Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
События 2005 года в области информационной безопасности
 
Цитата

Не правильно мыслишь С улыбкой
В браузере, популярность которого 10%, обнаружено 22 дыры. Сколько будет дыр если этим браузером будут пользоваться 85% пользователей С улыбкой.
Учти что популярность ПО напрямую зависит от количество найденных в нем дыр. И эти 22 дыры нашли только потому, что firefox стал популярность набирать

Вы забыли сказать найдены и исправлены.
Цитата
"Правопорядок в стране определяется не наличием воров, а умением властей их обезвреживать."

Вы оптимист. Если им "будут пользаваться 85%", что вряд ли случиться в ближайшем будушем.
Если только вы не намекаете на выход 7-го IE, сколько там будет "дырок" посмотрим.
 
Не стоит забывать, что исходники FireFox являются открытыми.
Представьте, что будет если завтра Microsoft опубликует код Internet Explorer?
 
Я не понимаю какая разница конечному пользователю открыты или закрыты исходники? Да ПОДАВЛЯЮЩЕМУ большинству это все равно.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
А по поводу дыр в большинстве находят не изучая исходники.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Гость пишет:
Не стоит забывать, что исходники FireFox являются открытыми.
Представьте, что будет если завтра Microsoft опубликует код Internet Explorer?

а какая разница - дыры они и в Африке дыры, без разницы - что в открытом, что в закрытом коде.
 
что вы вообще и иа пристали ослик рабоает так как хочет евросоюз и антимонопольный совет сша, они им даже разнорядку на дырки поди дают, дабы пользователи не пользовали идеальный продукт.
 
Цитата

Цитата

Гость пишет:
Не стоит забывать, что исходники FireFox являются открытыми.
Представьте, что будет если завтра Microsoft опубликует код Internet Explorer?
а какая разница - дыры они и в Африке дыры, без разницы - что в открытом, что в закрытом коде.

"Дыры" то и там "дыры", только вслучае гипотетического открытия кода IE уже "дыр" будет не 17, а ... гораздаа больше.
 
С наступающим !!!  =)
 
Цитата
FireFox - самый медленный из браузеров
Ну оперативки он и вправду больше чем IE жрет... но 256 МБ хватит на очееень много...
Ну а компов с меньшим количеством оперативки счас в общем то уже и не встретишь////
Главное не то кто быстрее или медленне, главное, достаточно ли он быстрый чтобы уловлетворить потребности??
для себя я отвечаю - ДА.
 
Прогноз SecurityLab годичной давности на 2005 год оказался точен на все 100%[QUOTE]

Мдя?? =)))
 
Цитата

Администратор:
Не верно С улыбкой Не все уязвимости тут критические. Просто опасность выставляется по максимальной.
2 Администратор  
Согласен. Тогда 4 критические уязвимости, приводящие к выполению произвольного кода на целевой системе. Все равно больше 2 и статья не одна.
 
Цитата
Учти что популярность ПО напрямую зависит от количество найденных в нем дыр. И эти 22 дыры нашли только потому, что firefox стал популярность набирать.
Позвольте немного поколебать эту "аксиому", на сегодня самым популярным HTTP сервером является Apache, пожалуйста посчитайте дырки для него и IIS за этот год, только просьба считать именно ошибки сервера а не приложений под него типа PHP
 
Цитата
Гость пишет:
Позвольте немного поколебать эту "аксиому", на сегодня самым популярным HTTP сервером является Apache, пожалуйста посчитайте дырки для него и IIS за этот год, только просьба считать именно ошибки сервера а не приложений под него типа PHP
Гы, ну давай посчитаем :)
IIS
2 уведомления от Secunia с низкой и средней опасностью (при чем последняя уязвимость касается только Windows XP)
http://secunia.com/product/39/?period=2005#statistics
Apache:
1.3.x - 3 уведомления
http://secunia.com/product/72/?period=2005#statistics
2.0.x - 6 уведомлений
http://secunia.com/product/73/?period=2005#statistics

делаем выводы
 
2 Гость, 28.12.2005 15:26:57

Хех, как не странно в Apache "дыр" гораздо больше, если верить
http://www.securityfocus.com/vulnerabilities

Хотя может большинство из них не critical
 
2 TeckLord

(по информации с secunia.com)

ISS:
1 средняя - удаленная DoS атака (не закрыта уже 9 дней)
1 низкая - удаленное получение потенциально опасной информации (закрыта производителем)

Apache 1.x
1 низкая - удаленный XSS (закрыта производителем)
1 низкая - подделка отравление кеша, если Apache сконфигурирован как web-прокси (закрыта производителем)
1 низкая - локальное повышение привилегий Apache (закрыта стороним разработчиком)

Apache 2.x
Его можно вообще не упоминать, поскольку они его до сих пор не вывели в стабильный и безглючный режим работы. Это общеизвестно, так что тот кто его использует, то только на свой страх и риск.

Если бы количество ошибок в программном обеспечении было бы связано только с распространенностью продукта, то в Apache было бы дыр на несколько десятков больше, учитывая, что код у него открытый.
 
2 Гость  (28.12.2005 17:21:38)  

Воспользовавшись сайтом www.securityfocus.com (данные за 2005):

Apache 1.x
Apache mod_include Local Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/11471 )
Apache mod_digest Client-Supplied Nonce Verification Vulnerability
( http://www.securityfocus.com/bid/9571 )
Apache HTDigest Realm Command Line Argument Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/13537 )
Apache Chunked-Encoding Memory Corruption Vulnerability
( http://www.securityfocus.com/bid/5033 )
Apache HTPasswd User Command Line Argument Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/13777 )
Apache Utilities Insecure Temporary File Creation Vulnerability
( http://www.securityfocus.com/bid/12308 )
Apache Mod_Proxy Remote Negative Content-Length Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/10508 )
Apache HTPasswd Password Command Line Argument Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/13778 )
Multiple Apache HTDigest Buffer Overflow Vulnerabilities
( http://www.securityfocus.com/bid/5993 )

IIS
NT IIS4 Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/307 )
Microsoft IIS 5.0 .printer ISAPI Extension Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/2674 )
Multiple Vendor Multiple HTTP Request Smuggling Vulnerabilities
( http://www.securityfocus.com/bid/13873 )
Microsoft IIS WebDAV HTTP Request Source Code Disclosure Vulnerability
( http://www.securityfocus.com/bid/14764 )
Microsoft Collaboration Data Objects Remote Buffer Overflow Vulnerability
( http://www.securityfocus.com/bid/15067 )
MS IIS Internal IP Address/Internal Network Name Disclosure Vulnerability
( http://www.securityfocus.com/bid/3159 )

Думаю, что любому кто сможет разобраться в вышеприведенном, станет совершенно ясно, что по количеству/качеству дыр оба вев-сервера совершенно равны (хотя имхо у Apache больше локальных и в конкретных, и не сказать чтобы везде используемых подключаемых модулях).

Опять же в сторону того, что количество дыр зависит еще и от кривости кода. А кривой код лучше всего изучать в исходниках (на предмет дыр).
 
2 Скучающий  

первый два адвайза для IIS можно отбросить (IIS 4 и 5 уже не актуальны), так что получается 9 против 4, не в пользу апача. А если добавить уязвимости Apache mod_ssl совсем апач сливает.
 
2 Скучающий
Мы говорим об уязвимостях за 2005 год, по этому:
Microsoft IIS 5.0 .printer ISAPI Extension Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2674 - Опубликована May 01 2001 - не актуальна

NT IIS4 Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/307  - Опубликована Jun 15 1999 - не актуальна

MS IIS Internal IP Address/Internal Network Name Disclosure Vulnerability
http://www.securityfocus.com/bid/3159 - Опубликована Aug 08 2001 - не актуальна

Это вообще сложно назвать уязвимостью вендора - это уязвимость, но в мозгах того, кто такие сервера держит...
Microsoft IIS WebDAV HTTP Request Source Code Disclosure Vulnerability
http://www.securityfocus.com/bid/14764

А это уязвимость в SMTP службе. Если мы сравниваем Web севера, то ИМХО она немного не к месту. Да и у Апача нет такого функционала.
Microsoft Collaboration Data Objects Remote Buffer Overflow Vulnerability
http://www.securitylab.ru/vulnerability/240999.php

Теперь по Апачу:
Apache mod_include Local Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/11471 - Опубликована Oct 20 2004 - не актуальна

Apache mod_digest Client-Supplied Nonce Verification Vulnerability
http://www.securityfocus.com/bid/9571 - Опубликована Feb 03 2004 - не актуальна

Apache HTPasswd User Command Line Argument Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/13777 - Опубликована Sep 16 2004 - не актуальна

Apache Mod_Proxy Remote Negative Content-Length Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/10508 - Опубликована Jun 10 2004  - не актуальна

Multiple Apache HTDigest Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/5993  - Опубликована Oct 17 2002  - не актуальна
 
А мне по-барабану... Какие-то ругливые вы все :). Что так, что так общественность не ставит обновления, а эксплоиты творятся :).
 
2 TeckLord:
Товарищ Гость (28.12.2005 17:21:38) ссылался на http://www.securityfocus.com/vulnerabilities .
там выдается список уязвимостей с сортировкой по дате последнего обновлению статьи (видимо на основе этого он и выдал "провал" апача по дырам за этот год). Не заметил он такой вещи или с умыслом, но я ответил той же монетой, сделав подборку именно по тем статяьм/уязвимостям, что отдавались как за 2005 год.

Так что мой предыдущий пост предназначался только гостю. Извиняюсь, что не упомянул это более очевидно.

К Вам, уважаемый TeckLord, был мой пост за временем 28.12.2005 17:58:19 . Вы с ним согласны?
Страницы: Пред. 1 2 3 4 След.
Читают тему