| 1.1, yurkis (ok), 12:20, 25/01/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в хроме?
| | |
| |
| 2.2, Аноним (-), 12:33, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в хроме?
Третья или четвёртая, в прошлом году несколько точно было.
| | |
| 2.42, XoRe (ok), 22:55, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > Если я не ошибаюсь первая критическая уязвимость с удаленным выполнением кода в
> хроме?
Если не ошибаюсь, не первая.
Гугль платит деньги тем, кто находит ошибки в хроме.
Где-то 1-2 тыс $.
Они уже выплатили несколько десятков тысяч долларов.
Чемпионом является наш соотечественник, который понаходил дыр на 50 тыс долларов)
| | |
|
| |
| 2.6, Аноним (-), 13:49, 25/01/2012 [^] [^^] [^^^] [ответить]
| –5 +/– |
Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт, в том числе свободный, не является безопасным by design, и уж, тем более, не является более безопасным, нежели проприетарный.
| | |
| |
| 3.11, kuraga (ok), 13:55, 25/01/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Как математик говорю - вывод неверен ввиду неверного логического рассуждения :) Констатация факта изложена в новости, там ни слова о проприетарном софте.
| | |
| |
| 4.13, Аноним (-), 14:00, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> вывод неверен ввиду неверного логического рассуждения
Давайте не будем путать логические выводы с троллячими вбросами :)
Вброс, в отличие от рассуждения, может содержать лишь видимость логичности (см. софистика).
| | |
| 4.18, Ваня (??), 14:51, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
Т.е. как математик вы видите прямую связь между стоимостью продукта и количеством ошибок в нём?
| | |
| |
| 5.21, kuraga (ok), 15:07, 25/01/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Т.е. как математик вы видите прямую связь между стоимостью продукта и количеством
> ошибок в нём?
Прямую связь? Как математик? Никак нет. Как и не вижу опровержения этого.
| | |
| 5.24, ig0r (??), 15:15, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
Стоимость продукта отражает его качество, только не путайте стоимость продукта (которая может состоять не только из денег, но может измерятся в человекочасах и других ресурсах потраченных на изготовление продукта), и его цену (которая не всегда правильно отражает его стоимость).
| | |
| |
| 6.32, Аноним (-), 17:58, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> только не путайте стоимость продукта (которая может состоять не только из денег, но может измерятся в человекочасах
Человекочасы не всегда расходуются правильно. Они (как и другие ресурсы) часто уходят впустую, что совсем не улучшает качество продукта
| | |
| 6.37, Sem (ok), 20:14, 25/01/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Стоимость зачастую отражает не качество продукта, а наглость продавца.
| | |
| |
| 7.48, ig0r (??), 18:00, 26/01/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Стоимость зачастую отражает не качество продукта, а наглость продавца.
нет, это цена, может отражать наглость продавца.
| | |
|
| 6.39, arisu (ok), 20:50, 25/01/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Стоимость продукта отражает его качество
250 человек пол-года копали яму размером 5x5 метров. стоимость — ого-го. да и яма за пол-года превратилась в невесть что.
один человек за пол-дня выкопал такую же яму. стоимость — намного меньше. и не осыпалась.
итого, стоимость продукта действительно отражает качество: чем дешевле — тем качественней и быстрее.
| | |
| |
| 7.50, ig0r (??), 20:13, 26/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
в таком случае всё просто: ценность человекочаса одного пользователя превышает совокупную стоимость человекочасов 250 человек.
| | |
|
|
|
|
| 3.12, Аноним (-), 13:57, 25/01/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт,
> в том числе свободный, не является безопасным by design, и уж,
> тем более, не является более безопасным, нежели проприетарный.
Как раз тезис о более высокой безопасности свободного ПО по сравнению с проприетарным - блестяще подтверждается. Достаточно сравнить хромиум и IE :)
| | |
| |
| |
| 5.19, kuraga (ok), 14:59, 25/01/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Пруфлинк не вспомню, но факт очевидный - исправления к дырам в ИЕ выпускаются далеко не сразу после обнаружения, в отличие от опенсорс.
| | |
| |
| |
| 7.22, kuraga (ok), 15:09, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Тогда, я думаю, не так уж и "блестяще"... ;)
Пруфлинк-то? В блоге мозиллы, с графиками были :)
| | |
|
| 6.28, Аноним (-), 16:10, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Пруфлинк не вспомню, но факт очевидный - исправления к дырам в ИЕ
> выпускаются далеко не сразу после обнаружения, в отличие от опенсорс.
Далеко не все дыры в IE вообще закрываются. Один мой знакомый кидди как начал бэкдоры через дырку в IE7 засылать, так и до сих пор засылает, благо на IE8/9 тоже работает :)
| | |
| 6.35, Аноним (-), 18:37, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
ну да.. особенно это видно из недавней новости об уязвимости в ядре, в которой сразу же было три ссылки на эксплоиты, и обещания что в большинстве дистрибутивах это исправят скоро.
| | |
| |
| 7.36, Аноним (-), 18:45, 25/01/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> ну да.. особенно это видно из недавней новости об уязвимости в ядре, в которой сразу же было три ссылки на эксплоиты, и обещания что в большинстве дистрибутивах это исправят скоро.
И что характерно - таки исправили, в тот же день.
Вот когда такое происходит с проприетарным продуктом - вендор еще пару месяцев сидит с каменным лицом и делает вид, что все ок.
| | |
| 7.41, arisu (ok), 20:57, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> ну да.. особенно это видно из недавней новости об уязвимости в ядре,
> в которой сразу же было три ссылки на эксплоиты, и обещания
> что в большинстве дистрибутивах это исправят скоро.
и исправили. а для тех, кто не хочет ждать пакетов — и вовсе патч в LKML был доступен. не подскажешь, где список рассылки разработчиков ядра шиндошс, например? и как мне собрать новое ядро (или win32k.sys) со свежими патчами из системы контроля версий/списка рассылки? никак? вот то-то и оно.
| | |
|
|
|
|
| 3.43, XoRe (ok), 23:04, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Это всего лишь констатация факта (агрессивно отрицаемого сообществами), что никакой софт,
> в том числе свободный, не является безопасным by design, и уж,
> тем более, не является более безопасным, нежели проприетарный.
Качественно - да, дырки есть, естественно.
Тут спор, если и возможен, то на уровне троллинга)
Но эти вещи можно оценить количественно.
Например:
- количество выявляенных дыр в продукте всего;
- количество выявленных дыр в продуктах за какой-то период;
- количество взломов какого-то продукта изза его дыр;
- общая статистика взломов этого продукта;
- урон от дырок в денежном эквиваленте (да-да, его тоже можно попробовать подсчитать).
- и т.д.
Количественные показатели легче сравнивать.
Особенно, если их можно свести к денежному эквиваленту.
| | |
|
|
| 1.5, Аноним (-), 13:48, 25/01/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В программе для генерации надёжных паролей pwgen выявлена недоработка алгоритма, из-за которой примерно 6.5% из сгенерированных паролей легко восстанавливаются из хэша.
cat /dev/random | uuencode -m - | head -n2 | tail -c16 рулит :)
| | |
| |
| 2.8, Аноним (-), 13:50, 25/01/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> В программе для генерации надёжных паролей pwgen выявлена недоработка алгоритма, из-за которой примерно 6.5% из сгенерированных паролей легко восстанавливаются из хэша.
> cat /dev/random | uuencode -m - | head -n2 | tail -c16
> рулит :)
Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.
| | |
| |
| 3.10, Аноним (-), 13:55, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.
Так мы о стойкости хешей или о предсказуемости паролей?
| | |
| |
| 4.15, Аноним (-), 14:04, 25/01/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.
> Так мы о стойкости хешей или о предсказуемости паролей?
Непредсказуемый пароль взять нельзя, обладая достаточными ресурсами? При коллизионном хэше? Может, таки покуришь "Введение в криптографию"?
| | |
| |
| 5.29, Аноним (-), 16:13, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> При коллизионном хэше? Может, таки покуришь "Введение в криптографию"?
А в вашей версии "введения в криптографию" правда написано, что выбор метода генерации пароля однозначно определяет алгоритм, которым этот пароль впоследствии будет хэшироваться?
Отсыпьте и мне такого забористого, плз.
| | |
|
|
| 3.31, Аноним (-), 17:54, 25/01/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Если хэш коллизионный, то предложенное решение однозначно не рулит. Читать "Введение в криптографию" до просветления.
Когда хэш дырявый, никакой пароль не спасет.
Но в новости, все-таки, речь об особых паролях, которые можно вскрыть даже при стойком хеше.
| | |
|
|
|
