gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
"A legal fix for software flaws?"
Contribuído por scorpio em 27-08-03 15:02
do departamento
News leitao escreve "Boas. Recentemente a C|Net publicou um artigo sobre a possibilidade de aplicar responsabilidade legal sobre os "vendors" de software (um assunto velho e que ja' foi discutido no Gildot). Preparei uma resposta que enviei ao autor (obviamente retirando alguns comentarios inflamatorios ;-)) e que gostava de partilhar convosco -- aqui: "Litigation and Software".

Cordiais Cumprimentos,

"

Aventuras Clássicas | PostNuke em Português  >

 

gildot Login
Login:

Password:

Referências
  • News.com
  • C|Net
  • artigo
  • "Litigation and Software"
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Q&A (Pontos:2)
    por [Cliff] em 27-08-03 15:56 GMT (#1)
    (Utilizador Info)
    Estava a fazer um texto enorme sobre Q&A e testes e afins, mas vou-me ficar pela resposta curta: nos casos do SoBig.F e MBlast a culpa é 100% do utilizador porque é bastante descuidado! Patches e firewall resolviam o problema com o MBlast e não-abrir-a-porcaria-dos-attachments ou ter um bom antivírus (c/ heuristic scan ligado!) também resolvem o bug desses worms de email.
    All in all, a culpa muitas das vezes está mesmo entre o teclado e a cadeira goste-se ou não...
    No slashdot aqui há uns dias estava no ar uma discussão sobre o facto de o Linux poder ser tão inseguro quanto o windows - apresentavam inclusivé uma estatística sobre websites que foram defaced e a maior parte corria em Linux - o que acho que corrobora esta teoria... na maior parte dos casos a insegurança existe por preguiça do utilizador!


    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:Q&A (Pontos:2)
    por Branc0 em 27-08-03 16:37 GMT (#2)
    (Utilizador Info) http://www.syners.org
    Hum... puxando a brasa à minha sardinha tens aqui umas pseudo-estatisticas que diz o contrário.

    Claro que acaba por não ser muito representativo mas é o que há. No zone-h não há estatisticas muito detalhadas e embora uma procura por Windows 2000 só devolva 22 páginas de resultados, uma procura por Windows NT já devolve 30 (o máximo) à semelhança do Linux.

    Ainda segundo um banner promocional da Zone-H que vi há pouco tempo, o rate era cerca de 60% Windows, 35% Linux e 5% de outros sistemas operativos.
    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Q&A (Pontos:2)
    por leitao em 27-08-03 16:58 GMT (#4)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    Ainda segundo um banner promocional da Zone-H que vi há pouco tempo, o rate era cerca de 60% Windows, 35% Linux e 5% de outros sistemas operativos.

    Claro que se podia argumentar que dado que o Windows tem uma base instalada maior, o ratio de defacements por maquina e' na realidade favoravel ao Windows (i.e., o numero de defacements por maquina e' maior no Linux).


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Q&A (Pontos:2)
    por racme em 27-08-03 17:15 GMT (#7)
    (Utilizador Info) www.freebsd.org
    Ainda segundo um banner promocional da Zone-H que vi há pouco tempo, o rate era cerca de 60% Windows, 35% Linux e 5% de outros sistemas operativos.

    Claro que se podia argumentar que dado que o Windows tem uma base instalada maior, o ratio de defacements por maquina e' na realidade favoravel ao Windows (i.e., o numero de defacements por maquina e' maior no Linux).


    como duvido que muitos corram apache em windows em producao que tal dar uma olhada nas stats mas tem razao quando dizem que Linux nao e' a solucao para todos os males, que o diga a SCO faz 3 dias ta em baixo :P


    Make World; Not War;
    Re:Q&A (Pontos:2)
    por Branc0 em 27-08-03 17:24 GMT (#8)
    (Utilizador Info) http://www.syners.org
    Tem em atenção que estamos a falar de WebServers, se calhar até temos mais Linux que Microsoft a correr em webservers.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Q&A (Pontos:2)
    por Branc0 em 27-08-03 17:34 GMT (#11)
    (Utilizador Info) http://www.syners.org
    Resondendo a mim próprio a NetCraft diz aqui que 35.73% dos Webservers correm em Linux contra apenas 23.32% de Microsoft Windows (all flavours).


