Исследовательское подразделение компании IBM опубликовало отчет (http://www-935.ibm.com/services/us/iss/xforce/trendreports/) с анализом рисков и ургоз, связанных с проблемами безопасности. В отчете сделано заключение, что 53% всех обнаруженных в 2008 году уязвимости до сих пор остаются неисправленными. Год назад этот показатель составлял 44%.Если рассмотреть 10 ведущих производителей ПО, то у них неисправленными осталось 19% известных уязвимостей, например, для Mac OS X число неисправленных проблем - 14.3%, для Linux ядра - 10.9%, Solaris - 7.3%, Windows - 5.5%.
Наибольшее число обнаруженных уязвимостей найдено в продуктах Microsoft, за ним, с небольшим отставанием следует Apple. В прошлом году около 55% было связано с web-приложениями, такие проекты, как Joomla, Drupal и Typo3 оказались в списке лидеров по числу проблем безопасности. Из числа 55% ошибок в web-приложениях, 74% до сих пор остаются неисправленными (разработчики часто игнорируют XSS и CSRF проблемы).
...URL: http://www.heise-online.co.uk/security/IBM-study-says-many-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=20125
> Microsoft MDAC RDS ActiveX, RealPlayer IERPCtl ActiveX, MS WebViewFolderIcon ActiveXВывод: ActiveX - зло.
+1 Зло...
>Вывод: ActiveX - зло.Это было понятно много лет назад.До вас только-что дошло?MS многие годы красочно имели с этими их активиксами... =)
> 53% всех обнаруженных в 2008 году уязвимости до сих пор остаются неисправленными.
> Год назад этот показатель составлял 44%.53-44 = 9%
x*9 +53 = 100%
x*9 = 47%
x = 47/9 = 5.2(2) годаВывод:
В середине марта 2014 года не будет исправляться ни одной ошибки :)
Все уедут в Сочи на лыжах кататься.
Хотя можно сделать и другой вывод, - к марту 2014 года количество появляющихся ошибок превысит количество исправляемых.
Что примерно одно и тоже
что критично для очень популярных систем
Например, Linux
Учитывая что на дефолт инсталле далеко не уедешь, вас это тоже каснётся.... да и в линуксе тебя никто не заставляет включать в ядро все экспериментальные модули которые только можно.Хотя вообще.... мож люди начнут понимать, что хотя поиск и исправление ошибок не ведёт к такому резкому подъёму конкурентноспособности продукта, не уделение должного внимания безопасности ведёт к большим проблемам в долгосрочной перспективе.....
вон, в windows вместо использования пользовательского аккаунта (а потому что программы пишутся в рассчёте на юзеров-админов) сделали заплатку в виде UAC (бесполезной и надоедливой), и урезания доступа подписанным программам (что мешает, пожалуй, только АНТИ-вирусам) -- а всё почему? из-за неверных решений в прошлом и необходимости обратной совместимости...
>Учитывая что на дефолт инсталле далеко не уедешь, вас это тоже каснётся....
>да и в линуксе тебя никто не заставляет включать в ядро
>все экспериментальные модули которые только можно.Угу, никто, кроме того товарища, который покупал когда-то железо в последнюю очередь исходя из соображений совместимости с чем-либо кроме WinXP. И ладно если это всего лишь 100МБит/с сетевуха, а если что-то весьма специализированное, типа телефонной платы?
>Хотя вообще.... мож люди начнут понимать, что хотя поиск и исправление ошибок
>не ведёт к такому резкому подъёму конкурентноспособности продукта, не уделение должного
>внимания безопасности ведёт к большим проблемам в долгосрочной перспективе.....Некоторые уже давно понимают:). Но юзеры хотят хлеба и зрелищ, то есть скорости и фич. А с другой стороны находятся идеалисты-фанатики, вроде г-на Theo de Raadt. В итоге получаются компромиссы, которые и устраивают большинство. Обычно это называется правильным маркетингом. А когда такой маркетинг начинают проводить все, кому ни лень, случается экономический кризис, в котором никто конкретно не виноват:).
>вон, в windows вместо использования пользовательского аккаунта (а потому что программы пишутся
>в рассчёте на юзеров-админов) сделали заплатку в виде UAC (бесполезной и
>надоедливой), и урезания доступа подписанным программам (что мешает, пожалуй, только АНТИ-вирусам)
>-- а всё почему? из-за неверных решений в прошлом и необходимости
>обратной совместимости...На самом деле трудно назвать неверными решения, которые позволили завоевать 90+% рынка декстопов. :) Ну а имея такую базу MS теперь и пытается потихоньку выруливать. В политике, кстати, то же самое: сначала расстреливаем интеллигенцию, получая при этом мощный рычаг для управления страной, а затем начинаем потихоньку восстанавливать страну:).
Угу, никто, кроме того товарища, который покупал когда-то железо в последнюю очередь
исходя из соображений совместимости с чем-либо кроме WinXP. И ладно если
это всего лишь 100МБит/с сетевуха, а если что-то весьма специализированное, типа
телефонной платы?
>
>
>А с другой стороны находятся идеалисты-фанатики, вроде г-на Theo de Raadt.Они-то как раз те немногие что уже поняли, и, более того, они в этом далеко не одни.
>Обычно это называется правильным маркетингом. А когда такой маркетинг начинают проводить
все, кому ни лень, случается экономический кризис, в котором никто конкретно не виноват:).
Брр, кризис то тут причём? (см. http://en.wikipedia.org/wiki/Gd2.0 )
Насчёт маркетинга, это да. Я бы даже сказал, правильным в долгосрочной перспективе.>На самом деле трудно назвать неверными решения, которые позволили завоевать 90+% рынка
>декстопов. :) Ну а имея такую базу MS теперь и пытается
>потихоньку выруливать.Ага, и хорошо это у них получается? Что-то положительных результатов не вижу в плане количества заражённых всякой гадостью windows-систем и т.п. Правда, если бы они не перевели бы десктопные системы на WinNT, M$у бы, наверное, пришла хана.
>>Угу, никто, кроме того товарища, который покупал когда-то железо в последнюю очередь
>>
>>исходя из соображений совместимости с чем-либо кроме WinXP. И ладно если
>>это всего лишь 100МБит/с сетевуха, а если что-то весьма специализированное, типа
>>телефонной платы?
>>
>>А с другой стороны находятся идеалисты-фанатики, вроде г-на Theo de Raadt.
>
>Они-то как раз те немногие что уже поняли, и, более того, они
>в этом далеко не одни.Это скорее мы с тобой близко к ним в своих соображениях находимся:).
>>Обычно это называется правильным маркетингом. А когда такой маркетинг начинают проводить
>>все, кому ни лень, случается экономический кризис, в котором никто конкретно не
>>виноват:).
>Брр, кризис то тут причём? (см. http://en.wikipedia.org/wiki/Gd2.0 )Шутка юмора:). Это за иероглифы :-D
>Насчёт маркетинга, это да. Я бы даже сказал, правильным в долгосрочной перспективе.
>
>>На самом деле трудно назвать неверными решения, которые позволили завоевать 90+% рынка
>>декстопов. :) Ну а имея такую базу MS теперь и пытается
>>потихоньку выруливать.
>
>Ага, и хорошо это у них получается? Что-то положительных результатов не вижу
>в плане количества заражённых всякой гадостью windows-систем и т.п. Правда, если
>бы они не перевели бы десктопные системы на WinNT, M$у бы,
>наверное, пришла хана.Положительный результат для MS — это заработанные деньги. Деньги они зарабатывают, несмотря на наступление по всем фронтам. Значит, политику они ведут (со своей точки зрения) правильную:). Ну а то, что это кому-то не нравится — проблемы тех, кому не нравится:).
а приятно, что линух - популярен. :-DDDDDDDDDDDDDD
Указание % тут совсем не корректно. Т.к 5% ошибок негрософта это целый океан по сравнению с капелькой в 10% линукса. А то выглядит так, как будто в линуксе в 2 раза хуже исправляются ошибки...