nebezpecnost sendmailu (Re: cerv adore)
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Únor 27 13:04:45 CET 2002
On Wed, 27 Feb 2002, Zdenek Pytela wrote:
> Obvykle se to říká tak, že aktuální verze sendmailu nemá žádné známé
> díry. To platí i pro ostatní MTA, takže se nedá říct, že zrovna jeden
> z nich je nejnebezpečnější.
Bezpecny program je takovy, ktery v sobe nema zadne diry, bez ohledu na
to, zda jsou nekomu zname ci nikoli. Cili ano, z absence prave znamych
der ci chyb obecne nelze cinit zadne zavery o (ne)bezpecnosti. Ovsem
existuji i jine metody.
> Za těchto okolností říct, že ostatní jsou bezpečnější, je stejné jako
> říkat to o windows, protože nikdo nemá zdrojový kód a o chybách
> vevnitř se veřejně nemluví.
Co rikat o Windows? (Mimochodem, zdrojovy kod Windows jsem nevidel, ale
prostudoval jsem nektere mensi useky binarek a dospel jsem k nazoru, ze
situace je mozna jeste horsi, nez jsem predpokladal.)
> Qmail je možná tak něco mezi, ale to je na samostatnou bitku (flame
> war).
Nemyslim, ze by mne nekdo mohl obvinovat z nekritickeho obdivu ke qmailu
nebo jeho autorovi, ale tento program jsem byl schopen prozkoumat do
takove hloubky a sirky, ze jsem ochoten predpokladat, ze tam zadna zavazna
chyba neni.
> > (Ovsem rekneme si otevrene, ze takovych programu je mnohem vic.)
> No právě. Potenciálně každý; pak se o některých dá říct, že jsou
> víceméně neškodné.
Asi si nejak nerozumime v otazce vyznamu fraze "neskodny". Ja si pod
slovem "neskodny" prestavuji program, co zpracovava vyhradne vstupy
z naprosto duveryhodnych zdroju, a tudiz jsou jakekoli chyby v nem
z bezpecnostniho hlediska irelevantni.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux