Hello! On Tuesday 26 January 2010 06:54:17 you wrote: > При этом их фиксят, а не замалчивают.
И все баги фиксит именно _создатель_ exim? Где от этого человека разбор всех багов exim?... Почему-то вы открытое ПО, которое документирует, патчит и сопровождает комьюнити, целиком пытаетесь приписать конкретному человеку. В то время как после публикации исходников qmail или exim мы с вами имеем ровно такие же возможности для их доработки. И я выбираю тот проект, в котором в течении года вносится лишь около сотни строчек патчей (включая их описание), а не тот, где такой объем добавляется за неделю. И unix-like стиль работы qmail позволяет, при желании, выкинуть этот самый pop-демон, если он вам не нравится, и интергировать с любой другой системой по вашему выбору. > Хидеры - пока маловероятно, хотя некоторые уже вставляли содержимое > документа в Subject Вот DJB тоже пишет, что маловероятно, ровно такими же словами :-) > У меня на почтовке локальных пользователей с шеллом - два. Я и рут. > А вот удалённый рут - это несколько посерьёзней будет. Я о том, что нельзя гарантировать, что даже в самом лучшем ПО нет ни одной уязвимости. И когда автор берется предоставить какие-то гарантии, это здорово, т.к. вызывает интерес у многих экспертов и это ПО исследуется намного внимательнее, нежели любое другое. Попробуйте предложить 1000$ за уязвимость в exim, если вы не согласны - готовы вы на это? > Отправка почты _неограниченному_ списку получателей (спам-дыра) с > перспективой упасть - таки про кумыл. Извините, но такой уязвимости в списке закрываемых деб-девелоперами я не припоминаю. Мог не заметить, да, т.к. что мешает вашему юзеру вызвать рассылку спама в цикле, указывая по одному адресату?.. У меня это все проверяется до того, как данные для отправки будут переданы в почтовую систему (независимо от того, какая именно почтовая система используется - проверки были и тогда, когда я еще использовал exim). > > А вот это интереснее. Но, как можно судить по текущей ветке рассылки и по > > обсуждению "серых списков" некоторое время назад, тут далеко не все > > Назовите RFC, которое нарушает грейлист. > Точнее, по какому RFC почтовая система обязана принимать почту по > первому требованию, не отпинывая по 4xx? Вы обманываете получателя, делая вид, что не можете сейчас обработать эту почту. В итоге вы его DOS-ите, заставляя тратить ресурсы на хранение и повторную пересылку. Т.е. вы пользуетесь недосказанностью стандарта, чтобы намеренно причинять ущерб. > Э... Не путайте патчи, которые накладываются для безопасности и патчи, > без которых система неюзабельна. Первые - необходимы, вторые - как раз > костыли, ибо автор не чешется, а соответствует ли квалификация > патчеписателя репутации djb - еще неизвестно. Странный какой-то подход. Сколько систем вы знаете, выпущенных более 10 лет назад, которые сегодня могут быть использованы ровно в том же виде, без выпущенных за прошедшее время обновлений, патчей, etc.? И в очередной раз вы открытый код отказываетесь видеть в управлении комьюнити. И на этот раз еще и комьюнити в безграмотности подозреваете, притом безосновательно - я интересовался, чьи же патчи закрывают баги qmail. А вы квалификацию всех разработчиков exim проверили, или там априори идеальные разработчики сидят?.. Best regards, Alexey Pechnikov. http://pechnikov.tel/
