Nuove falle in Firefox

[IcemanX]

...che E' fuori da anni...

[Cimmo]

Quote:

Originariamente inviato da IcemanX

Quindi il fatto che le 88 falle di IE che fuori da anni non siano così gravi non importa?
Cmq la smetto xchè qua è sempre battaglia persa lol

Riporto da Secunia:
Microsoft Internet Explorer 6.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Highly critic

ti sembra che non siano cosi' gravi?
Non e' una battaglia persa e' un discutere sui fatti.

Ripeto cmq parliamone dopo la 1.0.4 di FF e dopo la ennesima patch di MS se vuoi.

[IcemanX]

Vedi, a me non ha toccato neanche il Blaster, eppure non ero coperto. Allo stesso modo non credo che nessun utente FF avrà mai problemi x codesta falla.
La situazione è Higly Critic eppure non mi pare succeda nulla, quella di FF Extreme Critic e non succede nulla uguale.
Pare sia solo uno sfizio diverso x chi non tifa x una squadra di calcio

[DjLode]

Quote:

Originariamente inviato da Wonder

Forse ti manca il punto...i 500$ li davano a chi scopriva (come ho scritto, ma non hai letto a modo e hai interpretato erroneamente per controbattere)...non a chi sistema la falla.

Una volta che l'hai trovata fai molto prima a correggerla
Non ho interpretato male, ma se fai un rapido conto una persona che cerca e corregge lavorerà sempre di più di uno solo che si concentra sul codice per correggere qualcosa che sa che c'è
Ti sfugge forse il senso di Open Source.

[Wonder]

Allora leggi qui

Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Extremely critical (ancora più di IE)
lo trovi qui: http://secunia.com/product/4227/

[Cimmo]

Quote:

Originariamente inviato da Wonder

Allora leggi qui

Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Extremely critical (ancora più di IE)
lo trovi qui: http://secunia.com/product/4227/

E due:
certo l'ho letto, ma e' appena stata scoperta una falla facile. Riparliamone dopo la 1.0.4 che cmq e' gia' in Release Candidate.
IE da quanto tempo e' in quello stato?

[Serpico78]

Quote:

Originariamente inviato da Wonder

Fiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii...BOOM!

Questa si che è grossa. Fa figo mettersi la cintura di sicurezza, non fumare, mangiare sushi, avere la Ferrari, andare a ballare al Pineta, ecc ecc ma di certo FF e IE non fanno nessuna differenza. Forse fa figo solo per te. Giri forse con l'iPod appeso al collo perchè fa figo?

Uso ancora una scassatissima Panda 750, finchè funziona ancora, non fumo perchè non mi piace, non mangio il sushi ma mi piacerebbe provarlo una volta, non vado a ballare in Pineta, il lettore (non iPod) il più delle volte lo dimentico a casa, uso ancora un vecchio cellulare di 3 anni fa perchè compie ancora egragiamente il suo sporco lavoro, di fronte a un problema mi piace analizzarlo e discuterne con persone che ne hanno voglia e la capacità di farlo, però non sopporto le persone che partono a partito preso e che credono di avere solo ragione loro.
IMHO per me questa discussione è chiusa visto il tono da stadio ormai assunto.

P.S. La cintura di sicurezza la uso perchè mi ha già salvato la pelle una volta.......

P.S.S. Prima di replicare leggi cosa hanno scritto gli altri, magari ci fai più bella figura la prossima volta.

[fek]

Quote:

Originariamente inviato da Cimmo

E due:
certo l'ho letto, ma e' appena stata scoperta una falla facile. Riparliamone dopo la 1.0.4 che cmq e' gia' in Release Candidate.
IE da quanto tempo e' in quello stato?

Fare uscire una RC cosi' presto non e' un vanto. E' un errore. E anche grave.

[Cimmo]

Quote:

Originariamente inviato da fek

Fare uscire una RC cosi' presto non e' un vanto. E' un errore. E anche grave.

Intanto una RC non e' una versione considerata stabile. Poi cosa ne sai che non hanno gia' risolto egregiamente il problema.

Non e' che il tempo di fixing e proporzionale all'impatto della falla, dipende!

[fek]

Quote:

Originariamente inviato da Cimmo

Intanto una RC non e' una versione considerata stabile. Poi cosa ne sai che non hanno gia' risolto egregiamente il problema.

Non e' che il tempo di fixing e proporzionale all'impatto della falla, dipende!

No, l'RC e' considerata stabile, e' una Release Candidate, ovvero e' candidata per essere rilasciata. La differenza fra una Beta e' un RC e' che la seconda puo' essere usata "in produzione". E' a tutti gli effetti una versione rilasciata al pubblico per l'uso quotidiano. Un'altra differenza fra Beta e RC, dal punto di vista del programmatore, e' che nel secondo caso non si e' autorizzati a toccare il codice se non a seguito di un bug esplicito riportato.

Hanno fatto uscire un RC dopo due giorni dai fix, senza passare per la Beta (magari pubblica), senza la dovuta sicurezza che i fix non abbiano introdotto altri bug ignoti. La differenza e' fra l'avere due bug noti per cui esistono workaround e l'avere magari bug ignoti per i quali non esistono work around. Come la giri, non e' una buona idea. Non lo e' proprio per nulla.
Infatti non la installo.

[Cimmo]

Quote:

Originariamente inviato da fek

No, l'RC e' considerata stabile, e' una Release Candidate, ovvero e' candidata per essere rilasciata. La differenza fra una Beta e' un RC e' che la seconda puo' essere usata "in produzione". E' a tutti gli effetti una versione rilasciata al pubblico per l'uso quotidiano. Un'altra differenza fra Beta e RC, dal punto di vista del programmatore, e' che nel secondo caso non si e' autorizzati a toccare il codice se non a seguito di un bug esplicito riportato.

Hanno fatto uscire un RC dopo due giorni dai fix, senza passare per la Beta (magari pubblica), senza la dovuta sicurezza che i fix non abbiano introdotto altri bug ignoti. La differenza e' fra l'avere due bug noti per cui esistono workaround e l'avere magari bug ignoti per i quali non esistono work around. Come la giri, non e' una buona idea. Non lo e' proprio per nulla.
Infatti non la installo.

Ad ogni modo secondo me e' da apprezzare la velocita' di fixing del bug.

Comunque ho notato anche io alcuni metodi di versioning strane da parte di Mozilla Foundation faccio alcuni esempi:
- FF e TB sono sempre stati a distanza di una versione, quando FF era alla 0.8 TB era alla 0.7 e cosi' via.
Poi appena FF ha raggiunto la 1.0 TB che era appena arrivato alla 0.9 e' diventato 1.0 dopo appena un paio di mesi, quando il salto da 0.9 a 1.0 per FF e' durato moooolto di piu' e gia' questa cosa mi e' puzzata come un modo per farli andare di pari passo a discapito un po' del beta-testing.

- FF dalla 1.0RC alla 1.0 ha avuto (se ricordo bene) una serie di cambiamenti che hanno rigardato il tab-browsing e come hai detto tu dalla RC alla final dovrebbero esserci solo i fix + importanti.

- altra cosa (OT sul tema principale) che non ho capito sono tutti i kernel 2.6.x che adesso non hanno piu' la pre1, pre2 ecc. ma partono direttamente dalla rc1, rc2 ecc. e dire che dalla versione 2.6.0 all'attuale 2.6.11 e ormai 2.6.12 ne sono cambiate di cose.

[fek]

Quote:

Originariamente inviato da Cimmo

Ad ogni modo secondo me e' da apprezzare la velocita' di fixing del bug.

L'avrei apprezzata di piu' se avessero fatto uscire una buona Beta prima e non una RC.

Il discorso che cerco di fare e' questo: partendo dal presupposto che ogni riga di codice che scrivi e' potenzialmente sorgente di bug, anche il risolvere un bug e' potenzialmente sorgente di uno o piu' bug o nessuno.
Si passa da una situazione in cui si conosce il bug, ad una situazione in cui potenzialmente non si conosce il bug (neppure si sa se c'e' o meno). Questa condizione richiede testing prima di essere rilasciata al pubblico.

Fixare un bug in se' e' piuttosto semplice, pensi che in MS o chi per lei i bug non vengano fixati immediatamente al momento del report del bug stesso? Certo che accade (nella misura in cui il bug sia considerato ad alta priorita' o meno ovviamente). Semplicemente il bug fix esce dopo, magari non esce proprio se viene giudicato non necessario o il testing sufficientemente esaustivo. E questa e' una politica di releasing migliore che rilasciare un bug fix appena scritto.

[Cimmo]

Quote:

Originariamente inviato da fek

Fixare un bug in se' e' piuttosto semplice, pensi che in MS o chi per lei i bug non vengano fixati immediatamente al momento del report del bug stesso? Certo che accade (nella misura in cui il bug sia considerato ad alta priorita' o meno ovviamente). Semplicemente il bug fix esce dopo, magari non esce proprio se viene giudicato non necessario o il testing sufficientemente esaustivo. E questa e' una politica di releasing migliore che rilasciare un bug fix appena scritto.

D'accordissimo, ma bisogna cmq darsi una scadenza.
Converrai con me che bug lasciati li' per anni non e' una politica di releasing poi cosi' buona.

[Wonder]

Quote:

Prima di replicare leggi cosa hanno scritto gli altri, magari ci fai più bella figura la prossima volta.

1- Ii leggo te perchè commento te, non gli altri. Sei tu che dici che fa figo. E gli altri, se li avessi letti, non credono che FF faccia figo.
2- Figura? Qui nessuna fa figure visto che tutti hanno decine di Nik diversi e personalità diverse. E poi che figura ci faccio a ribattere al fatto ceh secondo te FF fa figo? Ahahahah

[fek]

Quote:

Originariamente inviato da Cimmo

D'accordissimo, ma bisogna cmq darsi una scadenza.
Converrai con me che bug lasciati li' per anni non e' una politica di releasing poi cosi' buona.

Assolutamente si', e' una cosa molto intelligente avere scadenze di rilascio fisse, tipo ogni mese o ogni due mesi, di modo che il cliente possa pianificare gli upgrade in anticipo.

Riguardo a rilasciare o meno un bug fix e' una questione di valutazione di alcuni parametri. Ad esempio:

- il grado di confidenza nei testing che certifichino che il bug fix non abbia introdotto altri bug
- il grado di impatto del bug sul cliente (gravita' o meno, effettiva influenza del problema sul TCO del cliente)

Valutati questi parametri si puo' decidere se rilasciare il bug fix o meno. Date le condizioni al contorno, una delle due decisioni sara' sicuramente sensata.

Non e' sensato rilasciare un bug fix immediatamente senza o con pochissimo testing come in questo caso.

[Wonder]

Dai, casomai sono stati veloci perchè si erano dimenticati di tgliere un commento davanti ad una riga di codice senza la quale c'era il bug. lol

[fek]

Quote:

Originariamente inviato da Wonder

Dai, casomai sono stati veloci perchè si erano dimenticati di tgliere un commento davanti ad una riga di codice senza la quale c'era il bug. lol

Tu ci scherzi ma il 90% abbondante dei bug critici che ho risolto in anni di lavoro erano commentare una riga, o levare il commento da un'altra o aggiungere una riga di codice

[Cimmo]

Quote:

Originariamente inviato da fek

Non e' sensato rilasciare un bug fix immediatamente senza o con pochissimo testing come in questo caso.

Non lo so come ti ho detto dipende secondo me.
Ci sono bug di sicurezza gravi che coinvolgono UNA riga di codice e magari un UN solo controllo che mancava.
Non dico che non c'e' bisogno di testing, ma che il beta-testing non e' sempre lungo un tot fisso.
Ho provato ad andare a vedere i bug su bugzilla.mozilla.org ma l'accesso e' vietato tranne agli addetti ai lavori e ha anche un senso

[fek]

Quote:

Originariamente inviato da Cimmo

Non lo so come ti ho detto dipende secondo me.
Ci sono bug di sicurezza gravi che coinvolgono UNA riga di codice e magari un UN solo controllo che mancava.
Non dico che non c'e' bisogno di testing, ma che il beta-testing non e' sempre lungo un tot fisso.
Ho provato ad andare a vedere i bug su bugzilla.mozilla.org ma l'accesso e' vietato tranne agli addetti ai lavori e ha anche un senso

Invece il testing dovrebbe essere sempre lungo almeno un tot (e non solo un paio di giorni), soprattutto su codice usato da milioni di persone.

Ti racconto una storia. Allo stato di sviluppo in cui siamo ora qui, se io correggo un bug, che sia una riga di codice o piu' e' del tutto indifferente, e' indifferente se ho anche cambiato solo una stringa di un menu, il codice del quale sto per fare il check deve essere controllato da qualcun altro, deve essere sottoposto a testing sulla mia macchina, dopo sono autorizzato a fare il check in. Il mio fix, grave o meno che sia e' indifferente, deve essere poi testato dal dipartimento di testing e dopo due giorni viene rilasciato al resto del team di sviluppo. Questo per un prodotto non ancora uscito.

Figurati quali dovrebbero essere le politiche di testing per un prodotto rilasciato a milioni di utenti, ancora piu' draconiane delle nostre che sono gia' piuttosto rilassate.

Il problema qui e' che ogni riga di codice puo' potenzialmente inficiare tutto il sistema in maniera che non e' possibile prevedere in anticipo. Questo significa programmare, purtroppo il mondo non e' perfetto

[Cimmo]

Quote:

Originariamente inviato da fek

Invece il testing dovrebbe essere sempre lungo almeno un tot (e non solo un paio di giorni), soprattutto su codice usato da milioni di persone.

Da te quanto e' la durata minima di testing della patch?