- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Motorola Razr 60 Ultra - ez a kagyló könnyen megfő
- Poco X6 Pro - ötös alá
- Samsung Galaxy A56 - megbízható középszerűség
- Megjelent a Poco F7, eurós ára is van már
- Google Pixel topik
- Samsung Galaxy Watch6 Classic - tekerd!
- A Galaxy Z Fold7, minden színben és oldalról
- Honor 200 Pro - mobilportré
Új hozzászólás Aktív témák
-
azbest
félisten
"A módosítás miatt ugyan az egyszerű felhasználók már csak helyi hálózatból használhatják ki a hátsó kaput, az internetszolgáltatók azonban saját hálózatukon ugyanúgy hozzáférnek az eszközökhöz, mint eddig."
Az internetszolgáltatók hozzáférnek + az internetszolgáltatónál van ügynökséges fekete doboz => az ügynökségek hozzáférnek.
-
bambano
titán
höhö, úgy látszik, a fejlesztők is hasonló gondolkodásúak, mint én, mert nekiálltak nagytakarítani.
[link] ilyenkor megnyugszom kicsit, hogy akik ezeket a teljesen kinyakatekert véleményeket írták, csak kibicek, a nagyon veszélyes emberek (v.ö.: kiscsibe root jelszóval) még tartják a nívót. -
Az általad írt példában
1. sok esetben már maga a fordító ad figyelmeztetést, hogy a második ág sosem kerül végrehajtásra,
2. egy lefedettségi teszt kidobja, hogy a második ágra sosem tudsz eljutni,
3. több forráselemző program is tudja észlelni ezt az esetet, mivel direkt arra készítik fel őket, hogy a feltételeket és azok +/- 1-es környezetét próbálgassák ki [a > vs >= hibák kiszúrására].És hiába kerülnek sokba a tesztelő eszközök, még mindig olcsóbbak, mint a lehetséges következmények ára (ld. a jelen esetet is). Ha semmit nem loptak el, semmi sem zuhant le, akkor is kb. tízszer annyiba kerül a cégnek egy hiba, ha kikerül az ügyfelekhez, mint ha bétateszten sikerült megtalálni. És még egy nagyságrenddel olcsóbb, ha még házon belül sikerül megfogni. Egy újabb nagyságrend a különbség a költségekben, ha még az automatizált teszt hozza ki a hibát, a tesztverzió legyártása előtt.
-
-
bambano
titán
szerencsére nem vagyok infós. villanytanos se, azt kicsit bánom.
valószínűleg neked meg valami ilyen háttered lehet, de legalábbis biztosan nem vagy magyarszakos, ellenkező esetben értetted volna, hogy nem a programozási hibákról beszéltem általában, hanem egy, konkrét hibáról, melyben a stringek hosszának megfelelő ellenőrzését elfelejtik. ez egy olyan osztálya a hibáknak, amelyet triviális ellenőrizni. például eleresztesz egy find . -type f | xargs grep strcpy utasítást, és ha ad találatot, akkor van hibád, ha nincs, akkor ezen hibaosztály egyik alosztályát kiszűrted.
ez csak egy példa volt, a többit ugyanígy, illetve automatizált penntesttel ki lehet szűrni. és még mindig csak erről az egy hibaosztályról beszélek.
"coding style meg szep es jo, de altalanos esetben hibak ellen nem ved": megint csak azt kell mondanom, hogy nem beszéltem általános esetbeli hibákról. ezzel szemben a buffer overrun típusú, paraméter hossz ellenőrzési hiba miatti exploitokkal tele van a napozóm, mert ezek legalább húsz éve ismert hiba-fajták és mégse csináltak velük semmit?
a threadre visszatérve: tényleg akkora baromi nagy probléma, hogy én örülnék egy olyan mondatnak a faszi szájából, hogy ezentúl ellenőrzöm a stringek hosszát? nem pénzt (kártérítést) akarok tőle, nem akarok kötelet a nyakába, ezt a rohadt tetves mondatot szeretnék hallani tőle, ha már mélytorokra tolta az egész világot.
