heartbleed - ceho vseho se vlastne tyka
Dan Lukes
dan at obluda.cz
Fri Apr 11 10:50:48 CEST 2014
On 04/11/14 06:07, Jan Pechanec:
> je to tak jednoduchy, az z toho fakt mrazi. Divil bych se, kdyby
> tohle ruzny instituce nevedely davno. Staci platit par desitek lidi, ktery
> budou metodicky zkoumat kazdou zmenu v zakladnich security toolkitech a
> programech.
Skoda jen, ze se mezi tema milionama uzivatelu nenajde par, ktery by
neco podobnyho delali, akoratze zadarmo. I kdyz ono by to asi
nefungovalo ani kdyby se nasli - je to takovy "zakladni vyzkum", ktery
sezere spoustu casu (a to nejen tomu, kdo ty veci zkouma, ale nasledne i
tem, co mohou delat zasahy do kodu, kdyz se maji zabyvat pripominkama,
ktery on posle) - a vetsinu casu z tyhle prace nepada nic viditelne
uzitecnyho.
Nakonec, mam vlastni zkusenost tohohle typu s FreeBSD. V roce 2004 jsem
z protokolu o prekladu 'world' vsechny warningy a podival se nakolik je
to falesny poplach. Nenasel jsem zadnou "velkou ranu". Par chyb spise
mensi dulezitosti a 33 falesnych polachu, ktery i tak bylo lepsi
vyresit, aby priste kazdy novy warning znamenal misto, ktery ma nekdo
zkontrolovat. Osud tehle 33 hlaseni ? 20% jich skutecne bylo do roka
vyreseno. 80% jich bylo vyreseno s prumernou(!) dobou na reseni 4.5roku,
20% jich je dosud nedotknuto,
Asi neprekvapi, ze jsem se do podobnyho dobrodruzstvi uz nikdy znova
nepustil, protoze to je v podstate ztrata casu.
Nepisu to abych si ukrivdene postezoval, ze na me kaslou - jen, ze o
tomhle "pripadu" mam detailni informace. Celkem jasne to demonstruje
jaka je realita moderniho programovani. Dokud neni prusvih, tak na cisty
programovani nebo uklizeni drivejsiho necistyho kodu proste neni cas.
Nemam duvod predpokladat, ze v jinych open source projektech je to nejak
jiny.
Ani me to uz nerozciluje - jako i v jinych oblastech, kdyz chces mit
neco opravdu poradne, musis si to zaridit sam.
Dan
More information about the Users-l
mailing list