HWSW Informatikai Kerekasztal: Re: Azonnal frissítse mindenki a Basht! - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (6 Oldal)
  • +
  • 1
  • 2
  • 3
  • Utolsó »
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Azonnal frissítse mindenki a Basht!

#1 Felhasználó inaktív   HWSW 

  • HWSW
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 9.283
  • Csatlakozott: 2009. márc. 17.

Elküldve: 2014. 09. 25. 09:55

A Red Hat biztonsági szakértői olyan sebezhetőséget találtak a Bashben, amelyet sokan máris a tavasszal publikált Heartbleedhez hasonlítanak, legalábbis a jelentőségét tekintve.
https://www.hwsw.hu/hirek/52910/bash-unix-linux-shellshock-sebezhetoseg-biztonsag.html

#2 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 09:55

""A szabad szoftverek hívei gyakran érvelnek viták során azzal, hogy e fejlesztési megközelítés eredendően biztonságosabb szoftvert eredményez mint a zárt modell, mivel a kódot mindenkinek lehetősége van átvizsgálni és javítani."
Akkora hulyeseget senki nem allit hogy a nyilt kod tokeletes programot. Azt allitjak egyesek hogy biztonsagosabb, nem azt hogy nincs benne biztonsagi res, csak azt hogy szerintuk kevesebb van benne es konyebb eszrevenni. Erdekelne hogy a BASH-ban talalt sebezhetoseg mikent cafolja ezt. Akkor tudnad cafolni ha bizonyitanad hogy pl a PowerShell-ben nincsenek hasonlo hibak - kevesebb hasonlo hiba van - nincs tobb hasonlo hiba mint a BASH-ben. Akkor lenne ertelme az elso bekezdesednek ha lenne osszehasonlitasi alapod, olyanod meg nyilvan nincs. Igy ez meg csak FUD, meg trolletetes. Szerkesztotol kicsit cinkes...

#3 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 09:58

@gsar: fix: "prgramot eredmenyez"

#4 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 09. 25. 10:06

@gsar: Szerintem egy 22 éve létező, távoli kódfuttatási sebezhetőség elég nyomós ellenérv abban a vitában, ahol az eredendően nagyobb biztonsága a pro érv a nyílt forrás mellett... Egyik fejlesztési módszer sem tökéletes vagy hibátlan, de ha egy ilyen hiba 22 évig nem tűnik fel senkinek, az elég ciki. Igen, ciki lenne akkor is ha zárt szoftverben lenne, de viták során ritkán szoktak a zárt megoldások mellett az ebből bárhogy eredendő nagyobb biztonsággal kardoskodni. A nyílt és zárt módszerrel is marad(hat)nak hibák a kódban meg sérülékenységek, de legalább ne tegyünk úgy, mintha nem így lenne.

#5 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:13

@Bodnár Ádám: Nem erted amit mondtam. Az hogy ciki az teny. De hogy ez a nyilt vs zart kod boztonsagossagat erinto vitaban barmerre billentene a merleg nyelvet az egyszeruen nem igaz. Logikailag nem lehet igaz! Akkor lenne igaz ha tudnad bizonyitani hogy hasonlo kategoriaju zart szoftverekveb nincs TOBB hasonloan sulyos biztonsagi res! Mivel a zart szoftverek eseten ezek az infok ritkan teljesen ismeretesek, igy nem tudsz ebben a kerdesben allast foglalni, mivel nincs meg hozza a minimalis informaciod!

#6 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 09. 25. 10:22

@gsar: A nyílt szoftverek hívei a fejlesztési módszer előnyei között miért emelik ki a nyíltságot? Érvelésed szerint ők sem rendelkezhetnek megfelelő információkkal a zárt szoftverek biztonságáról.

#7 Felhasználó inaktív   hacsi 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 312
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:22

Szerintem biztonsági szempontból a nyílt veszélyesebb, mert ki fog megnézni egy kódot. Aki módosítja, tehát aktívan benne van a fejlesztésében. Ez eddig azonos mind nyílt és zárt forrásra is.
Ezen felül ki nézi a nyílt forrást, aki ártó szándékkal sebezhetőséget keres.
Zártnál erre nincs lehetőség, max visszafejtéssel.

#8 Felhasználó inaktív   dark100 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 177
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:23

@Bodnár Ádám: Ki tesz ugy? Minden sw tele van hibakkal. A nyilt forraskod elonye az eltunhetetlenseg, vagyis hogy attol, hogy a fo fejleszto(k) bedobjak a kulcsot Te meg hasznalhatod es javitgathatod az adott eszkozt. Probald meg ezt egy Silverlightal. Fejlesztoi szempontbol a koltsegek megosztasa meg az ingyenes teszteles millio gepen.
Az élet szép. Vagy nem.

#9 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 09. 25. 10:27

@dark100: "Fejlesztoi szempontbol a koltsegek megosztasa meg az ingyenes teszteles millio gepen."

A zárt szoftver nem következésképpen fizetős, azt is tesztelhető millió user "ingyen", nem?

#10 Felhasználó inaktív   Sipi 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.072
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:30

Hűha, jó kis vitaindító cikket sikerült megint kitenni a főoldalra. :laugh:
Van még valaki, aki azt hiszi, hogy a biztonság attól függ, hogy valami nyílt vagy zárt forrású???

