nebezpecnost sendmailu
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Pondělí Březen 4 09:42:24 CET 2002
Pavel Kankovsky wrote:
> > A tvrdim to prave z toho titulu, ze zrejme oba vime, jak je konkretne
> > v Linuxu (a nejen zde) zpracovan linking a to jak staticky, tak
> > dynamicky.
>
> Mozna mi neco unika, ale linkovani, ani dynamicke, ani staticke, s jinymi
> knihovnami vesmes nemiva za nasledek, ze se samy od sebe zacnou nahodne
> vyvolavat uplne libovolne casti kodu techto knihoven.
Myslim, ze to neni tak davno, co bylo nalezeno par chybicek primo napr.
v dynamickem linkovani => komponenta A byla sice bez chyby, ale byla
nahrazena Ax, ktera delala nekale veci a MTA to nemel sanci poznat
(teoreticky mozna mel, ale ktery software hlida toto? - a hlavne v
UNIXu?)...
> > MTA treba qmail sel cestou, ze si neco ubastli a neco vyuzije odjinud,
> > ovsem bez jakekoli zaruky - jak tedy muzete prohlasit o qmailu, ze je
> > bezpecny (resp. ze je bezpecnejsi nez jiny produkt pouzivajici stejne
> > komponenty)?
>
> Protoze chyby ve spolecnych komponentach jsou porad ty same, ale chyb
> ve vlastnim kodu bude v jednom pripade treba mnohem mene?
Ovsem toto je take pouze hypoteza, muze to byt pravda, ale take nemusi
- treba podle pravidla vice oci vice vidi. Murphyho zakony si ani
neodvazuji pripominat...:-)
> > Zustanme u volantu - volant bude vyroben z materialu, ktery reaguje
> > negativne treba presne s 25% dehtem => projevi se to jen u specificke
> > skupiny uzivatelu (kuraku - a to jen nekterych). Za beznych podminek
> > se i vyrobce domnival, ze vyrobil naprosto dokonaly volant a dodal ho
> > integratorovi, ktery ho zabudoval do auta. V okamziku, kdy se prislo
> > na chybu a v cem vezi je chybne co?
>
> Chyba vezi v tom, ze nekdo huli v aute. Pravdepodobnost, ze nastane
> havarie kvuli tom, ze volant nesnasi urcitou koncentraci dehtu, je
> zanedbatelna v porovnani s pravdepodobnosti, ze k havarii dojde kvuli
> tomu koureni samotnemu (zvlaste je-li provadeno samotnym ridicem za
> jizdy). ;)
A neni to nahodou u MTA vs. napr. viry uplne to same?
> > [...] jenze ktery produkt v Linuxu je opravdu ciste staticky
> > linkovany? Kdo zaruci, ze dotycny Syscall v kernelu dela presne to,
> > co dela apod.? A jsme zase u toho, ze bychom museli mit jednoho
> > integratora, ktery by to zarucil a vyzadoval by to od dodavatelu
> > komponent... - a to je kamen urazu, ktery vidim.
>
> A byl by krome tohoto manifestu beznadeje a defetismu i nejaky
> konstruktivni navrh?
Mam pocit, ze o tom mluvim porad - vsechny komponenty z duveryhodnych
zdroju, kde za funkcnost ruci dodavatel a integrator ruci za funkcnost
celku - nepripada mi to jako (nefunkcni a nefungujici) utopie.
> > protoze sendmail je dinosaurus a jeho pouziti je dobrovolna sebevrazda
>
> Ano, ja si to myslim, protoze je to hromada neuveritelne zpraseneho kodu
> (pripoustim, ze uplne nejnovejsi verze jsem nevidel...i kdyz o pokusech
> vycistit jednou zpraseny kod vim sve), ktera se konfiguruje zpusobem,
Kdyz uz jsme u toho, jak by se dal jinak nazvat zdrojak Linuxovyho
kernelu? (stejne jako p. Kankovsky nezna novejsi sendmaily, ja neznam
radu 2.3 ci 2.4, ovsem rada 2.0-2.2 je v mnoha ohledech vazne zazitek) -
a pritom je to komponenta, nad kterou stavime vsechno ostatni...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux