Hello rpetre, Wednesday, March 20, 2002, 10:49:33 PM, you wrote:
>>Cum "ar trebui de fapt sa stea lucrurile intr-o lume ideala" ar fi asa: >>ar fi bine ca fiecare proiect major (Apache, PHP, Sendmail, etc.) sa >>aiba o lista inchisa (adica nu poate nimeni sa subscrie daca nu-l >>subscrie adminul) dar "open posting" (adica oricine poate posta). La >>lista asta sa fie subscrisi doar developerii principali. >>Cine descopera un bug intr-un soft, se duce pe lista respectiva si >>anunta intii developerii. Astia, cind au fix-ul, il trimit pe la >>distributii, etc (pe liste similare, inchise). Apoi distributiile il >>anunta public. >>Doar daca developerii nu vin cu fixul intr-un interval rezonabil de timp >>(2 saptamini, sau cam asa ceva), atunci se trece la "full disclosure". >>Din pacate, lucrurile nu stau chiar asa in realitate. >> >>Oricum, oricine descopera un bug intr-un soft, daca are ceva minte in >>cap si ceva simt de raspundere, este incurajat sa anunte intii, in mod >>confidential (pe adrese de e-mail private, etc.), developerii softului >>aluia. >>Doar in caz ca nu reactioneaza nimeni in vreo 2 saptamini, doar atunci >>ai voie sa arati lumii ce geniu esti. :-/ r> Daca discutam de aplicatii comerciale, closed-source, altfel se pune r> problema, dar daca sa zicem ca eu, ca mare C-expert-guru-ciumeg ce sunt r> ma uit la sursa de la Apache, sa zicem, si gasesc un super mega giga r> remote exploitable bug si tac, de frica sa nu afle kizii, nu e exclus r> ca in Timbuktu sa fie alt C-expert la fel de ciumeg ca mine, care sa r> dea peste aceeasi chestie tot asa cum am dat eu. Si daca ala e black r> hat si face un apache-killer-1.2.tar.gz si le da la kidioti, nu e r> datoria mea morala sa ma spanzur cu fibra optica? Pentru ca daca eu r> urlam cand aflam, se gasea alt C-expert-guru care sa gandeasca 2 grame r> in plus fata de mine, care sa imagineze si un workaround si un patch r> pt. treaba asta. Sigur, vedeau si "aia raii", care banuiesc ca citesc r> dimineata bugtraq-ul asa cum citesc eu mailurile de la rlug si r> slashdotul, dar vedeau si "aia bunii". Dupa cum avea acum ceva vreme r> cineva semnatura aici pe lista, securitatea adevarata e ca si cum as r> scrie ceva pe o foaie, as incuia-o intr-un seif si tu, cu toate r> detaliile tehnice ale seifului sa nu poti sa o citesti. Asta si cum se traduce? Sa ii protejezi pe aia giganti, care oricum daca n-au hogwash e treaba lor :) Cguru ala care zici tu ca e bad expert oricum va face exploitu' la bugu' tau si il va imprashtia in cat timp crezi(daca se agita)? O ora e super destul:) >>Catzeii n-au nevoie de egalitate. In loc s-o foloseasca cum trebuie, se >>caca pe ea. >> r> Aha. Si cine hotaraste cine sunt "adminii recunoscuti" si cui trebuie r> sa dai spaga sa apuci sa inveti cate ceva? Sau pentru 1-2 insi din alti r> 10000 care chiar sa invete cate ceva, nu merita sa te risti? r> Puii mei, si eu care credeam ca numai in viata reala se petrec r> bullshit-uri de genul asta. Adminii recunoscuti se cunosc intre ei. Spaga tre' sa le-o dai celor de la ISP-uri mari. Care 1-2 din 10000. Eu stiu minim 10 kizi pe rlug. Iar pe irc.lug.ro #mumu nu mai zic... Se poate face altfel. Dati un test de 10 intrebari si vedeti daca e kidiot or nope:) Dar oricum am intrat in balarii... :) Hai sa vedem cine ma contrazice. Unii dintre voi va dati mari security guru da? Pai si atunci de ce pe lista tot apar copy/paste-uri din configuri care exista pe servere, din loguri etc? Cred ca daca un hacker vrea sa isi faca o viziune despre o anumita retea/server e de ajuns sa il caute pe rlug mail archive :) -- Best regards, Gushterul mailto:[EMAIL PROTECTED] --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
