28/02/2005 23:03:16
cp77fk4r
לפני כמה זמן אחד שאל אותי שאלה, ובעקבותיה הייתי רוצה לנסות לפתח פה דיון בנושא. הוא שאל אותי משהו בסיגנון הבא:
"אם היית צריך לבחור בין שתי מערכות, שתיהן (תודה לסיליק על התיקון) כבר הרבה מאוד זמן בשוק, ידוע לך שבגרסאות הקודמות של המערכת הראשונה נמצאו הרבה באגים- אבל כולם תוקנו. לעומת זאת במערכת השניה לא מצאו באגים בסדר גודל גדול במיוחד.
באיזה מערכת היית בוחר?"
מצד אחד, זה שמצאו הרבה באגים בגרסאות הקודמות של המערכת הראשונה מראה על זה שהגרסא האחרונה חסינה מכל החורים האלה- כי הם תוקנו בה.
אבל מצד שני, זה שלא מצאו הרבה באגים במערכת השניה מראה משהו על האנשים שכתבו אותה, אולי לא מצאו באגים מפני שהיא נכתבה בצורה כל כך טובה ככה שקשה לגלות אותם? אולי לא מצאו באגים מפני שלא חיפשו בה כמו שחיפשו במערכת הראשונה?
אי אפשר לדעת, אין נתונים מהשטח, אתה לא מכיר את כותבי המערכות, לא הראשונה ולא השניה, ככה שאי אפשר להסתמך על נתונים כאלה.
מה שידוע לנו זה שבמערכת הראשונה נמצאו הרבה באגים- והם תוקנו, ובמערכת השניה נמצאו קצת באגים וגם הם תוקנו.
מה אתם הייתם בוחרים? למה?[ההודעה נערכה על-ידי cp77fk4r ב-01/03/2005 00:43:54]
28/02/2005 23:30:49
silicon_wolf
אני הייתי מחליט שמערכת זאת נקבה ולכן אומר שתי מערכות ובין שתיהן ולא בני מערכות ובין שניהם :|
01/03/2005 00:34:29
cp77fk4r
תיקנתי, תודה. וממ.. אין לך דעה בנושא?
01/03/2005 03:26:47
Nameless
מה יותר מאובטח? אחרי שקראתי את הספר בגרסת ה PDF החינמית האלקטרונית של ברוס סטרלינג שנקרא "The Hacker Crackdown" אני אצטט (יותר נכון אכתוב את התגובה שלי באותו רוח דברים של ברוס, ואני מקווה שברוס יסלח לי אם אני מעוות את מה שהוא כתב) כל הוספה של תוכנה היא אפשרות לעוד פירצה, או באג כמו שברוס הראה בספרו - כשחברת הטלפונים (לא זוכר את שמה) עדכנה את התוכנה שלה למערכת הסוויטצ’ים שלה, היא חשבה שהיא עושה מעשה טוב כי אחרי הכול עדכון אמור להיות דבר טוב, אבל העדכון גרם לבאג, שגרם בסוף למערכת לקרוס. אנשים חשבו ש"האקרים" פרצו למערכת הטלפוניה, אבל אנשים גם מאמינים להרבה דברים ששולחים להם לאימייל, כמו בקשות לכסף או למידע כלשהו, אז מה זה אומר לכם על אנשים? בחזרה לנושא: עוד דוגמא היא טלאים: טלאים הם דברים שאמורים לתקן באגים ופרצות אבטחה, ונכון הם עובדים, אבל טלאי הוא עוד חתיכת תוכנה שגורמת לעוד אפשרות לבאג או לפירצת אבטחה, וחוץ מזה (ואני מצטט - מישהו אחר שאני לא זוכר את הכינוי שלו - הציטוט לא מדויק) "טלאי לא מתקן את הפירצה הוא רק משנה את הדרך שבה אנו מנצלים אותה" ואם תחפשו מספיק תמצאו איזה מאמר על איך לעקוף את טלאי מספר ..... שמיקרוסופט הוציאה לתיקון בעית ..... ואני לוקח משהו שמישהו אחר אמר ומשנה אותו שיתאים יותר למה שאני חושב: אם אתם לא רוצים שיפרצו לכם למחשב, אל תקנו מחשב" זה גם מתאים בקשר לבאגים, וירוסים וכל מיני ניקנאקים (לא נודניקים!) כאלה. לענות על השאלה שלך קשה, אז: אני אבחר במערכת שיכולה להפעיל את המשחקים שלי, כי אני אומר שאם כל המידע במחשב שלך נמחק, אז לפחות תהנה מאיזה סופר מריו או מאיזה פיפוש, כי אחרי הכול מחשבים הם מכונה מפגרת שיכולה רק לחסר ולחבר. אי אפשר להמנע ממסכים כחולים, כי אחרי הכול מי שגורם להם הם אנשים! ואנשים מפגרים, או יותר נכון במקרה של באגים: מאוד עייפים מלהסתכל בקוד בשפת C המחורבן הזה שארוך יותר מהז** שלי..... ואל תשכחו שכמעט בכל מכשיר אלקטרוני יש מערכת הפעלה קטנה: מדפסות, מכונות שתייה וכדומה, ממירים של לווין, ועוד. ואם אתם לא רוצים וירוסים אז תרחיקו את האנשים המפגרים מהדבר הזוהר שמושך אותם, שנקרא מסך. מפיצי וירוסים הם עם מאוד מפגר. כותבי וירוסים הם עם חכם יותר. אבל כיום וירוסים נחשבים לדברים שהורסים מערכות, בעוד שטרויאנים ותולעים נחשבים לדברים יותר חכמים. אני יודע שדיברת על באגים אבל הכול בא ביחד. אף פעם לא תהיה מערכת בטוחה או נטולת באגים! וחוץ מזה, אם הכול היה עובד פיקס בעולם הזה, הרבה אנשים היו מחוסרי עבודה...
[ההודעה נערכה על-ידי Nameless ב-01/03/2005 03:29:10]
01/03/2005 12:17:52
cp77fk4r
Nameless, לא הבנתי את מה שאתה מנסה להגיד.
שאלתי שאלה פשוטה.. אין לי מושג מה הקשר בין השאלה לתשובה שלך.
02/03/2005 14:42:46
squall
זה די תלוי.
מה התפוצה של המערכת, מערכת גלובאלית או ישראלית, מי המפתחים שלה....
בכל מקרה, אני לא הייתי שוקל את זה, הייתי בוחר את המערכת לפי שיקולים אחרים. (אגב על איזה מערכת מדברים בדיוק? מערכות הפעלה? מערכות אתרים? מערכות באופן כללי?)
[ההודעה נערכה על-ידי cp77fk4r ב-02/03/2005 23:40:23]
02/03/2005 16:53:01
Z-oro
אם אילו השיקולים היחידים לבחירת המערכת הייתי בוחר במערכת בלי הבאגים וזה בגלל שמיקרוסופט הוכיחה לי שגם אחרי כמעט 30 שנה של מערכות הפעלה ואחרי לא מעט מעררכות שונות לא עובד חודש בלי עידכון אבטחה שבד"כ הוא קריטי
02/03/2005 17:51:51
nickless
זה שלא גילו תבאגים לא אומר שאין =) במערכת שגילו רוב הסיכויים שאין עוד הרבה משמעותיים ולכן הייתי מעדיף אותה.... זה לא בהכרח נכון אבל זאת דעתי חחחח
02/03/2005 23:41:38
cp77fk4r
מצד אחד אתה צודק Nickless, אבל אתה לא יכול לדעת- אולי זה שמצאו באגים אומר משהו על הכותבים?
וסקוואל (אךך.. איך אני אוהב להגיד את הניק שלך), מדוברת בכלליות, לא משנה איזה מערכת.
03/03/2005 13:11:53
nickless
אמממממ יכול להיות שהם שיחררו אותה בלי הרבה בדיקות אז בגלל זה אבל כבר גילו את הבאגים אז זה הסתדר. גם זה לא אותו בנדם כותב את כל המערכת זה כמה אנשים אז יכול להיות שבחלק של אדם אחד יש באגים כי הוא חרא כותב אבל בשאר אין[ההודעה נערכה על-ידי nickless ב-03/03/2005 13:12:19]
03/03/2005 18:07:23
-Hawk-
אני חושב שהייתי בוחר במערכת הפעלה שהתגלו בה הבאגים כי הרי אין עוד הרבה סיכויים לעוד באגים אז למה ללכת על סיכונים וכאלה?
03/03/2005 20:02:14
squall
אם זה מערכת לשימוש אישי, אז פחות הייתי שם על זה דגש, אם זו מערכת לשימוש ציבורי, לאיזה מוסד שלי, או שרת, אתר, או משהו כזה הייתי בהחלט מתייחס לזה בכובד ראש.
אני לא חושב שאפשר לענות על השאלה הזאתי, בסה"כ לא כל קוד הוא פגיע.
