gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Windows e Linux, igualmente seguros
Contribuído por vd em 04-04-04 20:38
do departamento das-igualdades
Bug Segundo um estudo da Forester, tanto o Windows como o Linux, podem ser instalados de forma segura e a Microsoft corrige problemas de segurança mais rapidamente.

Ainda na eweek, "Microsoft came in with the lowest average "all days of risk" with an average of 25 days between disclosure and fix release. In addition, the company fixed all of its security holes. However, ICAT classified 67 percent of Microsoft's vulnerabilities as high-severity, placing Microsoft "dead last among the platform maintainers by this metric," the report noted."

Comparativamente, a Debian foi a mais rápida a resolver problemas de segurança, demorando em média 57 dias, possuindo também o menor número de falhas. A RedHat resolvou cerca de 99.6% das falhas em 229 aplicáveis.

O resultado final não foi nenhuma recomendação, mas sim um alerta Às empresas que gostam de se sentir seguras para tomarem em consideração o Windows e Debian, já por outro lado, mostra uma preocupação relativamente à nova politica mensal de "patches" da Microsoft. Se os administradores forem fracos e com poucos conhecimentos, aponta o Windows, Mandrake e SuSe pela facilidade de configuração e administração. Se os mesmos estiverem bem acima, que escolham RedHat.

Pessoalmente e não estando no relatório, estou bastante (bem) surpreendido com sistemas Solaris, que já uso algum tempo em produção e com os quais são relativamente seguros, sem necessitar de grandes manutenções, onde as quais se resumem a uns quantos "patches", de 3 em 3 meses. Ainda existe o factor humano da coisa, que influencia em muito um sistema seguro. Os administradores devem estar em constante actualização e procurarem a informação e não apenas o email mensal, alertando para patches.

Computador (com Linux) dos pobres à venda na Índia | Iniciativa de apoio a jogos livres  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Debian
  • Red Hat
  • estudo da Forester
  • eweek
  • Mais acerca Bug
  • Também por vd
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Curioso (Pontos:1, Redundante)
    por 4Gr em 04-04-04 21:50 GMT (#1)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente *que antigamente*, acredito e corroboro.

    Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente que o GNU/Linux ou software livre em termos genéricos eu rio-me, e rio-me, e rio-me... :-)

    Dominus vobiscum
    Re:Curioso (Pontos:3, Engraçado)
    por leitao em 04-04-04 22:48 GMT (#2)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Entao explica la' as tuas metricas se faz favor.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:1, Despropositado)
    por 4Gr em 04-04-04 23:06 GMT (#3)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Não me faças perder o meu tempo, quando sabes perfeitamente a veracidade da questão.

    Se tu tens tempo a perder, então dá-me tu a contra-prova, visto que és tu que estás a duvidar da minha palavra, e mostra-me que eu estou errado. Fico à espera... (sentado)

    Dominus vobiscum
    Re:Curioso (Pontos:2)
    por leitao em 05-04-04 10:19 GMT (#14)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Nao preciso de dar contra-prova nenhuma, esta' no estudo da Forrester. Tu e' que duvidaste do estudo, logo convinha explicares porque.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 10:44 GMT (#15)
    (Utilizador Info)
    Agora é que nunca mais nos levantamos...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:1)
    por seven em 05-04-04 11:53 GMT (#21)
    (Utilizador Info)
    ouve la quando é q montas a tal maquina com o win2000 e ultimo service pack e assinas o tal cheque??!
    Re:Curioso (Pontos:2)
    por 4Gr em 05-04-04 12:05 GMT (#23)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Fazemos assim, tu pagas os $899 dólares do artigo e depois eu lei-o o artigo, combinado?

    Ou então, mais simples, vais tu lêr os comentários do autor do artigo da eweek, como eu o fiz, e perceber até que ponto o estudo não é esclarecedor.

    Exemplo: eles avaliam a saída das correcções para Linux recorrendo às grandes empresas. Ora, isto é prenecioso e incorrecto visto que os patches saiem muito antes (um, dois dias depois das advisories) em sítios como kernel.org, uma semana depois a Redhat/SuSE/etc.. pega neles, testa-os, e aprova-os. Ou seja, desde que o patch sai até que ele é aprovado vai um grande período, que é uma medida incorrecta e não beneficia o estudo. Por exemplo, eu actualizo muito mais frequentemente o meu software com os patches dos sites das aplicações do que com os updates do SuSE.

