Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Neopravení závažných bezpečnostních chyb po roky (!) je de facto to samé, jako když by M$ vědomě do systému nainstaloval zadní vrátka pro NSA a další agentury (nenamlouvejme si, že špicluje jen NSA, byť špicluje nejintenzivněji a v největším rozsahu).
Tohle by se na Linuxu nemohlo stát, aby komunita nevyřešila přímo obratem závažnou bezpečnostní chybu...
Ano to by se nemohlo stat aby zavazna bezpecnostni chyba byla v linuxovem kernelu 8 let..... jojo..... jejda... kdyz ono se to fakt stalo :-)
Spolupacuji autori linuxoveho jadra s NSA? Je Linus Torvalds agent CIA? Co na to Jan Tleskac?
Predpokladas, ze komunita o zavazne bezpecnostni chybe vedela 8 let a neopravila ji. Nic takoveho se fakt nestalo :)
Jenže on reagoval na Trodase, který vlastně v příspěvku "tvrdí", že MS o té chybě věděl. Věděl? Nebo nevěděl? Věděla o té chybě v Linuxu někdo z linuxové komunity? Nebo nevěděl? Takže sorry, ale opět zde (a nejen zde), že pokud MS, potom plivneme, ale pokud Linux, potom omluvu najdeme. Takhle to na mě působí.
Vzdyt to je v clanku jasne napsane! Jestli MS o chybe vedel, nelze (mozna zamerne) z vyjadreni urcit. Neni mi znam pripad, kdy by se v komunitne vyvijenem SW zamerne neopravila zavazna bezpecnostni chyba. Navic ty maji u vyvojaru nejvyssi prioritu. Plivani na MS je me vcelku jedno, do jiste miry si za to mohou samy diky nejasnemu vyjadreni. Puvodne jsem reagoval na nesmyslne a zavadejici poznamky na adresu vyvoje Linuxu. Nic vic.
Vždyť nic jiného neříkám. Věděl MS nebo nevěděl? Věděl někdo z linuxové komunity nebo nevěděl? S určitostí víme, že my nevíme nic. Ale stačí se podívat na začátek threadu - MS = šmejd, Linux = ok. S tím nesouhlasím, už jen proto, že všichni používali Wokna a nedělám si iluze, že v tomhle státě většinou kradených.
Od zacatku upozornuji na "MS = nevime, ale muzeme mit podezreni, Linux = ok"
"Tohle by se na Linuxu nemohlo stát, aby komunita nevyřešila přímo obratem závažnou bezpečnostní chybu..."
http://www.zive.cz/bleskovky/linux-trpel-cele-roky-kritickou-bezpecnostn...
http://www.zive.cz/bleskovky/cznic-odhalil-zavaznou-chybu-v-linuxu-zpuso...
Prosil bych všechny uražené linuxáky, kteří dali mínus, aby vysvětlili proč.
Že byla v Linuxu celé roky závažná zranitelnost je nepopiratelný fakt.
Jak to, že to nikdo dávno neodhalil? Vždyť přece v opensource se nemůžou nacházet chyby. :)
Nebo ano?
No jasně, co třeba chyby v OpenSSL knihovně. Nebýt Snowdena, tak o tom nikdo neví ani prd. Ani ty statisíce linuxáků, co dnem i nocí prolézají opensource kódy a hledají chyby. :)
Na Diit (a CDR) je zbytečné mluvit PRAVDU o Linuxu. Tihle Linuxoví fanatici vidí Linux jako svátý grál a nechtějí uznat pravdivé argumenty.
Tobe i predrecnikovi unika jeden podstatny fakt. Pokud je komunite ZNAMA kriticka bezpecnosti chyba, je opravena velmi rychle. Kdyz chyba komunite nebo vyvojarum ZNAMA neni, tezko ji bude nekdo opravovat.
Dostupny zdrojovy kod predstavuje dalsi aspekt, ktery samozrejme nezarucuje bezchybnost softwaru. A zatim zde nikdo netvrdil opak, proto postarada smysl se za takovy nazor nekomu posmivat :)
To je pravda, tady zatím nikdo nic podobného netvrdil. (Možná je to tím, že na CDR moc lidí nenavštěvuje diskuzi)
ale stačí si prečíst diskuzi k jakémukoliv jinému staršímu článku na DIIT, kde se zmíní slovo 'Linux', a najdete určitě dost názorů typu "ALE LINUX JE NAVRŽEN TAK, ABY NEMĚL CHYBY!" :D
(beze srandy, tohle byl doslovný citát jednoho Linuxového fanatika!)
