Nekompatibilita Windows 10 a starých programů

[Tuxik]

Tuxiku este doplnim, ze hladas zle argumenty. Tu nejde o cas opravy, ale o pocet zranitelnosti. Ked je linux opensource, uz mal byt davno pocet zranitelnosti == 0. ...

    
Tímto jsi jen potvrdil, že jsi vážně hodně jednoduchý.

Este ze to tvrdis ty. Keby si chapal to, co som napisal, tak nenapises taku kravinu, to == 0 bolo myslene nadnesene. Cize jednoduchy si ty .

J:
Takze budeme zrovnavat produkty od MS (edge, ie)? Potom teda scitajme napr. chrome/firefox, linux kernel a napr debian a vyjde zaujimave cisielko. Akoze je scestne urobit taketo porovnanie, ked len SAMOTNY KERNEL ma viac chyb ako samotny WINDOWS 10. Kapisto?

No jo, ale on narážel na to, že IE ani EDGE NEJDE z Woken odstranit, protože bez toho prostě nebudou fungovat. Máš snad pocit, že Chromák, nebo Ohnívák je neoddělitelnou součástí Linuxu?

[Reklama]

[Tuxik]

Vždyť si zase vymýšlíte. V případě Linuxu kernelový tým o zveřejnění vulnerability jedná s objevitelem a autory distribucí: A disclosure date is negotiated by the security team working with the bug submitter as well as vendors. Takže jsou veřejné přístupné informace jen u těch vulnerabilities, u kterých v daném čase nebylo dohodnuto s objevitelem zranitelnosti odložení zveřejnění.
https://www.kernel.org/doc/html/latest/admin-guide/security-bugs.html

Tak si to alespoň přečti...
The goal of the Linux kernel security team is to work with the bug submitter to bug resolution as well as disclosure. We prefer to fully disclose the bug as soon as possible. It is reasonable to delay disclosure when the bug or the fix is not yet fully understood, the solution is not well-tested or for vendor coordination. However, we expect these delays to be short, measurable in days, not weeks or months. A disclosure date is negotiated by the security team working with the bug submitter as well as vendors. However, the kernel security team holds the final say when setting a disclosure date. The timeframe for disclosure is from immediate (esp. if it’s already publicly known) to a few weeks. As a basic default policy, we expect report date to disclosure date to be on the order of 7 days.
Takže žádných běžných 90 dní, který kolikrát MS na opravu ani nestačí.
A mimochodem, on neřekl, že jsou informace dostupný hned, jen to, že se zvěřejní.

[j]

Tohle viselo asi tejden na všech webech Mkrvošrotu. Tolik k tomu "profesionálnímu" systému.

Moc peknej kousek, pridam s dovolenim do sbirky ....

....Co se týče debugování,...

Psal sem v asm pro 8mibity, psal sem v asm pro x86 a semo tamo neco nekomu lehce crackoval. Ne, debugovanim rozhodne chybu o ktery predem nevis nenajdes (a chtel bych videt magora, kterej by se o to snazil). Naprosty nesmysl. Debugovanim se tak maximalne muzes na zaklade uz vyvolany chyby podivat, kde nechal tesar vrata od stodoly.

Kdyz mas zdrojak, muzes delat jeho analyzu, a predevsim muzes otestovat jednotlivy casti kodu. Ostatne 99% vsech nalezenych bugu je zalozeno na tom, ze se hledaji/a zkouseji uz znamy postupy. Novej postup se objevi prakticky vzdy jen nahodne, prevazne tak, ze nekde neco zbuchne a nekdo zacne zkoumat, jestli by toho neslo nejak vyuzit.

[Lael.Ophir]

Vždyť si zase vymýšlíte. V případě Linuxu kernelový tým o zveřejnění vulnerability jedná s objevitelem a autory distribucí: A disclosure date is negotiated by the security team working with the bug submitter as well as vendors. Takže jsou veřejné přístupné informace jen u těch vulnerabilities, u kterých v daném čase nebylo dohodnuto s objevitelem zranitelnosti odložení zveřejnění.
https://www.kernel.org/doc/html/latest/admin-guide/security-bugs.html

Tak si to alespoň přečti...
The goal of the Linux kernel security team is to work with the bug submitter to bug resolution as well as disclosure. We prefer to fully disclose the bug as soon as possible. It is reasonable to delay disclosure when the bug or the fix is not yet fully understood, the solution is not well-tested or for vendor coordination. However, we expect these delays to be short, measurable in days, not weeks or months. A disclosure date is negotiated by the security team working with the bug submitter as well as vendors. However, the kernel security team holds the final say when setting a disclosure date. The timeframe for disclosure is from immediate (esp. if it’s already publicly known) to a few weeks. As a basic default policy, we expect report date to disclosure date to be on the order of 7 days.
Takže žádných běžných 90 dní, který kolikrát MS na opravu ani nestačí.
A mimochodem, on neřekl, že jsou informace dostupný hned, jen to, že se zvěřejní.