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Q&A (Pontos:2)
    por racme em 27-08-03 21:26 GMT (#17)
    (Utilizador Info) www.freebsd.org
    heheh cheguei primeiro :P


    Make World; Not War;
    Re:Q&A (Pontos:2)
    por [Cliff] em 27-08-03 17:26 GMT (#9)
    (Utilizador Info)
    Achei uma coisa interessante: na altura das férias (dezembro/janeiro e julho/agosto) o gráfico do nr de defaces aumenta brutalmente lol
    Será um indicativo de que a maior parte são miúdos de escola?? :)

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:Q&A (Pontos:2)
    por Branc0 em 27-08-03 17:36 GMT (#12)
    (Utilizador Info) http://www.syners.org
    Repara como em Junho (mês de exames e provas globais) os defaces diminuiram drasticamente... talvez seja coincidência :)


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Q&A (Pontos:1)
    por von em 29-08-03 12:29 GMT (#24)
    (Utilizador Info)
    Achei uma coisa interessante: na altura das férias (dezembro/janeiro e julho/agosto) o gráfico do nr de defaces aumenta brutalmente lol

    Ou então o administrador vai de férias e a máquina fica sem updates de segurança :)

    Re:Q&A (Pontos:2)
    por racme em 27-08-03 17:04 GMT (#6)
    (Utilizador Info) www.freebsd.org
    No slashdot aqui há uns dias estava no ar uma discussão sobre o facto de o Linux poder ser tão inseguro quanto o windows - apresentavam inclusivé uma estatística sobre websites que foram defaced e a maior parte corria em Linux - o que acho que corrobora esta teoria...

    a grande maioria dos defaces esta relacionado com php, e coisas como "phpnukes"

    na maior parte dos casos a insegurança existe por preguiça do utilizador!

    ya e' tudo uma questao de pebkac


    Make World; Not War;
    Nem mais nem menos. (Pontos:1)
    por EFRS em 27-08-03 17:30 GMT (#10)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Partilho da tua inteira opinião. Muitas vezes o problema prende-se entre o teclado e a cadeira. Mas não te esqueças que os utilizadores caseiros (aqueles que percebem pevas de segurança) não tem culpa.
    Basta 5 minutos por dia para uma pessoa actualizar-se no mundo da segurança informática.
    "Acta simulato substantiam veritatis mutare non possunt"
    Re:Nem mais nem menos. (Pontos:2)
    por [Cliff] em 27-08-03 18:38 GMT (#14)
    (Utilizador Info)
    Mas não te esqueças que os utilizadores caseiros (aqueles que percebem pevas de segurança) não tem culpa.
    Não concordo... têm até certa parte: quando compras um qualquer electrodoméstico com o qual não sabes trabalhar a primeira coisa a fazer é ir ler o manual... e já se sabe, manuais sobre programas de computador é coisa que poucos lêem. Não é que o manual tenha resposta para tudo, mas ficariam a saber que o XP tem firewall embutida e que a podem ligar para se precaverem de muita porcaria que pode acontecer.
    Aqui há uns dias dei este mesmo sermão: um familiar ligou-me super stressado porque estava a levar com o tal MBlast. Em 10 minutos ficou a saber o que é uma firewall e porque é q se deve usar uma e que deve instalar as actualizações de segurança. Logo se vê se pega ou não...

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:Nem mais nem menos. (Pontos:1)
    por Devil_PT em 27-08-03 21:08 GMT (#16)
    (Utilizador Info)
    Compras um carro. Estacionas. Deixas as portas destrancadas e vais-te embora. Gamam-te o belo do autorádio que até já tocava mp3 e tudo. Tu pões as culpas no fabricante automóvel que não te forneceu um modelo em que as portas se trancam sozinhas?
    Re:Nem mais nem menos. (Pontos:2)
    por Gimp em 28-08-03 8:19 GMT (#20)
    (Utilizador Info)
    Até punha, porque na sua bela publicidade sobre o carro maravilhoso do novo milénio se esqueceram de dizer que não era à prova de ladroagem e ignorância do proprietário :-).


