Link alla notizia: http://news.hwupgrade.it/13334.html

Webroot ha dichiarato che i loro sforzi contro gli spyware sono solo per Windows, unico target degli spyware writer

Click sul link per visualizzare la notizia.

propapagione :-)

gli spywares come i virus mi stanno incasinando la vita!

Spyware? Un problema esclusivamente di Windows. Questo il commento della Webroot, società produttrice del noto software antispyware Spy sweeper.
Metti fra virgolette le citazioni o in corsivo per favore sennò faccio confusione, per favore.

fatto ;)

>i virus writer e gli spyware writer scrivono i loro programmi in base alla piattaforma più diffusa

senza contare che lo sviluppo aperto permette di risolvere bug gravi anche in poche ore e in qualche giorno quelli piu' fastidiosi.

Originariamente inviato da hardskin1
>i virus writer e gli spyware writer scrivono i loro programmi in base alla piattaforma più diffusa

senza contare che lo sviluppo aperto permette di risolvere bug gravi anche in poche ore e in qualche giorno quelli piu' fastidiosi.

E chi controlla che la soluzione del bug in poche ore non introduca altri bug?

Se risolvere i bug fosse cosi' facile, sarebbe un mondo piu' felice.

Il 90% degli spyware passa dai cookie, che guardacaso sono stati inventati da IE.
Ora io non me ne intendo di pagine web, ma sarebbe cosi' impossibile navigare su internet senza cookie???

Mah, a tutto c'è un'alternativa. Una sessione viene gestita dai cookie in modo molto comodo, ma certo rischioso. Ovvio che cmq se si tratta di gestire le sessioni "lato client" ci devono essere sempre dei files "temporanei" letti e scritti...

x fek:
molti bug di buffer underrun o buffer overflow sono dovuti ad un mancato controllo del limite minimo/massimo usato su un array o su stringhe o su qualcosa del genere, correggere questo tipo di bug porta via poche ore, poi c'e' la fase di testing un po' piu' lunga, cmq basta vedere che Opera ha sempre risolto i propri bug di sicurezza tra i 2 e i 5 giorni.

Poi non voglio generalizzare, ma non e' assolutamente detto che 2 ore per correggere un bug equivale a correggerlo male e 1 mese e' uguale a correggerlo bene, delle volte succede esattamente il contrario!
;)

Originariamente inviato da Cimmo
x fek:
molti bug di buffer underrun o buffer overflow sono dovuti ad un mancato controllo del limite minimo/massimo usato su un array o su stringhe o su qualcosa del genere, correggere questo tipo di bug porta via poche ore, poi c'e' la fase di testing un po' piu' lunga, cmq basta vedere che Opera ha sempre risolto i propri bug di sicurezza tra i 2 e i 5 giorni.


So che cos'e' un buffer overflow :)

Trovare un bug puo' richiedere pochi minuti o giorni (o mesi), il problema non e' li'.
Anche un buffer overflow puo' richiedere un tempo variabile che dipende dal bug stesso.

Il commento che ho quotato mi e' sembrato facesse intendere che risolto un bug, si distribuisce la versione "corretta" e tutti sono felici.
Non funziona cosi', infatti dici bene che la correzione va prima testata e sarebbe opportuno che fosse testata in maniera professionale, ad esempio come Opera che citi.


Poi non voglio generalizzare, ma non e' assolutamente detto che 2 ore per correggere un bug equivale a correggerlo male e 1 mese e' uguale a correggerlo bene, delle volte succede esattamente il contrario!
;)

Come ti ho detto prima, in un minuto puoi correggere ottimamente un bug oppure in due giorni. Poi la correzione va testata.
Tu pensa che qui al lavoro, quando siamo in fase di delivery di una build (tipo una versione di BW2 per una fiera come l'E3) io, o chiunque altro, non sono autorizzato a fare il check in di una modifica, qualunque modifica anche la piu' banale come cambiare un numero, senza che un tester venga a testare il gioco sulla mia macchina ed un altro programmatore controlli la modifica che ho fatto. E questo per un'applicazione neppure ancora uscita al pubblico.

Figurati per un'applicazione gia' distribuita :)

Originariamente inviato da fek
io, o chiunque altro, non sono autorizzato a fare il check in di una modifica, qualunque modifica anche la piu' banale come cambiare un numero, senza che un tester venga a testare il gioco sulla mia macchina ed un altro programmatore controlli la modifica che ho fatto.

Forse perchè non si fidano di te :D

Ciao fek ;)

"i virus writer e gli spyware writer scrivono i loro programmi in base alla piattaforma più diffusa"

"Anche per i virus il punto è lo stesso"

"Sono stati identificati sì alcuni virus per Linux e Mac OS, tuttavia il problema maggiore rimane quello dei virus per Windows."

Quindi:

1) i virus sono presenti per tutte le piattaforme;
2) per windows ce ne sono di più semplicemente perché è più diffuso.

Nulla di nuovo sotto il sole... ;)

x fek: per esempio 1 programma come valgrind potrebbe permetterti di dire di nn aver inserito altri bug ;)

Originariamente inviato da ErPazzo74
x fek: per esempio 1 programma come valgrind potrebbe permetterti di dire di nn aver inserito altri bug ;)

Se esistesse un tale programma, chi lo ha scritto sarebbe l'uomo piu' potente del pianeta.

allora presumo che lo conosci e che lo hai usato giusto?
Beh io si e devo dire che funziona egregiamente.....
Certo come tutti i programmi nn e' xfetto ma ti assicuro che funziona, nn avrai la certezza al 100% ma al 90% direi di si ;).

e che palle sempre co sti discorsi meglio io e meglio tu.
I virus per piattaforme diverse da windows non ci sono perchè non li scrivono e non perchè queste "diverse" siano meglio, punto e basta.

Originariamente inviato da ErPazzo74
allora presumo che lo conosci e che lo hai usato giusto?
Beh io si e devo dire che funziona egregiamente.....
Certo come tutti i programmi nn e' xfetto ma ti assicuro che funziona, nn avrai la certezza al 100% ma al 90% direi di si ;).

Abbassa la percentuale, e pure di molto :)

Fare testing non e' cosi' banale come usare un memory debugger tipo BoundsChecker, aiutano ovviamente, ma risolvono una classe ristrettissima di problemi (i buffer overflow ad esempio).

Ti faccio un esempio: immagina di avere una funzione A che ha queste clausole implicite:

A, quando ha finito il suo compito, ti assicura che:
- un certo vettore ha tutti elementi distinti
- una lista non e' mai vuota

(sto inventando due clausole, ma sono piuttosto frequenti)

Immagina che A abbia un bug, arriva un programmatore, corregge il bug, e felicemente fa il check in.
Salvo dopo due giorni scoprire che la correzione viola quelle due clausole ed il programma crasha miserabilmente in una determinata condizione che non era stata testata e che si basava su quelle due clausole, magari il fix duplica un elemento "per sbaglio".

Non c'e' bound checker che ti risolva questa situazione ed e' la situazione di gran lunga piu' probabile, accade in continuazione, tipo ieri a me :p, soprattutto se le clausole (o i "contratti") non sono ben documentate e non sono adeguatamente testate possibilmente in automatico.

Per questo ti ho detto che se esistesse un programma in grado di scrivere automaticamente questi testi, chi lo ha scritto sarebbe l'uomo piu' potente del mondo, perche' farebbe risparmiare migliardi di dollari.

Originariamente inviato da cdimauro
Quindi:

1) i virus sono presenti per tutte le piattaforme;

Pienamente d'accordo.

2) per windows ce ne sono di più semplicemente perché è più diffuso.

Si' e no .. e' il piu' diffuso e fin qui non ci piove .. Resta che se dovessi fare un worm, virus, malware o altro lo farei ovviamente per windows non solo perche' e' il piu' diffuso ma anche perche' presenta in generale piu' vulnerabilita' rispetto a linux, macos e i vari unix. Per un cracker c'e' molta ma molta piu' soddisfazione a entrare in un bel server linux o unix invece del solito utente di aliceadsl con winXP .. purtroppo la prima situazione e' parecchio ostica mentre la seconda e' piu' fattibile :D

Nulla di nuovo sotto il sole... ;)
Quale sole?!? Rivoglio l'estate!!!!

Ciao fek .. come al solito continui la tua guerra ai bug introdotti dalle patch e alle metodologie dell'opensource e sostieni la necessita' di un testing valido (pair programming and so on) ...
Da tuoi precedenti post in giro per questo forum mi sembra che hai spesso preso microsoft come esempio di cose fatte bene e buon testing ..

Hai presente il popup che ti si apre con Internet Explorer 6 quando invii un form compilato? il popup che ti dice "attenzione altri utenti potrebbero visualizzare sta roba" o qualcosa di simile? hai presente il segno di spunta "non rompermi piu' con questo messaggio"?
Perche' con la SP2 installata su WinXP quel maleddetto messaggio appare sempre sempre e sempre?!? Non mi sembra un bug nascosto, e' PALESE! e invece, in tutti i mesi di testing della SP2 da parte di microloft nessuno se n'e' accorto!!!
Se microsozz lavora cosi', beh grazie, preferisco una patch creata al volo in 2 giorni piuttosto di una Service Pack studiata in 2 anni :sofico:

Originariamente inviato da cdimauro
"i virus writer e gli spyware writer scrivono i loro programmi in base alla piattaforma più diffusa"

"Anche per i virus il punto è lo stesso"

"Sono stati identificati sì alcuni virus per Linux e Mac OS, tuttavia il problema maggiore rimane quello dei virus per Windows."

Quindi:

1) i virus sono presenti per tutte le piattaforme;
2) per windows ce ne sono di più semplicemente perché è più diffuso.

Nulla di nuovo sotto il sole... ;)

resta da vedere però se a % di mercato invertite ( Win 5% e Linux il resto oppure Mac ecc.) il numero di worms, virus, exploits sarebbe lo stesso.

Solo così il confronto potrebbe dimostrare qual è la soluzione sicuramente + "sicura"

Mancando la riprova, ma col beneficio del dubbio, alla domanda "Windows è bersagliato da molti + virus/attacchi rispetto ad altri sistemi perchè solo per un motivo di diffusione ed è per questo che le sue falle nella sicurezza sn a volte + evidenti e pericolose?", risponderei "Ni"

:D



P.S.: fek, si dice miLiardi :p

x fek: beh io parlavo di vulnerabilita' e non di bug specifici ad un particolare programma in una particolare operazione. Beh informati su valgrind xche' da quel che ho capito non lo conosci, fa' molti controlli e ti assicuro che mi ha beccato molte vaccate. Io programmo in C e le vaccate se nn le becchi le paghi alla grande. Di bachi ce n'erano ma sai com'e' lavori senza progettazione, il progetto deve essere pronto x ieri :) e deve essere stabile, veloce, affidabile, bello, multipiattaforma e avere 2K funzionalita' risultato migliaia di righe di codice a fiume....vabbe'....io ci provo a farlo capire ma i soldi vengono prima della qualita' dei prodotti troppo spesso....
E nn penso che la mia azienda sia l'unica, ovviamente questi tipi di tempi ristretti in genere nn ci sono nell'OpenSource ;)

Originariamente inviato da ErPazzo74
x fek: beh io parlavo di vulnerabilita' e non di bug specifici ad un particolare programma in una particolare operazione. Beh informati su valgrind xche' da quel che ho capito non lo conosci, fa' molti controlli e ti assicuro che mi ha beccato molte vaccate. Io programmo in C e le vaccate se nn le becchi le paghi alla grande. Di bachi ce n'erano ma sai com'e' lavori senza progettazione, il progetto deve essere pronto x ieri :) e deve essere stabile, veloce, affidabile, bello, multipiattaforma e avere 2K funzionalita' risultato migliaia di righe di codice a fiume....vabbe'....io ci provo a farlo capire ma i soldi vengono prima della qualita' dei prodotti troppo spesso....
E nn penso che la mia azienda sia l'unica, ovviamente questi tipi di tempi ristretti in genere nn ci sono nell'OpenSource ;)

Conosco valgrind, qui usiamo BoundsChecker che e' piu' o meno l'equivalente :)

Hai tutto il mio appoggio e la mia simpatia nell'impresa che e' far capira ad un'azienda che scrivere codice pulito nel tempo necessario, con una buona progettazione alle spalle serve per produrre qualcosa di stabile, veloce, affidabile e bello.
C'e' un trucco che in genere funziona, fai leva su un argomento che comprendono: progettare il codice fa risparmiare soldi ed e' provato da numerosi studi su progetti complessi. Capiscono solo questo :D

Ritornando all'argomento, non e' importante di che tipo sia il bug (vulnerabilita' o altro) e' importante che devi testare il fix in maniera il piu' possibile formale, altrimenti si rischia di introdurre altri bug e altre vulnerabilita' e il rischio e' molto forte.

