The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Анализ уязвимостей за последние 25 лет"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ уязвимостей за последние 25 лет"  +/
Сообщение от opennews (?), 04-Мрт-13, 12:54 
Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (http://www.sourcefire.com/25yearsofvulns)  (PDF (https://ae.rsaconference.com/US13/connect/fileDownload/sessi...)) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (http://cve.mitre.org/about/index.html) (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (http://nvd.nist.gov/) (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST).


Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста интенсивности выявления уязвимостей:

<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire1... src="http://www.opennet.dev/opennews/pics_base/0_1362383404.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>


При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:


<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire2... src="http://www.opennet.dev/opennews/pics_base/0_1362383659.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>


Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:

<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire3... src="http://www.opennet.dev/opennews/pics_base/0_1362384562.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>


При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:

<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire4... src="http://www.opennet.dev/opennews/pics_base/0_1362384758.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>


Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточно проверки входных данных.


<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire6... src="http://www.opennet.dev/opennews/pics_base/0_1362385148.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>


При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается ядро Linux, но вероятно это опечатка, так как к данной категории отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной строкой, в то время как системы подобные Windows и Mac OS X были учтены с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).


При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.


URL: http://www.itwire.com/business-it-news/security/58927-25-yea...
Новость: http://www.opennet.dev/opennews/art.shtml?num=36287

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "Анализ уязвимостей за последние 25 лет"  +2 +/
Сообщение от Константавр (ok), 04-Мрт-13, 13:04 
Просмотрел PDF и не понял, из чего автор новости сделал заключение в последнем абзаце? Или это где-то ещё упоминается? В графиках по уязвимостям в пдфке упоминается ядро отдельно и в одном графике рассматриваются дистрибутивы, а Вы откуда взяли этот список -"для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752"?

А на счёт графиков уязвимостей - на странице 25 (в пдфке) в графике критических уязвимостей вдруг исчезают все продукты Microsoft, это как? У них критических уязвимостей нет или информация не распространяется? Зайти на секюрлаб - так там каждую неделю по критической уязвимости, то в интернет эксплорере, то в других продуктах

Ответить | Правка | Наверх | Cообщить модератору

7. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 13:15 
> Просмотрел PDF и не понял, из чего автор новости сделал заключение в последнем абзаце? Или это где-то ещё упоминается?

По ссылке в выводах написано "If we account for unique CVEs for every possible version of Windows excluding the mobile ones (that's a total of 13 versions), we get a total of 1114 vulnerabilities in Windows. For Mac OS, which has three versions (including X and the previous Mac OS iterations), we get a total of 827. Of course these vulnerabilities in Windows and Mac OS are not solely in the kernel. Doing the same for Linux as Windows (by adding the unique CVEs assigned to major vendors like Ubuntu and Red Hat), we get a total of 1752 vulnerabilities."

> В графиках по уязвимостям в пдфке упоминается ядро отдельно и в одном графике рассматриваются дистрибутивы, а Вы откуда взяли этот список -"для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752"?

Там три отдельных графика для Windows, Mac OS X и Linux. Если просуммировать данные на них получим эти цифры.

Ответить | Правка | Наверх | Cообщить модератору

10. "Анализ уязвимостей за последние 25 лет"  +28 +/
Сообщение от pavlinux (ok), 04-Мрт-13, 13:18 
> В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS X

Хоть где-то Microsoft ПЕРВЫЕ.
Я думал всё, пипец, пропадает фирма, ан-не, смотри-ка, даже лидируют.
  :D

Ответить | Правка | Наверх | Cообщить модератору

20. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Аноным (ok), 04-Мрт-13, 13:50 
Ну да, 95% всех домашних юзверей и огромное число организаций на Виндусе, совсем пропала МС.
Ответить | Правка | Наверх | Cообщить модератору

23. "Анализ уязвимостей за последние 25 лет"  +8 +/
Сообщение от ВовкаОсиист (ok), 04-Мрт-13, 14:24 
Угу, большинство которых насилует труп хрюши.
Ответить | Правка | Наверх | Cообщить модератору

25. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от anonymous (??), 04-Мрт-13, 14:27 
> Угу, большинство которых насилует труп хрюши.

Зоонекрофилия какая-то… Хоть не педофилия, и то ладно.

