Здравствуйте, Vain, Вы писали:
V>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет.
Кстати, у разработчиков действительно есть такое мнение, сложившееся в результате того, что большую часть своего времени они работают с исходным кодом. Анализ бинарников сложнее, но в общем случае, это лишь несколько увеличивает время анализа, но не делает его невозможным или неосуществимым за разумное время.
Здравствуйте, Vain, Вы писали:
V>А это имеет значение? Тут важна сама возможность это сделать.
Наличие одной только возможности это сделать — ничего не значит без наличия желания и умения это делать
V>Тот кто пользует код из опенсорса тот и отсылает патчи/фиксы.
Во-первых, заметь это уже не "все", а только те, кто используют Во-вторых, почему при таком количестве использующих код X11, одномоментно в нем обнаружилось свыше 120 багов, самому старшему из которых было около 23 лет. Только, пожалуйста, не надо "но ведь обнаружилось же". При 0-day возрастом 23 года говорить о "преимуществах" защищенности опернсорса уже просто смешно Почему heartbleed просуществовал в openssl около 2 лет, если его код использовался в подавляющем большинстве аппаратных файрволов и роутеров?
V>Но если брать конкретно меня, то как минимум расширял boost.preprocessor. Пойдёт?
Нет (хотя, сам факт посильного участия в открытых проектах — всегда заслуживает уважения ), я имею ввиду именно участие по поиску и устранению уязвимостей.
KV>>Вопрос риторический, конечно же. V>Это вопрос вообще мимо кассы. Каждый сам волен решать. А вот когда возможности нет, то и если захочешь — не пофиксишь. Потому-что это будет зависить от левой ноги правообладателя приватными софтом.
А я и не утверждаю, что проприетарная модель разработки имеет преимущества перед открытой. Я утверждаю, что те преимущества, которые дает открытая модель, по факту не могут влиять положительным образом на защищенность разрабатываемого продукта.
KV>>Забавно тут то, что у 99.9% стороннников опенсорса порядок этого числа точно такой же. Но при этом каждый считает, что конечно не он, но уж точно кто-нибудь другой — обязательно воспользуется этой возможностью. V>Это неверное толкование опен сорса. Верное — сама доступность исходников и возможность исправить там что-то делает опен сорс опен сорсом. Это его определение. Ты щас взялся его каверкать на свой лад.
Так это не мое толкование, а тех, чью точку зрения я здесь и оспариваю
KV>>Да вот только, с чего бы? Анализ защищенности того же truecrypt'а — задача: а) не для разработчика (немного не та предметная область), V>А ты не думал что те кто его используют могут разбираться в деталях шифрования?
Почему только шифрования? Анализ защищенности кода не сводится к криптоанализу используемых в нем алгоритмов и доказательства корректности их реализации. Это совсем малая часть от всего множества задач анализа. Тем не менее, отвечая на твой вопрос: да, разумеется могут, но их количество исчезающе мало((. А в том, что касается разработчиков, конкретно я — каждый день об этом думаю Видишь ли, я и мои коллеги сейчас ищем разработчика ко мне в группу для работы на ядром анализа C#-кода в этом
продукте. Вакансия есть в "предложениях от работодателей" здесь, на RSDN. От разработчика требуется ровно две вещи: хорошо владеть C# (никакх WPF, WCF, MVC и т.п. — чистый CUI) и иметь представление об уязвимостях в веб-приложениях, какие недостатки их обуславливают и какие атаки возможны на эти уязвимости. Всему остальному — научим. Да и второму пункту тоже готовы обучить (в разумных пределах, разумеется). Вакансия в Питере, з/п — от 80 т.р. (днище для студентов без опыта) и выше, причем в действительно широких пределах (хоть в два раза, лишь бы человек был хороший, полезный проекту и которого не надо будет обучать матчасти). Насколько я знаю, для Питера это очень неплохое предложение для несеньерской позиции, разве нет? Так вот, при достаточном количестве претендентов, до собеседования за пару месяцев добрались единицы, а собеседование пока еще не прошел никто, причем именно из-за второго пункта требований и желания разобраться в этой предметной области =/ Думали, может такой народ есть, просто сильно держится за свои текущие места... так вроде нет, насколько удалось поузнавать
Поэтому, если у тебя есть разработчики, способные к поиску и устранению уязвимостей (или хотя бы желающие в этом разобраться) — просто направь их ко мне, плс. Но пока что, опыт последних двух месяцев говорит мне, что таких разработчиков не слишком много, мягко говоря. По крайней мере, в Питере))
KV>>б) на десятки человеко-часов _минимум_, чтобы от нее был хоть какой-то толк. Ну и какое количество глаз из всех этих миллионов пар, обладает достаточной квалификацией в нужной предметной области и готово положить десятки часов своего времени на то, чтобы бесплатно выполнить свою весьма высокооплачиваемую работу? V>Они могут выполнить эту работу для себя, получить прибыль, а потом открыть исходники. В чём проблема?
