nebezpecnost sendmailu (Re: cerv adore)

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Středa Únor 27 19:14:55 CET 2002 

Ondřej Surý wrote:
> >       To je ale zcestny argument... - proboha, pokud pouzivam nejakou
> > komponentu, byt z 10%, jak mohu garantovat, ze ackoli komponenta je v
> > techto 10% bezchybna, tak muj produkt je bezchybny, ackoli zbylych 90%
> > komponenty je deravych az hanba... - mame tu dynamicky linking a pokud
> > se mi prilinkovava za behu komponenta, mohu provest utok na jinou cast
> > (v tech 90%) a tim zdiskriminovat i puvodne bezchybny kod... trochu mi
> > to pripomina slepou duveru...'-) Nehlede k tomu, ze mohu provest utok
> > prave na dynamicky linking a jsme presne na zacatku - tedy, ze mame neco
> > co je sice napsano dobre, ale vyuziva to casti, o kterych nejsem
> > opravnen prohlasovat naprosto cokoli...
> 
> tohle je taky zcestny argument, abych napsal produkt, ktery by byl podle
> vas bezchybny, musel bych si navrhnout a ubastlit vlastni HW, pro nej
> vlastni operacni system, vlastni systemove knihovny, vlastni kompiler atd...

	Ehm... a Vy si vazne myslite, ze v oblastech, kde se hovori o
'opravdove bezpecnosti' a ne o 'bezpecnosti v dnesnim popularnim
vyznamu' se deje jinym zpusobem nez vyse popisujete? Nikde neni receno,
ze vse si 'ubastli' dodavatel nejakeho systemu, nicmene i ten ma
dodavatele komponent a kazdy za svou komponentu (hw, sw, sluzba apod.)
ruci velmi vysokymi sankcemi... Pravda, medialne zajimava je pouze ta
cast 'pruseru' kdy se neco provali, ze neco nefunguje apod. (vcetne
napr. shorelych druzic), co to vsak v backgroundu znamena se uz v
mediich nedoctete...

> a to asi neni ta spravna cesta, pokud chci zachovat alespon zakladni
> portabilitu, tak musim vyuzit alespon "open" misto "fopen", ktere uz dela
> nejake to bufferovani apod.

	Proc? je volani fopen soucasti ANSI C? Ano je, fine, kazdy dodavatel
prekladace a zakladnich knihoven splnujici ANSI C89 mi toto volani musi
poskytnout nebo s nim nemam o cem mluvit. Takto mohu pokracovat dale a
dale.

	Pokud nekdo dava na neco zaruku, dava to pouze na presne specifikovanou
cast, kterou sam 'vyrobi' a presne vi o vnitrnostech a nebo to posklada
z jinych, u kterych si vsak vlastni nabizenou zaruku pojisti velmi
vysokymi sankcemi...

> co se tyce dynamickeho linkingu, tak mohu lehce zkompilovat qmail staticky
> nebo jej kompilovat oproti dietlibc (take staticky).

	Prominte, ale jste (bez urazky) docela naivni, pokud si myslite, ze
timto jste vycerpal utocnikovi moznosti v OS typu UNIX...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux