Hlavní navigace

Názor k článku NXNSAttack: zastavte nový druh útoku náhodnými dotazy, aktualizujte resolvery od Filip Jirsák - Mýlíte se ve dvou věcech – v tom,...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 5. 2020 22:35

    Filip Jirsák

    Mýlíte se ve dvou věcech – v tom, že backport je relativně bezpečný, a v tom, že všechny chyby lze opravit backportem. To, že backporty existují, neznamená, že řeší nějaký problém ani že žádný nevytváří.

    Zrovna nedávno jsem někomu potvrzoval, který commit se vztahuje k jedné hlášené bezpečnostní chybě. Dotyčný si commit backportoval a byl spokojen, jak bezpečnostní problém vyřešil. No, nevyřešil nic, protože ten commit zaváděl novou bezpečnější variantu problematické funkce, protože tu původní není možné změnit – mohlo by to rozbít existující kód. Takže oprava té chyby znamená především začít volat tu novou funkci. Což samozřejmě dotyčný neudělá – za prvé nerozumí podstatě problému, za druhé by musel upravit všechny aplikace, které to používají.

    Ale backport byl proveden a v tabulce je možné si to odškrtnout jako splněné.