Под работой, я имел ввиду проведение анализа защищенности открытого кода. Какие исходники они должны открыть и какую прибыль в этом случае они получат?
V>То что кто-то не хочет делать что-то, из этого не следует что все остальные не будут.
Как и из того, что все могут делать что-то, еще не следует, что хоть кто-то будет
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет. KV>Кстати, у разработчиков действительно есть такое мнение, сложившееся в результате того, что большую часть своего времени они работают с исходным кодом. Анализ бинарников сложнее, но в общем случае, это лишь несколько увеличивает время анализа, но не делает его невозможным или неосуществимым за разумное время.
Ты смеёшься чтоли? Кто ж бинари будет анализировать? И потом, как ты выкатишь это? В исходники можно хотя бы носом ткнуть.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>А это имеет значение? Тут важна сама возможность это сделать. KV>Наличие одной только возможности это сделать — ничего не значит без наличия желания и умения это делать
А без её наличия желание и умение тебе уже не помогут.
V>>Тот кто пользует код из опенсорса тот и отсылает патчи/фиксы. KV>Во-первых, заметь это уже не "все", а только те, кто используют Во-вторых, почему при таком количестве использующих код X11, одномоментно в нем обнаружилось свыше 120 багов, самому старшему из которых было около 23 лет.
Видимо тесты решили написать?
KV>Только, пожалуйста, не надо "но ведь обнаружилось же". При 0-day возрастом 23 года говорить о "преимуществах" защищенности опернсорса уже просто смешно
А что, в приватном софте не бывает таких багов? И при чём здесь опен сорс?
V>>Но если брать конкретно меня, то как минимум расширял boost.preprocessor. Пойдёт? KV>Нет (хотя, сам факт посильного участия в открытых проектах — всегда заслуживает уважения ), я имею ввиду именно участие по поиску и устранению уязвимостей.
Поиск и устранение уязвимостей в существующем софте задача сложнее, чем написание этого самого софта. Так что не удивительно что есть баги которые никто пока не нашёл.
KV>А я и не утверждаю, что проприетарная модель разработки имеет преимущества перед открытой. Я утверждаю, что те преимущества, которые дает открытая модель, по факту не могут влиять положительным образом на защищенность разрабатываемого продукта.
Откуда ты знаешь что не могут? На основе чего вывод?
KV>>>Да вот только, с чего бы? Анализ защищенности того же truecrypt'а — задача: а) не для разработчика (немного не та предметная область), V>>А ты не думал что те кто его используют могут разбираться в деталях шифрования?
KV>Почему только шифрования? Анализ защищенности кода не сводится к криптоанализу используемых в нем алгоритмов и доказательства корректности их реализации. Это совсем малая часть от всего множества задач анализа. Тем не менее, отвечая на твой вопрос: да, разумеется могут, но их количество исчезающе мало((. А в том, что касается разработчиков, конкретно я — каждый день об этом думаю Видишь ли, я и мои коллеги сейчас ищем разработчика ко мне в группу для работы на ядром анализа C#-кода в этом
продукте. Вакансия есть в "предложениях от работодателей" здесь, на RSDN. От разработчика требуется ровно две вещи: хорошо владеть C# (никакх WPF, WCF, MVC и т.п. — чистый CUI) и иметь представление об уязвимостях в веб-приложениях, какие недостатки их обуславливают и какие атаки возможны на эти уязвимости. Всему остальному — научим. Да и второму пункту тоже готовы обучить (в разумных пределах, разумеется). Вакансия в Питере, з/п — от 80 т.р. (днище для студентов без опыта) и выше, причем в действительно широких пределах (хоть в два раза, лишь бы человек был хороший, полезный проекту и которого не надо будет обучать матчасти). Насколько я знаю, для Питера это очень неплохое предложение для несеньерской позиции, разве нет? Так вот, при достаточном количестве претендентов, до собеседования за пару месяцев добрались единицы, а собеседование пока еще не прошел никто, причем именно из-за второго пункта требований и желания разобраться в этой предметной области =/ Думали, может такой народ есть, просто сильно держится за свои текущие места... так вроде нет, насколько удалось поузнавать
Так ниша то оччень узкая. Ктож готов тратить своё время на изучение такого, что потом, после смены работы, оно вдруг не нужно окажется? Вы врятли такого найдёте. Обычно такие "выращиваются" за счёт фирмы.
