heartbleed - ceho vseho se vlastne tyka

Dan Lukes dan at obluda.cz
Fri Apr 11 10:50:48 CEST 2014


On 04/11/14 06:07, Jan Pechanec:
> 	je to tak jednoduchy, az z toho fakt mrazi.  Divil bych se, kdyby
> tohle ruzny instituce nevedely davno.  Staci platit par desitek lidi, ktery
> budou metodicky zkoumat kazdou zmenu v zakladnich security toolkitech a
> programech.

Skoda jen, ze se mezi tema milionama uzivatelu nenajde par, ktery by 
neco podobnyho delali, akoratze zadarmo. I kdyz ono by to asi 
nefungovalo ani kdyby se nasli - je to takovy "zakladni vyzkum", ktery 
sezere spoustu casu (a to nejen tomu, kdo ty veci zkouma, ale nasledne i 
tem, co mohou delat zasahy do kodu, kdyz se maji zabyvat pripominkama, 
ktery on posle) - a vetsinu casu z tyhle prace nepada nic viditelne 
uzitecnyho.

Nakonec, mam vlastni zkusenost tohohle typu s FreeBSD. V roce 2004 jsem 
z protokolu o prekladu 'world' vsechny warningy a podival se nakolik je 
to falesny poplach. Nenasel jsem zadnou "velkou ranu". Par chyb spise 
mensi dulezitosti a 33 falesnych polachu, ktery i tak bylo lepsi 
vyresit, aby priste kazdy novy warning znamenal misto, ktery ma nekdo 
zkontrolovat. Osud tehle 33 hlaseni ? 20% jich skutecne bylo do roka 
vyreseno. 80% jich bylo vyreseno s prumernou(!) dobou na reseni 4.5roku, 
20% jich je dosud nedotknuto,

Asi neprekvapi, ze jsem se do podobnyho dobrodruzstvi uz nikdy znova 
nepustil, protoze to je v podstate ztrata casu.

Nepisu to abych si ukrivdene postezoval, ze na me kaslou - jen, ze o 
tomhle "pripadu" mam detailni informace. Celkem jasne to demonstruje 
jaka je realita moderniho programovani. Dokud neni prusvih, tak na cisty 
programovani nebo uklizeni drivejsiho necistyho kodu proste neni cas. 
Nemam duvod predpokladat, ze v jinych open source projektech je to nejak 
jiny.

Ani me to uz nerozciluje - jako i v jinych oblastech, kdyz chces mit 
neco opravdu poradne, musis si to zaridit sam.


Dan



More information about the Users-l mailing list