Здраствуйте, Владимир.
Интересная информация, а можно еще предоставить "срез" по количеству критических уязвимостей по каждому продукту? Например, если ОС1 имеет 1000 уязвимостей, но 999 из них не представляют риска (к примеру, вызывают зависание медиаплейера и т.п.), а ОС2 имеет 10 уязвимостей, но все из них критические - то я бы сказал. что ОС1 более надежная :)
С уважением,
Рустам
Интересная трактовка. Если не можешь победить - возглавь.
Опять сферический конь в вакууме.
Евгению -
это не трактовка, а независимые данные от самой уважаемой в мире компании по анализу уязвимостей. Они эту аналитику "возглавили" много лет назад. А "победы" - это разультат труда, а не трактовок.
Во и свежие новости про внеочередные обновления. Уже вторые в этом месяце.
Вот статистика с той же Секунии. Несколько другое восприятие действительности: http://fomalhaut-star.livejournal.com/37982.html
http://blog.mozilla.com/security/2009/03/06/beware-the-security-metric/
aaa:
Интересно. :) Но всё ровно в том курсе, что указал и я: нам постоянно демонтрируют сферического коня в вакууме, а не реальный анализ уязвимостей.
По тому же файлу, что Мамыкин дал, БЗДя выглядит лучше Висты. Ну, и .ули тогда гнать волну?
Выходит, дело в холи-вар? Даже мне читать скучно, не то, что Мамыкину, - которому каждую неделю по должности положено подобную тему выслушивать-отвечать.
Он же тут не товар продаёт - уж больно маленькая аудитория, - а просто делится своими субъективными мыслями. А тут сразу выплёскивают даже не "не верю!", а сразу "врёшь"! Ну, какой ему смысл врать? Чтобы отдельно взятый "неондерталец" купил на "горбушке" Винду? Зарплата прибавится? Акции вырастут?
Дайте мужику потрындеть без негатива, а то он с полгода уже в "окопе", - и мне скучно.
П.С. Кстати, насколько помню, Мамыкин, к его чести, обхаяв Линукс, где-то оговорился, что о секретности БСДи плохого слова не скажет.
Игра с цифрами штука подлая, цитирую:
>Сразу бросается в глаза 14% незакрытых уязвимостей у FreeBSD 7.1 – самый большой процент среди представленных: у Windows XP – 12%, у Windows Vista – 7%. Но в действительности здесь надо взглянуть уже в абсолютном выражении на эти цифры, а это уже совсем иное и реальное состояние дел: 14% это всего лишь ОДНА незакрытая уязвимость в FreeBSD 7.1 против 30 (!) в Windows XP и 4 в Microsoft Windows Vista. Не правда ли несколько другое впечатление создаётся?
Уже смешно.
Ilya Vaiser:
Посмейтесь - смех продляет жизнь. Только смех искренний, а не вымученный и не истерический.
И что в процитированном показывает "игру с цифрами"? Если нечем доказать - лучше промолчать. А в данном пояснении вам приведены и ссылки, где вы можете сами увидеть описанное, т.е. процитированное имеет доказательную основу, а ваши смешки - истерические, наверное.
Неандерталец, я как-то на securityfocus видел открытые ошибки ядра linux версии 2.0 за 1998 год. Хз, почему они там висят и почему периодически всплывают в списках открытых багов.
Ну, ясен пень, что это безумно критичная ошибка, мегасупербомба просто. Так-что респект всем любителям поиграть в циферки.
Пруф http://www.securityfocus.com/bid/111 очень здорово ;)
Кстати, предлагаю сравнить
Ubuntu 8.04 http://secunia.com/advisories/product/18611/?task=statistics
и
MS Vista http://secunia.com/advisories/product/13223/?task=statistics
Что в Ubuntu ошибок больше - это понятно. В ней софта неимоверно больше. Давайте поглядим на свойства ошибок на графиках внизу. Узнаем много нового - что в Vista не закрыто 7% багов (0% в Ubuntu), что по важности:
"Extremely" ошибок в Vista - 1% (0% Ubuntu)
"Highly" ошибок в Vista - 36% (28% Ubuntu),
"Moderately" ошибок в Vista - 25% (41% Ubuntu),
"Less" ошибок в Vista - 30% (25% Ubuntu),
"Not" ошибок в Vista - 7% (5% Ubuntu)
Т.е. в Vista больше всего критических ошибок. далее смотрим что эти баги приводят к "system access" в 47% у Vista и 29% у Ubuntu.
При этом я настоятельно хочу заметить, что мы считаем баги у клиентской ОС от Майкрософт, в которой кроме блокнота и косынки ничего нет. И Ubuntu, в составе которой поставляется полный стек решений, от нескольких серверов БД до web, ftp, email и прочих.
Ясен пень, что толку от подсчетов числа багов "в лоб" нет, уж сильно разные системы и много вопросов к качеству подсчета ошибок.
Конечно интересно было бы посмотреть на более-менее равнозначный подсчет, но как его организовать?
Ну для сравнения в вистой можно взять OpenBSD 4.0: вполне себе аскетическая ОС, и срок официального выхода 1 ноября 2006 (если не ошибаюсь) - всего на 2 месяца раньше висты: http://secunia.com/advisories/product/12486/.
А вот насчёт "кроме блокнота и косынки..." хотел бы уточнить, что в винде есть много чего: медиаплеер, всякие мелочи в "Стандартные". Не стоит забывать про DRM и TPM. Да и много чего можно спрятать в те несколько гигадайт, что виста "откусывает" на жёстком диске.
Вот Опёнок - вполне себе аскетичная система. Вот только г.Мамыкин упорно делает вид, что такой ОС не существует. Хотя он представляется как специалист по ИБ, а Опёнок позиционируется разработчиками как обеспечивающую проактивную защиту: http://openbsd.org/security.html. :)
Уважаемый г-н Мамыкин, как вы, как специалист по ИБ прокоментируете обнаруженную в сентябре в SMB уязвимость, которую ваша контора отказалась "латать" в ХР по причине "древности кода", хотя поддержка этой ОС ещё не прекращена (в том числе и платная)?
И это при достаточной серьёзности уязвимости и наличии возможности её эксплуатации (exploit).
О какой безопасности может идти речь в такой ситуации?
If you would like to receive an email when updates are made to this post, please register here
Subscribe to this post's comments using RSS
