Keresés: - [Re:] Megszólalt az OpenSSL hibájáért felelős programozó

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#63 azbest félisten schawo #62

Új Válasz 2014-04-22 19:34:23 #63
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

azbest

félisten

válasz schawo #62 üzenetére

"A módosítás miatt ugyan az egyszerű felhasználók már csak helyi hálózatból használhatják ki a hátsó kaput, az internetszolgáltatók azonban saját hálózatukon ugyanúgy hozzáférnek az eszközökhöz, mint eddig."
Az internetszolgáltatók hozzáférnek + az internetszolgáltatónál van ügynökséges fekete doboz => az ügynökségek hozzáférnek.
#28 Psych0 őstag schawo #26

Új Válasz 2014-04-13 13:19:37 #28
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Psych0

őstag

válasz schawo #26 üzenetére

És mi tart vissza, hogy megtedd?
#27 proci985 MODERÁTOR schawo #16

Új Válasz 2014-04-13 13:16:28 #27
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

proci985

MODERÁTOR

válasz schawo #16 üzenetére

vagy csak siman tul keves/tul sok volt a kave, fel ora mulva zart a bolt, tul sokat kajalt a karacsonyi narancsos csokibol... emberek vagyunk es hibazunk.
a Cre hasonlatban azt szoktak mondani, hogy olyan mint egy motoros furesz: zsenialis celeszkoz, viszont nagyon konnyu vele hibazni, es jelenleg alapvetoen olyan dolgokra is hasznaljak mar, amire alapvetoen nem terveztek. gyakorlatilag nagyon low level, az usabilityje nem a legjobb par szempontbol (enged hibazni) es egy kisebb, mukodesbol adodo hiba katasztrofalis lehet. a memallokacio pedig tipikusan olyan dolog, amit nem veletlenul automatizaltak pl javaban, mert annyira konnyu elszurni es az elszurasnak altalaban katasztrofalis kovetkezmenyei vannak.
ne legyel mar paranoid, ez lehetsegesen egy kis programozoi hiba katasztrofalis kovetkezmenyekkel (ld a patkoszeg esete a haboruval analogiakent). ami viszont az ijeszto benne, hogy a "with enough eyesballs, all bugs are shallow" kijelentes erejet megkerdojelezi (cathedral and bazaar, nagyon sokat idezett cikk egyik alaptezise volt egyebkent, egyben a 2000es evek OSS mozgalmanak egyik fo erve). peer reviewvel nem lehet szisztematikusan vegignezni egy kod minden aspektusat (mert emberek vagyunk es hibazunk), tehat minosegbiztositasra a peer review nem eleg. mas kerdes, hogy jelenleg a jelenlegi FLOSS (free/libre/open-source software) egyre inkabb az innovacio/open standards/maintainability fele megy el. masik ijeszto, hogy egy ilyen kis hibanak ekkora eredmenye lehet (avagy a hasznalt eszkozok ekkora hibara hagynak lehetoseget).
ami sulyosabb dolog, hogy ez igy ilyen formaban atment a peer reviewen: de megint, emberek vagyunk. namost a peer review a legolcsobb es leggyengebb formaja a kod minosegenek megallapitasara (ami szerintem kiritikus rendszerekben semmit nem er, mert semmit nem mond a minosegrol). viszont szisztematikusan tesztelni (pl MCDC) nehezebb/sokkal dragabb, model checker / formalis bizonyitas pedig irdatlanul draga es altalanos esetben nagyon nehezen kivitelezheto.
megoldasok egyebkent a problemara latszanak, de coverage alapu tesztnel megint ott az emberi tenyezo, modelleknel / formal bizonyitasnal szinten. viszont igy belegondolva lehet az lesz az eredmeny, hogy FLOSS projekteknel is szigorubb processekre lesz szukseg, ugy viszont a contributorok vonzasa / megtartasa lesz problemas.
lehet mutogatni a programozora, de feleloskeresessel es boszorkanyuldozessel egy letezo problemat nem lehet megoldani. ez a cikk, pontosabban a lessonsok a vegen mar erdekesebbek, avagy a jovoben ilyen problemat hogy lehetne elkerulni. mert az nem allapot hogy egy ilyen apro banalis hibanak ekkora ara van. mert ez az egyesz lenyege, nem pedig az, hogy ki kovette el a hibat.
kicsit sok lett az angol kifejezes, de a magyar terminologiat nem ismerem
Geri Bátyó: csak az nem hibazik, aki nem csinal semmit. a kerdes itt nem az, hogy ki es miert hibazott, hanem hogy lehetne a jovoben hasonlo hibakat elkerulni.
azbest: igen, kb errol van szo.
#25 fordfairlane veterán schawo #23

Új Válasz 2014-04-13 12:44:25 #25
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

fordfairlane

veterán

válasz schawo #23 üzenetére

Esetleg be kéne vezetni a hadiállapotot, akkor a kínvallatás is alkalmazható lenne. Hátha attól megnyugodnának a programozókat utálók is.
#24 Psych0 őstag schawo #23

Új Válasz 2014-04-13 12:44:04 #24
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Psych0

őstag

válasz schawo #23 üzenetére

Hogyan vizsgálnád ki, hogy szándékos volt-e és ha az is volt mit tennél?
#22 Psych0 őstag schawo #21

Új Válasz 2014-04-13 11:33:22 #22
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Psych0

őstag

válasz schawo #21 üzenetére

Dehogyis, ezzel (#8) GoodSpeed-re és sok más hasonló véleményre reagáltam, amiben felelőssé teszik a programozót a hiba miatt, mikor ő maximum a Google/Facebookot tehetné felelőssé, mert ők döntöttek úgy, hogy openssl-t használnak anélkül, hogy 100%-ban biztosak lennének a biztonságában, sőt a Google-t sem hiszen ő végezte a biztonsági analízist, amiből kibukott az egész.
Olyan mintha valaki a Wikipedián kisebb adatot adott volna meg a acél szakítószilárdságára, és felelősségre vonnák, hogy összedőlt egy híd, amit az alapján terveztek.
Úgy érzem, hogy ez az ügy kezd boszorkányüldözésbe menni, pedig nekem pont példaértékű a gyors reagálás, és a nyíltság miatt átlátható szituáció. Nagyon elszomorít sok ember hozzáállása, hogy amíg egy ingyenes nyílt közösségi projekt jól működik, és hasznot hoz, azt természetesnek veszik, amint valami baj van és a használóit kár éri, egyből ráverik a felelősséget meg szégyent.