Blago nama sa MSom i njegovim ASPom :p
A jel to puko skroz MSN Messaging server , ili samo web portal do istog? Ne znam jer ne koristim MSN, mada vidim da mi je MSN transport na Jabberu offline.

_{[Ovu poruku je menjao trooper dana 23.01.2005. u 18:38 GMT+1]}

msn & aspx ,if you want to know
;)

Dešava se... ne volim sitničarenja.

Mda, tko je još vidio u PHP-u bugove...i crve koji ih generički automatizirano iskorištavaju...

Shame on them ;)

Shit happens. :)

http://www.urbanloop.com/misc/www_php_net.jpg

Hahaha :) to je taj rad :)

Shit happens. Use Jabber ;).

Obično ne učestvujem u Advocacy, ali me zaista zanima koji to bug u PHP-u iskorišćavaju crvi?

Recimo PhpInclude.Worm.

Računaj da na jednog ovako otkrivenog ima bar 10 kojih nisu. A sigurno postoje i skripte koje traze vuln. u PHP forumima/generičke bugove i automatizirano droppaju backdoorove, što bi se u neku ruku moglo okarakterizirati kao crv sa 2 generacije :)

Dakle, nije u pitanju sam PHP, nego ranjiva PHP skripta - greška programera koji radi u PHP-u. Mogu i ja da napravim ranjivu ASP skriptu i onda krivim MS zbog toga, ali nije u tome stvar...

Ma nemoj mi reći :)

Gle, da li je po tebi mogućnost exploatiranja buffer overflowa u ovog snippetu:



po tebi rezultat loše sigurnosno implementiranog kompajlera, ili programera?

Vidim po odgovoru da je očito ovo drugo, i ne mogu više da se ne složim. Ljudi su pobjegli od asemblera da bi povećali produktivnost, a dan danas su na lošim kompajlerima ograničeni ovakvim glupim bugovima. Moraju pazit šta će koja linija koda, kad se prevede u asm, prepisati gdje na stogu, da li ima neki lebdeći pointer koji korisnik može kontrolirati, da li su pravilno parsali argumente...

Nigdje ne vidim da u ANSI-C standardu piše kako varijable moraju biti organizirane na stogu, zar ne?

Ukoliko se neka kategorija bugova može generički eksploatirati, to je više problem sigurnosnog modela okruženja u kojem takvi bugovi postoje, a manje programera.

Štoviše, ovo je još gore nego bugovi predkompajliranih jezika, jer za njih ne postoji generički algoritam za eksploatiranje :)

Gledaj, neću ja da branim PHP u celini, slabo učestvujem na Advocacy forumu zato što me zaista ne zanima to da li ja koristim najsigurniji OS, kompajler, server-side skripte i slično (naravno, osim u slučaju Firefox vs ostalo, ali to je off-topic u ovom slučaju ;)). Znam na šta sam navikao, znam da izbegavam potencijalne sigurnosne propuste, i to je meni dovoljno.

To što si naveo jeste, naravno, greška u kompajleru ali se ovde ne radi o tome. Onaj PhpInclude.Worm koji si naveo kao primer ne koristi grešku u samom PHP-u nego iskorišćava rupe koje nastaju lošim programiranjem; nisam primetio da taj worm radi preko buffer overflow-a (kao što i samo ime kaže - radi preko PHP Include funkcije, čije je loše korišćenje česta greška PHP programera).

Istina je da postoje bugovi i u samom PHP-u (kao i u svakom drugom okruženju), ali nisam čuo da je neki worm njih exploatisao. Možda i grešim?

To "loše programiranje" je rezultat inferiorne implementacije sigurnosnog modela u PHP. Sl. kao što je "loše programiranje" koristiti fje koje nemaju bounds checking i sl.

A sad lijepo odi na http://www.securityfocus.com/archive/1 i vidi koliko advajzorija ima "overflow" u nazivu, a koliko još unutar opisa problema.



I kompajleri imaju bugova, samo što nitko o njima ne priča, već o programima koji su ranjivi na bugove nastale kao rezultat loše implementacije sigurnosnog modela u sam jezik.

Zato C/C++ sux i .NET rulz. Virtualizacija pruža kvatni skok u sigurnosti, jer je čak i ako bug postoji, moguća je njihova kontrola kroz puno detaljnije sigurnosne polise na više razina. U unmanaged jezicima jednom kad je OS pozvao jmp _entrypoint, you're as good as dead.

Ne dao nam Bog onu budućnost koju Sundance zamišlja.

Ima li neki konkretan razlog zašto si protiv ovakve "vizije" ili će sve ostati na ispraznim žalopojkama?

Ma ništa, čisto ne bih mogao da zamislim svet gde je sve uniformno, pa makar to bio i managed framework za programiranje.

Taj managed framework za programiranje je u svakom pogledu bolji od većine drugih unmanaged frameworka.

Uvijek me fascinirala činjenica kako je apsolutno jedini argument protiv .NET-a onih 10-15% pada u performansama u izvođenju u odnosu na unmanaged kod, pri tome zaboravljajući duuugu listu beneficija.

Za 10 god će ljudi još uvijek raditi manualno memory management.

Na sajtovima objavljivati 150 različitih verzija svojih programa za svaki kompjuterizirani frižider, šalicu za kavu, sliku na zidu, TV, PC, OS posebno...

Izdavati patcheve svaka 2 tjedna jer je neki klinjo otkrio još jedan preljev buffera.

Trustworty Computing je MS-ov način da zaštiti korporacijske interese

Yeah right.

Mono i GNOME 3 su linuxova zadnja šansa da uhvati vlak za budućnost, inače će biti kao i wine - rob budućih MS-ovih inkarnacija proširenja osnovnog frameworka.