To mate asi pravdu, ze diky zodpovednejsimu pouzivani a vyuzivani nedojde k tolika problemum. Je fakt ze neMS OS pouzivaji v podstate vyhradne zkuseni uzivatele. A pravdou je i zminovana odladenost kodu napr. na serverech. O tomhle stavu se muze bohuzel MS jen zdat.
Navíc je Linux - přes stále lepší uživatelskou přívětivost - zatím používán více experty a zkušenějšími uživateli než klasickými BFU (no flame, pls) a ti se většinou chovají daleko zodpovědněji - neklikají na kdejakou přílohu a vůbec jsou obezřetní v tom, co si pustí do systému, síťové služby pouští pod neprivilegovaným uživatelem nebo je chrootují, přístup na citlivé služby (SSH) bývá někdy omezen jen z určitých IP, někteří to vše ještě jistí bezpečnostními záplatami jádra jako např. grsec atd. atd.
> (ten mozna vice nez Windows, jenom se o tom tak moc nemluvi)
Tak tohle je posledni dobou hodne casty argument (narazka) zastancu OS Windows. Jenze to ma hacek. Linux se pouziva na desktopech (mene nez Windows) a na serverech (nepomerne vice nez windows) a servery (to se mnou asi budete souhlasit) jsou mnohem vice exponovanejsi nez desktopy a taky je to mnohem castejsi cil utoku. Z tohoto pohledu si myslim ze se o chybach mluvi a tyto chyby se rychle odstranuji. Linux ma taky jinou filozofii nez Windows, kterazto znesnadnuje provedeni utoku (spusteni viru beznym uzivatelem) a minimalizuje dusledky takoveho utoku na system jako celek. Proto nesouhlasim s tim, ze Linux ma vice chyb nez Windows. Dalsi fakt je, ze na serveru se nepouzivaji ty nejnovejsi verze programu, pouzivaji se casem proverene - zaplatovane - , stable, verze. U novejsiho sw je moznost nalezeni "diry" vetsi.
to je trosku nefer, pokud se to ma strefovat do mnozstvi...
ja mam up-to-date 8.6GB sw (tolik toho ma "instalacka*" meho os - a to je to komprimovane) MS office + windows myslim nepresahuji dve cd media.
<joke>
* chcete-li "instalacni disketa" vsiml jsem si totiz ze ve svete MS se z niceho jineho neinstaluje (alespon OS to tvrdi)
</joke>
Je ovšem potřeba si uvědomit, že ta "záplata" (tedy v originále patch) se používá ve významu označujícím jakýkoliv přidaný nebo změněný kód v tom konkrétním programu. Rozhodně je chyba chápat pojem "záplatovat program" v pejorativním smyslu jako flikovat, bastlit, záplatovat prádlo apod. Záplata je zkrátka obecný rozdíl mezi straým a novým kódem bez jakéhokoliv citového podtextu.
Ale to je přece nesmysl, NX bit samomodifikujícímu kódu samozřejmě nebrání, jenom je třeba to dělat správně a před provedením toho kódu dané stránce přidat přístup PAGE_EXECUTE.
Tak to pak asi chodite nahy. Neexiostuje zadny OS, ktery by nebyl zaplatovan. Vcetne linuxu (ten mozna vice nez Windows, jenom se o tom tak moc nemluvi).
Jasne, ze je to na cely segment, ale nikdo nikoho nenuti mit flat model, ze (hovorime o 32b x86 platforme). Problemem je, ze programatori jsou take jen lide (a docela lini lide :-), a dale dany typ OS je hodne rozsireny. Zajimave by bylo, jak by to dopadlo, kdyby se nekdo pustil do "predelani" kernelu, pokud by Windows byly open source.
Aplikace s NX flagem - sorry, ale jak jsem cetl, tak tento flag je implementovan az v poslednich CPU, takze starsi CPU je mit nebudou. Od Pentia2 jsem prestal podrobne sledovat tuto procesorovou radu ;-)...
IMHO je myslenka samomodifikujiciho se kodu super, ale ne v tomto prostredi!(?) To uz by se mi vice zamlouvaly programy specielne psane pro dany typ CPU...
To ja docela ano. Dobre zvolena nasivka (obrazek ci napis) muze dany kus udelat dokonce atraktivnejsim. Tedy alespon pro nekoho. Stejne je dnes 'nepocmarane' hadry vybec problem nekde koupit...
Ved to ze len segment :) to je ten problem. Segmenty sa skoro nepouzivaju. Kazdy proces ich dostane zopar (lebo ich musi mat) a aj tie su roztiahnute na celu pamat (4GiB) tzv. flat model.
AMD dalo tento flag aj na stranku (4KiB, 4MiB). Intel to mal vymyslene dobre, ale spatna kompatibilita a lenivost znemoznili pouzivat nonexec flag na segnemtoch.
Vela aplikacii nefunguje s NX flagom, lebo si v datovom segmente skladaju kod ktory potom spustaju. Niektore kodeky si poskladaju dekoder s mmx, sse alebo 3dnow podla procesoru. Oracle pre procedury(?), ...
A dokážete tuto myšlenku se záplatovaným oblečením nějak aplikovat na software? Kdybyste v programu zjistil, že jste někde zapomněl přičíst jedničku, taky byste to celé psal znovu? Stačí záplatovat a nikdo nic nepozná. U oblečení si to moc neumím představit.
Jo jo, pekne, dalsi bezpecnostni dira :-). Ale ta zaplata, zapomnel jste dodat, podle clanku v soucasne dobe funguje jen pro nejnovejsi CPU ("Although the support for this feature is currently limited to 64-bit processors, Microsoft expects future 32-bit and 64-bit processors to provide execution protection.").
BTW. uz si nevzpominam presne (a hledat v RTFM neni cas), ale uz drivejsi deskriptory procesoru INtel & comp. nabizely, zda dany segment je executable, nebo ne.
S tim Windows open source me napada, zda by Linux ustal ten napor. No flame pls.
ČLÁNKY DO MAILU