История изменений
Исправление CrX, (текущая версия) :
Да, некоторые - которые относятся к профессиональной области шифрования, например. И после проверок продукты считаются безопасными. А потом в них находят уязвимости. И? :-)
Что «И»? Находят, потом закрывают. Правильно делают.
Но практика показывает обратное :-)
Тут кроме фейспалма ответит нечего.
А, то есть, всё-таки, не всё ПО уж такое презумпно-виновное? :-)
Конечно всё. Просто для разного ПО нужны разные ограничения, а также разные способы и степень проверки. В зависимости от того, к чему оно вообще в принципе имеет доступ.
А браузер давно стал критическим компонентом системы? :-)
Для конечного пользователя это практически главный компонент в плане влияния на приватность и безопасность. В нём доступ ко всему, от истории просмотра порно до кукисов от банковского счёта.
Но в ядре постоянно находятся при этом уязвимости. А до того, как их нашли, вы пользуетесь ядром веря на слово говорящим глазам. :-)
Так то, что их находят, лишь подтверждает, что эти самые «тысячи глаз» работают. Хуже было бы, если бы не находили. Потому что уязвимости в достаточно сложном софте есть всегда. И в вашем браузере они тоже 100% есть, если не вами вставленные, то самим гуглом изначально.
Только мы говорили не только и не столько об уязвимостях, которые появляются ненамеренно, из-за ошибок в проектировании, сколько о том, что в данном случае мы вообще не знаем, что делает программа. От слова совсем.
А для браузера это тоже справедливо? :-)
Нет, блин, браузером мы не по интернету лазим, а по локалхосту. Что за вопросы? Естественно, справедливо.
Вы можете построить в ряд все свои программы, проверенные лично, говорящими глазами или никем, и всем им без исключения предъявить это обвинение. Оно будет совершенно обоснованно. Ведь вы понимаете, что в каждой из них есть невыявленная пока уязвимость? :-)
Во-первых, не в каждой. Среди них есть настолько простые, что там уязвимости взяться просто негде. Во-вторых, уязвимости — это одно, для них помимо самой программы требуется ещё какой-то актор, причём часто аж с локальным доступом, хотя бывает, что и удалённые уязвимости случаются, и это, конечно, печаль-беда; а когда есть бинарник, который вообще в принципе неизвестно, какие действия производит при запуске — это совершенно другое, это не уязвимость из-за бага, которую надо ещё дополнительно умудриться заюзать.
Практика. Практика говорит обратное.
В вашем вымышленном мире разве что.
И пока в протоколах шифрования RSA и SSL не обнаружена уязвимость, даже если ей уже 25 лет (https://www.cnews.ru/news/top/2023-10-19_chetvertvekovaya_uyazvimost), эти протоколы считаются безопасными. Будете спорить? :-)
И снова про уязвимости, и снова не имеет отношения к обсуждаемому вопросу.
Но даже здесь практика не «а фиг с ней, давайте дальше юзать, пофиг», а:
Исследователи Red Hat рекомендуют прекратить использовать стандарт RSA PKCS#1 v1.5 и запросить у вендоров альтернативные средства обеспечения обратной совместимости.
Что хотел этим примером показать…
Исходная версия CrX, :
Да, некоторые - которые относятся к профессиональной области шифрования, например. И после проверок продукты считаются безопасными. А потом в них находят уязвимости. И? :-)
Что «И»? Находят, потом закрывают. Правильно делают.
Но практика показывает обратное :-)
Тут кроме фейспалма ответит нечего.
А, то есть, всё-таки, не всё ПО уж такое презумпно-виновное? :-)
Конечно всё. Просто для разного ПО нужны разные ограничения, а также разные способы и степень проверки. В зависимости от того, к чему оно вообще в принципе имеет доступ.
А браузер давно стал критическим компонентом системы? :-)
Для конечного пользователя это практически главный компонент в плане влияния на приватность и безопасность. В нём доступ ко всему, от истории просмотра порно до кукисов от банковского счёта.
Но в ядре постоянно находятся при этом уязвимости. А до того, как их нашли, вы пользуетесь ядром веря на слово говорящим глазам. :-)
Так то, что их находят, лишь подтверждает, что эти самые «тысячи глаз» работают. Хуже было бы, если бы не находили. Потому что уязвимости в достаточно сложном софте есть всегда. И в вашем браузере они тоже 100% есть, если не вами вставленные, то самим гуглом изначально.
Только мы говорили не только и не столько об уязвимостях, которые появляются ненамеренно, из-за ошибок в проектировании, сколько о том, что в данном случае мы вообще не знаем, что делает программа. От слова совсем.
А для браузера это тоже справедливо? :-)
Нет, блин, браузером мы не по интернету лазим, а по локалхосту. Что за вопросы? Естественно, справедливо.
Вы можете построить в ряд все свои программы, проверенные лично, говорящими глазами или никем, и всем им без исключения предъявить это обвинение. Оно будет совершенно обоснованно. Ведь вы понимаете, что в каждой из них есть невыявленная пока уязвимость? :-)
Во-первых, не в каждой. Среди них есть настолько простые, что там уязвимости взяться просто негде. Во-вторых, уязвимости — это одно, для них помимо самой программы требуется ещё какой-то актор, причём часто аж с локальным доступом, хотя бывает, что и удалённые уязвимости случаются, и это, конечно, печаль-беда; а когда есть бинарник, который вообще в принципе неизвестно, какие действия производит при запуске — это совершенно другое, это не уязвимость из-за бага, которую надо ещё дополнительно умудриться заюзать.
Практика. Практика говорит обратное.
В вашем вымышленном мире разве что.
И пока в протоколах шифрования RSA и SSL не обнаружена уязвимость, даже если ей уже 25 лет (https://www.cnews.ru/news/top/2023-10-19_chetvertvekovaya_uyazvimost), эти протоколы считаются безопасными. Будете спорить? :-)
И снова про уязвимости, и снова не имеет отношения к обсуждаемому вопросу.