ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkמר גייטס, מר באלמר, מהו מודל הפיתוח הטוב יותר?

published at 09/07/2004 - 04:54 · ‏פורסם דוביקס · ‏tags קוד פתוח , דעות ופרשנות · שלח לחברידידותי למדפסת
קוד פתוח פרצת האבטחה שתוקנה במשפחת מוזילה תשמש את מערכת התעמולה המשומנת של מיקרוסופט במשך שנים רבות. לא משנה לגמרי העובדה שהבעיה עצמה היא לא באשמת הדפדפן, אלא מדובר בפרצה של חלונות שהייתה אמורה להיות מתוקנת בחלונות XP SP1 אך משום מה לא תוקנה. אבל ניתוח הארוע המתפרסם ב NewsForge תחת כותרת זו מאפשר ללמוד קצת על מודל פיתוח הקוד הפתוח מול מודל פיתוח הקוד הסגור והקנייני:

יום אחד לקח לקהילה לגלות, לדון ולתקן בעיה הקשורה בחלונות בקוד של מוזילה, שבוע אחד לקח למיקרוסופט לתקן (בצורה חלקית) בעייה חמורה באינטרנט אקספלורר. אם כך, מר גייטס, מר באלמר, מהו מודל הפיתוח הטוב יותר?

מהירות התגובה המדהימה עד לפתרון הבעיה מרשים ביותר, לפי המאמר המצוטט, במיוחד כשעושים השוואה לדפדפן המתחרה. שימו לב להתנהלות העניינים החשובה אף יותר: הבעיה דווחה בראשונה ברשימת התפוצה Full Disclosure שמטרתה שיפור האבטחה במוצרי תוכנה. תוך זמן קצר כבר נפתחו 3 כניסות בבאגזילה (מערכת דיווח התקלות של מוזילה). תוך פחות מ 24 שעות כבר ניתן להשיג טלאי שחוסם את הפרצה וגרסאות חדשות של מוצרי התוכנה.

אם כן, מדובר בבעיה לא חמורה במיוחד, שלא ידוע על ניצול שלה לרעה ושתוקנה תוך פחות מ 24 שעות.

להשוואה, אפשר לבחון את הטיפול של מיקרוסופט בסוס הטרויאני Scob, שידוע שגנב פרטים אישיים ופיננסיים של משתמשים שנחשפו אליו. הסוס הטרויאני נחשף ב 25 ליוני, ורק ב 2 ליולי (7 ימים מאוחר יותר) שוחרר תיקון מבית מיקרוסופט. וכפי שניתן לראות מהקישור המצורף, התיקון כנראה לא פותר את הבעיה באופן מוחלט.

קישורים:

Newsforge, Commentary: Patched in 60 Seconds,
ynet, טלאי אבטחה של מיקרוסופט נפרץ

ווטסאפ, מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון בעיית אבטחה
 

קישורים רלוונטיים

· עוד על קוד פתוח
· חדשות מאת דוביקס

הסיפור הנקרא ביותר בנושא קוד פתוח:
לראשונה: סקר קוד פתוח מקיף

מר גייטס, מר באלמר, מהו מודל הפיתוח הטוב יותר? | כניסה / יצירת מנוי חדש | 16 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
פרספקטיבה (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 05:23
אנשי מוזילה אמנם פרסמו עדכונים, אולם רק לגרסה 1.7 של מוזילה וכן לגרסאות העדכניות של firefox ו־thunderbird . הם לא פרסמו (עדיין?) עדכון לגרסת 1.4 (היא עדיין נתמכת, לא?)

מפיצים אחרים של מוזילה לחלונות כמעט לא קיימים. המפיץ העיקרי מלבד מוזילה הוא חברת נטסקייפ. הפצות אחרות תוכלו למצוא כאן: http://www.mozilla.org/university/HOF.html

כל מפיץ רציני מספיק שהתיקון רלוונטי לגביו יצטרך להפיץ את העדכון. לא מספיק שהבעיה תוקנה בגרסה העדכנית: איך הייתם מרגישים אם מיקרוסופט פתאום היתה מפשסיקה לתקן בעיות (כולל בעיות אבטחה) במערכות ההפעלה הישנות שלה?

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 1)
ע"י דוביקס ב 09/07/2004 - 05:42
(מידע על משתמש | שלח הודעה) http://http://
באת לקלל ויצאת מברך. לא משנה, אולי בפעם הבאה יצליח לך.

הנה טלאי תיקון גם לגרסאות קודמות :

http://update.mozilla.org/extensions/moreinfo.php?id=154&vid=261&category=&page=releases

אם היית טורח לקרוא לעומק את הקישורים שהבאתי היית מגיע לזה לבד. כנראה שהיה יותר חשוב לך לקטר בקול?

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 06:07
יש הבדל בין טלאי לבין גרסה שהמשתמש בבית יכול גם להתקין. אם יש לך גרסה ישנה יותר של מוזילה: האם אתה יכול לשדרג? (האם זה עלול להרוס לך את קובצי ההגדרות? לגרום לבעיות עם תוספים קיימים?)

(גם על) על קריטריונים כאילו שופטים את מיקרוסופט כאשר היא מוציאה תיקון.

ובתשובה לשאלה שלא שאלת: קצב הפעולה של מיקרוסופט כאן נראה לי איטי להחריד: יותר שבוע לאחר שנחשף חור אבטחה שכבר משמש להתקפות נגד המוצר הם עדיין לא הוציאו תיקון לבעיה. כדי שיהיה משהו בינתיים הם הוציאו "תיקון" שמשנה את ברירת המחדל של ההגדרות...

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 1)
ע"י דוביקס ב 09/07/2004 - 06:19
(מידע על משתמש | שלח הודעה) http://http://
הטלאי הוא קובץ xpi, וכל מה שנדרש להתקינו הוא קליק על הקישור. מה יותר פשוט מזה?


[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 12:02
על אילו גרסאות של מוזילה הוא נבדק??

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 12:16
1.1 עד 1.7

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 12:55
ואיך משתמש מוזילה אמור לדעת שהוא צריך לעדכן?

כמה קישורים צריך לעבור מדף הבית של מוזילה עד שמגיעים לאזכור של הבעיה?

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 13:26
אם תסתכל בעמודת החדשות בדף הבית של מוזילה תוכל לראות אזכור לתיקון האבטחה.

יחד עם זאת אם תטען שהדבר לא ממוקם בצורה בולטת מספיק, אסכים עמך.

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 1)
ע"י bombadil ב 09/07/2004 - 07:22
(מידע על משתמש | שלח הודעה) http://
"כל מפיץ רציני מספיק שהתיקון רלוונטי לגביו יצטרך להפיץ את העדכון. לא מספיק שהבעיה תוקנה בגרסה העדכנית: איך הייתם מרגישים אם מיקרוסופט פתאום היתה מפשסיקה לתקן בעיות (כולל בעיות אבטחה) במערכות ההפעלה הישנות שלה?"

עד כמה שאני יודע מיקרוסופט אכן הפסיקה להוציא תיקונים לגרסאות ישנות של מעה"פ (Win98) והדפדפן (IE5, IE4).
בנוסף - הם הפסיקו לתת תמיכה למקינטוש, מה שהיה משאיר את משתמשי המקינטוש עם דפדפן ישן ובלי תיקוני אבטחה אלמלא אפל התחילה להוציא דפדפן משלה מבוסס קונקורר.

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 1)
ע"י sforbes ב 09/07/2004 - 09:57
(מידע על משתמש | שלח הודעה) http://www.xslf.com
לפחות בנוגע לגירסת המקינטוש של אקספלורר, השילוב של חוסר אינטגרציה עם המערכת ברמה של חלונות יחד עם מנוע דפדפן נפרד לחלוטין (הם משתמשים במנועים שונים) גרם לכך שגם בתקופה שאקספלורר למק היה עדיין נתמך, היו לו *הרבה* פחות בעיות אבטחה מאחיו החלונאי.

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 11:07
עברו 6 שנים מאז שיצאו IE4 ו־win98 . אפשר מתישהו לחליט שמפסיקים לתמוך. להשוואה: רד־האט וסוזה מבטיחות חמש שנות תמיכה רק למוצרי ה־enterprise שלהם. רוב הפצות הלינוקס נתמכות לתקופה קצרה בהרבה.

מהבחינה הזו הפסקת התמיכה בגרסאות ישנות של הדפדפן היא פחות בעייתית כי השדרוג לא ממש בעייתי.

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 1)
ע"י Maayan ב 09/07/2004 - 11:53
(מידע על משתמש | שלח הודעה) http://
ההבדל הוא, שבקוד פתוח תמיד אפשר לקמפל קוד מקור חדש ומתוקן של אפליקציה בעיתית במערכת הישנה. בניגוד לקוד סגור בו כל מה שנותר לך הוא להתפלל ולקוות לטוב.

[ השב לזאת ]

Re: פרספקטיבה(ניקוד: 0)
ע"י פינגווין אנונימי ב 13/07/2004 - 20:58
בחורציק.. תחשוב קצת..
להחליף את win95/98/me לwinxp יעלה לך בחנויות (אופיס דיפו גרסת HOME לשדרוג) מעל לחמש מאות ש"ח.. והיום.. ניתן לרכוש מחשב חדש במחיר קרוב לזה..
לינוקס ניתן (למשתמשים הביתיים) לרוב בחינם.. או ששידרוג עולה 10-30 דולר.. כך שתעשה את החשבון..

הנקודה:
במידה ואתה עם חלונות 98 ונגמרת תקופת התמיכה (בעיית אבטחה במערכת עצמה.. לא ב-IE*).. מה שתוכל לעשות זה:
- לשדרג את המערכת (500 ש"ח ומעלה..)
- לחפש פתרון חלופי (ברוב המקרים גם יעלה כסף.. Norton/McAfee/Pandas AV)

עם מערכת הפעלה חופשית (לינוקס, *BSD, ..)
- לשדרג (בחינם.. וזו ה' נקודה)
- לחפש פתרון חלופי (kde,gnome, konq.., firefox, mozilla, .. חינמי)
- אומנם החברה יכולה להפסיק את התמיכה אך במידה ותהיה קהילה גדולה שתצטרך תמיכה.. אני מבטיח לך שהם יסתדרו (קוד פתוח..)
- שדרוג ותמיכה של ערכות enterprise של לינוקס (SUSEת RH MDK) עולים הרבה פחות.. פשוט תבדוק ותווכח..


[ השב לזאת ]
פרספקטיבה (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 12:51
כמו שאני רואה את זה התגלתה פירצה. הפירצה מוכרת. התקיים דיון והוחלט שלא להעניק עדיפות לטיפול בה משיקולים שמתוארים בהתכתבות ברשימת התפוצה של הפרוייקט ובדיווחים הרבים שהתפרסמו וחבל שלא צוטטו כאן.

ההתנפלות\התנצלות על האירוע הזה תשאיר אותך (דוביקס) עם מעט מאוד תחמושת לפעם הבאה שזה יקרה, וזה יקרה. קוד פתוח זה לא תעודה שמבטיחה כתיבת קוד נטול באגים, גם אם היא מאפשרת לאתר ולתקן אותם מהר יותר.

"מהירות התגובה המדהימה עד לפתרון הבעיה מרשים ביותר" - אם אני מבין נכון, התיקון, הוא בסך הכל שינוי ברירת המחדל שמתירה הפעלה של shell והעברת הפקודה הלאה למערכת ההפעלה. ניסיון דומה ב-ie בסך הכל מציג למשתמש תיבת שיחה שמאפשרת הרצה או שמירת הקוד - ברירת מחדל שפויה יותר מן הסתם.

העובדה שזה קורה בחלונות ולא בלינוקס לא רלבנטית לדיון, והשימוש בטיעון הזה מכשיל, כי הוא אומר למשל שהמוצרים של מיקרוסופט למערכת ההפעלה שלה טובים יותר. עובדה, IE לא סובל מהבעיה הזו.

כל הדיווח על הבעיה הזו, חוסר הפרופורציה והנימה ההיסטרית הקלה, מיותרים לחלוטין לדעתי. וגם המיני-קמפיין מניעה של דוביקס יוצר תחושה של חוסר עקביות במקרה הטוב, או אי הבנה במקרה הגרוע. מיקרוסופט השתמשה כבר בנימוקים מבוססים הרבה פחות כדי לתקוף את לינוקס (למשל "בדוק את העובדות").

אורי
לינמגזין

[ השב לזאת ]

Re: פרספקטיבה (ניקוד: 1)
ע"י hary_i (ori@helicontech.co.il) ב 09/07/2004 - 17:09
(מידע על משתמש | שלח הודעה) http://esc.sail.co.il/~ori
אף אחד לא אמר שקוד פתוח הוא תעודה שמבטיחה כתיבת קוד נטול באגים.
כל מה שנאמר הוא שקוד פתוח הוא מודל טוב יותר לתיקון הבאגים, לא להמנעות מהם מלכתחילה.

[ השב לזאת ]
יש פירצה ישנה יותר במוזילה שעוד לא תוקנה (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 13:54
לפחות לפי secunia:
http://secunia.com/advisories/11856/

http://bugzilla.mozilla.org/show_bug.cgi?id=246804

אבל איך המשתמש התמים אמור לדעת על כך? דף פגעי האבטחה עודכן לאחרונה לפני יותר מחצי שנה...

http://www.mozilla.org/projects/security/known-vulnerabilities.html

[ השב לזאת ]