Já si to četl. Nicméně nevím kolik dní se ta informace opravdu v praxi zadržuje u Linuxu, ani jak dlouho je to v praxi u Windows. Z jednoho příkladu totiž statistiku těžko dělat.

[j]

Tuxiku este doplnim, ze hladas zle argumenty. Tu nejde o cas opravy, ale o pocet zranitelnosti. Ked je linux opensource, uz mal byt davno pocet zranitelnosti == 0. ...

    
Tímto jsi jen potvrdil, že jsi vážně hodně jednoduchý.

Este ze to tvrdis ty. Keby si chapal to, co som napisal, tak nenapises taku kravinu, to == 0 bolo myslene nadnesene. Cize jednoduchy si ty .

J:
Takze budeme zrovnavat produkty od MS (edge, ie)? Potom teda scitajme napr. chrome/firefox, linux kernel a napr debian a vyjde zaujimave cisielko. Akoze je scestne urobit taketo porovnanie, ked len SAMOTNY KERNEL ma viac chyb ako samotny WINDOWS 10. Kapisto?

Tak mi prid ty trotle naistalovat windows bez IE ...

[Reklama]

[j]

To nic lulane ... http://technet.idnes.cz/google-microsoft-oprava-0w7-/kratke-zpravy.aspx?c=A161101_135948_tec-kratke-zpravy_vse

[Tuxik]

....Co se týče debugování,...

Psal sem v asm pro 8mibity, psal sem v asm pro x86 a semo tamo neco nekomu lehce crackoval. Ne, debugovanim rozhodne chybu o ktery predem nevis nenajdes (a chtel bych videt magora, kterej by se o to snazil). Naprosty nesmysl. Debugovanim se tak maximalne muzes na zaklade uz vyvolany chyby podivat, kde nechal tesar vrata od stodoly.

Kdyz mas zdrojak, muzes delat jeho analyzu, a predevsim muzes otestovat jednotlivy casti kodu. Ostatne 99% vsech nalezenych bugu je zalozeno na tom, ze se hledaji/a zkouseji uz znamy postupy. Novej postup se objevi prakticky vzdy jen nahodne, prevazne tak, ze nekde neco zbuchne a nekdo zacne zkoumat, jestli by toho neslo nejak vyuzit.

No však jsem to psal, že debugováním nic nenajde, pokud netuší co a kde hledá. Taky jsem svýho času něco málo crackoval, jen tak pro zábavu a nejrychlejší cestou - na pouhých pár hodin (velmi výjmečně do hodiny) bylo, pokud měl člověk k dispozici legální i nelegální verzi. Pokud ji neměl a soft obsahoval nějaký anti debug fičury, komprese, setkal jsem se třeba s programem, kterej byl kus po začátku zaxorovanej nějakým řetězcem a jako první se rozxorovával... to bylo na mnoho hodin až dní. A to se bavím o nějakým softu, kterej měl maximálně pár mega binárního kódu včetně knihoven a navíc jsem přesně věděl, co chci udělat. Hledat zranitelnost "nevím jakou, nevím kde, nevím proč", to je cesta do blázince a ne k úspěchu.

[Lael.Ophir]

Tak dobře... budeme mluvit vážně...

Super

váž(e)ný Laeli, já nevím, co vidíš v kernelu ty, ale já tam vidím mimo jiné hromadu ovladačů na všemožné chujoviny, dva sound systémy, V4L, kompletní síťový stack atd atd...
Jinak chyby se dělí na několik skupin...
- objevené někým náhodou a později zdebugované, dohledané ve zdrojácích atd
- objevené při revizích, nečekaně většinou zdrojových kódů, což se W moc netýká
- odhalené na základě nově vymyšleného vektoru, to může být jak revizí zdrojáku, tak "náhodným" zkoušením tohoto vektoru na různý SW, až po debugování
- chyby nechyby (backdoory)
a pak by se našlo několik dalších specifických "zranitelností" - třeba slabé šifrování prolomitelné díky enormnímu nárustu dostupného výpočetního výkonu a bude toho víc
Co se týče debugování, vím o něm svoje, v ASM jsem dělal dlouhé roky (ne profesionálně) a můžu tě ujistit, že pokud nemáš ani tušení, co hledáš a kde to máš hledat, tak stylem "z nudy si zdebuguju třeba IE" budeš rád, když najdeš jednu chybu za život. Tudy opravdu ne. (kecám, IE je jedna velká chyba, takže vlastně není problém)

On by se hlavně do těch zdrojáků někdo musel opravdu koukat a důkladně je studovat, což se jaksi neděje. Jinak by těžko docházelo k takovýmto problémům:
https://github.com/g0tmi1k/debian-ssh
https://en.wikipedia.org/wiki/Heartbleed

Jinak zdrojáky Windows mají k dispozici vybrané firmy, vysoké školy a státní organizace. Neznám ale žádný věrohodný zdroj, podle kterého by open source vývoj vedl k vyšší kvalitě kódu nebo lepší bezpečnosti.

Zdejší diskutéři léta tvrdili, že Widows mají vyšší počty chyb, protože jsou mizerně napsané a Linux (který se tehdy používal výrazně méně než dnes) je prostě lépe napsaný. Teď se situace obrátila a Linux má zranitelností daleko více, takže pro změnu tvrdí že jsou Windows mizerně napsané, a v Linuxu se chyby jen lépe hledají. Přijde mi to jako pokrytectví. Já na to mám ten názor, že jak se Linux začal více používat, tak začalo mít finanční smysl v něm hledat bugy, a navíc se s časem zvyšuje jeho složitost, takže je těch bugů více.

[j]

....

Ja takhle resil par lidem to, ze jim soudruh dodavatel odmital dodat nahradni HW klic, pripadne si dokonce dovolil krachnout.

[Lael.Ophir]

....Co se týče debugování,...

Psal sem v asm pro 8mibity, psal sem v asm pro x86 a semo tamo neco nekomu lehce crackoval. Ne, debugovanim rozhodne chybu o ktery predem nevis nenajdes (a chtel bych videt magora, kterej by se o to snazil). Naprosty nesmysl. Debugovanim se tak maximalne muzes na zaklade uz vyvolany chyby podivat, kde nechal tesar vrata od stodoly.

Kdyz mas zdrojak, muzes delat jeho analyzu, a predevsim muzes otestovat jednotlivy casti kodu. Ostatne 99% vsech nalezenych bugu je zalozeno na tom, ze se hledaji/a zkouseji uz znamy postupy. Novej postup se objevi prakticky vzdy jen nahodne, prevazne tak, ze nekde neco zbuchne a nekdo zacne zkoumat, jestli by toho neslo nejak vyuzit.

No však jsem to psal, že debugováním nic nenajde, pokud netuší co a kde hledá. Taky jsem svýho času něco málo crackoval, jen tak pro zábavu a nejrychlejší cestou - na pouhých pár hodin (velmi výjmečně do hodiny) bylo, pokud měl člověk k dispozici legální i nelegální verzi. Pokud ji neměl a soft obsahoval nějaký anti debug fičury, komprese, setkal jsem se třeba s programem, kterej byl kus po začátku zaxorovanej nějakým řetězcem a jako první se rozxorovával... to bylo na mnoho hodin až dní. A to se bavím o nějakým softu, kterej měl maximálně pár mega binárního kódu včetně knihoven a navíc jsem přesně věděl, co chci udělat. Hledat zranitelnost "nevím jakou, nevím kde, nevím proč", to je cesta do blázince a ne k úspěchu.

Kdežto když si budete mít na disku pár milionů řádek zdrojáku, tak to nebude cesta do blázince, ale k úspěchu? Nejjednodušší je opravdu replikovat stávající postupy, a například nějakým generátorem nakrmit API hromadou nesmyslů, dokud nezpůsobíte problém. A pak vzít debugger a koukat jak chybu zneužít.

[j]

...Jinak zdrojáky Windows mají k dispozici vybrané firmy, vysoké školy a státní organizace. ...

Tak to jiste lulane ... v podobe kterou je mozny prekompiplovat a overit ze to dela to co widle ... urcite ...

To ze by z toho vypadla exaktne stejna binarka ani nezminuju ...

[v]

Kdežto když si budete mít na disku pár milionů řádek zdrojáku, tak to nebude cesta do blázince, ale k úspěchu?

o statické analýze jste už slyšel?

[Lael.Ophir]

...Jinak zdrojáky Windows mají k dispozici vybrané firmy, vysoké školy a státní organizace. ...

Tak to jiste lulane ... v podobe kterou je mozny prekompiplovat a overit ze to dela to co widle ... urcite ...

To ze by z toho vypadla exaktne stejna binarka ani nezminuju ...

Zdroj?

[j]

Kdežto když si budete mít na disku pár milionů řádek zdrojáku, tak to nebude cesta do blázince, ale k úspěchu?

o statické analýze jste už slyšel?

To nemoh, nedavno se tu pochlubil, jak sou widle jedna velka hromada hnoje a proto neumej udelat patch, protoze kazda zmena ovlivni uplne vsechno. Jak bys na tom chtel neco analyzovat ... kdyz na jednom radku chybu opravis a na jinym jich tou zmenou 10 vygenerujes.

[Lael.Ophir]

Kdežto když si budete mít na disku pár milionů řádek zdrojáku, tak to nebude cesta do blázince, ale k úspěchu?

o statické analýze jste už slyšel?

Slyšel, a kód od MS statickou analýzou prochází při interním auditu. Když jsme u toho, tak ve světě open source se moc neaudituje, protože díky vývojovému modelu to nemá kdo platit. A když se audituje, tak to nedopadá nic moc. Třeba audit OpenSSL měl začít v roce 2015, a od té doby o něm nějak nebylo slyšet.