ez így általánosítva, belemondva a térbe elég megfoghatalan és így vitathatatlan

győzzön a jobbik, de nem lehet, hogy a jobb maga a rossz? (Seneca)

minek a javára?

az a helyzet, h technológiailag ma az ie a legbiztonságosabb böngésző (nem csak vistán). fx-ben már 1 évében súlyozottan majdnem annyi hibát találtak mint az akkori 5 éves ie6-ban összesen. azóta meg simán lehagyta. míg a sajtó ettől az 1 ie bugtól hangos, addig pl firefoxhoz 5 kritikus javítás érkezik a napokban.
opertát meg a többit gyak senki sem használja, így azoknak nehéz statisztikát állítani.

ebben az 1 bugban egyedül az érdekes, h abba 0,02%-ba tartozik, amikor az exploit előbb jelent meg, mint javítás. persze normálisan (alapértelmezés szerint) használt vistán ez sem veszélyeztet senkit...

"A kovetkezo hir mikor fog megjelenni? 1 het? 1 honap? 1 ev? Minnel kesobb, annal nagyobb veszelyben vannak a felhasznalok."

Én azon vagyok meglepődve, hogy az emberek hogy magukba tudják szívni ezt a marketingszöveget és utána terjeszteni az igét.

A Firefoxot már régen megírták, hogy a kód nagyrésze hulladék. Néhány link: [link], [link], [link], [link], [link], [link], [link]

Az Opera 1%-os részesedésű, senkit sem érdekel leginkább, mégis vannak benne biztonsági rések: [link]

A Chrome sem tökéletes, de biztonságtechnológiailag eléggé fejlett.

Vajon mennyi potenciális bugra derülne fény idejekorán, ha az exploder forrását megnyitnák, és azt is szabadon elemezgethetné bárki, mint az imént említett firefoxos eset.

Egyébként lenne meglepődés sok alkalmazással kapcsolatban, ha végignézné az ember a forrást néhány általános statikus kódelemzővel.

Télleg: az miért rendkívüli javítás, ha egy felfedezett bugra igyekeznek mielőbb válaszolni?????

[ Szerkesztve ]

Verivell, szóval kijön most egy "rendkívüli" javítás, két héttel ezelőtt egy űbernagy szeretetcsomag, illetve azelőtt egy héttel meg egy kisebb, és most az a téma, hogy az 1.5ös firefox a szar. Hát röviden tömören a kortárs exploderhez képest biztonságos volt.

nem, a téma az, h fx sosem volt olyan jó mint hirdették.

mert rendkívül régóta létezik a hiba! mint úgy általában más esetekben is...
de amíg senki sem tud egy hibáról, addig az nem is annyira hiba.

Off az offban: Es ha ha tortenik egy sikeres tamadas egy honapok ota javitott hibat kihasznalva egy ceg ellen akkor ki lesz a felelos?
A security főnök, ha nem verte az asztalt. Vagy ha verte, akkor az a döntéshozó, aki nem engedélyezte a frissítések telepítését. Vagy ha engedélyezte, akkor az a rendszergazda, aki nem hajtotta végre az utasítást.

Vajon mennyi potenciális bugra derülne fény idejekorán, ha az exploder forrását megnyitnák, és azt is szabadon elemezgethetné bárki, mint az imént említett firefoxos eset.
Gondolom emlékszel rá, amikor a Windows 2000 forráskódjának jelentős része elérhetővé vált egy hanyag partner miatt. És lett belőle bug-özön? Nem. Nem lett semmi. Ha jól emlékszem, egy épkézláb kritikus hibát nem sikerült találnia a kedves "közösségnek", amiről a Microsoft még nem tudott.

Egyébként lenne meglepődés sok alkalmazással kapcsolatban, ha végignézné az ember a forrást néhány általános statikus kódelemzővel.
Lehet, hogy nekem kellene visszaadni a szoftverfejlesztői képesítésemet, de én olyan jegyzettömbnél bonyolultabb production szoftvert még nem láttam, ami nem okozott krónikus csuklást egy statikus kódelemzőnek.

Télleg: az miért rendkívüli javítás, ha egy felfedezett bugra igyekeznek mielőbb válaszolni?
A rendkívüli jelen esetben azt jelenti: eltérnek a szokásos házirendtől és a megszokott havi frissítési cikluson kívül adják ki a javítást.