Ответить | Правка | Наверх | Cообщить модератору

32. "Анализ уязвимостей за последние 25 лет"  +5 +/
Сообщение от ананим (?), 04-Мрт-13, 14:52 
важно другое — мс те деньги то уже съела и забыла как они пахнут.
а получать новые теперь только и может через оем и насильно внедрённые зонды.
Ответить | Правка | Наверх | Cообщить модератору

50. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Аноним (-), 04-Мрт-13, 17:02 
Хрюша поросенок
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

44. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от qux (ok), 04-Мрт-13, 15:44 
Откуда инфа? По миру у ХР уже меньше четверти.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

46. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от ананим (?), 04-Мрт-13, 15:47 
там вон в вальве виста прыгнула вверх по последним отчётам.
а какая разница за что именно (за хп или за висту) мс не получает денег?
Ответить | Правка | Наверх | Cообщить модератору

59. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от qux (ok), 04-Мрт-13, 18:39 
Кстати да, я не по цифрам Valve смотрел, а у них ХР вообще < 10%. Логично, учитывая политику с новыми DirectX.

К разнице, это больше к тому, кому отвечал. Лояльность юзеров ХР он переоценил.

Ответить | Правка | Наверх | Cообщить модератору

75. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от TbIK (ok), 04-Мрт-13, 23:03 
Сомнительно. Дело в том, что есть куча старого железа, которое ещё чертыхается и жадный босс не собирается апгрэйдить. Причём тырнета там нет. Как такие посчитать? (всякие склады, небольшие фирмочки, да любая шарашкина контора!)
Сам пересел на семёрку совсем недавно и то мелкософт за яйца притянула - VS2012 захачили так, что идёт только на семёрке.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

86. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от qux (ok), 05-Мрт-13, 14:07 
Это уже область гаданий, на каких системах доступа в интернет меньше. ХР эту задачу тянет не хуже 7й, поэтому имхо вопрос не стоит внимания.

Вот все так потихоньку и пересаживаются, кому VS, кому DX, у кого железо под ХР не поддерживается... Еще через пару лет будет в роли ИЕ6, там, где совсем грустно.

Ответить | Правка | Наверх | Cообщить модератору

30. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от ананим (?), 04-Мрт-13, 14:50 
Зато санки наконец менее уязвимы, чем линух.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

34. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 15:20 
> Зато санки наконец менее уязвимы, чем линух.

Всегда так было. Удивлен? Ты вообще-то в глаза Солярис хоть раз видал, не в телевизоре?

Ответить | Правка | Наверх | Cообщить модератору

41. "Анализ уязвимостей за последние 25 лет"  +2 +/
Сообщение от ананим (?), 04-Мрт-13, 15:37 
~15 лет админил.

ps;
ты график то смотри, саночник смотрящий. (бобслеем теперь занимаешься?)
в нём соляра только в 2005 то вверх и прыгнула (когда на её открытие бум случился).

Ответить | Правка | Наверх | Cообщить модератору

45. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от ананим (?), 04-Мрт-13, 15:44 
pps
>A Security Vulnerability in Solaris 10 ICMP Handling May Allow a SystemPanic and Result in Denial of Service (DoS)

http://download.oracle.com/sunalerts/1000299.1.html
в 2007 Solaris 10 от пинга падала в SystemPanic.

Ответить | Правка | Наверх | Cообщить модератору

77. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Михрютка (ok), 04-Мрт-13, 23:18 
бум случился не на "открытие", а немного раньше. когда санфайры на оптеронах в народ пошли.

это я к тому, что винду ломали и ломают обычно безо всяких исходников.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

85. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от ананим (?), 05-Мрт-13, 12:58 
Более того, и уязвимостей у неё больше.
Это я к тому, что и санки также — см. график.
Ответить | Правка | Наверх | Cообщить модератору

87. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Михрютка (ok), 05-Мрт-13, 15:02 
> Более того, и уязвимостей у неё больше.
> Это я к тому, что и санки также — см. график.

"Ну правильно, Петька, я же старше"(С)

Ответить | Правка | Наверх | Cообщить модератору

51. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Sergey722 (ok), 04-Мрт-13, 17:17 
>>Ты вообще-то в глаза Солярис хоть раз видал, не в телевизоре?

А Солярис теперь ставят и на телевизоры, ух ты!!!

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

70. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 22:20 
> Я думал всё, пипец, пропадает фирма, ан-не, смотри-ка, даже лидируют.