M$ come esempio di risoluzione di bug?
Avete fatto un giro qui? Meglio se ce lo fate allora e vi guardate un po' i grafici a torta...

http://secunia.com/product/11
http://secunia.com/product/22

e per confronto Opera:
http://secunia.com/product/761/

Originariamente inviato da afterburner
Pienamente d'accordo.

Si' e no .. e' il piu' diffuso e fin qui non ci piove .. Resta che se dovessi fare un worm, virus, malware o altro lo farei ovviamente per windows non solo perche' e' il piu' diffuso ma anche perche' presenta in generale piu' vulnerabilita' rispetto a linux, macos e i vari unix. Per un cracker c'e' molta ma molta piu' soddisfazione a entrare in un bel server linux o unix invece del solito utente di aliceadsl con winXP .. purtroppo la prima situazione e' parecchio ostica mentre la seconda e' piu' fattibile :D
A mio avviso è soltanto la diffusione che rende Windows più attaccabile e appetibile. Per questo mi sono semplicemente limitato a mettere assieme alcune frasi prese dalla news. ;)
Quale sole?!? Rivoglio l'estate!!!!
Qui in Sicilia non se n'è ancora andata: sono ancora in maniche corte, e mia moglie patisce il caldo... :D

Originariamente inviato da DioBrando
resta da vedere però se a % di mercato invertite ( Win 5% e Linux il resto oppure Mac ecc.) il numero di worms, virus, exploits sarebbe lo stesso.

Solo così il confronto potrebbe dimostrare qual è la soluzione sicuramente + "sicura"
Non si può fare, e non credo che sarà possibile farlo anche in futuro. ;)
Mancando la riprova, ma col beneficio del dubbio, alla domanda "Windows è bersagliato da molti + virus/attacchi rispetto ad altri sistemi perchè solo per un motivo di diffusione ed è per questo che le sue falle nella sicurezza sn a volte + evidenti e pericolose?", risponderei "Ni"

:D
Continuo a pensarla diversamente... ;)

Originariamente inviato da fek
Conosco valgrind, qui usiamo BoundsChecker che e' piu' o meno l'equivalente :)

Hai tutto il mio appoggio e la mia simpatia nell'impresa che e' far capira ad un'azienda che scrivere codice pulito nel tempo necessario, con una buona progettazione alle spalle serve per produrre qualcosa di stabile, veloce, affidabile e bello.
C'e' un trucco che in genere funziona, fai leva su un argomento che comprendono: progettare il codice fa risparmiare soldi ed e' provato da numerosi studi su progetti complessi. Capiscono solo questo :D

Ritornando all'argomento, non e' importante di che tipo sia il bug (vulnerabilita' o altro) e' importante che devi testare il fix in maniera il piu' possibile formale, altrimenti si rischia di introdurre altri bug e altre vulnerabilita' e il rischio e' molto forte.
Il tuo consiglio in parte ho gia' provato a darlo al "boss" ma essendo io l'ultimo arrivato nn e' che mi ascoltino molto.

Sul fatto che il controllo deve essere ben fatto siam daccordo xo' 1 aiutino da qualche software nn fa' male in mancanza d'altro :).

Ciao e buon lavoro....

Originariamente inviato da cdimauro
Non si può fare, e non credo che sarà possibile farlo anche in futuro. ;)


infatti, la mia era solo una "provocazione", proprio perchè n si può avere la controprova, il fatto che Win sia il + colpito solo perchè è il + diffuso è una opinione non verificata al 100% :)


Continuo a pensarla diversamente... ;)

eh vabbè mica si può essere sempre d'accordo :D