Кто там рассказывал про высокое качество разработки в Microsoft?

[dil]

Internet Explorer "substringData()" Memory Corruption Vulnerability.
Highly critical
System access
From remote

Microsoft DirectX MJPEG/SAMI File Processing Vulnerabilities
Highly critical
System access
From remote

Comments

[1master.livejournal.com]

Я прекрасно понял к чему это. Ошибка это плохо, никто не спорит. Но реальность такова, что НИКТО не умеет писать софт такого размера без ошибок. Реальность такова, что MS тратит просто бешеное количество денег, людей и времени на то, чтобы это число ошибок снижать, а их влияние сводить к минимуму. И поза "это каждому дураку известно" после того, как ошибка уже найдена, исправлена и показана публике, с технической точки зрения является довольно слабой.

[dil.livejournal.com]

реальность такова, что в продуктах Microsoft ДОФИГА ошибок. и объяснить их можно только используемой технологией программирования, свалить на 3d-party libraries никак не получится.
а тратить потом бешеное количество денег на исправление - похвально, конечно, но может, что-то в консерватории поменять надо?

[1master.livejournal.com]

Только это "дофига" почему-то меньше, чем у других. Как же тогда называется то, что в других местах?

[dil.livejournal.com]

"меньше, чем у других" - это крайне спорное утверждение. лично мне кажется, что больше, чем у других.
но спорить я на эту тему больше не хочу, статистика - вещь очень гибкая.

[1master.livejournal.com]

О да. Когда тебе показывают, что securityfocus это не самый лучший источник, то лучше если окажется, что гибкая :) Хотя мне почему-то кажется, что это всего лишь фиговый источник, который кто-то поленился проверить :)

[dil.livejournal.com]

покажи другой. только, пожалуйста, не на сайте разработчика. и не со списком рекомендаций, а со списком обнаруженных ошибок.

[1master.livejournal.com]

С каких это пор сообщения типа "overflow flaw was found in" стали рекомендациями?

[olegart.livejournal.com]

Рекомендациями хакерам, конечно же.

[dil.livejournal.com]

и если внимательно посмотреть, то ошибки эти обнаруживает по большей части не сам Microsoft. Он их только исправляет.

[1master.livejournal.com]

Я правильно понимаю, что ты сравниваешь с опенсорсом? Сможешь показать, что там непосредственный разработчик находит больше ошибок, чем внешние люди, или будешь рассуждать в стиле, раз любой может посмотреть в код, значит любой считается разработчиком?

[dil.livejournal.com]

это я к "после того, как ошибка уже найдена, исправлена и показана публике".
заслуга майкрософта здесь только в "исправлена". не вижу причин хвалиться тем, что на это тратятся бешеные деньги.

[1master.livejournal.com]

Нет, извини. Ты что-то сказал про "по большей части". Покажи уж место, где соотношение лучше, интересно же.

[dil.livejournal.com]

я что-то говорил про лучшее соотношение в обнаружении ошибок?
я говорил о том, кто обнаруживает ошибки в продуктах майкрософта.
для сегодняшних двух случаев это был не майкрософт: http://www.zerodayinitiative.com/advisories/ZDI-08-039/
и http://securitytracker.com/alerts/2008/Jun/1020222.html, соответственно.

[1master.livejournal.com]

Да. Вот здесь (http://dil.livejournal.com/662332.html?thread=3973436#t3973436) ты говоришь, что MS что-то делает не так. Это означает, что есть примеры, когда в сравнимых случаях делают правильно. Дальше ты говоришь (http://dil.livejournal.com/662332.html?thread=3973692#t3973692), что ошибки по большей части находит не MS, значит есть случаи, когда соотношение лучше. Я о таких случаях не очень осведомлен, но предполагаю, что ты знаешь о чем говоришь.

Можно говорить о безопасности и разработке, а можно о "ложечки нашлись, но осадочек остался". Я предполагаю, что тебе интересна разработка и безопасность, а не второй вариант, поэтому стараюсь вести беседу в хоть как-то измеряемых величинах.