История изменений
Исправление LINUX-ORG-RU, (текущая версия) :
Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.
Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.
Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя.
Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.
Я тебя понимаю и даже согласен. Но, есть хотелки, а есть реальность. За безопасность кода отвечают тестировщики и пентестеры. А ответственны все, и кто создал и кто владеет и кто использует. Крайнего искать не надо, просто разная доля ответственности на каждом. И да хоть кто даёт гарантию безопастности на ПО я в жизни не видел такого, нигде.
Исправление LINUX-ORG-RU, :
Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.
Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.
Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя, в таких случаях нужна
Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.
Я тебя понимаю и даже согласен. Но, есть хотелки, а есть реальность. За безопасность кода отвечают тестировщики и пентестеры. А ответственны все, и кто создал и кто владеет и кто использует. Крайнего искать не надо, просто разная доля ответственности на каждом. И да хоть кто даёт гарантию безопастности на ПО я в жизни не видел такого, нигде.
Исправление LINUX-ORG-RU, :
Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.
Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.
Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя, в таких случаях нужна
Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.
Я тебя понимаю и даже согласен. Но, есть хотелки, а есть реальность. За безопасность кода отвечают тестировщики и пентестеры. А ответственны все, и кто создал и кто владеет и кто использует. Крайнего искать не надо, просто разная доля ответственности на каждом.
Исправление LINUX-ORG-RU, :
Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.
Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.
Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя, в таких случаях нужна
Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.
Исходная версия LINUX-ORG-RU, :
Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.
Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.
Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя, в таких случаях нужна
Безопасности не существует, есть только конкретные меры в конкретных ситуациях.