Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente *que antigamente*, acredito e corroboro. Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente que o GNU/Linux ou software livre em termos genéricos eu rio-me, e rio-me, e rio-me... :-)
Dominus vobiscum |
| |
|
| | Entao explica la' as tuas metricas se faz favor. "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Não me faças perder o meu tempo, quando sabes perfeitamente a veracidade da questão. Se tu tens tempo a perder, então dá-me tu a contra-prova, visto que és tu que estás a duvidar da minha palavra, e mostra-me que eu estou errado. Fico à espera... (sentado)
Dominus vobiscum |
| |
| | Nao preciso de dar contra-prova nenhuma, esta' no estudo da Forrester. Tu e' que duvidaste do estudo, logo convinha explicares porque. "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Agora é que nunca mais nos levantamos...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | ouve la quando é q montas a tal maquina com o win2000 e ultimo service pack e assinas o tal cheque??! |
| |
| | Fazemos assim, tu pagas os $899 dólares do artigo e depois eu lei-o o artigo, combinado? Ou então, mais simples, vais tu lêr os comentários do autor do artigo da eweek, como eu o fiz, e perceber até que ponto o estudo não é esclarecedor. Exemplo: eles avaliam a saída das correcções para Linux recorrendo às grandes empresas. Ora, isto é prenecioso e incorrecto visto que os patches saiem muito antes (um, dois dias depois das advisories) em sítios como kernel.org, uma semana depois a Redhat/SuSE/etc.. pega neles, testa-os, e aprova-os. Ou seja, desde que o patch sai até que ele é aprovado vai um grande período, que é uma medida incorrecta e não beneficia o estudo. Por exemplo, eu actualizo muito mais frequentemente o meu software com os patches dos sites das aplicações do que com os updates do SuSE.
Dominus vobiscum |
| |
| | Exemplo: eles avaliam a saída das correcções para Linux recorrendo às grandes empresas. Ora, isto é prenecioso e incorrecto visto que os patches saiem muito antes (um, dois dias depois das advisories) em sítios como kernel.org, uma semana depois a Redhat/SuSE/etc.. pega neles, testa-os, e aprova-os. Ou seja, desde que o patch sai até que ele é aprovado vai um grande período, que é uma medida incorrecta e não beneficia o estudo. Por exemplo, eu actualizo muito mais frequentemente o meu software com os patches dos sites das aplicações do que com os updates do SuSE. Claro que esqueces-te que o estudo e' vocacionado para empresas, e empresas teem algo que se chama contracto de suporte do vendedor, e nenhuma vai aplicar patches caseiros aos seus servidores... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Seja para empresas ou não, é redutor dizer que a Microsoft lança patches mais rápido que os outros, principalmente quando desde a advisory até ao exploit passando pelo patch, em software livre, demora 2, 3 dias, e a Microsoft leva 6 meses para lançar um patch. É, no mínimo, ridículo.. Patches caseiros? Se for a equipa do Openssh a lançar um patch, eu, à partida, confio nele. E mesmo que não confie, posso sempre pedir uma avaliação de uma semana, período de tempo muito inferior aos tais 27 dias da Microsoft, que eu me continuo a rir.
Dominus vobiscum |
| |
| | Tu não percebes, fica-te lá pela tua realidade académica que nesse caso tens o teu problema resolvido. Instalas o patch quando há, e meu amigo quando existe um exploit conhecido acredita que a MS vai ter de ser muito mais rápida a reagir, o problema para eles não é conhecer o problema e resolvê-lo, o problema será testá-lo e se o fizerem em todas as versões que suportam imaginas o tempo que isso poderá levar... e por isso também imaginas onde se pode cortar quando não existe muito tempo de reacção... Agora mesmo tendo essas condicionantes e com uma base de código grande para manter (comparativamente com a controlada pelas principais distribuições) e ser duas vezes mais rápido, não me parece mau, e mais resolvendo 100% dos problemas enquanto as distribuições em comparação vão deixando um ou outro problema por resolver.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Realidade académica? Meu caro, diz-me lá quem tu és, portfólio e currículo e experiência profissional para ver se isso te dá mais credibilidade que eu.. E claro, desde quando isso te dá mais percepção de um assunto que em nada deriva do CV.
