Názory k článku
Google představil Chrome Enterprise, chce dostat Chrome OS do firem

No díry v Chromu jsem sem zatáhnul nejspíš protože ChromeOS je Linux bootující do Chrome browseru, a předřečník říkal, že ChromeOS bude mít nějaké přínosy v oblasti bezpečnosti.

Pokud jde o "vymývání mozků" a "děravé sračky", tak jsem na číslech doložil, že máte vymytý mozek, protože i Linux kernel je daleko víc děravá sračka, než celé Win10. Všem slušným diskutérům se omlouvám za ten jazyk - tenhle člověk, soudě podle jeho příspěvků, rozumí jen vulgaritám.

Ad ve zmíněné statistice je uvedeno pouze absolutně nic neříkající "Linux Kernel", což pravděpodobně znamená něco jako "celkový počet všech zranitelností, nalezených za dané období ve kterékoliv tehdy existující verzi Linuxu", což celou situaci velmi zkresluje - v případě Windows 10 je to také pravděpodobně něco jako "celkový počet všech zranitelností, nalezených za dané období ve kterékoliv tehdy existující verzi Windows 10". Navíc zranitelnosti ve velkém procentu případů jdou skrz více verzí.

Ad přece vůbec nelze srovnávat "Linux" a "Windows *", protože první je pouze "jádro včetně obsažených driverů", zatímco druhé je "celá distribuce" - jistě, regulérní srovnání by bylo Linux kernel vs. Windows kernel. Jenže čísla pro samotný Windows kernel nemáme. Nicméně celé Windows 10, i s těmi GB funkcionality nad kernelem, měly těch zranitelností méně, než pouhý kernel Linuxu. Fakt vám připadá, že to nemá žádnou vypovídací hodnotu?

Ad se snažíte manipulovat daty z uvedeného zdroje ve snaze získat rádoby důkaz svého tvrzení - naopak Linux kernel má ve srovnání, které jsem uvedl, obrovskou výhodu. Opakuji že se srovnávají zranitelnosti pouhého Linux kernelu se zranitelnostmi celých Windows 10.

Ad přece nebudu věřit nějaké statistice, kterou jsem sám předem důkladně nezmanipuloval - no když myslíte :)

Super, jestli máte nějaká konkrétní čísla, rád se na ně kouknu. Ovšem upozorňuji, že může záviset na tom, jak se ke zveřejňování zranitelností staví ti, kdo je objevili. A to autoři SW moc neovlivní. Dále: jedna věc je jestli je zranitelnost opravená ve zdrojáku kernelu, další jestli je patch otestovaný, přijatý distribucemi, a opravdu nainstalovaný na koncových strojích. Když totiž máte domácí WiFi router s tisícem zranitelností, tak je fajn, že autoři kernelu opraví tisící první zranitelnost, ale k vám se oprava nejspíš nikdy nedostane. A to není jediný scénář, jak je vidět na tom, že třeba u heartbleed bugu byly skoro tři roky po zveřejnění pořád zranitelné stovky tisíc webů.
https://www.theinquirer.net/inquirer/news/3003092/heartbleed-200-000-websites-and-systems-still-vulnerable-to-openssl-bug

Konkrétní statistiky by mě zajímaly už z principu. Každopádně, v Debianu, Fedoře a Archu mám záplaty kernelu často do druhého dne od zveřejnění zranitelnosti, u Windows je to často minimálně měsíc už z principu měsíčních vydání záplat.

V druhé části postu už je to čistá demagogie. Těžko můžeme vinit kernel Linuxu za neschopnost některých výrobců SOHO HW dodávat aktualizace. Stejně tak můžu vytáhnout Wanna Cry, který se šířil za použití už opravené zranitelnosti ve Windows. Nebo vinit Microsoft za to, že výrobce zubního rentgenu který používá kamarádka odmítl vydat ovladače pro Windows vyšší verze než XP, takže má v ordinaci silně zranitelný počítač (teď už naštěstí ve virtuálu bez možnosti komunikovat po internetu, ale kolik zubních klinik, nemocnic, továren s CNC stroji tohle neřeší?)

Každopádně, v Debianu, Fedoře a Archu mám záplaty kernelu často do druhého dne od zveřejnění zranitelnosti,...

To je dost pozde, vetsinou opravy chodi spis pred zverejnenim. Tedy pokud to nejaky blb nenahlasil spravcum dister tim, ze to zverejnil bez varovani na Internetu.

Ad Konkrétní statistiky by mě zajímaly už z principu - jak jsem psal: pokud se vám nelíbí čísla, která jsem uváděl, tak přineste nějaká lepší.

