| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | WoWoW!!!
Isto parece a semana da M$, só pode....
*no comments*
|
| |
| | Citando o amigo Bill no memo enviado acerca do Trustworthy Computing: "...the computer industry will only succeed in that world if CIOs, consumers and everyone else sees that Microsoft has created a platform for Trustworthy Computing." Ou seja a industria da informática supostamente irá toda entrar em colapso no caso da MS nao atingir os seus fins... God save us all!
|
| |
| | | ...o 4o artigo desta semana sobre o que a microsoft anda ou nao a fazer... Parece que alguem anda a procurar no Google sobre historias para o Gildot... Sad...
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Ao fim de uns 5 anos a assistir, aqui vai o primeiro comentário não anónimo ao fim de um par deles anónimos:
Artigo interessante...
Mas sem querer ser derrotista, não é " perca de confiabilidade" é: PERDA.
E já agora, para que conste, uma ano não é "um espaço", não tem dimensão de comprimento mas sim de TEMPO. Ou seja: no periodo de um ano e não no "espaço de um ano".
Argh!
|
| |
| |
| | Não é periodo mas sim período "Argh!" Que cheiro a bacalhau.
|
| |
| | Ou seja: no periodo de um ano e não no "espaço de um ano".
Concordo. Muitas vezes ouço pessoas que deveriam falar correctamente (jornalistas sérios, políticos, professores...) a dizer "num curto espaço de tempo". Também me irrita bastante, mas se corrigisse as pessoas, além de parecer mal, não teria muito descanso.
Outra bastante engraçada é, desde o 25 de abril, não se diz instabilizar, mas antes "destabilizar" ou mesmo "desestabilizar". Erro brutal! Tirar a estabilidade é instabilizar. Esta estranha mania de "desestabilização" da língua surgiu porque no PREC os revolucionários mais inflamados, para eufemizar a coisa, diziam que não estavam a instabilizar o país. Estavam a "desestabilizar"... :-)
Outra moda - esta mais recente - bastante irritante e perpetrada por aqueles que mais voz têm é, o "atempadamente".
Segundo as regras da língua Portuguesa atempadamente significa "de modo desprovido de tempo", o que é totalmente contrário ao que vulgarmente se pretende dizer. O prefixo "a" indica a ausência (tal como em "assimétrico", "apolítico"). Não se pode pegar na expressão "a tempo", fazer uma aglutinação grosseira e passar para atempadamente para dizer que "foi a tempo" ou que foi "no tempo certo".
Às tantas as pessoas não pensam no que dizem, seja no conteúdo, seja na forma. O respeito pelas regras da língua não obriga a que ela não evolua, de maneira nenhuma. A língua é viva, mas tem algumas regras. Enfim... há várias calinadas destas. Podíamos ficar aqui um longo período de tempo. ;-)
|
| |
| | | "num curto espaço de tempo" Isto não me parece errado. Tirado do dicionário, espaço pode significar, entre outras, duração. Ou seja, a tua frase equivale a "numa curta duração de tempo", o que também não parece mal. O mesmo se aplica à frase original: "espaço de um ano" -- "duração de um ano"...
-- carlos |
| |
| | Atempadamente está correcto. Atempado significa realizado dentro do tempo ou prazo adequado. Podes verificar aqui. Destabilizar e desestabilizar estão igualmente correctas. Podes verificar aqui.
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
| | Não creio que ele se estivesse a referir aos neologismos que agora é moda espetar em todos os diccionários mas sim ao uso abusivo das regras morfo-sintáticas da lingua portuguesa.
Se a coisa continuar a ser chamada de evolução linguística, em breve terás no diccionário as palavras 'prontos, fostes, fizestes e comestes' se entretanto não houver nenhum mentecapto a lembrar-se de fazer mais acordos ortográficos por forma a transformar a língua portuguesa na língua brasileira politicamente inexistente!
|
| |
| | Os dicionários incorporam as asneiras...
|
| |
| | E ainda há os que acreditam que o Windows 2003 será o sistema operacional para servidores mais seguro do mundo ....
|
| |
| |
| | Quando desligado e sem cabo de rede...
Sim :)
//vd |
| |
| | Para alguem que comenta que não se anda a ler estás muito desactulizado.
Passa por uma bertrand e compra o livro do Mitnick. Computador seguro é aquele que não existe :) .
Gustavo Felisberto
72ef1d7183eb2ea89420b94c0cf3e1f1
apt-get install anarchism
|
| |
| | The Art of Deception ?
