Блог Владимира Мамыкина

Здраствуйте, Владимир.

Интересная информация, а можно еще предоставить "срез" по количеству критических уязвимостей по каждому продукту? Например, если ОС1 имеет 1000 уязвимостей, но 999 из них не представляют риска (к примеру, вызывают зависание медиаплейера и т.п.), а ОС2 имеет 10 уязвимостей, но все из них критические - то я бы сказал. что ОС1 более надежная :)

С уважением,

Рустам

Интересная трактовка. Если не можешь победить - возглавь.

Опять сферический конь в вакууме.

Во и свежие новости про внеочередные обновления. Уже вторые в этом месяце.

Вот статистика с той же Секунии. Несколько другое восприятие действительности: http://fomalhaut-star.livejournal.com/37982.html

http://blog.mozilla.com/security/2009/03/06/beware-the-security-metric/

aaa:

Интересно. :)    Но всё ровно в том курсе, что указал и я: нам постоянно демонтрируют сферического коня в вакууме, а не реальный анализ уязвимостей.

По тому же файлу, что Мамыкин дал, БЗДя выглядит лучше Висты. Ну, и .ули тогда гнать волну?

Выходит, дело в холи-вар? Даже мне читать скучно, не то, что Мамыкину, - которому каждую неделю по должности положено подобную тему выслушивать-отвечать.

Он же тут не товар продаёт - уж больно маленькая аудитория, - а просто делится своими субъективными мыслями. А тут сразу выплёскивают даже не "не верю!", а сразу "врёшь"! Ну, какой ему смысл врать? Чтобы отдельно взятый "неондерталец" купил на "горбушке" Винду? Зарплата прибавится? Акции вырастут?

Дайте мужику потрындеть без негатива, а то он с полгода уже в "окопе", - и мне скучно.

П.С. Кстати, насколько помню, Мамыкин, к его чести, обхаяв Линукс, где-то оговорился, что о секретности БСДи плохого слова не скажет.

Игра с цифрами штука подлая, цитирую:

>Сразу бросается в глаза 14% незакрытых уязвимостей у FreeBSD 7.1 – самый большой процент среди представленных: у Windows XP – 12%, у Windows Vista – 7%. Но в действительности здесь надо взглянуть уже в абсолютном выражении на эти цифры, а это уже совсем иное и реальное состояние дел: 14% это всего лишь ОДНА незакрытая уязвимость в FreeBSD 7.1 против 30 (!) в Windows XP и 4 в Microsoft Windows Vista. Не правда ли несколько другое впечатление создаётся?

Уже смешно.

Ilya Vaiser:

Посмейтесь - смех продляет жизнь. Только смех искренний, а не вымученный и не истерический.

И что в процитированном показывает "игру с цифрами"? Если нечем доказать - лучше промолчать. А в данном пояснении вам приведены и ссылки, где вы можете сами увидеть описанное, т.е. процитированное имеет доказательную основу, а ваши смешки - истерические, наверное.

Неандерталец, я как-то на securityfocus видел открытые ошибки ядра linux версии 2.0 за 1998 год. Хз, почему они там висят и почему периодически всплывают в списках открытых багов.

Ну, ясен пень, что это безумно критичная ошибка, мегасупербомба просто. Так-что респект всем любителям поиграть в циферки.

Пруф http://www.securityfocus.com/bid/111 очень здорово ;)

Кстати, предлагаю сравнить

Ubuntu 8.04 http://secunia.com/advisories/product/18611/?task=statistics

и

MS Vista http://secunia.com/advisories/product/13223/?task=statistics

Что в Ubuntu ошибок больше - это понятно. В ней софта неимоверно больше. Давайте поглядим на свойства ошибок на графиках внизу. Узнаем много нового - что в Vista  не закрыто 7% багов (0% в Ubuntu), что по важности:

"Extremely" ошибок в Vista - 1% (0% Ubuntu)

"Highly" ошибок в Vista - 36% (28% Ubuntu),

"Moderately" ошибок в Vista - 25% (41% Ubuntu),

"Less" ошибок в Vista - 30% (25% Ubuntu),

"Not" ошибок в Vista - 7% (5% Ubuntu)

Т.е. в Vista больше всего критических ошибок. далее смотрим что эти баги приводят к "system access" в 47% у Vista и 29% у Ubuntu.

При этом я настоятельно хочу заметить, что мы считаем баги у клиентской ОС от Майкрософт, в которой кроме блокнота и косынки ничего нет. И Ubuntu, в составе которой поставляется полный стек решений, от нескольких серверов БД до web, ftp, email и прочих.

Ясен пень, что толку от подсчетов числа багов "в лоб" нет, уж сильно разные системы и много вопросов к качеству подсчета ошибок.

Конечно интересно было бы посмотреть на более-менее равнозначный подсчет, но как его организовать?

Ну для сравнения в вистой можно взять OpenBSD 4.0: вполне себе аскетическая ОС, и срок официального выхода 1 ноября 2006 (если не ошибаюсь) - всего на 2 месяца раньше висты: http://secunia.com/advisories/product/12486/.

А вот насчёт "кроме блокнота и косынки..." хотел бы уточнить, что в винде есть много чего: медиаплеер, всякие мелочи в "Стандартные". Не стоит забывать про DRM и TPM. Да и много чего можно спрятать в те несколько гигадайт, что виста "откусывает" на жёстком диске.

Вот Опёнок - вполне себе аскетичная система. Вот только г.Мамыкин упорно делает вид, что такой ОС не существует. Хотя он представляется как специалист по ИБ, а Опёнок позиционируется разработчиками как обеспечивающую проактивную защиту: http://openbsd.org/security.html. :)