From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <av1046@comtv.ru>
From: Mikhail Zabaluev <mhz@alt-linux.org>
To: mandrake-russian@altlinux.ru
Message-ID: <20020315205821.GD25301@mhz.mikhail.zabaluev.name>
Mail-Followup-To: Mikhail Zabaluev <mhz@alt-linux.org>,
	mandrake-russian@altlinux.ru
References: <12612357639.20020315122501@mtu-net.ru> <241981379.20020315145834@mtu-net.ru> <20020315125619.D2C2111199@madelene.sergievposad.org> <02031519330600.01289@black.plesk.ru> <3C920AE5.C0EEDB18@altlinux.ru> <3922397285.20020315190641@otstavnov.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <3922397285.20020315190641@otstavnov.com>
User-Agent: Mutt/1.3.27i
Subject: [mdk-re] Re: [JT] zlib lessons (Was: Re: MS Mira and Linux)
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Fri Mar 15 23:53:00 2002
X-Original-Date: Fri, 15 Mar 2002 23:58:21 +0300
Archived-At: <http://lore.altlinux.org/community/20020315205821.GD25301@mhz.mikhail.zabaluev.name/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hello Maksim,

On Fri, Mar 15, 2002 at 07:06:41PM +0300, Maksim Otstavnov wrote:
>
> Hello Aleksey,
> 
> Friday, March 15, 2002, 5:53:25 PM, you wrote:
> 
> AN> Я думаю, что история с zlib, в результате которой до сих пор (!) MS, Sun, Adobe
> AN> etc. не могут или не хотят признать или опровергнуть уязвимость приложений или
> AN> даже ядра ОС (XP), будучи рассказана правдиво,
> 
> Науке известна только одна форма правдивого и, в то же время,
> убедительного рассказа о уязвимости -- эксплойт.

Как писал об этом The Register, "они повсюду: в стенах, под ковром, в
вентиляции". Возможно, в ближайшее время нас ожидает парад заплаток и
автоматических признаний в заимствовании открытых исходников.
Это может привести людей к двум альтернативным ходам мысли:
1) Открытых исходников надо избегать, даже если они отдаются
   на совершенно промискуитальных началах. Любая проблема, найденная
   в заимствованном коде, становится вашей проблемой, и все вокруг
   об этом быстро узнают. Нужно всё делать самим или лицензировать
   в закрытом виде; никто не доберётся до уязвимостей. Это
   распространённая школа security through obscurity.
2) Нужно избегать закрытого кода, линковать библиотеки динамически,
   избегать случайных связей и ни в коем случае не есть жёлтый снег.
   Это школа здравого смысла.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Don't go to bed with no price on your head.
		-- Baretta