Gå til innhold

Mozilla advarer mot Firefox-hull

abene

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Pricks

Pricks

Skrevet
Skrevet
Igjen: De fleste hull finnes ved å teste programmet, ikke ved å lese koden.

Har du noe som helst logisk eller statistisk grunnlag for denne påstanden?

Ja, det er bare å se på sikkerhetshullene som er rapportert, det.

 

 

 

Med lukket kildekode kan du debugge men ikke fikse feilene.

Nå er det snakk om sikkerhetshull, og da snakker vi om folk flest og hvordan folk med onde hensikter kan utnytte disse.

 

Med lukket kildekode kan du ikke finne tilfeldige overselelser eller kode som kunne vært mer effektiv.

Det er jo irrelevant for spørsmålet om sikkerhetshull. Dessuten er profesjonelle utviklere bedre enn guttunger som bor i kjelleren til foreldrene.

 

Flere hull blir funnet i Firefox, men siden de er åpen kildekode blir det feil setning. Det er jo egentlig flere hull blit fikset i Firefox.

:lol:

 

Da det gikk som verst for IE var det ikke måte på hvor ille det var at så mange hull ble fikset (:D). Når Firefox sliter skal det spinnes andre vei!

Lenke til kommentar
del_diablo

del_diablo

Skrevet
Skrevet
Det er jo irrelevant for spørsmålet om sikkerhetshull. Dessuten er profesjonelle utviklere bedre enn guttunger som bor i kjelleren til foreldrene.

 

Ironien er hvor få som er guttunger, bor i kjellern, og det har ingenting med god kode å gjøre.

 

Nå er det snakk om sikkerhetshull, og da snakker vi om folk flest og hvordan folk med onde hensikter kan utnytte disse.

 

*finnes OMG LOL exploit i et program* *finner feilen i kildekoden* *sender inn en patch* *ny version ute med som har fikset dette*

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet (endret)

@Pricks:

 

Det er forbausende få guttunger i kjelleren som arbeider med åpen kildekode. Guttungene i kjelleren bruker piratversjoner av Windows. Nei åpen kildekodeutviklere er primært ansatt i høyt ansette selskaper eller er meget kompetente frittstående utviklere.

 

Det er også helt vanlig innen åpen kildekode å "lese i koden" for å se etter feil/problemer. Og det er også korrekt at man tester, og mye finnes på den måten. At sikkerhetshull i f.eks. Firefox oppgis med hvordan man "aktiverer" hullet, forteller ikke hvordan man nødvendgivis har oppdaget det. Det er normal prosedyre å beskrive sikkerhetshull på denne måten. For at noe skal defineres som sikkerhetshull, må man beskrive hvordan det er utnyttbart. Om man finner noe "grums" i koden, men som ikke lar seg bruke, er det faktisk ikke et sikkerhetshull. Det meste av de sikkerhetshullene som finnes internt av Microsoft sine folk, finnes nok også gjennom "code review".

 

Ellers er det vanskelig å påstå at Firefox sliter, hverken Fx 3.0.x eller 3.5.x har kjente åpne sikkerhetshull pr dato. Noe hverken IE7 eller IE8 kan skryte av. Mengden sårbarheter er også omtrent like store, selv om erfaringer fra Linux burde tilsi at Firefox hadde et betydelig større antall sårbarheter enn IE. All erfaring viser nemlig at åpen kildekode har et langt høyere antall "publiserte" sårbarheter enn lukket kildekode.

 

Mozilla tar i mot patcher fram hvem som heslt de. Men det er visse prosedyrer rundt dette, når det gjelder testing/review av patcher. Kravene til selve patchen, gjør at det er lite patcher fra personer utenfor de som arbeider mye med Firefox, tilknyttet utviklermiljøet.

 

Men dette gjelder alle åpen kildekode miljøene. 90 - 95 % av patcher/ny funksjonalitet kommer fra en kjerne av utviklere.

Endret av Bolson
Lenke til kommentar
Pricks

Pricks

Skrevet
Skrevet
Nei åpen kildekodeutviklere er primært ansatt i høyt ansette selskaper eller er meget kompetente frittstående utviklere.

Ja, og det er mest opptatt av å skrive sin egen kode, og sitter ikke og leser gjennom Firefox-koden.

