November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Кто там рассказывал про высокое качество разработки в Microsoft?

dil: (Default)
[personal profile] dil
Thursday, June 12th, 2008 08:37 am
Internet Explorer "substringData()" Memory Corruption Vulnerability.
Highly critical
System access
From remote

Microsoft DirectX MJPEG/SAMI File Processing Vulnerabilities
Highly critical
System access
From remote
Tags:
Flat | Top-Level Comments Only

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 09:26 am (UTC)
А в чем проблема то? Ты знаешь компании, которые не делают ошибок? Или ты бы предпочел, чтобы тебе про них ничего не сообщали?

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 09:39 am (UTC)
Не, никаких проблем.
Это я вот к этому: http://dz.livejournal.com/458085.html?thread=7995493&format=light#t7995493

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 10:03 am (UTC)
Я прекрасно понял к чему это. Ошибка это плохо, никто не спорит. Но реальность такова, что НИКТО не умеет писать софт такого размера без ошибок. Реальность такова, что MS тратит просто бешеное количество денег, людей и времени на то, чтобы это число ошибок снижать, а их влияние сводить к минимуму. И поза "это каждому дураку известно" после того, как ошибка уже найдена, исправлена и показана публике, с технической точки зрения является довольно слабой.

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 10:11 am (UTC)
реальность такова, что в продуктах Microsoft ДОФИГА ошибок. и объяснить их можно только используемой технологией программирования, свалить на 3d-party libraries никак не получится.
а тратить потом бешеное количество денег на исправление - похвально, конечно, но может, что-то в консерватории поменять надо?

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 02:34 pm (UTC)
Только это "дофига" почему-то меньше, чем у других. Как же тогда называется то, что в других местах?

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 02:57 pm (UTC)
"меньше, чем у других" - это крайне спорное утверждение. лично мне кажется, что больше, чем у других.
но спорить я на эту тему больше не хочу, статистика - вещь очень гибкая.

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 03:03 pm (UTC)
О да. Когда тебе показывают, что securityfocus это не самый лучший источник, то лучше если окажется, что гибкая :) Хотя мне почему-то кажется, что это всего лишь фиговый источник, который кто-то поленился проверить :)

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 03:08 pm (UTC)
покажи другой. только, пожалуйста, не на сайте разработчика. и не со списком рекомендаций, а со списком обнаруженных ошибок.

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 03:30 pm (UTC)
С каких это пор сообщения типа "overflow flaw was found in" стали рекомендациями?

[identity profile] olegart.livejournal.com
Thursday, June 12th, 2008 04:09 pm (UTC)
Рекомендациями хакерам, конечно же.

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 10:13 am (UTC)
и если внимательно посмотреть, то ошибки эти обнаруживает по большей части не сам Microsoft. Он их только исправляет.

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 02:37 pm (UTC)
Я правильно понимаю, что ты сравниваешь с опенсорсом? Сможешь показать, что там непосредственный разработчик находит больше ошибок, чем внешние люди, или будешь рассуждать в стиле, раз любой может посмотреть в код, значит любой считается разработчиком?

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 02:54 pm (UTC)
это я к "после того, как ошибка уже найдена, исправлена и показана публике".
заслуга майкрософта здесь только в "исправлена". не вижу причин хвалиться тем, что на это тратятся бешеные деньги.

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 03:00 pm (UTC)
Нет, извини. Ты что-то сказал про "по большей части". Покажи уж место, где соотношение лучше, интересно же.

[identity profile] dil.livejournal.com
Thursday, June 12th, 2008 03:13 pm (UTC)
я что-то говорил про лучшее соотношение в обнаружении ошибок?
я говорил о том, кто обнаруживает ошибки в продуктах майкрософта.
для сегодняшних двух случаев это был не майкрософт: http://www.zerodayinitiative.com/advisories/ZDI-08-039/
и http://securitytracker.com/alerts/2008/Jun/1020222.html, соответственно.

[identity profile] 1master.livejournal.com
Thursday, June 12th, 2008 03:36 pm (UTC)
Да. Вот здесь (http://dil.livejournal.com/662332.html?thread=3973436#t3973436) ты говоришь, что MS что-то делает не так. Это означает, что есть примеры, когда в сравнимых случаях делают правильно. Дальше ты говоришь (http://dil.livejournal.com/662332.html?thread=3973692#t3973692), что ошибки по большей части находит не MS, значит есть случаи, когда соотношение лучше. Я о таких случаях не очень осведомлен, но предполагаю, что ты знаешь о чем говоришь.

Можно говорить о безопасности и разработке, а можно о "ложечки нашлись, но осадочек остался". Я предполагаю, что тебе интересна разработка и безопасность, а не второй вариант, поэтому стараюсь вести беседу в хоть как-то измеряемых величинах.

[identity profile] k-g-b.livejournal.com
Saturday, June 14th, 2008 04:40 pm (UTC)
Dil ЗАЕБАЛ! Пшёл нах из фредлеты. Был интересен, когда был коструктивен. Сейчас - понос фекалий.

[identity profile] dil.livejournal.com
Sunday, June 15th, 2008 08:42 am (UTC)
Правда, обидно читать, когда любимая компания постоянно обсирается, а возразить нечего?
;)
Flat | Top-Level Comments Only