KV>Поэтому, если у тебя есть разработчики, способные к поиску и устранению уязвимостей (или хотя бы желающие в этом разобраться) — просто направь их ко мне, плс. Но пока что, опыт последних двух месяцев говорит мне, что таких разработчиков не слишком много, мягко говоря. По крайней мере, в Питере))
Не, таких знакомых у меня наверно не найдётся.
KV>>>б) на десятки человеко-часов _минимум_, чтобы от нее был хоть какой-то толк. Ну и какое количество глаз из всех этих миллионов пар, обладает достаточной квалификацией в нужной предметной области и готово положить десятки часов своего времени на то, чтобы бесплатно выполнить свою весьма высокооплачиваемую работу? V>>Они могут выполнить эту работу для себя, получить прибыль, а потом открыть исходники. В чём проблема? KV>Под работой, я имел ввиду проведение анализа защищенности открытого кода. Какие исходники они должны открыть и какую прибыль в этом случае они получат?
Обычно дыры исправляют после того как кто-то их обнаружил и обнаружил, возможно, случайно. Специально их искать — задача по сложности сопоставимая с самим написанием софта, который тестируется, а чаще — ещё сложнее. Да и влияет ли присутствие ненайденных дыр на прибыль некой компании? Думаю что нет. Компании выгоднее продвигать продукт, а не искать дыры в безопасности. А дыры пусть ищут те, кто специально специализируются на этом.
V>>То что кто-то не хочет делать что-то, из этого не следует что все остальные не будут. KV>Как и из того, что все могут делать что-то, еще не следует, что хоть кто-то будет
Ты не знаешь этого. К тому же есть положительные примеры когда дыры в опенсорсе находили сторонние разработчики.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
V>>>Как это? Т.е. возможность найти или устранить уязвимость всем, это не аргумент уже? Y>>Это разве не работает в обе стороны: возможность найти и эксплуатировать уязвимость тоже легче в эти самые разы? V>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет.
По такой логике в закрытом софте об уязвимостях вообще никто узнает, самой возможности узнать и эксплуатировать не будет.
Здравствуйте, Yoriсk, Вы писали:
V>>>>Как это? Т.е. возможность найти или устранить уязвимость всем, это не аргумент уже? Y>>>Это разве не работает в обе стороны: возможность найти и эксплуатировать уязвимость тоже легче в эти самые разы? V>>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет. Y>По такой логике в закрытом софте об уязвимостях вообще никто узнает, самой возможности узнать и эксплуатировать не будет.
У АНБ то?
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
V>>>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет. Y>>По такой логике в закрытом софте об уязвимостях вообще никто узнает, самой возможности узнать и эксплуатировать не будет. V>У АНБ то?
Здравствуйте, Yoriсk, Вы писали:
V>>>>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет. Y>>>По такой логике в закрытом софте об уязвимостях вообще никто узнает, самой возможности узнать и эксплуатировать не будет. V>>У АНБ то? Y>У ZOG.
Ты зря дурака включил
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
V>Ты смеёшься чтоли? Кто ж бинари будет анализировать? И потом, как ты выкатишь это? В исходники можно хотя бы носом ткнуть.
Это что, стёб такой?
Откуда же его [независимый суд] взять, если в нем такие же как мы? (c) VladD2
Здравствуйте, ins-omnia, Вы писали:
V>>Ты смеёшься чтоли? Кто ж бинари будет анализировать? И потом, как ты выкатишь это? В исходники можно хотя бы носом ткнуть. IO>Это что, стёб такой?
Нет. Ты действительно считаешь что без исходников и дебаг инфы можно баг в исходниках найти?
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
V>>>Ты смеёшься чтоли? Кто ж бинари будет анализировать? И потом, как ты выкатишь это? В исходники можно хотя бы носом ткнуть. IO>>Это что, стёб такой? V>Нет. Ты действительно считаешь что без исходников и дебаг инфы можно баг в исходниках найти?
