Спасибо за изучение моего твиттера. За данный топик у меня было 3 плюса в карму и 8 минусов. Трёхчасовой отрезок — не показатель.
И да, простите, но Вашу фразу
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе. То, что Вы знаете, что это не так, это очень хорошо.
abeshkov, конечно в разы компетентнее меня в вопросах безопасности. И Вас, кстати, тоже.
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
>>Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является >>ванильное ядро) конечного пользователя не касается никак.
У вас серьёзнейшие проблемы придумыванием глупых отмазок. Вы неспособны признать даже то, что написали то, что написали. С Вами разговаривать больше не о чем, вообще не о чем.
Вы знаете, к Microsoft можно предъявить 1000000 претензий. И я не очень хочу тут за все аспекты безопасности операционных систем отвечать. Там столько нюансов и подводных камней. Если мы что-то обсудим, всегда найдётся ещё что-то. А потом ещё…
К чему этот спор?
Вы хотите доказать, что Linux более защищённая ОС? Для этого надо делать полноценное исследование, которое займёт не один месяц. В Колличество уязвимостей в конкретный момент времени — не совсем точный показатель. К комментариях на Хабре ни я, ни Вы такое исследование точно сделать не сможем.
Кстати, голый Windows включает в том числе браузер. А ядро в разы меньше.
И в Linux и в Windows есть современные механизмы безопасности. Обе операционные системы на данный момент достаточно защищённые. Но и существенного приемущества в вопросах безопасности ни у кого нет.
Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.
>>Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
>>Вы хоть сами читаете то, что кидаете? :)
А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально? Это не честно. Это прямой обман. Например, там много где в правой колонке linux (Ubuntu ...)
Давайте вмести переводить:
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
>>Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение.
>>почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
Утверждение было, что почти все фиксы однодневные. Это не так.
Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
>>Под конец выясняется, что в Windows сейчас как минимум тринадцать незакрытых уязвимостей, а в Ubuntu ноль, или около того
Вы занимаетесь прямым ВРАНЬЁМ. Мы выяснили, что только в ядре Linux как минимум 12 незакрытых уязвимостей и это только те, что связаны с сайтом Secunia.
>>ну никак не может его опровергать
Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.
Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
То, что в Linux устраняется за один день работает по следующему сценарию:
— Разработчик ядра находит уязвимость
— Исправляет её
— Публикует о ней информацию
Или
— Хакер назодит уязвимость
— Сообщает разработчикам ядра
— Всё исправляется
— Информация публикуется
Таким способом очень легко можно многое «за день» исправить
Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
Потому, что это Vendor Patch производства Canonical. Вы меня упрекали в нерелевантности моей статистики, а тут защищаете что-то, служащее совсем другим целям, по мнению авторов этого чего-то.
Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Просто прочитайте пару абзацев текста, там всё весьма однозначно, а не стройте догадки.
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Secunia отслеживает только ошибки безопасности, пофиксенные вендором продукта, не относящиеся к продуктам других вендоров.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
Вам плевать, что авторы отчёта пишут о своей методике? Авторы ещё аргументируют, почему они так пишут. Почитайте.
Почему бы Вам в таком случае просто цифры с потолка не брать, скажем в Linux 0 уязвимостей, а в Windows — 42 согласно цифрам с потолка. Ну или 100500, Вы близки.
Вы говорите
>>Так что не надо ля-ля.
А сами берёте цифры с потолка, ну ли строите прогнозы с потолка. Используя статистику, которая покрывает только уязвимости от одной компании, которая говорит, что методика подсчёта не позволяет сравнивать Linux и Windows.
Разница в том, что в случае отчёта Secunia авторы отчёта говорят о том для чего отчёт можно использовать, а для чего нет. Причём пишут это большими буквами.
Было утверждение: habrahabr.ru/blogs/infosecurity/112801/?reply_to=3617146#comment_3614993
В Linux патчи безопасности «Обычно выпускают в день обнаружения или максимум на следующий.». Я привёл отчёт, который это опровергает. Почему более некорректно? Даже, если время устранения багов в Linux в 10 раз меньше, чем показано в отчёте, до одного дня в среднем будет очень-очень далеко.
И да, простите, но Вашу фразу
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
Нельзя понимать НИКАК иначе, чем заявление о колличестве уязвимостей в Ubuntu 10.10. Ну вот НИКАК иначе. То, что Вы знаете, что это не так, это очень хорошо.
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu >>Linux 10.10 нет ни одной незакрытой уязвимости.
>>Количество незакрытых уязвимостей в сферическом ядре Linux в вакууме (коим является >>ванильное ядро) конечного пользователя не касается никак.
У вас серьёзнейшие проблемы придумыванием глупых отмазок. Вы неспособны признать даже то, что написали то, что написали. С Вами разговаривать больше не о чем, вообще не о чем.
>>Исходя из фактов, приведённых в комментариях ниже, на данный момент в дистрибутиве Ubuntu Linux 10.10 нет ни одной незакрытой уязвимости.
Это мне тоже приснилось?
К чему этот спор?
Вы хотите доказать, что Linux более защищённая ОС? Для этого надо делать полноценное исследование, которое займёт не один месяц. В Колличество уязвимостей в конкретный момент времени — не совсем точный показатель. К комментариях на Хабре ни я, ни Вы такое исследование точно сделать не сможем.
Кстати, голый Windows включает в том числе браузер. А ядро в разы меньше.
И в Linux и в Windows есть современные механизмы безопасности. Обе операционные системы на данный момент достаточно защищённые. Но и существенного приемущества в вопросах безопасности ни у кого нет.
Secunia предупреждает, чтобы люди не попадались в такую ловушку как Вы, но Вам плевать :)
Хоть строчку текста приведите, что Secunia согласна с Вами, пожалуйста.
>>Конечно, баги, обнаруженные в Fedora, касаются пользователей Ubuntu (вы вторую колонку смотрели?)
>>Вы хоть сами читаете то, что кидаете? :)
А Вы взяли только те баги, что подтверждают Ваши аргуметы и решили отбросить всё остально? Это не честно. Это прямой обман. Например, там много где в правой колонке linux (Ubuntu ...)
Кстати, читаю тут убунтовский трекер:
bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/507150
Well it's been two weeks and not a single reply. This could be a potentially serious issue. Does anyone care?
Прошло две недели и ни одного ответа. Это может быть серьёзно. Всем плевать?
И ещё раз. НЕТ, не в ванильном ядре:
habrahabr.ru/blogs/infosecurity/112801/#comment_3618665
habrahabr.ru/blogs/infosecurity/112801/#comment_3617758
Давайте вмести переводить:
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
Что это по-вашему значит?
>>Вы же только что «опровергали» факт устранения за один день, а теперь, глядите-ка, находите этому объяснение.
>>почему тогда у вас такая неприязнь к однодневным фиксам именно Линукса?
Утверждение было, что почти все фиксы однодневные. Это не так.
Некоторы фиксы КАЖУТСЯ однодневными. Между быть и казаться разница есть.
Один ключевой вопрос: Вы писали что-нибудь большое когда-нибудь?
secunia.com/advisories/product/2719/?task=statistics
5% уязвимостей, выявленных Secunia не закрыты.
Сколько уязвимостей в остальных компонентах системы даже подсчитать трудно.
Вы занимаетесь прямым ВРАНЬЁМ. Мы выяснили, что только в ядре Linux как минимум 12 незакрытых уязвимостей и это только те, что связаны с сайтом Secunia.
Вы знаете, если напишут «Сотрудники Microsoft пьют кровь Христианских младенцев», такое утверждение будет ОЧЕНЬ трудно опровергнуть, если принимать само утверждение на веру без доказательств.
Нет, Вы серьёзно считаете, что со 106 дней в 2006 году можно сократить время до одного дня в начале 11 года?
То, что в Linux устраняется за один день работает по следующему сценарию:
— Разработчик ядра находит уязвимость
— Исправляет её
— Публикует о ней информацию
Или
— Хакер назодит уязвимость
— Сообщает разработчикам ядра
— Всё исправляется
— Информация публикуется
Таким способом очень легко можно многое «за день» исправить
Что не попадает в этот шаблон исправляется существенно медленнее. Фактически ошибки в Linux, исправленные за день — это подсчёт времени с того момента, как разработчики ядра выпустили исправление.
Если там написано напротив Ubuntu цифра 0, то, что, можно плевать на то, что пишут авторы про методику подсчёта???
Просто прочитайте пару абзацев текста, там всё весьма однозначно, а не стройте догадки.
>>Вы уверены, что уязвимость ядра не закрывается дополнительными настройками системы, кои произвели в Canonical?
Уверен.
secunia.com/advisories/product/32688/?task=statistics
Secunia tracks the number of issues fixed by the product vendor and not the issues reported in the third party software.
Secunia отслеживает только ошибки безопасности, пофиксенные вендором продукта, не относящиеся к продуктам других вендоров.
Additionally, the number of unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).
А в Linux дистрибутивах полно продуктов других вендоров.
Поэтому ошибки ядра, будут относиться к ядру, а не к Ubuntu.
Почему бы Вам в таком случае просто цифры с потолка не брать, скажем в Linux 0 уязвимостей, а в Windows — 42 согласно цифрам с потолка. Ну или 100500, Вы близки.
Вы говорите
>>Так что не надо ля-ля.
А сами берёте цифры с потолка, ну ли строите прогнозы с потолка. Используя статистику, которая покрывает только уязвимости от одной компании, которая говорит, что методика подсчёта не позволяет сравнивать Linux и Windows.
Спорить с Вами тоже бесполезно. Спасибо.
Было утверждение:
habrahabr.ru/blogs/infosecurity/112801/?reply_to=3617146#comment_3614993
В Linux патчи безопасности «Обычно выпускают в день обнаружения или максимум на следующий.». Я привёл отчёт, который это опровергает. Почему более некорректно? Даже, если время устранения багов в Linux в 10 раз меньше, чем показано в отчёте, до одного дня в среднем будет очень-очень далеко.
Люди, сделавшие статистику, на которую тут ссылаются пишут, что сравнивать безопасность Linux и Windows по этой статистике некорректно. Всё точка.