gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
falhas em todos os browsers open-source!
Contribuído por scorpio em 19-10-04 22:48
do departamento oopsy-daisy
mozilla hybriz escreve "uma leitura interessante surge na mailing-list bugtraq, recorrendo a uma ferramenta básica desenvolvida pelo próprio para fazer stress-tests de html-parsing engines, Michal "lcamtuf" Zalewski deparou-se com várias falhas em todos os browsers open-source.
É de estranhar que o único browser que nem pestanejou foi o Internet Explorer. Levanta-se novamente a questão da segurança dos browsers, será que importa mesmo que hajam X falhas ou que hajam politicas que não dependam de falhas conhecidas para funcionar?

...e viva a separação de privilegios e o ASLR.
"

Como traduzir o idioma de num software | FireFox pretende colocar um anúncio no NY Times  >

 

gildot Login
Login:

Password:

Referências
  • deparou-se com várias falhas em todos os browsers open-source
  • Mais acerca mozilla
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    A mim não crashou! (Pontos:2)
    por 4Gr em 19-10-04 23:02 GMT (#1)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Firefox 1.0PR não crashou (em 30 refresh's) em Windows e Linux.

    O Konqueror crashou ao fim de alguns refreshes.

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:A mim não crashou! (Pontos:1)
    por Get_It em 19-10-04 23:39 GMT (#4)
    (Utilizador Info)
    A mim também não crashou após uns 32 refresh's... Firefox versão 0.9.3 em windows.
    Re:A mim não crashou! (Pontos:1)
    por hybriz em 20-10-04 0:02 GMT (#6)
    (Utilizador Info)
    o firefox 1.0.1PR (win32) crashou no mozilla1 no site :)


    Re:A mim não crashou! (Pontos:1)
    por jcma em 20-10-04 7:06 GMT (#12)
    (Utilizador Info)
    A mim também não crashou.

    Firefox - 0.9.3
    Linux
    Re:A mim não crashou! (Pontos:2)
    por MacLeod em 20-10-04 11:43 GMT (#27)
    (Utilizador Info)
    Como alguém disse por aí que só ao fim de alguns reloads o browser crashou, já fiz uns quantos (até ficar sem paciência, bastante mais que 30). Conclusão: o Mozilla (1.7.3) resistiu a tudo.
    Re:A mim não crashou! (Pontos:1)
    por Nocturno em 21-10-04 9:23 GMT (#53)
    (Utilizador Info) http://nocturno.nsk.no-ip.org
    Konqueror 3.2 e 3.3 não crashou passado MUITOS refresh's :)
    Biased (Pontos:3, Informativo)
    por CrLf em 19-10-04 23:22 GMT (#2)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Realmente é bastante mau que o Firefox/Mozilla crashem. Era suposto darem um erro qualquer e recusarem-se a mostrar a página. Mas isto não quer dizer que sejam potenciais falhas de segurança.

    Por outro lado, basta ver os comentários ao artigo do slashdot para encontrar links para HTML válido que crasham o IE.

    -- Carlos Rodrigues
    Re:Biased (Pontos:2)
    por scorpio em 19-10-04 23:30 GMT (#3)
    (Utilizador Info) http://eurotux.com/
    " Por outro lado, basta ver os comentários ao artigo do slashdot para encontrar links para HTML válido que crasham o IE. "

    E isto não é biased?

    Re:Biased (Pontos:3, Informativo)
    por CrLf em 20-10-04 0:01 GMT (#5)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    A questão é que o artigo na bugtraq é perfeitamente válido até ao ponto em que o autor se pôe a tirar ilações sobre a qualidade do código quando:
    1. Há por aí muito código válido que crasha o IE;
    2. os testes ignoram aquela que é a área mais problemática do browser da Microsoft, o CSS.
    Portanto, estes testes não mostram a totalidade do cenário. Apenas vemos uma pequena parte da história, que por acaso beneficia o IE.

    -- Carlos Rodrigues
    Re:Biased (Pontos:1)
    por hybriz em 20-10-04 1:06 GMT (#7)
    (Utilizador Info)
    nao é biased, a ideia é, se lêr bem, é fazer testes ao core html engine de vários browsers, o mais basico possivel. o IE nisso tem um core mais maduro, apesar de que podemos verificar, se ler-mos a source, que apesar de não ter falhas basicas de abuso de html básico tem problemas bem maiores... int overflows nesse mesmo engine chovem, metade são pseudo-conhecidos, metade da metade dessa metade são conhecidos publicamente e pouco está patchado (nos dias de hoje se calhar todos, não sei, a microsoft patch umas coisas no XP SP2 e nas outras versões não).

    bottom line, não creio que o lcamtuf tenha tido o intuito de entrar na onda das browser wars mas sim demonstrar mais uma vez quão inseguros os browsers são, sejam eles quais forem.


    Re:Biased (Pontos:1)
    por jamaica em 20-10-04 1:39 GMT (#8)
    (Utilizador Info) http://forum.bandalarga.org/
    quão inseguros os browsers são

    segurança != estabilidade
    ---------------------
    O Cherne fugiu, mas o Imperador nomeou o Carapau de Corrida, que vai trazer as Chaputas todas

    Re:Biased (Pontos:1)
    por hybriz em 20-10-04 3:14 GMT (#11)
    (Utilizador Info)
    estabilidade? mas achas que a auditoria tem alguma coisa a ver com estabilidade? a ideia era fazer como se faz aqueles bruteforces para achar bof's, tipo testar random common crap em pseudo-user inputs.
    tipo como fazia aquele script em Windows a correr todos os binarios com argumentos especiais para testar format strings e bof's...

    bom ainda por cima o lcamtuf, que está interessadissimo em estabilidade de browsers, alias, as referencias que ele faz à exploitabilidade destas vulns devem ser apenas meras curiosidades :b although se compreenda bem o ponto de vista dele, pegar na source do mozilla para auditar umas vulns ranhosas é insano.


    Re:Biased (Pontos:2)
    por Kmos em 20-10-04 11:28 GMT (#26)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Ou como o sistema automático que faz os testes ao kernel do linux =) isso sim.. mas como se sabe, nada é perfeito, mas alguns exageram hehe =)

    I'm a Lost Soul in this Lost World...
    Re:Biased (Pontos:1)
    por hybriz em 20-10-04 22:35 GMT (#45)
    (Utilizador Info)
    bom, esse comentário é completamente fundamentado e demonstra questões perfeitamente exequiveis, para não falar do teu conhecimento profundo do linux.
    faz lembrar aqueles bitates dos goto's que mandas-te na projecto-oasis.

    não estou a lançar chamas, apenas a constactar factos.


    Re:Biased (Pontos:1)
    por thx1011 em 20-10-04 9:09 GMT (#16)
    (Utilizador Info)
    Como é que o IE tem um core mais maduro? Há 4 anos que não sofre evoluções de qualquer tipo! Nem os últimos standards suporta decentemente. Os browsers OSS, como estão sempre no fio da navalha no suporte aos últimos standards tem de certeza problemas, mas sempre os vão resolvendo em tempo útil.
    --------------------- Thx1011 99% dos ratos de laboratório morrem de causas não naturais.
    Re:Biased (Pontos:1)
    por hybriz em 20-10-04 22:34 GMT (#44)
    (Utilizador Info)
    > Há 4 anos que não sofre evoluções de qualquer tipo!

    bom, quando só mantens codigo e não introduzes features durante um periodo longo de tempo, chamas-lhe maturação. não que seja o caso, porque por menos que sejam o IE tem sofrido algumas alterações apesar do html engine ser práticamente o mesmo faz anos.

    Re:Biased (Pontos:1)
    por mrmv em 20-10-04 9:13 GMT (#17)
    (Utilizador Info)
    até ao ponto em que o autor se põe a tirar ilações sobre a qualidade do código quando

    Porquê? Não é observável? Nem precisa de mostrar a totalidade do cenário, porque o que vamos ver concerteza é o mesmo tipo de padrão, código ms a ser varrido por ferramentas que mitigam grande parte dos problemas básicos e a utilização de ferramentas automatizadas de teste nos cenários de QA, não conhecendo os detalhes parece-me claramente uma das vantagens nesta fase da ms, grande investimento em processos e ferramentas, essenciais à manutenção de bases de código brutais, quando a capacidade de ter recursos ilimitados é uma coisa que não existe...

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Biased (Pontos:2)
    por Gimp em 20-10-04 12:33 GMT (#30)
    (Utilizador Info)
    "não conhecendo os detalhes parece-me claramente uma das vantagens nesta fase da ms, grande investimento em processos e ferramentas, essenciais à manutenção de bases de código brutais, quando a capacidade de ter recursos ilimitados é uma coisa que não existe..."

    Parafraseando-te: não conhecendo os detalhes, o maior investimento da Microsoft nos próximos tempos vai ser em lobby, fud, get the facts e marketing. Isso sim, é que são ferramentas para manter código brutal! :-)


    "No comments"

    Re:Biased (Pontos:2)
    por CrLf em 20-10-04 13:34 GMT (#34)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    o que vamos ver concerteza é o mesmo tipo de padrão

    É aqui que tu estás enganado. Nunca podes extrapolar conclusões a partir de testes que englobam apenas uma pequena parte do cenário, pequena parte que nem sequer é representativa.

