26 января 2010 г. 13:44 пользователь Alexey Pechnikov <[email protected]> написал: >> При этом их фиксят, а не замалчивают.
> И все баги фиксит именно _создатель_ exim? Нет, но при этом он их таки принимает, в отличие от. >> Хидеры - пока маловероятно, хотя некоторые уже вставляли содержимое >> документа в Subject > Вот DJB тоже пишет, что маловероятно, ровно такими же словами :-) Сейчас - маловероятно. А вот спустя некоторое время - уже вполне вероятно. Рекомендую вспомнить цитату про 640кб. >> У меня на почтовке локальных пользователей с шеллом - два. Я и рут. >> А вот удалённый рут - это несколько посерьёзней будет. > Я о том, что нельзя гарантировать, что даже в самом лучшем ПО нет ни одной > уязвимости. И когда автор берется предоставить какие-то гарантии, это здорово, > т.к. вызывает интерес у многих экспертов и это ПО исследуется намного > внимательнее, нежели любое другое. Попробуйте предложить 1000$ за уязвимость > в exim, если вы не согласны - готовы вы на это? Я о том, что баги надо править в том числе и автору, а не отмахиваться от них. Или хотя бы описывать пути обхода в документации. >> Отправка почты _неограниченному_ списку получателей (спам-дыра) с >> перспективой упасть - таки про кумыл. > Извините, но такой уязвимости в списке закрываемых деб-девелоперами я не > припоминаю. Мог не заметить, да, т.к. что мешает вашему юзеру вызвать > рассылку спама в цикле, указывая по одному адресату?.. У меня это все > проверяется до того, как данные для отправки будут переданы в почтовую > систему (независимо от того, какая именно почтовая система используется - > проверки были и тогда, когда я еще использовал exim). Не пользуюсь кумылом, потому доверяю источникам. Сходите по ссылке. Там на руссоком, но есть и ссылка на оригиналы. >> > А вот это интереснее. Но, как можно судить по текущей ветке рассылки и по >> > обсуждению "серых списков" некоторое время назад, тут далеко не все >> Назовите RFC, которое нарушает грейлист. >> Точнее, по какому RFC почтовая система обязана принимать почту по >> первому требованию, не отпинывая по 4xx? > Вы обманываете получателя, делая вид, что не можете сейчас обработать эту > почту. > В итоге вы его DOS-ите, заставляя тратить ресурсы на хранение и повторную Наглое враньё насчёт DoS. Первое же прошедшее письмо включит сервер в белый список. > пересылку. Т.е. вы пользуетесь недосказанностью стандарта, чтобы намеренно > причинять ущерб. Еще раз. Назовите RFC или прекратите болтать ерундой. И почему я должен принимать почту хз от кого? Нормальный сервер перепошлёт без особых напрягов, а спамеру легче перепослать через более доступные сервера. А вот что вы будете делать, если через ваш сервер будет рассылаться спам путём подставления неверного обратного адреса и случайного адресата? >> Э... Не путайте патчи, которые накладываются для безопасности и патчи, >> без которых система неюзабельна. Первые - необходимы, вторые - как раз >> костыли, ибо автор не чешется, а соответствует ли квалификация >> патчеписателя репутации djb - еще неизвестно. > Странный какой-то подход. Сколько систем вы знаете, выпущенных более 10 лет > назад, которые сегодня могут быть использованы ровно в том же виде, без > выпущенных за прошедшее время обновлений, патчей, etc.? Пожалуй, только TeX. > И в очередной раз > вы открытый код отказываетесь видеть в управлении комьюнити. И на этот раз > еще и комьюнити в безграмотности подозреваете, притом безосновательно - > я интересовался, чьи же патчи закрывают баги qmail. А вы квалификацию всех > разработчиков exim проверили, или там идеальные разработчики сидят?.. Я не отказываюсь видеть код в управлении коммунити. Я не вижу этого самого управления для кумыла. Каждый лепит свой патч. Управления нет вообще. -- Stanislav