#11 Felhasználó inaktív   YleGreg 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.586
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:30

Az, hogy rendkívül sokáig tart mire rádöbbennek egy hibára, az nem jelenti azt, hogy egy fejlesztési modell jobb vagy rosszabb lenne.
Ha Ádámnak igaza lenne, és a zárt kód bármivel jobb lenne, akkor nem lehetne http://www.tomshardware.com/news/microsoft-windows-dos-bug-patch,9598.html
vagy legalábbis kevesebbszer fordulna elő.

Csakhogy a zárt kód hibáiról (félmegoldásairól, gányolásairól) annyit sem tudunk, mint a nyílt kódról, - így nem állítható, hogy a zárt jobb, sem az hogy a nyílt jobb, vagy rosszabb.


#12 Felhasználó inaktív   UnA 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.482
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:41

Biztosan en nem ertek hozza, de ez hogyan lenne a Heartbleed-hez hasonlo sebezhetoseg? A bash futtatasahoz eloszor be kell jelentkezni egy szerverre, es amig azon nem kuzdotte at magat a tamado, addig ez csak lokalis problema.


#13 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 10:41

@YleGreg: Pontosan.

#14 Felhasználó inaktív   Bijesz 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 208
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 11:10

@gsar: Te eléggé gyorsan változtatod az álláspontod.
Az előbb még az volt a problémád, hogy szerinted (bár nem így írtad, hanem, hogy sokak szerint) a nyílt kódban "kevesebb (hiba) van benne es konyebb eszrevenni"

Szerintem épphogy billetni a mérleget, mert, hiszen erre cáfolt rá a a fenti hiba és a cikkíró ezt írja le.
20 év alatt senki nem szúrta ki.

Amit YleGreg is ír, hogy tulajdonképpen lehet mondani, hogy 1:1.
Mert zárt kód esetében nem látszik a hiba, de a nyílt kód esetében ott a lehetőség, hogy a hibát kiszúrja egy feketekalapos a kódban és kihasználja a javítás helyett.

#15 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 11:33

@Bijesz:
1. Nem volt allaspontom, ne add a szamba a szavakat, az ugyanis rettentoen udvariatlan!
2. szamossag != kor rekord. Az hogy mennyi ideig nem volt felfedezve egy konkret hiba semmit nem mond el arrol hogy alltalanssagban mi a helyzet. Semmilyen iranyba nem billenti a merleget. Nem tudod hogy a zart kodok eseten milyen a helyzet. Nem tudod hogy ott mekkora aranyban vannak 20 eves javitatlan hibak. Nem tudod, mert nem tudhatod! Ha azt mondod hogy A nagyobb, vagy nem nagyobb mint B, ugy hogy csak A-t ismered akkor siman hulye vagy mint a segg, ugyanis otleted sincs a szamokrol.
Amit en allitottam (ha nem sikerult volna feldolgozni): Az hogy a cikk iroja allast foglal egy olyan partalan vitaban, egy olyan ervel ami a vitat tekintve is irrevelans semmikeppen nem logikus lepes, es max arra jo hogy itt vitat genrealjon nyilt vs zart rendszerek biztonsagossagarol, meg hogy idevonza a trollokat. Ahogy latom mind a ketto be is jott neki.

#16 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 11:39

@Bodnár Ádám: Pontosan. Ok sem rendelkeznek megfelelo informaciokkal, a vita pont emiatt partalan. Gondolom eppen ezert nem szokal ilyen bevezetoket irni minden egyes patch kedd, meg IE6-11 sebezhetoseg alkalmaval.

#17 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 11:44

@Bodnár Ádám: Megjegyzem tanulj meg kicsit kevesbe offenziven fogalmazni.
"A nyílt szoftverek hívei a fejlesztési módszer előnyei között miért emelik ki a nyíltságot?"
-->
"A nyílt szoftverek hívei + kozul nehanyan / sokan + a fejlesztési módszer előnyei között miért emelik ki a nyíltságot?"
Hulyek mindehol vannak. Ujsagirokent neked irnod kene roluk, nem bealni kozejuk.

#18 Felhasználó inaktív   Ytse 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 7.244
  • Csatlakozott: 2000. okt. 26.

Elküldve: 2014. 09. 25. 11:45

@gsar: "Nem tudod hogy a zart kodok eseten milyen a helyzet. Nem tudod hogy ott mekkora aranyban vannak 20 eves javitatlan hibak. Nem tudod, mert nem tudhatod!"

1. A nyílt kódban nem szükségszerűen derül ki egy hiba.
2. A zárt kódban nem szükségszerűen marad rejtve egy hiba.

A képletben nem csak B az ismeretlen hanem A is. Sokan viszont azt gondolják és állítják, A szükségszerűen kisebb B-nél.

"max arra jo hogy itt vitat genrealjon nyilt vs zart rendszerek biztonsagossagarol, meg hogy idevonza a trollokat. "

Egyik se volt célom, de sajnos mindkettő bejött.


#19 Felhasználó inaktív   gsar 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.847
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 11:47

@Bodnár Ádám: Minden szavaddal egyetertek.

#20 Felhasználó inaktív   patikaatika 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 647
  • Csatlakozott: --

Elküldve: 2014. 09. 25. 12:05

A nyílt kódnak az előnye ami egyúttal a hátránya is, van lehetősége a közösségnek kigyomlálnia a hibákat, cserébe olyanok is belenézhetnek a kódba akik ezt ártó szándékkal teszik. Zárt kódnál külsős ember csak visszafejtéssel tud bármit is kezdeni, ott viszont nem sok esély van arra hogy a sebezhetőségeket felfedezze a közösség, lehet választani :D


Téma megosztása:


  • (6 Oldal)
  • +
  • 1
  • 2
  • 3
  • Utolsó »
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó