forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."
Отправлено Ordu, 22-Июн-19 08:18

>>> Про модель реальности - слишком сильное заявление.
>> Почему же? Потому что это лишь маленький кусочек модели реальности?
> И поэтому тоже, но в бОльшей степени потому что модель реальности на
> основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем
> в будущем как минимум не полна, а, возможно, и вообще некорректна.
Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров.

> Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например,
> если программа уже не развивается, а только поддерживается, новый функционал не
> добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней
> находили много (и часто) дыр, совершенно не факт, что тендеция сохранится.
> Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от
> старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот
> - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый
> опыт не помогает нам предсказать будущее. На мой взгляд, статистика и
> не для этого.
Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome.
>> Но фишка в том, что на вопрос "как часто" найти ответ проще
> Ну и что? Искать надо не там, где светло, а там, куда
> указывает контекст ситуации.
Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на измерении, если измерение произвести невозможно, то не будет и науки.
>> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.
> Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости,
> а результат работы каких-либо людей и не?налаженных процессов.
Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа вполне детерминировано, но термодинамика моделироует это движение игральной костью, и это позволяет перейти от микропараметров, типа положения и скорости движения молекул к макропараметрам, типа давления, объёма и температуры, и даже получить вполне детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что модель реальности должна иметь ту же структуру, что и реальность, но даже там игральная кость используется налево и направо, чтобы промоделировать те части реальности, которые не удаётся промоделировать правильно.
> Прекращение финансирования
> исследователей безопасности/падение популярности продукта может сильно повлиять и на
> число уязвимостей продукта, и на число внезапно обнаруженных дыр.
Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством указания на то, что она игнорирует какие-то существенные части реальности, то тебе необходимо показать, почему они существенны _при данном применении модели_.
> Да и не понятно, с какого дня начинать год отсчитывать.
С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о том, оставаться ли мне на ff или переходить на другой браузер, то грядущий рисковый период начинается сегодня.
> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day,
> оная "невысокая вероятность", как по мне, будет слабым утешением.
И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?
>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>> Одно другому совершенно не мешает.
> И не помогает.
Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.

Исходное сообщение
"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..." Отправлено Ordu, 22-Июн-19 08:18
>>> Про модель реальности - слишком сильное заявление. >> Почему же? Потому что это лишь маленький кусочек модели реальности? > И поэтому тоже, но в бОльшей степени потому что модель реальности на > основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем > в будущем как минимум не полна, а, возможно, и вообще некорректна. Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров. > Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например, > если программа уже не развивается, а только поддерживается, новый функционал не > добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней > находили много (и часто) дыр, совершенно не факт, что тендеция сохранится. > Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от > старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот > - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый > опыт не помогает нам предсказать будущее. На мой взгляд, статистика и > не для этого. Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome. >> Но фишка в том, что на вопрос "как часто" найти ответ проще > Ну и что? Искать надо не там, где светло, а там, куда > указывает контекст ситуации. Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на измерении, если измерение произвести невозможно, то не будет и науки. >> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года. > Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости, > а результат работы каких-либо людей и не?налаженных процессов. Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа вполне детерминировано, но термодинамика моделироует это движение игральной костью, и это позволяет перейти от микропараметров, типа положения и скорости движения молекул к макропараметрам, типа давления, объёма и температуры, и даже получить вполне детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что модель реальности должна иметь ту же структуру, что и реальность, но даже там игральная кость используется налево и направо, чтобы промоделировать те части реальности, которые не удаётся промоделировать правильно. > Прекращение финансирования > исследователей безопасности/падение популярности продукта может сильно повлиять и на > число уязвимостей продукта, и на число внезапно обнаруженных дыр. Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством указания на то, что она игнорирует какие-то существенные части реальности, то тебе необходимо показать, почему они существенны _при данном применении модели_. > Да и не понятно, с какого дня начинать год отсчитывать. С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о том, оставаться ли мне на ff или переходить на другой браузер, то грядущий рисковый период начинается сегодня. > А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, > оная "невысокая вероятность", как по мне, будет слабым утешением. И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём? >>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п. >> Одно другому совершенно не мешает. > И не помогает. Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>> Про модель реальности - слишком сильное заявление. >>> Почему же? Потому что это лишь маленький кусочек модели реальности? >> И поэтому тоже, но в бОльшей степени потому что модель реальности на >> основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем >> в будущем как минимум не полна, а, возможно, и вообще некорректна. > Любая модель некорректна. По определению. Любая модель начинается с того, что большая > часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного > браузера, я не учитываю фазу луны или изменение численности алтайских тигров. >> Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например, >> если программа уже не развивается, а только поддерживается, новый функционал не >> добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней >> находили много (и часто) дыр, совершенно не факт, что тендеция сохранится. >> Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от >> старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот >> - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый >> опыт не помогает нам предсказать будущее. На мой взгляд, статистика и >> не для этого. > Что из этого имеет отношение к firefox или к chrome? То есть, > я абсолютно согласен с тем, что надо учитывать все возможные влияющие > факты. Но я не вижу никаких таких фактов относящихся к ff > или chrome. >>> Но фишка в том, что на вопрос "как часто" найти ответ проще >> Ну и что? Искать надо не там, где светло, а там, куда >> указывает контекст ситуации. > Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на > измерении, если измерение произвести невозможно, то не будет и науки. >>> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года. >> Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости, >> а результат работы каких-либо людей и не?налаженных процессов. > Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в > состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа > вполне детерминировано, но термодинамика моделироует это движение игральной костью, и > это позволяет перейти от микропараметров, типа положения и скорости движения молекул > к макропараметрам, типа давления, объёма и температуры, и даже получить вполне > детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что > модель реальности должна иметь ту же структуру, что и реальность, но > даже там игральная кость используется налево и направо, чтобы промоделировать те > части реальности, которые не удаётся промоделировать правильно. >> Прекращение финансирования >> исследователей безопасности/падение популярности продукта может сильно повлиять и на >> число уязвимостей продукта, и на число внезапно обнаруженных дыр. > Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством > указания на то, что она игнорирует какие-то существенные части реальности, то > тебе необходимо показать, почему они существенны _при данном применении модели_. >> Да и не понятно, с какого дня начинать год отсчитывать. > С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать > от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о > том, оставаться ли мне на ff или переходить на другой браузер, > то грядущий рисковый период начинается сегодня. >> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, >> оная "невысокая вероятность", как по мне, будет слабым утешением. > И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к > тому, что я должен выбирать браузер с большей частотой нахождения дыр > в нём? >>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п. >>> Одно другому совершенно не мешает. >> И не помогает. > Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у > тебя исходно вероятность меньше, то после снижения она будет ещё меньше.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру