LINUX.ORG.RU
ФорумTalks

Криптографический баг года

 ,


0

1

Это пример того, что:

  1. есть баги не менее серьезные, чем всякие переполнения буферов и «заплетания» потоков; и от таких багов никто кроме мозга не защитит;

  2. работает - не трожь;

  3. иметь на руках надо формальную модель, понимать поведение на граничных значениях; и уже потом говнокодить.

Итак, теперь к делу. В криптографической библиотеке оракловской Java нашли баг в проверке подписи ECDSA. Элементы подписи (r и s) необходимо проверять на нулевые значения, иначе математические операции над ними будут приводить к некорректному результату. В более древних версиях джавы был взят код на C++, и там, видимо, данное условие проверялось. В новом коде Java 15+ проверки уже нет. В результате с новыми версиями оракловской джавы можно любой сертификат сделать проверяемым, если тупо забить в r и s нули.

Багфикс от оракла уже готов.

https://www.theregister.com/2022/04/20/java_authentication_bug/

★★★★★
Ответ на: комментарий от firkax

Китайцы

Это не китайцы, это универсальный принцип любого сложного производства. Продукт делает качественным только длительная, сложная и дорогостоящая проверка - будь то софт или высокотехнологичный материальный предмет

vaddd ★☆
()
Ответ на: комментарий от vaddd

Кстати, на сколько я понял, конкретно данная проверка явно упомянута в соотв. стандарте для реализации данного алгоритма. Т.е. в данном случае фактически забили болт на стандарт.

С другой стороны, объем ресурсов, затрачиваемых на контроль качества должен быть пропорционален объему потенциального ущерба. Криптографическая библиотека в самом популярном прикладном ЯП - что может быть более рисковым?

seiken ★★★★★
() автор топика
Ответ на: комментарий от seiken

Наверное дело в том, что еще не сложилось системы ответственности, связанной с безопасностью софта. Машины, прежде чем разрешить продавать покупателю - тестируются и сертифицируются на стандарты безопасности при авариях, какие-нибудь электрочайники - на электробезопасность. Если что не так - фирма влетит по крупному. А уязвимости в софте - вроде как дело обычное, повседневное, даже не несущее особых репутационных рисков для производителя

vaddd ★☆
()
Ответ на: комментарий от vaddd

И не сложится. ПО - это сфера деятельности, специально созданная, чтобы можно было делать ошибки с минимумом ответственности. На счет репутации, тут же проблема в том, что рынок монополизован. Если бы вместо оракла была бы куча коммерчеких контор, каждая из которых продавала бы свои продукты со своей реализацией явы, можно было бы надеяться на божественную силу конкуренции. А если есть только один толстый капиталист и бесплатные опенсорс решения, у капиталиста всегда будет больше ресурсов на поддержание качества, чем у энтузиастов.

seiken ★★★★★
() автор топика
Последнее исправление: seiken (всего исправлений: 1)
Ответ на: комментарий от vaddd

Нет, это принцип производства мусора, освоенный китайцами и любимый бизнесменами за сокращение расходов методом впаривания потребителю мусора под видом продукта.

И дело тут не в проверках. Одно дело когда у тебя изредка возникают баги, по невнимательности или другим уважительным причинам, в ходе проверок они выявляются и исправляются. А другое - когда ты принципиально не рассматриваешь никакие сценарии использования твоего продукта, выходящие за рамки «при предполагаемых входных данных получаем предполагаемый результат», до тех пор, пока тебе не напишут угрозубагрепорт пострадавшие от твоего быдлокода. Оправданий такому методу разработки я не вижу никаких, и тех, кто их использует - следует отстранять от работы до пересдачи экзаменов на профпригодность.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Нет, это принцип производства мусора, освоенный китайцами и любимый бизнесменами за сокращение расходов методом впаривания потребителю мусора под видом продукта.

Ерунда. Задолго до китайцев это делали и в СССР и в штатах. Любая продукция выпускается с учетом требований заказчика. Поэтому для населения всегда будут делать доступную и недорогую продукцию, для спеццелей - дорогую, качественную и надежную.

Одно дело когда у тебя изредка возникают баги, по невнимательности или другим уважительным причинам, в ходе проверок они выявляются и исправляются. А другое - когда ты принципиально не рассматриваешь никакие сценарии использования твоего продукта, выходящие за рамки «при предполагаемых входных данных получаем предполагаемый результат», до тех пор, пока тебе не напишут угрозубагрепорт пострадавшие от твоего быдлокода.

Вы подросток-фантазер какой-то. Реальный мир не так устроен. В массовой бытовой продукции никто не будет проверять и учитывать все баги и вылизывать их - это нафиг никому не нужно и существует лишь в ваших мечтах. «Быдлокод» - это сознательное написание для соответствующей продукции. Фирма, вылизывающая ошибки пойдет по миру, потому что ее продукт может быть лишь очень дорогим.

Оправданий такому методу разработки я не вижу никаких, и тех, кто их использует - следует отстранять от работы до пересдачи экзаменов на профпригодность.

Ну прям дите малое )

vaddd ★☆
()
Ответ на: комментарий от vaddd

Мда, защитник вредителей.

Ещё раз: речь НЕ про исправление допущеных ошибок. Речь про культуру разработки. Вот чтобы не вдаваться в детали, возьмём на примере любимого быдлокодерами php.

Допустим, у нас есть веб-просмотрщик книги, показывающий её по одной странице. На сервере страницы хранятся в формате txt в отдельных файлах, например 123-я страница тут: /home/mysite/book_name/123. Веб-просмотрщик должен добавить вокруг собственно текста какое-то html-оформление и выдать результат. Веб-просмотрщику передаётся аргумент: название книги $name и номер страницы $page. Как рассуждает профнепригодный производитель мусора:

Нам на вход дают название книги и номер страницы, мы знаем как из них составить путь к файлу:

"/home/mysite/".$name."/".$page
прочтём его, дополнив оформлением, и выведем клиенту в браузер. Задача «вывести страницу» готова.

Итог - через этот скрипт можно читать любой файл на сервере, подставляя в $name и $page всякие "../../etc" и «passwd». В чём проблема? Задача же выполнена? При предполагаемых входных данных действительно получается предполагаемый результат - выводится страница. Только вот этого на самом деле недостаточно, в любую задачу по написанию публичного сервиса неявно входит «не выполнять никаких непредусмотренных действий ни при каких обстоятельствах». Действия «прочитать /etc/passwd» определённо не было предусмотрено. И узнать об этом надо было не по факту взлома (ну ладно, чтением не /etc/passwd а чего-нить другого, например лежащего рядом скрипта с паролями к базе) сайта, а с самого начала при проектировании продукта. Если нам надо прочитать файл с номером страницы из директории с названием книги, лежащей в /home/mysite/, то надо проверить, что мы подставляем туда

а) действительно название книги

б) действительно номер страницы

а не что угодно, что нам прислали. Нужно так же заранее понять, что если в названии книги будет / или книга называется "." или ".." то это к проблемам и такие ситуации тоже не допускать.

Если вышеописанная проблема дошла до «исправления ошибок» (пусть даже по результатам внутренних тестов в компании-разработчике), то разработчика (если это был не ученик) уже следует увольнять. Потому что этой проблемы изначально быть не должно.

-----------

А у китайцев с их бытовым хламом вот как: допустим, надо произвести вилку (столовый прибор). Что такое вилка? Штука с ручкой чтобы держать с одной стороны и 4 зубцами, чтобы втыкать в еду, с другой. Ещё надо сэкономить: ищем материал подешевле. Пробуем картон. Выглядит - удовлетворительно (ручка на месте, зубцы тоже), втыкание в еду - не получается. Ищем другой, заодно вспоминаем что обычно они металлические, иначе никто не купит. Берём силумин, массой (толщиной материала) поменьше чтобы сэкономить, да и кажется она так острее. Тест на втыкание к еду пройден, пускаем в производство. Итог: вилка выглядит как настоящая, её покупают, она ломается через неделю (или день). А что вы хотели? Держать в руке - можно, втыкать в еду - можно. Всё, задача выполнена. Про остальное китайца не спросили, он и не делал.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 5)
Ответ на: комментарий от firkax

Ой, сколько написали.

Речь про культуру разработки.

Вы можете сколько угодно топить за культуру разработки, но все упрется в реальность в виде себестоимости. Скажите, «культурные разработчики» по улицам ходят? Согласны на любую зп? Поэтому работодатель возьмет тех, кого найдет за скромную сумму и кто что-нибудь слепит как умеет, но быстро.

Ещё надо сэкономить: ищем материал подешевле

Первая от вас разумная мысль. Да, ищем подешевле. Потому что дорогую вилку, из приличной стали, чтобы и не гнулась и не ржавела - мало кто купит. А дешевую возьмут и в российскую глубинку, и в африканскую, и в провинциальный дом престарелых.

Итог: вилка выглядит как настоящая, её покупают, она ломается через неделю (или день)

А следующей вилкой уже привыкают пользоваться осторожнее. Исходите из результата - рынок потихоньку находит баланс между ценой, потребительскими качествами и надежностью. Производитель картонных вилок разорится, производитель вилок из благородного металла либо разорится, либо найдет нишу эксклюзива, а основной рынок достанется тем, кто научился делать более-менее терпимое, но недорого. С софтом все точно так же ) Ваша тяга к прекрасному в виде культуры разработки спросом не будет пользоваться, если вы будете просить слишком много и делать слишком долго. И если подобных вам на рынке труда будет мало. Для производства не существует культуры разработки как цели. Для него существует прибыль. И если говнокод побеждает - значит он выгоден. Все, мечты о прекрасном рухнули, столкнувшись об ограниченность ресурсов реального мира.

Мда, защитник вредителей.