Dominus vobiscum |
| |
| | Tens toda a razão, o que te falta é sentido empresarial mais nada...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Engraçado, a minha família tem cerca de 1500 empresas, nacionais e multi-nacionais, mas és tu que vens com a retórica. Considero que tenho uma boa percepção do mercado empresarial, mas como isso é um nicho de mercado, diria, 50%, os outros 50%, que são os utilizadores comuns, também contam.
Dominus vobiscum |
| |
| | Uau! 1500 empresas ? Fantastico Mike! "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Grupo Amorim. Tenho a felicidade de ser primo (em 3º grau, prima direita é a minha avó) do Américo Amorim. Quando precisares de um pau de cortiça, daqueles bem grandes eu envio-te à cobrança! Se aceitares esta oferta na próxima meia hora recebes de borla a vaselina ;-) P.S. - Não te ofendas, estou apenas na brincadeira contigo. Se, por ventura, ficaste ofendido, o meu pedido de desculpas. Boa Páscoa Nuno! :-)
Dominus vobiscum |
| |
| | Parabens, tenho a certeza que esse "sangue empresarial" de 3a geracao te corre nas veias e vais ser um empresario de sucesso. Obrigado pela oferta do pau de cortica e vaselina -- mas nao me viro muito para esses lados. "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Se estás a ser irónico, vou ignorar e admitir em toda a plenitude que esses foram votos sinceros. Posso ou posso não ser um empresário de sucesso, não era isso que estava em questão, mas já que tocaste nesse ponto, espero lutar por isso. Quanto ao sangue de terceira geração, podes estar descansado que a minha linhagem directa também tem o sangue empresarial, mas obrigado pela preocupação ;-) Quanto ao pau de cortiça, como percebeste e bem, estava na brincadeira. Acho que deves levar as coisas mais na brincadeira. Repara, somos dois indivíduos a trocar palavras recorrendo a um teclado. Eu faço-o com prazer e um sorriso de brincadeira quando as troco contigo, espero que faças o mesmo :-)
Dominus vobiscum |
| |
| | Acho que deves levar as coisas mais na brincadeira. Repara, somos dois indivíduos a trocar palavras recorrendo a um teclado. Eu faço-o com prazer e um sorriso de brincadeira quando as troco contigo, espero que faças o mesmo :-) Nao sou daqueles tipos que anda sempre com um sorriso amarelo na cara, mas em geral quando leio o que escreves rio-me :). "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Sorriso amarelo? Nada disso! Simplesmente gosto de acordar, olhar para o levantar do sol e, graças a Deus, tenho razões para sorrir. Gosto de encarar a vida desta forma, com um sorriso na cara. Tenta fazer o mesmo, acredita que sabe muito melhor :-) Ris-te? Obrigado, fico satisfeito de saber que fiz alguém esboçar um sorriso! :-)
Dominus vobiscum |
| |
| | 3a geracao ? Ohhhhhhhhhhhhhhhhhhhhhhhhh eu tava com esperança que fosses um gajo importante, agora de 3a geracao, pftttttttttttttttttttttttttttttttttt !
Mister ToniDosImpostos "O software é como as mulheres, se não sabes, não MEXAS !" (c) ME, 2004! |
| |
| | E já agora, o grupo Amorim nas suas plataformas usa que SO? :-/
Shake dreams from your hair my pretty child, my sweet one... |
| |
| | Rapaz, tu realmente és o maior ! Eu tinha ideia que era o maior aqui do burgo, mas tu realmente bates qq um aos pontos. Eras o maior que entravas em qq curso, nao precisas de liçoes de economia pq tens familia toda economista, percebes a potes de Linux, percebes a rodos de programacao, e agora ate tens 1500 empresas ! Mas que raio fazes tu numa reles universidade portuguesa ? Um genio como tu devia tar ja nos EUA ou no UK ou CANADA, porque estas a desperdiçar esse intelecto todo !! Disclaimer: É claro que isto é a gozar com este bronco do c***** !! :) (peço desculpa pelo palavrao mas aqui na capital nao deixam dizer e ja tava com saudades!)
