[mdk-re] Re: [JT] zlib lessons (Was: Re: MS Mira and Linux)

[Mikhail Zabaluev]

Hello Maksim,

On Fri, Mar 15, 2002 at 07:06:41PM +0300, Maksim Otstavnov wrote:
>
> Hello Aleksey,
> 
> Friday, March 15, 2002, 5:53:25 PM, you wrote:
> 
> AN> Я думаю, что история с zlib, в результате которой до сих пор (!) MS, Sun, Adobe
> AN> etc. не могут или не хотят признать или опровергнуть уязвимость приложений или
> AN> даже ядра ОС (XP), будучи рассказана правдиво,
> 
> Науке известна только одна форма правдивого и, в то же время,
> убедительного рассказа о уязвимости -- эксплойт.

Как писал об этом The Register, "они повсюду: в стенах, под ковром, в
вентиляции". Возможно, в ближайшее время нас ожидает парад заплаток и
автоматических признаний в заимствовании открытых исходников.
Это может привести людей к двум альтернативным ходам мысли:
1) Открытых исходников надо избегать, даже если они отдаются
   на совершенно промискуитальных началах. Любая проблема, найденная
   в заимствованном коде, становится вашей проблемой, и все вокруг
   об этом быстро узнают. Нужно всё делать самим или лицензировать
   в закрытом виде; никто не доберётся до уязвимостей. Это
   распространённая школа security through obscurity.
2) Нужно избегать закрытого кода, линковать библиотеки динамически,
   избегать случайных связей и ни в коем случае не есть жёлтый снег.
   Это школа здравого смысла.

-- 
Stay tuned,
  MhZ                                     JID: mookid на jabber.org
___________
Don't go to bed with no price on your head.
		-- Baretta