forum.opennet.ru

Составление сообщения

Исходное сообщение

"На телефонах на базе платформы Android зафиксировано троянск..."
Отправлено fr0ster, 13-Авг-10 16:52

>>Вы таки телепат? Кроме просмотра кода вы других методов анализа не знаете?
>
>Ну расскажите нам, вместе посмеёмся.
Ага, смейся паяц и тд по тексту.
>Помнится дебиановцы OpenSSL через Coverity прогнали, поправили
>то что он нашёл, в итоге получили предсказуемый ГПСЧ, если мне
>склероз не изменяет и предсказуемый генератор ключей. Через 9 месяцев вернули
>всё назад конечно, но осадок остался ;)
И что? Это доказывает, что больше методов нет? Или кроме случая с ОпенССЛ вспомнить нечего?

>>Не учитываете что анализ кода делается не от адама, что анализируется критичный
>>для вас лично код. Не говоря что в опенсорсе никто вам
>>ничем не обязан. Вам дана возможность, ловите рыбу. А про низкую
>>квалификацию это вы в бане не скажите, шайками забросают.
>>На основании двух примеров вы делаете вывод насколько глобальный, настолько и некорректный.
>
>Давайте подумает логично, на примере того злополучного дебиановского патча. OpenSSL - это
Попробуйте.
>одна из основных подсистем отвечаютщих за безопасность, это очень важная подсистема
>и нужно чтобы в ней было как можно меньше изьянов. Это
Важная, но не везде и не для всех.

>значит что любой патч должен проходить строгий аудит, тестирование на регрессии
В общем да. Но проверка должна производиться не только при приеме патча мейнтейнером, но и при получении информации о наличии патча перед обновлением собственно админом компа.
>и иметь обоснование необходимости применения. Практика показала что этот механизм не
>сработал должным образом. Причины я вижу три:
>1. Полное отсутствие аудита как такового
>2. Халатность проверяющего (что выглядит странно, ибо их должно быть несколько, особенно
>для такого важного компонента)
Первый пункт отметаем. Второй маловероятен.
>3. Недостаточная квалификация проверяющего, который банально не понял что там сделали.
Согласен. Перед обновлением смотри что цепляет патч, если это для тебя критично - проверь самостоятельно, не полагаясь только на мейнтейнера. Не смог проверить, твоя квалификация недостаточна.

>Выберите что вам по душе.
Вам видимо не понять разницу между иметь возможность и не иметь.

Исходное сообщение
"На телефонах на базе платформы Android зафиксировано троянск..." Отправлено fr0ster, 13-Авг-10 16:52
>>Вы таки телепат? Кроме просмотра кода вы других методов анализа не знаете? > >Ну расскажите нам, вместе посмеёмся. Ага, смейся паяц и тд по тексту. >Помнится дебиановцы OpenSSL через Coverity прогнали, поправили >то что он нашёл, в итоге получили предсказуемый ГПСЧ, если мне >склероз не изменяет и предсказуемый генератор ключей. Через 9 месяцев вернули >всё назад конечно, но осадок остался ;) И что? Это доказывает, что больше методов нет? Или кроме случая с ОпенССЛ вспомнить нечего? >>Не учитываете что анализ кода делается не от адама, что анализируется критичный >>для вас лично код. Не говоря что в опенсорсе никто вам >>ничем не обязан. Вам дана возможность, ловите рыбу. А про низкую >>квалификацию это вы в бане не скажите, шайками забросают. >>На основании двух примеров вы делаете вывод насколько глобальный, настолько и некорректный. > >Давайте подумает логично, на примере того злополучного дебиановского патча. OpenSSL - это Попробуйте. >одна из основных подсистем отвечаютщих за безопасность, это очень важная подсистема >и нужно чтобы в ней было как можно меньше изьянов. Это Важная, но не везде и не для всех. >значит что любой патч должен проходить строгий аудит, тестирование на регрессии В общем да. Но проверка должна производиться не только при приеме патча мейнтейнером, но и при получении информации о наличии патча перед обновлением собственно админом компа. >и иметь обоснование необходимости применения. Практика показала что этот механизм не >сработал должным образом. Причины я вижу три: >1. Полное отсутствие аудита как такового >2. Халатность проверяющего (что выглядит странно, ибо их должно быть несколько, особенно >для такого важного компонента) Первый пункт отметаем. Второй маловероятен. >3. Недостаточная квалификация проверяющего, который банально не понял что там сделали. Согласен. Перед обновлением смотри что цепляет патч, если это для тебя критично - проверь самостоятельно, не полагаясь только на мейнтейнера. Не смог проверить, твоя квалификация недостаточна. >Выберите что вам по душе. Вам видимо не понять разницу между иметь возможность и не иметь.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>Вы таки телепат? Кроме просмотра кода вы других методов анализа не знаете?
>> 
>>Ну расскажите нам, вместе посмеёмся.

> Ага, смейся паяц и тд по тексту.

>>Помнится дебиановцы OpenSSL через Coverity прогнали, поправили 
>>то что он нашёл, в итоге получили предсказуемый ГПСЧ, если мне 
>>склероз не изменяет и предсказуемый генератор ключей. Через 9 месяцев вернули 
>>всё назад конечно, но осадок остался ;)

> И что? Это доказывает, что больше методов нет? Или кроме случая с 
> ОпенССЛ вспомнить нечего?

>>>Не учитываете что анализ кода делается не от адама, что анализируется критичный 
>>>для вас лично код. Не говоря что в опенсорсе никто вам 
>>>ничем не обязан. Вам дана возможность, ловите рыбу. А про низкую 
>>>квалификацию это вы в бане не скажите, шайками забросают.
>>>На основании двух примеров вы делаете вывод насколько глобальный, настолько и некорректный.
>> 
>>Давайте подумает логично, на примере того злополучного дебиановского патча. OpenSSL - это

> Попробуйте.

>>одна из основных подсистем отвечаютщих за безопасность, это очень важная подсистема 
>>и нужно чтобы в ней было как можно меньше изьянов. Это

> Важная, но не везде и не для всех.

>>значит что любой патч должен проходить строгий аудит, тестирование на регрессии

> В общем да. Но проверка должна производиться не только при приеме патча 
> мейнтейнером, но и при получении информации о наличии патча перед обновлением 
> собственно админом компа.

>>и иметь обоснование необходимости применения. Практика показала что этот механизм не 
>>сработал должным образом. Причины я вижу три: 
>>1. Полное отсутствие аудита как такового 
>>2. Халатность проверяющего (что выглядит странно, ибо их должно быть несколько, особенно 
>>для такого важного компонента)

> Первый пункт отметаем. Второй маловероятен.

>>3. Недостаточная квалификация проверяющего, который банально не понял что там сделали.

> Согласен. Перед обновлением смотри что цепляет патч, если это для тебя критично 
> - проверь самостоятельно, не полагаясь только на мейнтейнера. Не смог проверить, 
> твоя квалификация недостаточна.

>>Выберите что вам по душе.

> Вам видимо не понять разницу между иметь возможность и не иметь.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру