Ricerca Microsoft, ecco il punto sulla sicurezza

[wlog]

Quote:

Originariamente inviato da Blackie

Davvero...dimmi su che distro posso far girare il cd del calcio che mio figlio ha trovato nei cereali o nelle merendine Kinder.

In ubuntu ad esempio, usando wine

Quote:

Ecco i problemi degli utenti.
Se poi uno è un coglione i casini li crea dappertutto.
Te ne racconto un'altra per farti capire.
Raccontavo ad un amico un esempio di email truffaldina, gli spiego che mi è arrivata una mail che diceva che la sera prima avevano fatto un video della festa in ufficio e che potevo guardare una certa loredana in azione con 5 uomini.
Chiedo al tipo : tu cosa faresti in un caso del genere?
Risposta: guardo il filmato, no?

Questo riferito agli allegati di linux di cui si parlava qualche pagina fa.

sotto linux il tuo amico avrebbe pure potuto scaricare il filmato... ma non sarebbe successo nulla.

Comunque si hai ragione: per quanto il SO sia sicuro, di sicuro esistera l'utente abbastanza bravo (stupido) da aggirare tutte le protezioni e combinare un casino

[wlog]

Quote:

Originariamente inviato da WarDuck

Ma non è neanche vero ciò che dici. Poi sentiamo in cosa si caratterizzerebbe questa gestione virtuosa della memoria? Il prossimo ciclo ho il corso di sistemi operativi, anticipami qualcosa.

Sono due i componenti fondamentali:

A) controllo rigoroso del buffer overflow: sotto windows ancora se si eccedono le dimensioni degli array succedono casini

B) Divisione tra kernel space e user space: Se si tengono i programmi delicati divisi per compartimenti stagni, anche se un programma fallisce non succede nulla. Essendo però win closed source, l'integrazione tra programmi non è perfetta e quindi finisce della spazzatura in kernel space, causando instabilità generale.


Questi due problemi erano noti negli anni 70, eppure ce li portiamo ancora dietro... na condanna...

[wlog]

Quote:

Originariamente inviato da cavaliereombra

Non ci penso nemmeno. Da utente non voglio assolutamente dover compilare né software, né kernel o qualsiasi altra cosa. L'informatica ha uno scopo: aiutare l'uomo. Tutti i programmatori dovrebbero tenerlo sempre a mente. Chi l'ha dimenticato che cambi anche mestiere.

Compilare è facilissimo, ancora piu facile è usare klik.

Se vuoi la sicurezza e l'affidabilità, usa i repository. Puoi anche espanderli con repository non ufficiali, è semplicissimo.

Se vuoi installare proprio TUTTO allora compila. Ti ricordo che bastano 3 istruzioni... sudo make & install ...

Quote:

Ma anche no. La sicurezza in ambito consumer è un aspetto importantissimo.

Per questo linux è OGGI un ambiente desktop apprezzabile.

Quote:

Lo andrò a dire a tutti i sistemisti che si sono dovuti occupare delle vulnerabilità server Linux e che hanno visto i loro server attaccati.
Comunque sarebbe ora di finirla con questa "informatica for dummies" o "da forum".

il sistema perfetto non può esistere... sta tutto nel trovare il miglior compromesso.

E nel sapere quello che si sta facendo: sicuro che i sistemisti non avrebbero potuto evitare il problema? Era davvero colpa della macchina?

No perchè ti ricordo che la macchina è stupida, fa solo quello che l'uomo dice di fare....

[wlog]

Quote:

Originariamente inviato da cavaliereombra

Non hai capito. Non importa quanto sia facile, è semplicemente l'approccio sbagliato che certi programmatori dovrebbero dimenticare (che poi sono gli stessi che credono che perché loro ne sanno, tutti dovrebbero essere esperti di PC... semplicemente hanno perso di vista ciò per cui lavorano).

ah ma ho capito, tu vuoi un sistema operativo perfetto, dove magari il codice si scrive da solo...

No perchè anche su windows a volte devi cercarti le librerie e installartele, ed è molto piu complicato di usare synaptic (che sinceramente non ho capito perchè non ti piaccia)...