    -- Carlos Rodrigues
    Re:Biased (Pontos:1)
    por mrmv em 21-10-04 7:57 GMT (#49)
    (Utilizador Info)
    Sempre que discutimos algo que não é positivo para sustentar a tua/vossa opinião, nunca é representativo de nada... e isto sim é um padrão.

    Tu achas mesmo que estes tipos têm um processo, hoje em dia, repito, hoje em dia, ad-hoc de densenvolvimento? e que não investem em QA? já apareceu código bem antigo, e quantos problemas foram encontrados, o que disseram as pessoas que o viram? acredita este tipo de erros comuns e básicos no código deles deve ser nesta fase muito pouco previsivel encontrar, por isso até podias escolher qualquer produto ou tecnologia que o que ias ver era precisamente isso...

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Biased (Pontos:2)
    por Gimp em 21-10-04 9:33 GMT (#55)
    (Utilizador Info)
    Este mundo cruel...

    1) Word From Secunia:

    Microsoft's latest patch release may leave the impression that the new Service Pack 2 (SP2) for Windows XP is a uniform patch that removes many security issues that affect previous versions of Windows.

    While security has improved in many ways with SP2, there is no reason to believe that most of the future vulnerabilities discovered in other versions of Windows won't affect Windows XP SP2 as well.

    According to eEye and others, Microsoft has known about the vulnerabilities fixed by the latest patches since Q1 and Q2 2004. Some, if not all, of the patches were already included in Service Pack 2 when it was released in August.

    In other words, all of the issues weren't "eliminated" by SP2 through change of security models and general review of code, but through traditional patching bundled in a Service Pack.


    "No comments"

    Re:Biased (Pontos:1)
    por mrmv em 21-10-04 10:21 GMT (#57)
    (Utilizador Info)
    While security has improved in many ways with SP2, there is no reason to believe that most of the future vulnerabilities discovered in other versions of Windows won't affect Windows XP SP2 as well.

    Meu amigo tu podes ler as coisas que os outros escrevem mas aconselho-te a pensares um bocadinho por ti agora, ao leres um parágrafo destes o que percebes? Eu vou-te dar a minha opinião (bem sei que vale pelo que vale, mas em mim confio ;o) ), o que eles dizem é que foi dada grande atenção a resolver as questões mais prementes, introduzir componentes a redesenhar outros ou ainda a tentar "blindar" outros, introduzir configurações por omissão mais restrictivas, etc. para minimizar as superficie de ataque do Windows XP.

    No entanto não deitaram fora a base desse código, como parece evidente e lógico, ora uma vulnerabilidade existente e "herdada" de código antigo, existirá no Windows XP, isso é para ti alguma novidade? Agora que muitas das vulnerabilidades serão muitos mais dificeis de explorar isso parece também evidente.

    Em relação aos novos modelos de segurança, novos processos, etc. os resultados aparecerão maioritáriamente em novo código e com o tempo...

    Portanto o comentário em si não é nada de especial, mais uma vez, basta perceber um bocadito de como estas coisas funcionam... e ter algum bom senso ;o)

    Para a próxima tenta ler e perceber, já que como vês isto não é uma grande descoberta, são afirmações banais de algo que parece natural, afinal eles não disseram que redesenharam o produto...

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Biased (Pontos:2)
    por Gimp em 21-10-04 10:46 GMT (#59)
    (Utilizador Info)
    "Meu amigo tu podes ler as coisas que os outros escrevem mas aconselho-te a pensares um bocadinho por ti agora, ao leres um parágrafo destes o que percebes?

    Antes de mandar alguém fazer seja o que fôr, aconselho a não mandar ninguém ler blogs de terceiros, CERTO? E não é nesse blogzito que a fonte usada é a Secunia? É boa para umas coisas e banal para outras?

    E respondendo ao resto do comentário, afinal em que é que ficámos, há novos processos ou ficámos nos patchs como sempre? É que esta afirmção "Em relação aos novos modelos de segurança, novos processos, etc. os resultados aparecerão maioritáriamente em novo código e com o tempo..." choca com esta "o que eles dizem é que foi dada grande atenção a resolver as questões mais prementes, introduzir componentes a redesenhar outros ou ainda a tentar "blindar" outros, introduzir configurações por omissão mais restrictivas, etc. para minimizar as superficie de ataque do Windows XP"

    "Portanto o comentário em si não é nada de especial, mais uma vez, basta perceber um bocadito de como estas coisas funcionam... e ter algum bom senso ;o)"

    Quem tem que ter bom-senso não sou eu, e o que eu sei é que volta e meia o caro mrmv vem com a posta "basta perceber um bocadito de como estas coisas funcionam". Isso é o quê, falta de argumentos? Conhece-me para saber o que sei e o que não sei?