-
proci985
MODERÁTOR
"engem kizárólag az érdekel, hogy mitől lehetek biztos benne, hogy ugyanebbe a hibaosztályba tartozó hibát nem követnek el mégegyszer"
mivel programozas kurzusokrol beszelsz, gondolom infos?villanyos?mernok hattered van, akkor pedig gondolom a megallasi problemarol hallottal. ami egy eldonthetetlen problema. na, az "adott tipusu hiba nincs a programban" pontosan ilyen eldonthetetlen hiba, a megallasi problemara visszavezethetoen. szoval nem lehetsz benne biztos.
amit lehet csinalni, az az, hogy a programozok csinalnak egy megfelelo coverageju tesztet, ami ugyan meg mindig csak akkor szuri ki a hibat, ha failure szintig propagal, meg ugye ebben is lehet hiba, meg draga, de ugy legalabb ott van a report, hogy adott dolgokat megneztuk, es nem fordulhatnak elo. repulesben pl MCDC a standard, ott se neznek meg minden esetet (gyakorlati kivitelezhetoseg miatt).
pelda:
if (x == 0){
... // do something
} else if (x == 0) {
... // nasty bug happens here
}namost, a masodik ifnel hiaba ott a hiba, amig az elso if ott van, addig sose fog propagalni, hiszen az adott kodresz nem fut le.
coding style meg szep es jo, de altalanos esetben hibak ellen nem ved. peer review ugyanigy nem jo szisztematikus minosegellenorzesre. teszteles igen. viszont a teszteles eroforrasigenyes (mostanaban 50% folotti szamokat is hallottam mar koltsegre projekten belul, ez kritikus rendszereknel joval magasabb), itt meg egy open source projektrol beszelunk, tehat tippre szivszerelembol, szabadidoben fejlesztettek.
valamint felmerul a vegtelenul kinos kerdes, hogy ha ennyien hasznaltak, miert csak par cegnek jutott eszebe vegigtesztelni, ha ennyire fontos cucc volt. es ha megfogtak a hibat par helyen, miert nem szoltak vissza az OO projektnek, hogy baj van?
egyebkent minosegellenorzes programoknal egyre fontosabb szoftverfejlesztes eseten, tehat a dolgok tortennek. ez a bug pedig remek szemlelteto pelda arra, hogy miert nem eleg a peer review. kovetkezmenyei a dolognak biztosan lesznek, viszont rahuzni a programozora a vizes lepedot nem megoldas, ld az indoklas feljebb.
-
Psych0
őstag
"engem kizárólag az érdekel, hogy mitől lehetek biztos benne, hogy ugyanebbe a hibaosztályba tartozó hibát nem követnek el mégegyszer."
a: megírod magadnak, átnézed magadnak, b: fizetsz valakinek, hogy megtegye. Ezután megalapozottan hisztizhetsz "a" esetben magadban, "b" esetben, akinek fizettél érte.
-
bambano
titán
"sem fog kiemelt prémiumot kapni érte az illető.": akkor mégiscsak volt felelőssége, vagy elismerte magától, vagy ráverik...
"Egyébként pedig egyáltalán nem biztos, hogy az MS-ben egy hasonló hibáért lenne szőnyeg szélére állítás." vs. "A programozón azt kérik számon, hogy betartotta-e az elvárt gyakorlatot, a céges programozási szabályokat.": ez a két mondat önmagában mind igaz, csak nem azt a következtetést lehet levonni belőle, amit írtál, írtatok.
azok után, hogy a windowst több, mint 20 éve bombázzák mindenféle vírussal, malware-val meg a többi állattal, biztosan van valami coding style szabályzat, ebben egyetértünk. abban is biztos vagyok, hogy az is azzal kezdődik, mint minden normálisabb programozási kurzus, hogy c-ben nem használunk alap stringfüggvényeket, csak az n-es verzióit. azt sem hiszem, hogy egy coding style előírás ne foglalkozna a paraméterként átvett stringek hosszával. ez a fickó ezt az alapvető szabályt rontotta el, amit már ősi albán programozók se követnek el.
ez a probléma magja.
és lehet itt heteken át falra hányni a borsót, meg csűrni-csavarni jobbról-balra, előre-hátra, hogy mit csinált most, engem mindez csak nagyon szőrmentén érdekel, vagy úgy se. engem kizárólag az érdekel, hogy mitől lehetek biztos benne, hogy ugyanebbe a hibaosztályba tartozó hibát nem követnek el mégegyszer. vagy legalább ez a faszi nem csinál ekkora baromságot mégegyszer. csak a jövő érdekel, a múltat benyeltük. és ezen a ponton kerül elő, hogy milyen a hozzáállása, érez-e lelkiismeret-furdalást vagy felelősséget és megteszi a szükséges intézkedéseket vagy sem.
ezen a ponton válik el egyébként a jogi felelősség meg az erkölcsi, jogilag csak azt lehetne leverni rajta, ami már megtörtént (ha a licensz engedné, de ez most másodlagos), erkölcsileg meg azt, amit a jövőben tenni fog.
-
Valószínűleg az OpenSSL négyfős hobbiprogramozó csapatában sem fog kiemelt prémiumot kapni érte az illető.
Egyébként pedig egyáltalán nem biztos, hogy az MS-ben egy hasonló hibáért lenne szőnyeg szélére állítás. Nagyobb cégeknél ugyanis a felelősség (és a dicsőség is) eloszlik. A programozón azt kérik számon, hogy betartotta-e az elvárt gyakorlatot, a céges programozási szabályokat. Valószínűleg van főnöke, kódrevizora, akik szintén vetnek egy pillantást a munkájára. Vannak különböző szintű tesztelők - az automatizált kódteszterektől a funkcionális ellenőrzésekig. Ahhoz, hogy egy hiba kijusson élesbe, ezeken mind át kell jutnia.
-
bambano
titán
ne kamuzz, ennyire nem jó a windows...
de azért megkérdezném: attól, hogy az ms-t nem felel gyakorlatilag egy dolgot leszámítva semmiért (igen, azon kevesek közé tartozom, akik olvasták a win eula-ját), ha elkövetnek valami brutális hibát, házon belül nincs szőnyeg szélére állítás?
egyébként jó ez a thread, most már szinte pontosan tudom, hogy:
1. ki a programozó
2. ki az, aki, ha nem is programozó, fenékbe rúgják, ha egy programban hibázik. -
1. Még a legdrágább fizetős szoftverek gyártói is megtehetik, hogy semmi garanciát nem vállalnak semmire. Nem túlságosan sarkítva egy Windows telepítésénél olyan EULÁ-t kell elfogadnod, hogy ha egy karakteres képernyős Tetris indul csak el, azért sem reklamálhatsz.
2. Az OpenSSL egy nyílt projekt, a maga "AS IS" licencével, lelkes hobbisták által fejlesztve. Egyértelműen az ezt felhasználó cégeknél a felelősség, hiszen nekik lett volna erőforrásuk, eszközük a 4 félállású fejlesztőnél alaposabban letesztelni. És a multik hozták meg azt a döntést, hogy erre az implementációra bízzák a titkosítást. Senki nem kötelezte erre őket, fejleszthettek/vehettek volna más megoldást.
Szándékosan sarkítva: Ha én felrakok egy rutinkönyvtárat, amiről sikeresen elhitetem, hogy még kvantumszámítógépekkel is feltörhetetlen lesz, majd a teljes internet titkosítása ezen zajlik, majd kiderül, hogy végeredményben csak minden byte-ot rotáltam eggyel, kinek lesz a hibája, ha bárki megszerezhette az összes bankkártya adatát? -
gusthy
veterán
Jogilag nem felelős a srác, ezt a vonatkozó nyílt forráskódú licensz kizárja, ez nem kérdés. Az itt jelenlevő sok okos nemprogramozónak üzenem, hogy ilyen bakit bárki elkövethet, és el is követ bármilyen szakmában, csak az esetek túlnyomó részében nem lesz belőle nagyobb baj.
-
bambano
titán
mert a felelősség az bővebb halmaz, mint a garancia.
(#41) azbest: volt már ilyenre példa a világtörténelemben, az auditor plecsni arra jó, hogy a céges vezetők áttolják a felelősséget másra.
(#45) Kormi76: a teljesen magánügyedtől függ egy csomó adatod épsége. szóval nem magánügy. ha valóban magánügy lenne, akkor most egy csomó helyen nem kellene feltakarítani a kiborult bilit.
-
MageRG
addikt
Azoknak, akik szerint keresztre kéne feszíteni a jóembert, idemásolom:
...large portions of the software infrastructure of the Internet are built and maintained by volunteers, who get little reward when their code works well but are blamed, and sometimes savagely derided, when it fails.Négy ember dolgozott az OpenSSL-en, senki sem teljes munkaidőben.
Szóval mielőtt nagyon elkezdünk szájhabzani, el lehet gondolkodni:
- Ha értesz hozzá, miért nem dolgoztál bele, miért nem review-ztad, ha ennyire szívügyed?
- A többi cég miért nem dobott össze hozzá legalább egy ideiglenes hardening projectet? Hiszen fontos dolog.
- Userként volt nagyobb biztonságra igényed? Jelezted pl. a Google-nak?Könnyű lerendezni azzal, hogy nemecsek ernő a hibás.
-
#41133696
törölt tag
Csak annyira, mint az incidens előtt
Najó, kicsit jobban, mert sokkal bonyolultabb jelszavakat lőttem be 
Egyébként majdnem 10 éve az első gmail címememnél megváltoztattam a jelszavamat, de úgy hogy kihagytam, hogy menteni kéne, és még semmilyen más adat sem volt megadva, pl telszám vagy alternatív mail cím. Akkor még nem tudtam, hogy ez lesz az a levelező szolgáltató ami évekig nem törli azokat a címeket ahova nem lépett be a gazdája. Most viszont már azt is tudom, hogy 8-9 év után megteszi, de úgy hogy nem is regisztrálható le újból
-
azbest
félisten
Bennem csak egy felelősség merült fel:
a különböző auditor cégek plecsnijeinek értéke. Biztosan bekerült sok olyan helyre is, ahol kemény pénzért árult plecsnivel igazolják a rendszer biztonságát.Viszont már más hír kapcsán is úgy éreztem, hogy ez az auditálás valójában drága szemfényvesztés, amellyel a managerek villoghatnak egymás előtt.Ezek miatt szoktak kemény kártérítést kérni azoktól is akik (kéretlenül) észreveszik az adott cég rendszerének hibáját. Valójában nem a biztonság sérül, hisz az sosem volt, hanem az audit kemény árát kell újra kifizetni, hogy megint meglegyen az illúzió.
-
janos666
nagyúr
És most biztonságban érzed magad?
Én ezért tudtam inkább nevetni ezen a bugon, mert sohasem tekintek úgy semmire, ami egy online gépen keresztülmegy, hogy azt nem lehet ellopni.
Bár visszafelé gondolkodva: sohasem érettem, hogy lopták el a Twitter jelszavam, mikor igazából sohasem használtam a Twitter-t (tehát nem gépeltem be rendszeresen, többféle eszközön, nyílt wifin-n, stb a belépési adatokat), csak egy random névvel regisztráltam (egy olyan nicknévvel, amit máshol nem használok és nem 4-5 karakteres jelszóval, már én magam sem emlékeztem volna, hogy pontosan mivel) csak azért, hogy megírjak egyetlen tweet-et valakinek és ennyi volt az account pályafutása (már arra sem emlékeztem, hogy nekem van ilyenem). Aztán nem is olyan rég kaptam email-t, hogy fel volt törve, váltsak jelszót, és láttam, hogy tweet-elgettem a viagra reklámokat.
-
Vladi
nagyúr
-
bambano
titán
Azt állítod, hogy nincs felelőssége a programozónak. Ezek után hozzáteszed, hogy jogi értelemben. Ezzel a kiegészítéssel módosítottad a jelentéstartalmat, és nem zártad ki a más értelmű felelősséget. Ezek után ezt mondod, hogy: "de te előhozakodsz ilyen mondvacsinált erkölcsi, meg anyámtudja milyen felelősséggel", mely szerint nincs erkölcsi felelőssége sem.
el tudod végre dönteni, hogy mit akarsz mondani?
"Miért kell mindig keresztre feszíteni valakit? Akkor megoldódik a probléma?": ki mit tekint problémának. az lehet a probléma, hogy hiba volt a programban. Ez a probléma objektív okok miatt már soha nem oldható meg (nem lehet meg nem történtté tenni a hibát). Ami ilyenkor számít, hogy tesznek-e valamit azért, hogy a hiba többet ne forduljon elő? Számomra ez a valódi hiba, aminek az okozója a rossz programozási stílus. Ezért igenis lehet számonkérni, mégha az általatok emlegetett keresztre feszítés költői túlzás is.
"Egyébként senkit sem köteleznek, hogy opensource programot használjon": mint ahogy arra sem köteleznek, hogy opensource program fejlesztésében részt vegyen. ha már kiad/kiadsz valami melót a kezedből, lehetnél annyira igényes, hogy azt rendesen megcsinálod. és ebben a tekintetben teljesen mindegy, mi az a munka, openssl libet fejlesztettél vagy letakarítottad a havat a házad előtti járdaszakaszról. abban a pillanatban, hogy elfogadjuk azt a teljesen kinyakatekert érvelést, hogy bármit csinálhat egy programozó, pontosan nulla felelőssége van, abban a pillanatban a teljes opensource mehet a kukába. de az sem kizárt, hogy a pénzesek is.
-
Kormi76
aktív tag
Egyértelműen elmagyarázták neked, EULA-val alátámasztották, hogy nincs felelőssége a programozónak. Ezt nyilvánvalóan jogi értelemben kell érteni, de te előhozakodsz ilyen mondvacsinált erkölcsi, meg anyámtudja milyen felelősséggel ahelyett, hogy beismernéd, hogy nem volt igazad. Egyébként senkit sem köteleznek, hogy opensource programot használjon, aki így dönt, az elfogadja az EULA-t, hogy a fejlesztőket nem terheli felelősség és kész. Nem kell mindig bűnbakot gyártani, főleg, hogy a programozó elismerte, hogy hibázott, de emiatt semmilyen felelősség nem terheli, hiszen ez volt a szerződésben. Balesetek előfordulnak, itt emberek egész láncolatán végigfutott ez a probléma, mire egy felhasználó esetleg károsult lett. Itt legfeljebb az felelős, aki ezt a hibát kihasználva kártékonyan jelszavakat szerzett. Miért kell mindig keresztre feszíteni valakit? Akkor megoldódik a probléma?
-
bambano
titán
nézzük másik oldalról:
1. tényleg abszolúte semmi felelőssége sincs: akkor meghúzza a vállát és minden változatlanul megy tovább.
2. azért valami felelőssége mégiscsak van (amit te el sem tudsz képzelni a digitális nézőpontodból):
- elgondolkodik, hogy mit csinált, és abban mi volt a hiba
- megígéri, hogy ezentúl gondosabb lesz.
- egy életre megjegyzi, hogy azt a tetves inputot sanitizálni kell és ezentúl meg is teszi
- az ellenőrző funkciót betöltők elgondolkodnak, hogy mit kellene tenni, hogy legalább ezt az egy fajta típushibát érdemben szűrjékstb. akármennyire is erőlteted, téves az az elképzelés, hogy csak kétféle felelősségi szint létezhet: a nulla meg a totális. a licensz pedig csak a jogi felelősségre vonás ellen véd, az opensource közösség kiveti magából, ha a fentebb emlegetett erkölcsi felelősséget nem vállalja, illetve nem tesz azért, hogy máskor ilyen ne forduljon elő.
tehát mégegyszer: már az is a felelősség elismerése, vállalása, ha segít kitakarítani a szemetet és az eset hatására javít a programozási stílusán.
-
Psych0
őstag
"én, mint csajágaröcsögei netszolgáltató, ha hibázok, nem borítom össze a fél világot." tehát van egy határ, ami felett/alatt mindegy mi van a szerződésben, ha nem borítja össze a fél világot, mellesleg tönkrement emberi életekről volt szó(ami csajágaröcsögén ezekszerint elfogadható).
"miért gondolod, hogy *semmilyen* felelőssége sincs" mert explicite kijelentették a licenszben, hogy nem vállalnak felelősséget. Semmit. Aki használta ezt tudomásul vette, pedig alternatíva is volt.
De tegyük félre a licenszet. A tönkrement emberi életekért ki a felelős? A programozó, aki patchet küldött be, de elfelejtette ellenőrízni az inputot. A másik programozó, aki a patchet betette, a google alkalmazott, aki lefordította, egy másik, aki felinstallálta az aktuális szerverre, vagy a google, mint társaság aki szolgáltatást nyújt "hibás szoftverrel", vagy a tönkrement ember, aki úgy döntött, hogy a google-t használja. Szerinted kit ítéljenek halálra ezek közül?
"Ha nem lenne felelőssége egy open source programozónak, ész nélkül tákolhatná a kódot, és tehetne rá magasról, hogy milyen." Ezt nem csak az opensource programozók tehetik meg, hanem az összes ingyenes programot írók és meg is teszik. Sőt, a fizetősök is, ha monopolhelyzetben vannak (adobe). De ha valaki jó programot ír, az elterjed. Tiszta piacgazdaság.
-
bambano
titán
"Nem mindig, egyszer": a felhasználói input hanyag kezelése és hanyag "sanitizálása" a helyes programozói stílus hiányára utal, vagyis ez alapján azt kell feltételezni, hogy máskor is követett már el ilyen hibát, csak még nem derült ki.
"mégse felelős érte a netszolgáltató.": én, mint csajágaröcsögei netszolgáltató, ha hibázok, nem borítom össze a fél világot. ezért van az, hogy az az ember, aki mucsajpuszta-külsőn csótányokat pusztít rálépéses módszerrel, más elbírálás alá esik, mint az a figura, aki az amcsi elnök után szaladgál a labdának csúfot kofferrel, amiben a bazinagy piros gomb van.
"Kérlek magyarázd meg pontosan milyen felelőssége van.": nem, neked kellene megmagyarázni, hogy miért gondolod, hogy *semmilyen* felelőssége sincs. Az a paragrafus, amit nem tudtál lefordítani, csak a jogi felelősséget zárja ki (az meg külön vita téma lehetne, hogy helyes-e), például az erkölcsit nem. Ha nem lenne felelőssége egy open source programozónak, ész nélkül tákolhatná a kódot, és tehetne rá magasról, hogy milyen.
nem tudom, ez volt-e már.
-
Psych0
őstag
"mintha egy taxis mindig lendületből menne át a kereszteződéseken" Már megint vetítesz. Nem mindig, egyszer, ráadásul a gépjárművezetés jogilag veszélyes üzem, a szoftverírás nem.
"viszont akár emberi életek is tönkremehetnek adatszivárgás miatt" nonszensz. Akkor is tönkremehetnek emberi életek, ha 3 percig nincs net, mégse felelős érte a netszolgáltató. Szólj, ha nem így van.
"a snowden akták szerint" tehát, csak akkor vetik fel, ha valaki bizalmas információkat ad ki, mert amúgy senki sem tud róla.
"e már, ilyen fontos szoftvert fejleszt, de nem felelős semmiért? jogász vagy-e?" Én nem de te általában úgy beszélsz. Kérlek magyarázd meg pontosan milyen felelőssége van. Ja és ha már itt vagyunk, kérlek fordítsd le nekem ez a pár mondatot:
* THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
* EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
* PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR
* ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
* SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
* LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
* STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
* OF THE POSSIBILITY OF SUCH DAMAGE. -
#29
bambano
titán
mekka_kola
#19
bambano
titán
válasz
mekka_kola
#19
üzenetére
Azt, hogy a geribátyó féle általánosítást téves általánosításnak tartod, elfogadom.
De: ettől a tény még tény marad, ez a fickó alapvető programozási hibát vétett. Ez minimum akkora, vagy még nagyobb, mintha egy taxis mindig lendületből menne át a kereszteződéseken, függetlenül attól, hogy piros-e a lámpa vagy sem. Persze, nem halt meg senki (még...), viszont akár emberi életek is tönkremehetnek adatszivárgás miatt.
(#20) Psych0: "a szándékos/nem szándékos cirkuszt csakis azért lehet megtenni, mert ez egy opensource projekt": tévedés, a szándékosságot zárt forrású programok esetén is fel lehet vetni, a snowden akták szerint az ms is hagyott benne bugokat a windowsban, az pedig zárt forrású.
"azokban általában fel sem merül a szándékosság": de, felmerült.
"amiben felelőssé teszik a programozót a hiba miatt": ne már, ilyen fontos szoftvert fejleszt, de nem felelős semmiért? jogász vagy-e?
"Úgy érzem, hogy ez az ügy kezd boszorkányüldözésbe menni, pedig nekem pont példaértékű a gyors reagálás, és a nyíltság miatt átlátható szituáció.": nem, ez balféküldözés. a gyors reagálás az csak a mocsok feltakarítása, ettől még az, aki odapiszkolt, felelős. akkor lenne boszorkányüldözés, ha hiedelmek meg mítoszok alapján alaptalanul üldöznék.
-
proci985
MODERÁTOR
vagy csak siman tul keves/tul sok volt a kave, fel ora mulva zart a bolt, tul sokat kajalt a karacsonyi narancsos csokibol... emberek vagyunk es hibazunk.
a Cre hasonlatban azt szoktak mondani, hogy olyan mint egy motoros furesz: zsenialis celeszkoz, viszont nagyon konnyu vele hibazni, es jelenleg alapvetoen olyan dolgokra is hasznaljak mar, amire alapvetoen nem terveztek. gyakorlatilag nagyon low level, az usabilityje nem a legjobb par szempontbol (enged hibazni) es egy kisebb, mukodesbol adodo hiba katasztrofalis lehet. a memallokacio pedig tipikusan olyan dolog, amit nem veletlenul automatizaltak pl javaban, mert annyira konnyu elszurni es az elszurasnak altalaban katasztrofalis kovetkezmenyei vannak.
ne legyel mar paranoid, ez lehetsegesen egy kis programozoi hiba katasztrofalis kovetkezmenyekkel (ld a patkoszeg esete a haboruval analogiakent). ami viszont az ijeszto benne, hogy a "with enough eyesballs, all bugs are shallow" kijelentes erejet megkerdojelezi (cathedral and bazaar, nagyon sokat idezett cikk egyik alaptezise volt egyebkent, egyben a 2000es evek OSS mozgalmanak egyik fo erve). peer reviewvel nem lehet szisztematikusan vegignezni egy kod minden aspektusat (mert emberek vagyunk es hibazunk), tehat minosegbiztositasra a peer review nem eleg. mas kerdes, hogy jelenleg a jelenlegi FLOSS (free/libre/open-source software) egyre inkabb az innovacio/open standards/maintainability fele megy el. masik ijeszto, hogy egy ilyen kis hibanak ekkora eredmenye lehet (avagy a hasznalt eszkozok ekkora hibara hagynak lehetoseget).
ami sulyosabb dolog, hogy ez igy ilyen formaban atment a peer reviewen: de megint, emberek vagyunk. namost a peer review a legolcsobb es leggyengebb formaja a kod minosegenek megallapitasara (ami szerintem kiritikus rendszerekben semmit nem er, mert semmit nem mond a minosegrol). viszont szisztematikusan tesztelni (pl MCDC) nehezebb/sokkal dragabb, model checker / formalis bizonyitas pedig irdatlanul draga es altalanos esetben nagyon nehezen kivitelezheto.
megoldasok egyebkent a problemara latszanak, de coverage alapu tesztnel megint ott az emberi tenyezo, modelleknel / formal bizonyitasnal szinten. viszont igy belegondolva lehet az lesz az eredmeny, hogy FLOSS projekteknel is szigorubb processekre lesz szukseg, ugy viszont a contributorok vonzasa / megtartasa lesz problemas.
lehet mutogatni a programozora, de feleloskeresessel es boszorkanyuldozessel egy letezo problemat nem lehet megoldani. ez a cikk, pontosabban a lessonsok a vegen mar erdekesebbek, avagy a jovoben ilyen problemat hogy lehetne elkerulni. mert az nem allapot hogy egy ilyen apro banalis hibanak ekkora ara van. mert ez az egyesz lenyege, nem pedig az, hogy ki kovette el a hibat.
kicsit sok lett az angol kifejezes, de a magyar terminologiat nem ismerem
Geri Bátyó: csak az nem hibazik, aki nem csinal semmit. a kerdes itt nem az, hogy ki es miert hibazott, hanem hogy lehetne a jovoben hasonlo hibakat elkerulni.
azbest: igen, kb errol van szo.
-
Psych0
őstag
Dehogyis, ezzel (#8) GoodSpeed-re és sok más hasonló véleményre reagáltam, amiben felelőssé teszik a programozót a hiba miatt, mikor ő maximum a Google/Facebookot tehetné felelőssé, mert ők döntöttek úgy, hogy openssl-t használnak anélkül, hogy 100%-ban biztosak lennének a biztonságában, sőt a Google-t sem hiszen ő végezte a biztonsági analízist, amiből kibukott az egész.
Olyan mintha valaki a Wikipedián kisebb adatot adott volna meg a acél szakítószilárdságára, és felelősségre vonnák, hogy összedőlt egy híd, amit az alapján terveztek.
Úgy érzem, hogy ez az ügy kezd boszorkányüldözésbe menni, pedig nekem pont példaértékű a gyors reagálás, és a nyíltság miatt átlátható szituáció. Nagyon elszomorít sok ember hozzáállása, hogy amíg egy ingyenes nyílt közösségi projekt jól működik, és hasznot hoz, azt természetesnek veszik, amint valami baj van és a használóit kár éri, egyből ráverik a felelősséget meg szégyent.
-
Ezzel most mit akarsz mondani? Hogy egy idióta, aki linuxot használ, vagy mi a túró? Valószínű, hogy a zárt rendszerek is tele vannak hasonló, vagy még nagyobb, esetleg (szintén?) szándékos hibákkal (lásd nemrég az egyik nagy hálózati eszközgyártó botránya), és onnan sem számíthatsz semmilyen kártérítésre a vállonveregetésen kívül.
-
Psych0
őstag
Hozzátenném még azt, hogy ezt a szándékos/nem szándékos cirkuszt csakis azért lehet megtenni, mert ez egy opensource projekt, ezért minden szögből meg lehet köpködni, a fejlesztő hibáját, viszont láttuk, hogy amint kiderült a hiba, azonnal javították. Láttunk kritikus hibát más proprietary szoftver esetében, olyat is amit hónapokig nem foltoztak be, de azokban általában fel sem merül a szándékosság, pedig lehet, hogy ugyanezt a bakit követte el a névtelen céges programozó.
