ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkסוד הבאג הנעלם

published at 06/10/2004 - 06:00 · ‏פורסם דוביקס · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע לפני מספר ימים שוחרר תיקון אבטחה למוזילה פיירפוקס, שדווח בבאג מספר 259708. באג זה היה חסום לגישה ציבורית בתחילה, וכעת הוא נפתח לעיון הציבור. במקביל, מדווח הבאג תיעד את השתלשלות הארועים סביב הבאג בבלוג שלו. מתברר שבאג זה טומן בחובו סיפור לא קטן, שלקחים בצידו:

* כיצד אנו, כמשתמשים, צריכים להתנהג אם אנו מגלים בעיה שיכולה להיות לה השלכות אבטחה?
* עד כמה הנוחות של גרסאות בינאריות יכולה למזער את היתרונות המובנים בהיות הקוד פתוח?
* האם פרוייקט קוד פתוח צריך לכפות חיסיון על בעיות אבטחה בה או שעדיף גילוי מלא ‏(Full disclosure‏)‏?

קישורים:

Bug 259708: A human perspective,
Bugzilla Bug 259708,
הרצאה של אבירם חניק בתלוקס, Full_Disclosure (פורמט אופן אופיס)
 

קישורים רלוונטיים

סוד הבאג הנעלם | כניסה / יצירת מנוי חדש | 8 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
תיקונים באגים בקוד פתוח?! (ניקוד: 0)
ע"י פינגווין אנונימי ב 06/10/2004 - 06:45
המקרה הזה מראה שגם בקוד פתוח באגים קריטיים יכולים לא לקבל טיפול מתאים.
קראתי את כל הסיפור מאחורי הדיווח של הבאג והטיפול בו.
לדעתי זה נכון, יותר מדי אנשים הסכימו איתו במקום לעשות משהו.

אולי זה החיסרון בקוד פתוח, בגלל שלאנשים יש עוד דברים בחיים (משפחה עבודה)
אז הם לא תמיד יכולים למצוא את הזמן לטפל בבאגים.
שלא כמו בקוד סגור, של חברה תוכנה גדולה, האנשים שם חייבים לפתור באגים
אחרי הכל, על מה משלמים להם סכומים כאלה גדולים של כסף :P

[ השב לזאת ]

Re: תיקונים באגים בקוד פתוח?! ע"י אוריב ב 06/10/2004 - 10:52
Re: תיקונים באגים בקוד פתוח?! ע"י פינגווין אנונימי ב 06/10/2004 - 11:02
Re: תיקונים באגים בקוד פתוח?! ע"י אוריב ב 06/10/2004 - 12:30
אני לא יודע לגביו ע"י פינגווין אנונימי ב 06/10/2004 - 15:57
למה לא full disclousure (ניקוד: 0)
ע"י פינגווין אנונימי ב 06/10/2004 - 18:13
אני מניח שהדעה הכללית בקרב אנשי מוזילה היא שנסיון למנוע full disclosure הוא נסיון עקר ומיותר באופן כללי. אז למה האפשרות הזו?

לא מספיק לתקן את הבעיה. צריך שגם המשתמשים יתקינו את הגרסה המתוקנת לפני שיתחילו לנצל אותה. כדי להוציא גרסה חדשה צריך למצוא תיקון, לבדוק שהוא אכן עובד, לראות שהוא לא הורס שום דבר, לבדוק שלא נהרס שום דבר אחר, וכו'. לוקח זמן לעשות את זה בצורה מסודרת. נניח שבועיים.

ואם הפרצה הזו לא היתה ידועה במשך כשנה, הסיכוי שהיא תתגלה (שוב) במשך אותם שבועיים אינו גדול מדי. לא משתלם לעבוד בדחיפות רבה מדי ולהסתכן בטעויות. אם יהיו טעויות המשתמשים לא יוכלו לסמוך על עדכונים ויפחדו להתקין אותם.

במשך אותם השבועיים אין טעם לספר לכל העולם על הבעיה כי אז יתחילו לנצל אותה לרעה עוד לפני שהתיקון לה יופץ.


במקרה המדובר הבעיה נחשפה עוד לפני שהיא בעיית אבטחה, וכותב המאמר כתב עליה כבר בטורו האישי. לאחר מכן התברר שיש לבעיה השלכות של אבטחה והיא הפכה לחסויה. לא ברור עד כמה דבר כזה הוא מעשי. אבל כותב המאמר הפך את זה לבלתי־אפשרי בכך שבמקום סתם להסתיר את הידיעה הקודמת הוא החליפה בהודעה שהוא מסתיר אותה.

אז במקרה הזה ההסתרה פשוט לא עבדה.


אגב, כל־כך מסובך לבנות את מוזילה בחלונות?

צפריר

[ השב לזאת ]

וזוית אחרת על כל התהליך (ניקוד: 1)
ע"י sforbes ב 06/10/2004 - 22:29

(מידע על משתמש | שלח הודעה) http://www.xslf.com
במקרה הזה: http://developers.slashdot.org/comments.pl?sid=124646&cid=10453555

[ השב לזאת ]

Re: וזוית אחרת על כל התהליך ע"י פינגווין אנונימי ב 07/10/2004 - 00:37