|
|||||||
|
|
|
 |
|
|
Strumenti |
17-02-2016, 11:31
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: http://www.hwupgrade.it/news/sicurez...fix_61015.html
Google e Red Hat hanno scoperto in maniera indipendente una vulnerabilità di sicurezza introdotta su un aggiornamento della libreria glibc del 2008 Click sul link per visualizzare la notizia. |
|
|
|
17-02-2016, 12:37
|
#2 | |
|
Senior Member
Iscritto dal: Dec 2006
Messaggi: 987
|
Quote:
Ripeto, non sto trollando ma vorrei sapere se solo io lo penso... |
|
|
|
|
|
17-02-2016, 13:02
|
#3 |
|
Bannato
Iscritto dal: Sep 2008
Messaggi: 8946
|
E' stata introdotta nel 2008, è stata scoperta da Google e Red Hat lo scorso anno.. oggi c'è una procedura temporane messa a punto da Google per proteggersi, in quanto la falla è attualmente ancora attiva..
Dal 2008 a oggi sono più di 7 anni, possibile che i 10.000 occhi che osservano il codice non si sono accorti? (slogan dei mille occhi che sento da tempo) chi si è accorto sono 2 Aziende di grosse dimensioni come Google e Red Hat? Possibile che questa falla presente nella libreria GNU C, collezione di codici open-source utilizzati in svariate applicazioni stand-alone e da parecchie distribuzioni di Linux, incluse quelle pensate per soluzioni embedded o router è passata completamente inosservata per tanti anni? Chissa che ne pensa Battilei 
|
|
|
|
|
17-02-2016, 13:07
|
#4 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Be' di sicuro c'e' meno gente che si legge le glibc rispetto a chesso: python-django.
...che in ogni caso sono sempre di piu' di quelli che _non_possono_ leggere il codice proprietario non disponibile di altri fornitori :P E' un discorso che non tutti percepiscono: il software non e' figo perche' e' open source bensi' quando tanti ci lavorano liberamente e' figo, quindi deve essere open source. E' come mysql e postgresql: mysql era open source ma gestito da un solo operatore e quando questo e' stato fatto fuori sono stati (e sono ora) dolori. Ergo: non e' che se domani MS rilascia i sorgenti (impossibile: chissa' cosa c'e' dentro) improvvisamente diventa sicuro e forkabile. E' sicuro quando sottoposto a molteplici reviews e "dependable" quando ha dietro una community che lo conosce e lo sviluppa. |
|
|
|
|
17-02-2016, 13:55
|
#5 |
|
Bannato
Iscritto dal: Oct 2015
Messaggi: 1966
|
Mazza ho...
 Certe notizie per alcuni utenti sono come quando perde la Juve. Uno ci spera. Così poi può festeggiare.... 
|
|
|
|
|
17-02-2016, 13:58
|
#6 | |
|
Senior Member
Iscritto dal: Nov 2005
Messaggi: 2095
|
Quote:
Il problema è che le grandi corporation hanno pensato bene di dismettere i loro "veri" OS per affidarsi a Linux perché "è gratis" e il risparmio è stato doppio visto che hanno licenziato il loro intero team di sviluppo (AIX è morto, Solaris è morto, ...)! Peccato che il codice Open Source - in realtà - tra il fatto che sarà codice illeggibile / incomprensibile e tra che nessuno ne ha voglia non viene guardato, ma solo visto! Lo slogan è "Compila? Dunque funziona!" e via che si mergia! E` la stessa cosa di OpenSSL era piena di bachi ed era un codice senza senso eppure tutti lo usavano! Qualcuno lo aveva mai guardato? P.S. A onor del vero anche se Android ha forkato completamente il kernel Linux (e Google ne ha riscritto una buona parte probabilmente) e usa Bionic non è invulnerabile (come Superman  ), ma NON vulnerabile a questo specifico bug, magari ne avrà chissà quanti altri! Finché si usa C/C++ non esistono software sicuri...
__________________
Cosmos C# Open Source Managed Operating System Cosmos Thread Ufficiale Cosmos Official Site Vuoi collaborare allo sviluppo? Unisciti alla chat! |
|
|
|
|
|
17-02-2016, 14:14
|
#7 | |
|
Bannato
Iscritto dal: Oct 2015
Messaggi: 1966
|
Quote:
Delle altre "pippe" sulla percentuale di mercato, percentuale di sicurezza, del perché e del percome non interessa nulla di nulla a nessuno. Quindi mi viene da ridere quando un affezionato ai sistemi Microsoft si fionda su notizie come queste e cercare il suo momento di gloria. |
|
|
|
|
|
17-02-2016, 14:20
|
#8 | |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 12843
|
Quote:
L'open source consente di guardare il codice sorgente e scoprire eventuali magagne. È una possibilità in più, non un obbligo. Dopodiché c'è chi fa il ricercatore di sicurezza per mestiere, e chi invece scopre un bug per casualità. Nessuno tipicamente si mette a leggere del codice per cercare degli errori se questi non si manifestano in qualche modo, a meno che appunto tu non sia un ricercatore nel campo della sicurezza. |
|
|
|
|
|
17-02-2016, 14:21
|
#9 | |||
|
Senior Member
Iscritto dal: Jan 2014
Messaggi: 3826
|
Quote:
Quote:
Codice senza senso, sulla base di quale argomentazione tecnica? Quote:
Che poi, un OS, o un componente di basso livello, con che lo vorresti scrivere? Java ( ).
|
|||
|
|
|
|
17-02-2016, 14:31
|
#10 | |||
|
Senior Member
Iscritto dal: Nov 2005
Messaggi: 2095
|
Quote:
Tutto questo faceva sì che il BUG era difficile da trovare appunto perché non si riusciva a comprendere il codice! Quote:
Quote:
 Che non vuol dire far girare l'OS sotto una VM, Cosmos una volta compilato l'IL con il normale compilatore Microsoft viene ricompilato in assembler come fa il C, mantenendo comunque la sicurezza (le Stringhe per dire hanno sempre la dimensione giusta non posso scriverci più di quanto ho allocato) di avere un linguaggio Managed. E` una sfida complessa, ma che si possa fare è certo, è già stato fatto: http://joeduffyblog.com/2015/12/19/safe-native-code/
__________________
Cosmos C# Open Source Managed Operating System Cosmos Thread Ufficiale Cosmos Official Site Vuoi collaborare allo sviluppo? Unisciti alla chat! Ultima modifica di fano : 17-02-2016 alle 14:33. |
|||
|
|
|
|
17-02-2016, 14:32
|
#11 |
|
Senior Member
Iscritto dal: Nov 2007
Messaggi: 8368
|
beh, non e' la prima e non sara' neanche l'ultima
non vorrei fare il confronto, che non e' una gara (chi se ne frega) ma dove il codice e' chiuso, spesso manco si sa (e con molti meno dettagli utili a metterci una pezza) /estiqaatsi mode off |
|
|
|
|
17-02-2016, 14:32
|
#12 | |
|
Bannato
Iscritto dal: Oct 2015
Messaggi: 1966
|
Quote:
Ma se ti fa piacere sentirti dire che, in ambito mobile, un O.S che non si fila praticamente nessuno è sicuro allora te lo dico...
|
|
|
|
|
|
17-02-2016, 14:40
|
#13 | |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 12843
|
Rispondo solo a questo perché il delirio non continui...
Quote:
 Un linguaggio non può essere sicuro/non sicuro. Il codice che scrivi può essere codice scritto bene o scritto male. Dipende da quanto sei in grado di rispettare le best practices e da quanto sei capace di comprendere cosa stai facendo esattamente e perché. E non risolvi il problema come pensi tu aggiungendo altro codice alla minestra, che è quello che viene fatto con i linguaggi che tu consideri "safe": alla fine si basano su interpreti/compilatori JIT scritti in... C/C++. Nota bene: devi "fidarti" abbastanza di ciò che fa l'hardware e di ciò che fa il compilatore (che non sono esenti da bug). È aggiungendo codice su codice che si introducono i bug. Tutto questo perché? Perché uno "sviluppatore" non è in grado di gestire la memoria correttamente? Dal mio punto di vista vuol dire che non è in grado di fare lo sviluppatore e non dovrebbe farlo. Ultima modifica di WarDuck : 17-02-2016 alle 14:45. |
|
|
|
|
|
17-02-2016, 14:58
|
#14 | |
|
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
Quote:
Esistono linguaggi come Rust, ma purtroppo ( e mi costa dirlo ) la comunità opensource in particolare sembra estremamente refrattaria ad utilizzarli. E' pazzesco dover notare che un software fondamentale come SystemD sia stato scritto ancora nel solito, usato ed abusato C. |
|
|
|
|
|
17-02-2016, 15:06
|
#15 | |
|
Bannato
Iscritto dal: Oct 2015
Messaggi: 1966
|
Quote:
Ci vediamo sulla prossima news simile a questa dove sarai già in mano con la bottiglia pronto a festeggiare. Ma quanti anni hai? A no aspè...Ho capito...
