Win 2000 kildekode lekket

[striky]

http://www.root.no/forum/index.php?showtop...t=0entry25757 (linker innom et anna nettsted for å hver på den trygge siden ) Endret 13. februar 2004 av striky

[ærlige_roffen]

Det sitter titusenvis av utviklere rundt om i verden og leser Open Source kode som blir skrevet. I Microsoft ble det slik etter opprydningen sist høst, at det 1 utvikler har skrevet skulle en annen se over før det ble lagt til hovedtreet. Etterpå tar QA-avdelingen over. De tester og prøver ut de ulike funksjonene for å finne bugs og potensielle sikkerhetsaspekter som må fikses.

Ehm, nå vet jeg ikke hvor du har disse opplysningene dine fra, men det høres ekstremt urealistisk ut at kun to personer ser over kildekode før den bakes inn i treet. Enda mer urealistisk er det at dette skulle gjelde sikkerhets-sensitiv kode.

 

Det er imidlertid helt klart flere som ser over linux-koden enn win-koden, men jeg tviler på at man vil finne trivielle feil i den lekkede kilden.

 

Som du da ser er det kun en brøkdel av folk involvert i QA for MS kode, sammenlignet med Open Source. Ta f.eks. OpenSSH, som er noe av det mest brukte SSH implementasjonen i verden. Åpen for alle å lese koden, men svært sjelden det blir avdekket feil i produktet. Og de få gangene det skjer, så blir det som regel plastret raskt (ofte snakk om timer). Hos MS har en rekke sikkerhetshull ligget åpen i over 6 mnd før det har skjedd noe.

 

Veel, hvor lenge tror du ikke feilene har ligget i OpenSSH før de blir avdekket, da? OpenSSH er en trivielt liten kodesnutt sammenlignet med de 40 gigabytene som utgjør win2k's kildetre. Denne koden blir finkjemmet omigjen og omigjen av utviklerne for å finne feil. I lys av dette vil jeg ikke påstå at det er "svært sjelden" at det avdekkes hull. SVJH, var det ikke snakk om direkte programmeringsfeil sist gang det var en remote exploit i openSSH, men snarere enn bug i protokolldesignet. Slik er nok ståa med kildekoden til win2k.

 

Nå er det neppe noen god ting at kildekoden har blitt lekket ut, og det vil helt sikkert ikke bli *færre* exploits som følge av det, men det behøver ikke bli noen krise (det ser i hvert fall ikke ut som om kilden til Outlook er lekket...)

[abcd423417984]

jeg skjønner ikke hvorfor folk synes dette er BRA? for det første unner jeg INGEN å miste kontrollen over sin egen kildekode da jeg selv programmerer og har opplevd dette. for det andre så vil dette gå ut over alle som faktisk bruker produktene da nye sikkerhetshull vil bli oppdaget. for det tredje vil microsoft måtte bruke penger og ressurser på å tette disse sikkerhetshullene, og hvem må betale for dette? Jo det er de som faktisk kjøper produktene.

 

så før noen som helst igjen sier "hahaha til pass", så prøv å se på det fra andre siden.

[InfecteD]

Det var noen som sa noe om en seriøs diskusjon på slashdot... Slashdot != seriøst. Er stort sett bare en haug med Linux zealots som skriver innlegg der =P

Sånn ellers er det vel tvilsomt at noe av koden vil bli brukt i noen GPL programmer og hvis det blir brukt får de fort Microsoft på nakken. Men men... Kjøra på.

[Raider]

hvis jeg forstår det sånt..hvis en kilde kode lekker ut så man man endre Win fra bunnen av? ala linux

 

 

detta kan være bra og dårlig..

 

 

 

Bill Gates

[pgdx]

så før noen som helst igjen sier "hahaha til pass", så prøv å se på det fra andre siden.

Så når jeg har vurdert begge sider er det greit? Vel, da kaster jeg meg i det:

 

"Haha, til pass for dere!"

[Linuxguru]

Ehm, nå vet jeg ikke hvor du har disse opplysningene dine fra, men det høres ekstremt urealistisk ut at kun to personer ser over kildekode før den bakes inn i treet. Enda mer urealistisk er det at dette skulle gjelde sikkerhets-sensitiv kode.

 

Dette er ikke noe jeg har dratt utav rompa mi selv. Dette var noe Microsoft selv gikk ut og sa, da de hadde sin berømte oppvask for 1 år siden. De stoppet all videre utvikling i 3 måneder, og brukte tiden til å rette feil i eksisterende kode. Det var da retningslinjene ble skissert. Forøvrig er det ikke spesielt vanlig programmerere sitter og "retter" koden til hverandre - så MS gjorde iallefall et reelt forsøk på å forbedre seg. Hvis du leter litt så finner du nok det MS selv skrev om dette på nettsidene deres.

 

Veel, hvor lenge tror du ikke feilene har ligget i OpenSSH før de blir avdekket, da? OpenSSH er en trivielt liten kodesnutt sammenlignet med de 40 gigabytene som utgjør win2k's kildetre. Denne koden blir finkjemmet omigjen og omigjen av utviklerne for å finne feil. I lys av dette vil jeg ikke påstå at det er "svært sjelden" at det avdekkes hull. SVJH, var det ikke snakk om direkte programmeringsfeil sist gang det var en remote exploit i openSSH, men snarere enn bug i protokolldesignet. Slik er nok ståa med kildekoden til win2k.

 

Feilen ligger der selvfølgelig helt fra den ble implementert, til den blir offentliggjort av vedkommende som finner den. Det er i realiteten to fremgangsmåter for å "sikre" koden din: Den gale og den riktige måten. Noen mener at å skjule koden og håpe at ingen finner sikkerhetsfeil ved en slump, er det beste. Andre mener at jo flere som leser koden, jo flere feil kan man luke ut.

 

Og avhengig av hvem du spør, så får du selvfølgelig forskjellige svar på hva som er "riktig". Det som iallefall er sikkert, er at *alle* i teori og prinsipp står fritt til å lete og finne feil i open source programvare. Det kan du ikke med propreitær programvare. Da må du bare stole på at produsenten gjør jobben sin.

 

For meg er valget enkelt :-)

Endret 13. februar 2004 av Linuxguru

[flabben]

HA HA!

[8483838383]

Sida er überbelasta Neh, holder meg til Linux jeg, er så godt å slippe spyware.

[TheMatrix]

Ser heldigvis bare ut til å vær en brøkdel av koden som er "sluppet ut" - forhåpentligvis blir ikke skaden så stor. Blir det behov for 'damage control' jf Half-Life 2 så vil det gi ytterlige forsinkelser Windows for AMD64 (som også er lavt prioritert) og kanskje og på Longhorn (og det hadde irritert meg).

 

Det er vel ingen som oppriktig talt tror dette kommer til å tjene dem på noe vis? Skjønner ikke helt folk som gleder seg over dette, er det bare 'skadefryd' over noe som har potensialet til å skape problemer for Microsoft og Windows-brukere?

Skadefryd er den eneste sanne fryd

 

Det kan kanskje gi et bedre (les sikrere) OS, det kan kanskje også hindre at M$ slipper halvferdige produkter ut i markedet ?

[Mr.Devil]

Har linux cder ligge ved siden av meg i tilfelle

[Qwseyvnd]

Det blir godt av M$ uhell slapp ut kildekode...jeg ser den har kjernen og shell der

 

Hvis det går an å lese all kildekode av Linux's program!

Jeg håper Transgaming som lager WINE og WINEX finner ut feilen hvorfor går ikka an å kjøre FS2004!

 

Håper virkelig, kjøper aldri mer lovlig Windows, bare bruke linux + winex inkl fiks av fs2004.

[Qwseyvnd]

I kildekode ser slik ut M$ har stjålet kode...all kode der ender som c, h, o, cpp, ico, src, rcv og så videre...Linux bruker de fleste...og sjekket kildekoden selv...ser ikke bra ut. De støtter i virkelighet flere plattformer enn x86.

[ronndi]

neowin har alltid problem med linking ser det ut til. gå på forsiden istedet.

 

Sitat:

 

Microsoft's Tom Pilla has confirmed the leak stating: "Today we became aware that incomplete portions of Windows 2000 and NT 4.0 source code was illegally made available on the Internet"

 

Det at kodene er lekket er vel ganske oppsiktsvekkende, da disse er voktet bedre en romskipa fra Rosswell!!

[panzerwolf]

I følge Aftenposten sier MS selv at koden er ute på nettet. Jaja... Uansett meninger blir det spennende å se resultatet. Det kan bety et kraftig skudd for baugen for MS om tusenvis av bedrifter får problemer nå.

[ronndi]

 

Dette er ikke noe jeg har dratt utav rompa mi selv.

 

 

 

 

 

offtopic:

 

Nei det du drar ut av rompa postes i Off-topic

[Dazem]

Dette vil slå ut VELDIG dårlig for oss forbrukerene mens MICROSOFT blir vinneren økonomisk sett. Vi forbrukerene kommer til å få ormer/virus inn på maskinene som er verre å fjerne og vi får også dermed mer updates man må stille opp med.

 

 

Men på den annen side kansje Microsoft kommer til å lansere Longhorn kjappere da denne har en helt annen oppbygging av selve sourcecode.

 

Off Topic: Jeg er endelig tilbake nå etter å ha blitt utestengt her pga jeg kritiserte moderatorene.

[BioAcid]

I kildekode ser slik ut M$ har stjålet kode...all kode der ender som c, h, o, cpp, ico, src, rcv og så videre...Linux bruker de fleste...og sjekket kildekoden selv...ser ikke bra ut. De støtter i virkelighet flere plattformer enn x86.

Fil-endingene har jo ingenting med hva som står i selve koden å gjøre, det kommer ann på hvilke språk du programmerer i.

 

Du bryter ingen rettigheter om du endrer en fil til c for eksempel.

[CerveZa_]

Tja, hva skal man si, det er jo for det første ikke sikkert at det er titusenvis av feil/hull/bugs i kildekoden, den er jo relativt gammel, så det meste burde være fiksa allerede.

 

Vet ikke helt hva jeg skal synes om dette, men, det hadde vært gøy å kunne bruke sikker read/write fra/til NTFS fra linux, da jeg er bruker av både Widows og GNU/Linux

 

Ved nærmere ettertanke så er det heller tvilsomt at noen vil gi ut NTFS moduler med MS kildekode lisensiert under GPL...

Endret 13. februar 2004 av CerveZa_

[Revox]

Ikke bra.. Ikke bra..

 

Roter heller frem Win98 cd'en min om det kommer til slike tilstander for w2k/wxp istedet for å legge inn linux.