Annak aki meg hibáztatja a programozót a kényes adatai miatt az nézzen magába egy kicsit. Egy ingyenes, best effort alapon készülő programra bízta az adatait, aminek a licenszében az áll, hogy semmi garanciát nem vállalnak a szoftverre. Ha ez nem elég biztonságos, akkor írjon jobbat, vagy vegyen olyat, ami garanciát ad(ha tud), ha használja, akkor övé a felelősség.
-
#19
mekka_kola
tag
Geri Bátyó
#11
mekka_kola
tag
válasz
Geri Bátyó
#11
üzenetére
Gratulálok, a hozzászólásod (meg előtted még páran) ismét ráébresztet, miért utálok fórumozni - amilyen emberek vannak e világon...
Tudtommal nem halt meg senki, tévedni pedig emberi dolog. Szánalmas ez a felhajtás egy apró hiba körül, amihez hasonló kismillió meg egy más projektben is lehet. Ahogy más is írta, csak az nem hibázik, aki nem dolgozik. De zárjuk csak börtönbe, akasszuk fel a tettest, mert... mert miért is kell szegény muksót nyaggatni??!
-
azbest
félisten
Könnyen előfordulhat még hasonló hiba. Simán lehet, hogy jómagam is okoztam nem kívánt mellékhatást a rendszerben aminek a fejlesztésében részt vettem. Egy ember sokszor nem is látja át a teljes egészet, hanem csak egy kisebb-nagyobb részterületét. Ezért is szoktak tesztrendszert használni a hibák kiszűrésére. Mondhatni külön szakma az automatizált tesztelés. Bár sok helyen elég elhanyagolt. Az egyik böngészőmotor fejlesztésénél például 35 ezer tesztel próbáljuk kiszűrni új hibák bevitelét. Még így is előfordul olyan, amire korábban senki sem gondolt.
-
"vajon kihasználták-e az elmúlt két évben (ez utóbbiról egyelőre nincsenek adatok)." - Erre szerintem elég konkrétan hangzott el, hogy igen, az NSA már korábban is tudott róla, és használta ki örömmel. És egyáltalán nem biztos, hogy ők voltak az egyetlenek, csak nekik van akkora arcuk és hatalmuk, hogy simán bevallhatják.
-
#14
Psych0
őstag
Geri Bátyó
#11
Psych0
őstag
válasz
Geri Bátyó
#11
üzenetére
Kösz a hozzászólást...
Csak az nem hibázik, aki nem dolgozik. Ismerek néhány olyan embert, ezért nem kedvelem az embereket.
-
#12
girhes
csendes tag
Geri Bátyó
#11
girhes
csendes tag
válasz
Geri Bátyó
#11
üzenetére
Akkor én se kedveljelek?
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
#11
Geri Bátyó
addikt
Nem feltételezek én sem rossz szándékot, de az a szöveg, hogy: „egyszerű programozási hiba”, finoman szólva is vérlázító!
Nem "egyszerű" és nem "programozási", hanem súlyos és programozói hiba!Sajnos ismerek néhány programozót, aki hasonlóképpen áll a dolgokhoz (leszarja). Ezért nem kedvelem a programozókat.
-
#41133696
törölt tag
Most miatta kellett Facebook, Gmail jelszót cserélnem, ami nem kevés nyűggel járt, mert valamennyi eszközöm, összes fiókján (különösen a két androidoson) pötyöghettem be újra. Mondjuk annyira nem gond, mert már ideje volt cserélnem a jelszót, kétlépcsős azonosítás mellett is
Mindegyik jelszó, hosszabb, és még bonyolultabb huszonsok karakteres generált lett
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Najó, kicsit jobban, mert sokkal bonyolultabb jelszavakat lőttem be 
Új hozzászólás Aktív témák
Hirdetés
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Magga: PLEX: multimédia az egész lakásban
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- AMD vs. INTEL vs. NVIDIA
- Motorola Razr 60 Ultra - ez a kagyló könnyen megfő
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Poco X6 Pro - ötös alá
- PlayStation 5
- Nyíregyháza és környéke adok-veszek-beszélgetek
- Autós topik
- További aktív témák...
- AKCIÓ! ASRock H310CM i3 9100F 8GB DDR4 240GB SSD 1TB HDD GTX 1060 3GB AeroCool Strike-X 500W
- BESZÁMÍTÁS! Intel Core i7 8700K 6 mag 12 szál processzor garanciával hibátlan működéssel
- Honor 400 lite 256GB, Kártyafüggetlen, 1 Év Garanciával
- DELL T40 EMC Szerver
- ÁRGARANCIA! Épített KomPhone Ryzen 7 5800X 16/32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest