" krvavou aféru Heartbleed .. opensource .. aby jej někdo pořádně auditoval"Tak predevsim se ukazalo to co kazdy vi, ze tam kde nejsou penize, jdou veci hure.
Mám trochu pochybnosti o relevantnosti výsledků této náročné studie 😀
"Nejderavejsi". No vite.. srovnavate podle poctu *nalezenych* chyb a grupujete to podle vyrobce. Takze slovo nejderavejsi muze pusobit trochu zavadejicim zpusobem.Rekneme to jinak. Muj program Hello world velmi pravdepodobne zadnou bezpecnostni chybu nema, ale netvril bych, ze tim zrovna udelam diru do sveta a kazdy ho zacne pouzivat.10 PRINT "HELLO WORLD"20 END
Váš program ke svému běhu potřebuje runtime. Víte, kolik chyb je v něm?
Basic umožňoval za běhu includovat soubory? Jinak mi nevím, k čemu by byl příkaz END v tomto případě užitečný, když je patrně povinný.
Klasická odpověď říká, že takový program obsahuje chybu vůbec nejzávažnější. Je na nic.
Hezké, jen nechápu, proč článek o ruském hackerovi a ne o ukrajinském, čínském nebo dokonce americkém hackerovi. Máme se snad bát Rusů? Pokud vím, tak nejvíc slavných hackerů pochází z USA, nemýlím-li se.
Pro Oknaře: http://goo.gl/vmMhjs... Pro Jablíčkáře: http://goo.gl/vmMhjs... Pro ty ostatní: http://goo.gl/vmMhjs... 😀
Idiote
"Tím nejdůležitějším a nejpodstatnějším však je: Přijmout základní fakt, že existuje Pán Ježíš Kristus"Fakt? Víte co je to fakt? Fakt je něco, co se dá jednoznačně prokázat a nelze o tom pochybovat, jako například existence gravitace nebo přítomnost kyslíku ve vzduchu. Až budete moci stejně prokázat, že tu někde přes dva tisíce let poletuje nějaký fousatý chlap ze středního východu, tak pak to nazývejme faktem.Další pomatenec, co našel "pravdu", (tentokrát tu nejpravdovatější ze všech pravd) a cítí samozřejmě povinnost tu svou pravdu všude šířit.. Jestli každé náboženství má patent na pravdu, tak mají všechny víc patentů než Apple, Samsung a Microsoft dohromady. Tolik a mnohem víc "pravd" už tu bylo za ty tisíce let.
A ještě něco. Pokud vůbec nějaký Ježíš Kristus existoval a neni to pouhý mýtus, (což je velmi pravděpodobné, protože poprvé se o něm začalo psát až stovky let po jeho údajné smrti, takže jak by po takové době mohli vědět tolik detailů o někom z takové minulosti, zvlášť když ani neexistovala žádná technika jako dnes), tak určitě nevypadal tak, jak ho tam máte vyobrazeného, jako bílého hezounka. Musel by vypadat přesně tak, jak vypadali všichni kolem v této části země. Tohle je pravděpodobná podobizna podle forenzních expertů: http://www.dailymail.co.uk/sciencetech/article-33595... ...
Myslíte, že takhle lidi, co milují Krista, vůbec zvikláte? Láska je slepá. Jako byste to sám nezažil 😁
Tak je docela očekávatelné, že sw který má nejvíce instalací, tak se v něm hledají nejvíc chyby...
Lidi, jak se jmenoval ten zdejší troll co nedávno umřel?
mas nejaky link/odkaz pre toto tvrdenie? bol tu jeden taky tipek, myslim ze dolph1888, co furt vypisoval ku kazdemu clanku hrozne nezmysly
michal kolesa 😉 uz jsem si vzpomnel.
No ta metodika pocitani CVE je taky super 😀U debianu se pocitaji veskera CVE ciste instalace + VSECH aplikaci v repozitarich 😀U widli se pocitaji jen CVE cistych widli...Druha vec je pocitani CVE u proprietarniho SW vs OSS... to ze se u proprietarniho SW reportuje mene chyb nez v OSS equivalentu neznamena ze proprietarni SW je bezpecnejsi/lepe napsan, znamena to jen ze v proprietarnim SW je mnohem vice chyb ktere se jeste nepodarilo najit nebo byly potaji opraveny...
"znamena to jen ze v proprietarnim SW je mnohem vice chyb ktere se jeste nepodarilo najit nebo byly potaji opraveny..."To jsi teda vyplodil pěknou hovadinu.
To je dost neferove srovnání, srovnávat chyby v něčem tak rozsáhlém jako je operační systém oproti programům.