Предлагаю им срочно выпустить Get The Facts с описанием лидирующего положения в индустрии :)

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от тоже Анонимemail (ok), 04-Мрт-13, 13:23 
Занимательная геометрия: смотрим последний "тортик" и визуально сравниваем размеры сегментов MS, Apple и IBM. А потом смотрим на цифры.
Зато 3D, все дела...
Ответить | Правка | Наверх | Cообщить модератору

14. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от Ч (?), 04-Мрт-13, 13:27 
А что не так?
Ответить | Правка | Наверх | Cообщить модератору

21. "Анализ уязвимостей за последние 25 лет"  +6 +/
Сообщение от тоже Анонимemail (ok), 04-Мрт-13, 14:15 
Площадь сегмента MS на экране практически равна площади сегмента IBM. При различии в цифрах вдвое. Наклон и перспектива искажают визуальное восприятие, что для статистики недопустимо.
Так делают только в отчетах, где статистику "припудривают". В данном случае вряд ли добивались такого эффекта, просто не подумали головой.
Ответить | Правка | Наверх | Cообщить модератору

33. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 15:14 
Какое "почти"?! Угол между гранями у MS в два раза больше, чем у IBM, поэтому сектор большой.
Как вы смотрите на график?
Ответить | Правка | Наверх | Cообщить модератору

40. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от тоже Анонимemail (ok), 04-Мрт-13, 15:35 
Повторяю: НА ЭКРАНЕ. Попробуйте открыть эту картинку в графическом редакторе и наложить один сегмент на другой.
Ответить | Правка | Наверх | Cообщить модератору

53. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Sergey722 (ok), 04-Мрт-13, 17:25 
Он прав. Сложите два сектора IBM & Oracle (получившиеся цифры примерно как у МС) и сравните получившийся сектор с МСовским. Чисто психологически он кажется значительно больше. При этом да, всегда можно сказать: "да вы посмотрите на углы"...
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

56. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от тоже Анонимemail (ok), 04-Мрт-13, 18:16 
А толстый слой 3D визуально увеличивает три ближайших сектора еще раза в полтора.
Подозреваю, что этот же "пирожок", повернутый на ~150 градусов вокруг вертикальной оси, залил бы пол-картинки MS-овским цветом.
Ответить | Правка | Наверх | Cообщить модератору

12. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 13:26 
По сути какой-то практический смысл имеет только последний график. Остальное - только ка предмет холивара - см., например, что выше из себя IMHO выдал методом нажатия коленки на живот.

Еще обращаю внимание на маленькую цифру - 3% численные ошибки - на графике №4. Это не ошибки безопасности - это программа неправильно считает: к примеру широко известные ошибки в продукте Microsoft Excel. Что, грубо говоря, исключает возможность его использования.

Ответить | Правка | Наверх | Cообщить модератору

13. "Анализ уязвимостей за последние 25 лет"  –4 +/
Сообщение от Аноним (-), 04-Мрт-13, 13:26 
Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнул
Ответить | Правка | Наверх | Cообщить модератору

15. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 13:36 
> Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнул

Тогда данные о проприетарных продуктах бы не предоставляли.Что прикольно-нету
*BSD систем.

Ответить | Правка | Наверх | Cообщить модератору

17. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Анонимовец (?), 04-Мрт-13, 13:44 
Болезни разве изучают по трупам?
Ответить | Правка | Наверх | Cообщить модератору

19. "Анализ уязвимостей за последние 25 лет"  +13 +/
Сообщение от исчо_адын_аноним (?), 04-Мрт-13, 13:49 
> Болезни разве изучают по трупам?

Паталогоанотомия - самая точная и развитая облать медицины. Ваш К.О

Ответить | Правка | Наверх | Cообщить модератору

65. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от AlexAT (ok), 04-Мрт-13, 20:34 
Неуловимый Джо :)
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

60. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от XoRe (ok), 04-Мрт-13, 18:52 
> Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнул

Вообще-то Linux в отчете смотрится очень хорошо.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

67. "Анализ уязвимостей за последние 25 лет"  +3 +/
Сообщение от Аноним (-), 04-Мрт-13, 20:59 
Windows в отчете смотрится недостаточно плохо.
Ответить | Правка | Наверх | Cообщить модератору

18. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от Olegemail (??), 04-Мрт-13, 13:45 
Ну что, этого и следовало ожидать - превращение программирования в ремесло, при помощи различных сред разработки типа Delphi и Builder радикально сократило количество квалифицированных программистов и увеличило число колхозников - с подходом чтобы работало. А как результат - сплошь дыры в софте.
Ответить | Правка | Наверх | Cообщить модератору

26. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от anonymous (??), 04-Мрт-13, 14:30 
> Ну что, этого и следовало ожидать - превращение программирования в ремесло, при
> помощи различных сред разработки типа Delphi и Builder радикально сократило количество
> квалифицированных программистов и увеличило число колхозников - с подходом чтобы работало.
> А как результат - сплошь дыры в софте.

