Hlavní navigace

Názor k článku NXNSAttack: zastavte nový druh útoku náhodnými dotazy, aktualizujte resolvery od Vít Šesták - > Knot Resolver, který je až na konci...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 5. 2020 23:57

    Vít Šesták

    > Knot Resolver, který je až na konci – na něm už nezávisí nic.

    To je pravda, ale když jste začal tak obecná tvrzení, pustil jsem se též do obecných tvrzení.

    > Druhá věc je, že pokud takovýhle systémový balíček něco rozbije, mají se to dozvědět vývojáři upstreamu a opravit to. Ne že si to distributor pytlíkuje nějak po svém.

    Význam Debianu / RHEL / … není v tom, že byste měl ten stejný software, který má navíc patche od distributora. Máte starší software, do kterého jsou některé věci (zejména opravy kritických chyb) vyřešeny pomocí patchů od distributora.

    > Vyjde nová verze 5.6.1, dsitributor zjistí, že se něco v jeho distribuci rozbilo, tak verzi nevydává, ale zařídí opravu a v distribuci půjde ven upstream verze 5.6.2, kde už je to opravené.

    V ideálním světě ano. Ale reálně se může stát i spousta jiných věcí:

    a. Aplikace rozbije zpětnou kompatibilitu a oznámí to.
    b. Aplikace rozbije zpětnou kompatibilitu omylem, a projeví se to jen při speciálních konfiguracích.
    c. Aplikace bude formálně zpětně kompatibilní, ale třeba konfigurace se bude často spoléhat na nějakou nedokumentovanou vlastnost. Aplikace je v tom svým způsobem nevinně, ale reálně update způsobí problémy.

    Co z toho zvládne distributor detekovat a vyřešit? Nebude v některých případech backportování znamenat nižší riziko než rolling release?

    > Problematičnost updatu roste s tím, jak dlouhá doba uplynula od posledního updatu.

    Jestli narážíte na upgrady (např. z LTS na LTS), mohu si je naplánovat tak, abych měl čas řešit případné problémy, a nezastihlo mě to nevhod.