|
|
|
![]() |
|
Strumenti |
![]() |
#41 | |
Senior Member
Iscritto dal: May 2004
Messaggi: 7519
|
Quote:
punto 1 volevo scrivere quello che mi stai chiedendo ma poi ho deciso di non allungare di piu il post: si il codice managed per sua natura non ha di questi problemi punto 2 vista fa uso di codice managed ma non nei componenti come i driver e il kernel per ovvi motivi tecnici e di performance quindi considerando che i bug spesso sono nei componenti di sistema al livello piu basso è improbabile che la struttura managed possa bloccare piu di tanto questo "problema" che ripeto non è particolarmente legato con la bravura di programmazione ma è semplicemente intrinseco nel linguaggio. qualcuno bravo a programmare potrebbe dire che con molta cura si puo ovviare al problema dei buffer overflow e io potrei anche acconsentire ma applicare questo ragionamento su un codice cosi ampio (windows 2000 40 milioni di righe di codice , xp 50, 2005 60) rende il lavoro impossibile anche in tempi di svariati anni (quando il codice oramai non sarebbe piu utilizzabile da nessun applicativo). E' per questo che le nuove cpu hanno introdotto quel tipo particolare di protezione perche aggiungere quel contollo a livello cpu è costato a noi e a loro praticamente niente ma per un azienda come la ms vorrebbe dire riprogettare riga per riga di tutto il codice a lora disposizione (e comunque non essere sicuri al 100% di ovviare realmente al problema) per chi volesse capire cosa siano questi buffer overflow e da dove provengono è utile leggere: http://msdn.microsoft.com/library/de...re05202002.asp Ultima modifica di coschizza : 03-02-2006 alle 22:43. |
|
![]() |
![]() |
![]() |
#42 | |
Senior Member
Iscritto dal: May 2004
Messaggi: 7519
|
Quote:
se qualcuno ha trovato il bug senza sapere dove cercare pensa che con la patch hai il bit esatto di dove trovarlo, e poi oramai ci sono persino dei tool utilizzati dagli hacker che fanno queste operazioni in automatico. Nell'ultimo incontro con la MS che ho avuto per una conferenza sulla sicurezza è stato stimato che il tempo per eseguire questa analisi sulle patch da 3 anni a questa parte e passato da circa 1 mese a 1 settimana. Quindi quando vengono rilascite le patch è meglio aggiornere il pc in fretta e non attendere 6 mesi per poi lamentarsi del blocco del pc. |
|
![]() |
![]() |
![]() |
#43 | |
Messaggi: n/a
|
Quote:
Come saprai benissimo "statisticamente" al mondo mangiano tutti... ma poi in realtà qualcuno mangia troppo e qualcuno non mangia. Informaticamente parlando possiamo dire che al mondo c'è gente che sa programmare e gente che non sa programmare (come te probabilmente e molti altri). La prima tipologia di cui ho parlato sono quelli che nel post precedente ho definito "programmatori degni di tale nome". Certo un errore può sfuggire a tutti... ma sicuramente non le migliaia di bug che ci sono in alcuni programmi "fatti col deretano" ![]() P.S. Sono studente di ingegneria informatica e programmo da quando avevo 13 anni ![]() |
|
![]() |
![]() |
#44 | |
Messaggi: n/a
|
Quote:
![]() |
|
![]() |
![]() |
#45 |
Member
Iscritto dal: Oct 2005
Messaggi: 43
|
Firefox si aggiorna parzialmente solo dalla versione 1.5 in poi. Chi ha la 1.0.7 deve scaricarsi tutto il pacchetto. Oggi ho aggiornato su 5 pc diversi (da w2k a xp e xp pro) dalla 1.5 alla 1.5.0.1 e mi ha scaricato solo il necessario senza problemi.