וסיפי-> רק מלנסות להגיד את הניק שלך ניהים לי קשרים בלשון:)
03/03/2005 20:45:55
silicon_wolf
מעשה השאלה פה היא לא כזאת. אני למשל הייתי בוחר מערכת שמתאימה לצרכים שלי שלי בצורה האופטימלית ובמידה והייתי מודע לכשלים כלשהם שעדיין לא תוקנו בחברה הייתי משתמש בתוכנות צד שלישי כמו פאקט סניפרים ותוכנות אחרות שיעזרו לי לנטר את מה שהולך בה וע"י כך לסנן את הדברים המזיקים וכו’...
03/03/2005 21:44:07
squall
אני חושב שהכי טוב לבנות מערכת לבד:)
(אם זה מערכת בסדר גודל קטן, לא מערכת הפעלה).
כשצוות של 100 אנשים כותבים מערכת אז.. אין תיאום וכל זה בניהם.
ובכלל, בקשר למערכות אתרים, חלקן יותר מדי אינטרקטביות.
03/03/2005 23:27:34
cp77fk4r
סקוואל, אם הניהול עבודה פועל בצורה טובה, גם פרוייקט שמליון אנשים עובדים עליו יהיה בצורה טובה.
ובטח שהכי טוב זה לבנות את המערת לבד- כי ככה, גם אם יש איזה באג פתאום, יותר קל לדעת בדיוק מה הבעיה ואיך לתקן אותה, כי אתה כבר מכיר את הקוד.
אבל אני מדבר על המצב הנתון.
04/03/2005 01:47:39
squall
אוקי חשבתי על עוד גורם,
מתי גילו את הבאגים במערכת הזו? מה ההפרש בין הזמן של גילו כל באג?
ואפשר אפילו להציץ בקוד של המערכת(אם זה פתוח), ולגלות המון דברים, חוץ מחורי אבטחה, אפשר לראות את הקוד. האם הקוד אחיד, יש הערות מסודרות וכל זה, או שהוא בנוי בצורה מבולגנת חסר סדר וכל זה.
לדעתי, אין פתרון מוחלט לשאלה הזו, כמו שהמורה שלי למתמתיקה אוהבת להגיד: "כל דבר לגופו".:)
04/03/2005 04:32:18
cp77fk4r
בוודאי, ברור שאין פתרון מוחלט, וזה בדיוק המטרה של הדיון, לעלות את הצדדים והנקודות מחשבה בכדי לנסות לדעת איזה גורמים הכי חשובים לנו.
וכן, אתה צודק, זה באמת יכול לעזור לנו לדעת מתי הם התגלו ומה הפרשי הזמנים בין כל מציאה ומציאה.
05/03/2005 17:05:36
squall
אני חושש שלא הבנת אותי נכון. אני התכוונתי, לא שאין פתרון מוחלט, לבעייה, אלא, שגם אם נגיע לאיזה שהיא הסכמה, היא לא תיהיה תקפה לגבי כל בחירה של מערכת.
כיוון שכמו שציינתי כבר בטופיק ישנם כמה גורמים שיש להתחשב בהם, שמשתנשים בין מערכת למערכת.
לכן, חיוני לתת מצב דמיוני, ולבדוק אותו.
07/03/2005 02:28:18
type_o as much as I hate saying that, security is about cost. If the information you are trying to protect is valuable enough that the common operating system does not meet your standards, maybe a few years of developement will justify the expense.
asking my opinion about which operating system (or application) to choose, though there are many factors, I would go with the more buggy one. this is because I tend to relate bug-free applications to obscurity. _and_ security through obscurity is the first don’t you learn in this field.
11/03/2005 20:12:41
Z-oro
ציטוט:אני חושב שהייתי בוחר במערכת הפעלה שהתגלו בה הבאגים כי הרי אין עוד הרבה סיכויים לעוד באגים אז למה ללכת על סיכונים וכאלה? יודע מה בעיקרון מבחינה הגיונית מה שאתה אומר זה דיי נכון אבל לאור העובדות זה דיי בולשיט כי שים לב לווינדוס מערכת הפעלה עם ותק לא קטן וכל הזמן יש עוד ועוד באגים ופרצות אבטחה וכמו שאמרתם פה זה תלוי בהרבה דברים
11/03/2005 20:34:30
Nameless
ציטוט:ציטוט:אני חושב שהייתי בוחר במערכת הפעלה שהתגלו בה הבאגים כי הרי אין עוד הרבה סיכויים לעוד באגים אז למה ללכת על סיכונים וכאלה? יודע מה בעיקרון מבחינה הגיונית מה שאתה אומר זה דיי נכון אבל לאור העובדות זה דיי בולשיט כי שים לב לווינדוס מערכת הפעלה עם ותק לא קטן וכל הזמן יש עוד ועוד באגים ופרצות אבטחה וכמו שאמרתם פה זה תלוי בהרבה דברים
מערכת חלונות משתפרת. יש לי XP והוא עובד מצוין, אין וירוסים, אין באגים (היה אחד שנגרם בגלל תוכנה שהורדתי ולא בגלל חלונות) וברגע שיתחילו לעבור יותר ללינוקס, תשים לב איך צצות מלא בעיות אבטחה - חורים, ואיך טרויאנים, קי לוגרים, רוט קיטס, תולעים וכדומה יהפכו למשהו נפוץ. זה קורה הרבה החלונות כי יש יותר משתמשים למערכת. יותר משתמשים = יותר ביקוש לתוכנות מכל מיני סוגים, יותר ביקוש לחומרה מכל מיני סוגים, יותר ביקוש לדרייברים לחומרה.