А среды-то, померли.

Ответить | Правка | Наверх | Cообщить модератору

28. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 14:39 
Ты простым и понятным языком выразил то, о чем я давно думал ))) Ты прав, понакидают компонентов на форму и в onClick запрограммируют поведение... вот и весь их софт.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

76. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от angra (ok), 04-Мрт-13, 23:12 
А слона(тенденцию к снижению количества уязвимостей) то ты и не приметил
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

22. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от ананим (?), 04-Мрт-13, 14:22 
> Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году 

Экономический кризис, чО.
Промышленный шпионаж был недофинансирован.

Ответить | Правка | Наверх | Cообщить модератору

61. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от XoRe (ok), 04-Мрт-13, 18:54 
>> Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году 

В 2006-2007 вышла виста.
В 2011-2012 вышла семерка.

Ответить | Правка | Наверх | Cообщить модератору

24. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 14:24 
> Of course these vulnerabilities in Windows and Mac OS are not solely in the kernel. Doing the same for Linux as Windows (by adding the unique CVEs assigned to major vendors like Ubuntu and Red Hat), we get a total of 1752 vulnerabilities."
> а для Linux - 1752 (были учтены уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.

Надмозговые переводы на опеннете? Таких унылых отмаз я еще не слышал.

Ответить | Правка | Наверх | Cообщить модератору

29. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от ананим (?), 04-Мрт-13, 14:45 
да, перевод как-то винду с маком выгораживает. чтоб им не так тосклимво было.

перевод:
>«Да, конечно уязвимости в окнах и macos не только в ядре. Делая тоже самое для Linux как Окна (путём добавления уникальных CVEs основных вендоров, таких как Ubuntu и Red Hat), мы получили всего 1752 уязвимостей.»

Сколько из этих уникальных 1752 уязвимостей можно хоть как-то эксплуатировать — ни слова.
Т.е. CVEs то они увидели, уязвимости — нет.

Ответить | Правка | Наверх | Cообщить модератору

68. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 21:00 
> Надмозговые переводы на опеннете? Таких унылых отмаз я еще не слышал.

Кушать-то всем хочется.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

27. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 14:37 
Написано-же: анализ за 25(!) лет. 25 лет назад и линукса-то не было :D
Ответить | Правка | Наверх | Cообщить модератору

35. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от ананим (?), 04-Мрт-13, 15:21 
можно подумать windows до версии 3.0 существовала.
по крайней мере в отчётах по безопасности — точно.
Ответить | Правка | Наверх | Cообщить модератору

31. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от lucentcode (ok), 04-Мрт-13, 14:50 
Надо же, как я и подозревал, в Microsoft пишут самое кривое ПО. Видно они нанимают индусов-аутсорсеров.
Ответить | Правка | Наверх | Cообщить модератору

38. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 15:32 
отличное!
Ответить | Правка | Наверх | Cообщить модератору

42. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 15:42 
Если сложить результаты Oracle и Sun, то они уже вплотную догнали Microsoft))
Ответить | Правка | Наверх | Cообщить модератору

57. "Анализ уязвимостей за последние 25 лет"  +2 +/
Сообщение от Аноним (-), 04-Мрт-13, 18:18 
Ошибка ошибке рознь.

Из Oracle Linux я смело выйду в Интернет и зайду на любой сайт, хоть, прошу прощения за натурализм, с голыми ж...ми.

Сколько Windows XP продержится в Интернете без антивируса (да и с ним тоже). Минут 15? Это если ничего не делать. Семерка продержится чуть дольше - до первого винлокера. Это надо обладать долей безумия, чтобы из Windows пользоваться онлайн-банкингом, электронной почтой и т.п.