    Dominus vobiscum
    Re:Curioso (Pontos:2)
    por leitao em 05-04-04 12:28 GMT (#24)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Exemplo: eles avaliam a saída das correcções para Linux recorrendo às grandes empresas. Ora, isto é prenecioso e incorrecto visto que os patches saiem muito antes (um, dois dias depois das advisories) em sítios como kernel.org, uma semana depois a Redhat/SuSE/etc.. pega neles, testa-os, e aprova-os. Ou seja, desde que o patch sai até que ele é aprovado vai um grande período, que é uma medida incorrecta e não beneficia o estudo. Por exemplo, eu actualizo muito mais frequentemente o meu software com os patches dos sites das aplicações do que com os updates do SuSE.

    Claro que esqueces-te que o estudo e' vocacionado para empresas, e empresas teem algo que se chama contracto de suporte do vendedor, e nenhuma vai aplicar patches caseiros aos seus servidores...


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:2)
    por 4Gr em 05-04-04 13:04 GMT (#25)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Seja para empresas ou não, é redutor dizer que a Microsoft lança patches mais rápido que os outros, principalmente quando desde a advisory até ao exploit passando pelo patch, em software livre, demora 2, 3 dias, e a Microsoft leva 6 meses para lançar um patch. É, no mínimo, ridículo..

    Patches caseiros? Se for a equipa do Openssh a lançar um patch, eu, à partida, confio nele. E mesmo que não confie, posso sempre pedir uma avaliação de uma semana, período de tempo muito inferior aos tais 27 dias da Microsoft, que eu me continuo a rir.

    Dominus vobiscum
    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 13:33 GMT (#27)
    (Utilizador Info)
    Tu não percebes, fica-te lá pela tua realidade académica que nesse caso tens o teu problema resolvido.

    Instalas o patch quando há, e meu amigo quando existe um exploit conhecido acredita que a MS vai ter de ser muito mais rápida a reagir, o problema para eles não é conhecer o problema e resolvê-lo, o problema será testá-lo e se o fizerem em todas as versões que suportam imaginas o tempo que isso poderá levar... e por isso também imaginas onde se pode cortar quando não existe muito tempo de reacção...

    Agora mesmo tendo essas condicionantes e com uma base de código grande para manter (comparativamente com a controlada pelas principais distribuições) e ser duas vezes mais rápido, não me parece mau, e mais resolvendo 100% dos problemas enquanto as distribuições em comparação vão deixando um ou outro problema por resolver.


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:2)
    por 4Gr em 05-04-04 13:53 GMT (#28)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Realidade académica?

    Meu caro, diz-me lá quem tu és, portfólio e currículo e experiência profissional para ver se isso te dá mais credibilidade que eu..

    E claro, desde quando isso te dá mais percepção de um assunto que em nada deriva do CV.

    Dominus vobiscum
    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 15:01 GMT (#29)
    (Utilizador Info)
    Tens toda a razão, o que te falta é sentido empresarial mais nada...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:1, Redundante)
    por 4Gr em 05-04-04 18:48 GMT (#31)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Engraçado, a minha família tem cerca de 1500 empresas, nacionais e multi-nacionais, mas és tu que vens com a retórica.

    Considero que tenho uma boa percepção do mercado empresarial, mas como isso é um nicho de mercado, diria, 50%, os outros 50%, que são os utilizadores comuns, também contam.

    Dominus vobiscum
    Re:Curioso (Pontos:1, Despropositado)
    por leitao em 05-04-04 19:55 GMT (#33)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Uau! 1500 empresas ? Fantastico Mike!


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:2, Lança-chamas)
    por 4Gr em 05-04-04 21:16 GMT (#35)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Grupo Amorim.

    Tenho a felicidade de ser primo (em 3º grau, prima direita é a minha avó) do Américo Amorim.

    Quando precisares de um pau de cortiça, daqueles bem grandes eu envio-te à cobrança!