Ja' tenho. Mas o livro e' bom para o callcenter :)
//vd |
| |
| | ... aquelas "fugas" de software que acontecem de tempos a tempos de versões betas no saite da micro$oft, ou ainda de keys universais para determinado software.
É triste, mas vai dando para se safar!
Pedro.
|
| |
| | PERCA é um peixe. Escreve-se 'PERDA'!
|
| |
| |
| | Não seja por causa disso,
perca 2
substantivo feminino
popular => perda
Mas, para nao meter comichão, já está alterado.
//vd |
| |
| | Um conceito parecido com certos produtos que certas empresas tentam impingir: de tanto insistir e divulgar o erro, deixa de o ser e passa a ser "standard".
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | Vá lá que é "standard", porque se fosse "standart" era muito pior ;)
Jazzy |
| |
| | é exactamente como a palavra 'standard', até jornalistas a usam com alguma frequência. Será que desconhecem a palavra portuguesa 'norma' ?
|
| |
| | É preciso ter em consideração, o facto da Microsoft ser simplesmente a plataforma mais utilizada a nível Mundial, com todas as implicações inerentes.Quer isto dizer, que é sem a menor dúvida a plataforma mais exposta em tudo.Logo a quantidade de falhas será relativamente grande, visto que a Microsoft tem n produtos e n^n utilizadores, em que uma boa parte destes utilizadores o são para descobrirem falhas.
Não defendo a má política da Microsoft,mas respeito o esforço mental que está associado a tudo de bom e mau que a Microsoft tem.
Venham lá esses comentários ;)
It Must Be Hard Being So Good... |
| |
| |
| | "Não defendo a má política da Microsoft, mas respeito o esforço mental que está associado a tudo de bom e mau que a Microsoft tem."
Fiquei com os olhos trocados nesta! É preciso esforço para fazer mal? %)
|
| |
| | | Nao percebes -- o que ele esta' a dizer e' que nem todos somos "Linux Talibans".
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | ... alguns somos "Microsoft Talibans".
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | É preciso esforço para _fazer_. Se depois fica bem feito ou mal feito, já é outra conversa. Há que diferenciar a qualidade dos produtos das inovações que os mesmos tentam trazer e ainda da política da empresa que os produz.
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | Realmente isto parece o Linuxstao com os seus respectivos Talibans.
Ate parece que o linux e respectivo software (tipo sendmail) nunca tiveram buracos do tamanho do sol... Nadinha... Nem houve uma semana com 2 buracoes no sendmail (é os talibans facilmente argumentam do tipo, mas ng te obriga a usar o sendmail, o sendmail nao presta, pois é, mas faz parte do *nix world e portanto responde pela reputacao do mesmo) e muitos mais no openssh e bind e por ai fora.
Eu nao defendo a M$ nem ng, sou é contra a estupidez patente em 80% dos comentarios aqui no Linuxstao. A maioria dos utilizadores daqui revela estupidez patente ao nao ter abertura de espirito para aceitar que cada macaco no seu galho. Passam a vida a reclamar que o linux é bom para isto e aquilo, e esquecem-se que os outros tb sao bons para outras coisas. Resumindo, nao sao minimamente coerentes (é o problema do fanatismo).
O linux é tao inseguro como um Windows qq colocado nas maos erradas. Quem disser o contrario é no minimo um pessimo profissional pq se esquece da maxima que NADA é seguro. Faz-se o paralelo para e criptografia, onde a 1a frase de qq livro decente diz que só é segura ate ao limite do poder computacional existente ou ate a uma descoberta que deite por terra toda a matematica utilizada.
Quero-me rir um dia destes, quando sair mais um buracao do tamanho destes para o Linux, a ver se piam na mesma tao alto como o fazem agora.
E ja agora, para quem gostar de estatistica, sendo a base de utilizadores de M$ exponencialmente superior à base de *nix (pelo menos em desktops), a probabilidade de ocorrerem problemas e de worms e afins se espalharem será bastante maior (a nao ser que aqui os talibans arranjem uma distribuiçao engracada para o linux).
|
| |
| |
| | Em parte tens razão, só que esqueceste que o linux não vem com um cliente de email como o Outlook (e Outlook Express) e o browser Internet Exploder que são o alvo número 1 de todos os vírus, worms e cia que existem no mundo e que a maioria dos usuários/pseudo-administradores usa o sistema logado como um usuário comum com poderes de administrador...
Esqueceste também que as correções do sistema/programas no linux saem muito mais rapidamente e o próprio administrador pode aplicá-las.
Esqueceste também que sendmail não é o único servidor de email para linux e que a "diversidade genética" de programas torna ataques como o code red muito menos destrutivos.
|
| |
| | | Eu consigo pensar num bom par de maneiras de explorar outras tantas vulnerabilidades no elm ou no pine (para já não falar de coisas mais estranhas e complexas como emacs ou ximian). Tanto quanto sei a maior parte das vulnerabilidades para o Windows e derivados têm sido tornado publicas apenas depois de existir o fix (o passport é uma delas). Ataques como o CodeRed ocorrem mais por problemas entre a cadeira e o teclado dos sysadmins do que por falta de fixes. Por outro lado, se vamos entrar por vulnerabilidades cretinas (que há bastantes no sw do tio bill) é preciso lembrar que as mesmas existem igualmente no mundo *nix (ptrace, CVS, apache e muito, muito mais). Resumindo, esta máxima do Linux é seguro e Windows é um buraco, só acontece na mente de quem não vê dois palmos à frente do nariz e devia, para bem da humanidade, ser proibido de estar a menos de 500m de qualquer computador (incluindo algum Timex 48k que ainda funcione). Dê-me um sistema operativo moderno e minimamente configuravel que o torno tão seguro como qualquer VMS a funcionar para a CIA.
|
| |
| | Dê-me um sistema operativo moderno e minimamente configuravel que o torno tão seguro como qualquer VMS a funcionar para a CIA. Famous last words...
|
| |
| | LOL! Não queria ser tão drástico :-)
|
| |
| | LOL! Queria dizer que nem os sistemas da CIA são assim tão seguros. :-)
|
| |
| | O passport foi tornado público _antes_ de existir qualquer correcção para o problema (pelo menos, qualquer correcção implementada).
Relativamente a outras, não me recordo. O que sei é que, depois de ser conhecida uma vulnerabilidade, por vezes as correcções estão cá fora em questão de minutos (não estou a exagerar) para alguns sistemas operativos e aplicações open-source e podem ser implementadas pelo sysadmin, sem esperar que a empresa produtora lance o respectivo "service pack". Isto porque se torna algo complicado, por muito bom que se seja, andar a fazer correcções em binários. Poderá também ser possível implementar work-arounds nas soluções open-source, que são mais complicados quando o sistema é fechado e não se conhecem todas as dependências que podem existir.
Repara que estou a assumir que os administradores são competentes, tanto o de um linux xpto, como o de um windows zbr (até pode ser a mesma pessoa, um "linux heretic" vendido ao poder do capital ;). Ninguém diz (corrijo, _Eu não digo_) que um ou outro teve, tem ou vai ter menos vulnerabilidades, apenas que as possibilidades e oportunidades é que não são as mesmas, no que toca a "securizar" (esta palavra existe ?).
Mais uma acha para a fogueira: achas que se encontram mais vulnerabilidades a auditar binários vs a auditar código fonte ? E além disso, como foi referido num comentário anterior, a diversidade "genética" é importante, tanto no que se refere à diversidade de programas, à diversidade de linguagens em que os mesmos foram implementados, à diversidade da equipa que os implementou e também no que se refere à diversidade da(s) equipa(s) que os audita. Como em todas as "pools" genéticas, se tiveres diversidade suficiente é natural que se produzam umas quantas pérolas (sentido figurado) no meio de uma quantidade razoável de aberrações.
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | O que sei é que, depois de ser conhecida uma vulnerabilidade, por vezes as correcções estão cá fora em questão de minutos (não estou a exagerar) para alguns sistemas operativos e aplicações open-source e podem ser implementadas pelo sysadmin, sem esperar que a empresa produtora lance o respectivo "service pack".
Outras vezes, são resolvidas logo pelo sysadmin sem haver sequer uma correcao publica.
Ou seja, por ter acesso ao codigo e desde que perceba alguma coisa, ele consegue corrigir o problema se haver um patch oficial.
Mais uma acha para a fogueira: achas que se encontram mais vulnerabilidades a auditar binários vs a auditar código fonte ?
E' mais mais simples auditar codigo fonte do que binarios. Se num lado "olhas" para o codigo, no outro tens de fazer reverse engineering.