Ответить | Правка | Наверх | Cообщить модератору

94. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от Вован4егemail (?), 06-Мрт-13, 09:24 
на счёт инетбанкинга - более всего позабавило недавно явленице...
есть у нас в глуши банки... и даже, вы не поверите, интернеты!
прихожу значит туда подключать "Услуга iBank" для конторы, мне дают sysRQ:
- "sWindows(XP-Vista), IE 7-8(AX)"
я вопрошаю на сие ужасное
- "а может всё-таки как-нибудь на жабе? вот ваши конкуренты предлагают... дабы мне не вылазить из линуха моего уютненького"
а мне манагер и говорит:
- "самая безопасная технология инетбанкинга АктивИкс, опреационная система, это XP, а браусер ИЕ8, а вот линукс очень опасен - для него даже антивирусов нету!!!"

йа лежал пацтулом

Ответить | Правка | Наверх | Cообщить модератору

96. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от ОГого (?), 06-Мрт-13, 20:26 
у меня на виртуалбоксе есть ХР-ка, которой я выхожу в интернет через 3Ж модем уже несколько лет. И ничего, живая.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

98. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 09-Мрт-13, 01:12 
Поскань её чтоль)
Ответить | Правка | Наверх | Cообщить модератору

52. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от etw (??), 04-Мрт-13, 17:23 
Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут привести к эскалации привилегий, в принципе, сложно оставить, потому они в опасные не попадают.
Ответить | Правка | Наверх | Cообщить модератору

58. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Аноним (-), 04-Мрт-13, 18:23 
> Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами
> в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут
> привести к эскалации привилегий, в принципе, сложно оставить, потому они в
> опасные не попадают.

Так какого хрена их к Linux-то плюсуют. Ты хочешь сказать, что тупо поставленный из репов LAMP с настройками по умолчанию и, скажем, Денвер одинаково опасны? Не смеши. С первым можно сразу в бой, со вторым - вряд ли.

Ответить | Правка | Наверх | Cообщить модератору

88. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от etw (??), 05-Мрт-13, 19:04 
>> Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами
>> в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут
>> привести к эскалации привилегий, в принципе, сложно оставить, потому они в
>> опасные не попадают.
> Так какого хрена их к Linux-то плюсуют. Ты хочешь сказать, что тупо
> поставленный из репов LAMP с настройками по умолчанию и, скажем, Денвер
> одинаково опасны? Не смеши. С первым можно сразу в бой, со
> вторым - вряд ли.

Я про интернет-приложения говорю, а не про инфраструктурное ПО. Если есть дыра в Wordpress, то хоть на чем его запускай, она не исчезнет.

Ответить | Правка | Наверх | Cообщить модератору

54. "Анализ уязвимостей за последние 25 лет"  +2 +/
Сообщение от Buy (ok), 04-Мрт-13, 17:28 
> При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752

То есть худшие что ли? Так об этом и напишут.

> С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения

Тогда зачем сравнивать мягкое и теплое?

Ответить | Правка | Наверх | Cообщить модератору

55. "Анализ уязвимостей за последние 25 лет"  +3 +/
Сообщение от Аноним (-), 04-Мрт-13, 18:07 
+1

Если в ошибках Linux учтены без разбора и ошибки всех прикладных пакетов, то необходимо также учесть, что большинство приложений для Linux является кроссплатформенным. Т.е. все ошибки Linux, указанные в обзоре (за исключением ядра) необходимо приплюсовать также и к Windows, а часть и к другим ОС!!!

Отсюда делаем вывод, что представленный обзор совершенно не имеет смысла. Как, впрочем, большинство околонаучных публикаций.

Ответить | Правка | Наверх | Cообщить модератору

73. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 04-Мрт-13, 23:01 
Тем не менее, даже с такой гирей на ноге линукс неплохо себя показал. Особенно в номинации опасных уязвимостей, где даже в десятку не попал. Ну да, находят повышения прав и прочая иногда. Но это не ремотный взлом без авторизации все-таки.
Ответить | Правка | Наверх | Cообщить модератору

62. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от vle (ok), 04-Мрт-13, 18:58 
Ежели кому интересно, вот тут немного о том,
как бороться с супостатом.

http://mova.org/~cheusov/pub/lvee/winter-2012/lvee-winter-20...

