On Mon, Jan 03, 2005 at 12:10:37PM +0300, Maksim Otstavnov wrote:
> Hello Dmitry,
> Sunday, January 02, 2005, 11:47:47 PM, you wrote:
> 
> DVL> Я не умею сочинять анонсы к незафиксенным уязвимостям.  И не хочу уметь.
> 
> Очень жалко.

У меня есть основания настаивать на этом. :)

> DVL> Я убеждён, что исправление важнее анонса.  Сисадмин в состоянии
> DVL> проанализировать степень угрозы скорее, чем подготовить исправление.
> 
> Видите ли, чтобы проанализировать степень угрозы, нужно знать о ее
> наличии.

Сисадмин должен быть информированным, причём информация должна поступать
более чем из одного источника.

> При этом приоритеты могут быть расставлены так, что в некоторых
> случаях закрыть "дыру" нужно даже ценой деградации функциональности.

Да, конечно, бывает и так.

> В то же время, доверие к ST может быть достаточно высоко, чтобы
> ставить рекомендуемые ею секьюрити-апдейты, не вникая особенно в то,
> что именно там уже пофиксено (ну или разбираясь постфактум, как оно
> часто и бывает).

Я бы предпочёл, чтобы специалисты думали прежде чем обновлять, а все
остальные ставили всё, что есть в updates, даже без анонса.

> В этом смысле, информация о "незафиксенных" уязвимостях может быть как
> бы и важнее, чем о "зафиксенных".

Повторю ещё раз, я считаю, что специалист должен иметь различные источники
достоверной информации, а всем остальным не имеет смысла вдаваться в такие
подробности.


-- 
ldv