nebezpecnost sendmailu (Re: cerv adore)

[Pavel Kankovsky]

On Wed, 27 Feb 2002, Zdenek Pytela wrote:

> Obvykle se to říká tak, že aktuální verze sendmailu nemá žádné známé
> díry. To platí i pro ostatní MTA, takže se nedá říct, že zrovna jeden
> z nich je nejnebezpečnější.

Bezpecny program je takovy, ktery v sobe nema zadne diry, bez ohledu na
to, zda jsou nekomu zname ci nikoli. Cili ano, z absence prave znamych
der ci chyb obecne nelze cinit zadne zavery o (ne)bezpecnosti. Ovsem
existuji i jine metody.

> Za těchto okolností říct, že ostatní jsou bezpečnější, je stejné jako
> říkat to o windows, protože nikdo nemá zdrojový kód a o chybách
> vevnitř se veřejně nemluví.

Co rikat o Windows? (Mimochodem, zdrojovy kod Windows jsem nevidel, ale
prostudoval jsem nektere mensi useky binarek a dospel jsem k nazoru, ze
situace je mozna jeste horsi, nez jsem predpokladal.)

> Qmail je možná tak něco mezi, ale to je na samostatnou bitku (flame
> war).

Nemyslim, ze by mne nekdo mohl obvinovat z nekritickeho obdivu ke qmailu
nebo jeho autorovi, ale tento program jsem byl schopen prozkoumat do
takove hloubky a sirky, ze jsem ochoten predpokladat, ze tam zadna zavazna
chyba neni.

> > (Ovsem rekneme si otevrene, ze takovych programu je mnohem vic.)
> 	No právě. Potenciálně každý; pak se o některých dá říct, že jsou
> víceméně neškodné.

Asi si nejak nerozumime v otazce vyznamu fraze "neskodny". Ja si pod
slovem "neskodny" prestavuji program, co zpracovava vyhradne vstupy
z naprosto duveryhodnych zdroju, a tudiz jsou jakekoli chyby v nem
z bezpecnostniho hlediska irelevantni.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."