23-12-2013, 21:34
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
בתגובה להודעה מספר 7 שנכתבה על ידי efekt שמתחילה ב "אני מכיר את האנטגוניזם שלך כלפי מיקרוסופט, זה בסדד :)"
אין ספק ש Zero-day שהתגלה בטעות, שהסיכוי שיעלו עליו לא גבוה במיוחד (כי אף אחד לא יכול לקרוא את הקוד, וכאמור, הוא התגלה במקרה...) - הוא בעייתי הרבה יותר. אני מעדיף לא לסמוך על טעויות. וכך, אגב, רוב מוחלט של האתרים באינטרנט... או שכולם מטומטמים, או שכנראה שבאמת עדיף קוד פתוח. (זה לא אומר שלא צריך לעדכן כאשר כן מתגלה בעיית אבטחה. זה גם לא קשה לעדכן...)
אף מוצר הוא לא Bug free. אבל יש מוצרים שיותר סביר שימצאו בהם יחסית מהר באגים חמורים, ויעשו responsible disclosure, והתיקונים יהיו מהירים, טובים, ואיכותיים (ככה זה שאלפי אנשים יכולים לעשות לך code review)... ואין ספק שככל שאתה מריץ יותר קוד בשביל לעשות את אותה המשימה (מי אמר הרצת GUI בשביל שרת שהתקשורת איתו טקסטואלית בלבד???) - יש לך יותר סיכוי לבאגים.
מיקרוסופט דואגת לחומרות? הממ... יצרני הדרייברים דואגים לחומרות. לצערנו רובם דואגים בעיקר למיקרוסופט (אבל אל דאגה, זו לא בגלל איכות, אלא בגלל כמות) - למזלנו זה רק בשוק המחשבים הביתיים. בשוק השרתים, אין דבר כזה חומרה שלא נתמכת... והאמת היא שהשוק עבר כזו יונפיקציה, שבשנים האחרונות, למעט מוצר מאוד מאוד מסויים, שהוא מקלוני DVB-T [לא בדיוק משהו שרלוונטי לבטחון ישראל (נראה לי...)], טרם יצא לי לראות חומרה שלא פועלת out-of-the-box בלינוקס (מבלי להתקין שום דרייבר, למען הסר ספק). אגב, אם כבר דיברנו על דרייברים - הדרייברים הם חלק חיצוני מחלונות, שמסופק על ידי יצרנים חיצוניים (למשל - מסין...) - שגם את קוד המקור שלו אין - וגם שם יש באגים בשפע - שמשפיעים על יציבות מערכת ההפעלה חלונות. במערכת לינוקס טיפוסית, כל הדרייברים, כולל קוד המקור שלהם, חשופים ויכולים להיבדק...
היא קורסת משום שהיא XP. אולי אפילו בלי SP. אני יכול לנחש למה. יש את הקטעים האלה שמתקינים עדכונים שדופקים תוכנות שהתבססו על התנהגות ישנה של המערכת. אני מכיר את הסיפורים האלה על האנשים הבודדים שמצליחים להריץ חלונות אפילו שנים ללא בעיות. חלקם אפילו אנשים שאמינים עלי. אבל ודאי שאינם מייצגים את רובם המוחלט של שאר האנשים שאני מכיר, שלא זוכים לחוויה שכזו... יש לציין שלתמוך באנשים עם תקלות בחלונות הוא בין תפקידי בחיים. וגם בחבר'ה שלא משתמשים בחלונות. משום מה אלה שלא, אף פעם לא צריכים עזרה עם תקלות... רק שואלים איך עושים משהו (ולמי שיגיד ש"בחלונות זה יותר קל" - בד"כ זה משהו מתקדם שבכלל לא ניתן לעשות בחלונות...)
ודאי שלא קפץ שום דבר... כנראה אלה שתחזקו את השרת המאוד קריטי הזה לא התקינו מערכות רלוונטיות לאיתור דברים כאלה - ויש כאלה - ובחינם. לא תמצא אותי מגן על אפאצ'י - למרות שאני מכיר אותו - ועבדתי איתו - אני באופן כללי לא סובל אותו. הצורה שבה הוא עובד דווקא מאוד דומה לנושא השיחה שלנו - חלונות. והיא צורה מיושנת ובעייתית (ובדיוק כמו חלונות - ממש לא מעניין אותי שרוב העולם משתמש בו - זה לא אומר שהוא טוב...). אני באופן אישי משתדל מאוד לא להשתמש בו ככל שרק ניתן, מהסיבות האלה. יש עוד הרבה סיבות אחרות מדוע לא להשתמש בו, אבל לא ניכנס לזה. האמת היא שאני לא כל כך מבין מה הקשר בין ידע ב C/C++ לניהול שרתים, ומי אמר שמי שיודע לתכנת יודע מה שצריך לדעת כשמריצים שרת, ועוד כל מיני דברים אחרים, שזה לא המקום לדון בהם.
אני מסכים איתך - שום דבר הוא לא 100% מאובטח. זה לא משנה את העובדה שמי שבוחר בחלונות - מתאבד מבחינה אבטחתית. פשוט, מלכתחילה, אין לו סיכוי. וזה ההבדל.
|