Hlavní navigace

Názor ke zprávičce Návod na přizpůsobení Androida od Lael Ophir - To že má nějaké zařízení linuxový kernel neznamená,...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 21. 1. 2017 18:46

    Lael Ophir (neregistrovaný)

    To že má nějaké zařízení linuxový kernel neznamená, že by autoři image museli nějak detailně zkoumat kód kernelu. Nemyslíte si doufám že když stavíte "chytrý prodlužovák" ovládaný Linuxem, nebo řekněme autorádio na Linuxu, tak u toho systematicky zkoumáte jestli nějaká metoda v kernelu při poslání vhodného parametru nepřepíše v paměti co nemá? V takové situaci žádné zranitelnosti nehledáte, a pravděpodobnost že ji objevíte je velmi nízká.

    Pro vyhledávání zranitelností nepotřebujete zdrojáky. Nakonec ti lidé, kteří jsou v tom dobří, se orientují v ASM lépe než my oba dohromady v Cčku.

    OK, máte bod za to že nejste naivně optimistický.

    To že se počet CVE u Linuxu a Androidu postupem času dostal vysoko nad počet CVE u Windows podle mě vypovídací hodnotu má.

    Ohledně té hlavy v písku: pokud má Linux méně CVE než Windows, můžete to snadno vydávat za důkaz toho že open source vývoj je transparentnější, vede k méně chybám, a proto je CVE méně. Pokud je CVE více než u Windows, můžete snadno tvrdit, že díky otevřenosti kódu může chybu vidět kdokoliv, a proto se jich více opravuje. Validní není ani jeden z těch argumentů, protože jsou netestovatelné. To že open source development vede k lepšímu kódu je jen nepodložený mýtus. Zato zvyšující se počet CVE je celkem jasně vidět.

    Pokud jde o počet balíčků daného distra, tak k tomu mám dvě věci. Jednak jsou to autoři distra, kteří rozhodují kolik balíčků zahrnou, takže je to v principu jejich problém. A co považuji za zásadnější: kernel Linuxu, který implementuje pouhých pár set syscallů, měl v roce 2016 216 CVE. Celé Windows 10, včetně kernelu, Hyper-V, GDI, GDI+, WPF, DirectX, kodeků, WinRT, .NET a obrovské spousty dalšího kódu a všech vestavěných aplikací, měly jen 172 CVE. U serverových Windows 2012, které obsahují i vestavěný DB server a jako optional feature všechno možné včetně web serveru, je to jen 154 CVE (méně než Win10, protože jsou na kódu Win8). Fakt vám nepřipadá, že se situace trochu změnila?