[FreeBSD] [crow at kapu.hu: Re: lil' exim format bug]

Adam Szilveszter sziszi at bsd.hu
2001. Jún. 15., P, 11:14:31 CEST


On Fri, Jun 15, 2001 at 10:53:41AM +0200, Pesics Be'la - The Independent wrote:
> > Exim adminok vigyazat. A FreeBSD portsban levo verzio asszem mar mintha
> > javitva lenne. (legalabbis atlagon feluli mennyiseget vacakoltak vele ma es
> > tegnap)
> > 
> > BTW ismeri valaki ezeket az arcokat?
> 
> meg a masik arcot is...> 

Melyik masikat? Kulonben a legutobbi "felvonasa" ennek a sztorinak
egyaltalan nem tetszett: crow kollega felhuzta az orrat amiert azt mertek
neki mondani, hogy igazan szolhatott volna a megfelelo user forumokon
eloszor mielott a BUGTRAQ-ra megy larmazni. Es kozolte, hogy jo akkor a
masik hibat nem kozli amit meg talaltak. Mit ne mondjak a ficko ezzel nalam
elasta magat. Elhiszem, hogy a fejlesztokkel dolgozni sokkal unalmasabb es
nem hoz annyi ismertseget, mint az, ha a BUGTRAQ-on te jelenthetsz be
valami ujat, de enelkul az egesz onceluva sot rosszabb: onzove valik.
Tovabb megyek: mig segiteni a hibakat kijavitani masoknak nemcsak, hogy nem
tilos, hanem meg kozszolgalat is lehet, addig hibakat keresni csak a sajat
hasznodra es azert, hogy meno arc legyel, minimum csunya dolog, maximum
pedig (blackhat-kedes, ha akar csak szandekozol is hasznalni a talaltakat
masok ellen) meg buntetendo is lehet. A kulonbseg mindossze az onhasznusag.

Orvendetes, hogy a securitynak ugy altalaban egyre nagyobb figyelmet
szentelnek, meg akkor is, ha tkp itt az alul fekvo "human interface"
limitacioi utkoznek ki ujra es ujra es meg nem is vagyok benne biztos, hogy
jo lenne, ha a vilag atalakulna olyanna, amilyen security szempontbol kene,
hogy legyen (ez pl azt jelentene, hogy az emberi kapcsolatokat
minimalizalni kellene, hisz senkiben nem lehet megbizni "untrusted input"
es ezert mindegyik egy potencialis veszelyforras) de ugyanakkor az ez az uj
tudatossag nem parosul azzal, hogy megertsek: itt nem a menozes a lenyeg.
Kb olyan ez, mintha valaki a tavol-keleti harcmuveszetekbol csak annyit ert
meg, hogy csihi-puhi, pedig egesz masrol van szo. 

(ld a nehany "security research" ceg akik mindossze annyit
csinalnak, hogy letoltenek shareware szerver progikat win95-re es aztan
megnezik, hogy mit csinal 5000 a betuvel a login promptnal es ezt nevezik
biztonsagi kutatasnak)

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *            



További információk a(z) BSD levelezőlistáról