Ad v Debianu, Fedoře a Archu mám záplaty kernelu často do druhého dne od zveřejnění zranitelnosti, u Windows je to často minimálně měsíc už z principu měsíčních vydání záplat - řada zranitelností ve Windows je zveřejněná až po uveřejnění patche. Samozřejmě se to nepovede vždy, a to platí bez ohledu na OS.

Ad Těžko můžeme vinit kernel Linuxu za neschopnost některých výrobců SOHO HW dodávat aktualizace - mluvilo se tu o tom, jak je Linux bezpečný ve srovnání s Windows (mimochodem jsem s tím nepřišel já). Pokud hovoříte o počtu dnů mezi zveřejněním zranitelnosti a patchem, tak je třeba si na prvním místě ujasnit, co míníte tím patchem. To že někdo napsal patch pro Linux kernel? To že ten patch někdo otestoval? Nebo to že ho zahrnulo první distro, pět nejpoužívanějších dister, distra které pokrývají X% uživatelů (desktopu, serveru)?
Na druhém místě je jistě rozdíl mezi tím když na jedné straně zveřejníte zdroják patche, řeknete "hotovo", a desítky instalací kernelu ty patche vůbec nedostanou (natož aby je dostaly do pár dní), a na druhé straně když každý uživatel má Windows Update, který mu dost drsně vnutí opravy Solitairu, kernelu, a dokonce i upgrade na Win10 :)

Ad výrobce zubního rentgenu který používá kamarádka odmítl vydat ovladače pro Windows vyšší verze než XP - jinými slovy vaše kamarádka je bez aktualizací. A teď si představte, že v takové situaci jsou prakticky všichni uživatelé telefonů, WiFi routerů, ADSL modemů, set top boxů, a všech těch chytrých TV, ledniček a dalšího digitálního smetí, typicky po uplynutí cca 2 let od koupě zařízení. A ti kteří aktualizace ještě dostávají, tak je dostávají s velikým zpožděním (telefony), nebo si je musí sami najít, stáhnout a nainstalovat (WiFi routery, ADSL modemy, set top boxy atd.), což neumí, takže jsou stejně bez aktualizací. Jako sorry, ale zlaté Windows. I ta vaše kamarádka měla aktualizace na WinXP 12.5 roku.

Když totiž máte domácí WiFi router s tisícem zranitelností, tak je fajn, že autoři kernelu opraví tisící první zranitelnost, ale k vám se oprava nejspíš nikdy nedostane.

To je bohuzel pravda. Take je pravda, ze tohle se u Widli stat nemuze. Domaci router/modem s Widlemi jsem totiz videl jen jednou na obrazku a to uz je dlouho.

Za neopraveny Heartbleed si muzou debilove spravci. Chyba byla znama, mohli zaplatovat, zaplaty byly v repu jiz pred zverejnenim, jestli se dobre pamatuju.

Ad Domaci router/modem s Widlemi jsem totiz videl jen jednou na obrazku a to uz je dlouho - no a asi proto máte nejspíš ten domácí router/modem děravý jako řešeto. Gratuluji.

Ad Za neopraveny Heartbleed si muzou debilove spravci - souhlas, ale uvědomte si, že automatické aktualizace na Linuxu jsou dost riziková záležitost. Dost často po nich totiž patchovaná (nebo jiná) část prostě nenajede, a/nebo je potřeba nějaký manuální zásah.

souhlas, ale uvědomte si, že automatické aktualizace na Linuxu jsou dost riziková záležitost. Dost často po nich totiž patchovaná (nebo jiná) část prostě nenajede, a/nebo je potřeba nějaký manuální zásah.

Jednak to na kriticken systemu nemusi admin aktualizovat automaticky, jednak mi pripada nenabehnuti systemu nebo nejake sluzby jako mensi problem, nez kdyz do systemu nabehne nejaky kuberlump nebo cerv a udela si z toho cochcarnu.

hci videt, jak budes generalite vysvetlovat, ze sice firma uz 3 dny stoji, ale ze to je OK, protoze si opatchoval.

Tak budto ti generalita da pravomoci patchovat, protoze povazuje bezpecnost za prioritu nebo generalitu o riziku informujes, at si to soudruzi rozhodnou sami. Pokud rozhodnou proti patchovani, tak to bude jejich problem. Muzou take prejit na Widle, ty budou rebootovat samy jednou za mesic a nikdo nevi, jestli nabehnou a jak.