    Se aceitares esta oferta na próxima meia hora recebes de borla a vaselina ;-)

    P.S. - Não te ofendas, estou apenas na brincadeira contigo. Se, por ventura, ficaste ofendido, o meu pedido de desculpas. Boa Páscoa Nuno! :-)

    Dominus vobiscum
    Re:Curioso (Pontos:2)
    por leitao em 05-04-04 21:24 GMT (#36)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Parabens, tenho a certeza que esse "sangue empresarial" de 3a geracao te corre nas veias e vais ser um empresario de sucesso.

    Obrigado pela oferta do pau de cortica e vaselina -- mas nao me viro muito para esses lados.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:2)
    por 4Gr em 05-04-04 21:54 GMT (#37)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Se estás a ser irónico, vou ignorar e admitir em toda a plenitude que esses foram votos sinceros. Posso ou posso não ser um empresário de sucesso, não era isso que estava em questão, mas já que tocaste nesse ponto, espero lutar por isso.

    Quanto ao sangue de terceira geração, podes estar descansado que a minha linhagem directa também tem o sangue empresarial, mas obrigado pela preocupação ;-)

    Quanto ao pau de cortiça, como percebeste e bem, estava na brincadeira.

    Acho que deves levar as coisas mais na brincadeira. Repara, somos dois indivíduos a trocar palavras recorrendo a um teclado. Eu faço-o com prazer e um sorriso de brincadeira quando as troco contigo, espero que faças o mesmo :-)

    Dominus vobiscum
    Re:Curioso (Pontos:2)
    por leitao em 05-04-04 22:10 GMT (#39)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Acho que deves levar as coisas mais na brincadeira. Repara, somos dois indivíduos a trocar palavras recorrendo a um teclado. Eu faço-o com prazer e um sorriso de brincadeira quando as troco contigo, espero que faças o mesmo :-)

    Nao sou daqueles tipos que anda sempre com um sorriso amarelo na cara, mas em geral quando leio o que escreves rio-me :).


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:2)
    por 4Gr em 05-04-04 22:46 GMT (#41)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Sorriso amarelo? Nada disso!

    Simplesmente gosto de acordar, olhar para o levantar do sol e, graças a Deus, tenho razões para sorrir. Gosto de encarar a vida desta forma, com um sorriso na cara. Tenta fazer o mesmo, acredita que sabe muito melhor :-)

    Ris-te? Obrigado, fico satisfeito de saber que fiz alguém esboçar um sorriso! :-)

    Dominus vobiscum
    Re:Curioso (Pontos:1)
    por tonidosimpostos em 06-04-04 9:01 GMT (#44)
    (Utilizador Info)
    3a geracao ? Ohhhhhhhhhhhhhhhhhhhhhhhhh eu tava com esperança que fosses um gajo importante, agora de 3a geracao, pftttttttttttttttttttttttttttttttttt !

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:Curioso (Pontos:1)
    por Xf em 05-04-04 23:27 GMT (#42)
    (Utilizador Info)
    E já agora, o grupo Amorim nas suas plataformas usa que SO?
    :-/

    Shake dreams from your hair my pretty child, my sweet one...
    SUPER PORN STAR (Pontos:2, Engraçado)
    por tonidosimpostos em 05-04-04 19:57 GMT (#34)
    (Utilizador Info)
    Rapaz, tu realmente és o maior ! Eu tinha ideia que era o maior aqui do burgo, mas tu realmente bates qq um aos pontos. Eras o maior que entravas em qq curso, nao precisas de liçoes de economia pq tens familia toda economista, percebes a potes de Linux, percebes a rodos de programacao, e agora ate tens 1500 empresas ! Mas que raio fazes tu numa reles universidade portuguesa ? Um genio como tu devia tar ja nos EUA ou no UK ou CANADA, porque estas a desperdiçar esse intelecto todo !!

    Disclaimer: É claro que isto é a gozar com este bronco do c***** !! :) (peço desculpa pelo palavrao mas aqui na capital nao deixam dizer e ja tava com saudades!)

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!

    Re:SUPER PORN STAR (Pontos:2)
    por fhc em 07-04-04 10:47 GMT (#55)
    (Utilizador Info)

    Toni, sempre discreto, sempre educado!

    Francisco Colaço


    Re:SUPER PORN STAR (Pontos:2)
    por leitao em 07-04-04 12:45 GMT (#56)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Ui, deixa-te estar que tu tens uma educacaozinha do caneco...


