[xclusiv]

Idézet: Tassadar - Dátum: 2015. 01. 05. 16:24

@fgyuri: Neked vannak információid róla, hogy a Microsoft-nál egy hiba vizsgálata, javítása, a javítás auditálása és tesztelése mennyi idõt vesz igénybe, átlagosan?
Vagy, hogy milyen kommunikáció folyt a Microsoft a Google között?

Arról vannak információim, hogy egy negyedév sem volt elég a hiba javításához.
Könyörgöm, most akarnak gyorsabb kiadási ciklusra váltani ms-ék (néhol még rolling release-t is emlegettek), aztán 3 hónap alatt nem tudnak egy hibát kijavítani és letesztelni?

[gel00]

Bugrosoft

[Sipi]

Az volt már, hogy az MS azért nem javította a hibát, mert az kellett a beépített trójai NSA megfigyelőrendszernek?

[Leni]

@HEKK_ELEK: "Ilyenkor az a koreográfia, hogy most tûzzel-vassal tönkrekúrják a 7est,"

Az megvan, hogy ez a hiba a win 8.1-ben van?

[zyrobs]

@xclusiv: "Te meg ne terelj már, kedves ms fanboi."

Nem az a baj hogy õ MS fanboy, az a baj hogy mindenki Google fanboy és nem látják hogy a Google egyre több erõsen megkérdõjelezhetõ dolgot csinál - ráadásul olyan dolgokat ami miatt a Microsoftot keményen perelték húsz évvel ezelõtt. A Microsoft már nagyon régóta csak a kisebbik gonosz.

[Tassadar]

@Jahno: DFS hiba kapcsán kaptunk mi is olyan béta Storge Port drivert, ami még nem publikus és végül is megoldotta a problémát.
De ilyen audit meg kijön a mérnök és szabadon kérdezhetsz tõle nálunk is van, ezzel kapcsolatban a legjobb egy Outlook bug volt: ha levélben érkezett, Excel-en belül aláírt XLS(X)-t Outlook 2007-ben lementesz (melléklet mentése), az aláírás érvénytelen lesz.
Viszont, ha ugyanezt CTRL + C és CTRL + V-vel teszed meg, az aláírás érvényes marad.

[Tassadar]

@lordrolee: "Ilyen szituációban az összes releváns infónak/lognak/trace-nek stb már rendelkezésre kell állni."

Ez nem mindig olyan triviális, pl. futó rendszerrõl dump-ot csak a saját eszközükkel készítve fogadnak el, ez gyakorlatilag elcrash-eli a rendszert.
Igen, csak a full memory dump-ot a Server 2008 R2 (és Windows 7) 2 GB RAM felett elrejti és csak olyan registry hack-el hozható elõ, ami újraindítást követel.
Innentõl viszont a memória tartalma nem lesz megfelelõ.

[Tassadar]

@NauTiLUS: Azért kíváncsi lennék, hogy hasonló esetben mondjuk egy ZFS vagy Apace hibával mit tud kezdeni a RedHat/SUSE/Ubuntu.

[Tassadar]

@Szasza2: Ha az "információs rendszer" fogalmába a bíróság magát az alapján jelentõ szoftvert is beleérti, akkor önmagában a védelmi mechanizmusok kijátszása is büncselekmény lehet.
Az sem mindegy hogyan találtak rá a hibára, a reverse engineeringet a Windows EULA-ja (és az amerikai törvények) pl. biztosan tiltja.

[NauTiLUS]

@Tassadar: jó kérdés, gondolom van olyan Enterprise/Premium/bármilyen support, ahol hasonlóan mûködnek mint az MS vagy mások.

[hokuszpk]

@Tassadar:
"A mi támogatási szerzõdésünkben a Microsoft biztosítja, hogy a legmagasabb prioritású eseteknél 1 órán belül az adott terület szakértõjéhez irányítanak, folyamatosan kapcsolatban maradnak velünk, a lehetõ leggyorsabb a helyszínre érkeznek és az incidensrõl értesítik a Microsoft felsõvezetését."

ez mind szep, de most epp egy magas prioritasu esetnel 90 nap alatt nem sikerult a helyszinre erni.

legalabb szolhattak volna a kuglinak, hogy bocsi, ezt most 90+ napig fog tartani foltozni, adjatok meg 30 napot vagy beszeljuk meg.
esetleg a 88. napon lekozolni workaroundokat, vagy azon biztonsagi szoftverek listajat, amik ezt megfogjak.
esetleg papucs orran pamutbojt. de megint csak az utolagos magyarazkodas jott.

[Jahno]

Idézet: NauTiLUS - Dátum: 2015. 01. 05. 22:21

@Tassadar: jó kérdés, gondolom van olyan Enterprise/Premium/bármilyen support, ahol hasonlóan mûködnek mint az MS vagy mások.

Biztos van, legfeljebb nincs rá szükség mert nem lesz ilyen hiba

[Jahno]

Idézet: hokuszpk - Dátum: 2015. 01. 05. 22:54

ez mind szep, de most epp egy magas prioritasu esetnel 90 nap alatt nem sikerult a helyszinre erni.


legalabb szolhattak volna a kuglinak, hogy bocsi, ezt most 90+ napig fog tartani foltozni, adjatok meg 30 napot vagy beszeljuk meg.

esetleg a 88. napon lekozolni workaroundokat, vagy azon biztonsagi szoftverek listajat, amik ezt megfogjak.

esetleg papucs orran pamutbojt. de megint csak az utolagos magyarazkodas jott.

Miért, volt a kuglinak ilyen MS szerződése?

Többit nem tudjuk, hogy mi volt és mit beszélt a két cég, vagy mit nem.

[xclusiv]

Idézet: zyrobs - Dátum: 2015. 01. 05. 21:23

@xclusiv: "Te meg ne terelj már, kedves ms fanboi."

Nem az a baj hogy õ MS fanboy, az a baj hogy mindenki Google fanboy és nem látják hogy a Google egyre több erõsen megkérdõjelezhetõ dolgot csinál...

Kérlek te se terelj.
Itt egy nagyon egyértelmű helyzet van: 90 nap alatt nem sikerült megalkotniuk, tesztelniük és kiadniuk egy olyan patch-et, ami egy kritikus sérülékenységet foltozna.
És értem én hogy szar a gugli meg minden, csak itt ez a helyzet, és ebben kurvára nem a guglit érzem felelősnek. Hanem, ugye. (És csak zárójelben: egy kritikus chrome sebezhetőségnél fordított esetben a kuglit szidnám és a ms lépésével értenék egyet. Ekkora fanboi vagyok én...)

[xclusiv]

Idézet: Tassadar - Dátum: 2015. 01. 05. 22:10

@Szasza2: Ha az "információs rendszer" fogalmába a bíróság magát az alapján jelentõ szoftvert is beleérti, akkor önmagában a védelmi mechanizmusok kijátszása is büncselekmény lehet.

Csakhogy szó nincs beleértésről. A törvény nyilván egy _konkrét_ _működő_ rendszer felnyomásáról szól, és nem egy saját játszótérről, ahol hibát keresnek. Ennyi erővel a ms hibakereső munkatársai is elkövetnék ezt a bcs-t.

Idézet

Az sem mindegy hogyan találtak rá a hibára, a reverse engineeringet a Windows EULA-ja (és az amerikai törvények) pl. biztosan tiltja.

Ja, aztán a gugli meg azt mondja, hogy nem volt itt semmiféle reverse eng., hanem csak fuzzer-rel nyomattuk, aztán azt ne tiltsa már senki hogy random adattal kínáljunk meg sw-ekeet.
Amúgy az usák szabályozás elkerülésére volt olyan példa, hogy hősünk átrepült Hollandiába, "ott megírta a kódot", azt feltette a netre, aztán hazarepült. Tessen megfogni...

[xclusiv]

Idézet: Jahno - Dátum: 2015. 01. 05. 23:24

Miért, volt a kuglinak ilyen MS szerződése?

Ha van legalább egy megvásárolt win8 licenszük, akkor szerintem van pont olyan szerződésük, mint bárki másnak...
Értsd: a ms javítja a hibákat, főleg a biztonságiakat...

Idézet

Többit nem tudjuk, hogy mi volt és mit beszélt a két cég, vagy mit nem.

Hát ez az.
Mert tfh jelzi ezt a gogol a ms-nak, azok rátesznek egy embert, hogy teszteld le, leteszteli, egy nap. Másnap rááll egy team, aztán rájönnek hogy kurvára nem olyan egyszerű ezt javítani, ezért 2-3 hét múlva a megfelelő szintű ms dolgozó megkeresi a megfelelő szintű gogol dolgozót, hogy ezen rajta vagyunk, de nem biztos hogy ezt 90 nap alatt ki tudjuk adni (sőt), mert ez és ez és ez. Szóval léccilécci most tekintsetek el a 90 naptól, és nyilván folyamatosan tájékoztatunk benneteket arról, hogy hogy is állunk a folyamattal, de addig is nézzük hogy mit tudunk tenni közösen hogy a sebezhetőség ne menjen át publikusba. Szűrünk a keresőben (ti is és mi is), felvesszük a kapcsolatot a megbízható AV és hasonló fejlesztőkkel, stb. És erre a gogol azt mondja, hogy nix, 90 nap az 90 nap, ti meg mentek a picsába.

Na ha ez történt volna, akkor szerintem már olvastuk volna a ms közleményét, ami tele van a fenti levélből vett idézetekkel, és akkor én is a kuglit szidnám, hogy menjenek a picsába. De ehelyett csak a nagy csönd van a ms részéről, pedig a guglis poc több napja publikus.

Tehát?

Szerkesztette: xclusiv 2015. 01. 06. 00:13 -kor

[Jahno]

Idézet: xclusiv - Dátum: 2015. 01. 06. 00:12

Ha van legalább egy megvásárolt win8 licenszük, akkor szerintem van pont olyan szerződésük, mint bárki másnak...
Értsd: a ms javítja a hibákat, főleg a biztonságiakat...

Hátőőőőizééé, fent épppen ezt írtuk, hogy nem egészen így van és másnak esetleg másképp ugrik rá. Én erre céloztam, hogy van-e mennyiségis és kiemelt support szerződés. Annak ellenére, hogy szopás és ha így poénból a Kuglinak, akkor másnak sem biztos, hogy ki bírta volna javítani. Addig okés, hogy ki kell, de lehet nem olyan egyszerű, mert mert csak. Láttam én már szoftveres hibát, amin éveket vekengtek és alig bírtak el vele. Itt sem biztos, hogy olyan egyszerű betájolni, ha kell hozzá 8 hónap, akkor majd ráállítunk 3x annyi embert, így bőven bele fogunk férni a 90 napba. Bár gáz, de mintha Linux alatt még visszatérő hibák is lettek volna, azt is akkor miképpen?

[egymajom]

@Jahno: Olyan sok idõ javítani hogy a következõ patchkedden már jönni fog hozzá a fix. Farokméregetés az megy, a felhasználó meg le van szarva.

[tomtyi]

@Tassadar:
Attól, hogy több százmillióan használják, vajon lassabb a javítás, vagy nagyobb a bevétel, ami miatt több programozót tudnak alkalmazni, ami miatt gyorsabb a javítás?
Mi köze van a használati statisztikáknak egy hiba javításához? Legfeljebb a hiba javításának telepítéséhez van köze.

[tomtyi]

@Jahno:
Nem. Õ arra értette, hogy annak alig van gyakorlati értelme, hogy egy órán belül szakértõhöz irányítanak.