כמובן שאם הייתי קונה שרת הייתי קונה שרת לינוקס. מערכת חלונות נפוצה כי היא קלה לשימוש לדברים פשוטים. בכל זאת אנשים ישאירו מחשב עם חלונות שלא מחובר לאינטרנט כדי לשחק במשחקים. יש מספיק הפצות לינוקס גרועות.... עם זה שיש למיקרוסופט הרבה משתמשים יגרום לכך שיהיו הרבה באגים וחורי אבטחה (בגלל שהרבה משתמשים = הרבה תוכנות = ...) ומיקרוסופט מתחילה לעשות עבודה טובה בהגנה עלינו מפורצי מחשב, ומפיצי וירוסים (תשימו לב שאני כותב "מפיצי וירוסים" ולא "כותבי וירוסים"....) וכרגע העולם משעמם מכיוון שכל המחשבים הישנים נעלמו מהרשת. תקרא טקסטים ישנים על האקינג ותראה כמה מערכות הפעלה היו, והאקרים פשוט נהנו לחקור אותם. ופורצי מחשב הם הרעים, וגם חסרי ידע (לרוב) והם פושעים מפגרים ששמים כרטיס ביקור על אתר שהשחיתו אותו (דיפייס).
11/03/2005 22:47:15
type_o I don’t really understand why you say, "as soon as they start moving to linux"
Linux exists since the early 90s, not talking about *nix existing since early 70s much much much much much more time before there was any GUI windows shit out there
There’s a vast distribution of *nix servers, among them Linux. f.e.: Apache (which usually runs on unix variant), is used by approx 70% of the websites worldwide, whereas IIS only has about 20% Linux has shit load of bugs, and if you take some time to review the linux kernel’s code (specifically the old versions), you’ll notice there are places looking like a 10 yrs old kid programmed it.
*nix is much more common for enterprise organizations, and is still widely used: Solaris, AIX, HP-UX, all live and kicking. Even the new kid on the block (Linux) is widely used by organizations all over the world. Regarding security. You secure your server, you won’t get hacked easily, doesn’t matter if its linux, solaris or windows. Windows can be hardened to a level which will make it extremely difficult to hack.
The world is not boring at all, I just noticed a few job offers for mainframe, solaris, linux, aix, hp-ux, vax/vms. Everything exists, you just have to look at the right places.
btw, universities still has thousands of various *nix servers.
12/03/2005 16:25:53
Z-oro
ציטוט: I don’t really understand why you say, "as soon as they start moving to linux"
Linux exists since the early 90s, not talking about *nix existing since early 70s much much much much much more time before there was any GUI windows shit out there
There’s a vast distribution of *nix servers, among them Linux. f.e.: Apache (which usually runs on unix variant), is used by approx 70% of the websites worldwide, whereas IIS only has about 20% Linux has shit load of bugs, and if you take some time to review the linux kernel’s code (specifically the old versions), you’ll notice there are places looking like a 10 yrs old kid programmed it.
*nix is much more common for enterprise organizations, and is still widely used: Solaris, AIX, HP-UX, all live and kicking. Even the new kid on the block (Linux) is widely used by organizations all over the world. Regarding security. You secure your server, you won’t get hacked easily, doesn’t matter if its linux, solaris or windows. Windows can be hardened to a level which will make it extremely difficult to hack.
The world is not boring at all, I just noticed a few job offers for mainframe, solaris, linux, aix, hp-ux, vax/vms. Everything exists, you just have to look at the right places.
btw, universities still has thousands of various *nix servers.
יוניקיס קיימת מתחילת שנות ה60 אבל חפיף
12/03/2005 17:43:49
type_o
well, If I remember the timeline right, it was in 69’ and then the official UNIX name started in early 70s.