    "Para a próxima tenta ler e perceber, já que como vês isto não é uma grande descoberta, são afirmações banais de algo que parece natural, afinal eles não disseram que redesenharam o produto...

    Então não mande ninguém ler um blog de terceiros e que trabalha na Microsoft. É de uma banalidade confrangedora! Não é o caro mrmv que me vai dar lições.


    "No comments"

    Re:Biased (Pontos:1)
    por mrmv em 21-10-04 12:04 GMT (#64)
    (Utilizador Info)
    Antes de mandar alguém fazer seja o que fôr, aconselho a não mandar ninguém ler blogs de terceiros, CERTO? E não é nesse blogzito que a fonte usada é a Secunia? É boa para umas coisas e banal para outras?

    Mas tenho de te explicar tudo? A informação do site da Secunia tem o valor que tem, tal como o que eu digo, o que tu dizes, etc., o que era banal era aquele parágrafo, tens de começar a perceber o valor das coisas, é a diferença entre o essencial e o acessório, eu não te devia estar a dizer isto...

    E respondendo ao resto do comentário, afinal em que é que ficámos, há novos processos ou ficámos nos patchs como sempre?

    Olha respira fundo e lá lá o que escrevi, é que tu nem sequer percebes, tu achas que este tipo de resultados (o exemplo do iis6) acontece por acaso ou é sorte?

    Achas que choca, então não adiante discutir contigo, porque de facto não consegues atingir o que é dito e eu já não tenho pachorra para me repetir.

    Isso é o quê, falta de argumentos? Conhece-me para saber o que sei e o que não sei?

    O que conheço de ti, tem a ver com o que tu aqui dizes e defendes, e isso para mim chega-me para perceber que a tua posição está muito longe de ser ponderada em principios como o do bom senso.

    Então não mande ninguém ler um blog de terceiros e que trabalha na Microsoft. É de uma banalidade confrangedora! Não é o caro mrmv que me vai dar lições

    Mais uma vez demonstras a tua falta de humildade e facciosismo, eu não te quero dar lições, e até gosto de as ter e acredita que aprendo com muita gente, e falavas tu de bom senso, acabas de demonstrar a tua coerência... ;o) penso que ajuda a credibilizar a tua posição, sem dúvida...

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Biased (Pontos:2)
    por CrLf em 21-10-04 12:37 GMT (#66)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Padrão são os teus posts, 99.9% deles a defender a Microsoft (e por favor, não venhas com a conversa de que estás a tentar por equilibrio nas discussões, pareces o tonidosimpostos). Tendencioso como és, é uma tarefa quase impossível explicar-te porque é que estes testes não dizem nada sobre o resto do código (até porque já o disse), portanto nem sequer vou tentar.

    -- Carlos Rodrigues
    Re:Biased (Pontos:1)
    por being em 20-10-04 10:30 GMT (#25)
    (Utilizador Info)
    Mas porque é que tens de falar do IE ? É isso que nao percebo. Sempre a chamar a microsoft ao barulho ... se falasses das falhas encontradas tudo bem, é sobre isso o artigo e nao sobre " O ie é pior que o mozilla\firefox".

    Comecei uma dieta, cortei a bebida e comidas pesadas e, em catorze dias, perdi duas semanas. - Joe E. Lewis

    Re:Biased (Pontos:1, Lança-chamas)
    por 4Gr em 20-10-04 12:56 GMT (#31)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    O artigo tem claramente dois propósitos:

    - evidenciar as tais falhas;
    - dizer que o IE é que é porreiro pois não é vulnerável a isto;

    Como tal, é perfeitamente extrapolável o IE da discussão, visto que em situações normais (quando o código HTML é válido) ele crasha, comportamentos idênticos em situações diferentes.

    Esta minha extrapolação contradiz a ideia de que "eii, o IE não crashou, o IE é que é bom, usem IE".

    Quem usa IE no seu perfeito juízo?

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:Biased (Pontos:1)
    por hybriz em 20-10-04 15:01 GMT (#36)
    (Utilizador Info)
    tu és parvo? isso não tem nada a ver com os objectivos do artigo, lêste-o bem? não parece.
    se há coisa que o lcamtuf não é, é pro-microsoft... nota-se que desconheces o trabalho dele.


    Re:Biased (Pontos:2)
    por CrLf em 20-10-04 17:32 GMT (#39)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Leste o artigo na bugtraq por acaso? Vai lá ler.

