Červencové kritické záplaty Microsoftu

Diskuze čtenářů k článku

Lukas Kalista  |  13. 07. 2005 01:06  | 

Porad je mi zahadou, jak muze MS pred rikat, ze v danem mesici bude XY oprav. Napadaji me pouze jedine vysvetleni - na zaplatovani z vysoka kaslou, vzdyt zaplatovat kritickou chybu staci klidne az za mesic, nikoliv co nejdrive. Nebo je pro to jiny, logicky duvod? Kdyby se cekalo treba kvuli vydani na nejakem mediu, tak bych to chapal, ale kdyz je to na internetu? Proc to tam nedaji hned jak ji maji hotovou a ceka se na nejake datum??? Zajimalo by mne, kolik lidi jim tu politiku, jak se snazi, zere...

Souhlasím  |  Nesouhlasím  |  Odpovědět
kernel_panic [passed]  |  13. 07. 2005 01:15  | 

kritická oprava je sice kritická, ale tak kritická, že klidně může počkat na druhý úterý v měsíci...

kdyby se jednalo o kriticky kritickou chybu, uveřejnili by ji hned...

jejich politika se leckomu nemusí líbit, ale nějakej pořádek a harmonogram je užitečnej...v kontrastu třeba s tím jelením zigzag chaosem na mozille :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  13. 07. 2005 09:17  | 

Ano. Kdyz nekdo ve svem produktu objevi kritickou chybu a obratem ji opravi a opravu uvolni verejnosti, tak to je jeleni zigzag chaos.

Souhlasím  |  Nesouhlasím  |  Odpovědět
kriznik  |  13. 07. 2005 09:25  | 

taky pouzivam FF

nenazval bych to zigzag jelenim chaosem, nybrz nekoncepcnosti... nebudu kvuli kazde zaplate stahovat CELY prohlizec... nesmysl, nejdrive meli udelat updaty tak aby se nestahoval komplet... pockam az na 1.1

pak to uz nebude zigzag chaos snad pro nikoho :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  13. 07. 2005 10:12  | 

FF ma necelych 5 MB. Kolik znate programu, ktere maji 5 MB a updatuji se pomoci patchu? Rozhlednete se po programech na vasem pocitaci a treba i pocitacich ostatnich. To neni zadna nekoncepcnost, to je u tehle tridy programu bezna vec.
Az bude takovy system fungovat u dalsi verze FF, tak to bude neco jako maly zazrak v tehle oblasti.
A mimochodem CELY prohlizec firefox neni o moc vetsi nez nektere kumulativni patche pro IE, takze ani co se tyka velikosti to neni nejaky problem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 11:19  | 

treba maxthon, 4,6 MB combo instalacni balicek, updaty o velikosti desitek kb stahuje pomoci automatickeho systemu aktualizaci zabudovaneho primo do aplikace. a vzhledem k tomu, ze jde o webovy prohlizec, neni to jiste bezpredmetne srovnani, takze o zazraku bych vazne nemluvil, a rozhodne ne proot, ze jsem ateista.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  13. 07. 2005 11:32  | 

A jake renderovaci jadro obsahuje ta instalacka Maxthonu?
FFox ve verzi 1.1 uz konecne bude mit rozumnejsi zpusob aktualizace (a fakt, ze pri preinstalaci novou verzi zustane v seznamu nainstalovanych programu i ta stara, je taky ponekud... neprijemny, ale i tohle slibuji napravit).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  13. 07. 2005 11:33  | 

Maxthon ma hromadu vychytavek. Je snadne soustredit se na ruzne ficurky, kdyz delate jenom UI+omacku okolo a nemusite implementovat vlastni jadro. A i kdyz existuji i mensi programy, co pouzivaji patche, tak to co jsem rikal plati - v tehle kategorii nejsou patche pravidlo, ale spise vyjimka (jestli vam zazrak pripada jako prilis silne slovo). Rozhodne neni absence patchu nekoncepcnost (ona nekoncepcnost by to nebyla ani kdybu ff byl posledni kdo patche nepouziva, ale to je fuk).