Ad Muzou take prejit na Widle, ty budou rebootovat samy jednou za mesic a nikdo nevi, jestli nabehnou a jak - předpokládám že admin umí nastavit na serveru restart options, a servery se by default nerebootují automaticky. Na rozdíl od Linuxu patche nevyžadují manuální zásahy. A za tu spoustu let se mi ještě nikdy nestalo, že by server s Windows po patchování nenaběhnul nebo nefungoval. Neříkám že se to stát nemůže, ale z nějakých pár incidentů bych nevyvozoval závěry pro tu spoustu serverů, které všude na Windows běží.

Z praxe: systém je postavený "ze šuplíku", se "zapékanou" základní deskou, jak popisují na rootu. Je umístěný v case, který dotyčný našel ve sběrných surovinách. Chybí mu víko, ale to nevadí, protože s těmi dráty, kabely a spol. by se to stejně nedalo zavřít. Tenhle stroj sedí někde na hostingu na polici. Úkolem majitele stroje je nabrat dostatečný počet nešťastníků, kterým "udělá web", a vyjma jednorázové částky za zprznění nějakého free templatu z toho pak dostane měsíční platby. Když se to povede, tak to dotyčnému zaplatí nájem, a ještě hulení na celý měsíc. Samozřejmě se nepatchuje, protože když to dotyčný před rokem zkusil, tak to rozbilo půlku webísků, a musel pak mít týden vypnutý telefon, aby zákazníci přestali otravovat. Zálohování se také nedělá, protože externí disk má cenu cca 20 gramů hulení, a když si má člověk vybrat, tak jsou priority jasné :)
https://www.root.cz/serialy/stavime-domaci-server-ze-supliku/

Pokud máte lepší metriku, dejte sem čísla, rád se podívám.

Fanoušci Linuxu dlouhé léta upozorňovali na to, že Windows mají daleko větší počty zranitelností. To mělo různé důvody, včetně daleko většího rozšíření Windows, a jistých interních problémů MS. Je ale zajímavé pozorovat, že když má Linux daleko víc zranitelností než Windows, tak na počtu zranitelností najednou vlastně nezáleží. Když je X<Y, tak je X lepší. Když je X>Y, tak na tom znaménku vlastně nezáleží, a X je lepší. IMHO LOL.

Hm. Máme tři parametry. Počet chyb, závažnost a rychlost opravy. Pokud je OS špatný ve všech třech, je méně bezpečný. Pokud je OS najednou o něco lepší, ale jen v jednom ze tří (přičemž dva zbylé jsou alespoň dle mého důležitější, pokud není rozdíl v tom jednom opravdu kritický), je pro mě stále méně bezpečný.

Jak říkám, přineste čísla. A berte v úvahu co jsem psal o jejich hodnocení.

To mělo různé důvody, včetně daleko většího rozšíření Windows, a jistých interních problémů MS.

Jak souvisi rozsireni s poctem zranitelnosti?

Jinak na poctu nezalezi, zalezi na poctu dni, po ktere je system nezaplatovtelny. U MS take mesic nebo nekolik, ne-li nekolik let.

Ad metrika je jednoducha - super, přineste čísla. Pak se můžeme dohadovat o jejich interpretaci :)

Ad Linuxaci horeli nedockavostou kedy bude konecne vydana zaplata... - o něco výš jsem linkoval tohle.
https://www.theinquirer.net/inquirer/news/3003092/heartbleed-200-000-websites-and-systems-still-vulnerable-to-openssl-bug

Ad budu komentovat "bezpečnost" proprietární technologie a argumentovat daty ze zmíněného zdroje - nalinkoval jste skvělou stránku: počet celkových zranitelností podle produktu, od začátku věků. Na prvním místě vede... Linux kernel! Na druhém místě... MacOS X! A čestné třetí místo má Google Chrome. Takže ano, máte pravdu, je to jiné než data za minulý rok. V roce 2016 totiž "vedl" Android.

Ad jedině grafem tady dole a kdopak nám to tam obsadil všechny medailové pozice - máte na mysli počty zranitelností podle vendora? A napadlo vás, že někteří vendoři mají jen jeden produkt, a jiní třeba stovky? A že jeden produkt má pár řádek kódu, kdežto jiný pár desítek milionů řádků? Takže podle vás by byl nejlepší vendor Franta Vocásek, který napsal celkem jednu řádku kódu, která dostala CVE? :) Aha...