скорее объяснятель того, как устроен мир )

vaddd ★☆
()
Ответ на: комментарий от firkax

Ну у Брукса знатный баг с нулевым счётом описан.

anc ★★★★★
()
Ответ на: комментарий от vaddd

основной рынок достанется тем, кто научился делать более-менее терпимое, но недорого. С софтом все точно так же

Увы, такая тенденция имеется, только оно не «терпмимое». Ну да, я в курсе что выгодно разводить покупателей, впаривая им барахло. Разводить вообще выгодно. Но если против частных разводил есть законы о мошенничестве, то против такого коммерческого разводилова, поставленного на поток, их либо нет, либо они не работают. А надо бы.

рынок потихоньку находит баланс между ценой, потребительскими качествами и надежностью.

Это не тот рынок, про который фантазируют всякие идеалисты. По факту у потребителей нет времени/желания/компетенции разбираться детально в предлагаемом рынком ассортименте и делать осознанный выбор. Если бы был - они бы купили вилку пусть и в 5 раз дороже, но жила бы она не неделю а 10 лет. Это ведь выгоднее во много раз. Но для этого надо проводить экспертизу (самостоятельно - чужой верить нельзя, т.к. её подкупят, это тоже выгоднее чем сделать качественный товар), а проведение экспертизы затратно и перечёркивает потенциальную выгоду от покупки качественного товара. Поэтому побеждают не хорошие производители, а успешные манипуляторы рынком. И это крайне плохо.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Ну да, я в курсе что выгодно разводить покупателей, впаривая им барахло. Разводить вообще выгодно.

Да не в разводе дело. А в конкуренции и недостатке ресурсов. Вот вы сидите, настроились на создание культурного продукта. А в это время директор узнает, что ему банк не продлил кредит, что китайцы уже выкинули на свой рынок похожий продукт. И он прибегает к вам «быстро все компилируй как есть!» И вы, как живой человек забываете врнуть на место проверку на ноль. Или вас, как лучшего работника месяца кидают на другой, более проблемный продукт, а ваш проект доделывает студень, которому и голову не пришло, что надо было еще проврить. Вот такая она, реальность. Это только в волшебном мире с розовыми понями работодатель говорит «ничего, не торопитесь, сделайте все тщательно, я нанял еще десять специалистов мирового уровня, они на всякий случай все перепроверят»

По факту у потребителей нет времени/желания/компетенции разбираться детально в предлагаемом рынком ассортименте и делать осознанный выбор

Среднему потребителю плевать. С багом столкнутся единицы процентов. Остальные 95 будут удовлетворены продуктом. И этого достаточно.

а проведение экспертизы затратно и перечёркивает потенциальную выгоду от покупки качественного товара.

По сути вы хотите, чтобы экспертизу заранее сделал производитель. А то, что это заметно повысит себестоимость продукта - как бы неважно, да?

vaddd ★☆
()
Ответ на: комментарий от vaddd

Фирма, вылизывающая ошибки пойдет по миру, потому что ее продукт может быть лишь очень дорогим.

и не нужным.

anc ★★★★★
()
Ответ на: комментарий от vaddd

Вы можете сколько угодно топить за культуру разработки, но все упрется в реальность в виде себестоимости. Скажите, «культурные разработчики» по улицам ходят? Согласны на любую зп? Поэтому работодатель возьмет тех, кого найдет за скромную сумму и кто что-нибудь слепит как умеет, но быстро.

Нет и да.
Нет - потому что разработка софта это не только про формошлепство.
Да - потому что разработка софта это и про формошлепство.

anc ★★★★★
()
Ответ на: комментарий от vaddd

По сути вы хотите, чтобы экспертизу заранее сделал производитель. А то, что это заметно повысит себестоимость продукта - как бы неважно, да?

Нет, не этого. Хотя это тоже было бы хорошо, и разово проведённая производителем экспертиза явно дешевле, чем сумма всех экспертиз, проведённых покупателями.

Тут дело в другом: покупатель вынужден проводить экспертизу не потому, что производитель просто не осилил хороший продукт, а потому, что производитель целенаправленно (в рамках снижения расходов) занижает его качество. Если сравнить итоговые затраты ресурсов, то производство качественного товара оказывается дешевле, чем производство некачественного + убытки (в т.ч. на возможную экспертизу), понесённые покупателями по причине его низкого качества. Казалось бы, почему общество стремится к менее выгодному (по сумме) второму варианту? А потому, что выбирает между ними производитель, и с его стороны они выглядят чуть по-другому: 1) я потрачу много; 2) я потрачу чуть меньше, другие потратят намного больше но мне на них плевать, т.к. мне они ничего предъявить не смогут.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Если сравнить итоговые затраты ресурсов, то производство качественного товара оказывается дешевле, чем производство некачественного + убытки (в т.ч. на возможную экспертизу),

Вы опять собрались погрузиться в мир розовых поней. Это сильно ложное утверждение. Рынок успешно находит баланс где-то посередине. Стопроцентно надежного, безошибочного продукта все равно не бывает. Потребитель голосует деньгами за то сочетание цены и багов, кооторое ему подходит. И производитель вынужден втискиваться в вашу цену.

Казалось бы, почему общество стремится к менее выгодному (по сумме) второму варианту?

