Mozilla Firefox e Thunderbird attenzione a Javascript

esatto poi tu prendi i 2 file diversi e li confronti e partendo dai valori esadecimeli differenti vai a ricavare quale punto della funzione viene modificata e anche come questo viene fatto, poi vai a concentrare la tua analisi su quel punto specifico e alla fine trovi la falla.

se qualcuno ha trovato il bug senza sapere dove cercare pensa che con la patch hai il bit esatto di dove trovarlo, e poi oramai ci sono persino dei tool utilizzati dagli hacker che fanno queste operazioni in automatico.

Nell'ultimo incontro con la MS che ho avuto per una conferenza sulla sicurezza è stato stimato che il tempo per eseguire questa analisi sulle patch da 3 anni a questa parte e passato da circa 1 mese a 1 settimana. Quindi quando vengono rilascite le patch è meglio aggiornere il pc in fretta e non attendere 6 mesi per poi lamentarsi del blocco del pc.

Fai bene a dirlo, ma dovresti anche essere coerente con te stesso.

Come saprai benissimo "statisticamente" al mondo mangiano tutti... ma poi in realtà qualcuno mangia troppo e qualcuno non mangia. Informaticamente parlando possiamo dire che al mondo c'è gente che sa programmare e gente che non sa programmare (come te probabilmente e molti altri). La prima tipologia di cui ho parlato sono quelli che nel post precedente ho definito "programmatori degni di tale nome". Certo un errore può sfuggire a tutti... ma sicuramente non le migliaia di bug che ci sono in alcuni programmi "fatti col deretano"

P.S.
Sono studente di ingegneria informatica e programmo da quando avevo 13 anni

Ah ok... in questo senso si, hai perfettamente ragione

Firefox si aggiorna parzialmente solo dalla versione 1.5 in poi. Chi ha la 1.0.7 deve scaricarsi tutto il pacchetto. Oggi ho aggiornato su 5 pc diversi (da w2k a xp e xp pro) dalla 1.5 alla 1.5.0.1 e mi ha scaricato solo il necessario senza problemi.

io programmo da quando ne avevo 6 (su un m20 dell'olivetti prima, poi zx81, spectrum 48k, commodore 64, e così via), ora ne ho 28 e faccio quello di mestiere, e per la mia esperienza (ho una mia attività ti dirò che gli ingegneri informatici son quelli che ne capiscono di meno, pur essendo convinti di saperne di più "perchè gliel'ha detto il superprofessore" o "perchè avevano appena fatto quell'esame"...

con questo voglio dire che le credenziali di cui ti vanti possono funzionare da indicazione nel mondo lavorativo, ma qui ci si confronta sugli argomenti, non su chi ce l'ha più lungo... quindi, se devi dire la tua sull'argomento, benissimo, se devi dire perchè dovresti essere più accreditato dell'altro a parlare puoi anche farne a meno, anche perchè se volessi entrare in questa logica dovresti stare sempre zitto, dato che questo forum è frequentato da programmatori di software house molto importanti (non sto parlando di me, beninteso)...

tornando agli argomenti, non ho capito il riferimento ai vorrei "programmi fatti del deretano": di quali software stai parlando?

due cose, dimmi che ne dici:
1) è anche concepibile l'impiego misto di codice managed e non managed, riservando il secondo agli algoritmi che vengono chiamati più spesso e che conseguentemente devono essere più prestanti?
2) indipendentemente dall'os mi sembra che il maggior numero di bug "pericolosi" (quali i buffer overflow) non riguarda il kernel (che comunque è la parte più curata e conseguentemente meno bacata dell'os) ma gli strati successivi, dai quali comunque si può prendere il controllo della macchina... inoltre, un bug a livello kernel può servire più che altro nell'attacco che viene lanciato dall'interno della macchina stessa (ad esempio per acquisire i privilegi di root in un server) piuttosto che quelli effettuati da remoto, che di fatto oggigiorno sono i pericoli maggiori - per lo meno per le masse