//vd |
| |
| | | A maior parte das vezes (99%??) não é preciso conhecer o código fonte para criar um workaround decente antes do patch oficial. Quer queiramos quer não, a MS faz um bom trabalho a documentar (claro que não documentam tudo, mas isso é outra história) os seus produtos e API's (basta ver o MSDN) o que torna simples introduzir hooks, sinks, parsers e outros entre o problema e a causa do mesmo. Quanto a auditar o código fonte vs binários, é óbvio que é mais simples auditar o binário!!! No source code, se não forem seguidas regras, tens que perceber primeiro a ideia do programador, o seu estilo de programação. Contra o binário simplesmente auditas as funções expostas do mesmo e crias um wrapper à volta do bicho para que se limite a fazer o que é suposto fazer e não se porte "mal". É claro que são poucos os que fazem isto. No entanto, se fores um programador muito bom, é claro que a source ajuda e muito! Mas estes são muito poucos e normalmente só são sysadmins por desporto, porque têm coisas mais interessantes para fazer... os meus €0.02
|
| |
| | Muito bem. É bom ver que temos alguém com confiança para meter wrappers em binários dos quais conhece apenas os interfaces publicados.
*clap, clap*
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | | Quad nesciunt eos non interficiet... :-P
|
| |
| | Me transmitte sursum, Caledoni!
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | tantum latinae linguae nouisti ut me: nihil
Outra coisa, nao é "Quad", mas sim "Quod", está mal escrito na pagina onde sacaste a frase.
|
| |
| | | O que sei é que, depois de ser conhecida uma vulnerabilidade, por vezes as correcções estão cá fora em questão de minutos (não estou a exagerar) para alguns sistemas operativos e aplicações open-source e podem ser implementadas pelo sysadmin, sem esperar que a empresa produtora lance o respectivo "service pack". E ja' pensaste a razao disto ? Uma empresa que vende um produto e que tenha milhares de clientes precisa de seguir um ciclo para lancar um patch: - Confirmar e reproduzir o problema,
- Descobrir e implementar a fix,
- Testar a solucao,
- Certificar-se que a solucao nao afecta a funcionalidade para outros clientes do produto,
- Lancar a solucao publicamente,
Isto segue o que se chama um ciclo de Verification, Validation and Testing (VV&T) -- que e' (ou devia ser) uma pratica comum em qualquer empresa de software. No mundo do open-source este ciclo nao e' necessariamente seguido (alias, quase nunca) e como tal e' possivel lancar patches em minutos. So' porque no mundo do software proprietario os patches levam mais tempo a sair isso nao quer dizer que e' mau -- quer dizer que existe mais processo 'a volta da criacao deste -- o que por si e' bom.
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Deves concordar que os 3 primeiros passos são semelhantes. Relativamente ao 4º passo, concerteza que demora tempo. Não é por isso que em alguns patches da MicroSoft (nos posts anteriores optei por não nomear empresas, porque o mesmo se pode aplicar a produtos como Solaris, AIX, IRIX, etc...) não acontece uma de duas coisas, ou mesmo ambas:
- falha em corrigir;
- falha em ser "backwards compatible" fazendo com que algumas aplicações deixem de funcionar.
Sem querer contrariar muito daquilo que disseste, e que considero válido, em teoria, corrigia apenas a última parte: demorar mais tempo e passar em testes não quer dizer que seja _bom_, se no mundo real se verificar que afinal, apesar dos mesmos, todo aquele tempo foi em vão.
Para dar um contra-exemplo áquilo que disse, alguns dos muitos patches que surgiram para Linux relativamente ao ptrace _não funcionavam_, apenas impediam o exploit divulgado como PoC de ser executado com sucesso.
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | | Sem querer contrariar muito daquilo que disseste, e que considero válido, em teoria, corrigia apenas a última parte: demorar mais tempo e passar em testes não quer dizer que seja _bom_, se no mundo real se verificar que afinal, apesar dos mesmos, todo aquele tempo foi em vão. Entao qual e' a alternativa ? Nao resolver os problemas ? Nao percebi onde queres chegar... (a serio)
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | A alternativa é fazer-se o que se diz: se se diz que se demora muito tempo a fazer testes de cada patch por razões de estabilidade, é bom que se façam esses testes, e bem... já agora, que se demore menos tempo.
O moral da história que queria deixar com o post anterior:
- no closed-source, o facto da empresa X afirmar Y, não quer dizer que Y seja verdade, como por exemplo: "Este patch resolve o problema, e sofreu demorados testes de estabilidade, por forma a garantir que não tem outras implicações. Foi mesmo o único motivo que nos levou a não lançar o patch em minutos/horas/dias deixando os clientes dos nossos produtos vulneráveis durante este tempo". Ooops... afinal não resolve... ooops... afinal tem alguns probleminhas com algumas aplicações...;
- no open-source: WYSIWYG.
Como diz o Nevermind nuns posts mais abaixo, sendo que ambas as opções têm vantagens e desvantagens, talvez se devesse considerar a que demora menos tempo e evita tempos de exposição mais elevados.
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | | no open-source: WYSIWYG ... o que nao quer dizer que tambem nao possam ocorrer buracos. Claro que e' justificavel que o processo de auditoria e' aberto, e como tal mais provavel de descobrir erros atempadamente via peer review -- mas quando o codigo se torna muito complexo (a diferenca entre o Kernel do Linux e o grep) entao os bugs podem ser introduzidos na mesma sem serem detectados. Como aconteceu alias no passado com o 2.4.7 por exemplo. Ou seja, a longo prazo um processo formal de VV&T e' a unica saida -- pois no extremo o peer review deixa de ser eficiente para projectos muito complexos. E isto traz-nos de volta ao argumento que para software com um nivel de complexidade muito alto o modelo do open-source nao funciona pois nao e' formal nem centralizado. Tenho dito.
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | E é aqui que as nossas opiniões divergem...
-- pmsac.oO(Cogito sumere potum alterum) |
| |
| | So' porque no mundo do software proprietario os patches levam mais tempo a sair isso nao quer dizer que e' mau -- quer dizer que existe mais processo 'a volta da criacao deste -- o que por si e' bom.
Teorias, porque na prática é o que se vê(exemplo ao acaso)
|
| |
| | | Destes um exemplo de dezenas ou centenas de milhar de produtos proprietarios. No mundo do open-source, nunca aconteceu uma fix nao resolver o problema ? Ou mesmo faze-lo pior ? Devo-te lembrar um certo kernel de um SO open-source ? (versao 2.4.7 para ser mais exacto onde apareceram um numero de bugs novos e outros re-introduzidos)
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Destes um exemplo de dezenas ou centenas de milhar de produtos Open Source.
Conclusao, já que existem patchs com falhas nos dois mundos, pelo menos que levem menos tempo a sair.
|
| |
| | | Agora nem tive que me mexer para te por a fazer figura de ur*o. Obrigado.
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Vais argumentar essa frase ou é simplesmente agressões pessoais gratuitas?
|
| |
| | | Hammm... tens que ter um bocado mais de sentido de humor -- chamar a alguem ur*o nao e' um ataque pessoal -- todos fazemos figura de ur*o eventualmente. A questao e' que dizendo isto: Conclusao, já que existem patchs com falhas nos dois mundos, pelo menos que levem menos tempo a sair. basicamente ignoraste todos os comentarios que fiz acima, e saiste-te com um argumento que, honestamente, nao cola.
"I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | O facto de o patch sair corrige o erro, tudo isso pode ser feito à posteriori para que seja lançada uma versão mais "testada" do patch sem que o utilizador tenha que ficar uns meses à espera com a máquina vulnerável.
No woman ever falls in love with a man unless she has a better opinion of him than he deserves. |
| |
| | Quero-me rir um dia destes, quando sair mais um buracao do tamanho destes para o Linux, a ver se piam na mesma tao alto como o fazem agora
piam pelo menos o pessoal do freeBSD, do openBSD, NetBSD, do SunOS, do AIX, etc... e claro, os de linux que usam uma distro/aplicacao que nao foi afectada
lembra-te que tens sempre alternativa no mundo unix/linux, quando no windows nao tens, ou usas aquilo, mesmo sabendo que e' mau, ou nao usas nada e tens de mudar de OS/aplicacao e afins
Pior e' quando alguem usa a pensar que e' bom e depois acontece-lhe disto...
Higuita |
| |
| | Quero-me rir um dia destes, quando sair mais um buracao do tamanho destes para o Linux, a ver se piam na mesma tao alto como o fazem agora
piam pelo menos o pessoal do freeBSD, do openBSD, NetBSD, do SunOS, do AIX, etc... e claro, os de linux que usam uma distro/ aplicacao que nao foi afectada
E' dificil nao perceber que se assiste a um fenonemo de selecao natural no mundos dos OSes ha ja bastante anos a esta data. Ao contrario da plataforma windows os nix em geral sofrem mutacoes a cada 2 anos.
De um lado temos uma espice que nao resiste a uma alteracao do seu ambiente, ou a uma investida de virus, e a cada dia que passa perde mais e mais qualidades, caracteristicas, vantagens e competitividade sobre as outras especies.
Do outro lado temos um grupo de seres que ja rastejam, e dao os primeiros passos para a caminhada final.
A conquista do topo da cadeia alimentar.
Make World; Not War; |
| |
