|
|
Any nou, vida nova?
(6359 lectures)
Por Benjamí Villoslada
Benjami
(http://weblog.bitassa.net)
Creado el 25/01/2002 20:07 modificado el 25/01/2002 20:07
|
Ja fa dies que vam passar la primera setmana de l'any, aquella en que molta
gent decideix que ha arribat l'hora d'anar al gimnàs i deixar de fumar... |
Pagina1/1 |
En Bill Gates també fa propòsits en gener. Diu que vol fer productes
més segurs.
Per això va enviar un e-mail a tots els empleats dient que s'ha acabat
això de posar les prestacions per davant de la seguretat. Alguns
diuen que la carta destil·lava uns aires assemblants a la que ja va
fer cap allà al 1995, quan es va adonar que s'estaven oblidant d'una cosa
que es diu Internet. Es poden llegir
coses com "estem fent poc en seguretat", que la veritat, fins ara només
s'havien escoltat a la competència o al venerable Senador
Cossiga: "Prima di mettere sul mercato con tanta pubblicità
i suoi prodotti dovrebbe farli testare di più e meglio" :-D
Però la seguretat no és un producte, és un procés—no
recordo qui ho va dir. Ja veurem què passa al desembre.
De moment, en Bruce Schneier (un conegut opinòleg de seguretat, responsable
del butlletí Crypto-Gram)
no ho veu gens clar i fa comentaris molt interessants a un
article per C-Net.
Aquí tens un fragment per anar obrint la curiositat:
"Security works best when it's designed into the system from the beginning,
so a lot of what they've already done is going to have to be rewritten.
Microsoft has built a monopoly business by throwing features into their
products and dealing with the problems later. It's what they do naturally. It's
what all software developers do naturally. Some pretty strong leadership is required
to reverse this mentality. The company will have to delay release schedules, pare
down functionality and potentially lose short-term market share.
And they're going to have to reverse their mentality of treating security
problems as public- relations problems. I'd like to see honesty from Microsoft
about their security problems. No more pretending that problems aren't real if
they're not accompanied by exploit code, and attacking the security researcher
if they are. No more pretending security problems aren't caused by bad code in
the first place. No more claiming that XP is the most secure operating system
ever, simply because it's the one they want to sell."
Llegeix-lo sencer, que s'ho val.
Actualització: Enllaços a més articles d'opinió des de ca'n Slashdot. |
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
| 1. Re: Any nou, vida nova? (26/01/2002 15:39, #4497)
Por: El cobarde anónimo |
| De acuerdo con lo que dices, ¿pero es que en Linux no hay agujeros de seguridad? hay un montón y sino mira los ultimos encontrados: http://www.linuxsecurity.com/advisories/ | No es pot respondre
|
2. Re: Any nou, vida nova? (26/01/2002 16:44, #4498)
Por: Benjami (http://bitassa.com) |
Sí, més val estar-hi d'acord. Se n'ha de saber molt per discutir
el que diu en Bruce Schneier.
Però ja que fas comparacions, tothom sap que qualsevol programa pot
tenir problemes de seguretat, per descomptat. Que un programa tancat en pot tenir
molts més perquè hi ha manco ulls crítics que se'l miren.
Qualsevol informàtic realista i amb experiència assumeix que la
perfecció bítica és inabastable.
Per tot plegat, la seguretat d'un sistema no es mesura amb el "pues anda
que tú" sinó amb coses com ara:
- El temps que s'estorben en solucionar els forats.
- Si són errors puntuals de programació o errors de concepció
del software --o arribar al punt que n'Scheiner diu que s'ha de rescriure tot.
- Si els errors es es veuen com una cosa molesta o com una procediment científic
desitjable i necessari per millorar el producte.
Ara observa com porten aquestes qüestions els móns del software
lliure i el tancat.
Per si et serveix de pista, Scott Culp (Manager de Microsoft Security Response
Centers) a
aquest article diu que no s'ha d'investigar: «an administrator doesn’t
need to know how a vulnerability works in order to understand how to protect against
it, any more than a person needs to know how to cause a headache in order to take
an aspirin» (un administrador no necesita saber com treballa una vulnerabilitat
per saber com protegir-se, de la mateixa manera que no necessita saber què
causa una mal de cap per prendre's una aspirina).
