Programowanie Security release ok - ale czemu tak głośno?
Menu główne
Kategorie
- Grafika (9)
- Linux (7)
- Windows (12)
- Programowanie (29)
- Hardware (12)
- Optymalizacja (7)
- Programy (17)
- Felietony (19)
- Pozostałe (17)
- Ciekawe strony (8)
- Download (5)
Reklama
Recenzje
Ostatnie komentarze
- Ostatnio "odpicowałem" Foobara - owszem zwolnił troszkę, ale jego funkcjonalność...
- Obecne motto Winampa powinno brzmieć: "Crysis chodzi na FULL, a Winamp tnie jak ...
- Witam, Korzystam z Winampa od cholernie dawana. I uważam (mimo luk) wersja 2.91 ...
- Współczesny konsument powinien uodpornić się na manipulacje w stylu super mega m...
- Z pewnością można, tylko wtedy gdy to pisałem ciężko było dorwać PINOut, nie mó...
Security release ok - ale czemu tak głośno?
W programach zdarzają się błędy - to normalne i nieuniknione. Jak dziury to i poprawki... Tylko czy wraz z pojawieniem się łatki trzeba tak głośno krzyczeć o dziurach? Twórcy Joomli się tak załatwili i niech będzie to przestrogą dla innych! Otwarte pisanie o tym jakie błędy się łata i co można zrobić z aplikacją bez tej łatki nie jest ani mądre, ani twórcze.
Dyskretne łatki
Jeśli czytam: "Ukazała się łatka X do programu Y, zaleca się natychmiastową aktualizację" to nie dostarcza mi to informacji o błędzie jaki naprawia ta łatka, ale też nie powoduje, że ktoś zacznie się interesować niezałatanymi aplikacjami aż tak hurtowo. Bo błędzie w komponencie jooget miałem bardzo dużo wizyt z Google z frazy "powered by jooget". Super! Czytelników przybywa? No można i tak na to spojrzeć... Tylko co by było gdyby ktoś położył mi stronę? Czym prędzej pozbyłem się tego komponentu. Łatka wyszła po bardzo długim czasie i to mnie zniechęciło, pożegnałem się z joogetem raz na zawsze.
Upublicznianie dziur
Jeśli natomiast czytam: "Wersja 2.1 programu X zawiera lukę bezpieczeństwa polegającą na [...] zainstaluj wersję 2.2" to dochodzę do wniosku, że firma ma za idiotów swoich klientów. Propagowanie takich informacji zawsze będzie szkodliwe dla ludzi bez łatek!
Milczenie - błędów nie ma
Więc informować czy nie? Można oczywiście robić tak jak Microsoft, który ma małą wykrywalność dziur i udawać, że program jest bezbłędny. Szkodzi to jednak samej aplikacji jak i jej użytkownikom. "Internet Explorer 6 jest bezpieczny" Taaaa jasne!
Chwalenie się - błędy są poważne
Można robić jak jak team Joomli - opisywać na lewo i prawo swoje błędy i potem się dziwić, że ich własna strona padła trupem po wizycie specjalistów od bezpieczeństwa - hakerów.
Równowaga - tylko niezbędne info
Jest też trzecie wyjście. Pisać mało, a łatać dużo. Tak robią najlepsi np. Mozilla Foundation czy Corel. Userzy zadowoleni, że mają wspieraną aplikację, hakerzy strudzeni, bo muszą sami szukać dziur, a aplikacja żyje nadal i ma się dobrze :)
Łatki w naszych programach
Więc apel to małych koderów - jak się coś Wam kiedyś wysypie, to nie krzyczcie o tym na wszystkich forach tylko pracujcie nad łatką. Gdy to zrobicie opublikujcie ją i wtedy zacznijcie głosić wszędzie gdzie tylko można, że nowa wersja ma kilka poprawek w tym jedną krytyczną i zaleca się jak najszybszą aktualizację.
Nie opisuj błędów!
Coś takiego jak release notes bywa użyteczne, ale nie wytykajmy sobie tam błędów, a jedynie informujmy np.: poprawienie bezpieczeństwa. Czy moja koncepcja postępowania jest słuszna? Przykład Joomla pokazuje, że tak. Zawsze musimy pamiętać, że łatanie aplikacji zależy od userów i nie można założyć, że naniosą oni poprawkę w określonym czasie. Niczego takiego nie możemy być pewni zwłaszcza, że łatek do Windows xp jest już na setki MB, a poprawki Visty sięgają już wielokrotności GB. Nie każdy ma możliwość pobierać takie ilości danych...
Procek
| « poprzednia | następna » |
|---|
O blogu
Prowadzącym ten blog jest od 6 lat Krzysztof "Procek" Ścira - Obecnie student AGH. Blog traktujący o szeroko pojętej IT - można tu poczytać o zagadnieniach związanych z m. in. programowaniem, grafiką, hardware i systemami operacyjnymi. Warto dodać kanał RSS tego bloga do swojego czytnika.[Więcej]