 

Det er også helt vanlig innen åpen kildekode å "lese i koden" for å se etter feil/problemer.

Og det gjør folk som er profesjonelle og kjenner koden. Ikke tilfeldige folk fra gata.

 

Mozilla tar i mot patcher fram hvem som heslt de. Men det er visse prosedyrer rundt dette, når det gjelder testing/review av patcher. Kravene til selve patchen, gjør at det er lite patcher fra personer utenfor de som arbeider mye med Firefox, tilknyttet utviklermiljøet.

Nettopp. Det er omtrent ingen patches fra andre enn Mozilla og Google. Så det blir bare markedsførings-fluff å påstå at Firefox er så åpen for at du bare kan skrive din egen fiks og få den inn. SÆRLIG når det gjelder sikkerhetshull.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Nå er det vel ingen som har påstått at den vanlige mannen i gata leser kildekode. Men det er langt flere enn bare utviklerne hos Mozilla som kikker på koden (leser den). Personlig kjenner jeg flere som ikke er tilknyttet Mozilla som har sjekket gjennom betydelige deler av Mozilla sin kode, og som har funnet feil og fått "patcher" godkjent. Til og med patcher av sikkerhetshull.

 

Og de tar i mot patcher fra hvem som helst, så lenge man følger retningslinjene. Men det er helt normalt i alle åpen kildekodeprosjekter at 90 - 95 % av patcher kommer fra de som arbeider "daglig" med utvikling/avansert bruk av programvaren. Men du vil bli overrasket over hvor mange av disse som faktisk ikke er ansatt hos Google eller Mozilla.

 

Men det betyr ikke at det er markedførings-fluff at Firefox og andre åpen kildekodeprosjekter er så åpne at hvem som helst kan komme med fikser.

 

Men nå vet jeg ikke hvor godt kjent du er med prosedyrene i de fleste større åpen kildekode prosjekter, men prosessen både når det gjelder å rapportere feil, skrive fikser etc er i alle prosjektene jeg er involvert i særdeles åpne prosesser. Mitt inntrykk er det samme når det gjelder Firefox.

 

Faktisk er det relativt vanlig at vi som pusler med åpen kildekode bruker litt tid til lesing av kildekoden. Ikke nødvendigvis for å finne feil, men finne fram til hvordan vi skal løse spesifikke ting. Det er også helt vanlig at åpen kildekodeutviklere og selskap som bruker mye åpen kildekode dedikerer en del av sin tid til "community work".

Lenke til kommentar
Gjest Slettet+9871234

Gjest Slettet+9871234

Skrevet
Skrevet
Nettopp. Det er omtrent ingen patches fra andre enn Mozilla og Google. Så det blir bare markedsførings-fluff å påstå at Firefox er så åpen for at du bare kan skrive din egen fiks og få den inn. SÆRLIG når det gjelder sikkerhetshull.

Om eg hugsar rett så er ca. 40 % av koden i Firefox ikkje av Mozilla, men ikkje stol på hugsa mi.

 

Kan du kome med statistikk som viser kor mykje av koden er av Mozilla og Google? Du bør ha tal for å underbyggje den påstanden.

Lenke til kommentar
Newton

Newton

Skrevet
Skrevet (endret)
Igjen: De fleste hull finnes ved å teste programmet, ikke ved å lese koden.

Har du noe som helst logisk eller statistisk grunnlag for denne påstanden?

Ja, det er bare å se på sikkerhetshullene som er rapportert, det.

Så _jeg_ skal produsere statistikk om hvilke metoder som er benyttet for å finne hull, i tilfelle det finnes noe noe som eventuelt kan bevise _din_ påstand?? Morsom du!

Konklusjon: Du slengte ut en påstand som du ikke er i stand til å dokumentere.

Endret av Newton
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
Tror ikke han gjør det.

Med lukket kildekode kan du debugge men ikke fikse feilene.

Med åpen kildekode kan du debugge OG fikse feilene.

 

Litt pirkefeil men, du kan faktisk debugge og fikse feil på lukket kildekode om du bare gidder.

 

Du har rett i det. Ikke så mange som kan det dog. Og så har du faktisk ikke lov i henhold til lisensvilkårene.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...