刚喷完OpenSSL的人,会打自己的脸喷IE的0day漏洞吗?

弦歌 发布于 2014/04/28 23:54
阅读 1K+
收藏 0

OpenSSL心脏出血,一下引来无数喷子来喷开源软件。似乎开源社区哑口无言了。

这些微软IE出现0day漏洞。该怎么喷呢?

喷子说开源软件没有严格的测试,就是容易出问题。却看不到如果一旦出现漏洞,因为源代码是开放的,不仅无数开源人士能尽快积极修补,而且有能力的人自己也可以随时修补。

喷子说不开源的商业软件有严格测试,不容易出问题,即使有问题也很难被发现,被发现了源厂商也肯定会积极修补。这下IE出漏洞了,咋办?XP、IE6都不支持了。找谁去?

加载中
0
修改登录密码
修改登录密码

楼主喜欢喷?  跟谁有仇阿?

是软件就可能有bug  没什么奇怪的,喷要是能解决问题,我也来跟着你喷

0
z
zhoutianzuo

实在不想喷你,姑且称为颜射吧,xp和ie6有问题,何须解决,已经说了不支持了。ie有问题,微软会第一时间补丁,开源呢?你是不是发布了openssl的补丁?且不论开源不开源技术实力的好坏,记住一点,老外是诚信的,拿了钱,就会解决问题。开源的软件很多时候都会明说无保障。别说ie6不能退役,xp也不能退役,你买个苹果,也没有看到谁保修一万年

弦歌
弦歌
到底有没有看懂意思,就来喷了? 前段时间openssl出了bug,很多媒体就开始抨击开软软件,大吹商业软件的好处。 我的意思是说,如果是开源的软件,不仅有社区能持续解决问题,而且还因为是开源,所以有能力的人还可以自己解决掉Bug。 像IE这样,如果原厂不支持了,又不是开源,就基本没有解决方案了。是对前一段时间媒体和某些人抨击开源软件的反击。
0
ToughGuy
ToughGuy

公说公有理,婆说婆有理,愿意陷入这种无意义的讨论本来就是浪费时间,用开源自由软件或是闭源商业软件是你的自由,那些喜欢喷的人直接无视就对了,因为他们什么也不知道,因为他们天生喜欢鸡蛋里挑骨头,因为他们不崇尚自由(选择权利)... 

0
hangvo
hangvo

这种问题争了实在没意义,软件从来都是不可靠的,哪怕它可靠性99.999999999%,这个不分开源还是闭源

0
Gmail.com
Gmail.com

一旦出现漏洞,因为源代码是开放的,不仅无数开源人士能尽快积极修补,而且有能力的人自己也可以随时修补
OpenSSL漏洞都存在两年了,虽然完全开源但是谁发现过?谁去修补过?


Gmail.com
Gmail.com
回复 @弦歌 : 谁拦着你升级浏览器和系统了?这不叫解决?OpenSSL漏洞的解决难道就没有升级的过程?
弦歌
弦歌
IE 6推出13年了,这个bug谁发现过?现在发现了,谁能去修复?
0
南湖船老大
南湖船老大

开源好啊,怎么开源了一年才被google发现漏洞?

无数开源人士能尽快积极修补

无数在哪里?尽快在哪里?几十万开源斗士在用OPENSSL,谁去看了,谁去补了?如果不是google好运+良心发现,这个漏洞还要开源多久?

反过来,闭源就不安全?就没人管?BUG报告就不及时?

0
char1st
char1st

http://www.v2ex.com/t/110332#reply17

首先,像 OpenSSL 这样的项目只要嚷嚷一嗓子说我们需要钱或者需要人,是绝对不可能没钱没人的。其次, OpenSSL 的开发者很多都受雇于使用 OpenSSL 的大公司,所以你说它缺钱、缺人,这个也并不是那么说得过去的理由。 这次这事其实搞得我十分火大。实际上包括我们(FreeBSD)、Debian,甚至RedHat在内的人在这个漏洞正式公布之前几天都一直被蒙在鼓里,而与此同时这个漏洞本身却据说已经通过不正常的管道流出给了其他人。 我本人提前几天从一家大厂的非正式渠道得到了十分含糊不清的消息(OpenSSL有个漏洞),由于这是非正式渠道,所以我在第一时间立即写信给 OpenSSL 的开发人员求证,结果石沉大海,而后来则有人说我不应该提前得知这个消息。 直到 4 月 6 号晚上,RedHat的工程师(之前和对方没有任何联系,顺带在此表示感谢)才在 distros 列表发了一则简短的消息,大意是:“有漏洞,给我写信要补丁,统一 4 月 9 日发,CVSS 5.0”。同样没有细节,但我追过去邮件询问后,在两个小时后得到了完整的补丁和一些补充的细节。 而第二天一大早,OpenSSL 直接发布了新版、安全公告。正常的安全公告流程是先告知下游厂商并指定一个(通常几天,最多不超过三周)联合公告日期。直接发新版+公告是只有在发生了重大泄密事件,必须立即制止攻击时才应采取的做法。显然,以这个漏洞的严重程度来说,基本只要发生了泄密就必须立即采取断然措施了,但是具体在什么环节发生了泄密?泄密程度如何?我不知道,但是这样做的意味着所有我们这些下游操作系统的安全团队必须放开手里的其他工作,开始手忙脚乱地做补丁、写安全公告,等等。 事情发展到这个地步,想忍住不骂是很难的,Debian 的安全团队很快整理了一份时间线,我没顾上这事,后来也就没再跟这个话题,我觉得他们在网上发的那些东西已经是尽量压着怒气了。 说手忙脚乱是因为发安全公告这种事情需要一系列验证、测试等等。随着几家提前得知消息的机构在第一时间发表他们各自的 blog(比如某CDN说我们的顾客不受影响,实话实说我很想骂人:鬼知道他们之前什么时候升级的 OpenSSL,这漏洞存在两年了,你只是提前一个礼拜修正问题,怎么就那么有把握自己之前没受攻击?)、网站(比如某安全公司提前2天就注册了域名并发布的网站;这里提供的信息还是很有用的,虽然最开始有些事实方面的无伤大雅的小错误)等等,很快各大媒体开始以头条报道这次事件,所以除了公告之外,我们还需要向社区提供进一步的防御信息(这个是必要的)以及不断地辟谣:不断地有那种只看了标题就出来胡喷的伪技术人员出现,而你要跟这些人讲道理是很困难的,因为他们不仅不理解问题到底是什么,而且意识不到这一点。 当天下午,我收到了一封来自漏洞评级机构的邮件,将这个漏洞的严重程度直接上修成了极为罕见的 9.4。(满分是10;一两个星期之后重新修回了 5.0)。9.4分的评级,我看了、写了这么多年安全公告,这么高的评级可以说是头一次见到。 而另一方面,类似 CloudFlare 这样的厂商则提前得到了通知(据说不是 OpenSSL 通知的他们,我不知道是否属实,姑且相信吧)。我本人在随后和 OpenSSL 的人员沟通之后得到的答覆是 OpenSSL 没有提前告知任何人的义务,而他们提前发表公告的原因是发现了泄密。自然,这么说完全可以理解,但我不认为这种做法可以原谅。 所以,我不打算给 OpenSSL 捐款:OpenSSL缺的首先不是钱,而是领导力:时至今日,假如不是 OpenBSD 做的那个 libressl 的项目,有些2010年的漏洞不知道要到什么时候才会修,有时间集成新的代码而没时间去验证和应用别人的patch任由bug报告晒在那里风干,这作为一项基础安全软件实在是没办法接受的。 是的,没错,目前暂时没有合适的 OpenSSL 的替代品,但是这不代表以后不会有,另外至少就我观察, OpenSSL 到目前为止,虽然有在朝着好的方向迈进,但是步子似乎也太慢了一点。


弦歌
弦歌
你付钱给微软了没有?你付钱给openssl了没有?你有什么权利要openssl第一时间就给你修复?那你为啥不第一时间要微软给你修复IE6?
弦歌
弦歌
你信不信你现在写一万封邮件给微软,他也不会给你修复IE早先的版本?
0
vietor
vietor

没人能将屁股擦干净,只是都穿着内裤,别人看不出来而已。

0
弦歌
弦歌

就比如下雨了,你跑到一家人屋檐下躲雨,突然发现人家屋檐上有个洞,有个石子就从那个洞里掉下来砸你脑袋。于是你就开始觉得:特玛的,你为什么不把屋檐修好,我刚才发现那个石头要掉下来,已经提醒你修好屋檐了,你特玛还不理我,还不找工人来修。  ——那几个早几分钟看到石头的人,你们特玛也太不仗义了,也不叫一下我。——特玛的,以后我要建议政府所有人家都不能有屋檐!要告诉大家别人家的屋檐都是危险的!要号召大家都不要到屋檐下面去避雨,大家只能去买伞!

我还是去买把伞来避雨最好。可我买了一把伞,却发现这把伞也会漏雨。关键是这把伞包得严严实实的,到底哪里漏雨我也不知道。我去找卖给我伞的人。卖伞的人说:我这把伞,卖出去的时候就是漏的。但你现在买回去很久了,即使漏雨,我也没有义务给你修。也不会告诉你到底是哪里漏了。也不会让你自己去维修的。你爱哪玩哪玩去吧。

0
eechen
eechen

引用来自“南湖船老大”的评论

开源好啊,怎么开源了一年才被google发现漏洞?

无数开源人士能尽快积极修补

无数在哪里?尽快在哪里?几十万开源斗士在用OPENSSL,谁去看了,谁去补了?如果不是google好运+良心发现,这个漏洞还要开源多久?

反过来,闭源就不安全?就没人管?BUG报告就不及时?

开源了起码能让网络安全公司Codenomicon和Google通过code review发现漏洞并提交补丁。
Ubuntu等也于当天07-Apr-2014就为软件库里的OpenSSL打上了补丁,比如http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/

用户执行更新并重启Nginx服务即可:
sudo apt-get upgrade openssl libssl1.0.0
sudo service nginx restart

事实胜于雄辩,微软的IE和Adobe的FlashPlugin这两个典型的闭源产品爆出来的漏洞和被利用的漏洞还少吗

如果黑客扫出闭源产品的漏洞,估计等利用得差不多了才会抛出来,那时损失可能更大。
eechen
eechen
回复 @南湖船老大 : 开源软件频繁的更新除了功能的添加和完善当然还有bug的修复,尤以Linux Kernel、Chrome(Chromium)为代表。
eechen
eechen
回复 @南湖船老大 : 你抱着这样的态度不代表别人使用开源产品时也抱着同样的态度,否则Google也不会发现OpenSSL这个漏洞,Linux上也不会有更新管理器update-manager这些东西。
南湖船老大
南湖船老大
恰恰相反,开源软件的漏洞损失可能更大。因为开源软件的使用者抱着开源比闭源安全的错误观点,更容易麻痹自己。不安全不要紧,可怕的是不知道自己不安全
张亦俊
张亦俊
最后一句不能同意,发现漏洞从来不是容易的,无论开源闭源,漏洞一定会被利用。
返回顶部
顶部