Mai provato ad installare delle librerie scientifiche come le (custom) BLAS su un pc windows? no? fortunello....

Quote:

Non dirlo a voce alta, che con le vulnerabilità che ha Linux con sé (va a vedere quante ne aveva Debian 4) non appena si dovesse diffondere davvero (cosa che non capiterà perché la filosofia che accompagna Linux è cieca da 10 anni a questa parte e se ne congratula continuamente) vedi come saltano fuori anche malware dedicati ai consumer.

Fammi UN esempio di una vulnerabilità grave sfruttabile negli ultimi 2 anni. Io sento molta gente parlare, ma non ho mai visto nessuno che dalle parole passasse ai fatti.

[wlog]

Quote:

Originariamente inviato da cavaliereombra

E allora smettiamola con queste guerre da "Linux è figo" o "Windows è figo"... a maggior ragione se vengono da gente che lavora nel campo... son cosa che non si possono leggere da parte di esperti.

Per il resto... ti potrei dire la stessa cosa di server Windows che ho visto attaccati a lavoro: sistemisti che hanno sbagliato, o sistema operativo? Ardua risposta... di certo non si può banalizzarla su un forum.

Chi ha detto linux è figo???? Non mi sono neanche permesso di dire che windows è peggio di linux (globalmente, ovvio che se ci limitiamo al fattore sicurezza...)

[WarDuck]

Quote:

Originariamente inviato da wlog

Sono due i componenti fondamentali:

A) controllo rigoroso del buffer overflow: sotto windows ancora se si eccedono le dimensioni degli array succedono casini

Perché in linux che succede?

Cmq ci sono DEP e ALSR a difesa di attacchi buffer overflow (per il secondo meglio ancora se si usa un SO a 64bit).

Quote:

Originariamente inviato da wlog

B) Divisione tra kernel space e user space: Se si tengono i programmi delicati divisi per compartimenti stagni, anche se un programma fallisce non succede nulla. Essendo però win closed source, l'integrazione tra programmi non è perfetta e quindi finisce della spazzatura in kernel space, causando instabilità generale.


Questi due problemi erano noti negli anni 70, eppure ce li portiamo ancora dietro... na condanna...

Anche qui cosa intendi esattamente? Cosa intendi per "fallire" e cosa intendi per "non succede nulla"? I programmi delicati in Vista possono girare in una specie di ambiente virtualizzato, o in maniera tale che un processo a basso livello di integrità nn possa intaccare un processo a livello di integrità superiore. Nei SO "da laboratorio" che hanno presentato, come Singularity (sviluppato con codice managed), hanno fatto in modo di isolare ogni processo.

http://en.wikipedia.org/wiki/Singula...erating_system)

Tra l'altro è disponibile anche il codice sorgente e la documentazione:
http://www.codeplex.com/singularity

[wlog]

Quote:

Originariamente inviato da WarDuck

Perché in linux che succede?

Cmq ci sono DEP e ALSR a difesa di attacchi buffer overflow (per il secondo meglio ancora se si usa un SO a 64bit).

no no non sto parlando di attacchi. Sto parlando di te che magari per sbaglio scrivi una locazione di memoria non allocata... se lo fai troppe volte in un modo particolare sotto win crasha, sotto linux interrompe l'esecuzione.

Quote:

Anche qui cosa intendi esattamente? Cosa intendi per "fallire" e cosa intendi per "non succede nulla"? I programmi delicati in Vista possono girare in una specie di ambiente virtualizzato, o in maniera tale che un processo a basso livello di integrità nn possa intaccare un processo a livello di integrità superiore. Nei SO "da laboratorio" che hanno presentato, come Singularity (sviluppato con codice managed), hanno fatto in modo di isolare ogni processo.

http://en.wikipedia.org/wiki/Singula...erating_system)

Tra l'altro è disponibile anche il codice sorgente e la documentazione:
http://www.codeplex.com/singularity

Fallire ovviamente vuol dire compiere un operazione non legale, e per non succedere nulla intendo che le altre locazioni di memoria non si corrompono.

[wlog]

Quote:

Originariamente inviato da cavaliereombra

No, non ho mai installato le "BLAS", ma tutto il software che nel tempo ho installato sul mio PC ha richiesto solo l'esecuzione di setup guidati che sono semplicissimi da seguire e non richiedono alcuna compilazione.

pensa che con synaptic addirittura elimini il tempo necessario a scaricare il SW

Quote:

Tu ti sentiresti di dire che su Windows la normalità sia quella sopra riportata? Peraltro, perché qualcuno non sa fare un setup di installazione è colpa di Windows, che comunque mette a disposizione di tutti la possibilità di creare file d'installazione guidata? Persino tutte le traduzioni del G.I.T. sono composte da semplici installer che non richiedono nulla all'utente, pur dovendo operare qualche volta degli hack su archivi o altro.

Stesso discorso su linux: il 99% dei pacchetti si trovano su synaptic o .deb, per gli altri c'è autoran, klik, o la compilazione che è FACILISSIMA.

Quote:

Ah, sì, lo vorrei il sistema operativo perfetto. Nel frattempo però mi accontento di uno che sa mettere l'utente e la semplicità di utilizzo davanti a tutto. E no, quanto fatto su Linux non basta, spiacente.

Ma cosa stai dicendo? Con linux hai una macchina PRONTA SUBITO. Quanto tempo ci metti solo ad installare i driver sotto windows?

Quote:

Innanzitutto sarebbe ora di capirla che servono degli standard: non mille versioni diverse, ciascuna con qualcosa di suo che non condivide nemmeno sempre gli stessi standard (es. RPM, DEB).

vero.

Quote:

Sono stati postati link di Secunia in questa discussione relativi anche a Debian 4.

In cui si confrontava un sistema operativo con centinaia e centinaia di programmi piu disparati (dai driver per le radio amatoriali, alle librerie per la simulazione differenziale della fluidodinamica... tutte cose che sotto windows non le vedrai MAI di default). E nonostante ciò nessun exploit è venuto alla luce, e TUTTI i buchi sono stati corretti, al contrario di win.

Quote:

E' ciò che si evince dai tuoi post.

E' ciò che hai voluto leggere, a mia opinione perchè appartieni a quella categoria di persone che appena gli si tocca il sistema operativo si arrabbiano.

Io riconosco gli enormi limiti di linux, è ora che la comunità windows riconosca i suoi.

[wlog]

Quote:

Originariamente inviato da cavaliereombra

Facilissima è un'altra cosa. Facilissimo è quando non devi cercare i pacchetti compatibili con la tua distro, ma trovi ciò che vuoi e lo installi. Facilissimo è quando non devi digitare nemmeno un comando ma puoi fare tutto da interfaccia.

Per voi su linux dal 1999. Grazie Synaptic.

(questo mi fa capire che linux l'hai usato davvero poco)

Quote:

Sicuramente meno che sotto Linux, e sicuramente Linux in mano a un utente inesperto non ha lo stesso impatto di un Windows o di un MacOS.

Come fai a dire meno, se su linux i driver non si installano (a meno di configurazioni closed source)?

Quote:

Non lo dico io, eh... lo dice il mercato.

vero:

http://www.top500.org/lists/2008/06

Share ms: 0%. E questi sono i computer del futuro!

Quote:

Ah, ci dovrebbero essere molte meno distro o perlomeno standardizzate tra loro (parlo di standard veri), che altrimenti l'utente non sa nemmeno cosa scegliere.

Il bello di linux è che è variegato. E comunque lo standard de facto esiste, e si chiama debian. Da sola detiene la quasi totalità del mercato desktop (insieme al suo derivato ubuntu)

Quote:

E quindi su oltre 900 vulnerabilità tu ti senti di dire che il 100% era dei programmi allegati?

Cosa vuol dire?

Quote:

Fosse vero allora vuol dire che il software disponibile in repository fa davvero acqua da tutte le parti e allora vorrei sapere chi ve li ha inclusi.

Essendo al momento 32.8 (repository standard x82_64 solo software free, quindi una minima frazione di quello analizzato) gigabyte di codice sorgente, 900 bug sono una inezia. Se sei un "esperto" dovresti saperlo.

Il cd di windows quanti megabyte di sorgente sono? 3 gb? 4 gb?

Quote:

La realtà è che comunque per quanto cifre precise non se ne abbiano, di certo una parte di quegli oltre 900 report sono dell'OS. Exploit compresi.

Però nessuno è mai riuscito a scrivere un malware che si diffondesse da solo. Un motivo ci sarà non pensi?

Quote:

Ti contraddici da solo. Dici che sei imparziale e che l'OS perfetto non esiste, poi sostieni il contrario. Sono post che difficilmente attribuisco a un esperto.

dov'è che dico che quale sistema operativo è perfetto????

Quote:

Ma penso che nessuno qui si faccia illusioni, eh. Ma poi quale sarebbe la "comunità Microsoft"? Peraltro anche esistesse,

Hai ragione me ne dimentico: nella comunità open le persone collaborano. Con windows invece si devono accettare le scelte di MS. Scusami, ogni tanto me ne dimentico, è che poter adattarsi il proprio codice è cosi comodo a volte.... E ancora piu bello è condividerlo con gli altri e imparare molte cose!

Quote:

se fossi davvero imparziale te ne fregheresti dei fanboy pro o contro OS...

Chi ha detto che sono imparziale? sono forse un giudice o un giornalista?

Che oggi non si possono piu neanche avere opinioni?

[wlog]

Quote:

Originariamente inviato da cavaliereombra

P.S. Uso abitualmente Linux sia a lavoro che a casa. Questo per evitare che mi si etichetti per ciò che non sono. Ciò non nega che sono profondamente deluso da Linux e da come in quell'ambito ci si muovi gente che dopo 10 anni non hanno ancora compreso cosa ha limitato sinora la diffusione di questo OS...

e non conoscevi synaptic o apt-titude????
Mi sembra davvero strano...

E' come guidare una macchina per 10 anni senza aver mai scoperto dov'è il buco per il serbatoio... si magari è vero, però io non ci crederò mai.

[wlog]

Quote:

Originariamente inviato da cavaliereombra

Inizia la gara a chi ce l'ha più lungo? Perché nel caso ti lascio vincere subito...

Sì, l'ho usato più volte e tu non ti sei nemmeno soffermato a leggere.

prego illuminami pure

Quote:

No, certo, non si installano per nulla. E si vede che l'unico cretino che ne ha avuto bisogno per far funzionare webcam e altro sono io.

Scusami ma quando sotto vista moltee schede grafiche hanno smesso di funzionare correttamente, a chi si è data la colpa? a microsoft o alla nvidia/ati?

manda una mail alla tua casa, e chiedi che scrivano un driver per la webcam. O che ALMENO si degnino di fornire le reference call, che poi la FSF scriverà il software per loro.

Curiosità, che webcam era?

Quote:

Parlo di consumer. Anche in questo thread sono stati postati dei link, valli a cercare e poi dimmi se Linux supera nelle case il 10% del mercato (sta sotto al 5%).

Il mercato consumer viene mosso da altri stimoli, che non sono la ricerca dell'OS piu sicuro o stabile

Quote:

Il bello? Ah beh, contenti voi... il giorno in cui aprirete gli occhi e capirete cosa non ha dato diffusione a Linux negli ultimi 10 anni (mentre tanto le profezie erano sempre dietro l'angolo) sarà troppo tardi.

ma chi vuole fare proseliti?

LINUX NON è UNA RELIGIONE!!!! Se vi va bene prendetelo cosi, sennò cercate di collaborare per modificarlo, oppure usate la concorrenza. Linux è una scelta, e io personalmente sono contentissimo di averla.

Quote:

Un'inezia? Alla prossima che ci si inventa?

Hai mai scritto una riga di codice? Si?

beh allora saprai che piu codice scrivi, piu bug ci sono. E' INEVITABILE!

Quote:

Leggiti.

Lo ripeto: windows non è meglio di nessuno, linux non è meglio di nessuno. Sono come due vettori, con direzione diversa e verso non confrontabile.

Quote:

Non collaborano per niente. Si fan la lotta tra loro sviluppando tecnologie diverse che si fanno concorrenza tra loro. L'ultimo esempio? KDE 4. Invece di fare quell'obrobrio potrebbero lavorare a migliorare Gnome.

Se fosse davvero cosi oggi non avremmo un sistema operativo performante e all'avanguardia.

Quote:

Quelle non si discutono, ma un conto è esprimere la propria opinione, un conto mettersi in cattedra con un fare decisamente "parziale" (che ripeto, per un esperto del settore è degradante).

Io ho espresso delle opinioni e ho portato dei dati a suffragio. Si chiama discussione, e questo è un forum di discussione. Noi discutiamo per scambiarci delle idee.

[_goofy_]

edit

[_goofy_]

Quote:

Originariamente inviato da wlog

Però nessuno è mai riuscito a scrivere un malware che si diffondesse da solo. Un motivo ci sarà non pensi?

anche io sto aspettando da anni la notizia

"Padrone morde cane"

"Un virus in ambiente Linux si sta diffondendo a vista d'occhio"

[_goofy_]

chiariamo almeno questo punto..altrimenti parliamo di tutto e di niente

i 900 bug della Debian nel corso di 5 anni, bug in ogni caso tutti chiusi, non sono imputabili al solo sistema operativo inteso in senso stretto ma sopratutto ai sw che sono inclusi per tradizione in una distro Linux

ecco qualche voce a mò di esempio

Debian update for openoffice.org
Debian update for clamav
Debian update for iceweasel
Debian update for mplayer
Debian update for wordpress
etc...

come vedete sono sw che con il s.o. c'entrano niente

questo numero dei bug non può essere preso così com'è e paragonato agli stessi bug che la secunia dice che ci sono per xp perchè in quei bug ci sono solo quelli intesi in senso stretto e relativi solo al sistema operativo


cosa importante per quanto riguarda i 226 bug di xp sono i 31 bug non ancora patchati...questo è molto grave


quanto detto è solo per una questione di precisione senza voler affatto fare guerre di religione

siamo quì semplicemente per scambiare 4 chiacchiere..poi ognuno usa il s.o. che preferisce naturalmente...io sono un dual-bootiano per esempio

[Visron]

Quote:

Originariamente inviato da wlog

Però nessuno è mai riuscito a scrivere un malware che si diffondesse da solo. Un motivo ci sarà non pensi?

ma se nn lo usa nessuno Linux confronto agli OS M$ ...e chi lo usa sono solo smanettoni che se ne intendono di sicurezza e computer.. quale tempo e risorse perse devono impiegare gli Hacker etc per scrivere malware per Linux??

ma fino ad adesso nn hai letto nulla.. ...andate pure avanti fino a pagina 100

[Visron]

Quote:

Originariamente inviato da _goofy_

cosa importante per quanto riguarda i 226 bug di xp sono i 31 bug non ancora patchati...questo è molto grave

quindi Microsfot secondo te ha lasciato aperti questi Bug e nn li patcha perche' non e' capace o perche' la fa apposta per far appestare tutti??..come mai io e tutti gli altri nn prendiamo nulla anche con queste cose aperte che M$ nn patcha?? ci saranno dei motivi ?? leggi il tipo di vulnerabilita su Secunia nell'advisor .........o magari perche' hanno finito i programmatori ed aspettano che qualche esperto Linux qua' del forum vada a Seattle a lavorare per lei??