Mister ToniDosImpostos "O software é como as mulheres, se não sabes, não MEXAS !" (c) ME, 2004! |
| |
| | Toni, sempre discreto, sempre educado! Francisco Colaço |
| |
| | Ui, deixa-te estar que tu tens uma educacaozinha do caneco... "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information
|
| |
| | Pois eu diria que a tua solução ainda só o é para alguns nichos... e pelas tuas palavras se não serve a 50% do mercado aos outros 50% também não me parece... :o) Agora a sério eu quando disse que te falta sentido empresarial, olha que é verdade, às vezes nem dá para perceber de que mundo vens... de vez em quando devias colocar-te no papel do decisor e desafiar essas tuas opiniões com as decisões a tomar para perceberes o quanto são incompativeis...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Mas tu estás bem? Que decisões falas? Eu tomei alguma decisão? Achas mesmo que se uma solução Microsoft fosse a melhor para a minha empresa, em termos de custo/benefício, eu não a escolheria? Ando a dormir não? Mas à parte disso, gosto de ter os meus ideais, a minha parcialidade, o meu clubismo e não consigo ficar imparcial a todo o nojo execrável inerente à Microsoft. Só isso..
Dominus vobiscum |
| |
| | O teu 3º parágrafo é demais, e porque será que não acredito nele? Talvez por achar que o teu 4º parágrafo é muito mais forte e te impede de ver as coisas com a racionalidade necessária... mas não fiques irritado, porque o meu objectivo não é irritar-te.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | "Agora mesmo tendo essas condicionantes e com uma base de código grande para manter (comparativamente com a controlada pelas principais distribuições)..." As principais distribuições, além de terem que lidar com o que adicionam à mesma, têm que se preocupar com o kernel e as milhentas aplicações que incluem. A Mico borrifa-se se por exemplo chocar com o anti-vírus de serviço. "...e ser duas vezes mais rápido, não me parece mau, e mais resolvendo 100% dos problemas enquanto as distribuições em comparação vão deixando um ou outro problema por resolver." 100%?! Acreditas piamente nisso, não? Estas métricas não passam de estudo ao kilo...
"No comments" |
| |
| | 100%?! Acreditas piamente nisso, não? Estas métricas não passam de estudo ao kilo... Devo acreditar tanto como em tudo o resto que o desmente... à falta de melhor.
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Tu realmente... deve ser o teu sexto sentido a dizer-te que por algum motivo as métricas utilizadas pela Forrester estão completamente erradas e o pior é que eles nem sabem... Mas tu vais ser porreiro e envia-lhes um e-mail a explicar vá lá, colabora...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | e o dever da microsoft ser muito mais rapida, pois e um produto comercial e tambem o mais usado em todo o mundo. sem esquecer que quando se instala um novo sistema com o microsoft windows nao ha muito a escolher, temos que instalar a versao que vem no compact disc e depois e fazer o update dos drivers, ligar a internet, configurar a rede e depois windows update e ainda configurar e instalar os anti-virus e firewalls... ou seja, e preciso fazer imensas coisas e ate la corre sempre o tempo (lembro-me daqueles que nem conseguiam meter o a actualizacao para aquele problema do computador nao reniciar porque o computador reniciava logo hehe). thing |
| |
| | Se activasses a firewall antes de ligar não tinhas problema... tens de te informar ;o) "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | hehe eu sei... para mim e muito simples, mas nao podemos esquecer que praticamente todas as pessoas caseiras que tem i microsoft windows xp nem no primeiro dia nem no ultimo vao fazer o update... felizmente ja instalam anti-virus, mas o resto... a microsoft ainda tem que fazer muita publicidade ao problema. thing |
| |
| | "Se me dizem que a Microsoft corrige problemas de segurança mais rapidamente que o GNU/Linux ou software livre em termos genéricos eu rio-me, e rio-me, e rio-me..."