érdekes dolgok ezek. a történelem egyik legnagyobb járványa (blaster) egy olyan hibát használt ki, amire már több mint 1 hónapja (35nap?) volt javítás
Egy hónappal azelőtti. Egy MS patchet fejtettek vissza, abból készült a worm.

Epp ezert jobb a nyilt forraskod, sokan fejlesztik/kovetik nyomon a remekmut, hamarabb kiderulnek a hibak, nehezebb a fejlesztok elott jarni egy lepessel a gonosz crackereknek
Lásd fentebb. Aki ért hozzá, annak nem sokat számít, hogy van-e hozzá forráskód, vagy nincs. Millió meg egy bugot jelentettek be már a Microsoftnak (lehet olvasgatni a bulletinek végén szereplő köszönetnyilvánítást, általában nem egy tétel szerepel rajta), amihez még reverse engineeringelni sem kellett.

A cikkhez látom szorosan kapcsolódik

Az az általános megállapítás, hogy az egyes verziókkal párhuzamosan futó exploderekhez képest gyors, és biztonságos alternatíva, az már csak amiatt is önmagában megállja a helyét, mert a problémák java főként az exploderen keresztül végrehajtott támadásokhoz köthető. De ez csak az általános állításodra válasz.

A konkrétumokkal kapcsolatosan, beleolvastam az egyik linkbe, amely szerint "A Firefox a legsebezhetőbb Windows-alkalmazás", és a cikk végén egy vicces megjegyzést találtam, hogyaszongya "a cég többek között sem a Windows, sem maga az Internet Explorer vagy a Microsoft Office sebezhetőségeit sem vizsgálta". Ez így ebben a formában engem nagyjából erre emlékeztet

Ez illúzió. Attól, hogy valamit kevesebb támadás ér, attól még nem biztonságosabb. Legfeljebb a kockázat kisebb, azt viszont még annyira sem lehet mérni, mint a biztonságot.

a cég többek között sem a Windows, sem maga az Internet Explorer vagy a Microsoft Office sebezhetőségeit sem vizsgálta
Akkor minden bizonyára azt is elolvastad, hogy azért, mert van hozzá központi automatikus frissítő szolgáltatás. (Engem inkább az lep meg, hogy FF-hez nincs.)

[ Szerkesztve ]

"a Windows 2000 forráskódjának jelentős része elérhetővé vált egy hanyag partner miatt. És lett belőle bug-özön? Nem. Nem lett semmi." -- Öröm és boldogság. Összehasonlításképpen annyi, hogy a kifogásolt firefox problémái a forrás nyíltságából adódóan jellemző módon még alfa/béta állapotban kerültek a nyilvánosságra, és nem mondjuk 5 évvel később szivárogtatták ki a forrást.

"olyan jegyzettömbnél bonyolultabb production szoftvert még nem láttam, ami nem okozott krónikus csuklást egy statikus kódelemzőnek." -- Arra gondolsz h lehetetlen volna, vagy hogy mindegyikben rengeteg lenne a hiba??

"A rendkívüli jelen esetben azt jelenti: eltérnek a szokásos házirendtől és a megszokott havi frissítési cikluson kívül adják ki a javítást." -- szvsz gáz rendkívülinek titulálni egy sürgős javítást. Ez lenne a normális

"Lásd fentebb. Aki ért hozzá, annak nem sokat számít, hogy van-e hozzá forráskód, vagy nincs." -- a nyílt fejlesztési modellben több fejlesztői tesztet tudnak végezni, míg zárt modellesetében jobbára csak felhasználói teszteket lehet végezni. Ez inkább a tesztelésről, és a reagálásról szól, mint a crackelésről.

Azt nem nevezném illúziónak, hogy inkább azt használja az ember, ami kevésbé kockázatos. Egyébként a kockázatosság statisztikával szépen mérhető

"Akkor minden bizonyára azt is elolvastad, hogy azért, mert van hozzá központi automatikus frissítő szolgáltatás." -- az indoklást én sem értettem, mert egyébként van update mechanizmusa, viszont a vizsgálat szempontjából a lényeg annyi, hogy kivették belőle a ms szoftvereket bárakármilyen okból kifolyólag, így az összehasonlítás necces. Valaki csak megvilágítja...

ra tesz kulon irva

https://www.youtube.com/watch?v=mkDSGbRyjz8&list=PLVJH24yGtE_w5Ke4aWmRV8erFQmqRD1dK Minden egyes új rész rátesz még egy lapáttal :-D