[_goofy_]

Quote:

Originariamente inviato da Visron

quindi Microsfot secondo te ha lasciato aperti questi Bug e nn li patcha perche' non e' capace o perche' la fa apposta per far appestare tutti??..come mai io e tutti gli altri nn prendiamo nulla anche con queste cose aperte che M$ nn patcha?? ci saranno dei motivi ?? leggi il tipo di vulnerabilita su Secunia nell'advisor .........o magari perche' hanno finito i programmatori ed aspettano che qualche esperto Linux qua' del forum vada a Seattle a lavorare per lei??

scusa ma sei nella mia lista "ignore virtuale"

[wlog]

Quote:

Originariamente inviato da Visron

ma se nn lo usa nessuno Linux confronto agli OS M$ ...e chi lo usa sono solo smanettoni che se ne intendono di sicurezza e computer.. quale tempo e risorse perse devono impiegare gli Hacker etc per scrivere malware per Linux??

ma fino ad adesso nn hai letto nulla.. ...andate pure avanti fino a pagina 100

Io non conosco nessun computer che faccia girare qualcosa di serio con windows. E per serio sto parlando di miliardi di euro.

[wlog]

Quote:

Originariamente inviato da Visron

quindi Microsfot secondo te ha lasciato aperti questi Bug e nn li patcha perche' non e' capace o perche' la fa apposta per far appestare tutti??..come mai io e tutti gli altri nn prendiamo nulla anche con queste cose aperte che M$ nn patcha?? ci saranno dei motivi ?? leggi il tipo di vulnerabilita su Secunia nell'advisor .........o magari perche' hanno finito i programmatori ed aspettano che qualche esperto Linux qua' del forum vada a Seattle a lavorare per lei??

lo fanno semplicemente perchè è impossibile mettere in sicurezza windows, per come esso stesso è stato pensato, e quindi si cerca di arginare il male con le risorse che si hanno.

La open community invece ha migliaia di programmatori che possono controllare tutto in ogni momento.

[wlog]

Quote:

Originariamente inviato da cavaliereombra

Che non tutto funziona con Synaptic, perché è solo uno standard de-facto, ma non uno standard univoco vero e proprio.

Sotto ubuntu funziona tutto alla grande. Trovami un esempio di qualcosa che non funzioni.

Quote:

A parte che le "molte" schede video è una balla bella e buona che è girata su internet (Vista l'ho usato anche per lavoro)... all'uscita di un nuovo OS è abbastanza normale che i driver siano da ridefinire. Vai a vedere X.org come si comporta con vecchie schede video Nvidia.

Vuol dire che i centinaia di report sulla rete dei driver malfunzionanti sono tutti falsi e tu hai ragione.

Quote:

P.S. La webcam era integrata nel portatile.

modello del portatile?

Quote:

Questi sono invece due fattori molto importanti (e sui quali internet fantastica troppo). Il primo resta l'usabilità e il non confondere l'utente, il quale dovrebbe essere il vero motivo per cui si scrive software.

Io il software lo scrivo solo per me stesso, e pochissimi possono vedere quello che scrivo. Forse sto sbagliando a programmare?

Ogni software ha degli scopi e degli obbiettivi, e si devono fare dei sacrifici per ottenerli. Sia per linux, sia per windows.

Quote:

Evita con queste gare... di software ne ho scritto e ne scrivo tutti i giorni. So bene come è un processo di sviluppo, e quello che dici non ha senso. Oltre 900 vulnerabilità per una distro significa che sia che include software buggato che non si sa come ha superato fasi di validazione per il repository (ma non doveva essere una fonte sicura di software, peraltro?), sia che comunque di vulnerabilità ne ha.



Ah, sai cosa è la regressione? Beh, ci sono vari modi per sviluppare tenendone conto. Uno è usare approcci TDD a più livelli.

Va da sé che il software perfetto non esiste, ma non è che stiamo parlando di una materia che nessuno ha mai studiato prima (tra l'altro, conosci le metodologie agili? ne hai mai adottate?).

Mi stai dicendo che te riesci ad aumentare le righe di codice mantenendo costante il numero di errori? Che affermazione ridicola.

Quote:

Che non è nelle case nemmeno per il 5%. Eh, ma l'utente non è importante...

ma utente di che? Nessuno risponde di linux, è un progetto aperto a cui tutti possono partecipare. Se tu pensi di poterlo migliorare, puoi benisismo scrivere del codice.

Cosa vuoi, il software fatto, l'assistenza telefonica e il tutto senza sborsare un euro????