Олон харцаар харахад бүх алдаа нь тодорхой болно

Энэ нийтлэлийн гарчиг нь Эрик Рэймонд өөрийн номын ишлэл юм Сүм хийд ба зах, энэ нь нээлттэй эхийн гол тарниудын нэг гэж тооцогддог. Тэр үеэс хойш Линусын хууль (үүнийг Эрик ингэж нэрлэдэг) бүх төрлийн халдлагад өртдөг, ялангуяа алдаа гэж юу вэ Учир нь алдааны харагдах байдал нь бусад шалтгааны улмаас кодыг харж буй нүдний тооноос хамааралгүй байдаг.

Долоо хоногийн өмнө алдааны замбараагүй байдал үсрэх үед Сэтгэл зүрхтэй OpenSSL (нээлттэй эхийн төсөл) ба түүний нөлөөллийн талаар цөөн хэдэн (жишээлбэл энэ алимны хэрэглэгч) тарнийг болон түүнийг хамгаалагчдыг шүүмжлэхэд түргэн байсан. Хэрэв энэ нь илэрсэн бол нэг нь бүтэлгүйтэв IOS код дээр бид "хахаха, тэрийг нь ав" гээд л эргэлддэг. Гэхдээ хэрэв энэ нь илэрсэн бол GnuTLS-д 10 жилийн турш илрээгүй алдааБид "ядаж үүнийг засч залруулсан" гэж хэлдэг.

тэгээд Эрик бичлэг бичсэн зүйлийг тодорхой болгох. Линусын хууль өмнөх шигээ хүчин төгөлдөр мөрдөгдөж байна.

Эрик хэлэхдээ шүүмжлэгчид өөрсдийн харж буй алдааг хэт их онцолж алдаа гаргадаг бөгөөд үүнтэй дүйцэхүйц хаалттай програм хангамжаас олж чадахгүй байгаа аюулгүй байдлын доголдлыг онцлон тэмдэглээгүй байна. Тэрбээр "олон харцаар" гэж хэлэхэд тэр аудит хийж байгаа хүмүүсийн тоог хэлж байгаа юм биш таамаглалын олон янз байдал. Өөр сэтгэдэг цөөн хэдэн хүмүүс нийтлэг сохор бүстэй армиас илүү сайн аудитор байж чаддаг.

Сүүлийн хэдэн сард би интернэт чиглүүлэгчид, оршин суугчид, жижиг бизнес эрхлэгчдэд зориулсан өмчийн програм хангамжийн аюулгүй байдлын алдааны нягтрал, үсийг нь буржийлгах талаар хэд хэдэн зүйлийг сурч мэдсэн. Та OpenWRT эсвэл түүний хувилбаруудын аль нэгнээс бага аудитлагдсан зүйлд итгэхийг хүсэхгүй байна. Дараагийн удаа эдгээр нээлттэй эх төслүүдийн аль нэгэнд аюулгүй байдлын алдаа гарахад бид хуучин эх киног дахин давтаж, нээлттэй эх сурвалж ажиллахгүй гэж шуугиж буй хүмүүсийг үзэх болно. Хачирхалтай нь энэ нь нээлттэй эхийн процесс БОЛОМЖТОЙ байгаа тул илүү муу алдаанууд хаа нэгтээ хаалттай чиглүүлэгчийн програмыг тойрон эргэлддэг тул яг ийм зүйл тохиолдох болно.

Үүнтэй ижил жишээ нь Heartbleed-д хамаатай. SSL / TLS өмчлөлийн блокуудын согогийн түүх гэж юу вэ? Энэ нь тодорхойгүй байна. Үйлдвэрлэгчид юу ч хэлдэггүй. Кодын аудитыг шалгах боломжгүй тул чанарын талаар та юу ч хэлж чадахгүй. Зохицуулалт илгээх хурд бас тодорч байна. Linux систем дээр аль хэдийн Heartbleed-ийг засах боломжтой болсон. Өмчийн системд засах нь илүү удаан үргэлжилж болно. Програм хангамжийн бизнесийн хаалттай загваруудын ихэнх нь шинэчлэлийг үнэтэй, өндөр үрэлттэй, батлах шаардлага, төлбөр, хууль эрх зүйн хязгаарлалтад хамрагдах шаардлагатай байдагтай холбоотой юм. Хэн ч түүгээр орлого олохыг хичээдэггүй тул нээлттэй эх сурвалжид тохиролцоог хэдэн минутын дотор хийж болно.

Өө, би хэдхэн сайт дээр нууц үгээ сольсон (зөвхөн https-ийг дэмждэг хүмүүс) түүнд мөнгө өгөхөөс гадна. Тэд үнэхээр үүнийг хүртэх ёстой.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

13 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   хүрээ гэж хэлэв

    Тиймээс л бүх үйлдлийн системийн хувьд "онцгой үйлдлийн системийн фен" байх нь тийм ч тохиромжтой биш юм
    өөрчлөгддөг цорын ганц зүйл бол асуудлыг хэрхэн шийдвэрлэх философи юм

    http://i.imgur.com/UOFAbqy.jpg

    1.    Александр гэж хэлэв

      Би зураг дээр дуртай байсан, сэтгэгдэл дээр санал өгөх боломжгүй байдаг нь үнэхээр харамсалтай юм

      1.    Нилло гэж хэлэв

        Тэд DIsqus-ийг тайлбарын систем болгон ашиглаж болно.