|
|
|
|
|
|
17-02-2016, 15:38
|
#16 |
|
Senior Member
Iscritto dal: Nov 2006
Messaggi: 1242
|
@fano le aziende che usano Linux spendono in doppio rispetto a quelle che usano soluzioni diverse. Il costo di manutenzione, formazione, personale e' enorme.
poi il costo del software non e' la licenza è tutto il resto. Lasciando stare il numero di applicazioni: android e' gratis, WP è licenziato. Ma alla fine il costo di un cellulare android è superiore ai lumia, diventano lentissimi dopo poco. devi stare sempre a fare manutenzione. devi mettere antivirus, devi stare attento a mille attacchi. Alla fine WP mi costa molto meno Specie in ambito aziendale (da noi si usano Lumia che sono configurati aziendalmente e sono impenetrabili, se si usassero Android sarebbe pericolossissimo per la sicurezza aziendale, sapendo poi che tutti smanettano e ci mettono quello che vogliono (un WP configurato aziendalmente e' blindatissimo) |
|
|
|
|
17-02-2016, 15:40
|
#17 | |
|
Senior Member
Iscritto dal: Jan 2007
Messaggi: 6096
|
Quote:
a) applicazione che usa libc e che per come è fatta è già vulnerabile ad attacchi man-in-the-middle  b) eseguendo ricerche su domini o DNS controllati dall'aggressore. In altre parole per "funzionare" devono esserci già altri problemi strutturali di sicurezza belli gravi. Il fatto che sia passata inosservata così a lungo non è così strano, in compenso una volta notato cosa succedeva si è potuto risalire all'origine del problema e correggerlo. Per rendere l'idea, bug simili su software closed source vengono corretti molto più tardi (SE vengono corretti) proprio perche gli esperti di sicurezza esterni non hanno accesso ai sorgenti, possono al massimo segnalare che in certe condizioni succede qualcosa ma proprio in questo caso visto di che precondizioni si trattava, verrebbe considerato un bug a bassa priorità oppure non verrebbe replicato correttamente e si penserebbe ad una segnalazione erronea, lasciandolo li a frollare ancora per anni. Ad esempio, se ti inalberi per i 7 anni di quel bug, che ne dici dei 19 ANNI che ci ha messo Microsoft per accorgersi di un problema ben più grave ? O per dirla in un altro modo Microsoft ha impiegato quasi il triplo per correggere un problema ben più evidente. 
|
|
|
|
|
|
17-02-2016, 15:51
|
#18 | |||
|
Senior Member
Iscritto dal: Jan 2015
Messaggi: 650
|
azz ragazzi andateci piano... il tasso di trollaggio su questo thread farà schiantare il forum
 Quote:
http://sources.debian.net/src/glibc/...olv/res_send.c come dire: "C per me significa Chi Czz Ci Capisce Cualcosa" Quote:
Quote:
|
|||
|
|
|
|
17-02-2016, 16:03
|
#19 | |
|
Bannato
Iscritto dal: Sep 2008
Messaggi: 8946
|
Quote:
Io al contrario tuo mi sento persona "ignorante" quindi pongo una domanda e faccio 2 considerazioni su quanto sento e leggo, non in questa notizia in particolare, ma su quello che ho sempre letto riguardo la sicurezza dei sistemi. Ad esempio LMCH e Warduck hanno fornito una spiegazione esaustiva riguardo questo particolare Bug e sul perchè possono rimanere non scoperti per anni finchè non si manifestano. Tanto mi basta. Invece la risposta di Battilei è sempre la stessa come un disco incantato, e si permette di dire che c'è un tasso di trollaggio quando lui non perde occasione... Scusate. A proposito, guarda un po da dove scrivo... https://photos-5.dropbox.com/t/2/AAA...00&size_mode=3 Ultima modifica di Pier2204 : 17-02-2016 alle 16:36. |
|
|
|
|
|
17-02-2016, 16:53
|
#20 | |
|
Senior Member
Iscritto dal: Mar 2000
Città: BO[h]
Messaggi: 4924
|
Quote:
Tanto loro quando glie lo mettono in c..o grazie agli innumerevoli buchi di windoze non se ne accorgono nemmeno, tanto e' tutto non documentato, chiuso, e le patch arrivano quando microzozz vuole, se arrivano.  Meglio vivere nell'oscurita! |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:42.
