Hlavní navigace

Názor k článku NXNSAttack: zastavte nový druh útoku náhodnými dotazy, aktualizujte resolvery od Danny - To je samozrejme pekna teorie :-) Provozni praxe...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 5. 2020 18:02

    Danny

    To je samozrejme pekna teorie :-) Provozni praxe je vyrazne slozitejsi - a skutecne zodpovedni vyvojari si toto jiz dlouhodobe samozrejme uvedomuji, takze mame long-term vydani kernelu, ESR vydani produktu z dilny od Mozilly, ESV Bindu, atd. atd.

    A ono kdyz si pozorne prohlidnete zmenove dokumenty i ke kresd, tak velmi rychle narazite na ruzne mozne problemy s rychlym prechodem na nejnovejsi verzi. Takovy prechod se logicky pochopitelne hure automatizuje i v porovnani s ciste bezpecnostnimi aktualizacemi v ramci jedne verze (optimalne vytvorenymi primo vyvojari, vyse je demonstrovano, ze toto se jinde deje), ktere ovsem vesmes nijak nezasahuji chovani aplikace - at jiz z pohledu treba API, nebo i jen konfiguraci.

    Ono to neni jen o tom, ze si upgradnete ten jeden konkretni software, ale nekdy je nutna uprava i v navazanem ekosystemu. A ta neni v praxi vzdy realizovatelna ihned. Bohuzel praktickym dusledkem toho je, ze uzivatele namisto provedeni alespon te bezpecnostni aktualizace zaplatujici tu konkretni zranitelnost projistotu... neaktualizuji vubec nic a provozuji derave sluzby. Nova major verze jim neco funkcne rozbije, a aktualizace pro tu starsi proste neni... a ted, babo rad :-) Prave proto, ze je rok 2020 je treba mit na zreteli i moznou komplexitu koncovych instalaci a netvarit se tak, ze to prece neni vyvojaruv problem, kdyz ten se rozhodne udelat nekompatibilni zmeny a soucasne se uzivatelum realne ani neposkytne cas k adaptaci - ktera mimo jine casto zahrnuje i nejake komplexnejsi testovani ve vlastnim prostredi vynucene prave temi novymi funkcemi v kodu, ktere jsou obcas i zpetne nekompatibilnimi. Ono i tohle testovani k roku 2020 proste patri.

    A presne to je smyslem tech ruznych extended-support verzi, kde se jen opravuji bezpecnostni chyby, aniz by se zasadne menila jejich okolni funkcionalita a tudiz se znacne omezi riziko funkcniho rozbiti koncove instalace pri oprave bezpecnostnich der. Je dopredu znam zivotni cyklus takovych verzi, a casto mimo jine take znamo, kdy cca lze ocekavat novou verzi verzi - s delsi bezpecnosnti podporou delsi nez dva-tri mesice. Nektere distribuce defacto jen supluji praci primarnich vyvojaru.

    Nebo take muzeme pristoupit na tezi, ze kresd je opravdu jen pro hrave geeky a do skutecne produkcniho prostredi se az tak moc nehodi.... kdyz holt je dulezitejsi mit kazde dva mesice novou verzi s novymi funkcemi ;-)