Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS, провёл (http://dankaminsky.com/2011/03/11/fuzzmark/) сравнительный анализ безопасности различных версий офисных пакетов Microsoft Office и OpenOffice.org, на основании оценки числа крахов при работе пакетов в нестандартных ситуациях, таких как обработка некорректных входящих данных. В итоге была накоплена статистика о крахах, из которых были отобраны проблемы, которые потенциально могут привести к уязвимостям. На основе анализа данных был подготовлен отчет (http://www.slideshare.net/dakami/showing-how-security-has-an...).Вилл Дорман (Will Dormann) из организации CERT заинтересовался работой Каминского и подготовил (https://www.cert.org/blogs/certcc/2011/04/office_shootout_mi...) собственный отчет, основанный на результатах ранее проведённого похожего исследования. Метод выявления ошибок у Дормана сводился к оценке реакции парсер...
URL: http://www.h-online.com/open/news/item/Vulnerabilities-in-Mi...
Новость: http://www.opennet.me/opennews/art.shtml?num=30324
Это ж на сколько нужно быть жопоруким, чтобы писать код, который тупо крешется на рандомных данных :-?
Миня взломали через word :(
и удалили спеллчекер ?
Тест не учитывает, что в МС Офисе дыра в безопасности - это штатная ситуация, не приводящая к краху программы.
Это печально, но логично.
Написать хороший парсер, корректно обрабатывающий намеренно искаженные входные данные для сложного формата файла, - это адова работа.
Если пиать на бейсике, ни одного краха не будет.
Для криворуких быдлокодеров - да.
> Для криворуких быдлокодеров - да."Уважаемый" Аноним, если это так просто, то пожалуйста напишите за пару дней ХОРОШИЙ парсер хотя бы для RFT, который будет корректно работать как со стандартным RTF, так и с тем, что генерируют разные версии MS Office, MS WordPad, MS Works, OpenOffice.org.
А если не можете, то хотя бы для такого примитивного формата, как СSV.
Чукчи не писатели, чукчи спорщики о том что 1с- не программисты, раз на 1с драйвера написать нельзя :-) Конечные автоматы не влезают в их трольский разум.
а ты то чё тут примазываешься?
типа такой автомат написал? не?
думаешь нуралиев свом птичьим автоматом всем одноцешникам грехи простил и в программисты вывел?
автоматы они пишут, ага. видел. :D
я вам маленький секрет открою:
автомат написать не сложно, просто обычно вместо того, чтобы там, где для образованного человека автомат - очевидно эффективное решение, использовать его (автомат), быдлокодеры создают неподдерживаемый код, работающий только чудом
оставьте эти секреты себе.
и одноцэшникам.
> «Уважаемый» Аноним, если это так просто, то пожалуйста напишите за пару днейэто дедлайн на написание парзера в офисах? O_O
ни хрена себе…> А если не можете, то хотя бы для такого примитивного формата, как
> СSV.тебе как — по стандарту, или «угадайку»? потому как стандарт — он есть, но кто ж его соблюдает-то… а «угадайка» частенько бред угадывает.
> это дедлайн на написание парзера в офисах? O_O
> ни хрена себе…Просто тут "Аноним" высказался в том смысле, что написать нормальный парсер для сложных форматов тяжело только быдлокодеру. А нормальному программисту, - пару пустяков.
> тебе как — по стандарту, или «угадайку»? потому как стандарт — он
> есть, но кто ж его соблюдает-то… а «угадайка» частенько бред угадывает.Мне в общем-то уже не надо. Сделал обходное решение через VB.
А в задаче "Анониму" - пусть будет как в жизни - от всех распространенных генераторов, да еще с устойчивостью к разнообразным повреждениям.
> Просто тут «Аноним» высказался в том смысле, что написать нормальный парсер для
> сложных форматов тяжело только быдлокодеру. А нормальному программисту, — пару пустяков.в общем-то он прав, конечно. только такой парзер большинство документов просто выплюнет, потому что некондиция. и вот тут-то начнётся атомный ад хаков.
> А в задаче «Анониму» — пусть будет как в жизни — от
> всех распространенных генераторов, да еще с устойчивостью к разнообразным повреждениям.тогда пусть лучше html-парзер напишет. это смешнее намного. причём да — такой, который не подавится диким вебом, а хоть тушкой, хоть чучелом — но распарзит и дом-дерево сделает.
"Уважаемый" Belov Sergey. Дайте мне 8 лет, финансирование уровня МСОфиса и я таки напишу вам парсер СSV который не будет крашиться на любых данных. Обещаю =)
> "Уважаемый" Belov Sergey. Дайте мне 8 лет, финансирование уровня МСОфиса и я
> таки напишу вам парсер СSV который не будет крашиться на любых
> данных. Обещаю =)Я тоже так хочу!!!
8 лет (ну -1 день) оплачиваемого отпуска... Это что-то уму не постижимое! :)
угу. и вконце пройти тест Kaminsky-Dormannа. один краш - пристрелить.
> "Уважаемый" Belov Sergey. Дайте мне 8 лет, финансирование уровня МСОфиса и я таки напишу вам парсер СSV который не будет крашиться на любых данных. Обещаю =)8 лет дать всегда успеют. Потерпи. Ст. УК 127.2 ч.1/2 так и плачет по опсорсу.
А к тому времени или ишак сдохнет, или султан...
Чего за криворуки писали этот сервис с отчётом... там ведь артефакт на артефакте на этой флешке... под Firefox 4P.S. Теперь мне понятно откуда у Dan Kaminsky берётся такая статистика, главное выбрать подходящую целевую группу натравить её на неугодную группу.
Из 2007-го офиса вырезали нормальный функционал, добавили хню (а-ля Ribbon) и выпустили на рынок. Взламывать там нечего.
Не удивительно, ведь формат doc не меняется уже много лет. Можно предположить, что и код его открытия не меняется.
Как раз с 2007го офиса пошел docx и думаю, что дыр там предостаточно.
А вобще странное исследование, непонятно зачем, и не понятно как можно строить выводы на таких результатах.
Вообщем Garbage In - Garbage Out.
Какой вывод можно сделать? Мелкософт продаёт одно и тоже на протяжении более 10 лет. За это время, наконец-то(!), всё отладили с древнючим DOC, завернули в новую обёртку и снова продали. Таланты!
> Какой вывод можно сделать? Мелкософт продаёт одно и тоже на протяжении более
> 10 лет. За это время, наконец-то(!), всё отладили с древнючим DOC,
> завернули в новую обёртку и снова продали. Таланты!Да ладно? Doc- фиг с ним, а вот Excel меняется так, что всяких опенофисам которым больше 10 лет не удается сделать продукт открывающий 30-50 мегабайтные файлы не угнаться.
Ну то что OO Calc явно не дотягивает до уровня Excel я думаю большинство знает... (обычно это является основным аргументом всяких бухгалтерий, казначейств и прочих подразделений, активно использующих возможности Excel, против перехода на OO или LO). А вот что такого существенного изменилось в Excel с 2003ей версии?? ну кроме нового формата файлов.. не расскажете?
При всей нелюбви к мелкософту, внутри реально в екселе мног поменялось. Народ у нас работает с такими огромными таблицами, что спец программы созданные для этого не тянут, а ексел 2010 тянет (2007 уже тянул, а 2003 нет).
Конечно сейчас будут возгласы, а что это за таблицы с многомилионными строками? Тут БД нужна и прочее. Да, а кто разработку оплачивать будет?
А тут 5 лицензий на ексель и машинки поновее и все крутится.При всей моей любви к опенсурсу и удачным внедрения ОО, не надо быть тупым фанатиком. Каждой задаче свое решение.
> Каждой задаче свое решение.да. например, использовать excel заместо нормальной бд.
> При всей нелюбви к мелкософту, внутри реально в екселе мног поменялось.Теперь интерфейс ещё интуитивнее, ага. Только что-то я никак угадать не могу, куда и что нажимать.
Вы сели в новую машину, а там включение поворотников не с той стороны.
Чтение документации никто не отменял.
И, я чувствую, здесь BI мало кто занимался, попробуйте на OO это дело))))
> Вы сели в новую машину, а там включение поворотников не с той
> стороны.
> Чтение документации никто не отменял.
> И, я чувствую, здесь BI мало кто занимался, попробуйте на OO это
> дело))))Да нет, не в этом дело, а в полной нелогичности интерфейса. Например, вводишь данные в ячейку, хочешь вернуться на символ назад, а переходишь на ячейку влево. Нажимаешь Ctrl+A, чтобы выделить содержимое ячейки и ничего не происходит. А поиск это полный взрыв мозга.
Ну да, правда ваша =)
спорить не буду.. хотя конечно вы все равно прийдете в какой-то момент к использованию БД..
но для этого необходимость этого надо почуствовать.. а на разработку/отладку/исправление ошибок написанного специально под ваши нужды софта уйдёт еще много времени.
Практика порочная (я про хранение таких объемов в Excel). но по поводу измений в новых версиях офиса вы правы... спасибо за ответ =)
>Ну то что OO Calc явно не дотягивает до уровня Excel...
>А вот что такого существенного изменилось в Excel с 2003ей версии??Клавиши. Они убрали (или ну очень хорошо спрятали) настройку "горячих" клавиш. Киллер-фича, однако!
