Мозилловцы - редиски?

0

0

http://my.opera.com/desktopteam/blog/2008/02/14/9-26-coming-soon

Для Ъ: Mozilla notified us of one security issue ( :) ) the day before they published their public advisory ( :| ). They did not wait for us to come back with an ETA for a fix: they kept their bug reports containing the details of the exploits closed to the public for a few days, and now opened most of them to everybody ( :( ).

Opera is as always committed to not only protecting its users, but to making the Web a safe place. We believe in responsible disclosure of vulnerabilities affecting several vendors.

Ссылка

←	[ЖЖ][Вещества] аутентификация через гитарку.

Евросоюз разрабатывает собственную файлообменную сеть

→

>http://my.opera.com

Ну а чего ты ожидал там вычитать? :)

SplindeR ★
(20.02.08 23:32:44 MSK)

обсуждали

troorl ★★
(20.02.08 23:34:25 MSK)

Ответ на: комментарий от SplindeR 20.02.08 23:32:44 MSK

>Ну а чего ты ожидал там вычитать? :)

Собственно, по линку изложены голые факты, которые похрен где запощены - мозилловцы выложили сплойты до появления багфикса. Как то это совсем не Ъ.

Ramen ★★★★
(20.02.08 23:36:18 MSK) автор топика

Ссылка

Ответ на: комментарий от troorl 20.02.08 23:34:25 MSK

Линк?

Ramen ★★★★
(20.02.08 23:38:39 MSK) автор топика

Ответ на: комментарий от Ramen 20.02.08 23:38:39 MSK

Открой глаза да ниже проскроллируй.

shimon ★★★★★
(20.02.08 23:46:26 MSK)

Ответ на: комментарий от shimon 20.02.08 23:46:26 MSK

Вижу тред Opera 9.26 Final, там конкретно это не обсуждалось.

Ramen ★★★★
(20.02.08 23:51:10 MSK) автор топика

LOR превращается в какую-то свалку, которую никто не читает, но все туда сбрасывают всякую хрень, даже если эта хрень там уже есть.

В общем прежде чем писать (хотя писать вы не умеете, а умеете делать только Copy-Past), научитесь сперва читать.

anonymous
(20.02.08 23:59:51 MSK)

Ссылка

Да. В данном конретном случае они поступили не красиво.

smh ★★★
(21.02.08 00:03:24 MSK)

Ссылка

Ramen, у вас, видимо, раздвоение личности. Ваша вторая личность копипастила здесь: http://www.linux.org.ru/view-message.jsp?msgid=2514702.

anonymous
(21.02.08 00:03:53 MSK)

Ссылка

Ответ на: комментарий от Ramen 20.02.08 23:51:10 MSK

http://www.linux.org.ru/view-message.jsp?msgid=2514702

overmind88 ★★★★★
(21.02.08 00:05:23 MSK)

Ответ на: комментарий от overmind88 21.02.08 00:05:23 MSK

Таки слепой, да. Пардон-с.

Модеры, удалите дубль, а то уже "access denied".

Ramen ★★★★
(21.02.08 00:37:26 MSK) автор топика

Ссылка

http://www.linux.org.ru/view-message.jsp?msgid=2514702

anonymous
(21.02.08 03:00:25 MSK)

Ссылка

я не понимаю что не так сделали мозиловцы? может им еще и конк и сафари и MS IE подождать? Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Если информацию скрыть, пользователь может пострадать от злоумышленников пребывая под впечатлением мнимой безопасности.

cobold ★★★★★
(21.02.08 03:17:36 MSK)

[:\/\/\/\/\/\/\/\/\/\/\/\:]

Demon37 ★★★★
(21.02.08 07:07:08 MSK)

Ссылка

Ответ на: комментарий от cobold 21.02.08 03:17:36 MSK

> Этот пример как раз показывает преимущество Free Software над проприетарщиной - как только опубликована информация о уязвимости пользователь имеет возможность: 1) отказаться от использования уязвимого ПО; 2) отказаться от некоторого функционала ПО в реализации которого допущен просчет; 3) запатчить уязвимость самостоятельно(сколько угодно криво и костыльно по мнению профессиональных разработчиков)

Суровый админ локалхоста? (с) Сколько лет патчили раскладку клавы в ФФ да так и не допатчили...