Ultima modifica di rakatan : 04-02-2006 alle 00:34. |
![]() |
![]() |
![]() |
#46 | |
Bannato
Iscritto dal: Dec 2000
Messaggi: 2097
|
Quote:
con questo voglio dire che le credenziali di cui ti vanti possono funzionare da indicazione nel mondo lavorativo, ma qui ci si confronta sugli argomenti, non su chi ce l'ha più lungo... quindi, se devi dire la tua sull'argomento, benissimo, se devi dire perchè dovresti essere più accreditato dell'altro a parlare puoi anche farne a meno, anche perchè se volessi entrare in questa logica dovresti stare sempre zitto, dato che questo forum è frequentato da programmatori di software house molto importanti (non sto parlando di me, beninteso)... tornando agli argomenti, non ho capito il riferimento ai vorrei "programmi fatti del deretano": di quali software stai parlando? |
|
![]() |
![]() |
![]() |
#47 | |
Bannato
Iscritto dal: Dec 2000
Messaggi: 2097
|
Quote:
1) è anche concepibile l'impiego misto di codice managed e non managed, riservando il secondo agli algoritmi che vengono chiamati più spesso e che conseguentemente devono essere più prestanti? 2) indipendentemente dall'os mi sembra che il maggior numero di bug "pericolosi" (quali i buffer overflow) non riguarda il kernel (che comunque è la parte più curata e conseguentemente meno bacata dell'os) ma gli strati successivi, dai quali comunque si può prendere il controllo della macchina... inoltre, un bug a livello kernel può servire più che altro nell'attacco che viene lanciato dall'interno della macchina stessa (ad esempio per acquisire i privilegi di root in un server) piuttosto che quelli effettuati da remoto, che di fatto oggigiorno sono i pericoli maggiori - per lo meno per le masse |
|
![]() |
![]() |
![]() |
#48 |
Senior Member
Iscritto dal: Feb 2004
Messaggi: 783
|
Guardate che nn che ci sono più falle per firefox. Ci son sempre stati miglioramenti di sicurezza... E' solo che non si capisce il perchè su hwupgrade si son messi a raccontarci tutti i prob di sicurezza di questo software. E' strano perchè non è un sito di sicurezza. E' strano perchè hanno evitato del tutto di segnalare problemi pesantissimi di IE, di quelli con exploit pubblico. Forse i problemi di ie non fanno più notizia, o forse semplicemente lo danno per morto. Forse non si ricordano che l'unico motivo per usare firefox è la libertà, mica perchè è più sicuro di ie. Non mi piace questo. Semmai c'è da chiedersi perchè Mozilla Foundation non patcha i problemi uno per volta e li tiene nascosti. Perchè stanno sacrificando così tanto per guadagnare quote di mercato? Chissenefrega di avere il 20% o il 30%, è un software libero! Si deve preoccupare di dare libertà alla gente che la vuole, gli altri meglio che usino opera.
|
![]() |
![]() |
![]() |
#49 | |
Senior Member
Iscritto dal: May 2004
Messaggi: 7519
|
Quote:
2 hai ragione ma per livello basso io comprendo tutti i componenti che fanno di collegamento dal SO al mondo esterno quindi oltre ai driver e il kernel anche tutti i servizi di rete tcp l'RPC ecc. E tutti questi sicuramente non saranno managed code, per ora di 100% managed code sarà solo l'infrastuttura WinFX (indigo ,avalon) |
|
![]() |
![]() |
![]() |
#50 | |
Messaggi: n/a
|
Quote:
![]() ![]() Sicuramente non tutti gli ingegneri informatici sono delle cime (nel mio corso ci sono individui un po' di tutti i generi) e per questo ho aggiunto che programmo da quando avevo 13 anni ![]() ![]() Detto questo, una piccola precisazione. Quando si nomina la parola "ingegnere" (in generale) si scatena generalmente una certa "ostilità" data probabilmente da un recondito senso di invidia. Ti assicuro che se ha avuto docenti validi e se è davvero appassionato a quello che fa, un ingegnere (informatico, ma non solo) possiede un background di conoscenza e di modo di applicare questa conoscenza che gli permette di operare in maniera davvero efficace, innovativa, efficiente... ingegneristica ![]() Francamente dai programmatori di quale "software house molto importante" sia frequentato questo forum mi interessa ben poco (considerando il livello qualitativo medio del software delle "software house molto importanti" in circolazione e considerando anche il titolo di studio medio - premesso che la persona più in gamba e competente che conosca è un semplice "perito informatico" - e le capacità di molti loro dipendenti). Quindi vale lo stesso discorso che hai fatto tu per gli "ingegneri informatici", non bastano le "credenziali", ci sono i fatti... e per l'appunto sono qua, disponibile a rispondere su ogni "fatto" ![]() Ritornando sul discorso ![]() ![]() Ultima modifica di ekerazha : 04-02-2006 alle 09:19. |
|
![]() |
![]() |
#51 | |
Messaggi: n/a
|
Quote:
Oppure (e questo è fattibile) puoi avere un programma scritto in managed code e linkare delle librerie dinamiche esterne compilate in codice nativo ![]() ![]() Ultima modifica di ekerazha : 04-02-2006 alle 09:09. |
|
![]() |
![]() |
#52 | |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 861
|
Quote:
Io per sicurezza ho fatto sempre cosi', mai un problema: - backup dei files bookmarks.html dei vari profili di FF; - disinstallazione di FF; - eliminazione di "%programfiles%\Mozilla Firefox"; - eliminazione di "%appdata%\Mozilla; - reimportazione oppure semplice sovrascrittura dei files bookmarks.html backuppati; Praticamente sego via tutto cio' riguardante il nostro caro panda rosso! ![]() IMHO e' la procedura migliore, la piu' sicura! Questo pero' era valido per la 1.0.x, perche' ora dalla 1.5 non dovrebbe essere piu' necessario, difatti sui vari Win FF mi si e' autoaggiornato nell'arco della stessa giornata di uscita della 1.5.0.1. Che dire: semplicemente perfetto! ![]() Comunque, in caso di installazione manuale, dunque non tramite live update di FF, dalla 1.0.x alla 1.5.x oppure dalla 1.5.x ad una sua minor release io farei lo stesso il repulisti di cui sopra, per star sicuri, sicuramente nel primo caso, almeno sino a prova contraria.
__________________
S’i’ fosse fuoco, arderei ‘l mondo; s’i’ fosse vento, lo tempestarei, s’i’ fosse acqua, i’ l’annegherei; s’i’ fosse Dio, mandereil’ en profondo. |
|
![]() |
![]() |
![]() |
#53 | |
Senior Member
Iscritto dal: Jan 2006
Messaggi: 2722
|
Quote:
Emh io sono un ingegnere informatico, e senza presunzione ti dico che nel tuo post #20 ne hai sparate un paio a casaccio ![]() ![]() Ciao ![]()
__________________
- Spesso gli errori sono solo i passi intermedi che portano al fallimento totale. - A volte penso che la prova piu' sicura che esiste da qualche parte una forma di vita intelligente e' il fatto che non ha mai tentato di mettersi in contatto con noi. -- Bill Watterson Ultima modifica di -fidel- : 04-02-2006 alle 09:20. |
|
![]() |
![]() |
![]() |
#54 | |
Senior Member
Iscritto dal: Aug 2002
Città: Trento
Messaggi: 40877
|
Quote:
![]() cmq io preferisco che queste cose vengano dette e se ne sia a conoscenza se poi ci sono ut0nti che da un articolo come questo si convincono che IE è più sicuro di firefox o che scoprono con stupore che tutti i programmi di una certa entità sono soggetti a falle ma che quello che ne determina la sicurezza è soprattutto il supporto e la prontezza nel fixarle che sta dietro, sono affari loro. Ultima modifica di Leron : 04-02-2006 alle 09:21. |
|
![]() |
![]() |
![]() |
#55 | |
Messaggi: n/a
|
Quote:
![]() Senza scadere nei luoghi comuni e nelle frasi fatte, so benissimo che "siamo umani" e "siamo fallibili"... ed infatti ho scritto chiaramente che nessuno è perfetto e tutti commettono errori... però poi c'è chi ne commette di più e chi ne commette di meno ![]() Ultima modifica di ekerazha : 04-02-2006 alle 09:31. |
|
![]() |
![]() |
#56 | |
Senior Member
Iscritto dal: Jan 2006
Messaggi: 2722
|
Quote:
Per me un'unica fonte per tutti gli aggiornamenti di tutto il sistema: ftp.suse.com ![]() ![]()
__________________
- Spesso gli errori sono solo i passi intermedi che portano al fallimento totale. - A volte penso che la prova piu' sicura che esiste da qualche parte una forma di vita intelligente e' il fatto che non ha mai tentato di mettersi in contatto con noi. -- Bill Watterson |
|
![]() |
![]() |
![]() |
#57 |
Senior Member
Iscritto dal: Mar 2004
Messaggi: 861
|
Veramente pericoloso come si dice?