        1.    eliotime3000 гэж хэлэв

          Disqus-ийн муу зүйл бол хэрэглэгчийн менежментийн систем нь үнэхээр муу бөгөөд тэд ямар имэйл ашигладаг, эсвэл аль IP-ээс сэтгэгдэл орж ирсэн сэтгэгдлийг хянах боломжгүй юм.

    2.    eliotime3000 гэж хэлэв

      Зураг дээр алдаа гарсан байна: GNU / Linux шинэчлэлтүүдийн хувьд сайн зүйл бол шинэчлэлтүүд нь ерөнхийдөө Windows, Mac-тэй адил том MB биш юм. Мөн Windows Update, Шинэчлэлтийн менежерийн хувьд энэ нь зүгээр л сэтгэл дундуур байдаг.

    3.    userGNU / Linux гэж хэлэв

      Би асуудалтай байна; Асуудлын гол нь бид эдгээр овсгоотой төхөөрөмжүүдийг юу болох, юу хийдгийг нь ч ойлголгүйгээр ашигладаг явдал юм. Хүн бүр програмчилж сурч чадахгүй, харин байгаа хүмүүсийн дунд цөөн хэдэн програмист өөрчлөлт хийж чадна.
      Та анх удаа GNU / Linux үйлдлийн системийг ачаалж хэрэглэгчийн нууц үгээ оруулахдаа харилцан яриаг уншсан. "Эрчим хүч ба хариуцлагын тухай". Эдгээр төхөөрөмжүүдийн "эх код" -ыг чөлөөтэй ашиглах боломжтой болгоход сайн хөгжүүлэгчид үүнийг хийдэг.

  2.   Ronin гэж хэлэв

    OpenSSL асуудал нь олон нийтийн асуудал мөн гэж бодож байна, учир нь кодыг нээлттэй байх ёстой тул илүү сайн аудит хийлгэх ёстой байсан тул дор хаяж нэг нь нээлттэй эх сурвалжаас илүү аюулгүй байдаг гэсэн саналтай 100 хувь санал нийлж байна. Нууцлалын хувьд энэ нь ямар аюулгүй, найдваргүй болохыг мэдэхгүй байхад ижил төрсөн хүүхдийн алдаатай танилцах.

    1.    eliotime3000 гэж хэлэв

      Асуудал нь заавал OpenSSL нийгэмлэг байх албагүй бөгөөд асуудал нь олон нийтийн анхаарлын төвд байгаа ийм програм хангамжийн хувилбарыг шинэчлэхийг уриалаагүй явдал юм.

      Дашрамд хэлэхэд, 1.0.0 ба 0.9.8 салбараас 1.0.1g хувилбараас гадна эдгээр алдаанд өртөөгүй хувилбарууд юм.

  3.   одоо линукс ашиглая гэж хэлэв

    маш сайн нийтлэл!

  4.   eliotime3000 гэж хэлэв

    Аз болоход тэд OpenSSL-ийг Debian GNU / Linux гэх мэт дистрибьютерүүд дээр шинэчлэв (гэхдээ энэ нь маш хөнгөн), гэхдээ Windows-д 800 МБ хэмжээтэй FRIOLERA ирдэг (хамгийн муу зүйл бол тэд өмнөх шигээ засварууд байдаг бөгөөд тэдгээр нь хэзээ ч тодорхойгүй байдаг. GNU / Linux хуваарилалт).

    Юутай ч алдаа нь OpenSSL-ээс биш SSL-ээс өөрөөс нь гарсан гэж бодсон (хэрэв AES эсвэл WPA-PSK-аас авсан бол түүх өөр байх байсан).

  5.   vidagnu гэж хэлэв

    Хаалттай системд хэдэн жилийн туршид бидний мэдэхгүй, гэмт хэрэгтнүүд хулгайлах зорилгоор ашиглаж болзошгүй олон асуудал байж болох бөгөөд хамгийн аймшигтай зүйл бол тэднийг илрүүлж, мэдээлэхэд үүрд шийдэгдэх явдал юм.

  6.   kAoi97 гэж хэлэв

    сонирхолтой

  7.   userGNU / Linux гэж хэлэв

    Нээлттэй эх үүсвэр эсвэл нээлттэй эх үүсвэр нь нийгмийн халамжийн дээд хэмжээг автоматаар авдаг. Хаалттай код; хараат бус хүмүүсийн цөөн хэдэн акоста хувийн ашиг сонирхлыг эрэлхийлэх чадварын илэрхийлэл. Үүнийг Адам Смитийн "үл үзэгдэгч гар" хэмээх эдийн засгийн санаатай холбон ярихад надад инээд хүрээд байгаа бөгөөд үүнийг би мэдээж маш их зөрчилтэй гэж үздэг.