Смешной вопрос. А почему вы покупаете не вылизанный и проверенный до последнего винтика роллс-ройс, а рено-лохань? Потому что он вам выгоднее, хотя и сделан более тяп-ляп, из более дешевых материалов.

А потому, что выбирает между ними производитель,

Нет, выбираете вы ) Ваша тяга к прекрасному требует рябчиков, но платить вы согласны только как за бройлеров. И другие тоже. Но они не выпендриваются, а понимают, что их претензии на околоидеальный продукт неуместны.

vaddd ★☆
()
Ответ на: комментарий от firkax

Не совсем верное изложение. «Никому не нужная вечная игла для примуса» (с)

anc ★★★★★
()
Ответ на: комментарий от vaddd

А почему вы покупаете не вылизанный и проверенный до последнего винтика роллс-ройс, а рено-лохань? Потому что он вам выгоднее, хотя и сделан более тяп-ляп, из более дешевых материалов.

Плохое сравнение. Ролс-ройс не выгоднее обществу по сумме, это чисто расходы на понты. И рено - не хлам. Оба авто приемлемого качества. Правильнее сравнить «почему вы покупаете рено а не мусорный бак с мотором, ведь и там и там есть 4 колеса, кузов и двигатель». Но тут у мусорного бака слишком явные недостатки уже на этапе первичного осмотра. А вот если обклеить его декорациями, чтобы выглядел похоже на настоящее авто - думаю найдутся лохипокупатели. Но тут вступает в дело государство - такое «авто» не допустят до эксплуатации на дорогах общего пользования, а если магаз будет внаглую врать и об этом - его уже посчитают мошенником. А на большинство товаров такого гос. контроля нет, поэтому и наглеют бизнесмены.

firkax ★★★★★
()
Ответ на: комментарий от vaddd

Нет, выбираете вы ) Ваша тяга к прекрасному требует рябчиков, но платить вы согласны только как за бройлеров. И другие тоже. Но они не выпендриваются, а понимают, что их претензии на околоидеальный продукт неуместны.

Хорошее сравнение. Дополню, думаю многим из нас так или иначе приходиться объяснять людям находящимся подальше от ИТ разницу как в железе так и в софте: «Вот эта хрень да, почти такая же, но лучше/хуже вот в этом, поэтому оно столько стоит» или «вот эта хрень по твоим запросам сто процентов такая же как и более дорогая».

anc ★★★★★
()
Ответ на: комментарий от firkax

Ролс-ройс не выгоднее обществу по сумме, это чисто расходы на понты

Нет, это цена качества. Качетсво достигается только за счет роста расходов, причем затраты растут фактически по экспоненте. Качественный товар может оказаться и в полтора раза дороже, и в пять, и в сто. Одна и та же электроника, сделанная для рынка и сделанная для космоса могут различаться в себестоимости как небо и земля. Примите это как аксимому и как можно скорее распрощайтесь со своей уверенностью, что качественный товар выгоднее.

А то получается что я спорю с вашей ни на чем не основанной убежденностью, а разубеждать верующего - последнее дело. Подумайте на досуге - как может выглядеть процесс улучшения качества в самых разных отраслях жизнедеятельности - за счет чего. Попробуйте это сопоставить с реальными финансовыми и человеческими возможностями на рынке. Программирование, медицина, машиностроение и так далее, что хотите.

vaddd ★☆
()
Ответ на: комментарий от vaddd

Качетсво достигается только за счет роста расходов, причем затраты растут фактически по экспоненте. Качественный товар может оказаться и в полтора раза дороже, и в пять, и в сто.

Понятие «качество» для одного и того же предмета может различаться. Например алюминиевая ложка. Как предмет для ежедневного использования в человейнике ну явно проигрывает по качеству такой же из нержавеющей стали. Однако для использования в походе она наоборот выигрывает у нержавейки.

anc ★★★★★
()
Ответ на: комментарий от vaddd

Не надо подменять понятия. Про некое качество само по себе речи не шло. Речь шла про производство мусора, замаскированного под пригодный продукт, и создающего в итоге расходы больше чем адекватная цена настоящего качественного продукта. Рено таковым, повторюсь, не является (хотя его цифровые прошивки - возможно, как и у роллс-ройса). Так что пример был не в тему.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Речь шла про производство мусора, замаскированного под пригодный продукт,

Его в реальности кот наплакал и ваши страдания на эту тему беспочвенны. А вот продукты относительно работоспособные, но низкого качества - сплошь и рядом.

vaddd ★☆
()
Ответ на: комментарий от vaddd

Речь шла про производство мусора, замаскированного под пригодный продукт,

Его в реальности кот наплакал и ваши страдания на эту тему беспочвенны.

«Его в реальности» чуть больше чем очень много. Если чуть глубже копнете рынок поднебесной то будете удивлены насколько его много.

anc ★★★★★
()
Ответ на: комментарий от vaddd

Вот такая она, реальность

Да, такой «хаос-менеджемент» сплошь и рядом встречается.

Что на самом деле печалит, расхолаживает и бывает, что доводит до выгорания.

vvn_black ★★★★★
()
Ответ на: комментарий от firkax

Но если против частных разводил есть законы о мошенничестве, то против такого коммерческого разводилова, поставленного на поток, их либо нет, либо они не работают.

в реальности Дед Мороз - дядька на зарплате, в НГ веселящий клиентов, а в остальное время обычный гражданин

А надо бы.

но в детских фантазиях Дед Мороз - волшебник, живущий где-то там в заснеженном лесу, делающий детям подарки, просто потому что добрый

seiken ★★★★★
() автор топика
Ответ на: комментарий от anc

Я не копаю рынок поднебесной специально на предмет явного дерьма. Но у меня уже около 1200 заказов на али и наверное 1180 из них вполне меня устроило по качеству. В Китае живут полтора миллиарда человек, потреблющих по большей мере китайскую продукцию. Что-то не так? Проще предположить, что вы несете чушь

vaddd ★☆
()
Ответ на: комментарий от vvn_black

Да, такой «хаос-менеджемент» сплошь и рядом встречается. Что на самом деле печалит, расхолаживает и бывает, что доводит до выгорания.

Согласен, в таких условиях работать - нужно иметь железные нервы. Но найти иное разве просто? Люди наверное для этого и пишут себе в кайф в свободное время опенсорс - когда никто не пинает и можно делать как нравится

vaddd ★☆
()
Ответ на: комментарий от vaddd

Одна и та же электроника, сделанная для рынка и сделанная для космоса могут различаться в себестоимости как небо и земля.

вообще говоря, в случае с ролс-ройсом, это тот же ширпотребный рынок, ничего специально космического в нем нет (среда эксплуатации же одинаковая как у ройса, так и у рено). Просто из ширпотребного выбирают не самое дешевое, как в электронике, так и в материалах салона. Что касается софта, чем он низкоуровневее и ближе к сенсорам и актуаторам, тем более простые там ОС и архитектуры, и тем проще это все проверять и верифицировать. Чем ближе к мумедии (вот эти все говноплееры и браузеры), тем сложнее ОС, тем больше вовлечено людей, тем больше там говнокодинга и тем сложнее поддерживать качество. Спец софт на нижнем уровне, контролирующий механизмы, более ответственнен, но и всяким обязательным стандартам - за счет простоты конструкции и наработанным методикам и инструментам разработки - проще соответствовать. А баги в мумедии можно фиксить еще пару лет после выхода на рынок.

seiken ★★★★★
() автор топика
Ответ на: комментарий от firkax

Ролс-ройс не выгоднее обществу по сумме, это чисто расходы на понты. И рено - не хлам. Оба авто приемлемого качества.

Оба авто ездят по дорогам. Просто на условный ройс тебе надо будет кредит в банке брать, и долгие годы расплачиваться, а на рено ты можешь быстро накопить и без всяких кредитов. И исходя из этого печального положения в социальной иерархии ты и определяешь дорогущий товар в категорию «понты». Но если убрать вопрос денег (как при покупке, так и в обслуживании), и предложить на выбор вот тебе ройс, а вот - рено. Рациональный человек выберет ройс, потому что там не только понты, а он реально удобнее, безопаснее, мощнее и фичастее.

seiken ★★★★★
() автор топика
Ответ на: комментарий от vaddd

Откуда такая категоричность: «дерьмо» ? Китайский рынок это не только белое и черное, там много градаций.

anc ★★★★★
()
Ответ на: комментарий от seiken

И исходя из этого печального положения в социальной иерархии ты и определяешь дорогущий товар в категорию «понты».

Интересно в какую категорию тогда поместить мерина обклеенного брюликами? :)

anc ★★★★★
()
Ответ на: комментарий от seiken

ничего специально космического в нем нет

В нем есть иной подход к качеству - индивидуальная проверка (только не ищите этому подтверждений или опровержений, речь об общих представлениях)

Просто из ширпотребного выбирают не самое дешевое, как в электронике, так и в материалах салона.

Это тоже борьба за качество. Как из горы советских транзисторов через многочисленные испытания отбирались самые надежные и на них ставились буквы «ВП» )

Спец софт на нижнем уровне, контролирующий механизмы, более ответственнен, но и всяким обязательным стандартам - за счет простоты конструкции и наработанным методикам и инструментам разработки - проще соответствовать

Любую продукцию можно считать качественной и отвечать за нее как за качественную только после того, как она прошла кучу самых разнообразных испытаний и проверок. А это неизбежно повышает ее себестоимость. Даже если речь идет о винтике или софте объемом в килобайт. Просто его проще проверять ) Но это все равно поднимет цену такого винтика или софта на порядок - если гонять его в самых разнообразных околограничных и заграничных условиях.

vaddd ★☆
()
Ответ на: комментарий от anc

Само собой. Но откровенного мусора, которого почему-то так боится мой собеседник - там также крайне мало. Откровенные мошенники не выживают на рынке. А вот работоспособные продукты разного уровня качества вовсю крутятся на рынке в поисках своей ниши и своего покупателя. Чудес же не бывает - «мы можем предложить вам товар быстро, дешево и качественно, вам остается лишь выбрать любые два из трех» :)

vaddd ★☆
()
Ответ на: комментарий от vaddd

Любую продукцию можно считать качественной и отвечать за нее как за качественную только после того, как она прошла кучу самых разнообразных испытаний и проверок.

