Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
Debian (Pontos:3, Informativo) |
| | O mesmo comunicado, com mais alguns comentários pode ser visto aqui. Remember to be the Killer, not the Victim! (Nuklear Girl) |
| |
| | Esses estudos são estudos que tornam-se totalmente não credíveis, por não considerarem alguns dos pontos mais importantes em benificio de um dos elementos em estudo(neste caso, a Microsoft). E é essa a base da resposta conjunta. Na realidade estes estudos só têm o propósito publicitário, nada mais, mas é importante haver este tipo de respostas, que são perfeitamente lógicas, principalmente vindo de uma comunidade criada por pessoas que pertencem a esta não tanto por motivos económicos, mas sim por gosto. ----- Só há 10 tipos de pessoas no mundo: os que sabem binário e os que não sabem. |
| |
|
| | Correcto. O Carl Sagan descrevia isto (mas noutro contexto, cientificamente) como "counting the hits and ignoring the misses". Coisas em que o Windows ganha ou está igual são contadas, coisas em que o Windows perde são cuidadosamente ignoradas. The usual. Afinal, quem pagou o estudo tem direito ao resultado que encomendou, right? "It is every citizen's final duty to go into the tanks and become one with all the people." - Chairman Sheng-ji Yang, "Ethics for Tomorrow" |
| |
| | Coisas em que o Windows ganha ou está igual são contadas, coisas em que o Windows perde são cuidadosamente ignoradas.
Eu diria que isto é hoje verdade nos dois campos... e então por aqui vê-se imenso ;o)
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Já agora explica lá quais são os pontos mais importantes ignorados e que beneficiam enormemente a MS. "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Não sabes inglês? Se souberes relê o artigo, se não, pede aos editores que façam a tradução, mas faz-nos a todos um favor, se não leste o artigo poupa-nos a comentários despropositados.
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Ele só percebe de breakfast, mortadela, pasteis de Belém, couscous e beringelas...Ah, e gosta de dizer que aqui desconversa-se.
"No comments" |
| |
| | Ainda bem que percebes a ironia do "desconversa-se".
"No comments" |
| |
| | O artigo não diz porra nenhuma de jeito, e por isso é que gostava que me esclarecesses dos aspectos que foram propositadamente ignorados e que se incluidos não beneficiem todos... contrariamente ao que queres fazer passar. A única diferença é que a amostragem é total em vez de se concentrar apenas nos criticos. Mas se isto não é verdade explica por favor, que foi isso que eu pedi.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | A única diferença é que a amostragem é total em vez de se concentrar apenas nos criticos. Hummm.... Não!!! O que eles dizem é que não houve uma classificação da prioridade dos BUGS que foram resolvidos o que quer dizer que um BUG em que um caracter fica 1 pixel chegado para a direita, resolvido pela "empresa que comercializa software" tem o mesmo peso no estudo que um BUG que permita limpar-te o disco remotamente, resolvido por "eles".
Se não sabes eu explico-te, mas existem BUGS com prioridades diferentes e quanto mais prioritário um BUG for, mais importante é que ele seja resolvido rápidamente.
Como te disse, se não percebes Inglês, pede aos editor que publiquem o artigo em Português, já que estamos em Portugal (por outro lado, nesta área quem não percebe Inglês não vai longe).
O estudo ganha ainda mais credibilidade quando, numa parte que tu preferiste ignorar, dizem que a "empresa que comercializa software" resolveu 100% das falhas conhecidas durante esse perido de tempo, e todos nós sabemos (especialmente tu que afirmas ser o guru do sistema operativo dessa "empresa que comercializa software") como isso é verdadeiro.