Összehasonlításképpen annyi, hogy a kifogásolt firefox problémái a forrás nyíltságából adódóan jellemző módon még alfa/béta állapotban kerültek a nyilvánosságra, és nem mondjuk 5 évvel később szivárogtatták ki a forrást.
Mondom még egyszer, hátha így érthetőbb: a kikerült forrás semmin nem változtatott. Nem találtak tőle egy darabbal több hibát sem. (Megjegyzés: pontatlan a fogalmazás, nem kiszivárogtatás, hanem kiszivárgás történt.)
A Firefox alfa/béta fázisról meg azt hiszem szavak helyett elég információt ad, hogy az FF3 végleges változatában nem a béta fázisban, hanem a kiadás napján került elő kritikus biztonsági probléma.

Arra gondolsz h lehetetlen volna, vagy hogy mindegyikben rengeteg lenne a hiba?
Arra gondolok, hogy nincs hibátlan szoftver, és ha mégis, a statikus kódelemzők rendszerint rengeteg hamis-pozitív eredményt adnak.

Azt nem nevezném illúziónak, hogy inkább azt használja az ember, ami kevésbé kockázatos. Egyébként a kockázatosság statisztikával szépen mérhető
Különösen egy frissen kiadott termék esetén, amelyiknek még nincs releváns előélete.
Apopó, e mentén a logika mentén miért nem használnak jóval többen Operát?

az indoklást én sem értettem, mert egyébként van update mechanizmusa, viszont a vizsgálat szempontjából a lényeg annyi, hogy kivették belőle a ms szoftvereket bárakármilyen okból kifolyólag
Ha emlékeim nem csalnak, nem szimplán update mechanizmus, hanem központosítottan menedzselhető update mechanizmus kell. Különben az Adobe sem került volna rá a listára.

Tobb szem, tobb csipa! Nagysagrendileg hamarabb, johetnenek a biztonsagi frissitesek, ha megnyitna az MS az IE forrasat.
Az meg, hogy a Windows 2000 forrasanak kiszivargasa utan nem talaltak semmi kritikus/sulyos hibat, annak tudhato be, hogy a Windows 2000 volt a legstabilabb operacios rendszer a Windowsok kozul. Tehat nem veletlen.

A Win2000 forráskódra épült az XP, arra a 2003 és a Vista/2008 is részben erre épül. A kód igen jelentős része nagy része sorról sorra azonos. Ami az újabbakban biztonsági probléma, az 99,9999%-ban biztonsági probléma a Win2000-ben, a maradék 0,0001% pedig azokat az eseteket fedi le, ami a Win2000-ben még nem létező funkcionalitás. (Fordítva ez már nincs így, ami a Win2000-ben hiba, az esetleg az újabbakban már architekturálisan javításra került), úgyhogy erősen kétlem, hogy a Win2000 a legstabilabb Windows.

Tobb szem, tobb csipa! Nagysagrendileg hamarabb, johetnenek a biztonsagi frissitesek, ha megnyitna az MS az IE forrasat.
Állandóan ezzen jön az összes open source hívő, de eddig még nem láttam semmilyen értelmes érvet arra, hogy ez miért is jó globálisan, amit még alá is tud észérvekkel támasztani. Nem szeretnék megint végigmenni ezen az egészen, úgyhogy röviden: a forrásmegnyitás minden előnye mellé tudok rakni legalább egy hátrányt is. Bővebben: PH! fórum összes flamelős topicja.

[ Szerkesztve ]

Elhiheted tovabbra is nyugodtan tudok aludni, ha tovabbra is zart forrasu lesz az IE.
A kerdesedre meg annyit reagalnek, hogy valoszinuleg egy open source hivonek sem tetted fel a kerdest, azert nem is valaszoltak ra! De ha megengeded, akkor en valaszolnek a tobbiek neveben is! MS attol fel, ha megnyitja a bongeszoje forrasat, akkor lesznek olyanok, akik jobbat csinalnak, mint ok! Piacvesztestol tart. Pedig ha belegondol, akkor a userek donto tobbsege, meg mindig a gyarilag Windowszal erkezo verziot hasznalna, mert o azt szokta meg, es kesz.

valoszinuleg egy open source hivonek sem tetted fel a kerdest, azert nem is valaszoltak ra
Úgy érted, hogy az utóbbi évek töménytelen mennyiségű vitájában itt a PH! vonzáskörzetében egyetlen OSS hívő sem fordult meg? Kizárt.