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 22:09 GMT (#38)
    (Utilizador Info)
    Pois eu diria que a tua solução ainda só o é para alguns nichos... e pelas tuas palavras se não serve a 50% do mercado aos outros 50% também não me parece... :o)

    Agora a sério eu quando disse que te falta sentido empresarial, olha que é verdade, às vezes nem dá para perceber de que mundo vens... de vez em quando devias colocar-te no papel do decisor e desafiar essas tuas opiniões com as decisões a tomar para perceberes o quanto são incompativeis...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:2)
    por 4Gr em 06-04-04 10:08 GMT (#45)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Mas tu estás bem?

    Que decisões falas? Eu tomei alguma decisão?

    Achas mesmo que se uma solução Microsoft fosse a melhor para a minha empresa, em termos de custo/benefício, eu não a escolheria? Ando a dormir não?

    Mas à parte disso, gosto de ter os meus ideais, a minha parcialidade, o meu clubismo e não consigo ficar imparcial a todo o nojo execrável inerente à Microsoft. Só isso..

    Dominus vobiscum
    Re:Curioso (Pontos:1)
    por mrmv em 06-04-04 10:19 GMT (#46)
    (Utilizador Info)
    O teu 3º parágrafo é demais, e porque será que não acredito nele? Talvez por achar que o teu 4º parágrafo é muito mais forte e te impede de ver as coisas com a racionalidade necessária... mas não fiques irritado, porque o meu objectivo não é irritar-te.


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:2)
    por Gimp em 05-04-04 19:43 GMT (#32)
    (Utilizador Info)
    "Agora mesmo tendo essas condicionantes e com uma base de código grande para manter (comparativamente com a controlada pelas principais distribuições)..."

    As principais distribuições, além de terem que lidar com o que adicionam à mesma, têm que se preocupar com o kernel e as milhentas aplicações que incluem. A Mico borrifa-se se por exemplo chocar com o anti-vírus de serviço.

    "...e ser duas vezes mais rápido, não me parece mau, e mais resolvendo 100% dos problemas enquanto as distribuições em comparação vão deixando um ou outro problema por resolver."

    100%?! Acreditas piamente nisso, não?

    Estas métricas não passam de estudo ao kilo...


    "No comments"

    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 22:11 GMT (#40)
    (Utilizador Info)
    100%?! Acreditas piamente nisso, não?

    Estas métricas não passam de estudo ao kilo...

     
    Devo acreditar tanto como em tudo o resto que o desmente... à falta de melhor.

    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:Curioso (Pontos:1)
    por mrmv em 05-04-04 10:54 GMT (#17)
    (Utilizador Info)
    Tu realmente... deve ser o teu sexto sentido a dizer-te que por algum motivo as métricas utilizadas pela Forrester estão completamente erradas e o pior é que eles nem sabem...

    Mas tu vais ser porreiro e envia-lhes um e-mail a explicar vá lá, colabora...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    re:curioso (Pontos:0)
    por Thing em 04-04-04 23:49 GMT (#5)
    (Utilizador Info)
    e o dever da microsoft ser muito mais rapida, pois e um produto comercial e tambem o mais usado em todo o mundo. sem esquecer que quando se instala um novo sistema com o microsoft windows nao ha muito a escolher, temos que instalar a versao que vem no compact disc e depois e fazer o update dos drivers, ligar a internet, configurar a rede e depois windows update e ainda configurar e instalar os anti-virus e firewalls... ou seja, e preciso fazer imensas coisas e ate la corre sempre o tempo (lembro-me daqueles que nem conseguiam meter o a actualizacao para aquele problema do computador nao reniciar porque o computador reniciava logo hehe).
    thing
    Re:curioso (Pontos:1)
    por mrmv em 05-04-04 8:20 GMT (#8)
    (Utilizador Info)
    Se activasses a firewall antes de ligar não tinhas problema... tens de te informar ;o)
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    re:curioso (Pontos:0)
    por Thing em 05-04-04 11:48 GMT (#20)
    (Utilizador Info)
    hehe eu sei... para mim e muito simples, mas nao podemos esquecer que praticamente todas as pessoas caseiras que tem i microsoft windows xp nem no primeiro dia nem no ultimo vao fazer o update... felizmente ja instalam anti-virus, mas o resto... a microsoft ainda tem que fazer muita publicidade ao problema.
    thing
    Re:Curioso (Pontos:3, Esclarecedor)
    por taf-7arte em 05-04-04 0:19 GMT (#6)
    (Utilizador Info) http://taf.net
    "Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente que o GNU/Linux ou software livre em termos genéricos eu rio-me, e rio-me, e rio-me..."

    Piedade! Poupem-nos a estas discussões estéreis...
    Re:Curioso (Pontos:2)
    por raxx7 em 05-04-04 0:44 GMT (#7)
    (Utilizador Info)
    Agreed...
    Remember to be the Killer, not the Victim! (Nuklear Girl)
    Re:Curioso (Pontos:3, Interessante)
    por grumbler em 05-04-04 9:38 GMT (#10)
    (Utilizador Info)
    Como não li o estudo da Forrester e não me apetece estar a pagar 899 dólares para ler o mesmo, apenas me posso basear no que li nos artigos que abordam o mesmo estudo.

    Tendo isto em conta, parece-me a mim que o estudo apenas focou a rapidez de resolução dos bugs por parte das empresas responsáveis pelas diversas distribuições de Linux, e neste contexto até acho possível (e provável) que a Microsoft seja mais rápida a corrigir problemas que a RedHat ou as restantes. E aqui parece-me necessário distinguir entre as resoluções apresentadas por essas empresas e as resoluções dos bugs pelos responsáveis directos das próprias aplicações, a menos que os responsáveis directos pelas aplicações sejam as próprias empresas (caso por exemplo dos kernels customizados que são disponibilizados com as distribuições.

    Agora pode-se é argumentar que não existindo em package essas alterações, é necessário ir buscar o código, compilar e instalar o mesmo, e que tal dá trabalho, o que é verdade.. mas aqui trata-se de uma questão de escolha do utilizador final. Se preferir continuar com uma versão de software que sabe que tem problemas de segurança e esperar pelos packages da própria distribuição é uma decisão dele, existindo contudo soluções alternativas para resolver o problema. E aqui parece-me que o software livre tem uma grande vantagem sobre os produtos comerciais.

    --
    What, Me Worry?

    Re:Curioso (Pontos:2)
    por CrLf em 05-04-04 10:07 GMT (#12)
    (Utilizador Info) http://crodrigues.webhop.net
    A Red Hat, pelo menos, parece-me ser bastante rápida a disponibilizar pacotes com fixes de segurança, algumas vezes até mais rápida do que os próprios maintainers originais do software. Isto depende do software, é claro, normalmente os fixes aparecem primeiro no software original e só depois nos pacotes da Red Hat, mesmo que tenham sido estes a produzir os patches. No entanto há casos em que acontece o contrário (p.ex. o gaim, em que os tipos preferiram por lá no site um link para os fixes em vez de lançarem uma nova versão com eles incluídos mas ei, se cilindram um gajo só por fazer sugestões para corrigir alguns dos problemas de UI também não devem ligar grande coisa à segurança...

    -- Carlos Rodrigues
    Re:Curioso (Pontos:2)
    por humpback em 05-04-04 11:47 GMT (#19)
    (Utilizador Info) http://www.felisberto.net
    Bem com sinceridade NÃO consigo acreditar em nenhum destes artigos que vão por ai saindo. Eu hoje não uso debian, mas ainda me lembro de todas as manhãs fazer update em 10 maquinas (security only) e de ver pacotes serem actualizados, e depois ao ir ver o mail do dia na pasta da bugtraq estar la o aviso do problema seguido do mail do pessoal da debain com a resolução.

    Agora o que eu gostava de saber é que raio estes artigos andam aqui a fazer no gildot. Ja devia haver uma categoria chamada FUD para o pessoal poder filtrar.
    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism

    Mais um estudo independente ;-) (Pontos:3, Engraçado)
    por m16e em 04-04-04 23:21 GMT (#4)
    (Utilizador Info) http://www.m16e.com
    "Segundo estes quatro estudos independentes..." -- onde é que eu já ouvi isto? Tele-Vendas?
    Re:Mais um estudo independente ;-) (Pontos:3, Engraçado)
    por fhc em 05-04-04 9:43 GMT (#11)
    (Utilizador Info)

    Segundo uns estudos independentes, veio-se a confirmar que Portugal possui armas de destruição maciça. Segundo a Corps of Intelligence Absent (CIA), Portugal é considerado o país com mais armas de destruição maciça, superando mesmo os membros do Conselho de Segurança, que atá hoje se acreditava terem a maioria do potencial destrutivo da humanidade.

    Para o Departamento de Estado Estadunidense, a potencialidade destrutiva do arsenal português não reside em armas nucleares, nem bacteriológicas ou químicas (NBQ), mas num grupo de selectos arsonistas, dispersos em células de potencial destrutivo major, e que coordenam as suas acções num site chamado Gildot.

    «Da última vez que o tema Microsoft veio à baila, tivémos um problema dos diabos para evitar que todo o planeta mergulhasse na direcção do Sol.», afirma Condoleeza Rice, a secratária para a segurança interna dos Estados Unidos. A ameaça do Gildot é levada muito a sério no pentágono, afirmando-se à boca fechada que uma invasão de Marines é esperada nos próximos dias nas praias do Norte de Portugal.

    «A situação é urgente, e temos de actuar imediatamente.», continuou a mesma individualidade. Questionada sobre a hipótese de haver um erro dos serviços secretos, respondeu: «Qual erro, qual quê! Isto está patente para todo o mundo ver!» Sobre o tipo de operações, foi referida a eliminação física do site, a eliminação dos membros das células de discussão e o retorno forçado do Leitão e do Tomi dos Impostos para o planeta de onde vieram. Afirmou: «Com opiniões daquelas, eles definitivamente não vivem neste mundo.»

    Francisco Col KABOOM!


    Re:Mais um estudo independente ;-) (Pontos:2)
    por Tuaregue em 05-04-04 10:18 GMT (#13)
    (Utilizador Info)

    Célula de resistência do Norte. Stop.
    Informa operação pinguim livre, montada.Stop
    Praias Seguras.Stop

    ------------------------------------------------------------
    Todas as coisas mudam, e nós mudamos com elas.

    Re:Mais um estudo independente ;-) (Pontos:1)
    por mrmv em 05-04-04 10:47 GMT (#16)
    (Utilizador Info)
    Segundo o Tintin a Forrester anunciou que nunca mais fazia nenhum estudo para a Microsoft, finalmente temos um não encomendado!!!


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    IE (Pontos:2, Interessante)
    por covarde_anonimus em 05-04-04 9:11 GMT (#9)
    (Utilizador Info)
    Este artigo refere-se apenas ás falhas de segurança do SO, ignorando os programas?
    As falhas do IE vêm-me á mente.
    Onde estão as patches que já deviam ter saido ha quatro meses para esta vulnerabilidade http://slashdot.org/articles/03/12/11/1319212.shtml?tid=113
    Ha pouco tempo li outro artigo que afirmava que o linux era mais vulnerável a hackers, e nem chegaram a tomar em conta os virus/worms e trojans.
    Isto foi na slashdot e é claro que alguém apontou para o pequeno detalhe que a empresa responsavel pelo artigo tinha uma qualquer ligação finançeira com a M$.
    Este tipo de FUD não me surpreende.
    solaris ?... (Pontos:2)
    por moonrider em 05-04-04 11:26 GMT (#18)
    (Utilizador Info) http://127.0.0.1
    sem necessitar de grandes manutenções, onde as quais se resumem a uns quantos "patches", de 3 em 3 meses

    Tu aplicas patches com a frequência que bem desejares, isso depende da tua política de segurança... não me digas é que o Solaris é um sistema que "não necessita de grandes manutenções"... o número de bugs descobertos no Solaris é muito elevado e isto vindo de alguém que conhece bastante bem o SO e que o usa diariamente...
    Só para ficarem com uma ideia, quem instalar o Solaris 9, vai ter que aplicar ( pelo menos ) 412 patches que corrigem nada menos que 3391 bugs, e isto sem contar com os patches que não são públicos, senão o número de patches pode ultrapassar os 500 !
    Re:solaris ?... (Pontos:2)
    por vd em 05-04-04 13:22 GMT (#26)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Eu aplico patches à medida que eles vão saindo e sejam necessários para manter a integridade de um servidor, sem X.

    Os patches são classifcados por categorias e só aplico as que se referem 'a segurança. Todos os outros, para um servidor são irrelevantes. Como disse, na minha opinião pessoal e' um sistema que não requere grandes manutenções.

    Agora e indo 'a lista dos 412 patches e dando apenas alguns exemplos, que certamente serão aplicáveis ao "teu" sistema...
    - Synopsis: SunOS 5.9: Expert3D IFB Graphics Patch
    Para um servidor deve ser importante.
    - Synopsis: SunOS 5.9: XVR-1000 GFB Graphics Patch
    idem
    - Synopsis: SunOS 5.9: PGX32 Graphics
    idem
    - Synopsis: SunOS 5.9: Elite3D AFB Graphics Patch
    idem
    - Synopsis: SunOS 5.9: Creator and Creator3D: FFB Graphics Patch
    idem
    - Synopsis: SunOS 5.9: M64 Graphics Patch
    outro...
    - Synopsis: SunOS 5.9: TCX Graphics Patch
    e outro..
    - Synopsis: SunOS 5.9: Sun GigaSwift Ethernet 1.0 driver patch
    presumo que esse servidor deve usar este dispositivo...
    - Synopsis: SunOS 5.9: Sun ONE Directory Server 5.1 patch
    Onde ja' existe o 6.1 ...
    - Synopsis: SunOS 5.9: Enchilada/Stiletto - PICL & FRUID Patch
    Este e' importante!
    - Synopsis: SunOS 5.9: Sun Fire V880z/XVR-4000 Graphics Patch
    importantissimo!
    - Synopsis: SunOS 5.9: Sun XVR-100 Graphics Accelerator Patch
    e continua...

    Este foram apenas alguns exemplos dos 412 patches aplicáveis, todos eles importantes...


    //vd
    Re:solaris ?... (Pontos:2)
    por moonrider em 05-04-04 15:49 GMT (#30)
    (Utilizador Info) http://127.0.0.1
    só aplico as que se referem 'a segurança. Todos os outros, para um servidor são irrelevantes.

    Isso é a tua opinião... há patches de performance e de funcionamento inesperado de aplicações que são igualmente criticos.

    Como disse, na minha opinião pessoal e' um sistema que não requere grandes manutenções.

    Estou a ver... ou seja, não se aplica minimamente ao artigo e daí ser um exemplo completamente despropositado !
    Forrester's Research Integrity (Pontos:3, Interessante)
    por jmce em 05-04-04 11:55 GMT (#22)
    (Utilizador Info) http://jmce.artenumerica.org/

    Claro que o estudo em si só pode ser bem comentado conhecendo melhor o conteúdo dele, em particular as amostras usadas e a forma como aquelas métricas resultaram nas conclusões.

    Resta a decisão sobre gastar 899 USD no estudo, sem esquecer a declaração do CEO da Forrester sobre a "integridade da pesquisa da Forrester". Resumo tendencioso meu:

    A integridade da investigação é o valor central na nossa companhia. Uma parte pequena do nosso negócio, agora maior do que antes, é da investigação paga por fornecedores dos produtos investigados. Esses estudos também são íntegros, mas como estavam a ser usados para fazer publicidade aos produtos, precisámos de clarificar a nossa política de integridade: continuamos a fazer estudos encomendados pelos fornecedores, mas agora não deixamos usar esses estudos em publicidade.

    Como não é um estudo de acesso gratuito, suspeito que será sobretudo consumido por executivos à espera de conclusões simples (mas que esperem ser fiáveis) sobre a situação actual, e não tanto observado com cuidado pela "comunidade de segurança" com mais experiência nos aspectos técnicos. Por outro lado, um estudo a este preço pareceria à primeira vista prezar mais o interesse dos clientes do que outros estudos "grátis" pagos antecipadamente por outros interesses. Mesmo assim, e perante a declaração de integridade, pode ficar para os ditos executivos a dúvida se no caso deste estudo serão realmente eles os principais clientes da Forrester.