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Tu és mesmo tótó, e eu devo estar a falar chinês... Quando eu disse criticos foi precisamente para estabelecer essa diferença, que era aquilo que os responsáveis pelas diferentes distribuições queriam aludir (no caso da MS nos security bulletins essa "prioridade" aparece como maximum severity level). Deves contudo separar prioridade de "gravidade" já que um é interno à organização que resolve, e que está relacionado com o processo de prioritização para resolução, e o outro é o aspecto externo, relacionado com a importância e exposição do cliente. Percebi perfeitamente o artigo, e sei como o processo funciona, aqui não me ensinas muito... Parece-me que tu é que tens problemas em perceber o Português, já que nem conseguiste interpretar o que eu disse. Este se bem percebi era um estudo sobre vulnerabilidades de segurança, e não de bugs generalistas, por isso mostra-me lá onde andam esses problemas por resolver, no período do estudo...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Tu és mesmo tótó, e eu devo estar a falar chinês... São as duas igualmente verdadeiras. Quando eu disse criticos foi precisamente para estabelecer essa diferença, que era aquilo que os responsáveis pelas diferentes distribuições queriam aludir (no caso da MS nos security bulletins essa "prioridade" aparece como maximum severity level). Não sei se é a pontuação, se são dificuldades de expressão, mas seja como for, não faço ideia do que queres dizer com isto. Deves contudo separar prioridade de "gravidade"(...) Humm... já leste o artigo!!! É exactamente de não existir classificação dos bug's que eles se queixam. Percebi perfeitamente o artigo, e sei como o processo funciona, aqui não me ensinas muito... Se já percebeste então porquê que escreves comentários que indicam o contrário? Parece-me que tu é que tens problemas em perceber o Português, já que nem conseguiste interpretar o que eu disse. Também és daqueles que quando vão em contramão na autoestrada acham que os outros são todos loucos porque vão em contramão? Este se bem percebi era um estudo sobre vulnerabilidades de segurança, e não de bugs generalistas, por isso mostra-me lá onde andam esses problemas por resolver, no período do estudo... Então agora vou-te ensinam mais uma coisinha.... os bug's que causam falhas de segurança, também são classificados com prioridades, e mesmo essa prioridade por vezes pode ficar abaixo de outros que não causam falhas de segurança.
Vá, aulinha amanhã à mesma hora e no mesmo local...
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Porra parece conversa de surdos, de facto tens algumas dificuldades em perceber, mas eu vou tentar explicar-me de uma forma ainda mais simples para perceberes. É exactamente de não existir classificação dos bug's que eles se queixam. E quem disse o contrário? Eu DISSE que isso era verdade, mas que provavelmente o estudo a conter esse nível de detalhe, não iria mostrar grandes diferenças, já que apenas mostraria que TODOS (incluindo MS) possuem melhores resultados , e que esses tempos estão directamente indexados à importância da vulnerabilidade em questão. Para perceberes, tu dizes que se os resultados fossem todos descascadinhos, seria diferente, eu digo-te que não, só isso... e que por muita vontade que tenhas em demonstrar uma eventual superioridade do modelo Open Source, isso não existe demonstrável em números... Então agora vou-te ensinam mais uma coisinha.... os bug's que causam falhas de segurança, também são classificados com prioridades, e mesmo essa prioridade por vezes pode ficar abaixo de outros que não causam falhas de segurança. Então volta lá a ler o que eu disse e diz-me lá se a tua resposta faz algum sentido...
Mas já agora, sempre te gostaria de dizer que aprendo imenso contigo, e que não sabia porque raio a MS ou a Oracle, ou outro qq fabricante, não resolvem todos os bugs que lhes submetes quando tu queres... deves julgar que somos todos iniciados como tu!!!
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Bem, com não sabes ser coerente contigo mesmo e não demonstras sequer conhecimento ou poder argumentativo para continuar com esta discussão, vou acabar por aqui porque daqui não se tira mesmo nada.
deves julgar que somos todos iniciados como tu Jovem, não me julgues pelas tuas medidas que eu já ultrapassei essa tua fase há muito.
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Realmente concordo contigo, desta discussão não saiu mesmo nada, porque ou de forma "habilidosa" ou incapacidade de compreensão foste contornando a minha questão inicial... Mas talvez tenha sido a segunda, e nesse caso não faz mal.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | signed, Noah Meyerhans, Debian Vincent Danen, Mandrakesoft Mark J Cox, Red Hat Roman Drahtmueller, SUSE
make world && !war; |
| |
|
|
| | Linux Unido! Jamais Será Vencido!
_______________ "When the only tool you have is a hammer, every problem starts to look like a nail." |
| |
| | Hmmm... já cheira a 25 de Abril!
Jazzy |
| |
| | Pinguins de todo o Mundo, uni-vos... Francisco Colaço |
| |
| | Fixe... mais um clube para o FCP atropelar... |
| |
| | Eu deixei de procurar estatísticas de segurança sobre windows quando saiu um paper em 2002 sobre um ataque a um problema de desenho do win32: Exploiting design flaws in the Win32 API for privilege escalation. Para quem tenha dúvidas depois de ler, recomendo o link "More Information" que tem mais informações, incluindo a(s) resposta(s) da Microsoft e o patch para remendar uma das formas de atacar o bug (mas não o bug em si). Inclui também um FAQ com respostas às questões mais habituais. Corrigir o bug implica mudar o sistema de mensagens do WIN32, ou seja, mandar para o lixo TODAS as aplicações WIN32. O que eu acho estranho é não ter aparecido sequer um plano de migração, uma vez que a MS afirma que estão conscientes deste problema desde 1994. Acho que 10 anos seriam suficientes para definir e executar um plano de migração? |
| |
|
| | Finally, the claim that one software vendor had fixed 100% of their flaws during the period of the report should be incentive for a closer investigation of the conclusions the report presents Penso que com os links que tu dás e com esta frase, fica provada qual a credibilidade deste estudo.