Pod clanky o linuxu na DIIT vidavam spis fanatiky z druhe strany. Umelecky elektrikar BTJ nebo Pety :) Pro zvyseni kultivovanosti diskuze bude do budoucna lepsi reagovat na fanatiky (z obou stran) jen tam, kde opravdu prispivaji. Postrada smysl si v diskuzi vytvaret imaginarniho fanatika a hadat se s nim jen proto, ze na sesterskem webu pod jinymi clanky snad nejaky takovy clovek existuje :)
Kecáš. Články o linuxu v naprosté většině případů nečtu a nekomentuju. Ale často komentuju hloupé pindy linuxáků pod články o Windows, Microsoftu, MS Office atd. A že jich tam vždycky je! Člověk fakt nechápe, co za fanatismus vás žene být pořád ve všech diskusích o MS a jeho produktech hloupě off topic. Jeden by si myslel, že netiketa, vzniklá na unixových OS, pro vás bude svatá - ale vám to nedá, co?
Proti linuxu nic nemám - proboha, proč taky, vždyť je to jen software. Každý rok si vyzkouším nějaké čerstvé distro, jestli bych s tím uměl - a obvykle po troše snahy uměl. Ale linuxoví "misionáři", ti mne štvou. Nejvíc takoví, co si čerstvě nainstalovali Ubuntu a teď se cítí pány světa.
Zkus negeneralizovat a rozlisuj "linuxáky" a "linuxáky" :) Linuxovy misionari nemaji daleko od Windows/Metro misionaru, cimz si strilis do vlastnich rad :)
Kecáš dál. Slušní linuxáci nemají potřebu pindat nesmysly v diskusích o Windows a tedy se se mnou nedostanou do sporu. Zamysli se radši nad sebou.
I slusni linuxaci muzou obcas pindat o blbem Metru ve Windows. Obzvlast, kdyz je s tim otravuji lide z okoli :)
Linux není navržen tak, aby neměl chyby (už jenom jak to blbě zní). To by ten kód musely psát stroje místo lidí. Ale dá se říct, že je navržen s větším důrazem na bezpečnost a celý ten přístup k chybám a jejich opravě funguje trochu jinak kvůli open-source (viz co bylo již řečeno výše).
Beru tě za slovo, najdi mi diskuzi na DIIT, kde někdo psal, že je Linux navržen tak, aby neměl chyby :-)
No, já z toho článku dostal dojem, že Microsoftu ona chyba známa po celou tu dobu nebyla. Chybu odhalil někdo jiný a nezveřejnil, pouze prodával zájemcům.
Neboli je to úplně ten samý případ. Jednoduše byla ta chyba opravována až poté, co se o ní autoři softwaru dozvěděli.
Jestli o ni MS vedel, se neda urcit. Podezreni muze budit vyhybave a v tomto smyslu i nejasne vyjadreni (jak je uvedeno v clanku). S ostatnim souhlasim, MS nemusi byt nijak zainteresovan. Puvodne jsem reagoval na nepravdive vyroky o opravach chyb v linuxu. K Windowsum bylo vse receno v clanku.
V tomto pripade to mozno tak bolo. Ale cital som za 13 rokov vela clankov o X rocnych chybach v produktoch Microsrotu, ktore neboli od nahlasenia opravene aj viac ako 3 mesiace. Niektore boli odsunute bokom, pretoze vraj "neboli kriticke". A az na nasledny zverejneny priklad, ze sa to da zneuzit, tak az nasledne do par mesiacov vysla zaplata.
Z toho mi po cely cas vychadzalo, ze bud nemaju volneho programatora, ktory by sa na to pozrel a maju teda nahovno manazment pracovnych zdrojov a planovania, alebo aj ked chybu niekto nasiel, tak jej opravu dostali za ulohu zdrzovat.
Pravdu sa zasa tak lahko nedozvieme, ale celkom slusne k tomu prispievaju clanky, kde virus cez Windows roztacal centrifugu v Irane, aby vzbudili vo svete nedoveru voci Iranu pri vyzkume s uranom. Potom sa dozvieme, ze po audite zistili, ze to prislo z IP z Izraela a USA a jedine USA sa snazi odstavit vacsinu svetu tak, aby sme vsetci zboznovali ich $$ a ich druh demokracie.
Nie Microsoft o tom nic nevedel, len tot John po ceste do prace zakopol a zrovna mu USB kluc s patchom kritickej chyby spadol do kanala za dazdiveho dna. Tak sme sa to pokusili opravit znovu do roka. Za tie roky, to je skor komedia.