Největší počet hlášených chyb = nejděravější výrobce?Článek začíná argumentací připomínat nějaký proruský Sputnik. Takže například (vymýšlím si) chyba v nastavení grafického tématu okna v Ubuntu = obrovské bezpečnostní riziko. 😀
CVE má samozřejmě stupně:1. Vulnerabilities are labeled "Low" severity if they have a CVSS base score of 0.0-3.9.2. Vulnerabilities will be labeled "Medium" severity if they have a base CVSS score of 4.0-6.9.3. Vulnerabilities will be labeled "High" severity if they have a CVSS base score of 7.0-10.0.
Chtělo by to něco dělat s Androidem, když už ho má skoro každý v kapse. :-/
Widle ve vetsine tech zebricku zaujimaji vrchni pozice. Takze clanek je zavadejici. Dalsi vec je, ze ac jsem nikdy nezaznamenal zadny problem na masoxu, vsechny hlasene pripadne viry a malwary (za 8 let jich bylo asi 4?) byly opraveny bud jiz davno a nebo s dalsim updatem v ramci tydnu.
Absolutní nepochopení. Sčítat hrušky s jabkama by bylo lepší. Výpovědní hodnotu by možná měl poměr chyb/oprav na počet řádků. Ale skutečné porovnání by znamenalo udělat analýzu zdrojových kódů, jenže to u uzavřeného softwaru nejde - jen o otevřeného - a zde je podle všech průzkumů méně chyb. A počítat to u softu, který nikoho nezajímá a málokdo ho používá taky nemá smysl porovnávat prostá čísla. No a taky je dobrý vědět, že firmy schválně ignorují hlášení o chybách, aby měly "lepší číslo". Např. Microsoft a Apple výslovně v EULA zakazují psát zprávy o chybách pod trestem zrušení všech (zakoupených) licencí nadosmrti...). Nojo, bulvár...
Hehe, nelíbí se ti výsledek a tak se snažíš celé to zpochybnit :) Prý je výhoda otevřeného kódu, že můžeš udělat jeho analýzu :) To je fakt výhoda jako prase. Kolik lidí si myslíš je schopno udělat analýzu či bezpečnostní audit linuxového kernelu, se stopro jistotou, že hodinu po auditu v něm 15letý hacker nenajde skulinu o které nikomu neřekne? A že snad počet nahlášených chyb má souvislost s nějakou licenční smlouvou, to je fakt už velkej úlet :)
Opravdu nechápu jak posiluje bezpečnost sw, že widláci neposílají chybová hlášení při pádu aplikací a BSoD do Redmondu a BSA. Přispívá k tomu i to, že většina jich má vše nebo část sw kradené z uložto nebo jiného warez serveru a nechce na sebe upozorňovat.
Protoze to neni o bezpecnosti, stejne jako tenhle clanek. Je to o hlaseni/zverejnovani chyb, coz je vec ktera se tem firmam moc nelibi.Protoze pro laika, stejne jako pisatele clanku, prece nenahlasena chyba = zadna chyba.
Souhlasím s tím, že takto to porovnávat není úplně košér. Ono i najít metodiku jak toto porovnat tak nějak "správně" může být obtížné."Např. Microsoft a Apple výslovně v EULA zakazují psát zprávy o chybách pod trestem zrušení všech (zakoupených) licencí nadosmrti...)."To si myslím, že jste si vycucal z prstu. Takovej nesmysl bude i dost jednoduše právně napadnutelný. Zkuste si vymyslet něco lepšího.
Taky mi to prijde jako silny kafe. I kdyz, clovek nikdy nevi (pokud si teda dukladne neprostudoval EULA). Faktem je, ze licence je pouze "svoleni k uzivani" a toto svoleni muze na zaklade cehokoliv co si dotycna firma vymysli, a propasuje do EULA, skoncit (treba VMWare ma pomerne striktni politiku i jen co se tyce porovnavani s konkurenci).
Jak jsi psal. Je to svolení k užívání - za nějakých podmínek. Pravděpodobně by bylo možný do licence napsat, že uživatel musí při zapnutém SW skákat po hlavě, pokud ne, pak licence pozbývá platnosti. Ale už těžko bys mohl pozbývat platnost k jiným licencím.
Můžu požádat o odkaz na tu část EULA o které mluvíš? MS EULA jsem četl několikrát, ale nějak si tuhle pasáž nevybavuju. Ale nikdo není dokonalej, třeba jsem to jen zapomněl nebo přehlídl.
Male nakopnuti CVE-2016-0794 do ktereho radku v "TOP10 nejděravějšího softwaru v roce 2016" patri?
Nejděravější sw je DNA. Momentálně ho u mě napadá jakýsi fluware ... no snad na to najdu nějakou záplatu.
Chřipka není retrovirus, aby využíval zranitelnost v samotné DNA;) to si pleteš s HIV a podobnými.
ale je kód dna nie je dostatočne dobrý aby mal dosť efektívny imunitný systém ktorý nevie vyhodiť sprostého parazita....