    "No comments"

    Re:Nem mais nem menos. (Pontos:2)
    por jazzy em 03-09-03 16:41 GMT (#26)
    (Utilizador Info) http://www.gildot.org
    Hmmm, isto faz-me lembrar uma história que envolvia um gato e um micro-ondas...


    Jazzy
    Re:Nem mais nem menos. (Pontos:2)
    por DomusOnline em 29-08-03 0:35 GMT (#21)
    (Utilizador Info) http://bandalarga.domus.online.pt/
    As portas do carro abrirem é uma caracterisitica e absoluta necessidade. Deixá-las abertas é descuido.

    Uma falha de segurança (buffer overflow salvo erro) não é (ou não devia ser) uma caracteristica e muito menos uma necessidade.

    O meu ponto é: não é comparável...

    Cumprimentos.
    Re:Nem mais nem menos. (Pontos:1)
    por Devil_PT em 29-08-03 8:42 GMT (#22)
    (Utilizador Info)
    Claro que é comparável! Deixar as portas abertas é comparável a não activar firewall. Abrirem-te a porta do Punto com a vareta do óleo é comparável a explorar o buffer overflow. E nessa situação o que é que fazes? Processas a Fiat ou vais-te queixar à polícia?
    Re:Nem mais nem menos. (Pontos:2)
    por DomusOnline em 29-08-03 13:14 GMT (#25)
    (Utilizador Info) http://bandalarga.domus.online.pt/
    Eu estou de acordo com o principio, mas não com a justificação.

    Cumprimentos.
    Isto é quase como as patentes (Pontos:1)
    por taf-7arte em 27-08-03 16:58 GMT (#3)
    (Utilizador Info) http://taf.net
    " Litigation lawyers have successfully extracted billions of dollars from countless industries"

    Se se fosse complicar a vida desta forma, de facto nunca se fazia nada de jeito...
    Desconfio que quem lança estas ideias, tal como no caso das patentes, são mesmo os advogados.

    Qualquer empresa deve ser livre de fazer o contrato que quiser com os seus clientes. Se preferir ser "liable" e cobrar mais por isso, tudo bem. Mas se não quiser chatices, também deve poder fornecer o software na condição de não virem reclamar indemnizações por bugs.

    Claro que há outro tipo de responsabilização no caso de desleixo criminoso ou mesmo dolo, mas isso são coisas diferentes e casos completamente fora do normal.
    Re:Isto é quase como as patentes (Pontos:2)
    por leitao em 27-08-03 17:00 GMT (#5)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    Qualquer empresa deve ser livre de fazer o contrato que quiser com os seus clientes. Se preferir ser "liable" e cobrar mais por isso, tudo bem. Mas se não quiser chatices, também deve poder fornecer o software na condição de não virem reclamar indemnizações por bugs.

    Nem mais -- certos productos (por exemplo, o Netcool da Micromuse) veem com certas garantias assumidas pelo vendedor, mas nao se pode esperar (IMHO) que de o dia para a noite todo o software seja litigavel.

    Regards,


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Isto é quase como as patentes (Pontos:2)
    por DomusOnline em 27-08-03 18:17 GMT (#13)
    (Utilizador Info) http://bandalarga.domus.online.pt/
    Pois...

    Até porque tenho uma vaga ideia que uma ideminização não deveria ser superior ao valor do bem contratado...

    Isto pode fazer sentido para muita coisa, mas já para um carro não faz... (a vida de uma pessoa embora "não tenha valor" sempre deve ser mais cara que um carro...).

    Mais comentários nesta linha?