    -- Carlos Rodrigues
    Re:Biased (Pontos:2)
    por blacksheep em 20-10-04 19:17 GMT (#41)
    (Utilizador Info) http://rpmcruz.planetaclix.pt/
    Mas porque é que tens de falar do IE ?

    Parece-me a mim que ele estava a comentar isto:
    It appears that the overall quality of code, and more importantly, the amount of QA, on various browsers touted as "secure", is not up to par with MSIE

    Re:Biased (Pontos:2)
    por Ancestor em 20-10-04 13:01 GMT (#32)
    (Utilizador Info) http://www.norteglobal.com

    Mas isto não quer dizer que sejam potenciais falhas de segurança.

    Do Artigo:

    All browsers but Microsoft Internet Explorer kept crashing on a regular basis due to NULL pointer references, memory corruption, buffer overflows, sometimes memory exhaustion; taking several minutes on average to encounter a tag they couldn't parse.

    Pelo menos no caso dos buffer overflows a sua utilização para explorar falhas de segurança é muito comum. Algumas das outras falhas poderão também de facto constituir vulnerabilidades, ou não.
    Re:Biased (Pontos:0)
    por tonidosimpostos em 20-10-04 19:10 GMT (#40)
    (Utilizador Info)
    A minha assinatura responde à tua afirmação idiota. É outra afirmação idiota de outro idiota...

    [japc] arai, FDX, es muito LERDO, desde quando e' que um DoS e' um problema de seguranca ?!
    Devo estar a fazer alguma coisa mal... (Pontos:1)
    por bêbado em 20-10-04 2:39 GMT (#9)
    (Utilizador Info)
    Com Mozilla Firefox 0.10, 7 tabs e 50 reloads da página não aconteceu nada :-( além de mensagens engraçadas:

    Security Error: Content at http://lcamtuf.coredump.cx/mangleme/mangle2.cgi may not load or link to file:///.

    Como é que faço para crashar o firefox? Também quero ver! :-D

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Devo estar a fazer alguma coisa mal... (Pontos:1)
    por bêbado em 20-10-04 2:46 GMT (#10)
    (Utilizador Info)
    OOPPSSSS... falei cedo demais!! crashou sim senhor!!! eu estava na página errada!

    wooohoooo!! :-D


    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Devo estar a fazer alguma coisa mal... (Pontos:1)
    por rmachado em 20-10-04 10:22 GMT (#24)
    (Utilizador Info)
    Junta-lhe a jvm da sun.... e ele em situações estranhas desaparece.... (1.4.x)
    Re:Devo estar a fazer alguma coisa mal... (Pontos:1)
    por bêbado em 20-10-04 12:21 GMT (#28)
    (Utilizador Info)
    ah sim... com o jvm crasha ou pendura mais vezes do que o desejável. E então se tiver várias applets a correr em diferentes tabs... nem te digo! Mas quanto a isso já estou habituado. Para mim, isso já é um comportamento normal. Acho que é mais uma feature que um bug :-D

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Devo estar a fazer alguma coisa mal... (Pontos:1)
    por Dokic em 21-10-04 0:59 GMT (#47)
    (Utilizador Info)
    Tem piada, eu também devo estar a fazer algo errado ou então é o meu computador que tem super-poderes visto o mozilla firefox NUNCA me ter crashado contrariamente ao IE que não havia dia que o "menino de ouro" (*not*) dos web browsers não me crashasse! Realmente há coisas... TODOS os browsers têm bugs e podem eventualmente dar problemas, independentemente de ser ou não open-source! Vamos lá acordar visto o "Uncle Bill" não ser mais o herói da informática moderna!
    Auditoria, yes! (Pontos:2)
    por Cyclops em 20-10-04 8:09 GMT (#13)
    (Utilizador Info)
    Obrigado, agora a comunidade tem algum detalhe sobre onde estão os bugs para os corrigir, e a forma de os voltar a verificar.
    Re:Auditoria, yes! (Pontos:2)
    por The CodeMaker em 20-10-04 8:17 GMT (#14)
    (Utilizador Info)
    Exactamente. Já deve haver concerteza alguém a corrigir os bugs do mozilla. O IE tem os mesmo bugs há anos a processar código válido e ninguém os corrige ;)

    --
    CodeMaker
    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 20-10-04 9:00 GMT (#15)
    (Utilizador Info)
    Mas o interessante é o aspecto da qualidade do código e da pseudo teoria de que existem imensos programadores open-source que vão resolver tudo num instantinho... ;o)

    The biggest challenge for the open source community is that there are too few open source developers, according to Michael Tiemann, vice president of Open Source Affairs at Red Hat

    source: http://www.infoworld.com/article/04/10/18/HNredhatqanda_1.html

    Eles ainda não nascem das pedras... ;o)

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:2)
    por The CodeMaker em 20-10-04 9:43 GMT (#19)
    (Utilizador Info)
    Mas vão sendo os suficientes para haver várias releases por ano do mozilla, quase todas com features novas e todas com correcções de bugs. Do IE nem ve-las...

    --
    CodeMaker
    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 20-10-04 10:05 GMT (#20)
    (Utilizador Info)
    Tens razão quando dizes que em relação ao IE existe pouca ou nenhuma actividade, mas pelos vistos a equipa foi reorganizada e incorporada no grupo do windows e isso tem sempre algum impacto, o importante agora será saber qual a estratégia do lado da ms para o IE, e então sim é possível esperar outro tipo de resposta, mas o post anterior era mais genérico e não apenas sobre os browsers, pois considero também um mito a existência de um número infindável de programadores e as "garantias" de qualidade do processo, esse tipo de coisas só pode ser dito, por quem não faz a minima ideia de como as coisas funcionam... ;o)

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:2)
    por Gimp em 20-10-04 12:24 GMT (#29)
    (Utilizador Info)
    "pois considero também um mito a existência de um número infindável de programadores e as "garantias" de qualidade do processo,"

    Bem, a Microsoft, e, nunca é demais dizer, o que podemos chamar de resto do mundo comercial, não dispõe de um número gigantesco de programadores e insiste em dizer que o modelo de verificação/revisão/whatever de um producto comercial é superior ao do acesso ao código aberto, que dá mais garantias e blábláblá. O que se verifica afinal? O software proprietário tem mais qualidade no geral?

    "esse tipo de coisas só pode ser dito, por quem não faz a minima ideia de como as coisas funcionam... ;o)"

    A soberba é inimiga da perfeição. Isto de tirar conclusões por meia dúzia de palavras é meio caminho andado para se ser o próximo Zandinga.


    "No comments"

    Re:Auditoria, yes! (Pontos:2)
    por fhc em 20-10-04 13:12 GMT (#33)
    (Utilizador Info)

    Vejam a minha assinatura. Diz tudo.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:Auditoria, yes! (Pontos:1)
    por bêbado em 21-10-04 9:20 GMT (#52)
    (Utilizador Info)
    A tua assinatura faz-me lembrar um provérbio (com o qual não concordo): "quem sabe faz, quem não sabe ensina".

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Auditoria, yes! (Pontos:2)
    por fhc em 22-10-04 17:37 GMT (#67)
    (Utilizador Info)

    Só o estendi um pouco.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 8:20 GMT (#50)
    (Utilizador Info)
    O que se verifica afinal? O software proprietário tem mais qualidade no geral?

    O que está a acontecer com este fenómeno do aparecimento das soluções de código aberto, é de facto a um maior investimento das empresas de produtos de código fechado ;o) na qualidade do seu processo de desenvolvimento que naturalmente se traduzirá numa maior qualidade do mesmo, obviamente que este tipo de mudança só se vai observar com o tempo, e repara faz todo o sentido que assim seja.

    Neste caso em particular ficou claro que os erros comuns e básicos dos programadores no IE estão controlados, e que nas alternativas isso não acontece, e isto tu podes dizer o que quiseres mas é a verdade, até é observável e não é marketing da microsoft...

    Para teres uma noção do que te estou a dizer repara por exemplo no IIS6, que no dominio da segurança e da qualidade evoluiu bastante, e isto é mais um argumento observável, não é marketing... tens de começar a arranjar mais e melhores argumentos, dizer que é mau porque é ms já não chega ;o)

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 8:22 GMT (#51)
    (Utilizador Info)
    Ah desculpe pensei em enviar um link para umas boas discussões mas esqueci-me, aqui vai:

    http://blogs.msdn.com/michael_howard/archive/2004/10/15/242966.aspx

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:2)
    por Gimp em 21-10-04 10:01 GMT (#56)
    (Utilizador Info)
    Um blog de alguém da Microsoft?! Por favor...

    Parafraseando novamente e para responder aos 2 últimos comentários, vejo aqui um padrão: o de falar em alhos para responder a bugalhos. Tamos a falar em browsers ou servidores web? É que isto tem que ficar claro, ou ficámos no tópico ou desconversamos, certo?