Guardate che nn che ci sono più falle per firefox. Ci son sempre stati miglioramenti di sicurezza... E' solo che non si capisce il perchè su hwupgrade si son messi a raccontarci tutti i prob di sicurezza di questo software. E' strano perchè non è un sito di sicurezza. E' strano perchè hanno evitato del tutto di segnalare problemi pesantissimi di IE, di quelli con exploit pubblico. Forse i problemi di ie non fanno più notizia, o forse semplicemente lo danno per morto. Forse non si ricordano che l'unico motivo per usare firefox è la libertà, mica perchè è più sicuro di ie. Non mi piace questo. Semmai c'è da chiedersi perchè Mozilla Foundation non patcha i problemi uno per volta e li tiene nascosti. Perchè stanno sacrificando così tanto per guadagnare quote di mercato? Chissenefrega di avere il 20% o il 30%, è un software libero! Si deve preoccupare di dare libertà alla gente che la vuole, gli altri meglio che usino opera.

1 si è applicabile soprattutto in c++ ma sinceramente non ho esempi se questo è stato fatto in vista
2 hai ragione ma per livello basso io comprendo tutti i componenti che fanno di collegamento dal SO al mondo esterno quindi oltre ai driver e il kernel anche tutti i servizi di rete tcp l'RPC ecc. E tutti questi sicuramente non saranno managed code, per ora di 100% managed code sarà solo l'infrastuttura WinFX (indigo ,avalon)

Diamine hai avuto un'infanzia difficile allora Ma soprattutto nessuno te l'ha chiesto dato che "qui ci si confronta sugli argomenti, non su chi ce l'ha più lungo"

Sicuramente non tutti gli ingegneri informatici sono delle cime (nel mio corso ci sono individui un po' di tutti i generi) e per questo ho aggiunto che programmo da quando avevo 13 anni E questo non lo dico "perchè c'è l'ho più lungo", ma per rispondere alle insinuazioni stupide ed infantili del Sig. ultimo arrivato e fargli comprendere la propria inettitudine quando afferma che "il massimo che avrei fatto sarebbe stato stampare gli elementi di un array"

Detto questo, una piccola precisazione. Quando si nomina la parola "ingegnere" (in generale) si scatena generalmente una certa "ostilità" data probabilmente da un recondito senso di invidia. Ti assicuro che se ha avuto docenti validi e se è davvero appassionato a quello che fa, un ingegnere (informatico, ma non solo) possiede un background di conoscenza e di modo di applicare questa conoscenza che gli permette di operare in maniera davvero efficace, innovativa, efficiente... ingegneristica Poi ovviamente vengono insegnate le "basi" e resta ad ogni individuo sviluppare le proprie conoscenze...

Francamente dai programmatori di quale "software house molto importante" sia frequentato questo forum mi interessa ben poco (considerando il livello qualitativo medio del software delle "software house molto importanti" in circolazione e considerando anche il titolo di studio medio - premesso che la persona più in gamba e competente che conosca è un semplice "perito informatico" - e le capacità di molti loro dipendenti). Quindi vale lo stesso discorso che hai fatto tu per gli "ingegneri informatici", non bastano le "credenziali", ci sono i fatti... e per l'appunto sono qua, disponibile a rispondere su ogni "fatto"

Ritornando sul discorso Con "programmi fatti col deretano" intendo un vastissimo numero di software, tra cui Windows stesso (spero che la situazione sia migliorata, ma non se se hai avuto occasione di leggere il pezzo di codice di Windows 2000 che era stato leakato un paio d'anni fa... era davvero impressionante - in negativo -).

L'overhead presente nei programmi scritti in determinati linguaggi di programmazione (C# etc.) è principalmente dovuto al fatto che non sono compilati in "codice nativo" ma vengono "interpretati" dalla varie virtual machine (.NET VM, JVM etc.). Per fare quello che dici tu dovresti avere un eseguibile parzialmente "interpretato" e parzialmente compilato in codice nativo (per le parti più "performanti", cosa credo poco fattibile.

Oppure (e questo è fattibile) puoi avere un programma scritto in managed code e linkare delle librerie dinamiche esterne compilate in codice nativo