так с этим я и не спорю. Просто неверны обе точки зрения: что самое дорогущее это обман и узаконенное жульничество, и что самое дорогущее - это какие-то принципиально иные технологии. На деле, грубо говоря если в производстве дешмана есть чел, который сконфигурировал файрвол, то в более дорогом этот файрвол с другой стороны проверили на возможность проникновения. Это очень грубый пример, но как-то так. И за счет этого второго чела, на з.п. которого нужно тратиться, и армии других тестеров, которых добавляют к команде экстенсивно, получается дорогущий товар.

seiken ★★★★★
() автор топика
Ответ на: комментарий от seiken

Ты в самом деле не понимаешь о чём речь или это троллинг такой?

Если ты будешь ездить на мусорном баке с мотором по общим дорогам, то ты довольно быстро попадёшь в дтп по причине выраженно неудовлетворительных его характеристик. Дтп - это ущерб, и он вполне может оказаться дороже как рено, так и ройса (если там летальный исход). Не говоря уж о том, что ехать он будет с неудовлетворительной скоростью и таким образом не выполнять свою первичную функцию.

Если же взять авто массового рынка (не обязательно даже рено, можно б/у жигули из 90-х, если они не убитые), то все они в целом выполняют свои функции и не создают явных угроз безопасности: у них не отваливаются колёса/руль/ещё что-то в ходе эксплуатации, кузов не рассыпается сам собой на части, руль поворачивает куда повернёшь, и т д. Да, какие-то авто качественнее и приятнее, какие-то наоборот, за качество придётся доплатить, но тебе не придётся доплачивать (получать ущерб) за последствия отсутствия базового качества (при использовании по назначению, разумеется если ты берёшь авто для экстремальных гонок по горам, то там и ройс будет неудовлетворительным, но он себя так и не позиционирует).

Вот тот уровень, где удобств ещё нет, но уже нет и явных гадостей - это нулевой уровень, ниже которого продукции вообще не должно существовать. А китайцы как раз систематически и массово производят ниже. И софт систематически и массово производят ниже (вот все эти отсутствия обязательных проверок например), но уже всем миром. И ещё раз повторю, по крайней мере с софтом - дело не в тестах, а в изначальной направленности произвести мусор.

firkax ★★★★★
()
Ответ на: комментарий от seiken

так с этим я и не спорю. Просто неверны обе точки зрения: что самое дорогущее это обман и узаконенное жульничество

Ты эту точку зрения сам придумал в этой теме и сам с ней споришь. Тут речь была об обратном: жульничество это «самое дешёвое», которое на деле оказывается не продуктом, а его визуальным имитатором (макетом). Ну или, в случае софта, прототипом.

На деле, грубо говоря если в производстве дешмана есть чел, который сконфигурировал файрвол, то в более дорогом этот файрвол с другой стороны проверили на возможность проникновения.

А ещё тебе могут нарисовать меню «файрвол», которое ни на что не влияет. Или с неработающими кнопками. То есть никто даже не пытался проверить что оно вообще работает.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от seiken

Просто неверны обе точки зрения

Так вроде никто и не настаивает на абсолюте ) Когда взрослый человек говорит взрослому «все бабы - дуры» - они оба понимают, что это художественное преувеличение и речь идет в лучшем случае о большинстве ) И только лоровский обитатель понимает это как «абсолютно все бабы - дуры» и начинает судорожно искать исключения чтобы возразить )

vaddd ★☆
()
Ответ на: комментарий от anc

Не знаю, я там их пока не покупал ) Из близкого купил недавно какую-то халявную андроид-коробочку для айпитиви - нормально

vaddd ★☆
()
Ответ на: комментарий от firkax

Тут речь была об обратном: жульничество это «самое дешёвое», которое на деле оказывается не продуктом, а его визуальным имитатором (макетом). Ну или, в случае софта, прототипом.

Мне по прежнему непонятно где и как вы умудряетесь находить откровенное жульничество уровня имитатора. А прототип - это сырое, но работоспособное ) Полноценный товар, так сказать

vaddd ★☆
()
Ответ на: комментарий от firkax

Если ты будешь ездить на мусорном баке

ты с темы на тему не скачи. Мой ответ был на твое:

Ролс-ройс не выгоднее обществу по сумме, это чисто расходы на понты.

так вот, ройс это не «чисто расходы на понты», это реально очень хорошее авто

А китайцы как раз систематически и массово производят ниже. И софт систематически и массово производят ниже (вот все эти отсутствия обязательных проверок например), но уже всем миром.

У тебя претензии конкретно к китайцам или к тому, что когда у тебя полтора миллиарда людей, удовлетворить их хотелки в той же степени, что и в случае с пятисотмилионным населением, не возможно?

И ещё раз повторю, по крайней мере с софтом - дело не в тестах, а в изначальной направленности произвести мусор.

Между желанием произвести мусор и развитием софта взаимообуславливающая связь. Я уже давно писал на этом форуме, что софт предназначен для того, чтобы быстрее и проще было делать ошибки. За счет массовости программирования можно подобрать специалистов из очень широкого диапазона навыков и способностей. Таким образом - в отличие от железа - можно более гибко управлять рисками. Т.е. это просто технический инструмент для управления рисками. То, что риски минимизируются и выбирается говенный ширпотреб - это не проблема софта, а проблема людей. Но это уже очень конкретный оффтопик на ЛОР, и вообще в большинстве обывательских тусовок.

А то, что тебе не по карману выбирать более качественный продукт - эту ситуацию можно же и с другой стороны описать. Это не «стали делать софтовое говно» для приличного человека, это приличный человек, на самом деле, тот же холоп, только живет подольше и условное говно месит в условных перчатках, а не голой рукой.

seiken ★★★★★
() автор топика
Последнее исправление: seiken (всего исправлений: 1)
Ответ на: комментарий от vaddd

А прототип - это сырое, но работоспособное ) Полноценный товар, так сказать

Есть маленький нюанс - если об этом не забыли рассказать покупателю. Так ведь за редчайшим исключением ни один сцуко-производитель не скажет откровенно, что мы дескать налабали что-то сырое, но работоспособное. Наоборот, будет утверждать, что у него супер-пупер самое рассамое все.

Раньше до какого-то времени косвенным индикатором служила цена. Она отчасти и сейчас служит, но чем далее, тем хуже. Нередки случаи, когда дорогой товар уже ничем не лучше и даже хуже более дешевого по качеству из-за большей сырости, а большая сырость из-за меньшей протестированности на потребителях

А так то, что говорит firkax выходит за рамки спора о качестве, это скорее спор об все более укореняющейся культуре лжи и отсутствия понятия чести, вернее его извращения до противоположного.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 2)
Ответ на: комментарий от praseodim

Есть маленький нюанс - если об этом не забыли рассказать покупателю.

Маркетинговые хитрости мы тут не рассматриваем. Этом в разной степени грешат все. Любой продукт - это по сути прототип, в ктором всегда найдется что усовершенствовать или исправить )

vaddd ★☆
()
Ответ на: комментарий от vaddd

Маркетинговые хитрости мы тут не рассматриваем.

В конечном итоге в них вся суть. Потому что если бы покупатели могли осмысленно выбирать между г-но, но дешево или качественно, но дорого, предмета для спора бы не было. Пример с вилками, кстати работает. Из силумина не знаю, чтобы их делали, но из пластмассы типа одноразовые (в принципе мыть и использовать несколько раз никто не запрещает) продают и их берут для ситуаций, когда из нержавеющей стали вилки неуместны, например, для походов куда-то или для корпоративов на рабочем месте.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Потому что если бы покупатели могли осмысленно выбирать между г-но

…то для этого нужно чтобы они были подкованы не хуже разработчиков и изготовителей ) Среднему потребителю достаточно мнения знакомых, отзывов в инете, репутации бренда и тд. Короче, не усложняйте )

vaddd ★☆
()
Ответ на: комментарий от seiken

вообще говоря, в случае с ролс-ройсом, это тот же ширпотребный рынок, ничего специально космического в нем нет (среда эксплуатации же одинаковая как у ройса, так и у рено).

Но материалы и производство(включая тестирование) могут отличаться. Согласитесь, что заглохшим рено никого не удивишь, а вот заглохший ройс на котором едет богатый буратина по репутации может ударить.

anc ★★★★★
()
Ответ на: комментарий от anc

Вы о чем? Что их красили в черный цвет? Это просто был какой-то период, когда корпуса полупроводников красили. Черные шли и в бытовуху. В моей «Селге» были черненькие п401, в старом телике выпрямитель на черненьких д7 )

vaddd ★☆
()
Ответ на: комментарий от anc

Но материалы и производство(включая тестирование) могут отличаться.

я как раз об этом. Вместо дешевой синтетики ставят кожу. Над эргономикой работают, новые виды манипуляторов изобретают, пусть даже это перепевы и комбинации давно известных решений - на дешмане и того нет.

seiken ★★★★★
() автор топика
Ответ на: комментарий от firkax

И ещё раз повторю, по крайней мере с софтом - дело не в тестах, а в изначальной направленности произвести мусор.

Баги всплывают даже там где изначальная направленность на качество и вроде всё протестировано по 100 миллионов раз.

anc ★★★★★
()
Ответ на: комментарий от vaddd

Это тоже борьба за качество. Как из горы советских транзисторов через многочисленные испытания отбирались самые надежные и на них ставились буквы «ВП» )

Емнип звездочка рисовалась, а не ВП.

praseodim ★★★★★
()
Ответ на: комментарий от vaddd

Возможно и так. Мне запомнились черненькие корпуса с белой звездой и букавками ВП.
ЗЫ Наморщил ум и кажется да, вы правы, вроде припоминаются варианты транзисторов где на сером звезда была черной краской нарисована. Точно же были, вспомнил. Вы правы, а я нет. :)

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от praseodim

Емнип звездочка рисовалась, а не ВП.