    Uma coisa que eu detesto no software comercial é o lock-in e o forçar de standarts proprietários, ou no lugar destes, uma adulteração dos standarts abertos. Tanto no IE como no IIS temos de tudo com fartura (não preciso explicar em que sentido no IIS, ou é?). O Apache 2.x vai levar o seu tempo a amadurecer, e para aqueles que não querem andar no fio da navalha sempre há o 1.3.x . Mas já que o weblogzito mencionou o Secunia e muito convenientemente não indicou os advisories, assim como o caro mrmv também gosta de desviar a conversa e assobiar para o ar aqui vão dois links da Secunia para esclarecimento:

    http://secunia.com/product/1438/
    e
    http://secunia.com/product/73/

    E mais uma razão porque desconfio dos productos Microsoft e percebo o marketing deles.

    http://secunia.com/secunia_weekly_summary_-_issue:_2004-42/

    E para que não haja confusões, não gosto da Microsoft em particular por questões de ética e ordem técnica. Quem mente uma vez, mente sempre.


    "No comments"

    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 10:42 GMT (#58)
    (Utilizador Info)
    Parafraseando novamente e para responder aos 2 últimos comentários, vejo aqui um padrão: o de falar em alhos para responder a bugalhos. Tamos a falar em browsers ou servidores web?

    Caso não te tenhas apercebido eu estava a falar de processos de desenvolvimento e qualidade de código e que não devem ser dependentes de produtos...

    Essa pelos menos para mim foi a parte mais interessante deste artigo e de que vale a pena falar.

    Um blog de alguém da Microsoft?! Por favor...

    O blog é, mas os resultados não... às vezes penso que devias ter uma mente um pouco mais aberta e ver o que se passa do outro lado, para perceber o que anda a acontecer e não cristalizares.

    Mas já que o weblogzito mencionou o Secunia e muito convenientemente não indicou os advisories

    http://secunia.com/product/1438/
    e
    http://secunia.com/product/73/


    Amigo o gráfico é dos advisories ;o) são 22 para o Apache e 3 para o IIS6 num ano parece-me bem ;o), isto é o que podes ler nos links que enviaste...

    Resumindo por Advisories:

    Apache 2.0
    7 Moderately Critical
    2 Highly critical

    IIS6
    2 Moderately Critical

    Estavas a querer provar alguma coisa?

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:2)
    por Gimp em 21-10-04 10:57 GMT (#61)
    (Utilizador Info)
    "Caso não te tenhas apercebido eu estava a falar de processos de desenvolvimento e qualidade de código e que não devem ser dependentes de produtos...

    E que reduziste a productos.

    "Estavas a querer provar alguma coisa?"

    Estou a querer provar tanto como o weblog e os teus comentários. Mas o que o teu comentário não fala é de um problema que vem de fins de 2003 sem estar corrigido no ISS e outro de inicio de 2004 no Apache também sem estar corrigido. É a única semelhança que têm, não estarem corrigidos. Quando se fala nos problemas convém falar em tudo e não parecer que se está a apresentar uma sessão da campanha "Get the facts"!


    "No comments"

    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 11:09 GMT (#62)
    (Utilizador Info)
    E que reduziste a produtos.

    Não reduzi nada dei como exemplo, afinal os produtos são o resultado final ou não?

    Mas o que o teu comentário não fala é de um problema que vem de fins de 2003 sem estar corrigido no ISS e outro de inicio de 2004 no Apache também sem estar corrigido. É a única semelhança que têm, não estarem corrigidos. Quando se fala nos problemas convém falar em tudo e não parecer que se está a apresentar uma sessão da campanha "Get the facts"!

    Eu não devia ter que te explicar, porque tu devias saber, mas todas as equipas têm prioridades para a resolução deste problemas e acredita que é nos problemas criticos ou naqueles onde não existe forma de contornar ou mitigar o problema onde se investe todo o esforço de resolução, e isso é igual em todo o lado, por isso é que estes ainda andam por aí... de um lado e de outro, mais uma vez não provas nada, e nem sequer podes alegar marketing à volta disto...

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:1)
    por bêbado em 21-10-04 11:28 GMT (#63)
    (Utilizador Info)
    Definitivamente ando a ver mal e preciso de ajuda... mas as páginas que referiste dizem:

    Microsoft Internet Information Services (IIS) 6
    Product Affected By: 3 Secunia Advisories
    rated Moderately critical

    Apache 2.0.x
    Product Affected By: 22 Secunia Advisories
    rated Not critical

    Escapou-me alguma coisa?

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 12:20 GMT (#65)
    (Utilizador Info)
    Primeiro tens de ler o significado do rating, depois verificas que o rating em relação ao produto tem a ver com o nivel da vunerabilidade mais critica por resolver, MAS se leres convenientemente os relatórios verificas que as vulnerabilidades não são criticas e podem ser mitigadas, mas não deixes escapar o número de problemas detectados em ambos os produtos porque isso é importante... e como podes ver o iis6 nunca teve uma highly critical por exemplo, foi só mais uma coisita que te escapou ;o)

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:1)
    por bêbado em 21-10-04 9:26 GMT (#54)
    (Utilizador Info)
    "no IE estão controlados, e que nas alternativas isso não acontece"

    O IE, para mim, não é alternativa. Não funciona em Linux.

    ~~~ O vinho é qu'induca e o fado é qu'instrói! ~~~
    Re:Auditoria, yes! (Pontos:1)
    por mrmv em 21-10-04 10:52 GMT (#60)
    (Utilizador Info)
    ok esquece a palavra alternativa pensa em produto similar ;o)

    "There is no reason for any individual to have a computer in his home." - Kenneth H. Olson , President of DEC, Convention of the World Future Society, 1977
    Re:Auditoria, yes! (Pontos:2)
    por scorpio em 20-10-04 9:30 GMT (#18)
    (Utilizador Info) http://eurotux.com/
    Egg-zactly!
    Re:Auditoria, yes! (Pontos:2)
    por Dehumanizer em 20-10-04 14:14 GMT (#35)
    (Utilizador Info) http://www.midnightcreations.org
    Concordo, isto é bom. Até porque, se crasha, há uma coisa chamada Talkback. :)


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"
    Mania de usar buzzwords (Pontos:1)
    por Sodki em 20-10-04 10:10 GMT (#21)
    (Utilizador Info) http://www.rnl.ist.utl.pt/~hmtr/
    O Opera é open source?
    1.0PR (Pontos:2)
    por mlopes em 20-10-04 10:12 GMT (#22)
    (Utilizador Info)
    Desde que fiz o upgrade para o Firefox 1.0PR que o browser me começou a crashar com alguma frequência, sem razão aparente, e o "Type Ahead Find" começou a dar problemas, entre eles o facto de ignorar a opção de só procurar em texto que não seja link se começar a pesquisa por "/" e deixou de funcionar no "View Source", e isto só depois do upgrade para o 1.0.1PR porque no 1.0PR o "Type Ahead Find" nem sequer funcionava.

    "Para mim a tecnologia é como as tangerinas, na medida em que não consigo fazer uma analogia decente sobre nenhuma das duas neste momento" Scott Adams

    Re:1.0PR (Pontos:2, Interessante)
    por Moebius em 20-10-04 10:18 GMT (#23)
    (Utilizador Info)
    Aconselhava a ler esta página para estar a par das mais recentes correcções e falhas encontradas no Firefox.

    http://www.squarefree.com/burningedge/


    "You should never underestimate the predictability of stupidity" - Bullet Tooth Tony
    para quem não crashou... (Pontos:2, Informativo)
    por hybriz em 20-10-04 15:05 GMT (#37)
    (Utilizador Info)
    experimentem estes links:
    mozilla 1
    mozilla 2
    mozilla 3
    Opera


    podem ver mais aqui.
    For the MAC USERS (Pontos:2)
    por jorgelaranjo em 20-10-04 17:07 GMT (#38)
    (Utilizador Info) http://lesi.host.sk/fueg0/
    A mim não crashou usando o Safari

    Cumprimentos,
    Jorge Laranjo
    01100110 01110101 01100101 01100111 00110000
    http://mynews.yournews
    Todos não... (Pontos:1)
    por assassino de spam em 20-10-04 20:55 GMT (#42)
    (Utilizador Info)
    O Lynx aguenta tudo o que lhe atiram he he he.
    Re:Todos não... (Pontos:1)
    por hybriz em 20-10-04 22:31 GMT (#43)
    (Utilizador Info)
    nem por isso... para o lynx e para o links
    Major browsers bitten by security bugs (Pontos:1)
    por quantum em 20-10-04 22:41 GMT (#46)
    (Utilizador Info)
    Bem, para que ninguém se fique a rir, todos os principais browsers têm problemas de segurança (uns mais que outros, mas enfim).

    That seemed to be Wednesday's lesson from security information provider Secunia for the developers of the major Internet browsers. The company released information on two common security issues with the tabbed browsing feature found in several flavors of the Mozilla Foundation's browsers, the Opera browser, the Konqueror browser for Linux and two third-party plug-ins that add the feature to Microsoft's Internet Explorer.


    Re:Major browsers bitten by security bugs (Pontos:1)
    por hybriz em 21-10-04 2:35 GMT (#48)
    (Utilizador Info)
    ainda gozavam vocês com o metaphor por fazer sandboxing ao IE e a browsers em geral.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]