[devel] girar security

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вс Фев 8 14:13:08 MSK 2009 

On Sun, Feb 08, 2009 at 02:07:44PM +0300, Денис Смирнов wrote:
> On Sat, Feb 07, 2009 at 11:00:32PM +0200, Led wrote:
> 
> > L>> Исходники предоставлять следует по первому требованию. Т.е. даже если
> >> это L> требование поступило через секунду после предоставления бинарника.
> >> Кстати интересно, в GPL написано через сколько времени я обязан их
> >> предоставить по этому самому требованию? В смысле я обязан делать это за 1
> >> секунду, или пара дней у меня есть?
> L> Вы пытаетесь найти "лазейки" в GPL?
> 
> Это не лазейка, а разумная ситуация.
> 
> GPL предполагает что я могу предоставить исходники различными способами, и
> немедленное выкладывание на сайт это лишь один из них.
> 
> Повторяю еще раз -- речь идет о ситуации, когда исходники будут
> предоставлены, но с задержкой 1-2 дня с целью нераскрытия информации о
> найденой уязвимости.

Я считаю, что этот подход глубоко порочный.

> Чаще всего как я вижу применяется подход "нераскрытие производится до
> момента подготовки патчей, после чего одномоментно публикуются бинарники и
> исходники с исправлениями".

Да, и это правильно.

> Проблема этого подхода в том, что даже при
> большой оперативности может пройти 1-2 дня прежде чем даже те кто всерьез
> озабочен своей безопасностью установят обновление.

Те, "кто всерьез озабочен", не обязаны ждать 1-2 дня.

> А ситуация "эксплойт опубликован до того как существенная часть желающих
> обновится" -- нехорошая.

Есть разница между патчем и эксплоитом.

> Собственно меня интересовало возможна ли публикация бинарника с
> исправлением до момента когда будет можно публиковать исходники. Ну нельзя
> так нельзя, это не мои проблемы -- это проблемы пользователей. Просто они
> получат одновременно бинарник с исходниками, но заметно позже чем могли
> бы.

Пользователи не обязаны получать исходники вообще.

Ладно, давайте завязывать с этой темой.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20090208/2994b877/attachment-0001.bin>

Подробная информация о списке рассылки Devel