Ответить | Правка | Наверх | Cообщить модератору

71. "Анализ уязвимостей за последние 25 лет"  +2 +/
Сообщение от Аноним (-), 04-Мрт-13, 22:28 
Возьмем масдай 98, возьмем отладчик SoftICE.
масдай утверждал, что вынь 98 - 32-х битная система.
Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?
А верить масдаю нельзя ! Если открыть код масдаЯ, то линух, по количеству уязвимостей, будет тихо курить бамбук в сторонке !!!
Ответить | Правка | Наверх | Cообщить модератору

72. "Анализ уязвимостей за последние 25 лет"  +6 +/
Сообщение от тоже Анонимemail (ok), 04-Мрт-13, 22:47 
Во-первых, 98 и не был системой.
Это была графическая оболочка над системой... седьмым ДОСом, собственно.
Впрочем, другие ваши тезисы оспаривать не приходится.
Ответить | Правка | Наверх | Cообщить модератору

79. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Crazy Alex (ok), 04-Мрт-13, 23:59 
Что за бред? Вы с 3.11 не попутали?
Ответить | Правка | Наверх | Cообщить модератору

80. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от Michael Shigorinemail (ok), 05-Мрт-13, 01:02 
> Вы с 3.11 не попутали?

То была вообще DOS-программа, а это -- "сверху дос, снизу дос, посредине VMM" (и тот гнилой).

Ответить | Правка | Наверх | Cообщить модератору

90. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Аноним (-), 05-Мрт-13, 22:10 
Сам ковырял 98-ю, ядро - 16-ТИ БИТНОЕ !!! (SoftICE-ом)
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

93. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от AlexAT (ok), 06-Мрт-13, 07:24 
> Сам ковырял 98-ю, ядро - 16-ТИ БИТНОЕ !!! (SoftICE-ом)

Там два ядра. KRNL386.EXE - для совместимости (оно да - работает в реальном режиме), а KERNEL32.DLL - основное, работает в 32-bit protected mode.

Ответить | Правка | Наверх | Cообщить модератору

74. "Анализ уязвимостей за последние 25 лет"  +1 +/
Сообщение от Аноним (-), 04-Мрт-13, 23:02 
> масдай утверждал, что вынь 98 - 32-х битная система.
> Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?

Там было адское месиво из 16 и 32-битного кода.

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

78. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от angra (ok), 04-Мрт-13, 23:23 
Пользуясь твоей дурацкой логикой 64-х битный линукс, в который поставлена хоть одна 32-х битная либа, становится 32-х битным. Начиная с win95 работали как 16-ти, так и 32-х битные приложения, основными считались 32-х битные. В самом ядре хватало старого 16-ти битного кода, что порождало ряд проблем, но было нужно для лучшей совместимости со старым софтом. Полностью 32-х битной внутри была серия NT, а не 9x.
Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

83. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от AlexAT (ok), 05-Мрт-13, 07:22 
> Возьмем масдай 98, возьмем отладчик SoftICE.
> масдай утверждал, что вынь 98 - 32-х битная система.
> Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?

Верить только себе - начиная с Win 3.11, родной софт исполнялся в 32-bit protected mode.

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

91. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от Аноним (-), 05-Мрт-13, 23:23 
;
; г=========================================================================¬
; ¦     This file is generated by The Interactive Disassembler (IDA)        ¦
; ¦     Copyright (c) 2010 by Hex-Rays SA, <support@hex-rays.com>           ¦
; ¦                      Licensed to: Freeware version                      ¦
; L=========================================================================-
;

; File Name   : D:\book\krnl386.exe
; Format      : MS-DOS executable (EXE)
; Base Address: 1000h Range: 10000h-2EEFFh Loaded length: 1EEFFh
; Entry Point : 1000:0

.686p
.mmx
.model large


; Segment type: Pure code
seg000 segment byte public 'CODE' use16
assume cs:seg000
assume es:nothing, ss:seg001, ds:nothing, fs:nothing, gs:nothing

Ответить | Правка | Наверх | Cообщить модератору

92. "Анализ уязвимостей за последние 25 лет"  +/
Сообщение от AlexAT (ok), 06-Мрт-13, 07:23 
KRNL386.EXE (GDI.EXE, USER.EXE) - это 80(2)86-ядро для совместимости со старыми приложениями и DOS-режима. Основная часть системы работает в 32-bit protected mode, и пользуется KERNEL32.DLL (GDI32.DLL, etc.).
Ответить | Правка | Наверх | Cообщить модератору

97. "Анализ уязвимостей за последние 25 лет"  –1 +/
Сообщение от Аноним (-), 06-Мрт-13, 20:44 
так правда ie по уязвимостям меньше хрома и фаерфокса)
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру