26 Декабря, 2011

Позорные патчи

InfoWatch
Как только софтопроизводитель выпускает патч безопасности для своей системы, журналисты тут же выпускают новость типа «Множественные уязвимости в ...». И у пользователей вместо чувства глубокого удовлетворениянаступает ущерб деловой репутации.

Как же остаться безнаказанным за своё доброе дело?

Совсем не делать патчей – это на сегодняшний день не вариант. Точнее, вариант лишь для одной группы товаров, для которых потребитель не ждёт поддержки; например, бортовых компьютеров автомобилей.

Выпускать секретные патчи удаётся лишь для секретных программ. Сектор сверхприбыльный, но при этом сверхузкий.

Выпуск заплатки можно отсрочить, подгадав так, чтобы новость осталась малозаметной на фоне более ярких событий. Метод сомнительный, ибо каждый день отсрочки – это новые взломы и заражения.

Автоматическая установка обновлений – вот неплохое решение. При этом анонса не производится, т.е. никаких рассылок типа «у нас обнаружена уязвимость, скачайте патч», каковые рассылки могут прочитать посторонние. Не нужно сообщать о сути обновления, что это было: заплатка на дыру в безопасности, дополнительная функциональность или просто новые иконки с тенями.

Вот только законы в разных странах по-разному относятся к такому молчаливому обновлению софта. Где-то можно попасть на уголовную ответственность за вредоносные программы. Где-то утаивание уязвимостей карается отзывом сертификата кошерности. Можно нарваться и на публичный скандал. Поэтому какое-то невнятное уведомление в уголке экрана пользователю обычно высвечивают.

Ещё производителям приходится работатьс организациями, ведущими публичный учёт уязвимостей. Чтоб очередная дырка была помечена как закрытая, приходится официально указывать, в каком обновлении это сделано.

или введите имя

CAPTCHA
27 Декабря, 2011
RE: Позорные патчи
А что плохо в том, что производитель признает наличие у него ошибок и устраняет их? Не важно, это уязвимости или ошибки функциональности, главное чтобы была возможность автоматизировать процесс установки обновлений и возможность отката установленных обновлений. Ошибки делают все, ничего позорного в этом нет. Если бы все еще их так же активно устраняли, как делают, было бы вообще супер )
0 |