MS attol fel, ha megnyitja a bongeszoje forrasat, akkor lesznek olyanok, akik jobbat csinalnak, mint ok!
Ismered a Microsoft.NET-et? A forráskód nagy része nyitott (ami meg nem, azt nagyságrendekkel könnyebb visszafejteni, mint a natív binárisokat). ISO szabványokban definiált a működés. Mire sikerült a Novell által pénzelt és a Microsoft által technikai támogatással ellátott csapatnak illetve a közösségnek egy .NET 2.0-val úgy-ahogy kompatibilis változatot összehozniuk, addigra az MS már másfél fényévvel (főverzióval) előbbre tart. És ez igen messze van egy komplett Windowstól.

Letölthető a frissítés

Úgy érted, hogy az utóbbi évek töménytelen mennyiségű vitájában itt a PH! vonzáskörzetében egyetlen OSS hívő sem fordult meg? Kizárt.

Nem tudom, hogy az utobbi idoben mennyi PH!s vita volt mar errol a kerdesrol, de akkor ugy oszinten: Szerinted akkor miert nem lepte mar meg? Bar mint mondtam, hidegen hagy mi lesz az IE forrasanak a sorsa.

Mire sikerült a Novell által pénzelt és a Microsoft által technikai támogatással ellátott csapatnak illetve a közösségnek egy .NET 2.0-val úgy-ahogy kompatibilis változatot összehozniuk, addigra az MS már másfél fényévvel (főverzióval) előbbre tart.

Ebben csak azt nem ertem, hogy kapcsolodik a dologhoz, meg egeszeben a .NET hogy jott most a kepbe. Ha zart a kod, ugyse tudnak hozzatenni, sem elvenni belole, irhatjak azt akarmilyen programozasnyelven.

Kevesebb, mint 1 perc volt. Kár pampogni egy dll miatt.

Nem tudom, hogy az utobbi idoben mennyi PH!s vita volt mar errol a kerdesrol
Hetente-kéthetente minimum egy nagy átlagban elő szokott fordulni.

de akkor ugy oszinten: Szerinted akkor miert nem lepte mar meg?
Talán mert több hátránya van, mint előnye?

Ebben csak azt nem ertem, hogy kapcsolodik a dologhoz, meg egeszeben a .NET hogy jott most a kepbe. Ha zart a kod, ugyse tudnak hozzatenni, sem elvenni belole, irhatjak azt akarmilyen programozasnyelven.
Úgy, hogy publikus forrás (azzal a megkötéssel, hogy csak referencialicensz van, saját termékben nem felhasználható), szabványosított rendszer, ott áll a Novell a projekt mögött, maga a Microsoft is ingyenes tech. konzultációt biztosít nekik, ha esetleg a vonatkozó dokumentációban valami nem világos, és mégsem tudnak lépést tartani. Vagyis nem találom megalapozottnak azt a gondolatodat, hogy ha az MS megnyitná az IE forrását, akkor valaki csinálna jobbat.
Aztán vannak, akiknek az MS forrása nélkül is sikerül jobb böngészőt írniuk (ld. Chrome, bár az idő próbáját még nem állta ki).

az, hogy belinkeli nektek a patch-et jól.

Ha ez a jó, akkor mi a másik? x86-os xp-re melyik jó (ie7)?

másik mi? 960714-ből egy van, többféle OS-re és böngészőverzióra.

(gondolom ez)

[ Szerkesztve ]

Akkor miért rossz az első link? Full ugyanazt rakta fel.

[ Szerkesztve ]

ööö nemértem. rossz? ugyanazt, mint? ki rakta fel?

Gregorius. Ebből arra következtetek, hogy valaki rosszul linkelte be és ő volt az első aki linkelte a javítást, persze lehet hogy benéztem.

[ Szerkesztve ]

ugyanazt linkeltük, de ő csak a bulletint, aztán az 1.0-s user onnan nem biztos, hogy eltalál a patch-ig. én meg nem olvastam végig a topicot rendesen.

"MS attol fel, ha megnyitja a bongeszoje forrasat, akkor lesznek olyanok, akik jobbat csinalnak"
jaaj nemár övig be vannak szarva, nehogy kiderüljön, hogy amúgy nem is tudnak programozni. ezek annyira... hogyismondjam gyerekes beszólások. azért nem nyitja meg, mert mi a francért nyitná meg? amúgy meg fejlesztőknek - mint a zárt programok többségének, köztük a Windows - forráskódjának nagy része igenis elérhető.

[ Szerkesztve ]