Pouzij vitamino-rumovy (R-C) firewall. 🙂
No za mě už nebudu opakovat názory tommyq, protože se s tím ztotožňují. Ale další věcí je jak bylo řečeno doba po které se zranitelnost řeší a v té, ruku na srdce, MS, ORACLE, ADOBE vede na plné čáře. Ono pokud se o něčem ví pár let ....A co se Linuxu týče, nezaměňujme GNU SW, LINUX a jeho implementaci. Jedna věc je rychlost opatchování sw a rychlost implementace. Tam samozřejmě společnosti které sw vyvíjí a jediné spravují mají obrovskou výhodu protože patch poté co ho udělají (otázkou je kdy) mohou ho implementovat ihned. Zatímco jednoúčelové krabičky za pár stovek korun u Číny stavějící na 5 let starém kernelu se ho za tu cenu prostě nedočkají. Ale ruku na srdce, při nabourávaní právě routeru, jako příkladu, se nejvíc používá zranitelnost systému nebo nadstavby? Tristní ledabylost uživatelů, kteří nechají vše v defaultu včetně přihlašovacích údajů. Tak si tak.
A co takhle tak nejdůležitější údaj a to jak dlouho třeba Microsoftu, Googlu či Applu, nebo open-source komunitě trvá, než vydá patch??Sám mohu říct, že u Linuxu je patch hned co je ohlášena nějaká zranitelnost, nebo nejpozději do pár minut je věc řešitelná.
zranitelnost opravena do par minut? linux fanatizmus fakt nema hranic
Od ohlasenia, najprv citaj potom komentuj. Chyba sa verejne ohlasuje ovela neskorsie ako je najdena. 😉
preco potom nieje fixnuta tyzden pred oznamenim, ale par minut po?
Vacsina oprav je este pred, cast tesne po a samozrejme su aj take co nemaju aktualizaciu par rokov. Tam hlavne zalezi od zlozitosti opravy a od spolocnosti ktora ten SW vyvyja. Ak je to par ludi co si spravia softver a sam tam ho vylepsia tak sa stava ze na chyby kaslu.
Protože vydání opravy je v podstatě oznámení, ale protože admini sledujou oznámení, kdežto hackeři můžou analyzovat patch, tak by měli náskok. Když se vydá oznámení spolu s patchem, tak nemají hackeři tu výhodu.
Jak u čeho, třeba na starší mobily výrobci kašlou, takže se tam opravy nikdy nedostanou, i kdyby existovaly. Podobné to bude u jednoúčelových zařízení jako routery, které si doma lidi zapojí a tím pro ně práce končí.
ja by som router aktualizoval rad, ale isp tam ma svoj firmware(spyware?), takze s homepage je nekompatibilny.
http://bugzilla.kernel.org/buglist.cgi... Já si teda pod pár minutama představuju opravdu pár minut a ne měsíce.
Názor byl 1× upraven, naposled 5. 1. 2017 21:06
Do pár minut? Kde si takové tvrzení vzal? Jasně, pokud máš nějaké RR distro, tak budeš mnohky několikrát denně dostávat updaty, ale to neznamená, že opravila nějaká chyba...Doporučuji kouknout na pár webů, věnující se bezpečnosti, popisu chyb, a podobně... Mnohdy trvá i několik týdnů, než se Linuxoví vývojáři dokopou k tomu, aby chybu zalepili...
To ihned může trvat i osm let, jak jsme viděli celkem nedávno.
Která je teďka aktuální reinkarnace Řezníka? Třeba by měl k tomu co říct...
Co to je zase za sra*ku? Od kdy počet nalezených děr odpovídá bezpečnosti software? Žádný není bez děr. Záleží ale hlavně na tom, jak jsou závažné, jak rychle a jestli vůbec jsou tyto opraveny. A v tom jsou na tom produkty Microsoftu dost bídně
Ono to je úplně jedno, protože tu máme experty, kteří hlasitě kvílí, že si ve Win10 nemůžou vypnout aktualizace, jak to měli dřív - jak krásné byly Windows XP bez service packu apod. Nebo Android, na který sice Google opravu vydá, ale málokterý výrobce ji pošle na své zařízení, takže většina Androidů je děravých jak řešeto a bude až do vyhození do šrotu.
No jenze furt mi prijde MS hvezdnej proti Oracle/Sunu, IBM (dokonce mi MS neprijde tak spatny, kdyz se blize seznamis se SW zminenych firem) nebo vyrobcum androidich telefonu (ze google ty chyby opravuje asi celkem rychle je jedno, kdyz vyrobci ty patche neaplikuji a neposouvaji dal).
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.