Ad inherentní rozdíly vyhledávání problémů v programech s veřejným vs. tajným zdrojovým kódem a upstream drivery - Windows mají v už dodávce nejspíš víc driverů, než kolik jich pro Linux vůbec existuje. Pokud jde o hledání zranitelností, tak k tomu zdroják vůbec nepotřebujete. Kdo se tím opravdu zabývá, tak čte disassembler view v debuggeru lépe, než my dva dohromady Cčko :)

Ad kolik zranitelností navíc by se asi našlo ve všech driverech, obsažených v oficiální standardní distribuci všech dosud vydaných verzí Windows - ty drivery jsou součástí Windows, takže by snad jejich zranitelnosti měly být započítány do zranitelností Windows. Pro zajímavost, kolik procent zranitelností linuxového kernelu je podle vás v driverech zařízení, a máte k tomu nějaká čísla?

Ad co z toho svědčí o neustále rostoucím počtu jednotlivců i organizací se schopnostmi, možnostmi a ochotou spolupracovat na řešení společných problémů... zanedbávání obrovského technologického dluhu - no to opravdu nevím. Linux se jako projekt tak trochu rozpadá. Počty zranitelností narůstají, počty regresí také, rozšíření na desktopu je nepovedlo, Steam Machines umřely. Pod pojmem technologický dluh si představuji na Linuxu třeba absenci threadingu (1991-2004!), Big Kernel Lock (1991-2011!), absenci API pro správu systému (založení uživatele, zjištění stavu služeb, změna IP adresy - dodnes), existenci stovek typů terminálů namísto slušného API... a samozřejmě "skvělou" věc jménem X11. Tu zároveň můžeme použít, abychom demonstrovali "ochotou spolupracovat na řešení společných problémů". X11 je naprostá příšernost, přežitá už cca tři dekády. Pokusy o náhradu (Mir, Fresco/Berlin, Xynth, Y, Z) skončily vždycky nezdarem, protože se párkrát bez koncepce koplo do země, a šlo se dál. Naposledy tu byl velký souboj Wayland vs Mir, kde obě skupiny dělaly víceméně totéž, akorát trochu jinak, a u toho po sobě vzájemně kydaly špínu. To je bohužel standardní mód té "ochoty spolupracovat". Vyhrál Wayland, který bohužel neřeší kreslení primitiv, neřeší fonty, neřeší tisk, a neřeší ani vzdálený přístup. Wow. Opět budete mít na Linuxu nejhorší zobrazovací systém, jaký je na trhu k dispozici. A to je prosím výsledek tří dekád snahy o nahrazení X11. Podobně se "ochotně spolupracovalo" na widget toolkitech, takže máte Qt, LessTif, GTK+, Skia, FLTK, Fox toolkit, Nana C++, wxWidgets, TnFOX, Ultimate++, CEGUI, IUP, JUCE, EFL a kdo ví co ještě. Než dopíšu příspěvek, dost možná vznikne nebo zanikne další widget toolkit.
Vývoj Linuxu je obecně naprosto nekoordinovaný, více skupin dělá podobné věci bez jakéhokoliv plánování, kydají po sobě špínu, atd. Výsledek moc nefunguje, je to peklo pro vývojáře. Proto vznikla například Linux Standard Base, která popisuje, co by OS měl umět, aby vývojář i admin věděli, na co se mohou spolehnout. Super myšlenka, v podstatě pokračování POSIXu. Akorát ta "ochota spolupracovat" nějak absentuje. Certifikaci na LSB verze 4.0 mělo jen 21 dister, mezi jinými Red Flag Linux Desktop, RHEL, SLES a Ubuntu. Na verzi 4.1 má certifikaci z rozšířených dister leda RHEL. LSB verze 5 "pro jistotu" rozbíjí zpětnou kompatibilitu, a certifikaci má jen jakýsi EulerOS. Wow. Od doby POSIXu se vývoj podobá bublající polévce, do které pejsek a kočička naházeli jitrnice, čokoládu, česnek i myš.

Mimochodem Google podle všeho zařízne Linux kernel v Androidu. Už nějakou dobu píše Fuchsia OS, který má přesně tenhle cíl. Srovnal bych to s tím když MS uvedl Windows NT. Jestli Google uspěje, tak potom Linux najdete leda na webovém serveru, protože telefony a později i "krabičky" pojedou Fuchsia OS (tam nastane boj s Applem a MS), linuxový desktop stagnuje, a konzole (Steam Machines) jsou mrtvé. Jak se tváříte na vyhlídku, že se z Linuxu dost možná stane něco jako FreeBSD - v principu na něco použitelný OS, ale naprosto mimo mainstream?
https://en.wikipedia.org/wiki/Google_Fuchsia