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 11:39  | 

nevim, jestli je programovani novych vlastnosti a ui TAK snadne, ale ale jako peohlizec/nadstavba IE odvadi maxthon ve sve zakladni verzi bez pluginu vybornou praci a ten system aktualizaci funguje vborne, coz je presne to, co me jako uzivatele zajima. S vjimkou souhlasim, predchozi formulace byla ale z rise divu a pohadek... S nekoncepcnosti nesouhlasim, podle me je u produktu, ktery predstavuje weakest link z hlediska bezepcnosti (to kazdy webovy prohlizec), dulzita rychla automaticka aktualizace respektive aplikace vydanych zaplat, zduraznuji slovo automaticka. nemluve o tom, ze pres ujistovani lidi z mozilla foundation stahovani stale novych verzi zasahuje (minimalne v pocatku zasahovalo) do pocitadla stazeni, ktere mozilla foundation pouziva jako silny marketingovy nastroj.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  13. 07. 2005 12:03  | 

Nekoncepcnost je podle me otazka pohledu. FF ma aktualizacni system, ktery uzivatele na novou verzi upozorni a par kliky si ji stahne. Tim svoji koncepci bezpecneho prohlizece nijak nenarusuje. Je jasne, ze instalace nove verze je vec, kterou spousta uzivatelu neudela, takze tady je prostor pro zlepseni bezpecnosti. Ale to se dostavame k bezpecnosti milionu instalaci mezi uzivateli, nez k bezpecnosti produktu jako takoveho. Jiste to souvisi, ale kdo ma vuli a zajem, tak ma firefox bez neopravnych der jenom par dni v roce.
Ja patchovy aktualizacni system privitam, ale kdybych byl hnidopich, tak bych mohl rikat, ze to je naopak nekoncepcni, ze takova vec neni nutna a nevyuziji ji vsichni, takze ve firefoxu nema co delat

Souhlasím  |  Nesouhlasím  |  Odpovědět
Flasi  |  13. 07. 2005 12:10  | 

Ja tuhle situaci nesleduji, ale to ze se firefox stazeny skrze aktualizacni mechanismus nepocita do celkovych downloadu jsem cetl uz pred mnoha mesici. Ale to je celkem offtopic. Kazdopadne od lidi z mozilla.org/czilla.cz pravidelne ctu, ze ten pocet stazeni je pouze informativni nema vypovidaci hodnotu.
A kdyz uz o tom mluvime, tak ja kdyz zjistim, ze je nova verze FF, tak jdu na stranky produktu, tam si proctu co a jak a kdyz uz tam jsem, tak to stahnu jako novou instalaci, takze se zapocitam .

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  13. 07. 2005 14:12  | 

"nemluve o tom, ze pres ujistovani lidi z mozilla foundation stahovani stale novych verzi zasahuje (minimalne v pocatku zasahovalo) do pocitadla stazeni, ktere mozilla foundation pouziva jako silny marketingovy nastroj."

Vy tuto svou domněnku nedokážete podložit, protože není pravdivá. Většina lidí používá aktualizační mechanimus a ten se do počítadla nezapočítává. kdyby tomu tak nebylo, bylo by již několik set milionů downloadů. Navíc Mozilla Foundation se nesnaží striktně interpretovat počet downloadů jako počet uživatelů. Protože to není reálně možné spočítat a ověřit. Podíváme-li se ale na jakékoliv globální statistiky podílu prohlížečů z poslední doby, zjistíme, že těch uživatelů (tedy těch, kteří si program stáhli, nainstalovali a používají) je skutečně přibližně 50-100 milionů.

"we're not counting updates that most users get from our update system. If we were, there'd be tens of millions more (we do count those but we don't include them in this total.)"
http://weblogs.mozillazine.org/asa/archives/008504.html

"yes, there may be some people that grab the full versions instead of using the update mechanism, but we are, after all, counting downloads here, and not users so let's not pretend we're counting anything more than downloads and demand perfection."
spreadfirefox (dočasně mimo provoz)

