| Вопрос: Почему Windows менее безопасен, чем Linux | Добавлено: 05.05.07 00:41 |
Автор вопроса:  Sharp | Web-сайт: sharpc.livejournal.com | ICQ: 216865379 |
| Ответы | Всего ответов: 30 |
|
Номер ответа: 16 Автор ответа:  Sharp Лидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #16 | Добавлено: 06.05.07 19:08 |
| Еще раз внимательно прочитай вот эту фразу "The more system calls, the greater potential for vulnerability". Эксперт по безопасности считает как раз наоборот. | ||
|
Номер ответа: 17 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #17 | Добавлено: 06.05.07 23:32 |
| "The more system calls, the greater potential for vulnerability" тю ну почему я должен верить этой фразе? Я уважаю экспера, не являюсь феном МС итп итд... Но причём системные вызовы к безопасности? Может быть идеальное приложение, с несколькими сис. вызовами.. и где в виндовых библиотеках будет уязвимость - все приложение, а то и вся система будет уязвима. А может быть наоборот, миллион сис вызовов но в них всё ок и в приложении всё ок - ничего небудет, система будет безопасная. Так что я тебе могу тоже ещё рах повторить: когда показывают код в котором уязвимость и объесняют почему, демонстируют итп.. и на основании этого делают вывод о том что система уязвима - это да, спору нет. Но когда показывают паутину сис вызовов, и говорят что сис язявима потому что их много - я считаю это не правильно. Я может и не настолько компитентен как тот эксперт, но это ж имхо как 2+2+Икс_у_бабушки - вся фигня короче ))) | ||
|
Номер ответа: 18 Автор ответа: ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #18 | Добавлено: 07.05.07 03:06 |
|
Еще раз внимательно прочитай вот эту фразу "The more system calls, the greater potential for vulnerability". Эксперт по безопасности считает как раз наоборот.
Читай внимательней в другом источнике (этот топик, пост №9: "Труднее обеспечить безопасность - это не значит, что безопасность ниже." Эксперт по безопасности считает именно так. А еще один эксперт считает так: "Любая безопасность всегда упирается в человека". А Сенека считает: "ссылка на авторитет - не есть довод". |
||
|
Номер ответа: 19 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #19 | Добавлено: 07.05.07 04:33 |
|
Ну с апологетами MS-то все понятно, они будут отмазываться, вилять и уворачиваться даже если ситуация будет очевидна.
Но любой уважающий себя программист должен понимать, что чем запутаннее структура кода, чем сложнее иерархия классов и вызовов, тем больше у кода потенциальных проблем. Clear code - secure code. Если код представляет собой мешанину вызовов, надежно защитить его существенно сложнее. Уязвимость - это не что-то такое, что становится уязвимостью только тогда, когда ее найдут. Она существует независимо от хакеров. Труднее обеспечить безопасность - это не значит, что безопасность ниже
Уже ответил. Любая безопасность всегда упирается в человека
В nix-системах это действительно так. В винде же до пользователя дело обычно не доходит. ссылка на авторитет - не есть довод
В частности, ссылка на Сенеку тоже. |
||
|
Номер ответа: 20 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #20 | Добавлено: 07.05.07 23:25 |
|
Ну Sharp, сложность кода и иерахия классов зависит от функционала...
Давай тогда так: чем система функциональнее - тем она больше уязвима. |
||
|
Номер ответа: 21 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #21 | Добавлено: 08.05.07 02:03 |
| Приведи коренные отличия функциональности Apache на Linux и IIS на Windows. Сложность кода и иерархия нелинейно связана с функционалом. Можно написать код а ля IOCCC, который будет выводить одну строку, и будет абсолютно непонятен и жутко сложен, а можно написать большую программу так, что не возникнет ни одного сложного места. Очевидно, что если системы написаны с одной сложностью, то уязвимее будет та, которая больше. | ||
|
Номер ответа: 22 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #22 | Добавлено: 08.05.07 03:20 |
|
Сложность кода и иерархия нелинейно связана с функционалом Но пропорционально... И то сложность кода != иеархия классов или ещё чего-то там...
можно написать большую программу так, что не возникнет ни одного сложного места
можно.. а вот написать программу большую без большой иеархии классов имхо криво, т.к. программирование стремится из процедурного в ООП. Поэтому давай чётко отличать "сложное место" и иерахию объектов. Без сложных мест написать можно большую программу, а без иеархии нет. Точнее можно, но это будет процедурное программирование, что в принципе неправильно, ООП рулит, покрайнемере если мы говорим о больших программах... Так вот кол-во системных вызовов как раз зависит не от сложных мест, а от этой самой иерахии. И можно с уверенностью сказать, что в IIS напичкано больше всего, чем в апач. Другой разговор о необходимости этой напичканости  Вот собственно поэтому я считаю, что кол-во системных вызовов (аля сложность той паутины) никак не объясняет безопасность той, или другой системы.
|
||
|
Номер ответа: 23 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #23 | Добавлено: 08.05.07 10:15 |
|
Чо курил-то? Поделись забористой травой.
Почитай про принцип Оккама. Если МОЖНО обойтись простым графом вызовов и простой иерархией без потери функциональности, это НУЖНО делать, иначе сопровождение и обеспечение безопасности становится намного сложнее. Если ты вдруг не в курсе, КАЖДЫЙ вызов нужно тестировать, т.к. КАЖДЫЙ вызов может привести к проблемам. Больше вызовов - больше потенциала для появления дырок. А поскольку никакого хитрого колдунства у МС для избегания появления дырок там, где они могут появиться (практика показывает, что у них есть колдунство наоборот) нету, поэтому они и появляются в таких местах. Чем больше на одежде потертостей, тем в больших местах она порвется при нагрузке. Чем больше в программе межобъектных взаимодействий, тем больше в ней потенциальных уязвимостей. |
||
|
Номер ответа: 24 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #24 | Добавлено: 08.05.07 18:44 |
|
Чем больше в программе межобъектных взаимодействий, тем больше в ней потенциальных уязвимостей.
Ну вот, а я бы сказал по другому: ... тем труднее обеспечить безопасность. Поэтому дальнейший спор о том кто что курит не имеет никакого значения
|
||
|
Номер ответа: 25 Автор ответа:  ПавелАдминистратор ICQ: 326066673 Вопросов: 368 Ответов: 5968 |
Web-сайт: Профиль | | #25 | Добавлено: 08.05.07 18:51 |
|
Напоминает преподов в ВУЗах. Когда они что-то на доске доказывают,
надо вывести выражение Б из выражения А, а они не знают, как это сделать, то тупят несколько секунд, а потом говорят "... нетрудно доказать, что из А следует Б ..." и пишут свою мантру дальше. |
||
|
Номер ответа: 26 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #26 | Добавлено: 09.05.07 05:42 |
| По какой причине труднее обеспечить безопасность? Печатать тяжелее, что ли? Или за спинами появляются маленькие чертята, которые отвлекают? Нет! А потому, что каждый вызов - это потенциальная уязвимость, каждый вызов нужно тщательно проверить, отдебажить, хорошенько подумать, что может прийти туда на вход, а что не может, и все ли сделано для того, чтобы то, что туда придет, не вызвало сбой программы. | ||
|
Номер ответа: 27 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #27 | Добавлено: 09.05.07 06:22 |
|
Сам ответил на свой же вопрос
По какой причине труднее обеспечить безопасность?
каждый вызов нужно тщательно проверить, отдебажить, хорошенько подумать, что может прийти туда на вход, а что не может, и все ли сделано для того, чтобы то, что туда придет, не вызвало сбой программы.
Если всё предусмотреть, то никаких уязвимостях нет, т.е. Чем больше в программе межобъектных взаимодействий, тем больше в ней потенциальных уязвимостей. Будет неправильное утверждение.
Соответственно Чем больше в программе межобъектных взаимодействий, тем труднее обеспечить безопасность в самый раз
|
||
|
Номер ответа: 28 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #28 | Добавлено: 09.05.07 10:56 |
| Больших программ без ошибок не существует. Самым безошибочным кодом в мире считается бортовое ПО шаттлов - около 1 ошибки на 10 тысяч строк кода. Разработкой такого софта занимается особое подразделение IBM. В Windows больше 30 миллионов строк кода, а программисты Microsoft абсолютно не котируются рядом с этими ребятами из IBM, тем более, что у них и цели такой не стоит - все ошибки выловить. | ||
|
Номер ответа: 29 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #29 | Добавлено: 09.05.07 10:59 |
|
Самым безошибочным кодом в мире считается бортовое ПО шаттлов - около 1 ошибки на 10 тысяч строк кода. Разработкой такого софта занимается особое подразделение IBM.
Откуда инфа? |
||
|
Номер ответа: 30 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #30 | Добавлено: 09.05.07 12:45 |
| Из Яндекса | ||