Mah, sto bug certamente se puo' fa danni, ma appunto, puo' veramente?
Mmm... qualche dubbio ce l'ho! A parte che, dall'esperienza recente che ho avuto, almeno su Win32 FF 1.5 si e' aggiornato nell'arco di una giornata sulle varie installazioni che ho sotto mano. Dunque no problem! Dove magari c'e' una versione precedente, che ovviamente non ha implementata tale funzionalita', IMHO basta avere il fantastico NoScript e si e' al sicuro. Un'ext coi fiocchi: con 2 click di numero si riescono ad abilitare, JS applet Java e plugin vari tipo Macromedia, per il dominio del sito di interesse, e lo si puo' fare o solo per quella sessione di navigazione oppure whitelistarlo per sempre. Semplicemente un must-have! ![]() Per chi invece tiene attivi i JS su TB, o e' un ignaro utente dummy oppure e' semplicemente un suicida. ![]() ![]() Io, quando ho potuto, ho sempre disabilitato una tale funzionalita' in qualsiasi mail client, non solo su TB. Anzi: per default le mail le leggo il plain text, come giustamente prevede lo standard, ed attivo all'occorrenza l'html o meglio, sempre col mitico TB faccio un bel Ctrl+U e vado a leggere nel sorgente della mail se ci sono info utili e ne analizzo l'header eventualmente.
__________________
S’i’ fosse fuoco, arderei ‘l mondo; s’i’ fosse vento, lo tempestarei, s’i’ fosse acqua, i’ l’annegherei; s’i’ fosse Dio, mandereil’ en profondo. |
![]() |
![]() |
![]() |
#58 | |
Senior Member
Iscritto dal: Aug 2002
Città: Trento
Messaggi: 40877
|
Quote:
usa una debian e ti si apre un mondo ![]() yast è comodo per gli aggiornamenti e soprattutto per la gestione del sistema in maniera veloce, ma apt è un altro pianeta per reperire software (ammesso che ce ne sia per la tua distro, e debian+apt in questo caso è un'altra cosa rispetto a suse+yast+apt) |
|
![]() |
![]() |
![]() |
#59 | |
Messaggi: n/a
|
Quote:
![]() |
|
![]() |
![]() |
#60 | ||
Senior Member
Iscritto dal: Jan 2006
Messaggi: 2722
|
Quote:
- hai detto che il GC del .NET evita i memory leak. Non mi risulta affatto, al meglio li riduce, e se vuoi la riduzione massima è sempre meglio usare "a manina" la classe managed GC, che permette l'uso 'manuale' del garbage collector. - Hai detto che il C/C++ sono linguaggi di "medio livello". Cosa intendi per medio livello scusa?? Sono sempre di alto livello fidati... Quote:
__________________
- Spesso gli errori sono solo i passi intermedi che portano al fallimento totale. - A volte penso che la prova piu' sicura che esiste da qualche parte una forma di vita intelligente e' il fatto che non ha mai tentato di mettersi in contatto con noi. -- Bill Watterson |
||
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:36.