nebezpecnost sendmailu

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Pondělí Březen 4 09:42:24 CET 2002 

Pavel Kankovsky wrote:
> > A tvrdim to prave z toho titulu, ze zrejme oba vime, jak je konkretne
> > v Linuxu (a nejen zde) zpracovan linking a to jak staticky, tak
> > dynamicky.
> 
> Mozna mi neco unika, ale linkovani, ani dynamicke, ani staticke, s jinymi
> knihovnami vesmes nemiva za nasledek, ze se samy od sebe zacnou nahodne
> vyvolavat uplne libovolne casti kodu techto knihoven.

	Myslim, ze to neni tak davno, co bylo nalezeno par chybicek primo napr.
v dynamickem linkovani => komponenta A byla sice bez chyby, ale byla
nahrazena Ax, ktera delala nekale veci a MTA to nemel sanci poznat
(teoreticky mozna mel, ale ktery software hlida toto? - a hlavne v
UNIXu?)...

> > MTA treba qmail sel cestou, ze si neco ubastli a neco vyuzije odjinud,
> > ovsem bez jakekoli zaruky - jak tedy muzete prohlasit o qmailu, ze je
> > bezpecny (resp. ze je bezpecnejsi nez jiny produkt pouzivajici stejne
> > komponenty)?
> 
> Protoze chyby ve spolecnych komponentach jsou porad ty same, ale chyb
> ve vlastnim kodu bude v jednom pripade treba mnohem mene?

	Ovsem toto je take pouze hypoteza, muze to byt pravda, ale take nemusi
- treba podle pravidla vice oci vice vidi. Murphyho zakony si ani
neodvazuji pripominat...:-)

> > Zustanme u volantu - volant bude vyroben z materialu, ktery reaguje
> > negativne treba presne s 25% dehtem => projevi se to jen u specificke
> > skupiny uzivatelu (kuraku - a to jen nekterych). Za beznych podminek
> > se i vyrobce domnival, ze vyrobil naprosto dokonaly volant a dodal ho
> > integratorovi, ktery ho zabudoval do auta. V okamziku, kdy se prislo
> > na chybu a v cem vezi je chybne co?
> 
> Chyba vezi v tom, ze nekdo huli v aute. Pravdepodobnost, ze nastane
> havarie kvuli tom, ze volant nesnasi urcitou koncentraci dehtu, je
> zanedbatelna v porovnani s pravdepodobnosti, ze k havarii dojde kvuli
> tomu koureni samotnemu (zvlaste je-li provadeno samotnym ridicem za
> jizdy). ;)

	A neni to nahodou u MTA vs. napr. viry uplne to same?

> > [...] jenze ktery produkt v Linuxu je opravdu ciste staticky
> > linkovany? Kdo zaruci, ze dotycny Syscall v kernelu dela presne to,
> > co dela apod.? A jsme zase u toho, ze bychom museli mit jednoho
> > integratora, ktery by to zarucil a vyzadoval by to od dodavatelu
> > komponent... - a to je kamen urazu, ktery vidim.
> 
> A byl by krome tohoto manifestu beznadeje a defetismu i nejaky
> konstruktivni navrh?

	Mam pocit, ze o tom mluvim porad - vsechny komponenty z duveryhodnych
zdroju, kde za funkcnost ruci dodavatel a integrator ruci za funkcnost
celku - nepripada mi to jako (nefunkcni a nefungujici) utopie.

> > protoze sendmail je dinosaurus a jeho pouziti je dobrovolna sebevrazda
> 
> Ano, ja si to myslim, protoze je to hromada neuveritelne zpraseneho kodu
> (pripoustim, ze uplne nejnovejsi verze jsem nevidel...i kdyz o pokusech
> vycistit jednou zpraseny kod vim sve), ktera se konfiguruje zpusobem,

	Kdyz uz jsme u toho, jak by se dal jinak nazvat zdrojak Linuxovyho
kernelu? (stejne jako p. Kankovsky nezna novejsi sendmaily, ja neznam
radu 2.3 ci 2.4, ovsem rada 2.0-2.2 je v mnoha ohledech vazne zazitek) -
a pritom je to komponenta, nad kterou stavime vsechno ostatni...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux