Форумы Саров-Сити

http://blogs.csoonline.com/days_of_risk_in_2006

Хорошее исследование о том, сколько в среднем дней проходит между появлением в Сети информации об уязвимости ОС и устранением этой уязвимости. Иными словами, в течение какого времени компьютер под управлением той или иной ОС остаётся беззащитным перед атакой хакера.

Действительно, хорошее исследование На вопрос из первого комментария по ссылке тоже интересен ответ

"M$" в первом комментарии выдаёт фанатика-линуксоида с головой. "Не может быть!" и "всё проплачено!" - это, соответственно, первый и второй условный рефлекс линуксоида на любое сравнение не в пользу его фетиша.

Там есть всего один нормальный комментарий - "ничто не мешает тебе взять указанные данные и провести сравнение самостоятельно".

В статье ничего не говорится о том, какая ОС более или менее уязвима. Там вообще про количество уязвимостей речь не идёт. Статья всего лишь иллюстрирует известный факт - из-за пирамидальной структуры разработки любые изменения в стабильном ядре Линукса выпускаются с большой задержкой, и у хакеров есть возможность достаточно долго пользоваться найденными уязвимостями линуксовых машин.

fgh

Поясни, что такое "0 дней и не пиздеть"?

После появления информации об уязвимости через 0 дней разрабатывается исправление, через 0 дней проходит всю цепочку обзоров и одобрений, через 0 дней вносится в исходный код и через 0 дней выпускается доступное пользователям обновление?

Ты уж выбери, "0 дней", или всё-таки "не пиздеть"?

Мда, "хорошее исследование". Объективное и беспристрастное наверное?

А хто афтор, этот Jeff Jones?

Necroman писал(а):Цитата(Necroman @ 28.12.2007 - 04:18) "M$" в первом комментарии выдаёт фанатика-линуксоида с головой.

А помоему, "M$" в первом комментарии выдает думающего человека, который залез в About и прочитал "Jeff Jones is a Security Strategy Director in Microsoft’s Trustworthy Computing group."

Боже, я искренне худею. Некто Jeff Jones взял общедоступные данные и построил по ним графики. Jeff'у они показались интересными, и он выложил их в своём личном блоге. Из графиков следует, что процесс выпуска заплаток в Windows налажен лучше, чем в Јинуксе.

Если бы результат был прямо противоположным, эта новость тут же появилась бы во всех Јинуксовых СМИ ("сенсационное признание!..."). А поскольку результат не нравится, давайте закроем на цифры глаза и начнём докапываться до составителя графиков. "Почему он работает в Microsoft? Как это у Microsoft может в принципе что-то хорошее получиться? 1. не может быть, 2. всё проплачено!"

Кулхацкеры и грозные вардрайверы, вам сунули в нос статистику из ваших же баг-трекеров. Вы либо ей верите, либо непонятно, чему вы вообще верите. Статистика говорит о том, что пользователь Јинукс обновлений безопасности ждёт в среднем дольше пользователя Windows. Вы этот факт можете опровергнуть? Cвои собственные, "правильные" цифры можете привести? Или так и будем отбрехиваться компроматом на Jeff'а, который запросто может оказаться голубым предводителем секты кастратов-эпилептиков, внучатым племянником Гитлера и растлителем Јинуса Торвальдса в детском саду, если поглубже копнуть его подозрительную биографию?

Есть ли у автора конфликт интересов? Безусловно есть, и при "прочих равных" нужно отдавать предпочтение независимому (насколько вы в состоянии оценить независимость) анализу. Только вы в данном случае никаких "прочих равных" не демонстрируете. Профессионал в области стратегий безопасности взял и сказал, что "взгляните сами, у Microsoft кое-что получается очень неплохо". Вы что, любое его высказывание, сколь угодно очевидное и агументированное, собираетесь отбрасывать со словами "сколько M$ тебе заплатила?"?

Necroman писал(а):Цитата(Necroman @ 8.01.2008 - 10:19) Профессионал в области стратегий безопасности взял и сказал, что "взгляните сами, у Microsoft кое-что получается очень неплохо". Вы что, любое его высказывание, сколь угодно очевидное и агументированное, собираетесь отбрасывать со словами "сколько M$ тебе заплатила?"?

Necroman, подобные сравнения не могут быть корректны в принципе. Почему, я напишу позже, если не будет лень. (Поищи сам в гугле анализ подобных статей). "Профессионал в области стратегий безопасности" показал свою некомпетентность в данном вопросе. Все. Что тут обсуждать?

fog, ты извини, но "пойди в Гугл" - это не ответ. Если тебе известно что-то интересное - выкладывай. С твоей помощью у меня есть уникальный шанс стать профессиональнее директора какой-то там группы по стратегической безопасности, и упускать этот шанс не хотелось бы