Názory k článku Útoky na software zevnitř a elektřina v autě i doma, OpenAlt 2025

Vie niekto preco nebola prednaska o PKCS11? Pripadne ci nejestvuju k nej slaidy?

Vime, rymicka. Podstatne vetsi sanci na odpoved mas na oficialnich kanalech openaltu nez u diskuse pod nahodnym clankem ke konferenci.

Taky mě to zajímalo. Našel jsem po doporučení Dmitriho: https://2025.openssl-conference.org/speaker-sessions/detail-108_1292833#sectionLink

Bohužel záznam jsem nenašel.

"Používám stejná Windows jako ty největší korporace na světě s nejdražšími právníky."
Tak toto taky neni pravda.

A co je pravda?
A ma to vliv na smysl toho tvrzeni?

11. 11. 2025, 22:48 editováno autorem komentáře

Velke firmy nebo statni instituce maji specialne verze windows. A to nemluve o zaplatach ktere se dodavaji jen nekterym.
Valasek pouzil prirovnani ktere jde pochopit ale v praxi je kazdy windows jiny.

11. 11. 2025, 23:10 editováno autorem komentáře

Ale ono to stejne funguje i v OSS. Minimalne v castecne forme... kdy v ramci "embarga" se ta informace o zranitelnosti dostane jek nekomu. To embargo samo o sobe je z pohledu velikosti casoveho okna dosti flexibilni. A samozrejme jako koncovy uzivaetel nikdy nemam jistotu v tom smeru, ze nekdo s dostupem informace v ramci embarga ji... ehm... nezneuzije. Porad se bavime o dvousecnych zbranich - aneb ano, responsible vulnerability reporting dava smysl... ale ma to i sve mouchy. A i kdyz tohle vsechno prekousnu, porad ten fix muze vic problemu zpusobit nez vyresit....

V tomhle smeru kazdopadne nedava smysl hejteni "specialnich verzi" specificky k Windows smysl uplne nedava. Je to vec k hodne velke diskuzi - aneb ano, na jedne strane dava smysl diry tutlat do chvile, nez si je upstream fixne - ale to taky muze trvat dlouho, a samozrejme v momente kdy to neni uplne public neni az takovy tlak na rychlou opravu... a nebo rovnou publikovat, ze tam ta dira je.. a pak i ten tlak na vendora bude jiny - ale samozrejme s rizikem, ze ta informace o dire bude jinde zneuzita driv, nez se to staci opravit.

> Je to vec k hodne velke diskuzi - aneb ano, na jedne strane dava smysl diry tutlat do chvile, nez si je upstream fixne

ved presne toto spominal aj ten chlapik na prednaske o vvyoji opern source, ze oni realne nemozu byt az tak open, prave kvoli dieram, bugom alebo pripravu na novinky od roznych zakaznikov.

Maju ten isty Windows, to iste jadro. Len napriklad vo verzii Pro, ktora nevedie pouzivatela za rucisku a je viac customizovatelna napriklad cez GP a je pripojeny do AD-cka.

A to jsme do diskuze nezatahli antivirove programy.

Inac tam nakonci prednasky o ZX util sa chcalpik branil, ze sa na to prislo prave kvoli tomu, ze boli open source, ale to nedava zmysel, lebo ten co objavil danu chybu zdrojaky ZX nevidel ,nehlada a bral to ako binarnu zavislost... keby je to uzavrety softver pride sa na to rovnako.

Přišel na to při testování výkonu. Díky tomu, že to bylo open source, mohl on a další hned studovat, proč je to pomalejší, a na ten útok přijít. Jak myslíte, že by to dopadlo, kdyby to byla uzavřená knihovna? Nahlásil by to jako malou výkonnostní regresi, vývojáři by si vyhodnotili jako nezásadní pro produkt a trčelo by to někde na dně backlogu.

Keby to je uzavreta kniznica tak to dopadne rovnako, nahlasi CVE a tvrocom kniznice. Stale tu jestvuje dost naivna predstava, ze bezpecaci studuju kody - je to ojednicele, oni sa na systemy pozeraju ako blackboxy a veci si vedia vhodnymi nastrojmi dotracovat.

Kdo by to CVE nahlásil? On přišel jen na výkonnostní regresi, bezpečnostní problém odhalil až studováním kódu, který by u uzavřené knihovny logicky neměl k dispozici.

Ale pri ZX utils nebola zranitelnost v kode (pre to ho povazujem za amatersky utok).

„Program je napsaný v Pythonu s pomocí knihovny Qt a využívá nativní grafické prvky operačního systému.“
Odkdy QTčko používá nativní komponenty?

QT je takovej hybrid, na nektery veci pouziva nativni veci.

https://forum.qt.io/topic/141103/why-not-use-native-widgets/2