Не понял что значит "баг в исходниках". Баг конечно же в бинарниках. Найти такие баги безусловно можно.
Собственно баги в бинарном проприетарном софте находят постоянно. Это рутина вообще-то.
Откуда же его [независимый суд] взять, если в нем такие же как мы? (c) VladD2
Здравствуйте, ins-omnia, Вы писали:
V>>>>Ты смеёшься чтоли? Кто ж бинари будет анализировать? И потом, как ты выкатишь это? В исходники можно хотя бы носом ткнуть. IO>>>Это что, стёб такой? V>>Нет. Ты действительно считаешь что без исходников и дебаг инфы можно баг в исходниках найти? IO>Не понял что значит "баг в исходниках". Баг конечно же в бинарниках. Найти такие баги безусловно можно. IO>Собственно баги в бинарном проприетарном софте находят постоянно. Это рутина вообще-то.
А толку то от того что ты найдёшь? Как ты его пофиксишь то?
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
IO>>Собственно баги в бинарном проприетарном софте находят постоянно. Это рутина вообще-то. V>А толку то от того что ты найдёшь? Как ты его пофиксишь то?
Баги в чужом проприетарном софте ищут не для того чтобы их фиксить, а для того чтобы
— их эксплуатировать
— не эксплуатировать, но использовать эту находку для самопиара, поиска работы и т.п.
Откуда же его [независимый суд] взять, если в нем такие же как мы? (c) VladD2
Здравствуйте, ins-omnia, Вы писали:
IO>>>Собственно баги в бинарном проприетарном софте находят постоянно. Это рутина вообще-то. V>>А толку то от того что ты найдёшь? Как ты его пофиксишь то? IO>Баги в чужом проприетарном софте ищут не для того чтобы их фиксить, а для того чтобы IO>- их эксплуатировать IO>- не эксплуатировать, но использовать эту находку для самопиара, поиска работы и т.п.
Причём здесь опенсорс тогда?
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
IO>>Баги в чужом проприетарном софте ищут не для того чтобы их фиксить V>Причём здесь опенсорс тогда?
Контекст ветки: V>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет KV>Анализ бинарников сложнее, но в общем случае, это лишь несколько увеличивает время анализа, но не делает его невозможным или неосуществимым за разумное время.
(выделение моё)
Откуда же его [независимый суд] взять, если в нем такие же как мы? (c) VladD2
Здравствуйте, ins-omnia, Вы писали:
IO>>>Баги в чужом проприетарном софте ищут не для того чтобы их фиксить V>>Причём здесь опенсорс тогда? IO>Контекст ветки: V>>И? А закладки в приватном софте ещё более легче и вообще никто не узнает. Самой возможности узнать и проверить не будет KV>>Анализ бинарников сложнее, но в общем случае, это лишь несколько увеличивает время анализа, но не делает его невозможным или неосуществимым за разумное время. IO>(выделение моё) IO>
Обсуждение началось вот отсюда: http://rsdn.ru/forum/flame.comp/5559919.1
Тема ветки про опенсорс в сравнении с приватным. Так вот опенсорс правится легко, приватный — нет. Почему — я уже сказал. Причём здесь бинари и как их анализ поможет исправить баги — непонятно.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Здравствуйте, Vain, Вы писали:
IO>>Собственно баги в бинарном проприетарном софте находят постоянно. Это рутина вообще-то. V>А толку то от того что ты найдёшь? Как ты его пофиксишь то?
Пишешь вендору, он фиксит. Или не пишешь и тихоноко эксплуатируешь уязвимость.
Как в опенсорс примерно.
Во-вторых, почему при таком количестве использующих код X11, одномоментно в нем обнаружилось свыше 120 багов, самому старшему из которых было около 23 лет. Только, пожалуйста, не надо "но ведь обнаружилось же". При 0-day возрастом 23 года говорить о "преимуществах" защищенности опернсорса уже просто смешно 
Почему heartbleed просуществовал в openssl около 2 лет, если его код использовался в подавляющем большинстве аппаратных файрволов и роутеров? 
), я имею ввиду именно участие по поиску и устранению уязвимостей.
Видишь ли, я и мои коллеги сейчас ищем разработчика ко мне в группу для работы на ядром анализа C#-кода в этом