> Да ладно? Doc- фиг с ним, а вот Excel меняется так, что
> всяких опенофисам которым больше 10 лет не удается сделать продукт открывающий
> 30-50 мегабайтные файлы не угнаться.Ну, речь-то о doc.
Хотелось бы понять в общих чертах на кой мне нужно открывать 30-50Мб ёксель файл, если данные такого масштаба логичнее хранить и обрабатывать в базе данных.
> Какой вывод можно сделать? Мелкософт продаёт одно и тоже на протяжении более
> 10 лет. За это время, наконец-то(!), всё отладили с древнючим DOC,
> завернули в новую обёртку и снова продали. Таланты!Ты вообще MS Оффис когда видел в последний раз ?
А это ничего, что начиная с 2007 основным является формат docx ?
Он _открыт_, основан на xml и общего у него с doc только полученное в наследство название.
Это называется обосраться в прямом эфире.
На, почитай на досуге http://ru.wikipedia.org/wiki/Docx, прежде чем публиковать свое очень ценное мнение.
> Он _открыт_долго ржал. желаю тебе делать импорт из этого «открытого» формата. правда, тогда твои посты не будет пропускать вордфильтр, потому что нематерного там будут лишь точки и запятые.
>> Он _открыт_
> долго ржал. желаю тебе делать импорт из этого «открытого» формата. правда, тогда
> твои посты не будет пропускать вордфильтр, потому что нематерного там будут
> лишь точки и запятые.Упрямство - достоинство ослов.
> Упрямство - достоинство ослов.и ты решил нам продемоснтрировать сие наглядно? не надо, мы и так тебе поверим.
> Ты вообще MS Оффис когда видел в последний раз ?Да вот сегодня.
> А это ничего, что начиная с 2007 основным является формат docx ?
А это ничего, что результаты по doc? А где же docx?
> Он _открыт_, основан на xml и общего у него с doc только
> полученное в наследство название.ODT, открыт, основан на xml и нет полученного наследства в виде doc. Сплошные плюсы.
> Это называется обосраться в прямом эфире.
Это о docx? Поясни.
Сравнили Офис с пальцем ;-)
Напомню что в МС-Офис код закрыт, а в ОпенОфис - открыт. Возможно, в МС-Офисе есть дыры, о которых _почти_ никто не подозревает. Возможно, есть личности (или агенства, понятно какие), которым известны дыры в МС-Офис, но они это специально не разглашают для того дабы дыры не залатали и их можно было бы использовать в своих целях. В ОпенОфисе такое повторить сложнее, так как код открыт и если кто-то хайдёт дыру и промолчит, есть больший шанс что кто-то другой ту же дыру найдёт и сообщит.
По этой причине сравнивать опен- и клоуз-сорс програмы не имеет смысла.
PS: я не против МС-Офис, сам им пользуюсь (я реально смотрю на вещи и выбираю лучшее решение), просто само смысл данного сравнения не понимаю.
А чёй-то ODT не сравнивали, вроде как стандарт, и патенты вроде даже у Маздацев
а ктоб тогдыб банкет оплачивал?
А главный вывод где? "Все найденные уязвимости OOo, благодаря его открытой природе, удалось оперативно устранить. Как пропатчить MSO - неизвестно.". Или, иначе, о чём спич? Разница в открытом и закрытом не в наличии уязивимостей, а в разницы в их закрытии. Как узнать, к чему привели эти исследования?
>...Кроме того, было исследовано только поведение, связанное с обработкой DOC-файлов...Давайте сравним обработку pdf?
Разве это можно назвать сравнением?
Внезапно адекватное сравнение опенсорса с платными пакетами.
Родной и не родной формат это адекватное сравнение?
Вот если б там doc,а там odt,тогда да,было б адекватное.Заодно б и продукты меж собой сравнили
> Родной и не родной формат это адекватное сравнение?"Родной" формат - миф. Взялся за гуж - не говори, что не дюж.
> Вот если б там doc,а там odt
Почему бы не сравнить odt в обоих?
> продукты меж собой сравнили
Чего их сравнивать? В этом плане всё понятно
>Сделанные Каминским и Дорманом выводы во многом совпадают: за последние годы число крахов >и уязвимостей, наблюдаемых в новых версиях Microsoft Office, кардинально уменьшилось и >
>достигло показателей, которые даже ниже, чем в OpenOffice.org.^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ну вот умеют красноглазые преподнести инфу, при том что по их же статистике крахов в МСО изначально было на порядок меньше.
Но это эе не главное, главное - правильно преподнести: "....достигло показателей, которые даже ниже, чем в OpenOffice.org..."Просто обнять и плакать.
ну латентные вантузятники тоже хороши - вовсю освоили метод маскироваться под бздишнега, а ранее бывало и под солярщика.
но, птицу видно по помёту. или аватару.зыж
очень хороший результат даже не для функционала, а для импортирующего фильтра.
сомневаюсь что любой аналогичный фильтр для мсо сможет показать такой же результат.
к тому же, поскольку это фильтр, то а какой потенциальной угрозе тут вообще может идти речь не понятно. а в корку падать - это для фильтра почти штатная фича. главное чтобы не часто.
но это уже не для вас.
просто писать ещё один коммент не охота.
> а в корку падать — это для фильтра почти штатная фича.…
> ну латентные вантузятники тоже хороши — вовсю освоили метод маскироваться под бздишнега,
> а ранее бывало и под солярщика.
> но, птицу видно по помёту. или аватару.
ничего не понятно, и что вы хотели этим сказать?
> ничего не понятно, и что вы хотели этим сказать?для интеллектуалов поясню: «падать» — это «штатная фича» софта под ос с дурацкой картинкой флажка. если некто считает, что падения софта — нормально, то как-то закрадываются подозрения.
гони их. самим жрать нечего.зыж
падать - это первое чему учат в дзюдо. если сенсей умеет падать, то это не значит что он учился только проигрывать.
падение фильтра (ещё раз, для подозрительных - фильтра. не софта) не должно влиять на основную программу (вот это уже софт).
правильное падение фильтра - это его штатная функциональность.
и уж тем более эта штатная функциональность никак не коррелирует с секурити.
Скоро хакеры будут эксплойты генерить тупым перебором случайных комбинацый ноликов и единичек.
> Скоро хакеры будут эксплойты генерить тупым перебором случайных комбинацый ноликов и единичек.Почему - будут?
Чисто субъективно:
использую опенофис начиная с версии 2.0, сейчас установлена версия 3.3 под венды и FreeBSD. Параллельно (не дома) приходится пользоваться и всякими разными офисами МС: 2000 (да, ещё сохранился), ХР, 2003, 2007.
Скажу так: количество глюков в ООО, конечно, заметно уменьшилось с 2.0 к 3.3, но глюк на глюке глюком погоняет. Большинство, конечно, решается простой перезагрузкой ООО, но некоторые приходится обходить. Крэшей в ООО 3.3, конечно, меньше, чем в МС офисе 2000, но субъективно больше, чем в 2003 (хотя точную статистику я не веду) - скажем, раз в 20 часов работы. Документы приходится сохранять каждые 5 мин. Восстановление документов обычно работает :) но всё же страхуюсь. В МС Офисе 2007 крэшей не видел, но работаю с ним редко.
За что мне нравится МС офис 2000 и ХР - в нём всё летает (правда, и он сам тоже "летает"). ООО - жуткий тормоз. Ну а 2007 - это, конечно, уё^Wубожество.
Что делаю: помимо всяких бумажек, презентации и таблицы. Документов много.
> презентациитуда тебе и дорога.
Надо было открывать odt, ods и odb (а не doc, xls и mdb),
тогда б цифры были противоположными.И еще один момент:
МС-офис работает в дырявой винде, а OОфис как правило в надежном линуксе,
так что даже если и оракловцы проглядели, то ничем это не грозит, а вот если мелкомякиши - то кирдык.p.s. Кстати, OOфис случаем не под виндами тестили? :))
Почитал комменты, задумался. Какого хрена вы все, такие умные, такие бедные. Не о деньгах говорю, об умении смотреть на пару шагов вперед. Камински сетует, что, мазафака, только поставь мелкософтовский офис, тебя сразу и поимеют. Ну да, пока так и есть. Раскрутите, если доживет, OO - как-то грустно с ним работать, не замечали? Вас поимеют и через него (ОО). Стадо ибо. А сплоиты пишут именно для стадных продуктов. О надежности линукса я бы поспорил, но некогда: упал один такой недалеко, просили подсобить. Говорил же, не дышите на него, простудится. Не послушались, теперь половина предприятия стоит. О дырявости виндовоза тоже спорить лень, вызовов от его обладателей не больше, чем всех других. А парк у меня - три десятка серваков и пара тысяч хостов, есть где статистику собирать...Не о том спорите, господа. В таких спорах истина никогда не рождается, рождаются только проблемы, с опенсорсом, последнее время, если кто еще не заметил. Грустно это.
> рождаются только проблемы, с опенсорсом, последнее время, если кто еще не
> заметил. Грустно это.я не заметил. и комьюнити проектов как-то не шибко замечает. замечают только странные люди, которые орут о проблемах.
слишком много слов крах
мозг болит)