If Im wrong, I’d love if you can enlighten me
12/03/2005 20:30:11
Z-oro
ציטוט:
well, If I remember the timeline right, it was in 69’ and then the official UNIX name started in early 70s.
If Im wrong, I’d love if you can enlighten me
צודק אני לא יודע אם זה בדיוק 69 אבל זה סוף שנות ה60 הנה קטע שנלקח מהקוריקולום של סיסקו(עזבו לא משנה מזה) ציטוט:UNIX – UNIX, which was introduced in the late 1960s, is one of the oldest operating systems. UNIX has always been popular with the professionals responsible for maintaining computer networks. UNIX-based computers from IBM, Hewlett-Packard (HP), and SUN Microsystems have helped maintain Internet operations since the beginning. There are many different versions of UNIX today. One of the most recent is the extremely popular Linux. Figure shows a Linux desktop
12/03/2005 22:49:51
nickless
זה תלוי גם בתפוצה של המערכות... מערכת כמו וינדוז הרבה יותר חשופה כי איזה 85% משתמשים בה אז במקום ללכת ל15% שזה שאר המערכות הולכים ל85% ובונים להם וחרוסים מחפשים באגים וכדומה.... אני מקווה שלא כתבו את זה בחלק באנגלית פשוט לא היה לי כח לקרוא את זה
13/03/2005 00:33:45
type_o
here’s a link to unix timeline, everyone are welcomed to print it and hang it on your wall
http://www.levenez.com/unix/
13/03/2005 02:51:06
cp77fk4r
פי-יה.. חתיחת השקעה.. יפה יפה.
אבל Type_o, הוא לא התכוון לזה, נכון שUnix ומערכות מבוססות Unix קיימות הרבה לפני הWindows, אבל השימוש בWindows הוא הרבה יותר נפוץ ממערכות nix*, ולכן אם כותב וירוס הגיע למסכנה שהוא רוצה לכתוב וירוס שידביק כמה שיותר מחשבים- הוא יעדיף לתכנן אותו בצורה כזאת שהוא יוכל לרוץ כאפלקציה על מערכות Windows ולא nix* למיניהן...
13/03/2005 10:31:12
type_o windows is widely used in the PC market, but in the enterprise sector...not so sure... its not so widely common...
so viruses infect home users mainly, but organizations that secure their windows servers will survive most of the virus attacks.
so whats with "For a server, Id pick linux ? "
Im really not a windows fan, I think its flawed by design :) but I’ve hardened servers which survived most of the virus attack at the last years, not talking about *nix based servers
now lets check out latest virus activity http://www.us-cert.gov/current/current_activity.html http://securityresponse.symantec.com/ most are spreaded via emails. now who would use outlook on a server ? no one. and regarding the dcom viruses, a local firewall would solve this issue. the problem is people are not hardening their servers, if you would harden it, chances are you would be immune to most of the top virus threats.
therefore, this has nothing to do with linux. its about security.
and about home users... come on... they would run pamela_tits.exe no matter if its windows or trusted solaris
If I still miss the point, say so, I should stop answering questions while drunk or stoned
20/04/2005 21:14:50
WeBit.
רציתי רק להעיר כמה הערות(אם מדובר על ווינדוס ולינוקס): *במערכת שנמצאו בה רוב הבאגים, יצאו 5 עידכוני אבטחה השבוע(או שעבר, לא זוכר) ועוד צצים הרבה מאוד באגים ועידכוני אבטחה קרייטים *במערכת שבה נמצאו באגים "קטנים", דווקא נמצאו באגים קריטים שמאפשרים שליטה מלאה על המחשב ועוד ועוד. למעשה, אם נשים את מספר עידכוני האבטחה הקרייטים בין מערכת Linux RedHat או Mandrake ונשווה אותם לווינדוס XP, נגלה נתון מדהים: במנדרייק\רד-האט יש יותר עידכוני אבטחה קרייטים. בכל-מקרה, בלי להתחשב שזה Windows\Linux, ובהתחשבות בתנאים המגבילים שכתבת, אני חושב שהייתי בוחר בזה שרוב הבאגים נמצאו. אז נכון, זה אומר משהו על הכותבים השניים, אבל למה לי לקחת סיכון? ואם פשוט לא בדקו את המערכת וכותבי המערכת הם פריקים שלא יודעים לבנות סוליטר פשוט, וסתם כתבו כמה שורות ואמרו שזו מערכת הפעלה? בעניינים האלה, עדיף לקחת את המערכת המנוסה והבדוקה.
עמודים:
1