DNA_Seq ★★☆☆☆
(21.02.08 07:36:35 MSK)

Ответ на: комментарий от DNA_Seq 21.02.08 07:36:35 MSK

таки допатчили похоже :)

chicane ★
(21.02.08 08:29:18 MSK)

Ссылка

А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

robot12 ★★★★★
(21.02.08 08:52:32 MSK)

Ответ на: комментарий от DNA_Seq 21.02.08 07:36:35 MSK

неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Если Вы руководствуясь подходом "я не знаю про уязвимость, значит ее нет" "одмините" что-то кроме локалхоста... чтож сочувствую.

cobold ★★★★★
(21.02.08 09:23:59 MSK)

Ответ на: комментарий от robot12 21.02.08 08:52:32 MSK

> А что такого ??? написано же "notified us of one security issue the day before they published their public advisory" операм не хватило дня ? Второй абзац - полная чушь.

Такого вот здесь что: когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

smh ★★★
(21.02.08 12:46:18 MSK)

Ответ на: комментарий от smh 21.02.08 12:46:18 MSK

>когда находят уязвимость в софте, old school хакеры публикуют информацию об уязвимости одновременно с официальным выпуском патча.

это не относится к говнопроприетарщине

geek ★★★
(21.02.08 12:53:31 MSK)

Ответ на: комментарий от geek 21.02.08 12:53:31 MSK

> это не относится к говнопроприетарщине

Потому что это закрытый софт? Смешно. Это не уважение во первых к себе, ну а потом уже к другим. Впрочем, да, сейчас такие времена, "нападать со спины" модно.

smh ★★★
(21.02.08 13:17:36 MSK)

Ссылка

Ответ на: комментарий от geek 21.02.08 12:53:31 MSK

Смысл в том, что есть два более-менее этичных и распространённых варианта:

1. Сразу всё опубликовать.

2. Сообщить разработчикам всех затронутых браузеров, опубликовать позже.

А здесь другой сценарий. Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

anonymfus ★★★★
(21.02.08 13:20:43 MSK)

Ответ на: комментарий от anonymfus 21.02.08 13:20:43 MSK

>Вначале разработчики фокса починили уязвимость у себя, и только потом опубликовали. Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

неэтично тырить опенсорсный код вместе с багами =)

geek ★★★
(21.02.08 13:29:32 MSK)

Ответ на: комментарий от geek 21.02.08 13:29:32 MSK

Ты описание уязвимости смотрел? Причём тут код вообще:

>When a user types into a file input, scripts can cause some of the keystrokes to be ignored. If the script can convince the user that they are typing into a normal text input, and not let them see that their keystrokes are being ignored, it can cause the input to point to known file paths on the user's computer. The file can then be uploaded without user interaction.

Эта уязвимость, так сказать, в понимании спецификации. И, кстати, для того, чтобы её найти, исходный код, очевидно, не использовался.

anonymfus ★★★★
(21.02.08 13:46:40 MSK)

Ссылка

Ответ на: комментарий от geek 21.02.08 13:29:32 MSK

> неэтично тырить опенсорсный код вместе с багами =)

О дааа... Так Опера и тырит код мозиллы! Ха-ха-ха! :-D Смешно! :-D :-D :-D Все ясно... Говорить здесь больше не о чем.

smh ★★★
(21.02.08 14:57:50 MSK)

Ссылка

Ответ на: комментарий от anonymfus 21.02.08 13:20:43 MSK

>Это неэтично с любой стороны, потому что ставит разработчиков в неравное положение.

Это заявление неэтично с любой стороны, потому что ставит разработчиков в равное положение, ибо ,AFAIK, Opera не OpenSource, а Mozilla Opensource...

botrops-schlegelii ★★
(21.02.08 17:43:46 MSK)

Ссылка

Ответ на: комментарий от cobold 21.02.08 09:23:59 MSK

>неудачный пример. раскладка - это баг в функциональности, но никак не уязвимость. и вспомните, когда появился рабочий патч, а когда появился extension решающий эту проблему конкретно для русского языка. да костыль, но вам шашечки или ехать?

Хинт в том что никто не знает где находится код, "ответственный" за баг и это при наличии исходников.

ЗЫ Не поню чтоб критическая уязвимость в Опере не исправлялась в течении 2х минорных версий... Это к вопросу оперативности исправления.

DNA_Seq ★★☆☆☆
(21.02.08 19:53:04 MSK)

Ссылка

Ответ на: комментарий от geek 21.02.08 13:29:32 MSK

>неэтично тырить опенсорсный код вместе с багами =)

А доказательства тыренья кода есть? Если одна и та же бага присутствует в похожих продуктах это отнуюдь не значит что тырили код, проблема может быть в самой спецификации или в реализации прослоек для совместимости

DNA_Seq ★★☆☆☆
(21.02.08 19:55:04 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[ЖЖ][Вещества] аутентификация через гитарку.

Talks

Евросоюз разрабатывает собственную файлообменную сеть

→

Похожие темы