тяжести и упадет на елку с бенгальскими огнями от которых начнет гореть ковер... как-то так.

в подтверждение своих слов могу посоветовать сходить на cvedetails и потом на вирус тотал, чтобы проверить сколько _критических_ угроз было реализовано на практике. всякого меньше 10%, но чуть выше 1%. где-то 3% — 5%. это, повторяю, из критических угроз, допускающим возможность выполнения кода. точнее, из угроз, которые признали критическими. как вы понимаете вендоры делают такие признания крайне неохотно.

в сабжевом контексте: бла-бла-бла и куча дыр, но... не зафиксировано ни одной атаки с их использованием. конечно, это не значит, что реализация угроз невозможна в принципе. это всего лишь означает, что сосули и кирпичи падают. иногда на головы людей. но больше людей гибнет под колесами автомашин. и когда вместо того, чтобы решить проблему безопасности движения начинают осваивать бюджет сосулями -- становится грустно, хотя сосули все-таки падают и народ справедливо негодуэ куда там смотрят и почему их не убирают.

Здравствуйте, мыщъх, Вы писали:

М>в сабжевом контексте: бла-бла-бла и куча дыр, но... не зафиксировано ни одной атаки с их использованием. конечно, это не значит, что реализация угроз невозможна в принципе. это всего лишь означает, что сосули и кирпичи падают.
Но из этого же выведен глобальный вывод, вынесенный в шапку темы о том, что открытый код однозначно хуже в плане безопасности закрытого. Купляйце закрытый, мне на поршекаен не хватает.

Ну, причины подобного названия и вывода понятны: реклама со страшилками. Один или другой хомячок прочитает и кинется ставить на свою картонную дверь супер-пупер крутой замок из высоколегированных сплавов. А меня такие рекламщики раздражают, вот и отвечаю им тем же.

Здравствуйте, Vzhyk, Вы писали:

V>вывод, вынесенный в шапку темы о том, что открытый код однозначно хуже в плане безопасности закрытого.

А ты фантазер, однако

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>А ты фантазер, однако
Хуже.

Здравствуйте, Vzhyk, Вы писали:

KV>>А ты фантазер, однако
V>Хуже.

Аргументировать слабо?

Здравствуйте, mark_kavinski, Вы писали:

_>Аргументировать слабо?
Что я здесь хуже, чем фантазер???