Scott no parla d'un usuari normal i corrent, sinó de tot un administrador
--i no se que diria un metge d'això de prendre's aspirines tant alegrement
i sense preguntar-se mem què passa... en fi.
Fins ara la humanitat ha progressat a base d'assaig, error i rectificació.
Això ha estat així perquè als llocs on se cuinàven
les innovacions no hi havia gaire gent com Scott Culp a lloure.
Al món del software lliure no n'hi ha i això és una de
les grans diferències, a pesar dels errors. Serveixen per millorar i no
per dir els dois que deixa anar el senyor Culp al seu article.
Per això tampoc no espero que en un desembre proper en Gates hagi complert
els seus propòsits de seguretat. Tal com van, no. | No es pot respondre
|
3. Re: Any nou, vida nova? (26/01/2002 19:42, #4500)
Por: gallir (http://m3d.uib.es/~gallir/) |
| Claro que los hay, y muchos (pero aún así todavía no
tuvimos por suerte un Melissa, ILoveYou...), pero están
a la vista del público y se corrijen en pocas horas,
creo que el promedio no pasa de pocos días.
¿Cuantos bugs tienen los productos de Microsoft que nadie
sabe? ¿Cuanto es el promedio en solucionarlos? (te adelanto 45 a 60
días).
No hace falta ningún estudio científico, basta con el
feeling de los usuarios o lo que se lee en la prensa.
¿Cuantos usuarios informados de Windows no se acojonan
antes de abrir un attachment? Compáralo con un
usuario de Linux... | No es pot respondre
|
4. Re: Any nou, vida nova? (27/01/2002 11:20, #4505)
Por: El cobarde anónimo |
| ¿Sabes una cosa ? hace años estuve en un proyecto software y desarrollábamos con una herramienta libre bajo Unix, aparte que estaba llena de bugs (como es normal en cualquier producto) resultó que uno de esos bugs, nos afectaba, y ¿sabes que ocurrió? pues que nunca lo arreglaron, acabamos el proyecto y ahí se quedó. No se que prefiero: un tiempo de respuesta de 40 dias o un tiempo de respuesta infinito. No quiero decir que siempre sea así, pero ahí está la anecdota. Lo que nos deberíamos preguntar es ¿porque no lo arreglaron? pues porque se cansaron de trabajar en vano seguramente, no pudieron conseguir las ventas suficientes para continuar el desarrollo y lo abandonaron. Ninguna industria se puede basar en productos gratuitos ....
Hablando de worms en Linux, que me dices de esto: http://news.com.com/2100-1001-251071.html?legacy=cnet | No es pot respondre
|
5. Re: Any nou, vida nova? (27/01/2002 13:06, #4508)
Por: gallir (http://m3d.uib.es/~gallir/) |
| Con respecto al primer punto: que sea UNIX no quiere decir que sea software libre
o abierto (de hecho Xenix perteneció a Microsoft, luego a SCO). De hecho el Unix era propietario de AT&T, esa fue la razón que
impulsó a Richard Stallman a crear GNU: poder tener un
sistema operativo compatible con Unix y que sea libre. Se tomó sus años,
hasta que Linux lenó el agujero que faltaba (por la demora del Hurd): el
núcleo del sistema operativo.
Con respecto al tema del Worm, que yo sepa no hubo
incidentes
importantes (de hecho no se volvió a hablar de ello, y en el mismo artículo que citas
dice que se recibieron menos de 5 reportes de
incidentes). Además que el tema fué solucionado
hace tiempo fue más una falsa alarma (el nfs/rpc es poco usado, menos a través de internet ya que
está pensado para LANs) que una realidad.
Compara eso con lo que ha pasado en todo el 2001...
Claro que un día podrían (notar el condicional)
aparecer incidentes importantes con
algun sistemas libre (Linux o xxxBSD), pero todavía no ha ocurrido
y no podemos hacer comparativas reales todavía de reacciones o
daños ocasionados.
No hay color... | No es pot respondre
|
|
|
|
|
|
|
|---|
|
|
|
|
Calificacion
 
Vots: 12 |
Danos tu opinion:
|
|
|
|
|
|
|
|
