Címke: tech

Experience has shown that „security through obscurity” does not work.
(security.debian.org)

Ehhez képest eléggé kínos az incidens, ami a Debian Security repo körül folyik: a repository bugos, ezért a stabil release óta nem (illetve alig) volt biztonsági frissítés. Ahelyett viszont, hogy ezt kommunikálnák és a repo gatyába rázásáig valami kerülő megoldást találnának ki, a Debian Project a homokba dugja a fejét: a biztonsági felelősök (talán 7 fő) közül egy ember elérhető (a többiek nyaralnak tán?), és a jelek szerint a konstruktív javaslatokra (pl. Bugzilla testre szabása és használata) a válaszok inkább a vagdalkozás kategóriájába tartoznak.

Különösen aggasztó lenne ez akkor, ha nem a DotDeb.org által fordított PHP-t használnám: a mai nappal ugyanis elég súlyos sebezhetőség jött ki a PEAR xmlrpc könyvtárában, amire igazán kíváncsi vagyok, mikor ad majd javítást a hivatalos Debian.
(A korrektség és az aggódók kedvéért: egyelőre a DotDeb se javította.)

Eric S. Raymond, a The Cathedral and the Bazaar és más, szabad szoftveres kultúrával foglalkozó könyvek szerzője, mellesleg heves fegyvertartás-aktivista, beszélt. Nincs szükség a GPL-re többé, mondja, és amellett, hogy érdekes, amit mond, eszembe jutott az örök problémám a GPL-lel: ha olyan marha nagy szabadsághoz van mindenkinek joga, akkor miért kell mindenképpen visszaadni a derivatív munkát a közösségnek? Ha igazán szabad licenszet akarsz, akkor ott vannak a BSD-szerű licenszek.
Anyways, érdemes olvasni, ESR napjaink egyik nagy evangelistája.

Újabb böngészős-popupos sebezhetőség, hát nem is tudom, attól tartok ez az egész túl van lihegve.
Emlékezzünk, mekkora hype volt pár éve, hogy a vírusok maguktól lefutottak Outlook Expressben, mindenféle ActiveX, meg ilyen-olyan hibát kihasználva, mekkora harc volt ez: befoltozott a Microsoft egy lukat, találtak egy másikat, ahol megint magától tudott futni a vírus. Aztán rájöttek a vírusírók valamire. Rájöttek, hogy lófasz: nem kell szórakozni az automatikus futtatással.
Rájöttek, hogy a felhasználó hülye.
Ez teljesen helyes meglátásnak bizonyult. A felhasználó, kevés példától eltekintve, lefuttatja a vírusodat, nem kell neked ezzel szórakozni. A maguktól lefutó vírusok idejében még csak poénkodtunk ezzel, „Albán vírus vagyok”, állította a vicces forwardolt email, aztán kiderült, hogy ez nem is olyan vicces, és ma már csak úgy tudod hatékonyan szűrni a vírusaidat, ha a futtatható csatolmányokat egyszerűen kitiltod a rendszeredből. Ki kell venni a lehetőséget a hülye felhasználó kezéből, másképp nem megy.
Na itt nem tart még a most annyira felfutóban levő phishing üzletág: ők még azt hiszik, hogy mindenféle furmányos módon át kell verni a juzert, hogy úgy nézzen ki, mintha a PayPalról indulna a tranzakciója, és hasonlók.
Vatta.
Ha csinálsz egy oldalt, amire kiteszel egy PayPal logot és megpropagálod emailben, lesz néhány juzer, akinek ez majd feltűnik és dohogva kitörli a mailt, és lesz a túlnyomó többség, aki szarik arra, hogy .cn a TLD: gátlások nélkül be fogják neked pötyögni mindenüket, amit csak kérsz tőlük.
Mert a felhasználók hülyék.

És a hülye felhasználót mindig ki fogják adathalászni, akárhogy is lesz bekorlátozva a böngészők funkcionalitása.