Piedade! Poupem-nos a estas discussões estéreis... |
| |
| | Agreed... Remember to be the Killer, not the Victim! (Nuklear Girl) |
| |
| | Como não li o estudo da Forrester e não me apetece estar a pagar 899 dólares para ler o mesmo, apenas me posso basear no que li nos artigos que abordam o mesmo estudo. Tendo isto em conta, parece-me a mim que o estudo apenas focou a rapidez de resolução dos bugs por parte das empresas responsáveis pelas diversas distribuições de Linux, e neste contexto até acho possível (e provável) que a Microsoft seja mais rápida a corrigir problemas que a RedHat ou as restantes. E aqui parece-me necessário distinguir entre as resoluções apresentadas por essas empresas e as resoluções dos bugs pelos responsáveis directos das próprias aplicações, a menos que os responsáveis directos pelas aplicações sejam as próprias empresas (caso por exemplo dos kernels customizados que são disponibilizados com as distribuições. Agora pode-se é argumentar que não existindo em package essas alterações, é necessário ir buscar o código, compilar e instalar o mesmo, e que tal dá trabalho, o que é verdade.. mas aqui trata-se de uma questão de escolha do utilizador final. Se preferir continuar com uma versão de software que sabe que tem problemas de segurança e esperar pelos packages da própria distribuição é uma decisão dele, existindo contudo soluções alternativas para resolver o problema. E aqui parece-me que o software livre tem uma grande vantagem sobre os produtos comerciais.
-- What, Me Worry? |
| |
| | A Red Hat, pelo menos, parece-me ser bastante rápida a disponibilizar pacotes com fixes de segurança, algumas vezes até mais rápida do que os próprios maintainers originais do software. Isto depende do software, é claro, normalmente os fixes aparecem primeiro no software original e só depois nos pacotes da Red Hat, mesmo que tenham sido estes a produzir os patches. No entanto há casos em que acontece o contrário (p.ex. o gaim, em que os tipos preferiram por lá no site um link para os fixes em vez de lançarem uma nova versão com eles incluídos mas ei, se cilindram um gajo só por fazer sugestões para corrigir alguns dos problemas de UI também não devem ligar grande coisa à segurança...
-- Carlos Rodrigues |
| |
| | Bem com sinceridade NÃO consigo acreditar em nenhum destes artigos que vão por ai saindo. Eu hoje não uso debian, mas ainda me lembro de todas as manhãs fazer update em 10 maquinas (security only) e de ver pacotes serem actualizados, e depois ao ir ver o mail do dia na pasta da bugtraq estar la o aviso do problema seguido do mail do pessoal da debain com a resolução. Agora o que eu gostava de saber é que raio estes artigos andam aqui a fazer no gildot. Ja devia haver uma categoria chamada FUD para o pessoal poder filtrar. Gustavo Felisberto 72ef1d7183eb2ea89420b94c0cf3e1f1 apt-get install anarchism |
| |
| | "Segundo estes quatro estudos independentes..." -- onde é que eu já ouvi isto? Tele-Vendas? |
| |
|
| | Segundo uns estudos independentes, veio-se a confirmar que Portugal possui armas de destruição maciça. Segundo a Corps of Intelligence Absent (CIA), Portugal é considerado o país com mais armas de destruição maciça, superando mesmo os membros do Conselho de Segurança, que atá hoje se acreditava terem a maioria do potencial destrutivo da humanidade. Para o Departamento de Estado Estadunidense, a potencialidade destrutiva do arsenal português não reside em armas nucleares, nem bacteriológicas ou químicas (NBQ), mas num grupo de selectos arsonistas, dispersos em células de potencial destrutivo major, e que coordenam as suas acções num site chamado Gildot. «Da última vez que o tema Microsoft veio à baila, tivémos um problema dos diabos para evitar que todo o planeta mergulhasse na direcção do Sol.», afirma Condoleeza Rice, a secratária para a segurança interna dos Estados Unidos. A ameaça do Gildot é levada muito a sério no pentágono, afirmando-se à boca fechada que uma invasão de Marines é esperada nos próximos dias nas praias do Norte de Portugal. «A situação é urgente, e temos de actuar imediatamente.», continuou a mesma individualidade. Questionada sobre a hipótese de haver um erro dos serviços secretos, respondeu: «Qual erro, qual quê! Isto está patente para todo o mundo ver!» Sobre o tipo de operações, foi referida a eliminação física do site, a eliminação dos membros das células de discussão e o retorno forçado do Leitão e do Tomi dos Impostos para o planeta de onde vieram. Afirmou: «Com opiniões daquelas, eles definitivamente não vivem neste mundo.» Francisco Col KABOOM! |
| |
| | Célula de resistência do Norte. Stop. Informa operação pinguim livre, montada.Stop Praias Seguras.Stop
------------------------------------------------------------ Todas as coisas mudam, e nós mudamos com elas. |
| |
| | Segundo o Tintin a Forrester anunciou que nunca mais fazia nenhum estudo para a Microsoft, finalmente temos um não encomendado!!!