И то и то. Звезда и буквы ВП.

anc ★★★★★
()
Ответ на: комментарий от praseodim

Было и так и так ) Но «ВП» больше вошло в фольклор на эту тему ) Можно еще вспомнить микросхемы с буквой К и без нее, разновидности корпусов в золоте и без него и так далее )

vaddd ★☆
()
Ответ на: комментарий от vaddd

…то для этого нужно чтобы они были подкованы не хуже разработчиков и изготовителей ) Среднему потребителю достаточно мнения знакомых, отзывов в инете, репутации бренда и тд. Короче, не усложняйте )

Не обязательно, может быть и просто эрудиция выше так любимой маркетологами «средней домохозяйки», которой де-факто в их представлении положено быть лишь слегка умнее табуретки.

Самое главное другое - попытки донести правильный взгляд на продукцию очень не приветствуется лоерами производителей.

Не, пока ты в бложике что-то трындишь и по большому счету личные впечатления транслируешь это обычно внимание не привлекает, даже зачастую по принципу что негативное упоминание все-равно реклама (да и то слишком увлекаться не стоит), но попробуй например хорошее расследование г-на произвести без затирания названий товарных знаков, имен производителей и точным доказательством где и почему. Свести эти результаты в табличку и регулярно ее обновлять. Помимо значительных трат на такую деятельность, схлопочешь иски, если сразу не дойдет.

Такие попытки, например, по продуктам питания, я помню делались еще в нулевые, там еще были раскрыты истинные производители, то есть, что на каких конкретно заводах делается, любопытные зависимости получались. Что к примеру, несмотря на обилие марок и фирм, конечных бенефициаров у более, чем 95% еды буквально несколько на весь мир.

Закономерно сайт быстро пришлось прикрыть. Может и сейчас что-то есть, но просто так подобная инфа не нагугливается.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

Не обязательно, может быть и просто эрудиция выше так любимой маркетологами «средней домохозяйки»,

Этого обычно недостаточно. Вам может и хватит знаний понять смысл проблемы в каком-нибудь аппарате, но сам факт наличия этой проблемы, ее важность в реальных условиях можно оценить лишь при всей совокопуности производственных знаний. Например средний линуксоид может прочитать про какую-то уязвимость в ядре, понять в чем именно она заключается, но ее реальную опасность можно оценить лишь при системных знаниях. Да и выбора обычно особого нет, зная ппро ошибку в конкретном изделии вы от него откажетесь, но купите другой товар, в котором своя проблема лучше охраняется производителем ) Хотя конечно лишние знания никому не повредят )

Закономерно сайт быстро пришлось прикрыть. Может и сейчас что-то есть, но просто так подобная инфа не нагугливается.

Верно. Поэтому при выборе все равно приходится ограничиваться «набором домохозяйки», даже если вы специалист )

vaddd ★☆
()
Последнее исправление: vaddd (всего исправлений: 1)
Ответ на: комментарий от anc

И? Сколько повторять: мои претензии не к багам как таковым (ну то есть баги это плохо, но понятное дело бывают, у меня тоже), а к культуре их производства.

firkax ★★★★★
()
Ответ на: комментарий от vaddd

Поэтому при выборе все равно приходится ограничиваться «набором домохозяйки», даже если вы специалист )

Так в этом и суть зла, что скрывается информация. По продуктам питания она еще требуется к раскрытию и есть возможность хотя бы что-то совсем не устраивающее отсеивать таким образом. К примеру «растительное мясо», хотя вегетарианцы может наоборот выбирают такое. Хотя есть подозрение, что и тут лукавство.

А вот с силумином, мне например в голову не приходило, что оказывается сейчас полно сантехники из него. И нифига об этом не пишут на товаре.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

Так в этом и суть зла, что скрывается информация.

А как иначе то? ) Вы же когда устраиваетесь на работу, то в резюме и на собеседовании указывайте свои таланты и опыт, но умалчиваете о недостатках. Дамы одеваются так, чтобы подчеркнуть достоинства фигуры и спрятать огрехи ) Се ля ви.

vaddd ★☆
()
Ответ на: комментарий от firkax

Если бы был - они бы купили вилку пусть и в 5 раз дороже, но жила бы она не неделю а 10 лет.

Он есть. Вилки имеются на любой вкус и кошелек. А то, что ты выбираешь дешевые, описано тридцать лет назад Пратчеттом:

У человека, который может позволить себе выложить за пару башмаков целых пятьдесят долларов, ноги остаются сухими и через десять лет, тогда как бедняк, у которого просто нет денег и который покупает самую дешевую обувку, за тот же период времени тратит на башмаки сотню долларов — и все равно ходит с мокрыми ногами.

leave ★★★★★
()
Ответ на: комментарий от leave

Есть ещё «Я не настолько богат, чтобы покупать дешёвые вещи» (c) не знаю кто

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.