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 14:30  | 

vsak pisu, ze minimalne zasahoval v pocatcich a je sice hezke, ze chlapci z MF rikaji, ze nejde o nic jineho nez o pocet downlaodu, ale zpusob, jakym jsou cisla z tohoto pocitadla vyuzivana vyvolava jisty zajem o relevanci tech cisel. ale to uz jsme probirali tolikrat...
co se takhle spokojit s tim, ze plne automatizovany system aktualizaci, ktery pouziva pouze opravy a nestahuje celou novou verzi je vyhodnejsi, privetivejsi a ekonomictejsi model? mimochodem, kdyz  operujete temi 50-100 miliony, neni to tochu velky rozptyl?
 A abychom se tu nenudili, tak si dovolim pripomenout statistiku stazeni Maxthonu, ktera na me pusobi pozitivne tim, ze ty pocty stazeni nejsou podporeny zadnym masivnim (institucionalizovanym nebo komunitnim) marketingem. Podle me je tohle cislo mnohem zajimavejsi nez cisla u firefoxu a moc me mrzi, ze maxthon neni odlisovan v ruznych statistikach

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  13. 07. 2005 18:05  | 

To, že se možná zasahovalo v začátcích, nyní neplatí, tak proto nechápu, proč to uvádíte.

"co se takhle spokojit s tim, ze plne automatizovany system aktualizaci, ktery pouziva pouze opravy a nestahuje celou novou verzi je vyhodnejsi, privetivejsi a ekonomictejsi model?"

Jistě že je takový systém mnohem lepší, a proto bude ve Firefoxu 1.1.

50-100 milionů je docela reálný odhad založený na několika globálních statistikách podílu prohlížečů z poslední doby a odhadu počtu uživatelů internetu. Nic přesnějšího nexistuje a zřejmě ani nebude existovat, což asi musíte vědět.

Počet uživatelů Maxthonu může být skutečně nižší než počet downloadů, protože není distribuován v tolika lokalizacích a v linuxových distribucích (jako je tomu např. u Firefoxu) a ne každý, kdo si ho stáhne, si ho musí nainstalovat a dlouhodobě používat. Ale to je můj názor, který pravděpodobně nejde ani potrvdit, ani vyvrátit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 18:22  | 

vite, i kdyby byl pocet uzivatelu maxthonu nizsi (jako ze enjspis je) nez cislo downlaodu, tak porad zustane v radu desitek milionu uzivatelu. Podle cisle n obou meracich stahovani byl pomer poctu stazeni priblizne 1:2 - s ohledem na zpusob distribuce a de facto absenci propagace a medialni pozornosti je to uzasny vysledek, mnohem prekvapivejsi nez v pripade firefoxu. ale to je vec do jine diskuse. Ostatne ono diskutovat s vami stejne nema moc smysl a ani to neni zabava.  Presvedcil me o tom vas obrat v argumentaci u vyvoje poctu objevenych chyb v jednotlivych prohlizecich a hlavne to, ze ty zavadejici statistiky pouzivate nadale bez jakekoliv zmeny doprovodneho textu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  13. 07. 2005 19:46  | 

"Podle cisle n obou meracich stahovani byl pomer poctu stazeni priblizne 1:2 - s ohledem na zpusob distribuce a de facto absenci propagace a medialni pozornosti je to uzasny vysledek, mnohem prekvapivejsi nez v pripade firefoxu."

Já si to nemyslím vzhledem k pohodlnosti uživatelů přecházet na zcela jiný prohlížeč s větším objemem instalace a založeným na jiném jádře, byť kvalitnějším, které si ale nese pověst horšího zobrazování stránek lajdácky optimalizovaných pouze pro IE.

"Ostatne ono diskutovat s vami stejne nema moc smysl a ani to neni zabava. Presvedcil me o tom vas obrat v argumentaci u vyvoje poctu objevenych chyb v jednotlivych prohlizecich a hlavne to, ze ty zavadejici statistiky pouzivate nadale bez jakekoliv zmeny doprovodneho textu."

Jaký obrat va argumentaci a jaké zavádějící argumenty? Mohl byste je prosím uvést, aby ta diskuse byla k něčmu dobrá? Děkuji.

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 20:18  | 

jednoduche, velice dlouho jste uvadel jako vyhodu FF maly pocet objevenych bezpecnostnich chyb, v okamziku, kdy bylo v FF odhaleno vice chyb nez v IE 6.0 s SP2, tak jste zacal hrat na notu rychlejsiho zaplatovani popripade bezpecnejsi architektury...  Nemluve o tom, jak jste nekolikrat uvedl  jako typickou leta neopravenou chybu v IE pripad derave knihovny, ktera byla nahrazena novou verzi, ale secunia to ve sve databazi neuvedla (http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx) .
zavadejici jsou odkazy na secunni, ktera nerozlisuje ie s SP2 a ie bez nej. I kdyz lze pristoupit na arguemntaci, ze sp2 neni na vsech pocitacich s win xp a win xp nejsou na vsech pocitacich s win, nelze akceptovat to, ze tuto platformu a produkt pri srovnavani ve svych prispevcich ignorujete (chyba MS, ze IE v SP2 neprejmenovala na o cislo vyssi verzi, cela vec by se tim usnadnila).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Tomeš - ptomes@gmail.com  |  13. 07. 2005 20:38  | 

"V okamziku, kdy bylo v FF odhaleno vice chyb nez v IE 6.0 s SP2, tak jste zacal hrat na notu rychlejsiho zaplatovani popripade bezpecnejsi architektury..."

Ano, protože tento argument platí a nemůžete ho vyvrátit. Přesně tyto faktory mají přeci významný vliv na zabezepčení uživatelů daného produktu.

"Nemluve o tom, jak jste nekolikrat uvedl jako typickou leta neopravenou chybu v IE pripad derave knihovny, ktera byla nahrazena novou verzi, ale secunia to ve sve databazi neuvedla (http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx). I kdyz lze pristoupit na arguemntaci, ze sp2 neni na vsech pocitacich s win xp a win xp nejsou na vsech pocitacich s win, nelze akceptovat to, ze tuto platformu a produkt pri srovnavani ve svych prispevcich ignorujete (chyba MS, ze IE v SP2 neprejmenovala na o cislo vyssi verzi, cela vec by se tim usnadnila)."

Nemám zapotřebí kontrolovat renomovanou a nezávislou bezpečnostní společnost Secunia, ani to není v mých silách. Pokud je pravda to co píšete, pak jde o hrubou chybu, kterou by měli v Secunii rychle napravit. Přesto jedna opravená chyba navíc nezakryje desítky jiných dlouhodobě neopravených chyb, což jednozančně potvruje i druhý nezávislý a renomovaný zdroj SecurityFocus, který dokonce rozlišuje jednotlivé verze produktů a rychle zachycuje i opravy výrobce.
http://en.wikipedia.org/wiki/Comparison_of_web_browsers#Security

Vaše výhrady tedy vzhledem k výše napsanému vnímám jako opravdu neopodstatněné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
tonda  |  13. 07. 2005 09:47  | 

A to je jako chaos, pokud má v sobě program zabudováno sledování aktualizací. Bohužel SP2 to má též, ale je to zcela nepoužitelné, neboť k tomu, aby to jednou za měsíc každé druhé úterý stáhlo pár věcí, to člověk rozhodně mít nemusí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Karel Kahovec, Karel Kahovec  |  13. 07. 2005 06:25  | 

No když to říká den před jejich vydáním, tak asi ví, že žádnou další připtavenou nemá. Zkus chvíli myslet místo automatického kritizování MS za všechno, co udělá - ať už dobře nebo blbě.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lukas Kalista  |  13. 07. 2005 09:50  | 

Ty zaplaty vychazeji pravidelne mesicne. Tudiz dopredu vedi, ze do konce srpna nic nevydaji, az v srpnu. Coz je prave presne to, co kritizuji. A to i presto, ze rada chyb je kriticka, tak se ceka az na dalsi mesic. Co je na tom nepochopitelneho? Myslite, ze ta priprava trva dele nez mesic? Ze by meli tak nechopne programatory? Zkuste se zamyslet vy, drive nez zacnete obhajovat

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 10:02  | 

Mozna jen nerozumite tomu, co znamena oznaceni kriticka chyba a co znamena realne ohrozeni uzivatelu takovou chybou. Jako kriticka chyba jsou oznacovany vsechny chyby, ktere potencialne umozni prevzeti kontroly na pocitacem ci naruseni jeho chodu. To zni samozrejme desive, dokud si neuvedomite, ze realne nebezpeci zneuziti dane chyby nastava az v okamziku, kdy je uvolnena zaplata. Nemohu si vzpomenout na zadny pripad z poslednich let (u ms, dalsich komercnich i open source projektu), kdy by existoval exploit drive, nez zaplata.
Tim, ze se zaplaty uvolnuji jednou do mescie v jeden urcity den dava administratorum moznost pripravit se na tuto sskutecnost, spravci siti nyni vedi, ze jim pravidelne jednou za mesic ms posle opravne balicky a oni jsou pripraveni bud n primou instalaci nebo na jejich testovani s podnikovymi aplikacemi pred realnym nasazenim. MS navic velkym zakaznikum posila tyto zaplaty i v predstihu v ramci specialnich smluv, aby meli dostatek casu na testovani a nasazeni oprav.
Jak dlouho trva opravid kterou chybu netusim, vim, ze open source projekty vydavaji opravy rychleji (nektere komercni projekt zalozene na OSS ale pozdeji nez -"fanouskovske" nebo dobrovolnicke projekty protoze je museji testovat stejne, jako musi testovat MS). MS to i drive trvalo dele, ale jediny rozdil mezi pristupem MS a open source projekty je zatim v tom, ze open source sbira pozitivni PR body za rychle zverejneni zaplaty. Mimochodem microsoft v priopade zevrejneni informace o existenci chyby stejne jako jini vyrobci nabizi take, pokud je to mozne, okamzite reseni, ktere nebezpeci umoznuje obejit tzv. workaround, staci se podivat do security bulletinu.
 

Souhlasím  |  Nesouhlasím  |  Odpovědět
xentar1, xentar1  |  13. 07. 2005 11:29  | 

tak aby mi to nekdo neomlatil o hlavu - ted jsem koukal na zdnet, tak pro dve z dnesnich zaplat uz exploit je:












Hackers are actively exploiting two serious security vulnerabilities in Windows, Microsoft warned on Tuesday as it released "critical" alerts about the flaws.
One of the problems affects the Microsoft Color Management Module, a component of Windows that handles colors. The other relates to the JView Profiler, part of Microsoft's Java Virtual Machine. The vulnerabilities could be used to commandeer a PC, Microsoft said.
"Attackers are already using the JView Profiler flaw to download and install Trojan horses on victims' machines," said Dan Hubbard, senior director at Websense Security Labs.
http://news.zdnet.co.uk/0,39020330,39208852,00.htm

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pajas  |  13. 07. 2005 07:30  | 

Abych se zastal MS. Taky nějakou dobu trvá, než se ty záplaty otestují v různých konfiguracích a ve všech jazykových mutacích. To nějaký čas trvá.

Souhlasím  |  Nesouhlasím  |  Odpovědět
J  |  13. 07. 2005 08:39  | 

Jasne, a proto se vydava pravidelne zaplata zaplaty na minulou zaplatu.

A to nemluvim o tom, ze system jakym sou widle prekladany musel vymyslet skutecne magor. Abych kvuli kazdy jazykovy mutaci musel delat jinou zaplatu ... .

Souhlasím  |  Nesouhlasím  |  Odpovědět
Viki  |  13. 07. 2005 10:34  | 

Tak ten program vymyšlený magorem nepoužívejte a je to. Máte svobodu, když se vám to nelíbí, tak to nepoužívejte.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr Souček  |  13. 07. 2005 07:41  | 

MS05-037 - je zajímavé, že soubory na Widows Update
česky
http://download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/IE-KB903235-x86-CSY_08a2af68c65e35d2e18d7deeb9e1353.exe
an glicky
http://download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/IE-KB903235-x86-ENU_db42356ab3572bcd3780e9dd700c0b7.exe
jsou identické se souborem pro Internet Explorer 6 SP1 pro Windows 2000 SP4 a Windows XP SP1 - http://download.microsoft.com/download/e/c/f/ecf135db-8781-461c-a3fa-0ccd1b09e0df/IE-KB903235-x86-CSY.exe

Interní kontrola tohoto opravného balíčku vyžaduje přítomnost souboru BROWSEUI.DLL ve verzi 5.0.3502.1000 až 6.0.2899.0, tedy IE 5.01 SP3 až 6.0 SP2.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Honza  |  13. 07. 2005 11:15  | 

Když spustím Windows Update, nabídne mi to 4 aktualizace, které jsem odmítl instalovat minulý měsíc, ale tyhle ne...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X