    Cumprimentos.
    Re:Isto é quase como as patentes (Pontos:2)
    por [Cliff] em 27-08-03 20:34 GMT (#15)
    (Utilizador Info)
    Depende da deficiência do carro: se o motor gripou sem causa aparente por deficiência de fabrico e espetaste o carro mas ficaste ok, então a marca realmente devia indemenizar o carro completo, se tiveste azar então aí a indeminização devia ser maior. Mas depois colocam-se outras questões, e se o motor gripou por defeito, mas n levavas o cinto e morreste, de quem é a culpa e qual deve ser a indeminização? Claro que é sempre necessário meter a seguradora ao barulho por isso, acho que não vais chegar a ver dinheiro algum: nenhum fabricante de carros indeminiza e as seguradoras... bem, já se sabe como são.

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:Isto é quase como as patentes (Pontos:2)
    por DomusOnline em 28-08-03 0:35 GMT (#18)
    (Utilizador Info) http://bandalarga.domus.online.pt/
    Como diz o leitao no blog, os carros são diferentes do software... O software é um caso "à parte". Eu instintivamente concordo com isto, mas tenho dificuldade em formalizar o porquê.

    É por o software não ser uma "engenharia" no verdadeiro sentido da palavra? Há ou não leis que governem o software? Ou simplesmente há mas torna-se impossível desenvolver software (e mantê-lo) seguindo essas leis?

    E como testá-lo "cientificamente"? E como avaliar todo o impacto que uma alteração pode provocar?

    Mas focando mais o aspecto da segurança, não seria já tempo de termos um antídoto eficaz e eficiente contra os casos mais comuns de buffer overflow/underflow? A maioria dos problemas que se tornam "sucessos" estão relacionados com isto...

    Eu não sei responder às questões acima... Mas pela experiência profissional sei que há BUGs levados da breca, muito difíceis de descobrir. E BUGs mesmo simples podem provocar prejuízos avultados. Custa-me a aceitar que quem desenvolve o software possa ser responsabilizado por esses prejuízos. Por outro lado também acho que se torna "cansativo" andar à espreita de BUGs. Afinal os "clientes" querem usar o software e não corrigi-lo ;)

    Cumprimentos.
    Re:Isto é quase como as patentes (Pontos:2)
    por [Cliff] em 28-08-03 1:03 GMT (#19)
    (Utilizador Info)
    Definitivamente a industria de software *tem* de ser regida por leis próprias (até de patentes ;)) mas não concordo com um decreto de lei que obrigue a que não existam buffer over/underflows no software. Esse é a meu ver um problema das linguagens que usas sendo que a maior parte desses bugs existem em software, acho eu, desenvolvido em C. Posso estar errado, mas segundo aquilo que percebi o buffer under/overflow resulta de má alocação de memória - imagina que tens um char[] (char*) para 20 caracteres (cof cof :) ) e que a dada altura não proteges o código para verificar se aquele char* vai ter mais de 20 chars e puff - buffer overflow. Se calhar esta verificação até devia ter sido feita no objecto acima, ou no outro acima, etc.
    Enfim, eu só acho que é um problema da linguagem em si e como regra geral acontece em componentes low-level q.b. as coisas nem sempre são simples...

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    spellcheck (Pontos:2)
    por daniel em 29-08-03 11:20 GMT (#23)
    (Utilizador Info)
    se aceitares sugestoes/ser corrigido de alguem que esta' em Portugal e nao "fala" ingles muitas horas por ano, mas ainda escreve bastantes linhas:
    s/balloning/ballooning/
    "tweak with the software" (?) : tweak something is ok... tweak _with_ something is not so ok, imho.

    Ate' fiz uma pesquisa de popularidade no google por duas expressoes "tweak the" e "tweak with the" porque podia estar "desfazado" de alguma expressao que desconheca, mas so reforcou a minha opiniao porque a segunda ainda ocorre algumas vezes, mas mais como uma especie de phrasal verb.

    Abracos,
    Daniel Fonseca

     

     

    [ Topo | FAQ | Editores | Contacto ]