To nemá cenu. Linux je prostě free a je to módní vlna. Osobně bych byl rád, kdyby konečně Linux zaujmul cca polovinu trhu, aby si na něj vyšlápli hackeři, aby komunita měla co dělat. Ostatně, tuhle noční můru už tady nastínil i velký zastánce Linuxu p. Ježek a mám takové tušení, že se toho opravdu bojí a ví proč. :)
Linux je software, ne modni vlna. Modni vlna je "ja mam linux, jsem free cool a in a nemusim updatovat a viry se me netykaji hele email s videm s nahatymi celebritami click". Nejvetsim bezpecnostnim rizikem je uzivatel - dokonce i ve windows od okamziku, kdy prestalo byt nutne logovat se na administratora pro beznou praci. Uzivatel, ktery je schopny zmacknou "OK" od dialog boxu s textem "Chcete si zavirovat pocitac?" zaviruje cokoliv.
A jestli chcete videt, co se stane s linuxem az bude mit vetsi podil na trhu, sledujte android.
tak kdyz tu chybu nikdo nehlasil tezko ji mohl MS opravit stejne tak kdyz VUPEN najde nejakou chybu v linuxu taky ji proda...
Přesně tak - nejčastější způsob šíření malwaru je dnes přes hacknuté weby - a dvě třetiny webů jedou na linuxu. Zájemci se tedy určitě najdou.
"nejčastější způsob šíření malwaru je dnes přes hacknuté weby - a dvě třetiny webů jedou na linuxu"
- Doloz sve tvrzeni nebo te budu nadale povazovat za fanatika :)
http://en.wikipedia.org/wiki/NSAKEY
edit: stejně je skoro jedno, jestli mají někde předpřipravený backdoor, když mají podchycenou většinu internetové komunikace až do úrovně masových mitm útoků a jsou schopni louskat všechno běžně používané slabší šifrování
Přesně tak.
Když neodchytí komunikaci u vás, odchytí ji u člověka se kterým komunikujete.
Vysvětlení Microsoftu mi připomíná tu hlášku „nikdy jsem tam nebyl, toho chlapa neznám a částka nesouhlasí“.
haha, přesně :D
Jakýkoliv chytrý a trochu informovaný člověk si z toho hned vyvodí důsledky.
Ale jsou tady i lidi, kteří věří v dokonalost médií "ale vždyť přece v televizi řekli, že je nevinný!" a takovéhle nemyslící ovce to bohužel obalamutí...
Navíc pokud by dostali nařízeno vytvořit ve svých produktech backdoory (nebo za to dostali zaplaceno) tak součástí smlouvy by byla určitě klauzule zakazující prozradit tuto skutečnost. A taky ten Scott Charney o tom třeba ani nemusí vědět - čím méně lidí o dohodě vím tím více je utajená.
Na druhou stranu, WIFTe, jsou Windows natolik rozšířená a sledovaná, že pokud by tam takový funkční backdoor byl, dávno by jeho činnost někdo zachytil a zveřejnil. A, kupodivu, pořád nikde nic, jen kecy.
To asi ano, tenhle scénář taky považuju za reálný, stejně tak si ale dokážu představit, že by se taková komunikace dala dobře schovat do jiné běžné komunikace, zejména pak šifrované (když se chce, jde všechno). Osobně od jisté doby nepovažuji neexistenci důkazu za důkaz neexistence.
Stejne nejvtipnejsi mi prijde pojmenovani zabezpeceni site od DELLu, ktere nese produktove oznaceni "SonicWALL NSA" :D (Network Security Appliance)
Jsou to pěkné konspirační teorie, to ano. Jistě by se nemálo lidem líbilo, kdyby šlo dokázat, že MS dělá nějaké takové nekalosti ve prospěch NSA. Jen by mně zajímalo, zda si někdo položil otázku, proč by to MS dělal? Co by z toho asi tak měl? Kromě toho největšího průseru, kdyby se to provalilo, tak nic jiného. Právní páky na to také v USA nebudou a finanční stránka věci se nedá vyrovnat s tím, kdyby se to provalilo.
Spíš to bude tak, jako všude jinde. Tzn., že si agentura zaplatí, nebo nějakým způsobem donutí vývojáře, aby protlačil backdoor do kódu. Stejně tak, jako to vyplulo před pár lety u open source :
http://www.abclinuxu.cz/zpravicky/fbi-udajne-nastrcila-backdoor-do-openbsd
To mi přijde jako reálný scénář bez "starostí" a "nějaké větší finanční náročnosti" a s "větší mírou utajenosti", než kdyby to hned měli hnát přes šéfíky ve firmě.
Zdar Max
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.