    A grande diferença... (Pontos:1, Redundante)
    por mpinho em 06-04-04 0:11 GMT (#43)
    (Utilizador Info)
    A grande diferença é que se a falha for muito grave o próprio administrador do linux pode corrigir diretamente, sem precisar esperar pelo "fabricante". Basta aplicar uns patches e recompilar o programa/kernel.

    Re:A grande diferença... (Pontos:1)
    por mrmv em 06-04-04 11:16 GMT (#47)
    (Utilizador Info)
    oh, oh, já estou a ver no futuro um gajo com o Oracle numa distribuição de Linux a recompilar o kernel e a deixar de ser suportado...

    Tu realmente...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:A grande diferença... (Pontos:2)
    por mpinho em 06-04-04 14:11 GMT (#49)
    (Utilizador Info)
    Esse exemplo do Oracle é um caso particular e extremo.

    A maioria das falhas que vemos em programas como bind, openssh, apache, etc, bem como no próprio kernel podem ser sanadas sim compilando tarballs ou aplicando patches fornecidos pelo desenvolvedor do software, sem precisar esperar que sua distribuição teste e crie um pacote oficial.

    É uma solução emergencial mas que pode ser perfeitamente aplicada na maioria dos casos em servidores críticos, que ficam expostos à internet. Ou você vai esperar mais de uma semana com um bug publicado em todos os sites hacker ?

    Re:A grande diferença... (Pontos:1)
    por mrmv em 06-04-04 16:22 GMT (#52)
    (Utilizador Info)
    É a Oracle e tudo aquilo que não venha com a tua distribuição de Linux que normalmente é a razão pela qual foi escolhida a plataforma, nunca te esqueças que a escolha nunca é ao contrário (ou pelo menos não deve ser)...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:A grande diferença... (Pontos:1)
    por mrmv em 06-04-04 11:18 GMT (#48)
    (Utilizador Info)
    Esqueces-te é que na teoria isso é mt bonito na prática existem algumas restrições que te impedem de tirar partido dessa beleza toda, por uma questão simples, responsabilidade!


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:A grande diferença... (Pontos:1, Redundante)
    por mpinho em 06-04-04 14:15 GMT (#50)
    (Utilizador Info)
    Responsabilidade ?! Responsabilidade em termos de segurança é corrigir o problema imediatamente. Se você leu o relato do bug e a solução envolve na aplicação de um patch de 10 linhas, por que não aplicá-lo até que a distribuição librere novos pcotes corrigidos ?

    Tu vais esperar mais de uma semana pela Red Hat ou pela SuSe e seu site ser "defaced" ?

    Enquanto isso a solução no Windows é tirar o cabo de rede da máquina enquanto não sai a correção oficial M$...
    Re:A grande diferença... (Pontos:1)
    por mrmv em 06-04-04 14:39 GMT (#51)
    (Utilizador Info)
    Vai lá à procura de quantas situações tu tiveste até hoje de exploits conhecidos sem patches do lado da MS...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Joint Statement about GNU/Linux Security (Pontos:2)
    por bgravato em 07-04-04 4:39 GMT (#53)
    (Utilizador Info)
    Aqui está a resposta conjunta da Debian, Mandrakesoft, Red Hat e SUSE:

    Joint Statement about GNU/Linux Security
    _______________
    "When the only tool you have is a hammer, every problem starts to look like a nail."
    Re:Joint Statement about GNU/Linux Security (Pontos:1)
    por mrmv em 07-04-04 8:43 GMT (#54)
    (Utilizador Info)
    Não diz nada de novo, a não ser que as vulnerabilidades são tratadas de acordo com o seu impacto, mas isso é igual para todos faz parte do processo de triagem e aí penso que não existiam dúvidas que a abordagem será similar e organizada em ambos os lados.

    Em relação aos resultados que poderiam ser diferentes dependendo do tipo de vulnerabilidade, concordo que uma visão do número de dias para a resolução e do número de dias da distribuição poderiam ser individualizados por tipo de vulnerabilidade mas isso muito provavelmente só iria mostrar que TODOS resolvem mais rapidamente (muito menos que os 25 dias do melhor resultado médio) as vulnerabilidades mais criticas.

    Mas a questão é que o critério foi igual para todos. E não transparece superioridade nenhuma do modelo Open Source...

    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown

     

     

    [ Topo | FAQ | Editores | Contacto ]