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
IE (Pontos:2, Interessante) |
| | Este artigo refere-se apenas ás falhas de segurança do SO, ignorando os programas? As falhas do IE vêm-me á mente. Onde estão as patches que já deviam ter saido ha quatro meses para esta vulnerabilidade http://slashdot.org/articles/03/12/11/1319212.shtml?tid=113 Ha pouco tempo li outro artigo que afirmava que o linux era mais vulnerável a hackers, e nem chegaram a tomar em conta os virus/worms e trojans. Isto foi na slashdot e é claro que alguém apontou para o pequeno detalhe que a empresa responsavel pelo artigo tinha uma qualquer ligação finançeira com a M$. Este tipo de FUD não me surpreende. |
| |
| | sem necessitar de grandes manutenções, onde as quais se resumem a uns quantos "patches", de 3 em 3 meses
Tu aplicas patches com a frequência que bem desejares, isso depende da tua política de segurança... não me digas é que o Solaris é um sistema que "não necessita de grandes manutenções"... o número de bugs descobertos no Solaris é muito elevado e isto vindo de alguém que conhece bastante bem o SO e que o usa diariamente... Só para ficarem com uma ideia, quem instalar o Solaris 9, vai ter que aplicar ( pelo menos ) 412 patches que corrigem nada menos que 3391 bugs, e isto sem contar com os patches que não são públicos, senão o número de patches pode ultrapassar os 500 ! |
| |
|
| | Eu aplico patches à medida que eles vão saindo e sejam necessários para manter a integridade de um servidor, sem X. Os patches são classifcados por categorias e só aplico as que se referem 'a segurança. Todos os outros, para um servidor são irrelevantes. Como disse, na minha opinião pessoal e' um sistema que não requere grandes manutenções. Agora e indo 'a lista dos 412 patches e dando apenas alguns exemplos, que certamente serão aplicáveis ao "teu" sistema... - Synopsis: SunOS 5.9: Expert3D IFB Graphics Patch Para um servidor deve ser importante. - Synopsis: SunOS 5.9: XVR-1000 GFB Graphics Patch idem - Synopsis: SunOS 5.9: PGX32 Graphics idem - Synopsis: SunOS 5.9: Elite3D AFB Graphics Patch idem - Synopsis: SunOS 5.9: Creator and Creator3D: FFB Graphics Patch idem - Synopsis: SunOS 5.9: M64 Graphics Patch outro... - Synopsis: SunOS 5.9: TCX Graphics Patch e outro.. - Synopsis: SunOS 5.9: Sun GigaSwift Ethernet 1.0 driver patch presumo que esse servidor deve usar este dispositivo... - Synopsis: SunOS 5.9: Sun ONE Directory Server 5.1 patch Onde ja' existe o 6.1 ... - Synopsis: SunOS 5.9: Enchilada/Stiletto - PICL & FRUID Patch Este e' importante! - Synopsis: SunOS 5.9: Sun Fire V880z/XVR-4000 Graphics Patch importantissimo! - Synopsis: SunOS 5.9: Sun XVR-100 Graphics Accelerator Patch e continua... Este foram apenas alguns exemplos dos 412 patches aplicáveis, todos eles importantes...
//vd |
| |
| | só aplico as que se referem 'a segurança. Todos os outros, para um servidor são irrelevantes.
Isso é a tua opinião... há patches de performance e de funcionamento inesperado de aplicações que são igualmente criticos.
Como disse, na minha opinião pessoal e' um sistema que não requere grandes manutenções.
Estou a ver... ou seja, não se aplica minimamente ao artigo e daí ser um exemplo completamente despropositado ! |
| |
| | Claro que o estudo em si só pode ser bem comentado conhecendo melhor o conteúdo dele, em particular as amostras usadas e a forma como aquelas métricas resultaram nas conclusões. Resta a decisão sobre gastar 899 USD no estudo, sem esquecer a declaração do CEO da Forrester sobre a "integridade da pesquisa da Forrester". Resumo tendencioso meu: A integridade da investigação é o valor central na nossa companhia. Uma parte pequena do nosso negócio, agora maior do que antes, é da investigação paga por fornecedores dos produtos investigados. Esses estudos também são íntegros, mas como estavam a ser usados para fazer publicidade aos produtos, precisámos de clarificar a nossa política de integridade: continuamos a fazer estudos encomendados pelos fornecedores, mas agora não deixamos usar esses estudos em publicidade. Como não é um estudo de acesso gratuito, suspeito que será sobretudo consumido por executivos à espera de conclusões simples (mas que esperem ser fiáveis) sobre a situação actual, e não tanto observado com cuidado pela "comunidade de segurança" com mais experiência nos aspectos técnicos. Por outro lado, um estudo a este preço pareceria à primeira vista prezar mais o interesse dos clientes do que outros estudos "grátis" pagos antecipadamente por outros interesses. Mesmo assim, e perante a declaração de integridade, pode ficar para os ditos executivos a dúvida se no caso deste estudo serão realmente eles os principais clientes da Forrester. |
| |
| | A grande diferença é que se a falha for muito grave o próprio administrador do linux pode corrigir diretamente, sem precisar esperar pelo "fabricante". Basta aplicar uns patches e recompilar o programa/kernel.
|
| |
|
| | oh, oh, já estou a ver no futuro um gajo com o Oracle numa distribuição de Linux a recompilar o kernel e a deixar de ser suportado... Tu realmente...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Esse exemplo do Oracle é um caso particular e extremo. A maioria das falhas que vemos em programas como bind, openssh, apache, etc, bem como no próprio kernel podem ser sanadas sim compilando tarballs ou aplicando patches fornecidos pelo desenvolvedor do software, sem precisar esperar que sua distribuição teste e crie um pacote oficial. É uma solução emergencial mas que pode ser perfeitamente aplicada na maioria dos casos em servidores críticos, que ficam expostos à internet. Ou você vai esperar mais de uma semana com um bug publicado em todos os sites hacker ?
|
| |
| | É a Oracle e tudo aquilo que não venha com a tua distribuição de Linux que normalmente é a razão pela qual foi escolhida a plataforma, nunca te esqueças que a escolha nunca é ao contrário (ou pelo menos não deve ser)...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Esqueces-te é que na teoria isso é mt bonito na prática existem algumas restrições que te impedem de tirar partido dessa beleza toda, por uma questão simples, responsabilidade!
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Responsabilidade ?! Responsabilidade em termos de segurança é corrigir o problema imediatamente. Se você leu o relato do bug e a solução envolve na aplicação de um patch de 10 linhas, por que não aplicá-lo até que a distribuição librere novos pcotes corrigidos ? Tu vais esperar mais de uma semana pela Red Hat ou pela SuSe e seu site ser "defaced" ? Enquanto isso a solução no Windows é tirar o cabo de rede da máquina enquanto não sai a correção oficial M$... |
| |
| | Vai lá à procura de quantas situações tu tiveste até hoje de exploits conhecidos sem patches do lado da MS...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |
| | Aqui está a resposta conjunta da Debian, Mandrakesoft, Red Hat e SUSE: Joint Statement about GNU/Linux Security _______________ "When the only tool you have is a hammer, every problem starts to look like a nail." |
| |
|
| | Não diz nada de novo, a não ser que as vulnerabilidades são tratadas de acordo com o seu impacto, mas isso é igual para todos faz parte do processo de triagem e aí penso que não existiam dúvidas que a abordagem será similar e organizada em ambos os lados. Em relação aos resultados que poderiam ser diferentes dependendo do tipo de vulnerabilidade, concordo que uma visão do número de dias para a resolução e do número de dias da distribuição poderiam ser individualizados por tipo de vulnerabilidade mas isso muito provavelmente só iria mostrar que TODOS resolvem mais rapidamente (muito menos que os 25 dias do melhor resultado médio) as vulnerabilidades mais criticas. Mas a questão é que o critério foi igual para todos. E não transparece superioridade nenhuma do modelo Open Source...
"The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown |
| |