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Bom, isto nao e' muito diferente dos problemas no UNIX de executaveis com 'setuid' -- qualquer executavel 'setuid' e' inerentemente um risco, exige que qualquer binario que o use nao tenha falhas obvias de seguranca que possam causar um stack overflow e causar um 'root exploit'. Este problema no UNIX (e o Linux e' um UNIX) existe ha' 15 anos e nao me parece que alguma vez tenha sido corrigido. O problema descrito acima com o sistema de mensagens do Win32 cai na mesma categoria parece-me... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Esqueci-me de mencionar -- root exploits historicos e correntes no linux contam-se nas centen as... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Sem dúvida. Se contares com todos os históricos, provavelmente contas milhares. São é poucos (se é que há algum) que se aplicam à dois anos a um sistema com os patches todos actualizados. |
| |
| | É possível ter código setuid não "exploitable". Não é o caso aqui, onde tens "janelas" como o DDE (apesar de não visível) a correr. A não ser que proponhas que o DDE seja desligado em Windows... |
| |
| | É possível ter código setuid não "exploitable". Pois e', ate' te dou um exemplo: int main() { exit(1); } Mas se quiseres dar outros exemplos... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Esse exemplo pode falhar. Basta pensares nas bibliotecas a que linkas... |
| |
| | Estas a fugir um bocado 'a questao... ou e' impressao minha ? "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | ... nem no estudo nem na resposta, é dito que do "lado" Open Source todas as falhas foram corrigidas ;)
Apesar de teres razão no que dizes, neste contexto isso não traz nada de novo, já que é do lado do Windows que é suposto terem sido corrigidas todas as falhas.
"Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams |
| |
| | Primeiro não é um bug, mas sim decisão de desenho, e é possível circunscrevê-la com boas prática de desenvolvimento.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Decisões de desenho também podem ser bugs. Aliás, são dos mais caros de corrigir. Como é que a circunscreves com boas práticas de desenvolvimento? Não percebo como pode ser feito para o caso de anti-virus (que utilizam janelas para avisar o estado de updates ao utilizadores) ou mesmo no caso de componentes específicos como o DDE. |
| |
| | "Decisões de desenho também podem ser bugs." Poderiam mas neste caso parece-me questão de arquitectura (sou eu a especular :o) ), por isso alguém sabia e decidiu assim. Aqui tens forma de o fazer. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure0819200 2.asp
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Não percebo como pode ser feito para o caso de anti-virus (que utilizam janelas para avisar o estado de updates ao utilizadores)
Você está lendo o artigo e publicando aqui idéias dele, sem pensar. Utilizo um antivírus da CA, o Etrust, onde aquele ícone na área de notificação (ali do lado do relógio) roda no contexto do usuário que estiver logado. E sim, ele é a interface com o usuário.
Resumindo, não pode ser explorado, pois o usuário e o programa estão no mesmo contexto de segurança. Percebes agora "boas práticas de desenvolvimento"? |
| |
| | Bom, ouço essa história faz tempo. Desde que a Microsoft corrigiu o problema com a mensagem WM_TIMER, esse cara diz que pode se aproveitar de outras mensagens para escalar privilégios do mesmo modo.
A Microsoft diz que não (no boletim MS02-071) e ele diz que sim. Acontece que ele prometeu uma ferramenta chamada smashing, que até hoje ninguém viu, e faz mais de ano isso.
Uma coisa me vem à cabeça: Se esse cara está certo e sim, pode-se explorar o windows usando outros tipos de mensagens, onde estão os exploits? Já que supostamente é uma falha gravíssima e altamente explorável, não deveriam aparecer exploits de todos os lados? Para mim não passa de FUD! |
| |
| | Não é um bug. É uma insuficiência da arquitectura: não fornece o isolamento necessário para correres aplicações com diferentes niveis de privilégios no mesmo display em segurança. E o X Window System também não, como podem ver aqui. Remember to be the Killer, not the Victim! (Nuklear Girl) |
| |