Keresés: - [Re:] Az Oracle már április óta tud a Java-hibáról

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#33 bambano titán sh4d0w #31

Új Válasz 2012-08-30 16:42:42 #33
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz sh4d0w #31 üzenetére

simán.
a sebezhetőségek jelentős része azonos technikákra épít, amik ellen van ismert védelem. ha alap dolgokat sem tesz meg érte a fejlesztő, akkor elvileg felelősségre vonható.
például c-ben az n-es függvényváltozatok használata indokolt. strcpy helyett pl. strncpy. vagy input mező nem kellő ellenőrzése. úgy átvenni egy input mező tartalmát, hogy legalább a hosszát ne ellenőrizd, azért főbelövés jár, nem ilyen kis felelősségre vonás.
fentiekből mind buffer overflow lesz, és arra lehet exploitot építeni.
sql kifejezésben használt bemenetet megnézni, hogy legalább ; meg ' ne legyen benne... hogy ne lehessen sql injectiont csinálni...
tehát nem lehet minden sebezhetőségre előre felkészülni, de vannak alap dolgok, amikre kötelező lenne. ha ezt sem teszi meg, akkor tsibo.
#28 bambano titán floatr #25

Új Válasz 2012-08-30 15:51:30 #28
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz floatr #25 üzenetére

nem, a valódi kérdés az, mit hagy neki a jogszabály, hogy mit vállalhat. mert most a jogszabály lehetővé teszi, hogy gyakorlatilag semmilyen felelőssége nincs, se ingyenes se fizetős szoftver esetén, ami annak fényében, hogy minden más sok pénzért vásárolt termékre van garancia vállalási kötelezettség, elég furcsa.
az ingyenességet most azért nem tudom figyelembe venni, mert a pénzes szoftverekre se vállalnak semmit. max. kb. annyit, hogy kicserélik a telepítő cd-t, ha rossz.
A veszélyeztetés azért nehéz ügy, mert van, hogy nem egy adott program rossz önmagában, hanem több program nem vizsgált egymásrahatásából lehet kibogarászni egy exploitot.
#24 bambano titán sh4d0w #23

Új Válasz 2012-08-30 15:34:00 #24
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz sh4d0w #23 üzenetére

például úgy, hogyha olyan programozási módszert használt, amiről régóta tudni, hogy rossz, azért felelhetne.
oké, én sem szeretném, hogy minden hibáért perelhető legyen a fejlesztő. de az sem normális, hogy az oracle-nek lehetősége van arra, hogy tojjon az userek fejére. tehát ha azért nem is kellene perelhetővé tenni a fejlesztőt, hogy beletette a bugot a programba, azért igen, ha elfogadható időn belül nem reagál a biztonsági bejelentésekre. Egyik probléma (hogy bugot írt bele) műszaki, másik probléma (hogy nem vette ki) jogi, a ptk-ban szokásos együttműködési kötelezettség elmulasztása szerintem.
#19 bambano titán kulcsarb #11

Új Válasz 2012-08-30 13:31:39 #19
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz kulcsarb #11 üzenetére

mi köze az eklipsznek a gc-hez?